[g-tech2015]次世代ファイアウォール -cisco asa with firepower services-...
TRANSCRIPT
グローバル ナレッジ ネットワーク株式会社
鈴木 新
次世代ファイアウォール-Cisco ASA with FirePOWER Services-
によるセキュリティ対策
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
アジェンダ
1. 次世代ファイアウォールとは
2. ASAの基礎
3. ASA with FirePOWERの機能
4. FireSIGHT Management Center
5. Demo
2
1. 次世代ファイアウォールとは
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
次世代ファイアウォールとは
4
– パケットフィルタリング
– ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
従来のファイアウォール
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
次世代ファイアウォールとは
5
– パケットフィルタリング
– ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
次世代ファイアウォール
– アプリケーションコントロール
– ユーザーコントロール
– IPS/IDS
– L2/L3 構成での配置
下記の機能を追加
従来のファイアウォール
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
次世代ファイアウォールとは
6 6
– パケットフィルタリング
– ステートフルインスペクション
– NAT
– VPN
– HA構成(High Availability)
次世代ファイアウォール
– アプリケーションコントロール
– ユーザーコントロール
– IPS/IDS
– L2/L3 構成での配置
下記の機能を追加
ASA with FirePOWER
従来のファイアウォール
ASA
2. ASAの概要
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
8
CLI
スイッチやルータと同様の
モードからコマンドを入力
GUI
ASDMを使用
設定方法ASA 5500シリーズ
(第一世代)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
9
ファイアウォール
VPN
HA構成
NAT
ASA = Cisco Adaptive Security Appliance
複数のセキュリティ機能を兼ね備えた製品
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
10
ファイアウォール
ネットワークインターフェース層
インターネット層
トランスポート層
アプリケーション層
IP TCP Data
通過を拒否 通過を許可
ネットワークの出入り口で動作
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
11
ステートフルインスペクション
FWは通信状態を把握し、次に来るパケットを予測
ステートテーブルクライアント
ファイアウォール
Webサーバ
ヘッダデータ
想定する戻りパケット
OK!
NG!
ヘッダデータ
データヘッダ
データヘッダ
データヘッダ
データヘッダ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
12
インターネット
ファイアウォールシステムの構成
ファイアウォールを利用した典型的なネットワーク構成
社内クライアント
サーバルーム部門セグメント
L3機器
ファイアウォール 公開用サーバ
DMZ
社内サーバ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
13
セキュリティレベルの概念
各I/Fには、セキュリティレベル(0~100)を設定する(必須)
セキュリティレベルの高⇒低 OK
セキュリティレベルの低⇒高 NG
セキュリティレベルの高⇒低の戻り OK
※戻りパケットが許可されるのは、
デフォルトでTCPおよびUDPのみです。
inside
outside
dmz
インターネット
50
0
100
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
14
インスペクションの設定
(config)# access-list ICMP permit icmp 10.0.1.0 255.255.255.0 any
(config)# class-map Inspect-C
(config-cmap)# match access-list ICMP
(config)# policy-map Inspect-P
(config-pmap)# class Inspect-C
(config-pmap-c)# inspect icmp
(config)# service-policy Inspect-P interface inside
クラスマップの作成
ポリシーマップの作成
I/Fに適用
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
15
NAT(PAT)
複数のプライベートアドレスを1つのグローバルアドレスに変換
(config)# object network PAT-Address(config-network-object)# host 200.1.1.5
(config)# object network PAT-Config(config-network-object)# subnet 10.0.1.0 255.255.255.0(config-network-object)# nat (inside,outside) dynamic PAT-Address
10.0.1.0/24
inside
Internet
outside
hostコマンドを使って、PAT変換後のアドレスを指定
PAT用IP
200.1.1.5
NAT変換前のアドレスをオブジェクト指定
NAT変換の紐づけ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
16
VPN
IPsecVPNおよびSSL VPNをサポート
SSL VPN Tunnel
社内Webサーバ
HTTP
WebVPN用ポータルページ
SSL VPNの例
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500
17
HA構成(High Availablity)
ASAを使った冗長構成
Active / Standby Failover
Active / Active FailoverFailed Active
Active/Standby Failoverの例
Internet
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
18
ASA 5500-Xシリーズ
(第二世代)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
19
Cisco ASA 5500-Xのパフォーマンス
ASA 5512-X
200 Mbps NGFW
60 Mbps NGFW
plus IPS
100,000 Connections
10,000 CPS
ASA 5515-X
350 Mbps NGFW
90 Mbps NGFW
plus IPS
250,000 Connections
15,000 CPS
ASA 5525-X
650 Mbps NGFW
300 Mbps NGFW
plus IPS
500,000 Connections
20,000 CPS
ASA 5545-X
1 Gbps NGFW
450 Mbps NGFW
plus IPS
750,000 Connections
30,000 CPS
1.4 Gbps NGFW
600 Mbps NGFW
plus IPS1 Million Connections
50,000 CPS
ASA 5555-X
小規模向け 中規模向け
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
20
2 Gbps NGFW
1 Gbps NGFW plus IPS500,000 Connections
40,000 CPS
ASA 5585-SSP10
9 Gbps NGFW
2.5 Gbps NGFWplus IPS
1.8 Million Connections120,000 CPS
ASA 5585-SSP40
13 Gbps NGFW4 Gbps NGFW
plus IPS 4 Million Connections
160,000 CPS
ASA 5585-SSP60
5 Gbps NGFW1.5 Gbps NGFW plus IPS1 Million Connections
75,000 CPS
ASA 5585-SSP20
大規模向け
Cisco ASA 5500-Xのパフォーマンス
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
21 21© 2015 Cisco and/or its affiliates. All rights reserved.
