はじめに
このドキュメントでは、Cisco ASAにCisco FirePOWER(SFR)モジュールをインストールして設定し、Cisco FireSIGHTにSFRモジュールを登録する方法について説明します。
前提条件
要件
このドキュメントで説明している手順を開始する前に、次の推奨要件を満たしていることを確認してください。
使用するコンポーネント
Cisco ASAにFirePOWERサービスをインストールするには、次のコンポーネントが必要です。
- Cisco ASA ソフトウェア バージョン 9.2.2 以降
- Cisco ASA プラットフォーム 5512-X ~ ASA 5555-X
- FirePOWERソフトウェアバージョン5.3.1以降
注:FirePOWER(SFR)サービスをASA 5585-Xハードウェアモジュールにインストールする場合は、「ASA 5585-XハードウェアモジュールへのSFRモジュールのインストール」を参照してください。
Cisco FireSIGHT Management Center には次のコンポーネントが必要です。
- FirePOWERソフトウェアバージョン5.3.1以降
- FireSIGHT Management Center FS2000、FS4000、または仮想アプライアンス
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco ASA FirePOWERモジュール(ASA SFRとも呼ばれる)は、次のような次世代ファイアウォールサービスを提供します。
- 次世代侵入防御システム(NGIPS)
- アプリケーションの可視性と制御(AVC)
- URLのフィルタ
- Advanced Malware Protection(AMP)
注:ASA SFRモジュールは、シングルコンテキストモードまたはマルチコンテキストモード、およびルーテッドモードまたはトランスペアレントモードで使用できます。
はじめる前に
このドキュメントで説明している手順を開始する前に、次の重要情報を考慮してください。
- 侵入防御システム(IPS)またはコンテキスト アウェア(CX)モジュール(ASA SFR と交換したモジュール)にトラフィックをリダイレクトするアクティブ サービス ポリシーがある場合は、そのポリシーを削除してから、ASA SFR サービス ポリシーを設定する必要があります。
- 現在動作している他のソフトウェア モジュールをシャットダウンする必要があります。デバイスは一度に 1 つのソフトウェア モジュールしか実行できません。これは ASA CLI から実行する必要があります。たとえば、次のコマンドは IPS ソフトウェア モジュールをシャットダウンしてアンインストールし、ASA をリロードします。
ciscoasa# sw-module module ips shutdown
ciscoasa# sw-module module ips uninstall
ciscoasa# reload
- CXモジュールを削除するために使用するコマンドも同じですが、
ipsキーワードではなくcxscキーワードを使用する点が異なります。 ciscoasa# sw-module module cxsc shutdown
ciscoasa# sw-module module cxsc uninstall
ciscoasa# reload
- モジュールを再イメージ化するときには、古いSFRイメージを削除するときに使用するのと同じ
shutdownコマンドとuninstallコマンドを使用します。ランダム データの例は次のとおりです。
ciscoasa# sw-module module sfr uninstall
- ASA SFR モジュールをマルチ コンテキスト モードで使用する場合は、このドキュメントで説明している手順を、システム実行スペース内で実行します。
ヒント: ASA上のモジュールのステータスを調べるには、show moduleコマンドを入力します。
インストール
このセクションでは、ASAにSFRモジュールをインストールする方法と、ASA SFRブートイメージをセットアップする方法について説明します。
ASA への SFR モジュールのインストール
ASA に SFR モジュールをインストールするには、次の手順を実行します。
- ASA SFR 管理インターフェイスからアクセスできる HTTP、HTTPS、または FTP サーバへ、Cisco.com から ASA SFR システム ソフトウェアをダウンロードします。
- ブート イメージをデバイスにダウンロードします。ブート イメージをデバイスにダウンロードするには、Cisco Adaptive Security Device Manager(ASDM)または ASA CLI を使用します。
注:システムソフトウェアは移行しないでください。後でソリッドステートドライブ(SSD)にダウンロードします。
ASDM を介してブート イメージをダウンロードするには、次の手順を実行します。
- ブート イメージをワークステーションにダウンロードするか、またはブート イメージを FTP、TFTP、HTTP、HTTPS、サーバ メッセージ ブロック(SMB)、またはセキュア コピー(SCP)サーバに配置します。
- ASDMでを選択します
