Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
鈴木 新(Arata Suzuki)
グローバルナレッジネットワーク(株)Cisco認定インストラクター
December 15, 2015
セキュリティ初心者のための
Cisco ASA with FirePOWER Services概要
Cisco Support Community
Expert Series Webcast
ご参加ありがとうございます本日の資料はこちらからダウンロードいただけますhttp://supportforums.cisco.com/ja/community/5356/webcast
直接ダウンロードする場合はこちらhttps://supportforums.cisco.com/ja/document/12727976
オーディオ ブロードキャスト について[Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが自動的に表示され、コンピュータのスピーカーから音声が流れます
[Audio Broadcast(オーディオ ブロードキャスト)] ウィンドウが表示されない場合は、[Communicate(コミュニケート)] メニューから [Audio Broadcast(オーディオ ブロードキャスト)] を選択します
イベントが開始されると自動的に音声が流れ始めます
音声接続に関する詳細はこちらをご参照ください。解決しない場合は、QA ウィンドウよりお知らせください。https://supportforums.cisco.com/ja/document/82876
ご質問方法Webcast 中のご質問は全て画面右側のQAウィンドウより All Panelist 宛に送信してください
エキスパート スピーカー
鈴木 新(Arata Suzuki)
グローバルナレッジネットワーク(株)Cisco認定インストラクター
会社案内グローバルナレッジネットワーク株式会社
We are Global Knowledge
世界約30か国で展開するITビジネストレーニングの独立系リーディングカンパニー
Global Knowledge Asia グループとしてアジア7ヶ国に展開
子会社グローバルナレッジマネジメントセンター株式会社を通じ、世界最大の人材育成組織 American Management Association のサービスを国内で唯一提供
Lineup
Partnership
世界有数のベンダー各社の認定教育機関
アワード受賞実績多数
アライアンスパートナーの優れたコンテンツ
Original
ベンダー非依存の要素技術
クロスプラットフォーム&マルチベンダー
ヒューマン・スキル
グローバルビジネススキル
集合研修(定期開催)
集合研修(一社向け)
Virtual Classroom
(定期開催)
eラーニング(ASP/
CD-ROM)
オンライン配信
(一社向け)
Virtual Classroom
(一社向け)
NEW TRAINMIX TRAIN(新入社員研修)
Worldwide Training Service
テストセンター
提供コース1,000以上
年間提供クラス6,000以上
推奨コースのご案内★ ASA関連コースのご案内
●ASA5500シリーズを使用したセキュアネットワークの構築実習Cisco ASAの概要からコマンド及びGUI(ASDM)を使用した設定方法までを2日間で学習するグローバルナレッジオリジナルコースです。
●Cisco ASA with FirePOWER Services概要Cisco ASAの提案、設計、構築、保守を行っている方を対象として、1日でFirePOWERの全体像を学習するグローバルナレッジオリジナルコースです。演習でFirePOWERを操作し、動作の確認をすることができます。
▼コース詳細はこちら
gknet.jp/asawc
▼コース詳細はこちら
gknet.jp/fpwc
▼詳細・お申し込みはこちら
★ 20周年記念 キャンペーンのご案内
20周年記念キャンペーン
20周年記念キャンペーン
対象コースから2コースお申し込みいただくと、1コースが半額に!130コースから、お好きな組み合わせでご受講いただけます。
with Buy One Get One 50% OFF
対象コースを定価でご受講いただくと、クールなデジタルガジェットをプレゼント!話題のドローンやギフト券など2コース8点から選べます。
with Cool Gadget
gknet.jp/gk20th
鈴木 新(Suzuki Arata)
Dec 15, 2015
Cisco Support Community Expert Series Webcast
セキュリティ初心者のためのCisco ASA with FirePOWER Services概要
グローバルナレッジネットワーク(株)Cisco認定インストラクター
• 次世代ファイアウォールを説明できますか?
