新しいCisco Firepower Threat Defenseソフトウェアの初見（UPD 09/02/16）

こんにちは、Habr！ 昨秋、Cisco ASAファイアウォールにFirePOWERサービスを実装した経験を共有しました。 新年のフラッシュバックでは、 FirePOWERバージョン6.0について言及しました。このバージョンでは、主な革新の1つがASDMを使用したすべてのサービスの管理でした。 シスコの進歩はまだ止まっておらず、この春、 Cisco Firepower 4100および9300の新しいラインアップが発表されました。 実際、これらは5585-Xに似た同じモジュラーASAですが、新しい名前（マーケティング部門）、より洗練された、より効率的な新しい集中管理ソフトウェアFirepower Threat Defense（FTD）を備えています。 FTDは、新しいモデル範囲のデバイスだけでなく、5585-Xを除くすべてのASA 5500-Xモデルでも（少なくとも現時点では）起動できます。 この記事では、シスコのこの新しいソフトウェアについて説明します。

背景のビット。 FirePOWERバージョン5.4では、すべてが「シンプル」でした。ASASSD（または別のハードウェア、または仮想マシン）にセンサーがあり、FireSIGHT Management Center（別名Defense Center）を管理するソフトウェアがありました。 ASAには、CLI / ASDMによる制御を備えた独自の標準IOSイメージがありました。 センサーには、同じCLI ASA（またはmgmtポートへのSSH）を介してアクセスされる独自のイメージが必要でした。 さて、FireSIGHTへのアクセスはブラウザを介して行われました。 これには、ASAの個別のライセンス+スマートネット、FireSIGHTのセンサーとスマートネットの個別のサブスクリプションを追加する必要があります。 言うまでもなく、すべてのサービスを管理するためのこのような分散アプローチは、多くの人に適していない。 FirePOWERバージョン6.0のリリースにより、ASDMを使用してすべてのサービスを管理できるようになりました。 ASDM自体によって課せられた多くの制限、異なるセンサーにわたるポリシーの一元化された配布の欠如、および他のいくつかの機能は誰もが好むものではなかったため、多くはまだすべてを一元管理する完全なソリューションを待たなければなりません。


FTDのリリースにより、センサーソフトウェアとCisco ASAソフトウェアが回転する1つのイメージが集中管理されました。 どちらもFirepower Management Centerで管理されます（FMCはFireSIGHT、同じ名前の3番目の名前です、今すぐ停止してください）。 そして、すべては問題ありませんが、ASDMの場合にFPサービスの制限を受けた場合、ASAの機能と設定に制限がかかります。 主な制限は、「機能しない」VPNです。 そして、それが機能しないわけではなく、通常の手段を使用して設定することはできません。 現在、サイト間VPNもリモートアクセスVPNも構成できません。


FTDのインストール

FTDイメージは、すべてのASA 5500-XおよびFP 4100/9300プラットフォームにインストールできます。 仮想実行なしではなく-vFTD。これに基づいて、主に、さらなるナレーションが構築されます。

最初のFTDイメージはバージョン6.0.1を受け取りました。 FTDをFMCに接続できるようにするには、FireSIGHTをバージョン6.0.1に更新する必要があります（FMCの要件は、製品の以前のバージョンの要件と同じです）。 FTDイメージのインストールとFMCへの接続を使用して仮想環境またはCisco ASAを準備するプロセスは、クイックスタートガイド（ VMware 、 Cisco ASAおよびFirepower 4100 、 Firepower 9300の場合）で詳細に説明されているため、ここでは詳しく説明しません。 さらに、ASAとVMwareのこのプロセスは、これらのプラットフォームに別個のFPセンサーをインストールすることと大差ありません。 最終的に、接続されたFTD（この場合はvFTD）の画像は次のようになります。


図1-FMCコンソールでのvFTDの表示

ここで注意すべきこと：

1.ライセンス

ライセンスは、スマートライセンスプログラムを経由するようになりました。これは、シスコからの新しいライセンススキームです。


このスキームの主なメッセージは、デバイスによるサブスクリプション/ライセンスの関連性の自動監視（デバイスは、インストールされたライセンスが関連するかどうか、およびカスタム機能がサブスクリプション条件に一致するかどうかをシスコに定期的に確認します）、およびこのために作成されたSmart Software Managerポータルを通じてすべてのサブスクリプション/ライセンスを集中管理する機能です


図2-vFTDのスマートライセンス

2.仮想FTDのルーテッドモード

仮想FPセンサーとは異なり、vFTDはルーティングモードで動作できます。 これは、FTD内にASAソフトウェアイメージがあるためです。 また、仮想化の場合は、何かで実行する必要があります。これはもちろん、ASAv、より具体的にはASAv30です。 vFTDをロードするプロセスでは、コンソールにASAvの起動に関するメッセージが常に表示されます。または、どのイメージをロードするかを尋ねます。


