...

2 - Cisco

by user

on
Category: Documents
16

views

Report

Comments

Description

Transcript

2 - Cisco
本書の読み方
レッスン
4
Cisco ASAを
設置するには
設置と接続
Cisco ASAを実際に使えるように設定しま
しょう。まずはじめは、設定用のパソコン
を接続し、ウィザードによって初期設定を
実行します。
Cisco ASAの接続
2
セキュリティ警告が
表示されたら
ラウンチャーを表示する
インストーラーが
表示された
[Next]を
クリック
初期設定の途中でセキュリティ警告が
表示されることがあります。接続して
も問題はないので、
[続行]をクリック
して設定を続けましょう。
4
設置と接続
設定パソコンの環境に注意
Cisco ASAでは、初期設定時と運用時で接続方法が異なります。初
期設定時は設定用パソコンのみをGigabit Ethernet 1/2に接続し
ます。初期設定のウィザードが終了したら、FirePOWERやスイッ
Winodws 7/8.1に対応しています。ま
できる次世代セキュリティ対策
た、対応するバージョンのJavaがパ
[続行]を
クリック
ソコンにイストールされている必要が
チを接続しましょう。
あります。なお、Windows 10で動作
●初期設定時の接続
ポート1をイ
ンターネット
/WANに接続
「Cisco ASDM」は、2016年2月現在、
しない場合については、以下のURLを
◆ASA 5506-X
ポート2を設定用
パ ソ コ ン のLAN
ポートに接続
参照してください。
▼Windows 10での利用について
https://supportforums.cisco.
com/ja/document/12739296
3
FirePOWER接続がエラーに
なっても問題ない
Cisco ASDMをインストールする
ラウンチャーが
起動した
●運用時の接続
ポート1をイ
ンターネット
/WANに接続
❶「192.168.1.1」
と入力
GE MEGMTポー
トをスイッチの
「2」に接続
版
Cisco ASA
ポート2をスイッ
チの
「1」
に接続
◆スイッチ
❷[OK]を
クリック
スイッチの「3」を
管理用パソコンの
LANポートに接続
手順3の下の画面は、Cisco ASAに搭
載されているFirePOWERモジュール
(IPSやAMPなどの機能)に接続でき
ないというエラーです。初期設定用の
接続では、ケーブルがFirePOWERの
管理ポートに接続されていないために
エラーが表示されます。初期設定では、
つ な が ら な く て も 問 題 な い の で、
[Cancel]ボタンをクリックして設定
を続行しましょう。
接続エラーを知ら
せるダイアログボ
ックスが表示され
た
「Cisco ASDM」は英語版
設定用ツールのインストールと起動
Cisco ASAは「Cisco ASDM」と呼ばれる設定ツールによって設定
Cisco ASDMは、2016年2月時点では
します。設定用パソコンにインストールして、起動しておきましょう。
英語版のみが提供されています。設定
❸[Cancel]を
クリック
画面の表記などはすべて英語になりま
1
すが、機能名が中心となるため、英語
インストーラーを起動する
管理用パソコンでブラ
ウザーを起動しておく
に不慣れな場合でも問題なく設定でき
ます。
「https://192.168.1.1」に
アクセスしておくしておく
❶[Install ASDM
Launcher]をクリ
ック
❷[実行]を
クリック
4
Cisco ASDMがインストールされる
Cisco ASDMをイ
ンストールできた
Cisco ASDM
が起動した
間違った場合は?
設定環境を整えよう
Cisco ASAの設定には、設定用の接続
が必要なほか、Cisco ASDMをパソコ
手順1でCisco ASDMのダウンロード
ンにインストールする必要があります。
画面が表示されないときは、接続が正
複雑に思えるかもしれませんが、初回
しいかを確認します。それでも接続で
のみに必要な作業です。環境をきちん
きないときは、パソコンのIPアドレス
と整えないと、初期設定を実行するこ
が「192.168.1.XX」の範囲に設定さ
とができないので、確実に環境を整え
れているかどうかを確認しましょう。
ておきましょう。
10
11
ヒント
レッスンに関連した、さまざまな機能を
紹介したり、一歩進んだ使いこなしのテ
クニックまで解説します。
※ここで紹介している紙面はイメージです。本書の内容と一部異なる場合があります。
●用語の使い方
本文中では、
「Cisco ASA」
、
または「Cisco ASAシリーズ」
「
、Cisco ASA with FirePOWERシリーズ」のことを「Cisco
ASA」と記述しています。また、本文中で使用している用語は、基本的に実際の画面に表示される名称に則ってい
ます。
●本書の前提
本書は2016年3月時点の「Cisco ASAシリーズ」に基づいて内容を構成しています。また、
「Windows 8.1 Update」
に「Internet Explorer 11」や「Cisco ASDM」がインストールされているパソコンで、インターネットに常時接続
されている環境を前提に画面を再現しています。
「できる」
「できるシリーズ」は、株式会社インプレスの登録商標です。
Cisco、Cisco Systems、およびCisco Systems ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登
録商標または商標です。
その他、本書に記載されている会社名、製品名、サービス名は、一般に各開発メーカーおよびサービス提供元の登録商標または商標です。
なお、本文中には™および®マークは明記していません。
Copyright © 2016 Masashi Shimizu and Impress Corporation. All rights reserved.
