「2024-11-12 Firepower まとめ」の版間の差分
編集の要約なし |
編集の要約なし |
||
(同じ利用者による、間の18版が非表示) | |||
5行目: | 5行目: | ||
== Cisco コミュニティのまとめページ == | == Cisco コミュニティのまとめページ == | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング] | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング] | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB-%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161736 ファイアウォール トラブルシューティング] | |||
== Firepower のアーキテクチャ == | == Firepower のアーキテクチャ == | ||
58行目: | 60行目: | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介] | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介] | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower1000/2100/3100シリーズ: ASA(Appliance Mode)と FTD間のリイメージ手順について] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower Threat Defense(FTD)管理インターフェイスの設定] | |||
== 冗長化 == | == 冗長化 == | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-health-monitoring%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3157060 ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90-act-stby-%E3%81%A7-active%E6%A9%9F%E3%81%A8standby%E6%A9%9F%E3%81%AE%E5%86%8D%E8%B5%B7%E5%8B%95%E6%96%B9%E6%B3%95-cli/ta-p/3166724 ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-failover-%E3%82%B1%E3%83%BC%E3%82%B9%E5%88%A5%E3%81%AEgarp%E9%80%81%E4%BB%98%E6%9C%89%E7%84%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3224179 ASA Failover: ケース別のGARP送付有無について] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-redundant-interface%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B%E3%81%A8%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D/ta-p/3164055 ASA: Redundant Interfaceの設定例と動作確認] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa5500-x-internet-firewall-%E8%A8%AD%E5%AE%9A%E4%BE%8B-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90/ta-p/3165703 ASA5500-X: Internet Firewall 設定例 (冗長構成)] | |||
== | == FMC 環境下のバックアップ・リストア == | ||
FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。 | FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。 | ||
77行目: | 91行目: | ||
=== Portchannel のステータスが ASA OS から確認できない === | === Portchannel のステータスが ASA OS から確認できない === | ||
ASA では Portchannel を管理せず、仮想基盤である FXOS | ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。 | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> | ||
114行目: | 128行目: | ||
データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。 | データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。 | ||
==== ASA 再起動 ==== | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff"> | |||
再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。 | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: | FPR2100-ASA# reload | ||
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel: Y | |||
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca | |||
6418 bytes copied in 0.960 secs | |||
Proceed with reload? [confirm] | |||
*** | |||
*** --- START GRACEFUL SHUTDOWN --- | |||
Shutting down isakmp | |||
Shutting down sw-module | |||
Shutting down License Controller | |||
Shutting down File system | |||
--- 略 --- | |||
</syntaxhighlight> | |||
==== ASA シャットダウン ==== | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff"> | |||
シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時) | |||
FPR2120# connect fxos admin | |||
Configuring session. | |||
Connecting to FXOS. | |||
... | |||
--- 略 --- | |||
firepower-2120# | |||
firepower-2120# connect local-mgmt | |||
Warning: network service is not available when entering 'connect local-mgmt' | |||
firepower-2120(local-mgmt)# shutdown | |||
Before shutdown, please take a configuration backup. | |||
Do you still want to shutdown? (yes/no): yes | |||
</syntaxhighlight> | |||
==== FTD 再起動 ==== | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165][https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff"> | |||
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください | FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください | ||
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。 | 再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。 | ||
123行目: | 174行目: | ||
> | > | ||
> reboot | > reboot | ||
</syntaxhighlight><syntaxhighlight lang="diff"> | </syntaxhighlight> | ||
==== FTD シャットダウン ==== | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff"> | |||
シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。 | シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。 | ||
151行目: | 205行目: | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法] | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法] | ||
=== ASA の Port-channel はシャーシまたぎに対応しない === | |||
Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。 | |||
ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。 | |||
Catalyst Stack#1 Po1 --- Po1 ASA#1 | |||
Catalyst Stack#2 Po2 --- Po1 ASA#2 | |||
ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。 | |||
* ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある | |||
== CLI == | == CLI == | ||
166行目: | 229行目: | ||
== Verup == | == Verup == | ||
ASA は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。 | |||
両系を同時に再起動することなく、Verup することができる。 | |||
[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード] | [https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード] | ||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド] | [https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド] | ||
* 日本語版は情報が古いため、英語版の [https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/planning.html Cisco Secure Firewall ASA Upgrade Guide] を参照したほうが良い | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイ フェールオーバー ペアのアップグレード] | [https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイ フェールオーバー ペアのアップグレード] | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-asa%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4736810 Firepower1000/2100: ASAのアップグレードについて] | |||
== threat-detection 脅威検出 == | |||
=== デフォルトの動作 === | |||
デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。<blockquote>CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド | |||
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa920/configuration/firewall/asa-920-firewall-config/conns-threat.html#ID-2132-0000006a 脅威検出のデフォルト] | |||
* 表 2. 基本的な脅威の検出のデフォルト設定 | |||
* 基本脅威検出は、デフォルトでイネーブルになっています。 | |||
* これをディセーブルにするには no threat-detection basic-threat を使用します。 | |||
* 任意)攻撃元のホストを遮断する期間を設定します。 | |||
** threat-detection scanning-threat shun duration seconds | |||
[https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html ASA脅威の検出機能と設定の確認]</blockquote> | |||
=== ASA OS の threat-detection でパケットが遮断される場合の対処法 === | |||
ASA OS は threat-detection で パケットを遮断する場合がある。 | |||
運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。 | |||
試験環境の場合、以下で回避可能。 | |||
==== 除外する場合 ==== | |||
こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。 | |||
* show shun でエントリがあるか確認する | |||
* 以下で shun の範囲から除外する | |||
threat-detection scanning-threat shun except ip-address <IP> <mask> | |||
==== 遮断を解除する場合 ==== | |||
* [https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500nextgenerationfire/cr/001/cmdref80/c3.html#pgfId-2132414 clear threat-detection shun] <IP> で遮断のエントリを削除する | |||
== リファレンス == | == リファレンス == | ||
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer] | [https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer] | ||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3163034 ASA: スマートライセンス認証とトラブルシューティング] | |||
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9vpn-%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E6%9C%80%E9%81%A9%E5%8C%96%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%83%99%E3%82%B9%E3%83%88%E3%83%97%E3%83%A9%E3%82%AF%E3%83%86%E3%82%A3%E3%82%B9-anyconnect/ta-p/4061565 ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)] | |||
== 脆弱性・不具合情報 == | == 脆弱性・不具合情報 == |
2024年12月19日 (木) 12:07時点における最新版
Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。
このページでは Firepower の動作についてまとめています。
Cisco コミュニティのまとめページ
Firepower System and FTDトラブルシューティング
Firepower のアーキテクチャ
FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。
2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、
URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。
ASA と Firepower の違い
ASA
以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。
Firepower 上でも ASA OS として動作させることが可能な製品が存在する。
Firepower
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
- ASA アプライアンス モード
- レイヤ 4 までのフィルタリング、VPN 機能などを備える
- ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
- ASA のコンフィグや運用は、ほぼそのまま踏襲可能
- FTD プラットフォーム モード
- レイヤ 7 までを含み、脅威の監査などを行う
- IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。
動作モード
機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。
また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。
- Firepower 1000 シリーズ : ASA アプライアンスモード
- Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
- Firepower 4100 シリーズ : FTD プラットフォーム モード
- Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。
Firepower Management Center (FMC)
Cisco Defense Orchestrator (CDO)
詳細は以下のドキュメントが詳しい。
Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介
Firepower1000/2100/3100シリーズ: ASA(Appliance Mode)と FTD間のリイメージ手順について
Firepower Threat Defense(FTD)管理インターフェイスの設定
冗長化
Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて
ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)
ASA Failover: ケース別のGARP送付有無について
ASA: Redundant Interfaceの設定例と動作確認
ASA5500-X: Internet Firewall 設定例 (冗長構成)
FMC 環境下のバックアップ・リストア
FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。
また、機能によってはリストアに対応しない機能もあります。
Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)
・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です
注意するべき内容
Portchannel のステータスが ASA OS から確認できない
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。