図3-vFTDのダウンロード。 ASAvのイメージの選択

ところで、vFTDのロード時のコンソールは、ASAv自体の現在のライセンスを覗くことができる唯一の場所です。


図4-アクティブ化された3des-aesとAnyconnectなしのライセンス「VPN Premium」

これはvFTDを備えたASAv30であるため、ベンダーのデータシートの数値（ ASA 5500-X 、 ASAv pdf）から判断すると、鉄ASA 5525-Xに匹敵するパフォーマンスが得られます。 もちろん、FPの機能を考慮してどのようなパフォーマンスがあるのか​​はまだ明確ではありませんが、それでもなお素晴らしいです。


FTDセットアップ

FTDセットアップは、3つのポイントに分けることができます。

1. システム設定
2. ルーティング設定。
3. サブスクリプション（NGFW、NGIPS、AMP）による機能のカスタマイズ。

システム設定

これらの設定は、[デバイス]-> [プラットフォーム設定]タブで構成/編集されます。 次のようになります。


図5-vFTDのプラットフォーム設定

原則として、名前から何が原因であるかが明確であるため、ここでは、外部認証+セキュアシェル/ HTTPの1つだけを取り上げます。

このようなバンドルは、ASAvコンソールに直接アクセスできるようにするために必要です。 ローカルアカウントは作成できないため、認証にはLDAPまたはRADIUS（外部認証）を使用する必要があります。 すべてがいつものように見えます。最初に認証方法を設定し、次にどのアドレスから、どのインターフェースとプロトコルにアクセスできるかを設定します。 そして、すべてがSSHでうまくいけば、HTTPは明らかに「未来のために」作られます。 Cisco ASA上のHTTPは通常、ASDM経由でアクセスするように設定されていますが、この場合、ASDMイメージはASAvで利用できず、FMCでダウンロードおよび設定するオプションがないため、ブラウザからアクセスするとき、およびASDM経由で接続するときに404エラーが発生します「デバイスマネージャーを起動できません」：


図6-HTTPを介したFTDへの接続

SSH経由でコンソールにアクセスすると、最初に見るのはshow versionです。


図7-SSH経由でバージョンを表示

これは、vFTDバージョンとASAvのソフトウェア/ハードウェアに関する情報です。 CLIについて少し調べたところ、監視とトラブルシューティングの目的だけのために作成されたという結論に達しました。 showカテゴリのほとんどの標準コマンドは、「フル」ASAv / ASAの同じコマンドと違いはありません。 キャプチャ、パケットトレーサー、デバッグ、テストなどのコマンドがあります。 構成モード（ conf t ）はありません。 イネーブルモードから設定できる唯一のものは、同じCLIに対してユーザを認証するaaa-serverです。 また、2つのオプションがあります。これらはアカウントアクセス制限、またはそのようなASAvイメージのいずれかですが、名前は非常に標準的です（ asa961-smp-k8.bin ）。 それでも、表示された構成を慎重に検討すると、2番目のオプションの傾向が現れますが、最初のオプションが関与しないわけではありません。

ルーティング設定

実際、これはFMCを介したASA機能のまさに設定です。 すべての設定は、[デバイス]-> [デバイス管理]と[オブジェクト]タブの2つのタブで実行されます。 [オブジェクト]タブで、BGPのSLA、ルートマップ、ACLおよび[ASパス、コミュニティリスト、ポリシーリスト]の標準のASA設定を確認できます。


図8-ASAクラシック設定のコンポーネント

[オブジェクト]タブのすべてのカスタム「オブジェクト」は、さまざまなポリシー、特に[デバイス管理]タブでデバイスに適用されるポリシーでさらに使用するために作成されます。


[デバイス管理]タブのポリシー設定には次のものが含まれます。

1.セクションデバイス。

別のFPセンサーをセットアップする場合も同様です。


図9-デバイスセクション

2.ルーティング。

静的および動的（ EIGRP 、OSPF、RIP、BGP、 マルチキャスト ）。 明らかに、BGPを設定する機能については、仮想ASAのバージョン9.6（1）に感謝する必要があります。


図10-ルーティングのセットアップ

また、SLA「オブジェクト」を静的ルートに適用し、CLIで表示する例を次に示します。


図11-SLAセットアップの例

3. NAT。

ここでは、ニュアンスと制限なしで、NATルールのすべてのバリアントを使用できます。


図12-変換ルールの設定

4.インターフェイスの構成。


図13-インターフェイスの構成

インターフェースでは、1点を除いてすべてが非常に標準的です。通常のセキュリティレベルは設定できず、すべてのインターフェースにはゼロセキュリティレベルが設定されています。 ただし、構成に同じレベルのセキュリティ（ 同じセキュリティトラフィック許可インターインターフェイス ）のインターフェイス間でトラフィックを渡す許可がないという事実にもかかわらず、すべてが正常に機能します。