本書の内容はすべて、著作権法によって保護されています。著者および発行者の許可を得ず、転載、複写、複製等の利用はでき
ません。
まえがき
標的型攻撃を代表とするセキュリティ被害が深刻な問題として取り上げられるようになってきま
した。巧妙なメールでマルウェアを送り込み、重要な情報をひっそりと盗み出すその手口は、パソ
コン用セキュリティ対策ソフトを中心とした今までの対策では対抗することが難しいとされ、実際
に数多くの企業がその対策と被害に苦しんでいます。
このような状況の中、その対策に本腰を入れ始めたのが世界的なネットワーク機器ベンダーと
して知られるシスコです。世界有数のセキュリティベンダーでもある同社が、これまで大企業向け
製品で培ってきたセキュリティ技術を中小の現場でも導入しやすい製品として市場に投入したこと
で、最新のセキュリティ被害に悩む多くの企業がその恩恵を受けられるようになりました。
本書は、このようなシスコのセキュリティ対策製品の中でも中心的な役割を担う「Cisco ASAシ
リーズ」について解説した小冊子です。最新のセキュリティ被害の状況をわかりやすく紹介したう
えで、その対策として統合セキュリティアプライアンスである「Cisco ASA」がどのような役割を
果たすのか、実際にどのように導入すればいいのかを解説しています。本書を手に取ることが、セ
キュリティ対策に悩んでいる企業経営者やIT担当者の助けになれば幸いです。
2016年3月 清水理史
目 次
できる 次世代セキュリティ対策 Cisco ASA版
● セキュリティ被害について知ろう <ネットワーク・セキュリティの被害> ······················ 2
❶
❷ セキュリティ対策について知ろう <ネットワーク・セキュリティの対策> ······················ 4
●
❸ Cisco ASAでネットワークを保護しよう <Cisco ASAでできること> ······················· 6
●
❹ Cisco ASAを設置するには <設置と接続> ······························································ 10
●
❺ Cisco ASAを設定するには <初期設定> ································································· 12
●
❻ トラフィックやアプリの可視化・制御を設定するには <トラフィック、AVC> ····· 16
●
❼ 侵入防御やマルウェア防御を設定するには <IPS、AMP> ····································· 20
●
レッスン
1
セキュリティ被害に
ついて知ろう
ネットワーク・セキュリティの被害
企業を狙ったセキュリティ被害が大きく取
り上げられるようになってきました。どの
ような被害が、どのような手口によって発
生しているのかを見てみましょう。
変化しつつあるセキュリティ被害
インターネット・セキュリティ
とネットワーク・セキュリティ
これまでのセキュリティ被害は、ウイルスなどの不正なプログラム
によってパソコンを誤動作させたりするものが多く、世間からの注
目を集めるために不特定多数を狙うものがほとんどでした。しかし、
できる次世代セキュリティ対策
最近では、犯罪行為としての側面がより強い「標的型攻撃」と呼ば
れる手口が増えてきました。特定の企業にターゲットを絞り込み、
これまでのセキュリティ対策は、Web
サイトからダウンロードしたファイル
やメールなどから感染するウイルスに
対抗するための「インターネット・セ
キュリティ」が主流でした。しかし、
最新の手口では、メールなどでパソコ
金銭を要求するに値する情報を盗み出すなど、より深刻な被害を与
ンをウイルスに感染させた後、さまざ
えるものが増えつつあります。
まな指令を外部から感染したパソコン
に送って情報を盗み取るなどの手口が
あります。このため、インターネット
と企業の出入り口で通信を監視・遮断
する「ネットワーク・セキュリティ」
も重要になっています。パソコンにセ
キュリティ対策ソフトをインストール
するといった従来型の対策だけでな
く、ネットワークを監視する新しい対
版
Cisco ASA
策が必要不可欠です。
求められる
マイナンバー対策
2016年1月から、社会保障や税の一部
の手続きなどでマイナンバーの運用が
企業の機密情報や社員情報、取
引先の情報入手など、特定の目
的を持ってサイバー攻撃を行う
開始されました。企業には、社員のマ
イナンバーを安全に保管する義務が発
生し、情報漏洩などの際には法による
罰則も定められています。このため、
悪質化するセキュリティ被害から大切
官公庁や公共サー
ビ ス、 企 業 な ど を
特定して攻撃する
2
な情報を守ることは、もはや企業規模
の大小を問わず不可欠となっています。
標的型攻撃の手口を知る
こんなメールが使われる
標的型攻撃は、文字通り、特定の企業を狙ったサイバー攻撃です。
業務メールなどを装って添付ファイルなどから攻撃用プログラム
(マ
ルウェア)をパソコンに感染させ、ファイアウォールに再侵入する
ためのバックドアを開けます。その後、直接侵入を試みたり、
「C&C
サーバー」経由で次の攻撃をしかけます。こうして、より深い階層
・Webで公開されている組織名を参照
して、その組織を送信元とする
・社内でよくある業務連絡メールを装う
イルではなく、
リンクを使ってマルウェ
ことで、重要なIDやパスワードを入手し、機密情報を盗み出します。
アを仕込む
また、盗み出す際に、改ざんWebサイトなどを経由させることもあ
・新規顧客や取引先の新規担当者など
ります。なぜなら、
後で破壊することで追跡を難しくできるからです。
1
・チェックをすり抜けるために添付ファ
ネットワーク・セキュリティの被害
にあるサーバーを攻撃したり、通信やメールの内容などを盗み見る
標的型攻撃では、以下のように非常に
巧妙なメールを使って侵入を試みます。
を装って数回メールをやり取りしてか
ら不正プログラムを送る
●サイバー攻撃を仕掛ける
C&Cサーバーって何?
C&Cは、Command and Controlの略
で、侵入したマルウェアに命令を出す
ためのサーバーのことです。マルウェ
アに特定の動作を指示したり、複数の
マルウェアを一斉に動作させて特定の
メールの添付ファイルなどにマ
ルウェアを仕込み送りつける
添付ファイルを開いたりリンク
先を開くとパソコンが感染する
サーバーを攻撃する際に使われます。
バックドアってなに?
●バックドアを作成する
バックドアは、
「裏口」のことです。通
常、企業のネットワークでは、インター
ネット側からの通信が内部のネット
ワークに通過しないように、ファイア
ウォールなどで通信が遮断されていま
すが、ここに不正な方法で穴を開け、
外部から通信可能な状態にします。
次回侵入のためのバッ
クドアを作成する
悪質化する手口で
被害も深刻に
●バックドアから侵入する
企業が持つ「情報」と引き換えに金銭
を要求したり、最近では、非常に巧妙
な手口で企業から重要な情報を盗み出
す深刻なセキュリティ被害が増えてい
ます。被害に遭えば、情報流出による
自社の強みや社会的信用を失うことに
なりかねません。また、大企業を攻撃
する足がかりとして小規模な取引先や
関連企業を先に攻撃する場合もありま
重要なデータなどを
盗み出す
バックドアが作成されると、IDや
パスワードがなくても入り込める
す。今や標的型攻撃は、すべての企業
にとって対策が不可欠です。
3
レッスン
2
セキュリティ対策に
ついて知ろう
ネットワーク・セキュリティの対策
企業によっては、すでにセキュリティ対策
をしている場合もあるでしょう。しかし、
それだけでは十分とは言えません。標的
型攻撃に備えた対策を整えましょう。
従来のセキュリティ対策だけでは不十分
対応が難しいゼロデイ攻撃
