管理アクセスの設定
管理アクセスとは、設定およびモニター目的で 脅威に対する防御 デバイスにログインする機能のことです。次の項目を設定できます。
-
ユーザーアクセス認証に使用するアイデンティティソースを特定するための AAA。ローカルユーザーデータベースまたは外部 AAA サーバーを使用することができます。管理ユーザーの管理の詳細については、Device Manager および Threat Defense ユーザーアクセスの管理を参照してください。
-
管理インターフェイスおよびデータ インターフェイスへのアクセス制御。これらのインターフェイスには個別のアクセス リストがあります。どの IP アドレスが HTTPS(Device Manager で使用)および SSH(CLI で使用)で許可されるかを決定できます。管理アクセス リストの設定を参照してください。
-
Device Manager に接続するためにユーザーが受け入れる必要がある管理 Web サーバー証明書。Web ブラウザで信頼される証明書をアップロードすることにより、ユーザーが不明な証明書を信頼するように求められるのを回避できます。Threat Defense Web サーバー証明書の設定 を参照してください。
管理アクセス リストの設定
デフォルトでは、任意の IP アドレスから、デバイスの管理アドレス上の Device Manager Web または CLI インターフェイスにアクセスできます。システム アクセスは、ユーザ名/パスワードのみで保護されています。ただし、特定の IP アドレスまたはサブネットのみからの接続を許可するようアクセス リストを設定し、さらにレベルの高い保護を提供できます。
また、データインターフェイスを開いて、Device Manager または SSH から CLI への接続を許可することもできます。これにより、管理アドレスを使用せずにデバイスを管理できます。たとえば、外部インターフェイスへの管理アクセスを許可し、デバイスをリモートで設定できます。ユーザ名/パスワードにより、不要な接続から保護します。デフォルトでは、データインターフェイスへの HTTPS 管理アクセスは内部インターフェイスで有効になっていますが、外部インターフェイスでは無効になっています。デフォルトの「内部」ブリッジグループが設定されている Firepower 1010 の場合、この設定は、ブリッジグループに含まれる任意のデータインターフェイスを使用して Device Manager をブリッジグループ IP アドレス(デフォルトは 192.168.95.1)に接続できることを意味します。管理接続は、デバイスに入るインターフェイス上でのみ開くことができます。
注意 |
特定のアドレスへのアクセスを制限すると、システムから簡単にロックアウトできます。現在使用している IP アドレスへのアクセスを削除し、「任意」のアドレスへのエントリが存在しない場合、ポリシーを展開した時点でシステムへのアクセスは失われます。アクセス リストを設定する場合は、特に注意してください。 |
始める前に
同じ TCP ポートの同じインターフェイスでは、Device Manager アクセス(HTTPS アクセス)とリモートアクセス SSL VPN の両方を設定できません。たとえば、外部インターフェイスにリモート アクセス SSL VPN を設定する場合、ポート 443 で HTTPS 接続用の外部インターフェイスも開くことはできません。同じインターフェイスで両方の機能を設定する場合は、競合を回避するために、必ず、これらのサービスの少なくとも 1 つの HTTPS ポートを変更してください。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 の順にリンクをクリックします。 [システム設定(System Settings)] ページがすでに表示されている場合は、目次で [管理アクセス(Management Access)] をクリックします。 このページで AAA を設定して、外部 AAA サーバで定義されたユーザの管理アクセスを許可することもできます。詳細は、Device Manager および Threat Defense ユーザーアクセスの管理を参照してください。 |
ステップ 2 |
管理アドレスのルールを作成するには、以下の手順に従います。 |
ステップ 3 |
データインターフェイスへのルールを作成するには、以下の手順に従います。 |
データインターフェイスでの管理アクセス用の HTTPS ポートの設定
デフォルトでは、Device Manager または Threat Defense API のいずれかで管理のためにデバイスにアクセスする場合、ポート TCP/443 を経由します。データインターフェイスの管理アクセスポートは変更できます。
ポートを変更すると、ユーザは、システムにアクセスするための URL にカスタムポートを含める必要があります。たとえば、データインターフェイスが ftd.example.com であり、ポートを 4443 に変更した場合、ユーザは URL を https://ftd.example.com:4443 に変更する必要があります。
すべてのデータインターフェイスで同じポートが使用されます。インターフェイスごとに異なるポートを設定することはできません。
(注) |
管理インターフェイスの管理アクセスポートは変更できません。管理インターフェイスでは常にポート 443 が使用されます。 |
手順
ステップ 1 |
[Device] をクリックしてから、 リンクの順にクリックします。 [System Settings] ページがすでに表示されている場合は、目次で [Management Access] をクリックします。 |
ステップ 2 |
[Data Interfaces] タブをクリックします。 |
ステップ 3 |
[HTTPS Data Port] 番号をクリックします。 |
ステップ 4 |
[Data Interfaces Setting] ダイアログボックスで [HTTPS Data Port] を、使用するポートに変更します。 次の番号は指定できません。
|
ステップ 5 |
[OK] をクリックします。 |
Threat Defense Web サーバー証明書の設定
Web インターフェイスにログインするときに、システムはデジタル証明書を使用して HTTPS で通信を保護します。デフォルトの証明書はブラウザで信頼されていないため、Untrusted Authority という警告が表示され、証明書を信頼するかどうかを確認されます。ユーザーは証明書を Trusted Root Certificate ストアに保存することもできますが、その代わりにブラウザが信頼するように設定されている新しい証明書をアップロードすることもできます。
手順
ステップ 1 |
[デバイス(Device)] をクリックしてから、 リンクの順にクリックします。 [System Settings] ページがすでに表示されている場合は、目次で [Management Access] をクリックします。 |
ステップ 2 |
[管理Webサーバ(Management Web Server)] タブをクリックします。 |
ステップ 3 |
[Webサーバ証明書(Web Server Certificate)] で、Device Manager への HTTPS 接続をセキュリティ保護するために使用する内部証明書を選択します。 証明書をアップロードまたは作成していない場合、リストの下部にある [内部証明書の新規作成(Create New Internal Certificate)] リンクをクリックして作成します。 デフォルトは、事前に定義された DefaultWebserverCertificate オブジェクトです。 |
ステップ 4 |
証明書が自己署名されていない場合は、完全な信頼チェーン内のすべての中間証明書とルート証明書を信頼チェーンリストに追加します。 チェーンには最大 10 個の証明書を追加できます。[+] をクリックして各中間証明書を追加し、最後にルート証明書を追加します。[保存(Save)] をクリックし(Webサーバの再起動を警告するダイアログで [続行(Proceed)] をクリックすると)、証明書がない場合は、欠落しているチェーン内の次の証明書の共通名を含むエラーメッセージが表示されます。チェーンに含まれていない証明書を追加した場合も、エラーが表示されます。これらのメッセージを慎重に調べて、追加または削除する必要がある証明書を特定してください。 ここから証明書をアップロードするには、[+] をクリックした後に、[新規信頼CA証明書の作成(Create New Trusted CA Certificate)] をクリックします。 |
ステップ 5 |
[保存(Save)] をクリックします。 変更はすぐに適用され、システムは Web サーバーを再起動します。設定を展開する必要はありません。 数分待って再起動が完了してから、ブラウザを更新します。 |