はじめに

本ドキュメントでは、既存の通信構成を変えずに手軽に、FTDを導入し、脅威検知や遮断により、ネットワークセキュリティレベルを強化することができる「インラインペア」の導入や設定方法について紹介します。

本ドキュメントは、Security Cloud Control 上の cdFMCと、FTD Virtual バージョン 7.6.1 を用いて確認、作成しております。当ドキュメントの設定手順は、オンプレミスFMCでFTDを管理時も利用できます。オンプレミスFMCと cdFMCは、管理センターがオンプレ側かクラウド側かにあるかの違いでしかなく、設定画面や設定方法はほぼ同じです。

導入構成例

本ドキュメントでは、コアスイッチと インターネット宛ルーター間に、FTDデバイスを Inline Pair で導入する場合の設定と導入例を紹介します。Gi0/0の名前は「Inline-Home」とし社内側に接続、Gi0/1の名前は「Inline-Internet」としインターネット側に接続します。

インラインペアは、別名「IPSモード」とも呼び、各ケーブルを「延長コネクタ」のように接続し、Firewall処理を最小限にし、脅威検知と遮断に特化したモードです。そのため、既存のIP構成や物理構成をほぼ変えずに導入が可能です。通常、物理ケーブルを追加で1本のみ用意するだけで、他の周囲機器の設定変更はなしに、インラインペアを導入できます。

インラインペアの設定方法

1. Device > Device Management から、インラインペアを有効化したい任意FTDデバイスを選択

2. 「Interfaces」タブを開き、Inline Pairにしたい 任意 Interface（2つ）の事前の有効化を行います。今回はGigabitEthernet 0/0と GigabitEthernet 0/1を インラインペア（Inline Sets）に設定するため、各Interfaceに任意名称付けと有効化、及び、Interface Modeを「None」にしておきます。Security Zoneは当段階では設定しないでください

設定前：

GigabitEthernet0/0の設定例：

GigabitEthernet0/1の設定例：

各Interfaceの設定後：

3. 「Inline Sets」タブを開き、画面右上「Add Inline Set」ボタンをクリックし、任意のInline Pair名と、「Available Interfaces Pairs」から先ほど設定した2つのInterface Nameのペアを選択し「Add」します

4. 「Advanced」タブを開き、任意の高度設定を行います。

【高度設定例】
Propagate Link State: 片側リンクがダウン時に、もう片側リンクも強制ダウンさせる機能。物理FTDデバイスを利用時は有効化を検討。当機能を有効化すると、リンクダウンがトリガーとなるSTPの切り替えの高速化を期待できる
Snort Fail Open Busy: 脅威検知エンジン(Snort)が過負荷の時に通信バイパスする機能。有効化を検討
Snort Fail Open Down: 脅威検知エンジン(Snort)がなんらか理由で再起動時などに通信バイパスする機能。有効化を推奨
Strict TCP Enforcement: TCPセッションが不完全な場合にブロックするモード。通常はチェックは外す
Tap Mode: TAPモードに切り替えたい時のみ使用。今回はInline構成のためチェックは外す

以下は、FTD Virtual を利用時の設定例です。適用する場合は「OK」ボタンをクリックすると、既存Interface設定が上書きされ、Inline Pair が作成されます

5. 以下のような画面に遷移するため、作成した Inline Pair が正しく反映されているか確認したのち、画面右上「Save」ボタンを押下し、設定を保存します

6.「Interfaces」 タブをクリックし、Inline Pair に割り当てた各Interfaceの設定を編集し、各InterfaceにSecurity Zoneを設定します。Security Zoneは、「New…」から新規で作成・割り当てが可能です。Interface Nameと同じZone名を割り当てると、管理運用が楽です

設定変更前：

Security Zone の新規割当例：

設定変更後：

7. 画面右上の「Save」をクリックし保存、及び、「Deploy」＞「Deployment」で作成した Inline Pair をFTDデバイスに展開します

インラインペアの実環境への導入例

1. 事前に、作成した Security Zone間の通信制御設定を、Policies などから設定してください

例えば以下は、FTDを通過するすべての通信において、以下機能によるセキュリティ制御を行う設定例です。なお、以下の各設定は「Monitor-only（監視のみ）」での導入も可能です
・セキュリティインテリジェンス（SI）：CnCや Attackerなど不審なIPやURL、Domainの遮断
・暗号可視化エンジン（EVE）：暗号化されたままの通信を解析し、不正アプリやマルウェアの脅威検知・遮断
・侵入防御システム（IPS）：通信をディープインスペクトし脅威の検知や遮断（※）
※IPS利用時は、SSL Decryption の併用が推奨です。SSL Decryptionを未併用時は大きく検知精度が下がります
・通信ログ保存の有効化

セキュリティポリシーの設定例 (Access Control):

セキュリティインテリジェンスの設定例 (Security Intelligence)：
ブロックしたいカテゴリ（Botsや CnC、Malwareなど）のNetworkやURLを、Block Listsに登録

EVEの設定例：
例えば以下は、アプリケーションやマルウェア検知と、脅威度がVery High の場合の遮断の有効化例

【FTD version 7.7以前の場合】 Advanced Settings から設定

【FTD version 10.0以降の場合】  Encrypted Visibility Engineタブから設定

2. 事前に計画した導入構成に基づき、ケーブルをFTDの指定ポートに接続します。今回は、Gi0/0にコアスイッチ側のケーブルを、Gi0/1にインターネットルーター側のケーブルを接続します

