Cisco dCloud
dCloud:シスコ デモ クラウド
SMB 向け Cisco ASA with FirePOWER 統合型脅威防御 v1
最終更新日:2015 年 10 月 28 日
このソリューションについて
これまで、中小企業(SMB)、中規模組織、分散企業には高度な脅威保護のニーズがあるにもかかわらず、提供されているソリューションは 不十分なものでした。こうした組織は、従来型の次世代ファイアウォールや、安全性の低い Unified Threat Management(UTM)など、コス トが高く、管理者にとって実用的ではないポイント ソリューションで満足せざるを得ませんでした。
新しく登場した Cisco ASA with FirePOWER Services 5506-X、5508-X、および 5516-X は、SMB および中規模組織向けに構築された NGFW ソリューションです。このソリューションは、優れた価値と、トップクラスの脅威保護機能(ファイアウォール、アプリケーション制御、 NGIPS、URL フィルタリング、高度なマルウェア防御(AMP)、VPN を含む)を提供します。比類のない可視化機能と制御機能を備え、脅威 を自動的に優先順位付けできるため、誤検出への対応を効率化できます。また、インシデント対応を迅速化できるため、多くのお客様が、修 復時間が週単位から時間単位に短縮されたと報告しています。 さらに、SMB、中規模組織、ブランチ オフィスは、これまで大企業だけが実現できた脅威保護と同じレベルの高度な脅威保護を実装できます。 これらのシスコ NGFW モデルは SMB および中間市場組織向けに構築されており、他の 5500-X ファミリのメンバー(NSS Labs の 2014 Next-Generation Firewall Security Value Map でセキュリティ効果について最高の評価を獲得した 5525-X と 5585-X を含む)と同等の優 れた脅威保護テクノロジーを採用しています。また、単一インスタンス導入環境向けの統合型オンボックス管理機能を備えており、必要な場 合は一元管理をサポートします。さらに、統合ワイヤレス アクセス ポイントを備えた 5506W-X、および工業制御環境と重要なインフラストラ クチャ環境向けの耐久性強化モデル 5506H-X も用意されています。
このデモンストレーションについて
この事前設定済みデモンストレーションの内容は以下のとおりです。 シナリオ 1:統合型脅威防御の徹底解剖要件
次の表に、この事前設定済みデモンストレーションの要件の概要を示します。 表 1. 要件 必須 オプション ● ラップトップ ● Cisco AnyConnectCisco dCloud dCloud:シスコ デモ クラウド
トポロジ
このコンテンツには、スクリプト形式のシナリオと、ソリューションの機能を実例で示すために事前設定されたユーザとコンポーネントが含ま れています。コンポーネントのほとんどは、事前定義の管理ユーザ アカウントを使用して任意の設定が可能です。コンポーネントへのアクセ スに使用する IP アドレスとユーザ アカウント クレデンシャルは、アクティブ セッションの [トポロジ(Topology)] メニューのコンポーネント ア イコンをクリックして確認するか、それらを必要とするシナリオ内のステップで確認できます。 図 1. トポロジCisco dCloud dCloud:シスコ デモ クラウド
はじめに
プレゼンテーションの前に 実際の対象者の前でプレゼンテーションを行う前に、アクティブなセッションを使用して、このドキュメントの内容を実施しておくことを強く推奨 します。そうすることで、ドキュメントとコンテンツの構成に慣れることができます。 プレゼンテーションを成功させるためには、入念な準備が不可欠です。 次の手順に従ってコンテンツのセッションをスケジュールし、プレゼンテーション環境を設定します。 1. dcloud.cisco.com にアクセスして、最寄りのロケーションを選択し、Cisco.com クレデンシャルでログインします。 2. セッションを予約します。[手順を見る] 3. ルータを dCloud で初めて使用する場合は、ルータを登録し、設定します。[手順を見る] 4. 接続をテストします。[手順を見る]5. [マイ ダッシュボード(My Dashboard)] > [マイ セッション(My Sessions)] でセッションのステータスが [アクティブ(Active)] であること を確認します。 注:セッションがアクティブになるまで最長で 15 分かかることがあります。 6. [表示(View)] をクリックしてアクティブなセッションを開きます。 7. 最適なパフォーマンスを得るため、Cisco AnyConnect VPN [手順を見る] およびラップトップのローカル RDP クライアント [手順を見る] を使用してワークステーションに接続します。 ワークステーション1:198.19.10.36、ユーザ名:administrator、パスワード:C1sco12345
注:Cisco dCloud リモート デスクトップ クライアントを使用してワークステーションに接続することもできます [手順を見る]。dCloud リモート
デスクトップ クライアントは、最小限の操作でアクティブ セッションにアクセスする場合に最適です。ただし、この方法には、接続ができな かったり、パフォーマンスが悪い場合もあります。
Cisco dCloud dCloud:シスコ デモ クラウド
シナリオ 1.
