「2024-11-12 Firepower まとめ」の版間の差分

提供:hkatou_Lab
ナビゲーションに移動 検索に移動
編集の要約なし
編集の要約なし
 
(同じ利用者による、間の40版が非表示)
2行目: 2行目:


このページでは Firepower の動作についてまとめています。
このページでは Firepower の動作についてまとめています。
== Cisco コミュニティのまとめページ ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-and-ftd%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161733 Firepower System and FTDトラブルシューティング]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E3%83%95%E3%82%A1%E3%82%A4%E3%82%A2%E3%82%A6%E3%82%A9%E3%83%BC%E3%83%AB-%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3161736 ファイアウォール トラブルシューティング]


== Firepower のアーキテクチャ ==
== Firepower のアーキテクチャ ==
22行目: 27行目:


=== Firepower ===
=== Firepower ===
仮想基盤を元にした、プラットフォーム製品となった。
仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。


Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。
28行目: 33行目:
* ASA アプライアンス モード
* ASA アプライアンス モード
** レイヤ 4 までのフィルタリング、VPN 機能などを備える
** レイヤ 4 までのフィルタリング、VPN 機能などを備える
** ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
** ASA のコンフィグや運用は、ほぼそのまま踏襲可能
* FTD プラットフォーム モード
* FTD プラットフォーム モード
** レイヤ 7 までを含み、脅威の監査などを行う
** レイヤ 7 までを含み、脅威の監査などを行う
** IPS / NGFW / FTD
** IPS / NGFW / FTD
FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。


=== 動作モード ===
=== 動作モード ===
42行目: 50行目:
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 4100 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
* Firepower 9300 シリーズ : FTD プラットフォーム モード
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要なことがある。
機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。


=== Firepower Management Center (FMC) ===
=== Firepower Management Center (FMC) ===
52行目: 60行目:


[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-%E3%82%A2%E3%83%97%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%82%B9%E3%83%A2%E3%83%BC%E3%83%89%E3%81%AE%E6%A6%82%E8%A6%81%E7%B4%B9%E4%BB%8B/ta-p/4319018 Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower1000/2100/3100シリーズ: ASA(Appliance Mode)と FTD間のリイメージ手順について]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-3100%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-asa-appliance-mode-%E3%81%A8/ta-p/4442497 Firepower Threat Defense(FTD)管理インターフェイスの設定]


== 冗長化 ==
== 冗長化 ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-ftd-ha-ftd%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90%E3%81%AE%E7%B5%84%E3%81%BF%E6%96%B9%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0-fmc%E5%88%A9%E7%94%A8%E6%99%82/ta-p/3952716 Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)]


[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-health-monitoring%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3157060 ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90-act-stby-%E3%81%A7-active%E6%A9%9F%E3%81%A8standby%E6%A9%9F%E3%81%AE%E5%86%8D%E8%B5%B7%E5%8B%95%E6%96%B9%E6%B3%95-cli/ta-p/3166724 ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-failover-%E3%82%B1%E3%83%BC%E3%82%B9%E5%88%A5%E3%81%AEgarp%E9%80%81%E4%BB%98%E6%9C%89%E7%84%A1%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/3224179 ASA Failover: ケース別のGARP送付有無について]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-redundant-interface%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B%E3%81%A8%E5%8B%95%E4%BD%9C%E7%A2%BA%E8%AA%8D/ta-p/3164055 ASA: Redundant Interfaceの設定例と動作確認]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa5500-x-internet-firewall-%E8%A8%AD%E5%AE%9A%E4%BE%8B-%E5%86%97%E9%95%B7%E6%A7%8B%E6%88%90/ta-p/3165703 ASA5500-X: Internet Firewall 設定例 (冗長構成)]
== FMC 環境下のバックアップ・リストア ==
FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。
また、機能によってはリストアに対応しない機能もあります。
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-6-3%E4%BB%A5%E9%99%8D-ftd%E3%81%AE%E3%83%90%E3%83%83%E3%82%AF%E3%82%A2%E3%83%83%E3%83%97%E3%81%A8%E3%83%AA%E3%82%B9%E3%83%88%E3%82%A2%E6%96%B9%E6%B3%95-fmc%E7%AE%A1%E7%90%86%E6%99%82/ta-p/3945173 Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)]<syntaxhighlight lang="diff">
・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です
</syntaxhighlight>