3. FTDをインラインで導入完了後、イベントログを確認し、インラインペアで導入したFTDからのイベントが表示されることを確認してください。例えば以下は、実際の通信の検知例です

よくある質問

インラインペアと トランスペアレントモードの違いを教えてください

インラインペアは、指定した2つのインターフェイスをペアにすることで、そのインターフェイスにつながるケーブル同士を「延長コネクタ」のようにつなぐモードです。別名「IPSモード」とも言われます。インラインペアを利用時は、FTDによる通常通信への干渉が最低限となります。一方、FTD内部の脅威検知エンジン（Snort）で脅威評価や遮断が可能です。通信構成や実通信への影響を最低限にし、L4-L7の脅威検知と遮断を行いたい場合に向くモードです。既存の導入構成を変えずに簡単に導入できるのが大きな特徴です。なお、インラインペアは任意の指定インターフェイスを指定するだけで良いため、後述の「FTD Mode」はデフォルトの「Routed」のままでよく、変更は不要です。

一方、トランスペアレントモードは、FTDの L3-L7 Firewall 機能を残しながら、ルーティングの代わりにスイッチングを行うモードです。別名「Firewallモード」とも言われます。FTDをスイッチのように導入・運用したい場合に向くモードですが、FTDは ASIC による超高速なパケット転送に非対応のため、FTDのデータシートに記載以上のスイッチング性能は望めません。FTDでスイッチングもしながら、一部通信をNATやQoSしたい場合や、NetFlowを利用したい場合に向くモードです。トランスペアレントモードを利用時は、FTD全体のモード（FTD Mode）を、デフォルトの「Routed」から「Transparent」に切り替える必要があります。トランスペアレントモードは特殊ユースケース向けのため、利用は稀な傾向です。

FTD ハードウェア障害時の挙動を教えてください

インラインペアを利用時は、指定したインターフェイスにつながる、2つのケーブルを「延長コネクタ」のように接続します。通常利用時は、「ソフトウェア処理」で「延長コネクタ」のように振る舞いますが、ハードウェア障害時はこのソフトウェア処理ができなくなるため、ケーブル間の接続が切れてしまいます。

なお、一部製品とモジュールは、ハードウェアバイパスに対応しており、ハードウェア障害時は「物理的な延長コネクタとしての動作」に自動で切り替わり、通信を継続することも可能です。このハードウェアバイパスに対応製品は、Cisco Secure Firewall 3100 や 4100/4200、6100 シリーズといった、ミドルレンジ～ハイレンジ向けのモデルが対応しています。

FTD ハードウェア障害時の通信影響を抑える構成例を教えてください

ハードウェアバイパス(Fail-to-Wire)に対応したモデルとモジュールを利用時は、FTD ハードウェア障害時は高速に「物理的な延長コネクタ」としてふるまうように切り替わりますので、通信経路はそのままに、通信影響を最小限に抑えることができます。

一方、ハードウェアバイパスに対応したモデルとモジュールの利用が困難な場合は、周囲ルータやスイッチの「ルーティング (EIGRPやOSPF等)」や「STP」などの技術を用いて、FTDのハードウェア障害検知と、通信経路の自動切り替えが必要となります。

 
インラインペアを利用時に使えない機能を教えてください

インラインペアに指定したインターフェイス"のみ"は、脅威検知と遮断"以外"の 通信への干渉を最低限とするため、主に以下の機能が制限され利用できません。
・NATや QoS
・ARP inspection や SNMP inspection, FTP inspection
・NetFlow
・DHCP Server や DHCP Relay、DHCP Client

なお、同一FTD 筐体内で、インラインペアに"未"指定のインターフェイスは上記の機能を利用可能です。

導入時や障害時の通信断や、誤検知時の通信断リスクを最大限 抑えたいです

インラインの代わりに、パッシブインターフェイスを利用することで、可能です。例えば経路のスイッチからパケットコピーを、SPANや ERSPANで受け取り、分析と脅威遮断も可能です。通信経路にFTDを導入しないため、FTD自体のソフトウェア障害やハードウェア障害による通信影響発生リスクもありません。ただ、通信経路上にFTDが存在しないため、脅威検知時に自動での通信遮断を行いたい場合は、FTD から Cisco Security Cloud Control (SCC) や ISE 経由で、経路の別スイッチやルーター・Firewall等に遮断指示を出す必要があります。つまり、パッシブインターフェイス利用時は、通信や脅威の可視化は簡単にできますが、遮断が他機器連携が必要となります。 パッシブ インターフェイスについて詳しくは、以下ドキュメントなどを参照してください。
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/interfaces-settings-ifcs-ips.html#task_024DF31771F043BBB4FB71049E96E6A6

パッシブインターフェイスは、「通信を止めずに 通信や脅威の可視化をしたい場合」、や、「FTDを試験導入しどの程度、アプリや脅威を検知するか試験したい場合」などによく利用されます。

なお、蛇足となりますが、FTDは「暗号可視化エンジン（EVE）」を搭載しており、パッシブインターフェイスであっても、暗号化通信を復号化せず、暗号化された脅威の検知にも対応しております。EVEについて詳しくは、以下ドキュメントを参照してください。
https://community.cisco.com/t5/-/-/ta-p/5278266

FTD Virtual の インラインペアを導入時の注意点があれば教えてください

例えば、ESXi環境にFTD Virtualを導入する場合は、vSwitchで自分宛以外の通信を受信する「プロミスキャスモード」、及び、「MAC address changes」や「Forged Transmits」も事前に有効にしてください。

「プロミスキャスモード」のサポート可否は、仮想基盤とその技術によって変わります。

なぜ、インラインペアを利用時は、NetFlow出力に対応していないのですか

脅威検知・遮断以外の通信影響を最大限抑えるため、L3/L4 Firewall モード(LINAエンジン)の機能を最大限無効化している影響で、NetFlowに必要なL3/L4の情報を十分に収集できないためです。

参考情報

Cisco FTD How To - FTDのあらゆる情報が揃ったオールインワンサイト
https://cs.co/ftd