Polling Question 1

Transcription

1 Cisco Support Community Expert Series Webcast セキュリティ初心者のための Cisco ASA with FirePOWER Services 概要 鈴木新 (Arata Suzuki) グローバルナレッジネットワーク ( 株 ) Cisco 認定インストラクター December 15, 2015

2 ご参加ありがとうございます 本日の資料はこちらからダウンロードいただけます 直接ダウンロードする場合はこちら

3 オーディオブロードキャストについて [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが自動的に表示され コンピュータのスピーカーから音声が流れます [Audio Broadcast( オーディオブロードキャスト )] ウィンドウが表示されない場合は [Communicate( コミュニケート )] メニューから [Audio Broadcast( オーディオブロードキャスト )] を選択します イベントが開始されると自動的に音声が流れ始めます 音声接続に関する詳細はこちらをご参照ください 解決しない場合は QA ウィンドウよりお知らせください

4 ご質問方法 Webcast 中のご質問は全て画面右側の QA ウィンドウより All Panelist 宛に送信してください

5 エキスパートスピーカー 鈴木新 (Arata Suzuki) グローバルナレッジネットワーク ( 株 ) Cisco 認定インストラクター

6 会社案内 グローバルナレッジネットワーク株式会社

7 We are Global Knowledge 世界約 30 か国で展開する IT ビジネストレーニングの独立系リーディングカンパニー Global Knowledge Asia グループとしてアジア 7 ヶ国に展開 子会社グローバルナレッジマネジメントセンター株式会社を通じ 世界最大の人材育成組織 American Management Association のサービスを国内で唯一提供

8 Lineup Partnership 世界有数のベンダー各社の認定教育機関 アワード受賞実績多数 アライアンスパートナーの優れたコンテンツ Original ベンダー非依存の要素技術 クロスプラットフォーム & マルチベンダー ヒューマン スキル グローバルビジネススキル 集合研修 ( 定期開催 ) Virtual Classroom ( 定期開催 ) e ラーニング (ASP/ CD-ROM) 提供コース 1,000 以上 年間提供クラス 6,000 以上 集合研修 ( 一社向け ) Virtual Classroom ( 一社向け ) オンライン配信 ( 一社向け ) NEW TRAIN MIX TRAIN ( 新入社員研修 ) Worldwide Training Service テストセンター

9 推奨コースのご案内 ASA 関連コースのご案内 ASA5500 シリーズを使用したセキュアネットワークの構築実習 Cisco ASA の概要からコマンド及び GUI(ASDM) を使用した設定方法までを 2 日間で学習するグローバルナレッジオリジナルコースです コース詳細はこちら gknet.jp/asawc Cisco ASA with FirePOWER Services 概要 Cisco ASA の提案 設計 構築 保守を行っている方を対象として 1 日で FirePOWER の全体像を学習するグローバルナレッジオリジナルコースです 演習で FirePOWER を操作し 動作の確認をすることができます コース詳細はこちら gknet.jp/fpwc

10 20 周年記念キャンペーンのご案内 20 周年記念キャンペーン with Cool Gadget 対象コースを定価でご受講いただくと クールなデジタルガジェットをプレゼント! 話題のドローンやギフト券など 2 コース 8 点から選べます 詳細 お申し込みはこちら gknet.jp/gk20th 20 周年記念キャンペーン with Buy One Get One 50% OFF 対象コースから 2 コースお申し込みいただくと 1 コースが半額に!130 コースから お好きな組み合わせでご受講いただけます

11 セキュリティ初心者のための Cisco ASA with FirePOWER Services 概要 Cisco Support Community Expert Series Webcast 鈴木新 (Suzuki Arata) グローバルナレッジネットワーク ( 株 ) Cisco 認定インストラクター Dec 15, 2015

12 投票質問 1 次世代ファイアウォールを説明できますか? A) 説明できる B) 次世代ファイアウォールを聞いたことはあるが説明できない C) 次世代ファイアウォールを聞いたことがないがファイアウォールは聞いたことがある D) 次世代ファイアウォールもファイアウォールも聞いたことがない