== 注意するべき内容 ==
== 注意するべき内容 ==


=== Portchannel のステータスが ASA OS から確認できない ===
=== Portchannel のステータスが ASA OS から確認できない ===
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため。
ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。


[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower2100-asa-etherchannel%E3%81%AE%E8%A8%AD%E5%AE%9A%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95/ta-p/3785741 Firepower2100-ASA: EtherChannelの設定確認方法]<syntaxhighlight lang="diff">
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。
</syntaxhighlight>
</syntaxhighlight>ASA から FXOS にコンソールを切り替えて、コマンドを実施します。
 
==== show portchannel summary (上記 URL から引用) ====
<syntaxhighlight lang="diff">
firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended  r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
 
Group Port-      Type    Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------
 
1    Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)
</syntaxhighlight>その他のコマンドは上述の外部リンクの内容を参照してください。


=== 電源 off / 再起動は明示的に実施する ===
=== 電源 off / 再起動は明示的に実施する ===
73行目: 124行目:


電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。
</syntaxhighlight>ちなみに電源スイッチで off にした場合、シャットダウン スクリプトが動作するため、安全に切れるようになっています。
</syntaxhighlight>ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である <ref>[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。]</ref> ため、安全に切れるようになっています。
 
データベース破損による再インストールが発生しかねない'''危険な作業は、電源ケーブルの直接抜去'''です。
 
==== ASA 再起動 ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。
 
FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel:  Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca
 
6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]
 
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
  --- 略 ---
</syntaxhighlight>


=== インターフェース モードのパッシブは LACP の passive と異なり、SPAN でキャプチャすることによるモニター モードを意味する ===
==== ASA シャットダウン ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId--1845657668 FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)
 
FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
  --- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes
</syntaxhighlight>
 
==== FTD 再起動 ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165][https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。
 
firepower# connect ftd
>
>
> reboot
</syntaxhighlight>
 
==== FTD シャットダウン ====
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/fxos-%E3%82%B7%E3%83%A3%E3%83%BC%E3%82%B7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%A8%E5%81%9C%E6%AD%A2%E6%96%B9%E6%B3%95-fpr1000-fpr2100-fpr3100-fpr4100-fpr9300/ta-p/3211522#toc-hId-641855165 FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください]<syntaxhighlight lang="diff">
シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。
 
> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES
</syntaxhighlight>
 
=== インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する ===
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff">
[https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-config-guide-640_chapter_01001.html#concept_32B051978CC24E7EA8361AB5384FB145 Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)]<syntaxhighlight lang="diff">
インターフェイス モード
インターフェイス モード
90行目: 200行目:


</syntaxhighlight>
</syntaxhighlight>
=== FMC から FTD が削除できない ===
FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower-system-fmc%E3%81%8B%E3%82%89%E3%81%AE%E3%83%87%E3%83%90%E3%82%A4%E3%82%B9%E7%99%BB%E9%8C%B2%E3%81%AE%E5%BC%B7%E5%88%B6%E5%89%8A%E9%99%A4%E6%96%B9%E6%B3%95/ta-p/3921756 Firepower System: FMCからのデバイス登録の強制削除方法]
=== ASA の Port-channel はシャーシまたぎに対応しない ===
Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。
ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。
Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2
ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。
* ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある


== CLI ==
== CLI ==
100行目: 224行目:
system support diagnostic-cli
system support diagnostic-cli
</syntaxhighlight>
</syntaxhighlight>
== 推奨バージョン ==
[https://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html Cisco Secure Firewall ASA Compatibility]
== Verup ==
ASA は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。
両系を同時に再起動することなく、Verup することができる。
[https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/200887-upgrading-an-asa-ha-pair-on-firepower-ap.html FirepowerアプライアンスでのASA HAペアのアップグレード]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/planning.html#id_58680 Cisco Secure Firewall ASA アップグレードガイド]
* 日本語版は情報が古いため、英語版の [https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/planning.html Cisco Secure Firewall ASA Upgrade Guide] を参照したほうが良い
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#concept_xxv_yvn_kkb アクティブ/スタンバイ フェールオーバー ペアのアップグレード]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/firepower1000-2100-asa%E3%81%AE%E3%82%A2%E3%83%83%E3%83%97%E3%82%B0%E3%83%AC%E3%83%BC%E3%83%89%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4736810 Firepower1000/2100: ASAのアップグレードについて]
== threat-detection 脅威検出 ==
=== デフォルトの動作 ===
デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。<blockquote>CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa920/configuration/firewall/asa-920-firewall-config/conns-threat.html#ID-2132-0000006a 脅威検出のデフォルト]
* 表 2. 基本的な脅威の検出のデフォルト設定
* 基本脅威検出は、デフォルトでイネーブルになっています。
* これをディセーブルにするには no threat-detection basic-threat を使用します。
* 任意)攻撃元のホストを遮断する期間を設定します。
** threat-detection scanning-threat shun duration seconds
[https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/113685-asa-threat-detection.html ASA脅威の検出機能と設定の確認]</blockquote>
=== ASA OS の threat-detection でパケットが遮断される場合の対処法 ===
ASA OS は threat-detection で パケットを遮断する場合がある。
運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。
試験環境の場合、以下で回避可能。
==== 除外する場合 ====
こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。
* show shun でエントリがあるか確認する
* 以下で shun の範囲から除外する
threat-detection scanning-threat shun except ip-address <IP> <mask>
==== 遮断を解除する場合 ====
* [https://www.cisco.com/c/ja_jp/td/docs/sec/firewall/asa5500nextgenerationfire/cr/001/cmdref80/c3.html#pgfId-2132414 clear threat-detection shun] <IP> で遮断のエントリを削除する
== リファレンス ==
[https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2020/pdf/R6BGArNQ/TECSEC-3004.pdf TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%82%B9%E3%83%9E%E3%83%BC%E3%83%88%E3%83%A9%E3%82%A4%E3%82%BB%E3%83%B3%E3%82%B9%E8%AA%8D%E8%A8%BC%E3%81%A8%E3%83%88%E3%83%A9%E3%83%96%E3%83%AB%E3%82%B7%E3%83%A5%E3%83%BC%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0/ta-p/3163034 ASA: スマートライセンス認証とトラブルシューティング]
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%83%AA%E3%83%A2%E3%83%BC%E3%83%88%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9vpn-%E3%83%91%E3%83%95%E3%82%A9%E3%83%BC%E3%83%9E%E3%83%B3%E3%82%B9%E6%9C%80%E9%81%A9%E5%8C%96%E3%81%AE%E3%81%9F%E3%82%81%E3%81%AE%E3%83%99%E3%82%B9%E3%83%88%E3%83%97%E3%83%A9%E3%82%AF%E3%83%86%E3%82%A3%E3%82%B9-anyconnect/ta-p/4061565 ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)]
== 脆弱性・不具合情報 ==
[https://community.cisco.com/t5/tkb-%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/%E6%B3%A8%E6%84%8F%E5%96%9A%E8%B5%B7-asa-9-16-ftd-7-0%E7%B3%BB%E3%81%AE-fpr2100-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA%E3%81%8C%E8%B5%B7%E5%8B%95%E5%BE%8C-125%E6%97%A5%E5%89%8D%E5%BE%8C%E3%81%A7%E5%86%8D%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%95%8F%E9%A1%8C%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/4999005 【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について]
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh04730 CSCwh04730 ASA/FTD HA checkheaps crash where memory buffers are corrupted]
* [https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvy81493 CSCvy81493 traceback and reload with 'CHECKHEAPS HAS DETECTED A MEMORY CORRUPTION']
[https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-icmpv6-t5TzqwNd Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability]
* CVE-2023-20086
