[G-Tech2015]次世代ファイアウォール -Cisco ASA with FirePOWER Services- によるセキュリティ対策[講演資料]

グローバルナレッジネットワーク株式会社

鈴木新

次世代ファイアウォール-Cisco ASA with FirePOWER Services-

によるセキュリティ対策

Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.

アジェンダ

1. 次世代ファイアウォールとは

2. ASAの基礎

3. ASA with FirePOWERの機能

4. FireSIGHT Management Center

5. Demo

2

1. 次世代ファイアウォールとは


次世代ファイアウォールとは

4

– パケットフィルタリング

– ステートフルインスペクション

– NAT

– VPN

– HA構成（High Availability）

従来のファイアウォール



5



– NAT

– VPN


次世代ファイアウォール

– アプリケーションコントロール

– ユーザーコントロール

– IPS/IDS

– L2/L3 構成での配置

下記の機能を追加




6 6



– NAT

– VPN


次世代ファイアウォール

– アプリケーションコントロール

– ユーザーコントロール

– IPS/IDS

– L2/L3 構成での配置

下記の機能を追加

ASA with FirePOWER


ASA

2. ASAの概要


ASA 5500

8

CLI

スイッチやルータと同様の

モードからコマンドを入力

GUI

ASDMを使用

設定方法ASA 5500シリーズ

（第一世代）


ASA 5500

9

ファイアウォール

VPN

HA構成

NAT

ASA = Cisco Adaptive Security Appliance

複数のセキュリティ機能を兼ね備えた製品


ASA 5500

10


ネットワークインターフェース層

インターネット層

トランスポート層

アプリケーション層

ＩＰＴＣＰ Data

通過を拒否通過を許可

ネットワークの出入り口で動作


ASA 5500

11

ステートフルインスペクション

FWは通信状態を把握し、次に来るパケットを予測

ステートテーブルクライアント


Webサーバ

ヘッダデータ

想定する戻りパケット

ＯＫ！

ＮＧ！

ヘッダデータ

データヘッダ

データヘッダ

データヘッダ

データヘッダ


ASA 5500

12

インターネット

ファイアウォールシステムの構成

ファイアウォールを利用した典型的なネットワーク構成

社内クライアント

サーバルーム部門セグメント

L3機器

ファイアウォール公開用サーバ

DMZ

社内サーバ


ASA 5500

13

セキュリティレベルの概念

各I/Fには、セキュリティレベル（0～100）を設定する（必須）

セキュリティレベルの高⇒低 OK

セキュリティレベルの低⇒高 NG

セキュリティレベルの高⇒低の戻り OK

※戻りパケットが許可されるのは、

デフォルトでTCPおよびUDPのみです。

inside

outside

dmz


50

0

100


ASA 5500

14

インスペクションの設定

(config)# access-list ICMP permit icmp 10.0.1.0 255.255.255.0 any

(config)# class-map Inspect-C

(config-cmap)# match access-list ICMP

(config)# policy-map Inspect-P

(config-pmap)# class Inspect-C

(config-pmap-c)# inspect icmp

(config)# service-policy Inspect-P interface inside

クラスマップの作成

ポリシーマップの作成

I/Fに適用


ASA 5500

15

NAT（PAT）

複数のプライベートアドレスを1つのグローバルアドレスに変換

(config)# object network PAT-Address(config-network-object)# host 200.1.1.5

(config)# object network PAT-Config(config-network-object)# subnet 10.0.1.0 255.255.255.0(config-network-object)# nat (inside,outside) dynamic PAT-Address

10.0.1.0/24

inside

Internet

outside

hostコマンドを使って、PAT変換後のアドレスを指定

PAT用IP

200.1.1.5

NAT変換前のアドレスをオブジェクト指定

NAT変換の紐づけ


ASA 5500

16

VPN

IPsecVPNおよびSSL VPNをサポート

SSL VPN Tunnel

社内Webサーバ

HTTP

WebVPN用ポータルページ

SSL VPNの例


ASA 5500

17

HA構成（High Availablity）

ASAを使った冗長構成

Active / Standby Failover

Active / Active FailoverFailed Active

Active/Standby Failoverの例

Internet


ASA 5500-X

18

ASA 5500-Xシリーズ

（第二世代）


ASA 5500-X

19

Cisco ASA 5500-Xのパフォーマンス

ASA 5512-X

200 Mbps NGFW

60 Mbps NGFW

plus IPS

100,000 Connections

10,000 CPS

ASA 5515-X

350 Mbps NGFW

90 Mbps NGFW

plus IPS

250,000 Connections

15,000 CPS

ASA 5525-X

650 Mbps NGFW

300 Mbps NGFW

plus IPS

500,000 Connections

20,000 CPS

ASA 5545-X

1 Gbps NGFW

450 Mbps NGFW

plus IPS

750,000 Connections

30,000 CPS

1.4 Gbps NGFW

600 Mbps NGFW

plus IPS1 Million Connections

50,000 CPS

ASA 5555-X

小規模向け中規模向け


ASA 5500-X

20

2 Gbps NGFW

1 Gbps NGFW plus IPS500,000 Connections

40,000 CPS

ASA 5585-SSP10

9 Gbps NGFW

2.5 Gbps NGFWplus IPS

1.8 Million Connections120,000 CPS

ASA 5585-SSP40

13 Gbps NGFW4 Gbps NGFW

plus IPS 4 Million Connections

160,000 CPS

ASA 5585-SSP60

5 Gbps NGFW1.5 Gbps NGFW plus IPS1 Million Connections

75,000 CPS

ASA 5585-SSP20

大規模向け

Cisco ASA 5500-Xのパフォーマンス


ASA 5500-X

21 21© 2015 Cisco and/or its affiliates. All rights reserved.