企業によってはファイアウォールを導入している場合もあるでしょ
う。ただし、標的型攻撃では、メールやWebなどのファイアウォー
WindowsなどのOSやサーバーソフト
ウェアは、リリース後に発見された不
できる次世代セキュリティ対策
ルを通過可能な通信が利用されるため、それだけでは防ぐことが困
具合を修正するために更新プログラム
難です。通常、内部から外部への通信も許可されるため、この通信
を配信しています。このような更新プ
がバックドアやC&Cサーバーとの通信として使われることもありま
ログラムが提供される前に、発見され
た不具合を悪用してシステムを攻撃す
す。もちろん、これらの通信を遮断することもできますが、ルール
るのが「ゼロデイ攻撃」です。無防備
の設定が複雑で手間もかかります。セキュリティ対策ソフトを導入
な状態で攻撃を受けるため、非常に危
することも重要ですが、定義ファイルのアップデートが遅れてゼロ
険な状況と言えます。
デイ攻撃の対象となったり、まだ検知できない未知のマルウェアな
どにも対応しきれません。
サーバーやスマートフォンが
未対策の場合もある
版
Cisco ASA
パソコンにはセキュリティ対策がイン
ストールされている場合でも、社内に
あるサーバーやスマートフォン、タブ
レットはどうでしょうか? このよう
ファイアウォールを導入して
いても標的型攻撃を防げない
な未対策の機器がある場合は、そこか
ら攻撃を受ける可能性があります。個
別の対策だけでは、すべてを網羅する
ことは難しいと言えるでしょう。
添付ファイルのチェック
ができない
ネットワーク上のすべての
マルウェアは駆除できない
4
バックドアを作成されてC&C
サーバーとの通信に使われる
標的型攻撃を防ぐにはより高度な対策が必要
出口対策が重要
標的型攻撃のような最新の手口に対抗するには、今までとは違う、高
度な対策が必要です。具体的には、以下のような複数のセキュリティ
標的型攻撃の手口では、内部のパソコ
ンをマルウェアに感染させた後、外部
対策機能をすべて搭載しているCisco ASAシリーズのようなセキュ
のC&Cサーバーと通信を確立します。
リティアプライアンスをネットワークに設置することが重要です。
このため、外部から内部への通信を
チェックするだけでなく、内部から外
●直接の侵入を防ぐ
2
従来のファイアウォールに加えて、IPS(詳しくはレッスン❸参照)
対策が重要になります。このような内
と呼ばれる機能によって、インターネットから入ってくる通信を
部から外部への通信に対して施すセ
チェックし、不正な攻撃を自動的に検知して遮断
●添付ファイルのチェック
ネットワーク・セキュリティの対策
部への通信をチェックするIPSなどの
キュリティ対策を一般的に「出口対策」
と呼びます。
メールの添付ファイルを自動的にチェックし、マルウェアを自動的
に駆除。標的型攻撃の第一歩を阻止
●不審なWebサイトへのアクセスを遮断
URLをチェックして不審なWebサイトへのアクセスを遮断。標的型
攻撃のメールにマルウェアダウンロード用のURLがあった場合で
世界中のセキュリティ情報を
収集
シスコでは、世界中のシスコ製品から
送られてくる最新の脅威情報を収集・
も、そのアクセスを防止
分 析 す る「Cisco CSI(Collective
●ネットワーク全体のマルウェア対策
Security Intelligence)
」というセキュ
パソコンだけでなく、サーバーやスマートフォンなど、ネットワー
リティ基盤を構築しています。世界中
の何億もの通信を600名以上の専門家
クにつながるすべての機器のマルウェア対策が可能
が常時解析しているため、最新の攻撃
●内部からの通信もチェック
にも迅速に対応可能です。
バックドアを使った不正な通信や、マルウェアに感染した端末が内
部から勝手に送信する情報もIPSによって遮断
添付ファイルを自動的に
チェックして駆除する
従来型セキュリティ対策だけで
は守り切れない
最新のセキュリティ被害から身を守る
ネットワーク上でマル
ウェアを駆除する
には、マルウェアのダウンロードやメー
ルの添付ファイルをチェックするイン
ターネット・セキュリティと、ネット
ワークを流れる通信を監視して不正な
アクセスを遮断するネットワーク・セ
キュリティの2つの対策を組み合わせ、
多段的な対策をすることが重要です。
しかし、単に多段的な対策をするだけ
でなく、それぞれの機能が最新の攻撃
に 対 応 できるかど うか も 重 要 で す。
Cisco ASAのような高度な機能を備え
バックドアを使った不正な
通信を遮断する
たセキュリティアプライアンスの導入
を検討しましょう。
5
レッスン
3
Cisco ASAでネット
ワークを保護しよう
Cisco ASAでできること
Cisco ASAを使うと、どうしてネットワー
クを保護できるのでしょうか? ここで
は、Cisco ASAの特長と搭載されている
機能の詳細を解説します。
Cisco ASAの特長
Snort って何?
シスコから発売されているASA with FirePOWERシリーズ(以下
Cisco ASA)は、
IPSやアンチウイルス/マルウェア機能、
次世代ファ
Snortは、オープンソースで開発が進め
られているIPS(Intrusion Prevention
できる次世代セキュリティ対策
イアウォールを備えた統合型セキュリティアプライアンスです。複
System:侵入防止機能)です。検知
数の機能で多段的に対策することで、標的型攻撃などの高度な最新
できる通信のパターン(シグネチャ)
の攻撃を防ぐことができます。数あるセキュリティアプライアンス
が豊富で、さまざまな通信プロトコル
に対応しており、開発も容易なことか
のなかでも、Cisco ASAが高く評価されている理由は、ネットワー
ら、さまざまなセキュリティ機器で採
ク機器メーカーとして長年培ってきた信頼性の高さと技術力の高
用されています。
さ、そして企業が必要とする機能を適切に備えている点にあります。
業界標準のIPS機能で攻撃を検知
「Snort(スノート)
」と呼ばれる業界標準のエンジンをIPS機能に採用。
シスコが配信する最新の推奨ルールセットを自動で適用することで、常に
最新の脅威に対応できる。
未知のマルウェアも
検知できる
オプションとして提供されている専用
集中管理・解析サーバー(FireSIGHT
版
Cisco ASA
Management Center)を利用すると、
未知のマルウェアを検知することがで
クラウド連携のマルウェア対策
きます。たとえば、
Webアクセスやメー
ル受信時に、一般的なファイルとは異
シスコの脅威対策チームが世界中から収集したビッグデータを元に更新さ
れたクラウドデータベースを使用するため、最新のマルウェアに対応可能。
シグネチャレス検知で高速な処理が可能なうえ、未知のマルウェアにも対
応可能。
なる疑わしいファイルを発見すると、
サンドボックスと呼ばれる解析用の仮
想的な閉鎖実行環境にファイルを転送
し、そこでファイルを実行して動作を
解析します。また、過去に検知した未
アプリケーション利用やWebサイト閲覧の可視化と制限
海外製品では判断できないこともある国内のWebサイトにも対応。シス
コが分類した豊富かつ的確なカテゴリーから、企業ポリシーに応じて利用
可能なWebサイトやアプリを制御できる。
知のファイルを記憶し、後からマル
ウェアであることがわかったときに通
知することができます。さらに、マル
ウェアの感染状況や拡散状況をレポー
トとして表示できるため、感染時の迅
速な対応にも効果的です。
リアルタイムモニターとレポーティング
リアルタイムのモニターに加えて、豊富なレポートを生成可能。報告用に
利用アプリケーションや攻撃/マルウェア検知の統計情報を作成したり、
法令対策としてイベントをsyslog転送して長期保存も可能。
6
IPS:双方向の通信をチェックして遮断
IDSとは何が違うの?