13 アジェンダ 次世代ファイアウォールとは 従来のファイアウォール 次世代ファイアウォール ASA の基礎 ASA 5500 ASA 5500-X ASA with FirePOWER の機能 IPS AVC URL フィルタリング AMP FireSIGHT Management Center オブジェクトの作成 ポリシーの作成 Demo

14 次世代ファイアウォールとは 従来のファイアウォール 次世代ファイアウォール

15 従来のファイアウォール パケットフィルタリング ステートフルインスペクション NAT VPN HA 構成 (High Availability)

16 従来のファイアウォール 次世代ファイアウォール 下記の機能を追加 パケットフィルタリング ステートフルインスペクション NAT VPN アプリケーションコントロール ユーザーコントロール IPS/IDS L2/L3 構成での配置 HA 構成 (High Availability)

17 従来のファイアウォール 次世代ファイアウォール 下記の機能を追加 パケットフィルタリング ステートフルインスペクション NAT VPN アプリケーションコントロール ユーザーコントロール IPS/IDS L2/L3 構成での配置 HA 構成 (High Availability) ASA ASA with FirePOWER

18 ASA の基礎 ASA 5500 ASA 5500-X

19 ASA 5500 ASA 5500 シリーズ ( 第一世代 ) 設定方法 CLI スイッチやルータと同様のモードからコマンドを入力 GUI ASDM を使用

20 ASA 5500 ファイアウォール HA 構成 NAT VPN ASA = Cisco Adaptive Security Appliance 複数のセキュリティ機能を兼ね備えた製品

21 ファイアウォール 通過を拒否 通過を許可 ネットワークの出入り口で動作 アプリケーション層 トランスポート層 インターネット層 ネットワークインターフェース層 IP TCP Data

22 ASA 5500 ステートフルインスペクション FWは通信状態を把握し 次に来るパケットを予測ファイアウォール データ クライアント ヘッダ ヘッダ OK! データ ステートテーブル 想定する戻りパケット データヘッダヘッダ NG! ヘッダデータ Webサーバデータ ヘッダ データ

23 ファイアウォールシステムの構成 ファイアウォールを利用した典型的なネットワーク構成 インターネット DMZ ファイアウォール 公開用サーバ 社内クライアント L3 機器 社内サーバ 部門セグメント サーバルーム

24 ASA 5500 セキュリティレベルの概念 各 I/Fには セキュリティレベル (0~100) を設定する ( 必須 ) セキュリティレベルの高 低 OK セキュリティレベルの低 高 NG セキュリティレベルの高 低の戻り OK 戻りパケットが許可されるのは デフォルトでTCPおよびUDPのみです インターネット outside 0 dmz 50 inside 100

25 ASA 5500 インスペクションの設定 (config)# access-list ICMP permit icmp any (config)# class-map Inspect-C (config-cmap)# match access-list ICMP クラスマップの作成 (config)# policy-map Inspect-P (config-pmap)# class Inspect-C (config-pmap-c)# inspect icmp ポリシーマップの作成 (config)# service-policy Inspect-P interface inside I/F に適用

26 ASA 5500 NAT(PAT) /24 Internet outside inside PAT 用 IP 複数のプライベートアドレスを 1 つのグローバルアドレスに変換 (config)# object network PAT-Address (config-network-object)# host host コマンドを使って PAT 変換後のアドレスを指定 NAT 変換前のアドレスを (config)# object network PAT-Config オブジェクト指定 (config-network-object)# subnet (config-network-object)# nat (inside,outside) dynamic PAT-Address NAT 変換の紐づけ

27 ASA VPN 5500 IPsecVPN および SSL VPN をサポート SSL VPN の例 HTTP SSL VPN Tunnel 社内 Web サーバ WebVPN 用ポータルページ

28 ASA 5500 HA 構成 (High Availablity) Active/Standby Failover の例 ASA を使った冗長構成 Active / Standby Failover Active / Active Failover Failed Active Internet

