1行目: |
1行目: |
| + | Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。 |
| + | |
| + | このページでは Firepower の動作についてまとめています。 |
| + | |
| + | == Cisco コミュニティのまとめページ == |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング] |
| + | |
| + | == Firepower のアーキテクチャ == |
| + | FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。 |
| + | |
| + | [https://www.cisco.com/c/ja_jp/support/docs/security/firepower-ngfw/214572-firepower-data-path-troubleshooting-ove.html Firepowerデータパスのトラブルシューティング:概要]<syntaxhighlight lang="diff"> |
| + | 2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。 |
| + | 従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、 |
| + | URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。 |
| + | |
| + | |
| + | </syntaxhighlight> |
| + | |
| + | == ASA と Firepower の違い == |
| + | |
| + | === ASA === |
| + | 以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。 |
| + | |
| + | Firepower 上でも ASA OS として動作させることが可能な製品が存在する。 |
| + | |
| + | === Firepower === |
| + | 仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。 |
| + | |
| + | Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。 |
| + | |
| + | * ASA アプライアンス モード |
| + | ** レイヤ 4 までのフィルタリング、VPN 機能などを備える |
| + | * FTD プラットフォーム モード |
| + | ** レイヤ 7 までを含み、脅威の監査などを行う |
| + | ** IPS / NGFW / FTD |
| + | FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。 |
| + | |
| + | === 動作モード === |
| + | 機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。 |
| + | |
| + | また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。 |
| + | |
| + | * Firepower 1000 シリーズ : ASA アプライアンスモード |
| + | * Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード |
| + | * Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード |
| + | * Firepower 4100 シリーズ : FTD プラットフォーム モード |
| + | * Firepower 9300 シリーズ : FTD プラットフォーム モード |
| + | 機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。 |
| + | |
| + | === Firepower Management Center (FMC) === |
| + | |
| + | === Cisco Defense Orchestrator (CDO) === |
| + | |
| + | |
| + | 詳細は以下のドキュメントが詳しい。 |
| + | |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介] |
| + | |
| == 冗長化 == | | == 冗長化 == |
| [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] | | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)] |
| + | |
| + | |
| + | |
| + | == バックアップ・リストア == |
| + | FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。 |
| + | |
| + | また、機能によってはリストアに対応しない機能もあります。 |
| + | |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-6-3%E4%BB%A5%E9%99%8D-ftd%E3%81%AE%E3%83%90%E3%83%83%E3%82%AF%E3%82%A2%E3%83%83%E3%83%97%E3%81%A8%E3%83%AA%E3%82%B9%E3%83%88%E3%82%A2%E6%96%B9%E6%B3%95-fmc%E7%AE%A1%E7%90%86%E6%99%82/ta-p/3945173 Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)]<syntaxhighlight lang="diff"> |
| + | ・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。 |
| + | ・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です |
| + | </syntaxhighlight> |
| | | |
| == 注意するべき内容 == | | == 注意するべき内容 == |
| + | |
| + | === Portchannel のステータスが ASA OS から確認できない === |
| + | ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。 |
| + | |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff"> |
| + | ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。 |
| + | </syntaxhighlight>ASA から FXOS にコンソールを切り替えて、コマンドを実施します。 |
| + | |
| + | ==== show portchannel summary (上記 URL から引用) ==== |
| + | <syntaxhighlight lang="diff"> |
| + | firepower-2110# connect local-mgmt |
| + | firepower-2110(local-mgmt)# |
| + | firepower-2110(local-mgmt)# show portchannel summary |
| + | Flags: D - Down P - Up in port-channel (members) |
| + | I - Individual H - Hot-standby (LACP only) |
| + | s - Suspended r - Module-removed |
| + | S - Switched R - Routed |
| + | U - Up (port-channel) |
| + | M - Not in use. Min-links not met |
| + | -------------------------------------------------------------------------------- |
| + | |
| + | Group Port- Type Protocol Member Ports |
| + | Channel |
| + | -------------------------------------------------------------------------------- |
| + | |
| + | 1 Po1(U) Eth LACP Eth1/3(P) Eth1/4(P) |
| + | </syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。 |
| | | |
| === 電源 off / 再起動は明示的に実施する === | | === 電源 off / 再起動は明示的に実施する === |
| Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。 | | Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。 |
− |
| |
| | | |
| [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%A8-ftd%E3%81%A8-firepower-module%E3%81%AE-%E5%86%8D%E8%B5%B7%E5%8B%95%E6%89%8B%E9%A0%86/ta-p/3162141#toc-hId-1745265720 Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順]<syntaxhighlight lang="diff"> | | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%A8-ftd%E3%81%A8-firepower-module%E3%81%AE-%E5%86%8D%E8%B5%B7%E5%8B%95%E6%89%8B%E9%A0%86/ta-p/3162141#toc-hId-1745265720 Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順]<syntaxhighlight lang="diff"> |
12行目: |
108行目: |
| | | |
| 電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。 | | 電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。 |
| + | </syntaxhighlight>ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。 |
| + | |
| + | データベース破損による差インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。 |
| + | |
| + | |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR3100/FPR4100/FPR9300)]<syntaxhighlight lang="diff"> |
| + | FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください |
| + | 再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。 |
| + | |
| + | firepower# connect ftd |
| + | > |
| + | > |
| + | > reboot |
| + | </syntaxhighlight><syntaxhighlight lang="diff"> |
| + | シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。 |
| + | |
| + | > shutdown |
| + | This command will shutdown the system. Continue? |
| + | Please enter 'YES' or 'NO': YES |
| </syntaxhighlight> | | </syntaxhighlight> |
| | | |
− | === インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する === | + | === インターフェース モードのパッシブは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する === |
| [https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff"> | | [https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff"> |
| インターフェイス モード | | インターフェイス モード |
29行目: |
144行目: |
| | | |
| </syntaxhighlight> | | </syntaxhighlight> |
| + | |
| + | === FMC から FTD が削除できない === |
| + | FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。 |
| + | |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法] |
| | | |
| == CLI == | | == CLI == |
39行目: |
159行目: |
| system support diagnostic-cli | | system support diagnostic-cli |
| </syntaxhighlight> | | </syntaxhighlight> |
| + | |
| + | == 推奨バージョン == |
| + | [https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Cisco Secure Firewall ASA Compatibility] |
| + | |
| + | == リファレンス == |
| + | [https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer] |
| + | |
| + | == 脆弱性・不具合情報 == |
| + | [https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E6%B3%A8%E6%84%8F%E5%96%9A%E8%B5%B7-asa-9-16-ftd-7-0%E7%B3%BB%E3%81%AE-fpr2100-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%8C%E8%B5%B7%E5%8B%95%E5%BE%8C-125%E6%97%A5%E5%89%8D%E5%BE%8C%E3%81%A7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4999005 【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について] |
| + | |
| + | * [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh04730 CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted] |
| + | * [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvy81493 CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION'] |
| + | |
| + | [https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-icmpv6-t5TzqwNd Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability] |
| + | |
| + | * CVE-2023-20086 |
| + | * CSCwd77581 |
| + | |
| + | = 引用 = |
| [[カテゴリ:Firepower]] | | [[カテゴリ:Firepower]] |