本記事について
本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、どのような案件でも設定するであろう一般的な設定項目についての設定方法について記載します。
なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。
対象環境
本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。
- FPR-1010
- ASA Version 9.18(3)56
注意事項
Firepower では、オプションライセンスの有無に関わらずスマートライセンスによるライセンス管理が必要です。本記事ではライセンス認証に関する設定については記載しません。後日、別記事を作成して説明します。
機器起動から初回ログイン
操作用端末を Firepower にコンソール接続し、Firepower に電源ケーブルを接続します。Firepower 1010 の場合は電源スイッチはありませんが、上位のモデルの場合は電源スイッチがあるため電源スイッチを ON にします。
Firepower が起動しきるまで 5~10分程度要するためしばらく待ちます。
起動が完了すると以下のようにciscoasa>のプロンプトが表示されます。
ciscoasa>enableコマンドを実行し、特権EXECモードに移行します。このとき、enable パスワードの設定を求められるため、8文字以上の任意のパスワードを2回入力して設定します。
ciscoasa> enable
The enable password is not set. Please set it now.
Enter Password: **********
Repeat Password: **********
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#コンフィグの保存方法
Cisco Firepower には以下のコンフィグがあります。
- ランニングコンフィグ (running-config)
- 機器動作に影響する実行中のコンフィグ
- スタートアップコンフィグ (startup-config)
- 保存済みコンフィグであり、機器起動時に読み込まれランニングコンフィグにコピーされる
Firepower で行った設定変更はランニングコンフィグに反映されます。機器再起動後にも反映させたい場合には write memoryコマンドを実行しコンフィグの保存を行う必要があります。
ciscoasa# write memory
Building configuration...
Cryptochecksum: 7c49408d 4c319a39 1401b420 4991ad80
11679 bytes copied in 0.400 secs
[OK]ホスト名の設定
ホスト名は以下コマンドで設定します。
hostname <ホスト名>
ciscoasa(config)# hostname Firepower1010
Firepower1010(config)#設定後、プロンプトが設定したホスト名に変わったことを確認してください。
ドメイン名の設定
ドメイン名は以下コマンドで設定します。
domain-name <ドメイン名>
Firepower1010(config)# domain-name shadowgarden.org
Firepower1010(config)#show hostname fqdnコマンドを実行すると、自機器の FQDN を確認できます。
Firepower1010# show hostname fqdn
Firepower1010.shadowgarden.orgインターフェース基本設定
インターフェース設定モードで行う、インターフェースの基本設定について説明します。
switchport の設定 (FPR-1010 限定)
FPR-1010 では、各ポートがスイッチポートとしてもルーテッドポートとしても機能することができ、デフォルトではスイッチポートモードになっています。
switchport- スイッチポートに切り替える
no switchport- ルーテッドポートに切り替える
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# switchport
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# no switchportnameif の設定
nameif はインターフェースの名前の設定です。Firepower(ASA) では様々な設定においてインターフェースを指定する際に Ethernet1/x といったインターフェースそのものの名前ではなく、この nameif で設定した名前を使用します。
nameif <名前>- 最大 48 文字で名前を設定する
- 名前は大文字と小文字が区別されない
- 複数のインターフェースに同一の名前を設定することはできない
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# nameif outside
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif insidenameif として「inside」や「outside」は特別な意味を持ちます。「inside」は内部の信頼できるネットワーク、「outside」は外部の信頼できないネットワークを意味します。nameif の値として「inside」や「outside」を設定すると、 security-level が自動で以下の値に設定されます。
- inside ⇒ security-level 100
- outside ⇒ security-level 0
security-level の設定
security-level は、インターフェース先のネットワークがどの程度信頼できるかを示す設定です。
security-level <0-100><0-100>:セキュリティレベルの値(整数値)- 値が大きい方がより信頼できるという意味
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# security-level 50
ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# security-level 100Firepower を通過する通信の入力/出力インターフェースの security-level の大小関係によって、通信の許可/拒否の動作が決まります。そのため Firepower の通信制御を設計する上で重要な設定となります。
IP アドレス設定
★静的なアドレスを設定する場合
ip address <address> <subnet-mask>
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# ip address 192.168.100.30 255.255.255.0★DHCPクライアントとする場合
ip address dhcp [setroute]setroute:オプション。DHCP サーバから取得するデフォルトゲートウェイを使用したデフォルトルートをルーティングテーブルにインストールする場合は設定する
ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# ip address dhcp setrouteshutdown 設定
shutdown と設定すると、そのインターフェースは管理的に down の状態となり使用できなくなります。shutdown 有効/無効は以下のコマンドで設定します。