A) 説明できる。
B) 次世代ファイアウォールを聞いたことはあるが説明できない。
C) 次世代ファイアウォールを聞いたことがないがファイアウォールは聞いたことがある。
D) 次世代ファイアウォールもファイアウォールも聞いたことがない。
投票質問1
• 次世代ファイアウォールとは
• 従来のファイアウォール
• 次世代ファイアウォール
• ASAの基礎
• ASA 5500
• ASA 5500-X
• ASA with FirePOWERの機能
• IPS
• AVC
• URLフィルタリング
• AMP
• FireSIGHT Management Center
• オブジェクトの作成
• ポリシーの作成
• Demo
アジェンダ
次世代ファイアウォールとは
•従来のファイアウォール
•次世代ファイアウォール
–パケットフィルタリング
–ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
従来のファイアウォール
–パケットフィルタリング
–ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
次世代ファイアウォール
– アプリケーションコントロール
– ユーザーコントロール
– IPS/IDS
– L2/L3 構成での配置
下記の機能を追加
従来のファイアウォール
–パケットフィルタリング
–ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
次世代ファイアウォール
– アプリケーションコントロール
– ユーザーコントロール
– IPS/IDS
– L2/L3 構成での配置
下記の機能を追加
ASA with
FirePOWER
従来のファイアウォール
ASA
ASAの基礎 •ASA 5500
•ASA 5500-X
ASA 5500
CLI
スイッチやルータと同様の
モードからコマンドを入力
GUI
ASDMを使用
設定方法
ASA 5500シリーズ
(第一世代)
ASA 5500ファイアウォール
VPN
HA構成
NAT
ASA = Cisco Adaptive Security Appliance
複数のセキュリティ機能を兼ね備えた製品
ファイアウォール
ネットワークインターフェース層
インターネット層
トランスポート層
アプリケーション層
IP TCP Data
通過を拒否 通過を許可
ネットワークの出入り口で動作
ASA 5500
FWは通信状態を把握し、次に来るパケットを予測
ステートテーブル
クライアント
ファイアウォール
Webサーバ
ヘッダデータ
想定する戻りパケット
OK!
NG!
ヘッダデータ
データヘッダ
データヘッダ
データヘッダ
データヘッダ
ステートフルインスペクション
インターネット
ファイアウォールを利用した典型的なネットワーク構成
社内クライアント
サーバルーム部門セグメント
L3機器
ファイアウォール 公開用サーバ
DMZ
社内サーバ
ファイアウォールシステムの構成
ASA 5500
各I/Fには、セキュリティレベル(0~100)を設定する(必須)
セキュリティレベルの高⇒低 OK
セキュリティレベルの低⇒高 NG
セキュリティレベルの高⇒低の戻り OK
※戻りパケットが許可されるのは、
デフォルトでTCPおよびUDPのみです。
inside
outside
dmz
インターネット
50
0
100
セキュリティレベルの概念
ASA 5500
(config)# access-list ICMP permit icmp 10.0.1.0 255.255.255.0 any
(config)# class-map Inspect-C
(config-cmap)# match access-list ICMP
(config)# policy-map Inspect-P
(config-pmap)# class Inspect-C
(config-pmap-c)# inspect icmp
(config)# service-policy Inspect-P interface inside
クラスマップの作成
ポリシーマップの作成
I/Fに適用
インスペクションの設定
ASA 5500
複数のプライベートアドレスを1つのグローバルアドレスに変換
(config)# object network PAT-Address(config-network-object)# host 200.1.1.5
(config)# object network PAT-Config(config-network-object)# subnet 10.0.1.0 255.255.255.0(config-network-object)# nat (inside,outside) dynamic PAT-Address
10.0.1.0/24
insideInternet outside
hostコマンドを使って、PAT変換後のアドレスを指定
PAT用IP 200.1.1.5
NAT変換前のアドレスをオブジェクト指定
NAT変換の紐づけ
NAT(PAT)
ASA 5500
IPsecVPNおよびSSL VPNをサポート
SSL VPN
Tunnel 社内Webサーバ
HTTP
WebVPN用ポータルページ
SSL VPNの例
VPN
ASA 5500
ASAを使った冗長構成
Active / Standby Failover
Active / Active Failover
Failed Active
Active/Standby Failoverの例
Internet
HA構成(High Availablity)
ASA 5500-X
ASA 5500-Xシリーズ
(第二世代)
ASA 5500-X
ASA 5512-X
200 Mbps NGFW
60 Mbps NGFW
plus IPS
100,000
Connections
10,000 CPS
ASA 5515-X
350 Mbps NGFW
90 Mbps NGFW