Tools > File Management。
- 適切なファイル転送コマンド([Between Local PC and Flash] または [Between Remote Server and Flash] )を選択します。
- ブート ソフトウェアを ASA 上のフラッシュ ドライブ(disk0)に転送します。
ASA CLI を介してブート イメージをダウンロードするには、次の手順を実行します。
- FTP、TFTP、HTTP、または HTTPS サーバでブート イメージをダウンロードします。
- ブートイメージをフラッシュドライブにダウンロードするには、CLIで
copyコマンドを入力します。 次に、HTTPプロトコルを使用する例を示します(
は、使用しているサーバのIPアドレスまたはホスト名に置き換えてください)。FTPサーバの場合、URLは次のようになります:ftp://username:password@server-ip/asasfr-5500x-boot-5.3.1-152.img 。
ciscoasa# copy http://
/asasfr-5500x-boot-5.3.1-152.img
disk0:/asasfr-5500x-boot-5.3.1-152.img
- ASA フラッシュ ドライブ上の ASA SFR ブート イメージの場所を設定するため、次のコマンドを入力します。
ciscoasa# sw-module module sfr recover configure image disk0:/file_path
ランダム データの例は次のとおりです。
ciscoasa# sw-module module sfr recover configure image disk0:
/asasfr-5500x-boot-5.3.1-152.img
- ASA SFR ブート イメージをロードするには、次のコマンドを入力します。
ciscoasa# sw-module module sfr recover boot
この間に、ASAでdebug module-bootを有効にすると、次のデバッグが出力されます。
Mod-sfr 788> *** EVENT: Creating the Disk Image...
Mod-sfr 789> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 790> ***
Mod-sfr 791> ***
Mod-sfr 792> *** EVENT: The module is being recovered.
Mod-sfr 793> *** TIME: 05:50:26 UTC Jul 1 2014
Mod-sfr 794> ***
...
Mod-sfr 795> ***
Mod-sfr 796> *** EVENT: Disk Image created successfully.
Mod-sfr 797> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 798> ***
Mod-sfr 799> ***
Mod-sfr 800> *** EVENT: Start Parameters: Image: /mnt/disk0/vm/vm_3.img,
ISO: -cdrom /mnt/disk0
Mod-sfr 801> /asasfr-5500x-boot-5.3.1-152.img, Num CPUs: 6, RAM: 7659MB,
Mgmt MAC: A4:4C:11:29:
Mod-sfr 802> CC:FB, CP MAC: 00:00:00:04:00:01, HDD: -drive file=/dev/md0,
cache=none,if=virtio,
Mod-sfr 803> Dev
Mod-sfr 804> ***
Mod-sfr 805> *** EVENT: Start Parameters Continued: RegEx Shared Mem:
32MB, Cmd Op: r, Shared M
Mod-sfr 806> em Key: 8061, Shared Mem Size: 64, Log Pipe: /dev/ttyS0_vm3,
Sock: /dev/ttyS1_vm3,
Mod-sfr 807> Mem-Path: -mem-path /hugepages
Mod-sfr 808> *** TIME: 05:53:06 UTC Jul 1 2014
Mod-sfr 809> ***
Mod-sfr 810> IVSHMEM: optarg is key=8061,64,unix:/tmp/nahanni, name is,
key is 8061, size is 6
...
Mod-sfr 239> Starting Advanced Configuration and Power Interface daemon:
acpid.
Mod-sfr 240> acpid: starting up with proc fs
Mod-sfr 241> acpid: opendir(/etc/acpi/events): No such file or directory
Mod-sfr 242> starting Busybox inetd: inetd... done.