IPS(Intrusion Prevention System:侵入防止機能)は、ネット
ワークを通過する通信をリアルタイムにチェックし、そのパターン
を解析して、警告や遮断などの特定の処理を実行する機能です。た
とえば、外部からの攻撃としてよく知られる方法の通信を検知した
場合に、その通信を自動的に遮断します。また、ネットワーク内部
がありますが、IDSでは不正な通信を
検知することしかできません。このた
め、 管 理 者 が ロ グ な ど を 定 期 的 に
3
チェックし、手動で不正な通信を遮断
する必要があります。一方、IPSでは
の通信目的で、内部から外部に対して不正に行われる通信も検知し
検知だけでなく、遮断まで自動的に実
て遮断できます。
行できます。
Cisco ASA
の機器がマルウェアに感染した場合に、情報漏洩やC&Cサーバーと
IPSと似た機能として、IDS(Intrusion
Detection System:侵入検知機能)
で
で
き
る
こ
と
IPSで内部から外部への不正
通信も検知して遮断できる
AMP:Webやメールのマルウェアを駆除
スマートフォンやタブレット
のマルウェア対策にも有効
AMP(Advanced Malware Protection)は、Cisco ASAに組み
込まれたマルウェア対策機能です。Webサイトからのダウンロード
やメールの受信時に、ファイル(添付ファイル)を自動的にチェッ
クし、マルウェアであった場合に警告、排除することができます。
パソコンにインストールするセキュリティ対策ソフトと異なり、ネッ
トワーク上で危険を排除できるため、機器にマルウェアがたどり着
AMPは、ネットワーク上でマルウェア
を検知・駆除するため、Cisco ASAを
通して通信するすべての機器に対して
機能します。パソコンだけでなく、ス
マートフォンやタブレット、サーバーな
ど、さまざまな機器のセキュリティ対策
として効果的です。
く前にネットワーク上で遮断できます。
AMPでWebやメー
ルのマルウェアを
ネットワーク上で
駆除する
次のページに続く
7
次世代ファイアウォール:不正なWeb・アプリを遮断
企業に合わせて
ポリシーを設定できる
次世代ファイアウォールは、従来のファイアウォールの機能を発展
させたセキュリティ機能です。従来のファイアウォールでは、通信
に使うポート番号(たとえばWebアクセスならポート80)を個別
に指定して通信可否を設定する必要がありましたが、次世代ファイ
アウォールではWebサイトのURLやアプリを指定して通信の可否を
設定できます。マルウェアなどの感染経路として使われる可能性が
次世代ファイアウォールでは、
「アル
コール」や「オークション」など、カ
テゴリーごとにアクセスを禁止する
Webサイトを指定できます。どのWeb
サイトへのアクセスを禁止するかは、
企業のポリシーや業務内容によって異
なるため、Cisco ASAの設定によって、
多いWebサイトへのアクセスをブロックできるほか、業務と関係の
自由にカスタマイズ可能です。カテゴ
ないWebサイトやアプリの利用も禁止できます。
リーだけでなく、評価でも設定できる
ため、同じアルコールのカテゴリーで
できる次世代セキュリティ対策
も危険性の高いWebサイトだけを遮断
することもできます。
次世代ファイアウォー
ル で 不 審Webサ イ ト
やアプリを禁止する
版
Cisco ASA
Cisco ASAのラインアップ
Cisco ASAには、用途や性能の違いによっていくつかのラインナッ
プがあります。なかでも中小規模の環境向けの製品となるCisco
ASA5500-Xシリーズには、以下の4つのモデルがあります。
8
◆5506-X
コンパクトなサイズで設置場所を選
ばないデスクトップタイプのモデル
◆5506W-X
5506-Xをベースに無線LANアク
セスポイント機能を搭載したモデル
◆5506H-X
5506-Xをベースに工場などでの利
用にも対応できる高耐久性を実現し
たモデル
◆5508-X(上)/5516-X(下)
より大規模な環境にも対応可能な、
ラックマウントに対応した高性能モ
デル
使う機能ごとに選択できるライセンス
ライセンスが切れたら
どうなるの?
Cisco ASAのライセンスは、ユーザー数ごとではなく、利用する機
能ごとに提供されています。URL(次世代ファイアウォール)
、
ライセンスを適用しなかったり、適用
したライセンスの 期 限 が 切 れると、
IPS、AMPのそれぞの機能の組み合わせによって5種類のライセン
Cisco ASAの一部の機能が停止しま
スが用意されています。必要な機能のライセンスを必要な年数分購
す。禁止したURLへのアクセスができ
るようになってしまったり、マルウェ
入しましょう。
3
アがチェックされずに通過したりする
●Cisco ASAのライセンス
「TAMC」や「AMP」等を
指定する
Cisco ASA
Cisco ASAのアプライアンスの種類を
指定する(例:5506H、5516など)
ため、外部からの攻撃に対して無防備
な状態になってしまいます。
L-ASA-55XX-XX-XYR
で
で
き
る
こ
と
期間(1年または3年)を
指定する
Cisco ASA導入の流れを確認
必要な機能を好みの順番で
設定できる
Cisco ASA導入の流れを確認しておきましょう。機器の接続だけで
なく、初期設定やライセンスの適用、IPSやAMP、次世代ファイア
ウォールなどの各機能の有効化といった設定が必要になります。
ここで紹介した設定の流れは、あくま
でも一例に過ぎません。接続や初期設
定、ライセンスの登録、基本設定など
は、はじめに実行しておくことをおす
❶Cisco ASAの接続
すめしますが、そのほかの機能につい
ては必要な機能だけを利用したり、異
なる順番で設定してもかまいません。
❷Cisco ASAの初期設定
利用するライセンスの種類によって
も、使える機能が異なるので、柔軟に
対応しましょう。
❸ライセンス適用
❹基本設定
Cisco ASAを導入する
準備を整えよう
❺アプリケーション可視化・制御
Cisco ASAは、IPSやAMP、次世代ファ
イアウォールといった複数の機能に
❻IPSの設定
よってネットワークを保護する機器で
す。機能ごとに役割が異なるため、自
社に必要な機能を確認し、その機能を
❼AMPの設定
利用するための設定をしておきましょ
う。もちろん、ライセンスも必要です。
Cisco ASAのライセンスは、ユーザー
❽URLフィルタ
数ではなく、利用する機能ごとに設定
されているため、企業が成長し、ユー
ザー数が増えたとしても費用的な負担
❾レポートの参照
が増すことはありません。
9
レッスン
4
Cisco ASAを
設置するには
設置と接続
Cisco ASAを実際に使えるように設定しま
しょう。まずはじめは、設定用のパソコン
を接続し、ウィザードによって初期設定を
実行します。
Cisco ASAの接続
設定パソコンの環境に注意
Cisco ASAでは、初期設定時と運用時で接続方法が異なります。初
期設定時は設定用パソコンのみをGigabit Ethernet 1/2に接続し
「Cisco ASDM」は、2016年2月現在、
Winodws 7/8.1に対応しています。ま
できる次世代セキュリティ対策
ます。初期設定のウィザードが終了したら、FirePOWERやスイッ
た、対応するバージョンのJavaがパ
チを接続しましょう。
ソコンにイストールされている必要が
●初期設定時の接続
しない場合については、以下のURLを
ポート1をイ
ンターネット
/WANに接続
あります。なお、Windows 10で動作
◆ASA 5506-X
ポート2を設定用
パ ソ コ ン のLAN
ポートに接続
参照してください。
▼Windows 10での利用について
https://supportforums.cisco.
com/ja/document/12739296
●運用時の接続
ポート1をイ
ンターネット
/WANに接続
GE MEGMTポー
トをスイッチの
「2」に接続
版
Cisco ASA
ポート2をスイッ
チの「1」に接続
◆スイッチ
スイッチの「3」を
管理用パソコンの
LANポートに接続
「Cisco ASDM」は英語版
設定用ツールのインストールと起動
Cisco ASAは「Cisco ASDM」と呼ばれる設定ツールによって設定
Cisco ASDMは、2016年2月時点では
します。設定用パソコンにインストールして、起動しておきましょう。
英語版のみが提供されています。設定
画面の表記などはすべて英語になりま
1
すが、機能名が中心となるため、英語
インストーラーを起動する
管理用パソコンでブラ
ウザーを起動しておく
に不慣れな場合でも問題なく設定でき
ます。
「https://192.168.1.1」に
アクセスしておくしておく
❶[Install ASDM
Launcher]をクリ
ック
❷[実行]を
クリック
間違った場合は?