plus IPS
250,000
Connections
15,000 CPS ASA 5525-X
650 Mbps NGFW
300 Mbps NGFW
plus IPS
500,000
Connections
20,000 CPS
ASA 5545-X
1 Gbps NGFW
450 Mbps NGFW
plus IPS
750,000
Connections
30,000 CPS
1.4 Gbps NGFW
600 Mbps NGFW
plus IPS
1 Million
Connections
50,000 CPS
ASA 5555-X
小規模向け 中規模向け
Cisco ASA 5500-Xのパフォーマンス
ASA 5500-X
2 Gbps NGFW
1 Gbps NGFW
plus IPS
500,000
Connections
40,000 CPS
ASA 5585-SSP10
9 Gbps NGFW
2.5 Gbps NGFW
plus IPS
1.8 Million
Connections
120,000 CPS
ASA 5585-SSP40
13 Gbps NGFW
4 Gbps NGFW
plus IPS
4 Million
Connections
160,000 CPS
ASA 5585-SSP60
5 Gbps NGFW
1.5 Gbps NGFW
plus IPS
1 Million
Connections
75,000 CPS
ASA 5585-SSP20
大規模向け
Cisco ASA 5500-Xのパフォーマンス
ASA 5500-X
32© 2015 Cisco and/or its affiliates. All rights reserved.
ファイアウォール
IPS
ASA 5500-XASA with FirePOWERの通信の流れ
ASA 5500-X
• IPS(Intrusion Prevention System)
•AVC(Application Visibility Control)
•URLフィルタリング
•AMP(Advanced Malware Protection)
FirePOWERの主要機能
ASA 5500-X
URL
•AVCは標準実装
• 1、3年間の中から選択
IPS IPS IPS IPS
AMPURL AMP
URL
サブスクリプション ライセンス
ASA with FirePOWERの機能
• IPS
•AVC
•URLフィルタリング
•AMP
IPS
IPS(Intrusion Prevention System)
インターネット
社内クライアント
サーバルーム部門セグメント
L3機器
ファイアウォール
社内サーバ
IPS
IPSの構成
IPS
業界最高水準のIPSエンジン
• SNORT
オープンソースのIDS
シグニチャベースで動作
FirePOWERはSNORTベースのIPS
IPS
業界最高水準のIPSエンジン
•自動チューニング
ネットワーク環境の変化に伴いチューニングが必要
Network Awarenessの機能による推奨ルールの自動生成
チューニングを容易に行うことができる
AVC
AVC(Application Visibility Control)
AVC2500 を超えるアプリケーションを認識する
iTunes Google Drive
対応アプリ一覧http://tools.cisco.com/security/center/avc.x
AVC
シグニチャマッチングで識別するため、ポート番号が通信によって変わるアプリも識別可能
AVC ユーザー(グループ)、ネットワーク、ゾーン、
VLANなどが対象
リスク、関連性、タイプ、カテゴリーなどでアプリケーションを分類
2500を超えるアプリケーションとサブアプリケーション
AVC
45
Facebookは閲覧のみ許可した例
URL
URLフィルタリング
URL
81カテゴリ60言語200ヵ国対応
URL•レピュテーション スコア5 ~ 10:信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされている。
0 ~ 5:信頼できる動作の歴史がある、または第三者の検証を受けたサイト。
-3 ~ 3:管理された信頼できるコンテンツやリンクの提携ネットワークサイトおよびユーザが生成したコンテンツサイトの可能性がある。
-6 ~ -3:悪意がある疑いがあるが、確実ではない。攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性がある。
-10 ~ -6:ほぼ確実に悪意のあるサイト。継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイト。 フィッシングサイト、ボット、ドライブバイ インストーラも含まれる。
URL•カテゴリに分けられたURLを使用したフィルタリング機能
• SIOの分析によるWebレピュテーションスコアを使用
AMP
50
AMP(Advanced Malware Protection)
AMP
• ファイルがネットワークに侵入した際に、フィンガープリントを作成• フィンガープリントはSHA-254によるハッシュ値• フィンガープリントをCiscoのクラウドに送り分析する
ファイルレピュテーション
AMP
• マルウェアを検出した時に詳細な動作をチェック• サンドボックスと呼ばれるチェック用の環境で検査する• ファイルの脅威レベルを判断
ファイルサンドボックス
AMP過去にさかのぼって解析し、感染経路を特定する
ファイルトラジェクトリ
AMP
FirePOWER FireSIGHT
AMPの仕組み
AMP
• ファイルポリシーの設定は、ファイルとプロトコルを選択し、マルウェア検出のために検査
• 以下の項目を設定可能:• 検出するファイルの種類• 検出するプロトコル• 転送の方向• 取る行動(ブロック、検出など)
File Policy
• FirePOWERの一般的な設定方法はどれでしょう?