29 ASA 5500-X ASA 5500-X シリーズ ( 第二世代 )

30 ASA 5500-X Cisco ASA 5500-X のパフォーマンス 200 Mbps NGFW 60 Mbps NGFW plus IPS 100,000 Connections 10,000 CPS 350 Mbps NGFW 90 Mbps NGFW plus IPS 250,000 Connections 15,000 CPS 650 Mbps NGFW 300 Mbps NGFW plus IPS 500,000 Connections 20,000 CPS ASA 5525-X 1 Gbps NGFW 450 Mbps NGFW plus IPS 750,000 Connections 30,000 CPS ASA 5545-X 1.4 Gbps NGFW 600 Mbps NGFW plus IPS 1 Million Connections 50,000 CPS ASA 5555-X ASA 5512-X ASA 5515-X 小規模向け 中規模向け

31 ASA 5500-X Cisco ASA 5500-X のパフォーマンス 2 Gbps NGFW 1 Gbps NGFW plus IPS 500,000 Connections 40,000 CPS 5 Gbps NGFW 1.5 Gbps NGFW plus IPS 1 Million Connections 75,000 CPS 9 Gbps NGFW 2.5 Gbps NGFW plus IPS 1.8 Million Connections 120,000 CPS 13 Gbps NGFW 4 Gbps NGFW plus IPS 4 Million Connections 160,000 CPS ASA 5585-SSP60 ASA 5585-SSP40 ASA 5585-SSP10 ASA 5585-SSP20 大規模向け

32 ASA 5500-X IPS ファイアウォール 2015 Cisco and/or its affiliates. All rights reserved. 32

33 ASA with 5500-X FirePOWERの通信の流れ

34 ASA 5500-X FirePOWER の主要機能 IPS(Intrusion Prevention System) AVC(Application Visibility Control) URLフィルタリング AMP(Advanced Malware Protection)

35 ASA 5500-X サブスクリプション ライセンス AVC は標準実装 1 3 年間の中から選択 URL URL AMP AMP URL IPS IPS IPS IPS

36 ASA with FirePOWER の機能 IPS AVC URLフィルタリング AMP

37 IPS IPS(Intrusion Prevention System)

38 IPS の構成 インターネット ファイアウォール IPS 社内クライアント L3 機器 社内サーバ 部門セグメント サーバルーム

39 IPS SNORT オープンソースの IDS シグニチャベースで動作 FirePOWER は SNORT ベースの IPS 業界最高水準の IPS エンジン

40 IPS 自動チューニング ネットワーク環境の変化に伴いチューニングが必要 Network Awareness の機能による推奨ルールの自動生成チューニングを容易に行うことができる 業界最高水準の IPS エンジン

41 AVC AVC(Application Visibility Control)

42 AVC 2500 を超えるアプリケーションを認識する itunes Google Drive 対応アプリ一覧

43 AVC シグニチャマッチングで識別するため ポート番号が通信によって変わるアプリも識別可能

44 AVC ユーザー ( グループ ) ネットワーク ゾーン VLAN などが対象 リスク 関連性 タイプ カテゴリーなどでアプリケーションを分類 2500 を超えるアプリケーションとサブアプリケーション

45 AVC Facebook は閲覧のみ許可した例 45

46 URL URL フィルタリング

47 URL 81 カテゴリ 60 言語 200 ヵ国対応

48 レピュテーションスコア URL 5 ~ 10: 信頼できる動作の長い歴史があり トラフィック量が多く 広くアクセスされている 0 ~ 5: 信頼できる動作の歴史がある または第三者の検証を受けたサイト -3 ~ 3: 管理された信頼できるコンテンツやリンクの提携ネットワークサイトおよびユーザが生成したコンテンツサイトの可能性がある -6 ~ -3: 悪意がある疑いがあるが 確実ではない 攻撃的な広告シンジケートおよびユーザトラッキングネットワークの可能性がある -10 ~ -6: ほぼ確実に悪意のあるサイト 継続的にキーロガー ルートキット およびその他のマルウェアを配布する専用サイト またはハイジャックされたサイト フィッシングサイト ボット ドライブバイインストーラも含まれる