手順1でCisco ASDMのダウンロード
画面が表示されないときは、接続が正
しいかを確認します。それでも接続で
きないときは、パソコンのIPアドレス
が「192.168.1.XX」の範囲に設定さ
れているかどうかを確認しましょう。
10
2
セキュリティ警告が
表示されたら
ラウンチャーを表示する
インストーラーが
表示された
[Next]を
クリック
初期設定の途中でセキュリティ警告が
表示されることがあります。接続して
も問題はないので、
[続行]をクリック
して設定を続けましょう。
4
設置と接続
[続行]を
クリック
3
FirePOWER接続がエラーに
なっても問題ない
Cisco ASDMをインストールする
ラウンチャーが
起動した
❶「192.168.1.1」
と入力
❷[OK]を
クリック
手順3の下の画面は、Cisco ASAに搭
載されているFirePOWERモジュール
(IPSやAMPなどの機能)に接続でき
ないというエラーです。初期設定用の
接続では、ケーブルがFirePOWERの
管理ポートに接続されていないために
エラーが表示されます。初期設定では、
つ な が ら な く て も 問 題 な い の で、
[Cancel]ボタンをクリックして設定
を続行しましょう。
接続エラーを知ら
せるダイアログボ
ックスが表示され
た
❸[Cancel]を
クリック
4
Cisco ASDMがインストールされる
Cisco ASDMをイ
ンストールできた
Cisco ASDM
が起動した
設定環境を整えよう
Cisco ASAの設定には、設定用の接続
が必要なほか、Cisco ASDMをパソコ
ンにインストールする必要があります。
複雑に思えるかもしれませんが、初回
のみに必要な作業です。環境をきちん
と整えないと、初期設定を実行するこ
とができないので、確実に環境を整え
ておきましょう。
11
レッスン
5
Cisco ASAを
設定するには
Cisco ASAを自社の環境で使えるように
初期設定していきましょう。ウィザードに
従って設定を進めるだけなので、はじめ
てでも簡単に設定できます。
初期設定
1
必要に応じて
カスタマイズする
[Startup Wizard]を起動する
管理用パソコンでCisco
ASDMを起動しておく
❶[Wizards]を
クリック
❷[Startup Wizard]を
クリック
ここでは、シンプルな構成で設定する
ために、Cisco ASAのホスト名など、
できる次世代セキュリティ対策
一部の設定は標準値のままで変更して
いません。また、IPアドレスなども例
として一般的な値で設定しています。
社内のルールなどがある場合は、それ
に 合 わ せ て ホ スト 名 やIPアド レ ス、
DHCPサーバーなどの設定を変更しま
しょう。
2
工場出荷時の設定に変更を加える
[Startup Wizard]
が起動した
❶ここを
クリック
手動で設定することもできる
Cisco ASAでは、ウィザードを使わず
に初期設定をすることもできます。設
版
Cisco ASA
定に慣れている場合は、手順1の画面
で、
[Configuration]ボタンをクリッ
❷[Next]を
クリック
クして、メニューから設定したい項目
を選んで、各項目を手動で設定しま
しょう。
3
ホスト名を設定する
ホスト名やドメイ
ン名を入力する画
面が表示された
❶ホスト
名を入力
❷[Next]を
クリック
[ O u t s i d e
I n t e r f a c e
Configuration]
の画面が表示され
たら、[Next]を
クリックする
12
間違った場合は?
手順2以降で、ウィザードの選択項目
を間違えたときは、
[Back]ボタンを
クリックして、前の項目に戻って値を
修正します。
4
そのほかのインターフェイスを設定する
インターフェイス
の設定画面が表示
された
LAN側のIPアドレスはWAN
側と別の範囲に設定する
すでに設置されているインターネット
接 続 用 の ル ー タ ー の 配 下 にCisco
ASAを接続する場合は、インターネッ
ここではLAN側
のIPアドレスを
変更する
ト接続用のルーターがDHCPサーバー
❶[G i g a b i t
Ethernet1/2]
をクリック
「192.168.1.XX」
「255.255.255.0」
)
。
5
初期設定
❷[Edit]を
クリック
機能によって配布するIPアドレスが
WAN側のIPアドレスになります(例
Cisco ASAのWAN側とLAN側では、
異なる範囲のIPアドレスを設定する必
要 が あ る た め、 上 位 の ル ー タ ー が
「192.168.1.XX」の範囲となる場合は、
手順4のようにLAN側は「192.168.10.
XX」など別の範囲を割り当てる必要
があります。どの範囲にするかは、上
位ルーターのアドレスを考慮して決め
ましょう。
❸「192.168.10.1」
と入力
❹[OK]を
クリック
5
スタティックルートは
必要に応じて設定する
ルートを設定する
ルート設定の画面
が表示された
ネットワーク上に複数のルーターが設
こ こ で はDHCP
からデフォルトル
ートを取得するの
で、設定はそのま
まにする
ティックルートの設定で、どの通信時
定されている場合は、手順5のスタ
にどのルーターを経由してインター
ネットに接続するのかを指定できま
す。インターネット接続用のルーター
が1台しかない場合は、特に設定は不
[Next]を
クリック
要です。
次のページに続く
13
6
環境に合わせて配布する
IPアドレスの範囲を設定する
DHCPサーバーを設定する
DHCPサーバーの
設定画面が表示さ
れた
DHCPサーバーで配布するIPアドレス
の範囲は、利用する環境によって変更
できます。ここでは、
「192.168.10.5」
❶「192.168.10.5」
と入力
から「192.168.10.254」まで 配 布し
❷「192.168.10.
254」と入力
当てたい機器用に確保しておくことも
ていますが、数を少なくすることで、
サーバーなど固定のIPアドレスを割り
できます。
❸[Next]を
クリック
できる次世代セキュリティ対策
7
NAT機能利用の設定を行う
NAT/PAT機能って何?
NAT機能利用の
設定画面が表示
された
NAT/PATは、WANポートに割り当て
られたIPアドレス、および通信に利用
するポートと、LANポート側に接続さ
❶ここを
クリック
れた端末のIPアドレス、および通信に
利用するポートを相互に変換する機能
です。インターネットに接続する場合
は、この機能を有効にするのが一般的
❷ここを
クリック
です。
版
Cisco ASA
❸[Next]を
クリック
8
Cisco ASDM管理IPを設定する
IPアドレスの設定
画面が表示された
❶ここを
クリック
管理用端末を制限できる
❷[Add]を
クリック
手順8の画面では、Cisco ASAの設定
を可能にする端末のIPアドレスの範囲
を指定しています。ここでは、
「192.
❸ここをクリッ
クして[HTTPS/
ASDM]を選択
❹ここをクリック
して[inside]を選択
168.10.0」を指定することで、LAN側
のすべての端末から設定を可能にして
いますが、この値を変更することで、
特定の端末からのみ設定を可能にする
こともできます。
❺「192.168.10.0」
と入力
❻「255.255.255.