shutdown- shutdown 状態に設定します
no shutdown- shutdown 状態を解除します
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# shutdown
ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# no shutdownDescription の設定
Description はインターフェースに関する任意の説明文字列です。インターフェースについて説明文字列を残しておきたい場合に設定します。インターフェースの接続先情報を入れることが多いです。
description <string><string>:任意の文字列。200文字以内で設定
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# description To-Core-SwitchSpeed/Duplex の設定
インターフェースの Speed/Duplex はデフォルトでは auto/auto となっています。
これらを固定値に変更したい場合は以下のコマンドで設定します。
speed <speed><speed>:Speed 値。10/100/1000/auto から設定する
duplex <duplex><duplex>:Duplex 値。full/half/auto から設定する
ciscoasa(config)# interface Ethernet1/3
ciscoasa(config-if)# speed 1000
ciscoasa(config-if)# duplex fullmanagement-only の設定
management-only を設定すると、そのインターフェースは管理アクセスのみに使用でき、通常のサービス通信は通過できないインターフェースとなります。管理インターフェースを持つモデルでは、その管理インターフェースはデフォルトで management-only が有効となっています。通常の Ethernet インターフェースで management-only を有効化することも可能です。
management-only
ciscoasa(config)# interface Ethernet1/8
ciscoasa(config-if)# management-only管理アクセス設定【Console,Telnet,SSH,HTTPS】
Firepower 管理のために Console、Telnet、SSH、HTTPS アクセスするための設定について説明します。
ローカルユーザの設定
ログインに使用するローカルユーザの設定をします。
以下のコマンドでローカルユーザを追加できます。
username <ユーザ名> password <パスワード>- パスワードは8文字以上である必要があります
ciscoasa(config)# username admin password mypassword
ciscoasa(config)#Username: test
Password: **********
This is your first login. Please set a new password before proceeding.
Enter old password: **********
Enter new password: ***********
Confirm new password: ***********シリアルコンソール接続時に認証させる設定
デフォルトではシリアルコンソール接続は認証無しでログインできます。
これをローカルユーザ認証に変更することができます。
aaa authentication serial console LOCAL
ciscoasa(config)# aaa authentication serial console LOCAL
ciscoasa(config)#Telnet 接続用設定
◆接続許可クライアント IP の設定
Telnet 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 Telnet 接続はできないため設定は必須です。
telnet <source_address> <subnet-mask> <source-interface><source-interface>には Telnet アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# telnet 10.20.30.0 255.255.255.0 inside◆認証方法の設定(ローカルユーザ認証にする場合)
Telnet 接続をする際の認証方法としてローカルユーザを使用する場合は以下の設定を行います。
aaa authentication telnet console LOCAL
ciscoasa(config)# aaa authentication telnet console LOCAL◆Telent 用ログインパスワードの設定(パスワード認証にする場合)
Telent 接続時の認証をパスワードのみにする場合は以下の設定を行います。
passwd <password>
ciscoasa(config)# passwd mytelnetpassSSH 接続用設定
◆SSH 接続に必要な RSA キーペアの生成
crypto key generate rsa modulus <size><size>:鍵サイズ。512、768、1024、2048、3072、または 4096。2048 以上が推奨
ciscoasa(config)# crypto key generate rsa modulus 2048◆接続許可クライアント IP の設定
SSH 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 SSH 接続はできないため設定は必須です。
ssh <source_address> <subnet-mask> <source-interface><source-interface>には SSH アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# ssh 10.20.30.0 255.255.255.0 inside◆認証方法の設定(ローカルユーザ認証)
SSH 接続をする際の認証方法としてローカルユーザを使用するための設定を行います。
aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication ssh console LOCALHTTPS 接続用設定
HTTPS (ASDM) 接続用の設定です。
◆接続許可クライアント IP の設定
HTTPS 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 ASDM に接続はできないため設定は必須です。
http <source_address> <subnet-mask> <source-interface><source-interface>には HTTPS アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# http 192.168.45.0 255.255.255.0 management◆認証方法の設定(ローカルユーザ認証)
HTTPS 接続をする際の認証方法としてローカルユーザを使用するための設定を行います。
