当サイトはGoogle検索にまだ表示されないためBing検索をご利用ください> Membership

Cisco Firepower(ASA) 構築者向け初期設定マニュアル

目次

本記事について

本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、どのような案件でも設定するであろう一般的な設定項目についての設定方法について記載します。

なお、Firepower にはファイアウォール機能の使用を目的とした ASA OS と、UTM機能の使用を目的とした FTD OS がありますが、ここでは ASA OS がインストールされた Firepower を対象とします。

対象環境

本記事の内容は、以下の機器にて動作確認した結果に基づいて作成しています。

  • FPR-1010
    • ASA Version 9.18(3)56

注意事項

Firepower では、オプションライセンスの有無に関わらずスマートライセンスによるライセンス管理が必要です。本記事ではライセンス認証に関する設定については記載しません。後日、別記事を作成して説明します。

あわせて読みたい
Cisco Firepower(ASA) スマートライセンス認証マニュアル (Online) 本記事について 本記事では、Cisco システムズ社のファイアウォール製品である Firepower について、オンライン方式でスマートライセンス認証を行う方法について記載し...

機器起動から初回ログイン

操作用端末を Firepower にコンソール接続し、Firepower に電源ケーブルを接続します。Firepower 1010 の場合は電源スイッチはありませんが、上位のモデルの場合は電源スイッチがあるため電源スイッチを ON にします。

Firepower が起動しきるまで 5~10分程度要するためしばらく待ちます。

起動が完了すると以下のようにciscoasa>のプロンプトが表示されます。

ciscoasa>

enableコマンドを実行し、特権EXECモードに移行します。このとき、enable パスワードの設定を求められるため、8文字以上の任意のパスワードを2回入力して設定します。

ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: **********
Repeat Password: **********
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#

コンフィグの保存方法

Cisco Firepower には以下のコンフィグがあります。

Firepower(ASA)のコンフィグ
  • ランニングコンフィグ (running-config)
    • 機器動作に影響する実行中のコンフィグ
  • スタートアップコンフィグ (startup-config)
    • 保存済みコンフィグであり、機器起動時に読み込まれランニングコンフィグにコピーされる

Firepower で行った設定変更はランニングコンフィグに反映されます。機器再起動後にも反映させたい場合には write memoryコマンドを実行しコンフィグの保存を行う必要があります。

ciscoasa# write memory
Building configuration...
Cryptochecksum: 7c49408d 4c319a39 1401b420 4991ad80

11679 bytes copied in 0.400 secs
[OK]

ホスト名の設定

ホスト名は以下コマンドで設定します。

  • hostname <ホスト名>
ciscoasa(config)# hostname Firepower1010
Firepower1010(config)#

設定後、プロンプトが設定したホスト名に変わったことを確認してください。

ドメイン名の設定

ドメイン名は以下コマンドで設定します。

  • domain-name <ドメイン名>
Firepower1010(config)# domain-name shadowgarden.org
Firepower1010(config)#

show hostname fqdnコマンドを実行すると、自機器の FQDN を確認できます。

Firepower1010# show hostname fqdn
Firepower1010.shadowgarden.org

インターフェース基本設定

インターフェース設定モードで行う、インターフェースの基本設定について説明します。

switchport の設定 (FPR-1010 限定)

FPR-1010 では、各ポートがスイッチポートとしてもルーテッドポートとしても機能することができ、デフォルトではスイッチポートモードになっています。

ポートモードの切替
  • switchport
    • スイッチポートに切り替える
  • no switchport
    • ルーテッドポートに切り替える
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# switchport

ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# no switchport

nameif の設定

nameif はインターフェースの名前の設定です。Firepower(ASA) では様々な設定においてインターフェースを指定する際に Ethernet1/x といったインターフェースそのものの名前ではなく、この nameif で設定した名前を使用します。

nameif の設定
  • nameif <名前>
    • 最大 48 文字で名前を設定する
    • 名前は大文字と小文字が区別されない
    • 複数のインターフェースに同一の名前を設定することはできない
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# nameif outside

ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif inside
Point

nameif として「inside」や「outside」は特別な意味を持ちます。「inside」は内部の信頼できるネットワーク、「outside」は外部の信頼できないネットワークを意味します。nameif の値として「inside」や「outside」を設定すると、 security-level が自動で以下の値に設定されます。

  • inside ⇒ security-level 100
  • outside ⇒ security-level 0

security-level の設定

security-level は、インターフェース先のネットワークがどの程度信頼できるかを示す設定です。

security-level の設定
  • security-level <0-100>
    • <0-100>:セキュリティレベルの値(整数値)
    • 値が大きい方がより信頼できるという意味
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# security-level 50

ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# security-level 100

Firepower を通過する通信の入力/出力インターフェースの security-level の大小関係によって、通信の許可/拒否の動作が決まります。そのため Firepower の通信制御を設計する上で重要な設定となります。

IP アドレス設定

★静的なアドレスを設定する場合

静的アドレス設定
  • ip address <address> <subnet-mask>
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# ip address 192.168.100.30 255.255.255.0

★DHCPクライアントとする場合

DHCPクライアント設定
  • ip address dhcp [setroute]
    • setroute:オプション。DHCP サーバから取得するデフォルトゲートウェイを使用したデフォルトルートをルーティングテーブルにインストールする場合は設定する
ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# ip address dhcp setroute

shutdown 設定

shutdown と設定すると、そのインターフェースは管理的に down の状態となり使用できなくなります。shutdown 有効/無効は以下のコマンドで設定します。

shutdown 設定
  • shutdown
    • shutdown 状態に設定します
  • no shutdown
    • shutdown 状態を解除します
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# shutdown

ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# no shutdown

Description の設定

Description はインターフェースに関する任意の説明文字列です。インターフェースについて説明文字列を残しておきたい場合に設定します。インターフェースの接続先情報を入れることが多いです。

Description 設定
  • description <string>
    • <string>:任意の文字列。200文字以内で設定
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# description To-Core-Switch

Speed/Duplex の設定

インターフェースの Speed/Duplex はデフォルトでは auto/auto となっています。

これらを固定値に変更したい場合は以下のコマンドで設定します。

Speed 設定
  • speed <speed>
    • <speed>:Speed 値。10/100/1000/auto から設定する
Duplex 設定
  • duplex <duplex>
    • <duplex>:Duplex 値。full/half/auto から設定する
ciscoasa(config)# interface Ethernet1/3
ciscoasa(config-if)# speed 1000
ciscoasa(config-if)# duplex full

management-only の設定

management-only を設定すると、そのインターフェースは管理アクセスのみに使用でき、通常のサービス通信は通過できないインターフェースとなります。管理インターフェースを持つモデルでは、その管理インターフェースはデフォルトで management-only が有効となっています。通常の Ethernet インターフェースで management-only を有効化することも可能です。

management-only 設定
  • management-only
ciscoasa(config)# interface Ethernet1/8
ciscoasa(config-if)# management-only

管理アクセス設定【Console,Telnet,SSH,HTTPS】

Firepower 管理のために Console、Telnet、SSH、HTTPS アクセスするための設定について説明します。

ローカルユーザの設定

ログインに使用するローカルユーザの設定をします。

以下のコマンドでローカルユーザを追加できます。

  • username <ユーザ名> password <パスワード>
    • パスワードは8文字以上である必要があります
ciscoasa(config)# username admin password mypassword
ciscoasa(config)#

コンソール、Telnet、SSH の何れかで作成したユーザを使用して初めてログインする時にパスワードの変更が必要になります。よって、ユーザ作成時にはダミーのパスワードを設定し、その後一度作成したユーザでログインして正規のパスワードを再設定することをお勧めします。

Username: test
Password: **********
This is your first login. Please set a new password before proceeding.
Enter old password:   **********
Enter new password:   ***********
Confirm new password: ***********

シリアルコンソール接続時に認証させる設定

デフォルトではシリアルコンソール接続は認証無しでログインできます。

これをローカルユーザ認証に変更することができます。

シリアルコンソール接続をローカルユーザ認証にする設定
  • aaa authentication serial console LOCAL
ciscoasa(config)# aaa authentication serial console LOCAL
ciscoasa(config)#