IPS


ASA 5500-X

22

ASA with FirePOWERの通信の流れ


ASA 5500-X

23

の主要機能

• IPS（Intrusion Prevention System）

• AVC（Application Visibility Control）

• URLフィルタリング

• AMP（Advanced Malware Protection)


ASA 5500-X

24

サブスクリプションライセンス

URL

• AVCは標準実装

• 1、３年間の中から選択

IPS IPS IPS IPS

AMPURL AMP

URL

３. ASA with FirePOWERの機能


IPS

26

IPS（Intrusion Prevention System）


IPS

27


IPSの構成

社内クライアント

サーバルーム部門セグメント

L3機器


社内サーバ

IPS


IPS

28

業界最高水準のIPSエンジン

SNORT

オープンソースのIDS

シグニチャベースで動作

FirePOWERはSNORTベースのIPS


IPS

29

業界最高水準のIPSエンジン

自動チューニング

ネットワーク環境の変化に伴いチューニングが必要

Network Awarenessの機能による推奨ルールの自動生成

チューニングを容易に行うことができる


AVC

30

AVC（Application Visibility Control）


AVC

31

2500 を超えるアプリケーションを認識する

iTunes Google Drive

対応アプリ一覧http://tools.cisco.com/security/center/avc.x


AVC

32

シグニチャマッチングで識別するため、ポート番号が通信によって変わるアプリも識別可能


AVC

33

33

ユーザー（グループ）、ネットワーク、ゾーン、

VLANなどが対象

リスク、関連性、タイプ、カテゴリーなどでアプリ

ケーションを分類

2500を超えるアプリケーションと

サブアプリケーション


AVC

34

34

Facebookは閲覧のみ許可した例


URL

35

URLフィルタリング


URL

36

81カテゴリ60言語

200ヵ国対応


URL

37

レピュテーションスコア

5 ～ 10：信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされている。

0 ～ 5：信頼できる動作の歴史がある、または第三者の検証を受けたサイト。

-3 ～ 3：管理された信頼できるコンテンツやリンクの提携ネットワークサイトおよびユーザが生成したコンテンツサイトの可能性がある。

-6 ～ -3：悪意がある疑いがあるが、確実ではない。攻撃的な広告シンジケートおよびユーザトラッキングネットワークの可能性がある。

-10 ～ -6：ほぼ確実に悪意のあるサイト。継続的にキーロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイト。フィッシングサイト、ボット、ドライブバイインストーラも含まれる。


URL

38

カテゴリに分けられたURLを使用したフィルタリング機能

SIOの分析によるWebレピュテーションスコアを使用


AMP

39

AMP（Advanced Malware Protection）


AMP

40

• ファイルがネットワークに侵入した際に、フィンガープリントを作成

• フィンガープリントはSHA-254によるハッシュ値• フィンガープリントをCiscoのクラウドに送り分析する

ファイルレピュテーション


AMP

41

ファイルサンドボックス

• マルウェアを検出した時に詳細な動作をチェック• サンドボックスと呼ばれるチェック用の環境で検査する• ファイルの脅威レベルを判断


AMP

42

過去にさかのぼって解析し、感染経路を特定する

ファイルトラジェクトリ


AMP

43

AMPの仕組み

FirePOWER FireSIGHT


AMP

44

• ファイルポリシーの設定は、ファイルとプロトコルを選択し、マルウェア検出のために検査

• 以下の項目を設定可能：• 検出するファイルの種類• 検出するプロトコル• 転送の方向• 取る行動（ブロック、検出など）

File Policy

4. FireSIGHTManagement Center


FireSIGHT

46

GUIによる設定Adaptive Security Device Manager

ASDM＝＞ASAを設定する

FireSIGHT＝＞FirePOWERの機能をフル活用して管理/設定するための製品


FireSIGHT

47

FireSIGHT設定手順Adaptive Security Device Manager

FireSIGHT 初期設定

FirePOWER 設定・登録、基本設定

システム設定

パッチ・シグニチャのアップデート

セキュリティポリシーの作成

アクセスポリシーの適用

FireSIGHTでIPS、AMPなどを設定

セキュリティポリシーをFirePOWERに適用


FireSIGHT

48

オブジェクトの作成Adaptive Security Device Manager

NetworkPortVLAN tagURLSecurity ZoneGeolocation


FireSIGHT

49

ポリシーの作成

IntrusionFileNetwork DiscoverySSLUsers


FireSIGHT

50

ルールの作成

IntrusionFileNetwork DiscoverySSLUsers

NetworkPortVLAN tagURLSecurity ZoneGeolocation

オブジェクトポリシーAdaptive

Security Device Manager


FireSIGHT

51

Access Control Policy

ルール①

ルール②

ルール③

ルール④

複数のルールを1つのAccessControlPolicyにまとめる

ACPをFirePOWERに適用


FireSIGHT

52


FireSIGHT

53

Indication of Compromise (IoC:侵入の痕跡)


FireSIGHT

54

参考

5. Demo


関連コース

Cisco Routing&Switching トレーニング

Cisco ASA トレーニング

56

CSC0273V(5日間)CCNA BOOT CAMP前編～ICND1v2.0 CCENT対応～

CSC0275V(5日間)CCNA BOOT CAMP後編～ICND2v2.0対応～

CSC0347G(2日間)Cisco ASAによるセキュアネットワークの構築

CSC0334G(1日間)Cisco ASA with FirePOWER Services概要


Devices & Hardware

[G-Tech2015]次世代ファイアウォール -Cisco ASA with FirePOWER Services- によるセキュリティ対策[講演資料]