* CSCwd77581
== コマンドリスト ==
作業日、全作業の事前・事後ログに取りたいコマンドのリスト。
作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。
{| class="wikitable"
|+Catalyst 9000 シリーズ 事前・事後ログリスト
!大区分
!小区分
!コマンド
!備考
|-
|ターミナル設定
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1640149 terminal pager 0]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/t1.html#pgfId-1701280 terminal monitor]
|
|-
|サポート
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s13.html#pgfId-1329992 show tech-support]
|
|-
|Common
|System Management
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1333320 show version]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s12.html#pgfId-1490934 show running-config]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-cli-reference/I-R/asa-command-ref-I-R/m_mf-mz.html#wp9874469650 more] system:running-config <ref>[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/ref-cli.html#ID-2118-000000c8 実行コンフィギュレーションの確認]
'''(注)  '''多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、'''more''' コマンドを使用します。</ref>
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519478 show logging]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1471958 show ntp associations]
|IOS-XE Version , ライセンス
動作中のコンフィグ
メモリに保存された log
NTP 同期
|-
| rowspan="2" |Layer1
|Hardware
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html?bookSearch=true#pgfId-1648516 show facility-alarm status]
|
|-
|Interface
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1497263 show interface]
|インターフェース
状態 カウンタ
エラーカウンタ
|-
| rowspan="2" |Layer2
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s14.html#pgfId-1390991 show vlan]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s9.html#pgfId-1519796 show mac address-table]
|Vlan
MAC アドレステーブル
|-
|Redundancy Protocol
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541047 show port-channel summary] (FX-OS)
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1541660 show port-channel load-balance]
|ポートチャネル
負荷分散メソッド
|-
| rowspan="3" |Layer3
|Common
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1449611 show arp]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1498091 show interface ip brief]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1458997 show ipv6 neighbors]
|ARP エントリ
IP インターフェース一覧
IPv6 ネイバー
|-
|Security
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s2.html#pgfId-1448836 show ip access-lists]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1505394 show ipv6 access-list]
|IPv4 アクセスリスト
IPv6 アクセスリスト
|-
|Routing
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s11.html#pgfId-1534280 show route]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s10.html#pgfId-1524577 show ospf neighbor]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1817627 show bgp summary]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show bgp neighbor] x.x.x.x advertised-routes
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1890703 show ip bgp neighbor] x.x.x.x received-routes
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500797 show ipv6 route]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1569189 show ipv6 ospf neighbor]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s8.html#pgfId-1500528 show ipv6 interface brief]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s4.html#pgfId-1922478 show bgp ipv6 summary]
|IPv4 ルート
OSPF ネイバー
BGP IPv4 ピア一覧
特定ピアの BGP 広報ルート
特定ピアの BGP 受信ルート
IPv4 ルート
IPv6 OSPF ネイバー
IPv6 インターフェース一覧
BGP IPv6 ピア一覧
|-
|High Availability
|
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s7.html#pgfId-1722599 show failover state]
|フェイルオーバー
|-
| rowspan="3" |ASA VPN
|Site-to-Site VPN
|[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487282 show crypto ikev1 sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1487767 show crypto ikev2 sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1578311 show crypto ipsec sa]
[https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/S/cmdref3/s5.html#pgfId-1585923 show crypto isakmp sa]
|セキュリティ アソシエーション
|-
|
|
|
|-
|
|
|
|}
= 引用 =
[[カテゴリ:Firepower]]
[[カテゴリ:Firepower]]