統合型脅威防御の徹底解剖
手順
サービス ポリシー ルール ASA グローバル インスペクション ポリシーに特定のサービス ポリシー ルールを適用することで、どのトラフィックを SFR モジュールに送信 するかを ASA に指示します。このデモでは、ASA を通過するすべての IP トラフィックを SFR モジュールに送信して処理できるようにするた めの ASA 設定を説明します。 1. RDP の wkst1 に接続し、ユーザ名 dcloud\administrator およびパスワード C1sco12345 を使用してログインします。2. [Cisco ASDM-IDM ランチャ(Cisco ASDM-IDM Launcher)] アイコンを選択します。ユーザ名 admin およびパスワード C1sco12345 を使用してログインします。
3. [設定(Configuration)] を選択します。
4. 左側のメニューで、[ファイアウォール(Firewall)] を選択します。
図 2. [設定(Configuration)] > [ファイアウォール(Firewall)]
Cisco dCloud
dCloud:シスコ デモ クラウド 6. リストの [SFR] ルールをダブルクリックします。
図 3. [サービス ポリシールール(Service Policy Rules)] > [SFR]
7. SFR ルールでは、ASA を通過するどのトラフィックを SFR モジュールにリダイレクトして処理する必要があるかを定義します。
Cisco dCloud
dCloud:シスコ デモ クラウド 8. [ACL] タブをクリックします。アクセス コントロール リストのオプションが表示されます。
Cisco dCloud
dCloud:シスコ デモ クラウド 9. [Rule Actions(ルール アクション)] タブをクリックし、[ASA FirePOWER インスペクション(ASA FirePOWER Inspection] タブをクリッ
クします。
図 6. [Rule Actions(ルール アクション)] > [ASA FirePOWER インスペクション(ASA FirePOWER Inspection)]
10. [キャンセル(Cancel)] をクリックして、[ASDM] ウィンドウを最小化します。 注:表示される SFR ルールは、ASA のグローバル インスペクション ポリシーの一部です。このルールによって呼び出される許可 IP および ACL に一致するすべてのトラフィックは、処理のために SFR モジュールにリダイレクトされます。これにより、SFR モジュールはアクセス制 御ポリシー、侵入ポリシー、ファイル ポリシーなどのポリシーをトラフィックに適用できます。 SFR モジュールにはフェール クローズが設定されています。そのため、SFR モジュールが応答しなくなると、ASA はトラフィックを送信しま せん。これは、付加的なセキュリティ機能です。SFR モジュールに障害が発生した場合、組織はトラフィックを一切送信したくない際にはこち らの設定を行います。SFR モジュールのもう 1 つの設定方法は、フェール オープンです。同じ例の場合、フェール オープンでは、ASA は SFR モジュールが存在しないと見なしてトラフィックを送信し続けます。
Cisco dCloud
dCloud:シスコ デモ クラウド 脅威の検出
このシナリオでは、Microsoft Internet Explorer の脆弱性を悪用する攻撃者のマシンでサーバ サイド エクスプロイトを起動します。エクスプ ロイトを簡単に起動するために、デスクトップからスクリプトを起動し、単純なコマンドを入力します。スクリプトは攻撃者の VM との SSH セッ ションを開き、エクスプロイト コードを実行します。ips-sim VM は Windows サーバであり、脆弱性を悪用するために実行されている攻撃者 の Web サーバへのアクセスを継続的に試行するように設定されています。ips-sim の Internet Explorer プロセスが攻撃者に接続されると、 攻撃者は脆弱性を悪用します。この侵入イベントは SFR モジュールによって検出され、syslog メッセージがネットワーク管理者に送信され ます。
1. デスクトップにある [Tftpd64] アイコンをダブルクリックします。
図 7. Tftpd64
2. [Syslog サーバ(Syslog server)] タブをクリックします。ウィンドウに着信イベントが表示されます。このウィンドウを表示したままにします。
Cisco dCloud dCloud:シスコ デモ クラウド 3. デスクトップにある [エクスプロイト(Exploit)] アイコンをダブルクリックします。これにより、攻撃者の Linux ボックスに接続され、サーバ サイド エクスプロイトが実行されます。その結果、ファイアウォールでアラートがトリガーされ、ハッキング イベントがシミュレートされま す。スクリプトが完了してプロンプトに戻るまで待機します。 図 9. [エクスプロイト(Exploit)]
4. [エクスプロイト(Exploit)] ウィンドウで、exploit と入力して、Enter を押し、サーバ サイド エクスプロイトを起動します。
図 10. exploit コマンド
Cisco dCloud
dCloud:シスコ デモ クラウド