aaa authentication http console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL時刻設定
タイムゾーン設定
タイムゾーンを日本時間に設定するためには以下のコマンドで設定します。
clock timezone Asia/Tokyoclock timezone Japanでも同じ意味になるが、コンフィグ上の表記に違いが出ます。
ciscoasa(config)# clock timezone Asia/Tokyo時刻の手動設定
時刻を手動設定するためには、特権モードで以下コマンドにて設定します。
clock set hh:mm:ss Day Month yyyyhh:mm:ss:時・分・秒Day:日。1-31 から指定Month:月。Jun、Feb、… のように3文字で指定yyyy:年
ciscoasa# clock set 20:43:30 17 Mar 2024
ciscoasa#現在時刻は show clock コマンドで確認できます。
ciscoasa# show clock
20:43:33.579 JST Sun Mar 17 2024NTP サーバとの時刻同期設定
NTP サーバと時刻同期するための設定は以下の通りです。
ntp server <address> [source <nameif>] [prefer]<address>:NTP サーバのアドレスsource <nameif>:オプション。NTP パケットの送信元インターフェースの名前(nameif の値で指定)。指定しない場合はルーティングにおける出力インターフェースが送信元となるprefer:オプション。NTP サーバを複数指定した場合に、prefer 指定されている NTP サーバが優先して使用される
ciscoasa(config)# ntp server 133.243.238.163 source outside
ciscoasa(config)# ntp server 61.205.120.130 source outside preferNTP 同期状態はshow ntp associationsコマンドで確認できます。
ciscoasa# show ntp associations
address ref clock st when poll reach delay offset disp
+~133.243.238.163 .NICT. 1 41 64 1 16.3 -2.00 15890.
*~61.205.120.130 .NICT. 1 30 64 3 25.3 -2.20 7891.5
* master (synced), # master (unsynced), + selected, - candidate, ~ configuredaddress 欄のマークで同期状態を確認できます。
- 「
*~」→ 同期できていて実際に利用されている NTP サーバ - 「
+~」→ 同期できているが利用されていない NTP サーバ - 「
~」→ 設定されているだけで同期できていない NTP サーバ
show ntp status コマンドでも時刻同期状態を核にできます。
ciscoasa# show ntp status
Clock is synchronized, stratum 2, reference is 61.205.120.130
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is e9a1577c.76c2404e (20:50:20.463 JST Sun Mar 17 2024)
clock offset is -2.1971 msec, root delay is 25.31 msec
root dispersion is 3897.54 msec, peer dispersion is 3895.34 msecDNSサーバの設定
Firepower が名前解決するための DNS サーバの設定について説明します。
DNSクエリの出力有効インターフェースの設定
名前解決を行うためにはまず DNS クエリの出力を有効化するインターフェースを設定する必要があります。
dns domain-lookup <nameif><nameif>:DNSクエリ出力を有効化するインターフェースの nameif を指定
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)#DNSサーバの設定
DNS クエリの宛先となる DNS サーバの設定です。
DNS server-group DefaultDNS- DNSサーバグループ DefaultDNS の設定モードへ移行します
name-server <address> [<nameif>]- DNS サーバの設定
<address>:DNSサーバのアドレス<nameif>:オプション。DNSサーバがどのインターフェース先にいるか- 複数の DNS サーバを設定することが可能
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 8.8.8.8 outside
ciscoasa(config-dns-server-group)# name-server 8.8.4.4 outside
ciscoasa(config-dns-server-group)#設定後、名前解決ができるかを確認するためには ping の宛先をドメイン指定で実行します。
ciscoasa# ping google.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 142.251.42.174, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/16/20 ms上のように宛先 IP アドレスが表示されていれば正常に名前解決できているといえます。
補足:Firepower のシャットダウン方法
Firepower の電源を落とすときはシャットダウン処理を実行してから電源スイッチをOFFまたは電源ケーブルを抜く必要があります。
シャットダウンの手順は以下の通りです。
① 対象機器にコンソール接続する
② FXOS に移行する
connect fxos admin
ciscoasa# connect fxos admin
Configuring session.
.
Connecting to FXOS.
(中略)
firepower-1010#③ local-mgmt に移行する
connect local-mgmt
firepower-1010# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-1010(local-mgmt)#④ shutdown コマンドを実行する
・Do you still want to shutdown? (yes/no): と表示されるため yes と入力
firepower-1010(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no):yes⑤ Do you want to reboot instead? [y/N] と表示されたらNを入力
System is stopped.
It is safe to power off now.
Do you want to reboot instead? [y/N] N
INIT: no more processes left in this runlevel上のように INIT: no more processes left in this runlevel と表示されたら電源スイッチを OFF または電源ケーブルを抜いて OK です。
コメント