Mod-sfr 243> Starting ntpd: done
Mod-sfr 244> Starting syslogd/klogd: done
Mod-sfr 245>
Cisco ASA SFR Boot Image 5.3.1
- ASA CX モジュールが起動するまで約 5 ~ 15 分待ってから、動作中の ASA SFR ブート イメージへのコンソール セッションを開きます。
ASA SFR ブート イメージの設定
新しくインストールしたASA SFRブートイメージをセットアップするには、次の手順を実行します。
- セッションを開いてから
Enterを押して、ログインプロンプトに移動します。 注:デフォルトのユーザ名はadminです。パスワードは、ソフトウェアリリース7.0.1の場合Adm!n123(工場出荷時の新しいデバイスのみ)、6.0以降の場合Admin123、6.0より前の場合Sourcefireによって異なります。
ランダム データの例は次のとおりです。
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123
ヒント:ASA SFRモジュールのブートが完了していない場合、sessionコマンドが失敗し、システムがTTYS1経由で接続できないことを示すメッセージが表示されます。このような場合は、モジュールの起動が完了するまで待ってから、再試行してください。
- システムソフトウェアパッケージをインストールできるようにシステムを設定するには、
setupコマンドを入力します。
asasfr-boot> setup
Welcome to SFR Setup
[hit Ctrl-C to abort]
Default values are inside []
次の情報を入力するように求められます。
Host name – ホスト名は最大65文字の英数字(スペースを含まない)で指定します。また、ハイフンも使用できます。Network address – ネットワークアドレスは、静的IPv4アドレスまたはIPv6アドレスのいずれかです。また、DHCP(IPv4 の場合)または IPv6 ステートレス自動設定を使用することもできます。DNS information – 少なくとも1つのドメインネームシステム(DNS)サーバーを指定する必要があります。また、ドメイン名を設定してドメインを検索することもできます。NTP information – ネットワークタイムプロトコル(NTP)を有効にして、システム時刻を設定するようにNTPサーバを設定できます。
- システムソフトウェアイメージをインストールするには、
system installコマンドを入力します。
asasfr-boot >system install [noconfirm] url
確認メッセージに応答しない場合は、「noconfirm」オプションを使用します。urlキーワードを.pkgファイルの場所に置き換えます。ここでも、FTP、HTTP、またはHTTPSサーバを使用できます。ランダム データの例は次のとおりです。
asasfr-boot >system install http://
/asasfr-sys-5.3.1-152.pkg
Verifying
Downloading
Extracting
Package Detail
Description: Cisco ASA-FirePOWER 5.3.1-152 System Install
Requires reboot: Yes
Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system. Doing so
might leave system in unusable state.
Upgrading
Starting upgrade process ...
Populating new system image
Reboot is required to complete the upgrade. Press 'Enter' to reboot the system.
(press Enter)
Broadcast message from root (ttyS1) (Mon Jun 23 09:28:38 2014):
The system is going down for reboot NOW!
Console session with module sfr terminated.
FTPサーバの場合、URLは次のようになります:ftp://username:password@server-ip/asasfr-sys-5.3.1-152.pkg。
注:インストールプロセス中、SFRは「Recover」状態になります。SFRモジュールのインストールが完了するまでに、約1時間かかる場合があります。 インストールが完了すると、システムが再起動します。アプリケーション コンポーネントのインストールと ASA SFR サービスの起動には 10 分以上かかります。show module sfrコマンドの出力は、すべてのプロセスがUpであることを示します。
設定
この項では、FirePOWER ソフトウェアと FireSIGHT Management Center を設定する方法、およびトラフィックを SFR モジュールにリダイレクトする方法について説明します。
FirePOWER ソフトウェアの設定
FirePOWER ソフトウェアを設定するには、次の手順を実行します。
- ASA SFR モジュールへのセッションを開きます。
注:完全に機能するモジュールでログインが発生するため、別のログインプロンプトが表示されるようになりました。
ランダム データの例は次のとおりです。
ciscoasa# session sfr
Opening command session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
Sourcefire ASA5555 v5.3.1 (build 152)
Sourcefire3D login:
- ユーザ名「
admin」を使用してログインします。パスワードは、7.0.1の場合(工場出荷時の新しいデバイスのみ)Adm!n123、6.0以前の場合はAdmin123、Sourcefire 6.0以降のソフトウェアリリースによって異なります。
- プロンプトに従って次の順序でシステム設定を行います。
- エンド ユーザ ライセンス契約書(EULA)を読んで、内容に同意します。
- admin パスワードを変更します。
- プロンプトに従って管理アドレスと DNS 設定を指定します。