6. エクスプロイトが SFR モジュールによって検出されると、SFR モジュールは syslog メッセージを送信してネットワーク管理者に警告します。
注:この時点では、エクスプロイトは検出されますがブロックされません。これは、SFR の設定で、アラートを送信するがブロックを行わない ように IPS ルールが設定されているからです。後でこの SFR 設定を変更し、エクスプロイトがインラインでブロックされるようにします。 ASA は、例として TFTPD64 に syslog を送信します。ASA は履歴情報を保存できないため、アラートとレポート用として外部 syslog サー バを使用します。
図 11. 検出された脅威が表示されている [Syslog サーバ(Syslog server)]
7. [モニタリング(Monitoring)] > [ASA FirePOWER モニタリング(ASA FirePOWER Monitoring)] > [リアル タイム イベント処理(Real Time Eventing)] をクリックし、[侵入(Intrusion)] タブをクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 8. 最新のアラートを選択し、[詳細の表示(View Details)] をクリックします。
図 13. 侵入の詳細
9. [インライン結果(Inline Result)] が [通過(Pass)] であることを確認します。
Cisco dCloud dCloud:シスコ デモ クラウド 脅威のブロック 前のセクションでは、エクスプロイトは検出されましたが、ブロックされていません。このセクションでは、SFR IPS ポリシーを変更して、この 特定のエクスプロイトによってトリガーされたトラフィックをブロックします。 1. [ASDM] ウィンドウを最大化します。
2. [設定(Configuration)] をクリックし、[ASA FirePOWER の設定(ASA FirePOWER Configuration)] をクリックします。
図 15. [設定(Configuration)] > [ASA FirePOWER の設定(ASA FirePOWER Configuration)]
Cisco dCloud
dCloud:シスコ デモ クラウド 4. [編集(Edit)] アイコン(鉛筆の形)をクリックします。これで侵入ポリシーを変更できるようになります。
図 16. 侵入ポリシーの編集
5. [ポリシー レイヤ(Policy Layers)] > [自身での変更(My Changes)] をクリックします。
6. ルールのリストで、緑の矢印の隣にある [xxx ルールによる生成イベント (xxx rules generate events)] をクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 7. ルール [BROWSER-IE Microsoft Internet Explorer CSS importer use-after-free attempt] をクリックします。
図 18. ルール レイヤ
8. リストからルールを選択して、[詳細の表示(Show Details)] をクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 9. イベントを生成するがブロックしないようにルール アクションが設定されていることを確認します。ブロックを設定するには、[イベントの
生成(Generate Events)] をクリックします。[ルール状態の設定(Set Rule State)] ウィンドウが表示されます。
図 20. ルール状態の設定
10. ドロップダウン リストから、[イベントをドロップおよび生成(Drop and Generate Events)] を選択します。 11. [OK] をクリックします。
12. もう一度 [OK] をクリックします。
13. [ポリシー情報(Policy Information)] と [変更を確定(Commit Changes)] をクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド ポリシーの再適用
1. 左側のメニューで、[アクセス制御ポリシー(Access Control Policy)] を選択します。
2. [アクセス制御ポリシー(Access Control Policy)] ウィンドウで、緑のチェックマークをクリックし、[すべて適用(Apply All)] をクリックし てポリシーを適用します。
注:ポリシーのステータスが期限切れから最新を適用に変更されます。ステータスが [デバイスに適用済み/デバイスのポリシーは最新 (applied to device / Policy Up-to-date on device)] に変更されるまで待機します。これには最大で 5 分程度かかる場合があります。
Cisco dCloud
dCloud:シスコ デモ クラウド 3. [モニタリング(Monitoring)] > [ASA FirePOWER モニタリング(ASA FirePOWER Monitoring)] > [リアル タイム イベント処理(Real
Time Eventing)] をクリックし、[侵入(Intrusion)] タブをクリックします。
図 23. [侵入(Intrusion)] タブ
