- はじめに
- FMCで統合管理時
- FDMで管理時 (FTD利用)
- ASDMで管理時 (ASA FirePOWER module利用)
- 注意点・ベストプラクティス
- VDBやSRUアップデート適用は夜間や休日に
- プロキシ利用時は、FMCからのアクセス許可を
- よくある質問
- 各機能のアップデート先URLは公開されていますか
- FMCの先の中継ファイアウォールで 細かな宛先制御は可能ですか
- 参考情報
はじめに
本ドキュメントでは、Firepower Systemで、インターネットアクセスが必要となる主な機能について紹介します。 本ドキュメントは Version 6.2.2をベースに作成しております。
FMCで統合管理時
以下は構成例です。 FMCは複数のデバイスを管理できます。 FMC (旧名:FireSIGHT)は Firepower Management Centerの略名で、複数FirePOWERデバイスの統合管理サーバです
FMCが管理可能な主なデバイスは以下です。
- Firepower Threat Defense (FTD)
- Firepower Threat Defense Virtual (FTDv)
- ASA FirePOWERモジュール
- Firepowerアプライアンス (FP7000/8000)
- NGIPSv
インターネットアクセスが必要となる機能やデータベースは以下です。 殆どの機能は FMCのみのインターネットアクセスで利用できます。
| 機能・ データベース |
説明 | アクセス元 |
| VDB |
脆弱性判断に利用されるVDBのアップデート。 Impact Flagの適切な出力のためにも必須 | FMC |
| Intrusion Rule |
侵入検知・防御で利用するSnortルール(SRU)のアップデート | FMC |
| Security Intelligence |
マルウェアや フィッシング、CnCなど 悪意のある疑いのあるホストのIPアドレスやURL、Domain Name情報のアップデート | FMC |
| URL filtering |
URLフィルタイング用のデータペースのダウンロードや、未知のURLのクラウドルックアップ | FMC |
| AMP Malware Lookup |
マルウェア分析用。 ローカル分析のためのシグネチャダウンロードや、マルウェア情報のクラウドルックアップ | FMC |
| AMP Dynamic Analysis |
Dynamic Analysisのために、管理デバイスがAMP Thread Grid cloudにファイル送付し、FMCが結果確認。 当機能利用時は、管理デバイスとFMC両方のクラウドアクセスが必要 | FMC & Devices |
| Local Malware Analysis |
ローカルでのマルウェア分析のためのシグネチャダウンロード など | FMC |
| GeoDB |
IPアドレスに関連付けられた地理情報のデータベースのダウンロード | FMC |
| Software Update |
FMC自身や 管理デバイスのソフトウェアアップデートに必要なパッチファイルのダウンロード | FMC |
| Smart License |
(FTD管理時に必要) スマートライセンスの登録や、登録後の30日毎の定期認証 | FMC |
インターネットアクセスには、TCP443(HTTPS)とTCP80(HTTP)が利用されます。 また、DNSサーバを利用し名前解決が可能である必要があります。
仮にFMCと インターネット間で Firewall設置時は、送信元をFMC、宛先はAnyでの許可を お奨めします。 各機能毎にアクセス先のURLが異なり、また 一部URLは Domain NameによるIPのバランシングが行われているためです。
FDMで管理時 (FTD利用)
FTDをOn-Box管理時(=ローカルマネージメント)は Firepower Device Manager (FDM)を利用しますが、そのFTDデバイスからのインターネットアクセスが必要となります。
ASDMで管理時 (ASA FirePOWER module利用)
ASDMで ASA with FirePOWER Servicesを管理(=ローカルマネージメント)時は、ASAデバイスからのインターネットアクセスが必要となります。 これは、ASDM管理時のASAデバイス内に簡易FMCが動作しているためです。
注意点・ベストプラクティス
VDBやSRUアップデート適用は夜間や休日に
これらアップデートと適用に伴い、Snortエンジンの自動再起動が発生することがあり、管理デバイスを中継する通信に影響を与える可能性があります。 業務影響を避けるため、スケジューリング機能を利用し、任意の影響の少ない時間帯に実施をお奨めします。
プロキシ利用時は、FMCからのアクセス許可を
よくあるアップデートトラブルの1つに、中継のプロキシサーバー(※透過型も含む)がFMCからの通信を止めていることです。 プロキシ利用時は、FMCからのプロキシサーバー宛アクセスの許可、及び、そのFMCからのインターネットアクセス許可がされていることを確認してください。 また、スマートライセンス利用時は 証明書をインターネットと交換するため、証明書交換に悪影響を与える機能も無効化をお奨めします。
よくある質問
各機能のアップデート先URLは公開されていますか
はい、各機能別のアップデート先URLは、利用バージョンのConfiguration Guideや 以下ドキュメントを参照してください。
Firepower Management Center Configuration Guide, Version 6.2.3
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/configuration/guide/fpmc-config-guide-v623/security__internet_access__and_communication_ports.html
Firepower Connections to Internet Servers
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213260-firepower-connections-to-internet-server.html
Required Server Addresses for Proper AMP Operations
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html
なお、負荷分散やメンテナンスなどの目的で、通常 各URLは複数のグローバルIPアドレスを持ち、変動します。
FMCの先の中継ファイアウォールで 細かな宛先制御は可能ですか
はい、可能です。 何らかの理由で、FMCとインターネットの間の、中継ファイアウォールやプロキシで、宛先を絞った制御が必要時は、その中継機器で URLフィルタリングの利用を検討します。 宛先URLは上記ドキュメントを参考にしてください。
なお、宛先を絞った制御に、FQDNの名前解決後の IPアドレスを利用することは避けてください。 将来のIPアドレス変動後の アップデート不可原因となります。
また、一部通信は 証明書を用いるため、中継ファイアウォールやプロキシで、FMCからの暗号通信のDecryption機能などは 無効化するようにしてください。
なお、上記のドキュメントに記載の通り、FMCは 多数のクラウド上のサーバーと情報を交換しており、今後リリースバージョンにより宛先の増加や変更される可能性もあります。 セキュリティ上の要件が厳しくなければ、中継ファイアウォールでは 宛先はAny (すべて)のTCP80/443の許可とすると、運用が簡便となります。
参考情報
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