2024年12月19日 (木) 12:07時点における最新版

Cisco の Adaptive Secure Appliance (ASA) の後継として、Firepower がリリースされています。

このページでは Firepower の動作についてまとめています。

Cisco コミュニティのまとめページ

Firepower System and FTDトラブルシューティング

ファイアウォール トラブルシューティング

Firepower のアーキテクチャ

FPR2100 以外の製品でソフトウェア転送となっており、基本的に ASIC を使用しません。

Firepowerデータパスのトラブルシューティング:概要

2100シリーズのデバイスは他のデバイスと大きく異なり、特定用途向け集積回路(ASIC)が存在します。 
従来のASA機能(Lina)はすべてASIC上で実行され、次世代ファイアウォール(NGFW)機能(Snort、
URLフィルタリングなど)はすべて従来のx86アーキテクチャ上で実行されます。

ASA と Firepower の違い

ASA

以前販売されていたアプライアンス製品で、レイヤ 4 までのフィルタリング、VPN などが動作する。

Firepower 上でも ASA OS として動作させることが可能な製品が存在する。

Firepower

仮想基盤を元にした、プラットフォーム (サーバ) 製品となった。

Firepower eXtensible Operating System (FXOS) を仮想基盤として、2 つの動作モードが存在する。

  • ASA アプライアンス モード
    • レイヤ 4 までのフィルタリング、VPN 機能などを備える
    • ASA 導入済みで NGFW 機能が必要のない、DMZ 用クラシック FW に向いている
    • ASA のコンフィグや運用は、ほぼそのまま踏襲可能
  • FTD プラットフォーム モード
    • レイヤ 7 までを含み、脅威の監査などを行う
    • IPS / NGFW / FTD

FXOS は上記 ASA / FTD を、qemu / libvirt により VM もしくはコンテナとして動作させている。

動作モード

機種によっても動作可能なモードが異なり、両対応の場合はモード変更を行うことが可能。

また、ASA OS から FXOS , FXOS から ASA OS にログインすることもできる。

  • Firepower 1000 シリーズ : ASA アプライアンスモード
  • Firepower 2100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 3100 シリーズ : ASA アプライアンスモード、FTD プラットフォーム モード
  • Firepower 4100 シリーズ : FTD プラットフォーム モード
  • Firepower 9300 シリーズ : FTD プラットフォーム モード

機能によってはどちらかの OS でのみ対応する場合があるため、切り替えて確認が必要な状況がある。

Firepower Management Center (FMC)

Cisco Defense Orchestrator (CDO)

詳細は以下のドキュメントが詳しい。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介

Firepower1000/2100/3100シリーズ: ASA(Appliance Mode)と FTD間のリイメージ手順について

Firepower Threat Defense(FTD)管理インターフェイスの設定

冗長化

Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)

ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて

ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)

ASA Failover: ケース別のGARP送付有無について

ASA: Redundant Interfaceの設定例と動作確認

ASA5500-X: Internet Firewall 設定例 (冗長構成)

FMC 環境下のバックアップ・リストア

FMC で複数の FTD 統合管理している場合、コンフィグのバックアップを FMC に保存するか、FTD に保存するか検討する必要があります。

また、機能によってはリストアに対応しない機能もあります。

Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)

・FPR4100/9300利用時は、シャーシ管理用のOSであるFXOSの、バックアップとリストアが別途必要です。
・Flexconfigや、VPN、Certificate設定はリストアに対応しておらず、FTDリストア後の再設定が必要です

注意するべき内容

Portchannel のステータスが ASA OS から確認できない

ASA では Portchannel を管理せず、仮想基盤である FXOS で管理するようになったため、FXOS の CLI から確認する。

Firepower2100-ASA: EtherChannelの設定確認方法

ASA for Firepower2100 シリーズでは、主にFXOSのCLIからEtherchannelの設定確認コマンドを実施します。

ASA から FXOS にコンソールを切り替えて、コマンドを実施します。

show portchannel summary (上記 URL から引用)

firepower-2110# connect local-mgmt
firepower-2110(local-mgmt)#
firepower-2110(local-mgmt)# show portchannel summary
Flags:  D - Down        P - Up in port-channel (members)
I - Individual  H - Hot-standby (LACP only)
s - Suspended   r - Module-removed
S - Switched    R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------

Group Port-       Type     Protocol  Member Ports
      Channel
--------------------------------------------------------------------------------

1     Po1(U)      Eth      LACP      Eth1/3(P)    Eth1/4(P)

その他のコマンドは上述の外部リンクの内容を参照してください。

電源 off / 再起動は明示的に実施する

Firepower は仮想基盤上で FTD or ASA が動作するようになったため、電源 off , 再起動はコマンドや GUI から明示的に実施する必要があります。

Firepower System: FMCと FTDと FirePOWER Moduleの 再起動手順

Caution:

電源ケーブルの抜き差しや、電源ボタンのOFF/ONでの 再起動や システム停止は避けてください。 設定やデータベース情報などの破損やロストの原因に繋がる恐れがあります。

ちなみに ASA アプライアンス モード中に電源スイッチで off にした場合、シャットダウン スクリプトが動作する Graceful Shutdown である [1] ため、安全に切れるようになっています。