Firepower2100-ASA: EtherChannelの設定確認方法
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
ASA から FXOS にコンソールを切り替えて、コマンドを実施します。
show portchannel summary (上記 URL から引用)
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P)
その他のコマンドは上述の外部リンクの内容を参照してください。
電源 off / 再起動は明示的に実施する
Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。
Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順
Caution:
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である [1] ため、安全に切れるようになっています。
データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。
ASA 再起動
FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください
再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。
FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel: Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca
6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
--- 略 ---
ASA シャットダウン
FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください
シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)
FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
--- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes
FTD 再起動
[1]FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。
firepower# connect ftd
>
>
> reboot
FTD シャットダウン
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。
> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES
インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する
Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)
インターフェイス モード
インターフェイスごとに、次のいずれかのモードを設定できます。
ルーテッド
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
パッシブ
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。
FMC から FTD が削除できない
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。
Firepower System: FMCからのデバイス登録の強制削除方法
ASA の Port-channel はシャーシまたぎに対応しない
Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。 ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。
Catalyst Stack#1 Po1 --- Po1 ASA#1 Catalyst Stack#2 Po2 --- Po1 ASA#2
ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。
- ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある
CLI
FTD / ASA を移動する
FXOS: FTD: OSの構造とコマンドプロンプトの移動方法
FTD から ASA に CLI を変更し、ping 試験を行う
system support diagnostic-cli
推奨バージョン
Cisco Secure Firewall ASA Compatibility
Verup
ASA は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。
両系を同時に再起動することなく、Verup することができる。
FirepowerアプライアンスでのASA HAペアのアップグレード
Cisco Secure Firewall ASA アップグレードガイド
- 日本語版は情報が古いため、英語版の Cisco Secure Firewall ASA Upgrade Guide を参照したほうが良い
アクティブ/スタンバイ フェールオーバー ペアのアップグレード
Firepower1000/2100: ASAのアップグレードについて
threat-detection 脅威検出
デフォルトの動作
デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。
CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド
- 表 2. 基本的な脅威の検出のデフォルト設定
- 基本脅威検出は、デフォルトでイネーブルになっています。
- これをディセーブルにするには no threat-detection basic-threat を使用します。
- 任意)攻撃元のホストを遮断する期間を設定します。
- threat-detection scanning-threat shun duration seconds
ASA OS の threat-detection でパケットが遮断される場合の対処法
ASA OS は threat-detection で パケットを遮断する場合がある。
運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。
試験環境の場合、以下で回避可能。
除外する場合
こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。
- show shun でエントリがあるか確認する
- 以下で shun の範囲から除外する
threat-detection scanning-threat shun except ip-address <IP> <mask>
遮断を解除する場合
- clear threat-detection shun <IP> で遮断のエントリを削除する
リファレンス
TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer
ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)
脆弱性・不具合情報
【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について
- CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted
- CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION'
- CVE-2023-20086
- CSCwd77581
コマンドリスト
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。
作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。
大区分 | 小区分 | コマンド | 備考 |
---|---|---|---|
ターミナル設定 | terminal pager 0 | ||
サポート | show tech-support | ||
Common | System Management | show version | IOS-XE Version , ライセンス
動作中のコンフィグ メモリに保存された log NTP 同期 |
Layer1 | Hardware | show facility-alarm status | |
Interface | show interface | インターフェース
状態 カウンタ エラーカウンタ | |
Layer2 | Common | show vlan | Vlan
MAC アドレステーブル |
Redundancy Protocol | show port-channel summary (FX-OS) | ポートチャネル
負荷分散メソッド | |
Layer3 | Common | show arp | ARP エントリ
IP インターフェース一覧 IPv6 ネイバー |
Security | show ip access-lists | IPv4 アクセスリスト
IPv6 アクセスリスト | |
Routing | show route
show bgp neighbor x.x.x.x advertised-routes show ip bgp neighbor x.x.x.x received-routes |
IPv4 ルート
OSPF ネイバー BGP IPv4 ピア一覧 特定ピアの BGP 広報ルート 特定ピアの BGP 受信ルート IPv4 ルート IPv6 OSPF ネイバー IPv6 インターフェース一覧 BGP IPv6 ピア一覧 | |
High Availability | show failover state | フェイルオーバー | |
ASA VPN | Site-to-Site VPN | show crypto ikev1 sa | セキュリティ アソシエーション |
引用
- ↑ FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
- ↑ 実行コンフィギュレーションの確認 (注) 多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、more コマンドを使用します。