ファイアウォール
IPS
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
22
ASA with FirePOWERの通信の流れ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
23
の主要機能
• IPS(Intrusion Prevention System)
• AVC(Application Visibility Control)
• URLフィルタリング
• AMP(Advanced Malware Protection)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
ASA 5500-X
24
サブスクリプション ライセンス
URL
• AVCは標準実装
• 1、3年間の中から選択
IPS IPS IPS IPS
AMPURL AMP
URL
3. ASA with FirePOWERの機能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
IPS
26
IPS(Intrusion Prevention System)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
IPS
27
インターネット
IPSの構成
社内クライアント
サーバルーム部門セグメント
L3機器
ファイアウォール
社内サーバ
IPS
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
IPS
28
業界最高水準のIPSエンジン
SNORT
オープンソースのIDS
シグニチャベースで動作
FirePOWERはSNORTベースのIPS
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
IPS
29
業界最高水準のIPSエンジン
自動チューニング
ネットワーク環境の変化に伴いチューニングが必要
Network Awarenessの機能による推奨ルールの自動生成
チューニングを容易に行うことができる
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AVC
30
AVC(Application Visibility Control)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AVC
31
2500 を超えるアプリケーションを認識する
iTunes Google Drive
対応アプリ一覧http://tools.cisco.com/security/center/avc.x
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AVC
32
シグニチャマッチングで識別するため、ポート番号が通信によって変わるアプリも識別可能
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AVC
33
33
ユーザー(グループ)、ネットワーク、ゾーン、
VLANなどが対象
リスク、関連性、タイプ、カテゴリーなどでアプリ
ケーションを分類
2500を超えるアプリケーションと
サブアプリケーション
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AVC
34
34
Facebookは閲覧のみ許可した例
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
URL
35
URLフィルタリング
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
URL
36
81カテゴリ60言語
200ヵ国対応
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
URL
37
レピュテーション スコア
5 ~ 10:信頼できる動作の長い歴史があり、トラフィック量が多く、広くアクセスされている。
0 ~ 5:信頼できる動作の歴史がある、または第三者の検証を受けたサイト。
-3 ~ 3:管理された信頼できるコンテンツやリンクの提携ネットワークサイトおよびユーザが生成したコンテンツ サイトの可能性がある。
-6 ~ -3:悪意がある疑いがあるが、確実ではない。攻撃的な広告シンジケートおよびユーザ トラッキング ネットワークの可能性がある。
-10 ~ -6:ほぼ確実に悪意のあるサイト。継続的にキー ロガー、ルートキット、およびその他のマルウェアを配布する専用サイト、またはハイジャックされたサイト。 フィッシング サイト、ボット、ドライブバイ インストーラも含まれる。
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
URL
38
カテゴリに分けられたURLを使用したフィルタリング機能
SIOの分析によるWebレピュテーションスコアを使用
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
39
AMP(Advanced Malware Protection)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
40
• ファイルがネットワークに侵入した際に、フィンガープリントを作成
• フィンガープリントはSHA-254によるハッシュ値• フィンガープリントをCiscoのクラウドに送り分析する
ファイルレピュテーション
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
41
ファイルサンドボックス
• マルウェアを検出した時に詳細な動作をチェック• サンドボックスと呼ばれるチェック用の環境で検査する• ファイルの脅威レベルを判断
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
42
過去にさかのぼって解析し、感染経路を特定する
ファイルトラジェクトリ
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
43
AMPの仕組み
FirePOWER FireSIGHT
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
AMP
44
• ファイルポリシーの設定は、ファイルとプロトコルを選択し、マルウェア検出のために検査
• 以下の項目を設定可能:• 検出するファイルの種類• 検出するプロトコル• 転送の方向• 取る行動(ブロック、検出など)
File Policy
4. FireSIGHTManagement Center
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
46
GUIによる設定Adaptive Security Device Manager
ASDM=>ASAを設定する
FireSIGHT=>FirePOWERの機能をフル活用して管理/設定するための製品
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
47
FireSIGHT設定手順Adaptive Security Device Manager
FireSIGHT 初期設定
FirePOWER 設定・登録、基本設定
システム設定
パッチ・シグニチャのアップデート
セキュリティポリシーの作成
アクセスポリシーの適用
FireSIGHTでIPS、AMPなどを設定
セキュリティポリシーをFirePOWERに適用
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
48
オブジェクトの作成Adaptive Security Device Manager
NetworkPortVLAN tagURLSecurity ZoneGeolocation
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
49
ポリシーの作成
IntrusionFileNetwork DiscoverySSLUsers
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
50
ルールの作成
IntrusionFileNetwork DiscoverySSLUsers
NetworkPortVLAN tagURLSecurity ZoneGeolocation
オブジェクト ポリシーAdaptive
Security Device Manager
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
51
Access Control Policy
ルール①
ルール②
ルール③
ルール④
複数のルールを1つのAccessControlPolicyにまとめる
ACPをFirePOWERに適用
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
52
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
53
Indication of Compromise (IoC:侵入の痕跡)
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
FireSIGHT
54
参考
5. Demo
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.
関連コース
Cisco Routing&Switching トレーニング
Cisco ASA トレーニング
56
CSC0273V(5日間)CCNA BOOT CAMP前編 ~ICND1v2.0 CCENT対応~
CSC0275V(5日間)CCNA BOOT CAMP後編 ~ICND2v2.0対応~
CSC0347G(2日間)Cisco ASAによるセキュアネットワークの構築
CSC0334G(1日間)Cisco ASA with FirePOWER Services概要
Copyright Global Knowledge Network Japan, Ltd. All Rights Reserved.