A) コマンドで設定する。
B) CCP(Cisco Configuration Professional)を使用する。
C) ASDM(Cisco Adaptive Security Device Manager)を使用する。
D) FireSIGHTを使用する。
投票質問2
FireSIGHTManagement Center
•オブジェクトの作成
•ポリシーの作成
ASDM=>ASAを設定する
FireSIGHT=>FirePOWERの機能をフル活用して管理/設定するための製品
GUIによる設定
FireSIGHT 初期設定
FirePOWER 設定・登録、基本設定
システム設定
パッチ・シグニチャのアップデート
オブジェクトの作成
アクセスポリシーの適用
FireSIGHT設定手順
セキュリティポリシーの作成
NetworkPortVLAN tagURLSecurity ZoneGeolocation
オブジェクトの作成
IntrusionFileNetworkDiscoverySSLUsers
ポリシーの作成
ルールの作成
IntrusionFileNetwork DiscoverySSLUsers
NetworkPortVLAN tagURLSecurity ZoneGeolocation
オブジェクト ポリシーAdaptive
Security Device Manager
Access Control Policy
ルール①
ルール②
ルール③
ルール④
複数のルールを1つのAccessControlPolicyにまとめる ACPを
FirePOWERに適用
FireSIGHT
Indication of Compromise(IoC:侵入の痕跡)
参考
Demo •FireSIGHTを使用したFirePOWERの設定と確認
Q & A 画面右側のQ&A ウィンドウから All Panelist 宛に送信してください
Ask the Expert with Arata Suzuki
今日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問( 12月16日~ 12月27日まで開催)へお寄せください!https://supportforums.cisco.com/ja/discussion/12727981
Webcastの内容やQ&Aドキュメントは、本日より5営業日以内にこのサイトへ掲載いたします。https://supportforums.cisco.com/ja/community/5356/webcast
来月のWebcast 予定
2015年 1月26日(火) 10:00-11:30テーマ:Cisco Startを始めよう!~Cisco Startのご紹介と、シンプルに、簡単に、安全に、ネットワークを構築する方法をご案内します
スピーカー:藤原麻子(マーケティング マーケティングマネージャ)前原朋実(エンタープライズネットワーク プロダクトマネージャー)冲中恒雄(エンタープライズネットワークシステムズ エンジニアリングシステムズ エンジニア)
コンテンツに関するご意見を募集しています!
掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください
ソーシャルメディアでサポートコミュニティと繋がろう
http://www.facebook.com/CiscoSupportCommunityJapan
Twitter- http://bit.ly/csc-twitterhttps://twitter.com/cscjapan
https://www.youtube.com/user/CSCJapanModerator
Google+ http://bit.ly/csc-googleplus
LinkedIn http://bit.ly/csc-linked-in
Instgram http://bit.ly/csc-instagram
Newsletter Subscriptionhttp://bit.ly/csc-newsletter
ご参加ありがとうございましたアンケートにもご協力ください