[TKB] セキュリティ ドキュメント

一、始めに Cisco Secure Client(旧 Anyconnect, 以下 CSC)ではProxyの使用がサポートされておりまして、CSCより VPN 接続後、Proxy 経由でWebサイトに接続することができます。本稿ではBJD(BlackJumboDog)を使用してProxyを使う場合のCSCの簡易検証環境の構築例を紹介します。BJD はWeb、メール、FTPなどのProxyサーバとして使用できる簡易サーバでフリーでダウンロード/使用できます。以下では PC にBJDを既にダウ...

1. 事象 リソースコネクターと Secure Access を一定期間接続していない状況が続いた状態で、再度リソースコネクターと Secure Access を接続した際に Secure Access 側で "Unable to sync" と表示され、正常に Tunnel が張れない場合がございます。リソースコネクターの CLI からトラブルシューティングコマンドの "diagnostic" を実行すると以下のステータスとなっている可能性がございます。 <--snip--> ###che...

はじめに事象原因改善策参考資料   はじめに このドキュメントでは FTD cluster に Unit が Join した際に通信断が発生する事象について紹介します。※ 本ドキュメントは2025年4月14日現在、FPR4145 、FTD version 7.2.9 にて動作確認を行っています 事象 何らかの理由で Control unit が Cluster から外れ Disable となった場合、 FTD cluster はデフォルトで5分、10分、20分の間隔で Auto join が動...

はじめに事象改善策参考   はじめに 本ドキュメントでは FMC GUI 画面 Notifications > Health 欄に出力されるメッセージを抑制する方法について説明します。* 2025年4月11日時点、FMC Version 7.4.2.2 を使い動作を確認しています 事象 FMC GUI 画面の右上に表示される Notifications(！マーク) > Health 欄には様々なメッセージが表示されます。例えば、FMCがインターネットへの接続性を持たない場合、下記のようなSta...

はじめにEncrypted Visibility Engine (EVE) とはEVEの有効化方法VDB 自動アップデートの有効化動作確認よくある質問Q: QUICや HTTP/3のマルウェアの不正通信の検知と遮断にも対応していますか？Q: Unified Eventから特定通信を「遮断対象外」にすることは可能ですか？Q: マルウェア通信は遮断せずに検知のみとすることは可能ですか？Q: EVEは Intrusion Detection System (IDS) 構成でも利用できますか？Q: EV...

1. 概要2. Certificate Pinning とは3. ピン留めの方法4. SWG との関係性について   ※ 2025 年 3 月 31 日現在の情報をもとに作成しています   1. 概要   本記事では、Umbrella の Web プロキシサーバーである SWG (Secure Web Gateway) とセキュリティ技術の一種である Certificate Pinning の関係性について説明します。   なお、記載内容は、基本的に以下のサポート文書に基づいています。   Pu...

はじめにASA バージョンリリースと不具合修正の仕組み不具合一覧の確認方法特定不具合の更新情報のメール受信方法セキュリティ脆弱性情報の確認方法セキュリティ脆弱性情報の購読方法よくある質問Bug Searchと リリースノートで、記載バージョンに違いがある場合は、どちらの記載が正しいですかBug Searchの修正バージョン 99.x.x.xや x.x.x.10x の利用は可能ですか不具合に該当時は 記載の修正バージョンにバージョンアップが推奨ですか参考情報   はじめに 本ドキュメントはご利用...

はじめに 本記事では、Identity Services Engine(ISE)をご利用いただいているお客様環境で発生した不具合のうち、1ヶ月間のTop 5を紹介させていただきます。ワールドワイドにおいてTACにService Request(SR)での報告数をベースとしています。本記事作成時点(2025/3/6)の情報のため、修正バージョンなど変更が発生している可能性があります。各不具合の最新情報についてはISEのリリースノートや各不具合情報をご確認ください。特にシビラリティが高い不具合に該...

はじめに実施手順   はじめに Secure Network Analyticsの機器交換後のconfigやDBのリストアを実行して設定を戻す必要があります。本手順ではSMC機器交換後のリストア手順を紹介します。   実施手順 本手順ではSMC version7.5.1 を使用しています。バージョンが違うと挙動が異なる可能性があるため、ご留意ください。 構成としてはSMCとFCのみの構成となります。 ※7.5.x以降はRootでのCLIログインの際にレスポンスコードの発行が必要になりま...

はじめに前提条件トポロジ設定例Secure Access - Network Tunnel GroupR1R2R3動作確認Secure AccessR1R2参考資料   はじめに 本ドキュメントでは、Cisco Secure AccessのNetwork tunnel groupに接続する、ユーザ (CPE) 側ルータの機器冗長を構成するための設定例を紹介します。   前提条件 本記事は2025年3月3日時点のSecure Access Dashboardの動作を前提にしており、予告なく変更さ...

はじめに事象内容     はじめに この投稿は、2024年11月29日現在発生している WebUI の日本語表示の問題に関して、TAC からのアナウンスとして作成したものです。 問題が解消される時期は今のところ未定となっています。解消次第、本投稿をアップデートします。     事象内容 Secure Access の WebUI が日本語で表示される設定になっているにもかかわらず、日本語で表示されない状態となっています。この事象は、日本語表示に問題がみられたため、Secure Access 開...

はじめに各種ルールについて   はじめに Secure Network Analyticsは7.4.2まではrootでサーバに直接CLIでログインし、各種コマンドを実行することができました。しかしセキュリティ強化のため、7.5.0からはサーバに直接CLIでログインし、コマンドを実行するためにはコードの発行の手続きが必要となり、TACにResponseコード発行依頼をする必要があります。手順の詳細は以下をご参照ください。 https://community.cisco.com/t5/-/-/t...

はじめに実施手順   はじめに Secure Network Analyticsは7.4.2からCLIログインした後、直接サーバに対してファイルのアップロードをすることができましたが、7.5.0からはその手法ができなくなりました。外部ホストからSCPのコピーでファイルを配置することはできますので、その方法を紹介します。   実施手順 本手順ではSMC version7.5.1 を使用しています。バージョンが違うと挙動が異なる可能性があるため、ご留意ください。 また手順での環境はSMCのI...

1. 概要2. 新しい認証方式について3. 必要なアクション4. クライアントキーの確認方法   ※ 2025 年 2 月 18 日現在の情報をもとに作成しています   1. 概要   本記事は、2025/8/4 から開始される Virtual Appliance と AD Connector の新しい認証方法についての紹介と、それに伴って必要となるアクションについて解説します。   Mandatory Move to New Authentication for VA and ADC (Le...

[2025年3月26日追記] 本件に関連して以下のField Noticeが発行されましたので、併せてご確認ください。 Field Notice: FN74259 - Cisco Identity Services Engine – Alarms Indicating Baltimore CyberTrust Root Expiration - Configuration Change Recommended 2025年2月13日現在、ISE(Identity Services Engine...