5.インラインセットのセットアップ。

タップモード -すべてのトラフィックをセンサーに渡すのではなく、トラフィックのコピーのみがセンサーに到達するため、アクティブなアクションはトラフィックに適用されません。 ただし、同時にイベント（IPSイベントなど）が生成されます。 選択されたインターフェイスペアのトラフィックの一種の監視モード（個別のFPセンサーと比較した場合の「スパンモード」）。 リンク状態の伝播 -バイパスモード、チェックせずにすべてのトラフィックをスキップし、ペアのインターフェイスの1つがダウン状態で送信された場合、2番目のインターフェイスでも同じことが起こります（問題のあるインターフェイスがアップ状態に戻るとすぐに、2番目のインターフェイスが自動的に立ち上がります）。 厳密なTCP強制 -TCPセッションのトリプルハンドシェイク制御を有効にします。 TapモードとStrict TCP Enforcementを同時に有効にすることはできません。


図14-インラインセットの構成

6. DHCPサービスを構成します。

3つのオプション：DHCPサーバー、DHCPリレー、およびDDNS。


図15-DHCP設定

おそらくそれだけです。 従来のトラフィック検査のパラメータに関しては、変更することはできませんが、CLIではipオプションおよびtcpの追加オプションという形で若干の追加が加えられているため、非常に標準的に見えます。


サブスクリプションポリシーの構成（NGFW、NGIPS、AMP）

すべてのポリシーは、以前と同じ方法で構成されます。 主なことは、それらを展開するときに必要なデバイスを選択することを忘れないことです。 興味深い点は、アクセス制御ポリシー（NGFW）です。設定および適用されたすべてのルールは、CLIで表示できます。 CLIでは、特定の名前を持ち、より具体的な構文を持つACLとして表示されます。


図16-アクセス制御ポリシールール。

そしてここでの主なことは、そのようなACLがグローバルに適用され（ アクセスグループCSM_FW_ACL_ global ）、さらに、ACLの最後にルールを拒否するクラシックが存在しないということは、実際に存在しないことを意味します。 作成されたルール（外側から内側への方向を含む）に該当しないすべてのトラフィックは、「デフォルトアクション」（デフォルトアクション、図16）によって処理されます。 したがって、すべての着信トラフィックが許可される状況を回避するために、ルールの準備に特別な注意を払う価値があります。 ファイルポリシーまたはIPSポリシーの構成に微妙な違いはありませんでした。

おわりに

一見、バージョン6.0.1 FTDは非常に 「生」のように見えましたが、それは最初のバージョンでもあり、アップデートはすぐそこにあります（執筆時点で、バージョン6.0.1.1へのアップグレードがリリースされ、これには多数のバグ修正が含まれています）。 現時点では、クラシックASAのすべての機能を新しいプラットフォームに移行することはできません。もちろん、VPNの欠如は特に恥ずかしいことです。 いずれにせよ、ASA FTDに基づくソリューションは、FirePOWER機能のみが必要な状況に適しています。 その他の状況では、FirePOWERサービスでCisco ASAの「スプリット」バージョンを使用する必要があります。 そして、最後まで読んで（または最後から始めて）そのようなソリューションを使用することを真剣に考えた（または既に使用している）人にとっては、小さな「ライフハック」はカットの下にあります。


UPD（2016年9月2日）：

8月29日、Tsiskaはバージョン6.1のアップデートをリリースしました。 公式Webサイトのリリースノートに記載されているアップデートの完全なリスト。
たくさんのアップデートがあり、それらはすべておいしくて楽しいです。 それらのいくつかを次に示します。

1. ターミナルサーバー用のTSエージェント（VDI IDサポート）。
   これで、端末の背後にいるユーザーを認識できるようになりました。 動作の原理は、Check Pointでの動作に似ています-各ユーザーへのポート範囲の割り当て。 私は何もほのめかしませんが、 なぜ前にやらないのですか？ とにかくよくやった。
2. Kerberos認証。
   シングルサインオンを支援できます。 彼らも待っていました、ありがとう。
3. レート制限。
   これで、ネットワーク、ゾーン、ユーザー/グループ、アプリケーション、ポート、およびISEから受信したパラメーターで帯域幅を削減できます。
4. サイト間VPN。
   これでチートなしで動作するはずです。
5. 仮想化サポートの強化。
   KVMを待ちます。Hyper-Vを待ちます。

すべてがクールに見えますが、実際にはテストされていないため、実際の状況については何も言えません。 少なくとも今のところ。