データベース破損による再インストールが発生しかねない危険な作業は、電源ケーブルの直接抜去です。

ASA 再起動

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

再起動を実施する場合は、ASAアプリケーションを reloadコマンドで再起動することで、FXOSも自動で再起動が発生します。

FPR2100-ASA# reload
admin01 config has been modified. Save? [Y]es/[N]o/[S]ave all/[C]ancel:  Y
Cryptochecksum: 02ec7f9d cd0b78cc 9e8d6cf2 2b8b26ca

6418 bytes copied in 0.960 secs
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down sw-module
Shutting down License Controller
Shutting down File system
   --- 略 ---

ASA シャットダウン

FPR1000/2100/3100シリーズでASAを利用時の再起動や停止方法を教えてください

シャットダウンを実施する場合は、connect fxos もしくは connect fxos admin コマンド (※) を実行後に、connect local-mgmt --> shutdown コマンドを実施してください。(※ASAアプライアンスモード利用時)

FPR2120# connect fxos admin
Configuring session.
Connecting to FXOS.
...
  --- 略 ---
firepower-2120#
firepower-2120# connect local-mgmt
Warning: network service is not available when entering 'connect local-mgmt'
firepower-2120(local-mgmt)# shutdown
Before shutdown, please take a configuration backup.
Do you still want to shutdown? (yes/no): yes

FTD 再起動

[1]FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください
再起動や停止をCLIから実施する場合は、再起動はFTDのCLIプロンプトから reboot コマンドで可能です。FXOSも自動で再起動が行われます。

firepower# connect ftd
>
>
> reboot

FTD シャットダウン

FPR1000/2100/3100シリーズでFTDを利用時の再起動や停止方法を教えてください

シャットダウンは、FTDのCLIプロンプトから shutdownコマンドで可能です。

> shutdown
This command will shutdown the system. Continue?
Please enter 'YES' or 'NO': YES

インターフェース モードのパッシブ コマンドは LACP の passive と異なり、キャプチャ (SPAN) によるモニター モードを意味する

Cisco Firepower Threat Defense コンフィギュレーション ガイド(Firepower Device Manager バージョン 6.4.0 用)

インターフェイス モード

インターフェイスごとに、次のいずれかのモードを設定できます。

ルーテッド

各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。

FMC から FTD が削除できない

FTD がオフラインの場合、FMC で当該ホストの削除はやめておいたほうが良いらしいです。

Firepower System: FMCからのデバイス登録の強制削除方法

ASA の Port-channel はシャーシまたぎに対応しない

Catalyst Stack がシャーシまたぎで LAG を組める、という常識で ASA と Port-channel で接続すると、ハマる構成。 ASA を Active / Standby の HA 冗長構成を組んだ場合、対向側 Catalyst の Port-channel は、ASA のシャーシごとに組む必要がある。

Catalyst Stack#1 Po1 --- Po1 ASA#1
Catalyst Stack#2 Po2 --- Po1 ASA#2

ASA 側は HA のコンフィグ同期で Po1 は 1 つになるため、ややこしい。

  • ASA は Po1 でコンフィグは HA により共通化されているが、Po1 の存在自体は ASA#1 と ASA#2 で独立しているため、別として扱う必要がある

CLI

FTD / ASA を移動する

FXOS: FTD: OSの構造とコマンドプロンプトの移動方法

FTD から ASA に CLI を変更し、ping 試験を行う

FTD: CLIからのPING試験について

system support diagnostic-cli

推奨バージョン

Cisco Secure Firewall ASA Compatibility

Verup

ASA は互換性があれば異バージョンであっても、一時的に冗長構成を組むことが可能。

両系を同時に再起動することなく、Verup することができる。

FirepowerアプライアンスでのASA HAペアのアップグレード

Cisco Secure Firewall ASA アップグレードガイド

アクティブ/スタンバイ フェールオーバー ペアのアップグレード

Firepower1000/2100: ASAのアップグレードについて

threat-detection 脅威検出

デフォルトの動作

デフォルトで有効になっている。脅威ホストからの通信として検知されると、デフォルト値で 3600 秒 = 1 時間の間通信させないという挙動を行う。

CLI ブック 2:Cisco Secure Firewall ASA ファイアウォール 9.20 CLI コンフィギュレーションガイド

脅威検出のデフォルト

  • 表 2. 基本的な脅威の検出のデフォルト設定
  • 基本脅威検出は、デフォルトでイネーブルになっています。
  • これをディセーブルにするには no threat-detection basic-threat を使用します。
  • 任意)攻撃元のホストを遮断する期間を設定します。
    • threat-detection scanning-threat shun duration seconds