4. 最新のアラートを選択し、[詳細の表示(View Details)] をクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 5. [インライン結果(Inline Result)] が [ドロップ(Dropped)] になっている(ポリシーが侵入をブロックしていることを示している)ことを確認
します。
図 25. インライン結果 –ドロップ
Cisco dCloud
dCloud:シスコ デモ クラウド ボックス外管理
FireSIGHT Management Center は、ASDM を使用するときに比べ、以下のような多くのメリットをもたらします。
イベント: 1 秒間のイベント処理機能が向上し、イベント ストレージが増加します。また、IPS イベント、接続、マルウェア イベントの 関連付け、およびイベントの自動処理と優先順位付けが行われます。 ポリシー: ASDM 機能に加えて、アクセス制御、ロギング、アラートなど 17 を超える機能を制御できます。システム設定はアプラ イアンスごとに異なるのが普通ですが、システム ポリシーは導入環境全体で共通のものを使用するのが一般的です。 レポート: 詳細レポートと拡張機能。 コンテキスト認識: 導入が大規模になると、ホストの追跡に関する課題が増加します。FSMC は、IPS イベントおよび修復機能を 優先順位付けするためのインパクト分析など、拡張されたコンテキスト情報を提供します。 ダッシュボード: アプリケーション、接続、脅威、ファイル、URL などの情報を提供するカスタマイズ可能な詳細ダッシュボード。 デバイス管理: 複数のデバイスを対象とする管理機能が向上します。 1. [ASDM] ウィンドウを最大化します。
2. [設定(Configuration)] > [アクセス制御ポリシー(Access Control Policy)] > [ツール(ツール)] > [インポート/エクスポート (Import/Export)] をクリックします。
注:[インポート/エクスポート(Import/Export)] 画面では、オンボックス ポリシーをエクスポートできます。このポリシーは、後で FireSIGHT Management Center(FSMC)にインポートできます。また、FSMC からエクスポートされたポリシーをインポートできます。このデモでは、必 要なすべてのポリシーが FSMC にロードされているため、実際にエクスポートする必要はありません。
Cisco dCloud
dCloud:シスコ デモ クラウド 3. [ローカル(Local)] > [登録(Registration)] をクリックします。これにより、FirePOWER モジュールの管理を ASDM オンボックス管理
から FireSIGHT Management Center に再割り当てすることができます。 4. 右上隅の [マネージャの追加(Add Manager)] をクリックします。
Cisco dCloud
dCloud:シスコ デモ クラウド 5. 次の情報を入力します。
[管理ホスト(Management Host)]:198.19.10.10
[登録キー(Registration Key)]:C1sco12345
[固有 NAT ID(Unique NAT ID)]:空白のまま
図 28. マネージャ情報の追加
6. [保存(Save)] をクリックします。IP アドレスのステータスは [登録の保留中(Pending Registration)]です。
図 29. [登録の保留中(Pending Registration)]
Cisco dCloud
dCloud:シスコ デモ クラウド 8. Firefox を開き、メニュー バーのアイコンをクリックし、キャッシュされたクレデンシャルを使用して FireSIGHT Management Center
にログインします。
図 30. FireSIGHT Management Center へのログイン
9. メイン画面で、[デバイス(Devices)] > [デバイス管理(Device Management)] をクリックします。現在、デバイスは追加されていません。 10. 右上隅の [追加(Add)] > [デバイスの追加(Add Device)] をクリックします。
Cisco dCloud dCloud:シスコ デモ クラウド 11. [デバイスの追加(Add Device)] ウィンドウで、次の情報を入力します。 [ホスト(Host)]:198.19.10.253 [登録キー(Registration Key)]:C1sco12345 [グループ(Group)]:[なし(None)]
[アクセス制御ポリシー(Access Control Policy)]:[dCloud アクセス制御ポリシー(dCloud Access Control Policy)]
[ライセンシング(Licensing)]:利用可能なすべてのボックスをオン
図 32. [デバイスの追加(Add Device)]
12. [登録(Register)] をクリックします。このプロセスには、数分かかる場合があります。
Cisco dCloud
dCloud:シスコ デモ クラウド 13. デバイスが正常に追加されると、アクセス制御ポリシーなどのポリシーが SFR モジュールに自動的に適用されます。[ポリシー
(Policies)] > [アクセス制御(Access Control)] を選択します。ポリシーがデバイスに適用されています。しばらくすると完全に適用され ます。ステータスが [1 台のデバイスで最新状態(Up-to-date on 1 devices)] に変わるまで待機します。