注:IPv4とIPv6の両方の管理アドレスを設定できます。
ランダム データの例は次のとおりです。
System initialization in progress. Please stand by. You must change the password
for 'admin' to continue. Enter new password: <new password>
Confirm new password: <repeat password>
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]: y
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:198.51.100.3
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []: 198.51.100.1
Enter a fully qualified hostname for this system [Sourcefire3D]: asasfr.example.com
Enter a comma-separated list of DNS servers or 'none' []:
198.51.100.15, 198.51.100.14
Enter a comma-separated list of search domains or 'none' [example.net]: example.com
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
- システムが再設定されるまで待機します。
FireSIGHT Management Center の設定
ASA SFR モジュールおよびセキュリティ ポリシーを管理するには、FireSIGHT Management Center に登録する必要があります。詳細については、「FireSIGHT Management Centerへのデバイスの登録」を参照してください。FireSIGHT Management Center で次の操作を行うことはできません。
- ASA SFR モジュール インターフェイスの設定
- ASA SFR モジュール プロセスのシャットダウン、再起動、または管理
- ASA SFR モジュール デバイスでのバックアップの作成、またはバックアップの復元
- VLAN タグの条件を使用したトラフィック照合目的のアクセス コントロール ルールの記述
SFR モジュールへのトラフィックのリダイレクト
トラフィックを ASA SFR モジュールにリダイレクトするには、特定のトラフィックを識別するサービス ポリシーを作成する必要があります。トラフィックを ASA SFR モジュールにリダイレクトするには、次の手順を実行します。
access-listコマンドで特定する必要があるトラフィックを選択します。この例では、すべてのインターフェイスからのすべてのトラフィックがリダイレクトされます。この操作は、特定のトラフィックに対して実行することもできます。
ciscoasa(config)# access-list sfr_redirect extended permit ip any any
- アクセス リストのトラフィックと照合するためにクラス マップを作成します。
ciscoasa(config)# class-map sfr
ciscoasa(config-cmap)# match access-list sfr_redirect
- 導入モードを指定します。デバイスは、パッシブ展開モード(モニタ専用)またはインライン展開モード(通常)のいずれかで設定できます。
注:ASAでは、パッシブモードとインラインモードの両方を同時に設定することはできません。セキュリティ ポリシーの 1 つのタイプのみが許可されます。
警告: 「monitor-only」モードでは、SFRサービスモジュールは悪意のあるトラフィックを拒否またはブロックできません。
注意:インターフェイスレベルのtraffic-forward sfr monitor-onlyコマンドを使用すると、monitor-onlyモードでASAを設定できます。ただし、この設定は単にデモ機能用であり、実稼働ASAでは使用しないでください。このデモ機能で発生した問題については、Cisco Technical Assistance Center(TAC)のサポート対象外です。ASA SFR サービスをパッシブ モードで導入する場合は、policy-map を使用して設定します。
- 場所を指定し、ポリシーを適用します。ポリシーは、グローバルまたはインターフェイスに適用できます。インターフェイスでグローバル ポリシーを上書きするには、サービス ポリシーをインターフェイスに適用します。
globalキーワードはポリシーマップをすべてのインターフェイスに適用し、interfaceキーワードは1つのインターフェイスに適用します。許可されるグローバル ポリシーは 1 つだけです。次の例では、ポリシーがグローバルに適用されます。
ciscoasa(config)# service-policy global_policy global
注意:ポリシーマップ「global_policy」はデフォルトのポリシーです。このポリシーを使用していて、トラブルシューティングのためにデバイスから削除する場合は、必ずその影響を理解しておいてください。
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
- このコマンド(
debug module-boot)を実行すると、SFRブートイメージのインストール開始時にデバッグを有効にできます。
- ASAがリカバリモードでスタックし、コンソールが起動しない場合は、次のコマンドを実行します(
sw-module module sfr recover stop)。
- SFRモジュールが復旧状態から抜け出すことができなかった場合は、ASA
(reload quick)をリロードしてみてください(トラフィックが通過すると、ネットワーク障害が発生する可能性があります)。Still SFRがrecovery状態のままになっている場合は、ASAとunplug the SSDカードをシャットダウンして、ASAを起動できます。モジュールのステータスを確認します。モジュールはINIT状態でなければなりません。再度、ASA、insert the SSDカードをシャットダウンし、ASAを起動します。ASA SFRモジュールの再イメージングを開始できます。
関連情報
フィードバック