ASA脅威の検出機能と設定の確認

ASA OS の threat-detection でパケットが遮断される場合の対処法

ASA OS は threat-detection で パケットを遮断する場合がある。

運用時は問題ないが、試験環境では大量のパケットを投げる場合もあり、遮断されるのが好ましくないケースがある。

試験環境の場合、以下で回避可能。

除外する場合

こちらは現在遮断中のホストに影響しない。遮断対象から除外するコマンド。

  • show shun でエントリがあるか確認する
  • 以下で shun の範囲から除外する
threat-detection scanning-threat shun except ip-address <IP> <mask>

遮断を解除する場合

リファレンス

TECSEC-3004 - Troubleshooting Firepower Threat Defense like a TAC Engineer

ASA: スマートライセンス認証とトラブルシューティング

ASA: リモートアクセスVPN パフォーマンス最適化のためのベストプラクティス (AnyConnect)

脆弱性・不具合情報

【注意喚起】ASA 9.16/FTD 7.0系の FPR2100 シリーズが起動後 125日前後で再起動する問題について

Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software ICMPv6 Message Processing Denial of Service Vulnerability

  • CVE-2023-20086
  • CSCwd77581

コマンドリスト

作業日、全作業の事前・事後ログに取りたいコマンドのリスト。

作業中はコンフィグを変更する機能に絞って、変更前と変更後に取得して、Winmerge で比較し差分が妥当であるか確認します。

Catalyst 9000 シリーズ 事前・事後ログリスト
大区分 小区分 コマンド 備考
ターミナル設定 terminal pager 0

terminal monitor

サポート show tech-support
Common System Management show version

show running-config

more system:running-config [2]

show logging

show ntp associations

IOS-XE Version , ライセンス

動作中のコンフィグ

メモリに保存された log

NTP 同期

Layer1 Hardware show facility-alarm status
Interface show interface インターフェース

状態 カウンタ

エラーカウンタ

Layer2 Common show vlan

show mac address-table

Vlan

MAC アドレステーブル

Redundancy Protocol show port-channel summary (FX-OS)

show port-channel load-balance

ポートチャネル

負荷分散メソッド

Layer3 Common show arp

show interface ip brief

show ipv6 neighbors

ARP エントリ

IP インターフェース一覧

IPv6 ネイバー

Security show ip access-lists

show ipv6 access-list

IPv4 アクセスリスト

IPv6 アクセスリスト

Routing show route

show ospf neighbor

show bgp summary

show bgp neighbor x.x.x.x advertised-routes

show ip bgp neighbor x.x.x.x received-routes

show ipv6 route

show ipv6 ospf neighbor

show ipv6 interface brief

show bgp ipv6 summary

IPv4 ルート

OSPF ネイバー

BGP IPv4 ピア一覧

特定ピアの BGP 広報ルート

特定ピアの BGP 受信ルート

IPv4 ルート

IPv6 OSPF ネイバー

IPv6 インターフェース一覧

BGP IPv6 ピア一覧

High Availability show failover state フェイルオーバー
ASA VPN Site-to-Site VPN show crypto ikev1 sa

show crypto ikev2 sa

show crypto ipsec sa

show crypto isakmp sa

セキュリティ アソシエーション

引用

  1. FPR1100/2100/3100シリーズ (※) でASA利用時は、電源スイッチのON→OFFで Graceful Shutdown に対応しています。
  2. 実行コンフィギュレーションの確認 (注)  多くのパスワードは ***** として表示されます。パスワードをプレーン テキストまたは暗号化された形式(マスター パスフレーズを有効にしている場合)で表示するには、more コマンドを使用します。