0」と入力
❼[OK]をクリック
❽[Next]を
クリック
間違った場合は?
初期設定を間違えてしまったときは、
このレッスンの手順をはじめからやり
直すことで、ウィザードをもう一度、
実行することができます。
14
9
管理用のIPアドレスとGatewayを設定する
管理用のIPアドレ
ス とGatewayの
設定画面が表示さ
れた
FirePOWERのアドレスを
設定する必要がある
手順9の設定は、Cisco ASAに内蔵さ
れているFirePOWERモジュール用の
IPアドレスです。ここで設定したIPア
ドレスを利用して、IPSやAMP、次世
❶「192.168.10.2」
と入力
代ファイアウォールなどを設定した
5
初期設定
り、その機能を使います。
❷「255.255.255.
0」と入力
❸「192.168.10.1」
と入力
接続を変更する
❹[Next]を
クリック
10
ウィザードが完了したら、レッスン❹
を参考に、Cisco ASAの配線を変更し
自動管理機能を設定する
ます。FirePOWERモジュールにケー
ブルを接続し、別途スイッチを用意し
Auto Update
Serverの設定
画面が表示さ
れた
て、そこにパソコンなどの端末を接続
しましょう。なお、本書では、Cisco
ASAのIPア ド レ ス を 標 準 設 定 の
「192.168.1.1」 か ら「192.168.10.1」
[Next]を
クリック
Smart Call Home
のオプション管理
機能の設定画面
が 表 示 さ れ た ら、
[Next]をクリッ
クする
に変更しています。このため、
ウィザー
ド完了後、パソコンのIPアドレスと
Cisco ASAのIPアドレスの範囲が変更
されるため、一時的にインターネット
に 接 続 で き な い 状 態 に な り ま す。
Cisco ASAを起動後、つながらない場
合はパソコンも再起動してみましょう
(それでもつながらないときはIPアドレ
11
スを確認)
。
各種設定を確認する
設定内容がCLI形
式で表示された
❶内容を確認
❷[Finish]を
クリック
ウィザードでCisco ASAの
初期設定を行う
Cisco ASAを利用するには、本体のIP
アドレスやネットワーク上のパソコン
にIPアドレスを配布するためのDHCP
の設定、各種セキュリティ機能を使う
ためのFirePOWERのIPアドレスなど、
さまざまな設定が必要です。各項目を
個別に設定することもできますが、
ウィ
Preview CLI
Commands が
表 示 さ れ た ら、
[Send]をクリッ
クする
ザードを使えば必要な項目を順番に設
定できます。各項目を注意深く確認し
ながら、自社の環境に合わせて設定し
ておきましょう。
15
レッスン
6
トラフィックやアプリの可
視化・制御を設定するには
トラフィック、AVC
Cisco ASAの各種セキュリティ機能を有
効化しましょう。ライセンスを適用したり、
ポリシーを作成して、通信内容をチェック
できるようにします。
ライセンスの適用
利用するすべての
ライセンスを登録する
IPSやAMP、次世代ファイアウォールの機能を使うには、ライセン
スの登録が必要です。発行されたライセンスを登録しましょう。
できる次世代セキュリティ対策
1
ライセンスは、9ページで解説したよ
うに契約形態によって異なります。す
べての機能を利用するには、
「Control
ライセンスの登録画面を表示する
(AVC+IPS)
」
「AMP」
「URL」 の3つ
のライセンスが必要です。ここではひ
管理用パソコンでCisco
ASDMを起動しておく
❶[Configuration]
をクリック
❷[192.168.10.1]
をクリック
とつのライセンスしか登録していませ
んが、同様に他のライセンスも登録し
ておきましょう。
ライセンスをコピーするには
ライセンスは、
「.lic」というファイル
で提供されます。そのままでは開くこ
とができないので、ワードパッドを起
版
Cisco ASA
動し、
[ファイル]メニューの[開く]
から[すべてのファイル]を選択して
読 み 込 み ま す。 フ ァ イ ル 内 の「--❸[A S A F i r e P O W E R
をクリック
Configuration]
❹[Licenses]を
クリック
❺[Add New Licenses]
をクリック
BEGIN」と「--- END」に挟まれた部
分を選択し、コピーして貼り付けま
しょう。
2
ライセンスを貼り付ける
Add Feature License
の画面が表示された
❶ライセンスキー
を控えて申請する
❷送られてきたライ
センスを貼り付ける
❸[Submit License]
をクリック
3
この部分を選択して
貼り付ける
ライセンスが適用される
間違った場合は?
手順3で、ライセンスが適用できない
ライセンスが
適用された
ときは、正確に内容がコピーされてい
ない可能性があります。もう一度、
ファ
イルを開いて、コピーし直してから貼
り付けましょう。
16
検査対象トラフィックの設定
FirePOWER停止時の動作を
選べる
Cisco ASAを通過するすべての通信がFirePOWERモジュールを経
由するように設定します。これにより通信の検査が有効になります。
1
Add Service Policy Ruleのウイザード画面を
表示する
通 信をどう扱うかを設 定できます。
[Permit traffic]を選ぶと、検査機能
が働かなくてもインターネット接続が
6
可能になります。
[Close traffic]を
トラフィック、
管理用パソコンでCisco ASDMを起動して、[Configuration]-[Firewall][Service Policy Rules]をクリックして[Service Policy Rules]を表示しておく
手順2の操作❺∼❻では、もしもFire
POWERモジュールが停止した際に、
選ぶと、通信が遮断されます。より安
全性を重視するなら、検査されない通
❶[Add]を
クリック
信を許可すべきではないので[Close
traffic]を選ぶこともできます。
❷[Add Service Policy
Rules]
をクリック
C
V
A
2
検査対象トラフィックを設定する
Add Service
Policy Ruleの画
面が表示された
❶ここを
クリック
❷[Next]を
クリック
設定は必ず保存する
Cisco ASDMでは、設定を変更しただ
❸ここを
クリック
❹[Next]を
クリック
けでは、Cisco ASAにその設定が適用
されません。必ず画面下の[Apply]
を ク リッ ク し、 表 示 さ れ た 画 面 で
[Apply Changes]をクリックして設
定を有効化しましょう。このページ以
降で紹介する他の設定も同様です。
❺[ASA FirePOWER
Inspection]をクリック
❻ここを
クリック
❼[Finish]を
クリック
3
[Apply Changes]を
クリック
設定が反映される
検査対象トラフィッ
クが設定された
次のページに続く
17
アプリケーション可視化の設定
可視化されたアプリケーショ
ンを確認するには
Cisco ASAでは、通信を検査し、その通信元アプリを可視化できます。
この機能を有効にすると、通信状況を詳細に把握できるようになります。
1
アプリケーションの可視化を設定する
と、以後、ネットワークに接続された
パソコンなどの機器が、いつ、どこ宛
標準のポリシーを編集する
てに、どのような通信をしたのかを確
認 で き ま す。 以 下 の 手 順 を 参 考 に
Cisco ASDMを起動して、[Configuration]-[ASA FirePOWER
Configuration]-[Access Control Policy] を ク リ ッ ク し て
[Access Control Policy]画面を表示しておく
❶[ASA FirePOWER]
をクリック
チェックしてみましょう。
できる次世代セキュリティ対策
[M o n i t o r i n g]-[A S A F i r e
POWER Monitoring]-[Real
Time Eventing]をクリックして
[Real Time Eventing]画面を表
示しておく
❷ここをクリック
❶確認するイベントに
マウスを合わせる
2
トラフィックのコネクションログを
出力するルールを追加する
Policyの設定画
面が表示された
❶ここをダブルクリックして[Corporate
Access Policy]と入力
❷[Add Rule]
をクリック
❷[View Details]
をクリック
版
Cisco ASA
イベントログが
表示された
❸ルール名を入力
❹[Logging]を
クリック
❺ここをクリック
❻[Add]をクリック
3
ルールが追加される
Access Control Policy
の画面に戻った
❶[Store ASA FirePOWER
Changes]をクリック
❷[Apply ASA FirePOWER
Changes]をクリック
間違った場合は?