Telnet 接続用設定

◆接続許可クライアント IP の設定

Telnet 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 Telnet 接続はできないため設定は必須です。

Telnet 許可クライアントIP設定
  • telnet <source_address> <subnet-mask> <source-interface>
    • <source-interface> には Telnet アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# telnet 10.20.30.0 255.255.255.0 inside

◆認証方法の設定(ローカルユーザ認証にする場合)

Telnet 接続をする際の認証方法としてローカルユーザを使用する場合は以下の設定を行います。

ローカルユーザ認証の設定
  • aaa authentication telnet console LOCAL
ciscoasa(config)# aaa authentication telnet console LOCAL

◆Telent 用ログインパスワードの設定(パスワード認証にする場合)

Telent 接続時の認証をパスワードのみにする場合は以下の設定を行います。

認証用パスワードの設定
  • passwd <password>
ciscoasa(config)# passwd mytelnetpass

aaa authentication telnet console LOCAL と passwd の両方を設定した場合、ローカルユーザ認証が優先されます。

security-level が 0 のインターフェース宛の Telnet 接続はできません。

SSH 接続用設定

◆SSH 接続に必要な RSA キーペアの生成

RSA キーペアの生成
  • crypto key generate rsa modulus <size>
  • <size> :鍵サイズ。512、768、1024、2048、3072、または 4096。2048 以上が推奨
ciscoasa(config)# crypto key generate rsa modulus 2048

◆接続許可クライアント IP の設定

SSH 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 SSH 接続はできないため設定は必須です。

SSH 許可クライアントIP設定
  • ssh <source_address> <subnet-mask> <source-interface>
    • <source-interface> には SSH アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# ssh 10.20.30.0 255.255.255.0 inside

◆認証方法の設定(ローカルユーザ認証)

SSH 接続をする際の認証方法としてローカルユーザを使用するための設定を行います。

ローカルユーザ認証の設定
  • aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication ssh console LOCAL

HTTPS 接続用設定

HTTPS (ASDM) 接続用の設定です。

◆接続許可クライアント IP の設定

HTTPS 接続を許可する接続元クライアント IP を設定します。これを設定していない場合 ASDM に接続はできないため設定は必須です。

HTTPS 許可クライアントIP設定
  • http <source_address> <subnet-mask> <source-interface>
    • <source-interface> には HTTPS アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# http 192.168.45.0 255.255.255.0 management

◆認証方法の設定(ローカルユーザ認証)

HTTPS 接続をする際の認証方法としてローカルユーザを使用するための設定を行います。

ローカルユーザ認証の設定
  • aaa authentication http console LOCAL
ciscoasa(config)# aaa authentication http console LOCAL

時刻設定

タイムゾーン設定

タイムゾーンを日本時間に設定するためには以下のコマンドで設定します。

タイムゾーン設定
  • clock timezone Asia/Tokyo
    • clock timezone Japanでも同じ意味になるが、コンフィグ上の表記に違いが出ます。
ciscoasa(config)# clock timezone Asia/Tokyo

時刻の手動設定

時刻を手動設定するためには、特権モードで以下コマンドにて設定します。

時刻の手動設定
  • clock set hh:mm:ss Day Month yyyy
    • hh:mm:ss:時・分・秒
    • Day:日。1-31 から指定
    • Month:月。Jun、Feb、… のように3文字で指定
    • yyyy:年
ciscoasa# clock set 20:43:30 17 Mar 2024
ciscoasa#

現在時刻は show clock コマンドで確認できます。

ciscoasa# show clock
20:43:33.579 JST Sun Mar 17 2024

NTP サーバとの時刻同期設定

NTP サーバと時刻同期するための設定は以下の通りです。

NTPサーバ設定
  • ntp server <address> [source <nameif>] [prefer]
    • <address>:NTP サーバのアドレス
    • source <nameif>:オプション。NTP パケットの送信元インターフェースの名前(nameif の値で指定)。指定しない場合はルーティングにおける出力インターフェースが送信元となる
    • prefer:オプション。NTP サーバを複数指定した場合に、prefer 指定されている NTP サーバが優先して使用される
ciscoasa(config)# ntp server 133.243.238.163 source outside
ciscoasa(config)# ntp server 61.205.120.130 source outside prefer