49 URL カテゴリに分けられた URL を使用したフィルタリング機能 SIO の分析による Web レピュテーションスコアを使用

50 AMP AMP(Advanced Malware Protection)

51 AMP ファイルレピュテーション ファイルがネットワークに侵入した際に フィンガープリントを作成 フィンガープリントは SHA-254 によるハッシュ値 フィンガープリントを Cisco のクラウドに送り分析する

52 AMP ファイルサンドボックス マルウェアを検出した時に詳細な動作をチェック サンドボックスと呼ばれるチェック用の環境で検査する ファイルの脅威レベルを判断

53 AMP ファイルトラジェクトリ 過去にさかのぼって解析し 感染経路を特定する

54 AMP AMP の仕組み FirePOWER FireSIGHT

55 AMP File Policy ファイルポリシーの設定は ファイルとプロトコルを選択し マルウェア検出のために検査 以下の項目を設定可能 : 検出するファイルの種類 検出するプロトコル 転送の方向 取る行動 ( ブロック 検出など )

56 投票質問 2 FirePOWERの一般的な設定方法はどれでしょう? A) コマンドで設定する B) CCP(Cisco Configuration Professional) を使用する C) ASDM(Cisco Adaptive Security Device Manager) を使用する D) FireSIGHTを使用する

57 FireSIGHT Management Center オブジェクトの作成 ポリシーの作成

58 GUI による設定 ASDM =>ASA を設定する FireSIGHT =>FirePOWER の機能をフル活用して管理 / 設定するための製品

59 FireSIGHT 設定手順 FireSIGHT 初期設定 FirePOWER 設定 登録 基本設定システム設定パッチ シグニチャのアップデートオブジェクトの作成セキュリティポリシーの作成アクセスポリシーの適用

60 オブジェクトの作成 Network Port VLAN tag URL Security Zone Geolocation

61 ポリシーの作成 Intrusion File Network Discovery SSL Users

62 ルールの作成 オブジェクト Network Port VLAN tag URL Security Zone Geolocation ポリシー Adaptive Security Device Manager Intrusion File Network Discovery SSL Users

63 Access Control Policy ルール 1 ルール 2 ルール 3 ルール 4 複数のルールを 1 つの AccessControlPolicy にまとめる ACP を FirePOWER に適用

64 FireSIGHT

65 Indication of Compromise(IoC: 侵入の痕跡 )

66 参考

67 Demo FireSIGHT を使用した FirePOWER の設定と確認

68 Q & A 画面右側の Q&A ウィンドウから All Panelist 宛に送信してください

69 Ask the Expert with Arata Suzuki 今日聞けなかった質問は 今回のエキスパートが担当するエキスパートに質問 ( 12 月 16 日 ~ 12 月 27 日まで開催 ) へお寄せください! Webcast の内容や Q&A ドキュメントは 本日より 5 営業日以内にこのサイトへ掲載いたします

70 来月の Webcast 予定 2015 年 1 月 26 日 ( 火 ) 10:00-11:30 テーマ : Cisco Start を始めよう! ~Cisco Start のご紹介と シンプルに 簡単に 安全に ネットワークを構築する方法をご案内します スピーカー : 藤原麻子 ( マーケティングマーケティングマネージャ ) 前原朋実 ( エンタープライズネットワークプロダクトマネージャー ) 冲中恒雄 ( エンタープライズネットワークシステムズエンジニアリングシステムズエンジニア )

71 コンテンツに関するご意見を募集しています! 掲載してほしい情報あったら役に立つ情報英語ではなく日本語でほしい情報などリクエストをお寄せください

72 ソーシャルメディアでサポートコミュニティと繋がろう Twitter- Google+ LinkedIn Instgram Newsletter Subscription

73 ご参加ありがとうございましたアンケートにもご協力ください

74