設定内容を間違えたときは、手順3で
❸[Apply All]を
クリック
18
[Cancel]ボタンをクリックし、もう
一度、設定をやり直します。
特定のアプリケーションを禁止する
いろいろなアプリや
サービスを禁止できる
Cisco ASAでは、特定のサービスやアプリを指定して利用を禁止で
きます。例として
「2ちゃんねる」
へのアクセスを禁止してみましょう。
1
ここでは、
「2ch」で検索して「2ちゃ
んねる」へのアクセスを禁止しました
が、他のキーワードで検索したり、一
Add Ruleの画面を表示する
覧 か ら 選 択 す る こ と で、 メ ッ セ ン
ジャーやゲームなどのさまざまなアプ
前ページの手順1と同様
の操作を行っておく
❶[Add Rule]
をクリック
6
リやサービスを禁止できます。
トラフィック、
ここでは2ちゃんねるの
閲覧を禁止する
ブロック状況を確認するには
禁止したアプリケーションの利用状況
は、Cisco ASDMから確認できます。
C
V
A
[ H o m e ]-[ A S A F i r e P O W E R
2
Reporting]をクリックすると、ブロッ
閲覧を禁止するWebサイトを登録する
Add Ruleの画面
が表示された
❶ルール
名を入力
❷ここをクリック
して[Block]を選択
ク状況がグラフ形式で表示されます。
❸[Applications]
をクリック
❹[2ch]と入力
してvを押す
❺[Add to Rule]
をクリック
ブロック状況が表示される
❻[Add ]を
クリック
❼[Logging]を
クリック
❽ここを
クリック
❾[Add]を
クリック
3
ルールが追加される
アプリケーションごとに利用の
監視や禁止ができる
Cisco ASAでは、ポリシーにさまざま
なルールを追加することで、さまざま
Corporate Access Policyの
画面に戻った
❶[Store ASA FirePOWER
Changes]をクリック
❷[Apply ASA FirePOWER
Changes]をクリック
[Apply Access Control Policy]の画面が
表示されたら、[Apply All]をクリックする
な機能を利用できます。ここで紹介し
たルールを設定すれば、ネットワーク
上の端末がどのような通信をしている
のかを判断したり、特定のアプリケー
ションやサービスを使えないように制
限することもできます。危険なアプリ
ケーションの利用や仕事の妨げになる
サービスの利用を禁止するなど、必要
に応じて設定しましょう。
19
レッスン
7
侵入防御やマルウェア
防御を設定するには
IPS、AMP
Cisco ASAで、IPSとAMPを有効にしま
しょう。通信を監視して、外部からの攻
撃や内部からの不正な通信を遮断したり、
マルウェアを発見・駆除できます。
IPSの設定
IPSシグネチャの
アップデートが重要
IPSを有効化しましょう。ポリシーにIPSのルールを設定する前に、
アップデートと[IPS Variables]の設定が必要です。
できる次世代セキュリティ対策
1
IPSでは、シグネチャと呼ばれる定義
ファイルによって、通信内容が攻撃か
どうかを判断します。このため、最新
IPSシグネチャの自動アップデートを設定する
の攻撃に対抗するには、シグネチャの
アップデートが必須です。本書で紹介
Cisco ASDMを起動し、
[Configuration]-[ASA FirePOWER Configuration]
-[Updates]をクリックして[Updates]画面を表示しておく
❶[Rule Updates]
をクリック
❷ここを
クリック
している手順のように、毎日、自動的
にアップデートされるように設定して
おきましょう。
❸[Import]を
クリック
IPSライセンスが必要
❹ここをクリッ
クしてチェック
マークを付ける
IPSを有効にするには、IPSのライセン
スが必要です。あらかじめ対象となる
ライセンスを契約して、レッスン❻を
版
Cisco ASA
❺[▼]をクリックして、
アップデートのタイミ
ングと時間を設定
❻ここをクリックしてチ
ェックマークを付ける
2
参考にIPSライセンスを有効化してお
きましょう。
❼[Save]を
クリック
ネットワークオブジェクトを作成する
[ Object Management ]-[Network]-[Individual Objects]
をクリックして[Individual Objects]画面を表示しておく
❶
[Add Networks]をクリック
❷ネットワーク名を入力
間違った場合は?
❸保護対象ネットワー
クサブネットを入力
手順2で、ネットワークオブジェクト
のアドレスを間違えたときは、作成さ
❹
[Add]
をクリック
❺[Store ASA Fire
POWER Changes]
をクリック
20
れたネットワークオブジェクトのペン
マークをクリック後、間違えて登録し
たアドレスを指定して削除し、もう一
度、登録し直します。
3
IPS Variablesを設定する
[ Object Management ]-[Valuable Set]をク
リックして[Valuable Set]画面を表示しておく
IPS Variables って何?