注:レポート機能は、デバイスが追加され、ポリシーが適用されるまで更新されません。これには最大で 5 分程度かかる場合があります。し ばらくお待ちください。
図 34. [ポリシー(Policies)] > [アクセス制御(Access Control)]
14. [ポリシー(Policies)] > [ネットワーク検出(Network Discovery)] の順に選択します。[適用(Apply)] をクリックしてから、確認のために [はい(Yes)] をクリックします。ネットワーク検出ポリシーが SFR モジュールに適用されるまで待機します。ポリシーが正常に適用され ると、ステータスが [すべての対象デバイスで最新状態(Up-to-date on all targeted devices)] に変わります。
Cisco dCloud
dCloud:シスコ デモ クラウド 高度なボックス外機能
1. [概要(Overview)] > [ダッシュボード(Dashboards)] > [サマリー ダッシュボード(Summary Dashboard)] をクリックします。次のレ ポートが表示されます。
ユニーク アプリケーションの経時変化(Unique Applications over Time)
上位の検出済み Web アプリケーション(Top Web Applications Seen)
上位の検出済みクライアント アプリケーション(Top Client Applications Seen)
アプリケーション リスク別トラフィック(Traffic by Application Risk)
上位の検出済みサーバ アプリケーション(Top Server Applications Seen)
上位の検出済みオペレーティング システム(Top Operating Systems Seen)
ビジネスとの関連性別トラフィック(Traffic by Business Relevance)
アプリケーション カテゴリ別トラフィック(Traffic by Application Category)
ビジネスとの関連性が低い危険なアプリケーション(Risky Applications with Low Business Relevance)
イニシエータ ユーザ別トラフィック(Traffic by Initiator User)
URL レピュテーション別接続(Connections by URL Reputation)
URL カテゴリ別接続(Connections by URL Category)
注:レポートにデータが完全に入力されるまで時間がかかる場合があります。レポートにデータがまったく表示されない場合は、データが入 力されるまで待機して、数分後に再度確認してください。
Cisco dCloud
dCloud:シスコ デモ クラウド 2. [分析(Analysis)] > [Context Explorer] をクリックします。このページには、次の情報が表示されます。
トラフィックおよび侵入イベントの経時変化(Traffic and Intrusion Events over Time)
セキュリティ侵害の兆候(Indications of Compromise)
ネットワーク情報(Network Information)
アプリケーション プロトコル情報(Application Protocol Information)
セキュリティ インテリジェンス(Security Intelligence)
侵入情報(Intrusion Information)
ファイル情報(File Information)
位置情報(Geolocation Information)
URL 情報(URL Information)
Cisco dCloud
dCloud:シスコ デモ クラウド 3. [分析(Analysis)] > [接続(Connections)] > [イベント(Events)] をクリックします。トラフィック生成情報を確認します。
図 37. [分析(Analysis)] > [接続(Connections)] > [イベント(Events)]
©2016 Cisco Systems, Inc. All rights reserved.
Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1502R) この資料の記載内容は2016年4月現在のものです。 この資料に記載された仕様は予告なく変更する場合があります。 シスコシステムズ合同会社 〒107‐6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合せ先
![図 5. [ACL] タブ](https://thumb-ap.123doks.com/thumbv2/123deta/6660229.696604/6.918.70.686.165.793/図5ACLタブ.webp)
![図 11. 検出された脅威が表示されている [Syslog サーバ(Syslog server)]](https://thumb-ap.123doks.com/thumbv2/123deta/6660229.696604/10.918.69.638.294.679/図11検出された脅威が表示されているSyslogサーバSyslogserver.webp)