NTP 同期状態はshow ntp associationsコマンドで確認できます。

ciscoasa# show ntp associations
      address         ref clock     st  when  poll reach  delay  offset    disp
+~133.243.238.163  .NICT.            1    41    64    1    16.3   -2.00  15890.
*~61.205.120.130   .NICT.            1    30    64    3    25.3   -2.20  7891.5
 * master (synced), # master (unsynced), + selected, - candidate, ~ configured

address 欄のマークで同期状態を確認できます。

  • *~」→ 同期できていて実際に利用されている NTP サーバ
  • +~」→ 同期できているが利用されていない NTP サーバ
  • ~」→ 設定されているだけで同期できていない NTP サーバ

show ntp status コマンドでも時刻同期状態を核にできます。

ciscoasa# show ntp status
Clock is synchronized, stratum 2, reference is 61.205.120.130
nominal freq is 99.9984 Hz, actual freq is 99.9984 Hz, precision is 2**6
reference time is e9a1577c.76c2404e (20:50:20.463 JST Sun Mar 17 2024)
clock offset is -2.1971 msec, root delay is 25.31 msec
root dispersion is 3897.54 msec, peer dispersion is 3895.34 msec

DNSサーバの設定

Firepower が名前解決するための DNS サーバの設定について説明します。

DNSクエリの出力有効インターフェースの設定

名前解決を行うためにはまず DNS クエリの出力を有効化するインターフェースを設定する必要があります。

名前解決の有効化
  • dns domain-lookup <nameif>
    • <nameif>:DNSクエリ出力を有効化するインターフェースの nameif を指定
ciscoasa(config)# dns domain-lookup outside
ciscoasa(config)#

DNSサーバの設定

DNS クエリの宛先となる DNS サーバの設定です。

DNSサーバの設定
  1. DNS server-group DefaultDNS
    • DNSサーバグループ DefaultDNS の設定モードへ移行します
  2. name-server <address> [<nameif>]
    • DNS サーバの設定
    • <address>:DNSサーバのアドレス
    • <nameif>:オプション。DNSサーバがどのインターフェース先にいるか
    • 複数の DNS サーバを設定することが可能
ciscoasa(config)# DNS server-group DefaultDNS
ciscoasa(config-dns-server-group)# name-server 8.8.8.8 outside
ciscoasa(config-dns-server-group)# name-server 8.8.4.4 outside
ciscoasa(config-dns-server-group)#

設定後、名前解決ができるかを確認するためには ping の宛先をドメイン指定で実行します。

ciscoasa# ping google.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 142.251.42.174, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 10/16/20 ms

上のように宛先 IP アドレスが表示されていれば正常に名前解決できているといえます。

補足:Firepower のシャットダウン方法

Firepower の電源を落とすときはシャットダウン処理を実行してから電源スイッチをOFFまたは電源ケーブルを抜く必要があります。

シャットダウンの手順は以下の通りです。

① 対象機器にコンソール接続する

② FXOS に移行する

  • connect fxos admin
ciscoasa# connect fxos admin
Configuring session.
.
Connecting to FXOS.
(中略)
firepower-1010#

③ local-mgmt に移行する

  • connect local-mgmt
firepower-1010# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-1010(local-mgmt)#

④ shutdown コマンドを実行する
Do you still want to shutdown? (yes/no): と表示されるため yes と入力

firepower-1010(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no):yes

⑤ Do you want to reboot instead? [y/N] と表示されたらNを入力

System is stopped.
It is safe to power off now.

Do you want to reboot instead? [y/N] N
INIT: no more processes left in this runlevel

上のように INIT: no more processes left in this runlevel と表示されたら電源スイッチを OFF または電源ケーブルを抜いて OK です。

あわせて読みたい
【極秘】Cisco Firepower 設計構築マニュアル 基礎知識 https://shadowgarden.org/cisco-firepower-init/ スマートライセンス https://shadowgarden.org/cisco-firepower-license-online/ バージョンアップ https://...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次