❶ここを
クリック
Cisco ASAのIPSで 採 用されている
Snortエンジンでは、検査を実行する
ときに必要な各種パラメータを、
「IPS
Variables」と呼ばれる変数によって
定義します。このため、
対象となるネッ
7
トワークなどを指定するには、ネット
❷[Inside Network]
をクリック
❸[Include]を
クリック
❹[Save]を
クリック
ワークオブジェクトを設定し、それを
IPS、AMP
Edit Variable Set Default Setの画面が表示されたら、
[HOME_NET]のペンマークをクリックする
IPS Variablesとして登録しています。
ポリシーとルールの
設定を行う
IPSを有効にするには、手順3で登録
したIPS Variablesを使ってIPSルール
を設定する必要があります。
[Intrusion
Policy]
[
- Intrusion Ploclicy]
[
- Create
Policy]で[Connectivity Over Security]
を ベ ー ス ポリシ ー に、
[Drop when
Inline]にチェックマークを付けて新
しいポリシーを作成します。その後、
Edit Variable Set Default Setの画面が表示されたら、
[Store ASA FirePOWER Changes]をクリックする
レッスン❻を参考にして、
ポリシー(本
書ではCorporate Access Policy)の
編集画面を表示し、18ページの「アプ
AMP(マルウェア対策)の設定
リケーション可視化」で作成したルー
ル(Application Monitoring)を編集
AMPを有効化し、受信メールの添付ファイルやWebからダウンロー
します。
[Inspection]
タブで
[Intrusion
ドされたファイルのマルウェアを検知・駆除できるようにしましょう。
Policy]に[IPS Policy]を、
[Variable
1
Set]に[Default Set]を指定して、
設定を適用すれば、IPSが有効になり
Add File Ruleの画面を表示する
ます。
Cisco ASDMを起動し、
[Configuration]-[ASA FirePOWER Configuration]
-[Policies]-[Files]をクリックして[Files]を表示しておく
❶[New File Policy]をクリック
❷ポリシー名を入力
❸[Store ASA Fire
POWER Changes]
をクリック
❹[Add New Rule]
をクリック
次のページに続く
21
2
マルウェア検知・駆除の対象ファイルタイプを
選択する
Add File Ruleの
画面が表示された
❶ここをクリック
して[Any]を選択
❷ここをクリックして
[Block Malware]を選択
4つの動作が選べる
手順2の操作2では、検出したファイ
ルに対してどのような動作をするのか
を選択できます。ここではマルウェア
❸[ブロックするファイルのカテゴリー
をクリックしてチェックマークを付ける
❹[Add ]を
クリック
の検知とブロックを選択しています
が、ファイルを検知のみ、ファイルを
検知してブロック、マルウェアの検知
のみ、マルウェアの検知とブロックの
4種類から選べます。
できる次世代セキュリティ対策
❺[Store ASA FirePOWER Changes]をクリック
3
オフィスドキュメントの社内外との送受信を
監視するルールを作成する
マルウェアの感染を確認する
には
[FilePolicy]の画面に戻った
マルウェアに感染したファイルを検知
❶[Add File Rule]をクリック
したかどうかは、レポート画面から確
認できます。以下の操作を参考にして、
❷ここをクリック
して[Any]を選択
レポート結果を確認しましょう。
❸ここをクリックして
[Detect Files]を選択
版
Cisco ASA
❹ここをクリック
してチェックマー
クを付ける
[Monitoring]-[ASA Fire POWER
Monitoring]-[Real Time
Eventing]をクリックして[Real
Time Eventing]画面を表示しておく
[Malware File]
をクリック
❺[MSOLE2 ]を
クリック
4
❻[Add ]を
クリック
❼[Store ASA FirePOWER
Changes]をクリック
ファイルのログが
表示された
ファイルポリシーを適用する
[Configuration]-[ASA FirePOWER Configuration]-[Access Control
Policy]をクリックして[Access Control Policy]画面を表示しておく
❶
[Inspection]をクリック
間違った場合は?
あらかじめ[File Policy]を作成して
❷ここをクリックして作成した
ファイルポリシーを選択
❸[Store ASA FirePOWER
Changes]をクリック
おかないと、手順4でポリシーが表示
されません。表示されないときは、も
う一度、手順1から3を実行して、作
成し直しましょう。
22
URLフィルターの設定
カテゴリーを選択できる
URLフィルターを設定して、危険なWebサイトや仕事の妨げになる
URLフィルターでは、アクセスを禁止
ようなWebサイトへのアクセスを禁止しましょう。
したいWebサイトをカテゴリーで指定
[Configuration]
[ASA
FirePOWER Configuration]
[Local]
-[Configuration]-[Cloud Services]をクリックして[Cloud
Services]
画面を表示しておく
します。ここでは[Games]を選択し
ていますが、
[Gambling]や[Hacking]
など、さまざまなカテゴリーが用意さ
7
れているので、自社の環境に合わせて
❷[Update Now]を
クリック
18ページの手順1を参考にして、
[Corporate
Access Policy]画面を表示しておく
選択しましょう。また、カテゴリー全
体ではなく、そのカテゴリーのWebサ
イトのなかでも[High Risk]と判断
されたものなど、評価を基準に禁止す
ることもできます。
❸ルール名を
入力
❹ここをクリック
して[Block]を選
択
❺[URLs]を
クリック
IPS、AMP
❶ここにチェックマーク
が付いていることを確認
レポート画面で
確認できること
レポート画面では、以下の項目を確認
できます。また、各項目をクリックす
ると、詳細な情報を確認したり、集計
する期間を指定することもできます。
・Policies
ポリシーのルールに合致した通信
・Users
❻ブロックするWebの
カテゴリーをクリック
❼[Add to Rule]
をクリック
❽[Add ]を
クリック
ユーザーごとの通信状況
・Applications
HTTPなど通信元のアプリケーショ
ン
レポート画面
・Signatures
[Home]画面の[ASA FirePOWER Reporting]を選択すると、
各端末の通信状況やIPS、AMP、次世代ファイアウォールなどの動
IPSシグネチャに合致した通信
・Web categories
アクセス先のWebサイトの種類
・Top Destinations
作状況を確認することができます。
頻繁にアクセスしたIPアドレス
❶[Home]を
クリック
❷[ASA FirePOWER Reporting]
をクリック
レポート画面が
表示された
IPSやAMPでネットワークを
保護しよう
IPSやAMPを有効化すると、外部から
の不正アクセスやマルウェアの侵入を
防いだり、標的型攻撃で行われるC&C
サーバーへの内部からの通信を遮断で
きます。せっかくCisco ASAを導入し
ても、これらの機能を有効化しておか
ないと、ネットワークを保護すること
ができません。忘れずにポリシーや
ルールを設定しておきましょう。
次のページに続く
23
■著者
清水理史(しみず まさし)
1971年東京都出身のフリーライター。雑誌やWeb媒体を中心に
OSやネットワーク、ブロードバンド関連の記事を数多く執筆。
『Internet Watch』にて『イニシャルB』を連載中。主な著書に『で
きるWindows 10』
『できるWindows 10 活用編』
『できるポケッ
トdocomo iPhone 6 基本&活用ワザ 100』
『できるポケット au
iPhone 6 基 本&活 用 ワ ザ 100』
『 で き る ポ ケ ッ ト SoftBank
iPhone 6 基本&活用ワザ 100』
(インプレス)などがある。
「できる次世代セキュリティ対策 Cisco ASA版」
(以下、本書)は、シスコシステムズ合同会社から株式会社インプレスが委託を受け
て制作した特別版です。本書は無償で提供されるものであり、本書の使用または使用不能により生じたお客様の損害に対して、著者、
シスコシステムズ合同会社ならびに株式会社インプレスは一切の責任を負いかねます。また、本書に関するお問い合わせはお受けして
おりません。あらかじめご了承ください。
できる次世代セキュリティ対策 Cisco ASA 版 2016 年 3 月 初版発行
発行 株式会社インプレス
〒 101-0051
東京都千代田区神田神保町一丁目 105 番地
編集 ............ できるシリーズ編集部
執筆 ............ 清水理史
本文イメージイラスト .... 原田 香
シリーズロゴデザイン .... 山岡デザイン事務所
カバーデザイン ....... 横川信之
制作 ............ 島川敏範 高木大地
印刷所 ........... 株式会社廣済堂
Copyright © 2016 Masashi Shimizu and Impress Corporation.
All rights reserved.
本書の内容はすべて、著作権法によって保護されています。著者および
発行者の許可を得ず、転載、複写、複製等の利用はできません。
「できるサポート」では、本書に関するお問い合わせにはお答えしてお
りません。あらかじめご了承ください。
Fly UP