はじめに
本ドキュメントでは、Firepower Systemで、インターネットアクセスが必要となる主な機能について紹介します。 本ドキュメントは Version 6.2.2をベースに作成しております。
FMCで統合管理時
以下は構成例です。 FMCは複数のデバイスを管理できます。 FMC (旧名:FireSIGHT)は Firepower Management Centerの略名で、複数FirePOWERデバイスの統合管理サーバです
FMCが管理可能な主なデバイスは以下です。
- Firepower Threat Defense (FTD)
- Firepower Threat Defense Virtual (FTDv)
- ASA FirePOWERモジュール
- Firepowerアプライアンス (FP7000/8000)
- NGIPSv
インターネットアクセスが必要となる機能やデータベースは以下です。 殆どの機能は FMCのみのインターネットアクセスで利用できます。
機能・ データベース |
説明 |
アクセス元 |
VDB |
脆弱性判断に利用されるVDBのアップデート。 Impact Flagの適切な出力のためにも必須 |
FMC |
Intrusion Rule |
侵入検知・防御で利用するSnortルール(SRU)のアップデート |
FMC |
Security Intelligence |
マルウェアや フィッシング、CnCなど 悪意のある疑いのあるホストのIPアドレスやURL、Domain Name情報のアップデート |
FMC |
URL filtering |
URLフィルタイング用のデータペースのダウンロードや、未知のURLのクラウドルックアップ |
FMC |
AMP Malware Lookup
|
マルウェア分析用。 ローカル分析のためのシグネチャダウンロードや、マルウェア情報のクラウドルックアップ |
FMC |
AMP Dynamic Analysis
|
Dynamic Analysisのために、管理デバイスがAMP Thread Grid cloudにファイル送付し、FMCが結果確認。 当機能利用時は、管理デバイスとFMC両方のクラウドアクセスが必要 |
FMC & Devices |
Local Malware Analysis |
ローカルでのマルウェア分析のためのシグネチャダウンロード など |
FMC |
GeoDB |
IPアドレスに関連付けられた地理情報のデータベースのダウンロード |
FMC |
Software Update
|
FMC自身や 管理デバイスのソフトウェアアップデートに必要なパッチファイルのダウンロード |
FMC |
Smart License |
(FTD管理時に必要) スマートライセンスの登録や、登録後の30日毎の定期認証 |
FMC |
インターネットアクセスには、TCP443(HTTPS)とTCP80(HTTP)が利用されます。 また、DNSサーバを利用し名前解決が可能である必要があります。
仮にFMCと インターネット間で Firewall設置時は、送信元をFMC、宛先はAnyでの許可を お奨めします。 各機能毎にアクセス先のURLが異なり、また 一部URLは Domain NameによるIPのバランシングが行われているためです。
FDMで管理時 (FTD利用)
FTDをOn-Box管理時(=ローカルマネージメント)は Firepower Device Manager (FDM)を利用しますが、そのFTDデバイスからのインターネットアクセスが必要となります。
ASDMで管理時 (ASA FirePOWER module利用)
ASDMで ASA with FirePOWER Servicesを管理(=ローカルマネージメント)時は、ASAデバイスからのインターネットアクセスが必要となります。 これは、ASDM管理時のASAデバイス内に簡易FMCが動作しているためです。
注意点・ベストプラクティス
VDBやSRUアップデート適用は夜間や休日に
これらアップデートと適用に伴い、Snortエンジンの自動再起動が発生することがあり、管理デバイスを中継する通信に影響を与える可能性があります。 業務影響を避けるため、スケジューリング機能を利用し、任意の影響の少ない時間帯に実施をお奨めします。
プロキシ利用時は、FMCからのアクセス許可を
よくあるアップデートトラブルの1つに、中継のプロキシサーバー(※透過型も含む)がFMCからの通信を止めていることです。 プロキシ利用時は、FMCからのプロキシサーバー宛アクセスの許可、及び、そのFMCからのインターネットアクセス許可がされていることを確認してください。 また、スマートライセンス利用時は 証明書をインターネットと交換するため、証明書交換に悪影響を与える機能も無効化をお奨めします。
よくある質問
各機能のアップデート先URLは公開されていますか
はい、各機能別のアップデート先URLは、利用バージョンのConfiguration Guideや 以下ドキュメントを参照してください。
Firepower Management Center Configuration Guide, Version 6.2.3
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/configuration/guide/fpmc-config-guide-v623/security__internet_access__and_communication_ports.html
Firepower Connections to Internet Servers
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/213260-firepower-connections-to-internet-server.html
Required Server Addresses for Proper AMP Operations
https://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html
なお、負荷分散やメンテナンスなどの目的で、通常 各URLは複数のグローバルIPアドレスを持ち、変動します。
FMCの先の中継ファイアウォールで 細かな宛先制御は可能ですか
はい、可能です。 何らかの理由で、FMCとインターネットの間の、中継ファイアウォールやプロキシで、宛先を絞った制御が必要時は、その中継機器で URLフィルタリングの利用を検討します。 宛先URLは上記ドキュメントを参考にしてください。
なお、宛先を絞った制御に、FQDNの名前解決後の IPアドレスを利用することは避けてください。 将来のIPアドレス変動後の アップデート不可原因となります。
また、一部通信は 証明書を用いるため、中継ファイアウォールやプロキシで、FMCからの暗号通信のDecryption機能などは 無効化するようにしてください。
なお、上記のドキュメントに記載の通り、FMCは 多数のクラウド上のサーバーと情報を交換しており、今後リリースバージョンにより宛先の増加や変更される可能性もあります。 セキュリティ上の要件が厳しくなければ、中継ファイアウォールでは 宛先はAny (すべて)のTCP80/443の許可とすると、運用が簡便となります。
参考情報
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733