Cisco ASA

1. FortiGate を捨てて ASA に置き換える


とある SIer にて基盤システムの更改を請け持った案件が あり、これに参画した

その客側企業では Fotinet 社の FortiGate と言う製品を利用していたが、これを Cisco 社の ASA に置き換えると言う

Cisco ASA 5500-X シリーズ次世代ファイアウォール - Cisco Systems

気でも狂ったのか!?

いやいや、本気で置き換えようとしている らしい
何故 ASA を採用したいのか を その案件のネットワークリーダに聞いた所、

1) ルータや L3スイッチ,L2スイッチを Cisco 社製品で揃えるので、ファイアウォールも Cisco 製品を採用したい

2) Windows Active Directory と連携し、ユーザー認証後の通信制御を実施して身元不明ユーザからの通信を遮断したい

3) URI フィルタとして FirePOWER を導入したい


Windows Active Directory と連携する認証機能で あるが、これは シスコシステムズ合同会社 シニアシステムズエンジニア 曰(いわ)く "IDentity FW認証" と呼称する機能で ある らしい

Cisco 社の Web では、以下に機能記述が ある

Cisco ASA Next-Generation Firewall Services データ シート - Cisco ASA 5500シリーズ - Cisco Systems

堅牢な認証。
Windows Active Directory エージェントと Lightweight Directory Access Protocol(LDAP)を使用したパッシブな認証方法に加え、Kerberos と Windows NT LAN Manager を使用してアクティブ認証を提供します。

FirePOWER を使用したいが為(ため)に ASA を導入すると言うのも、何と無く本末顛(てん)倒と言う気が しなくも無い

# 雑学知識で あるが、本末転倒は本末顛倒が正しい


これには更に本音が含まれて いて、

2') Windows Active Directory との連携実績が余り無いらしいが、多分大丈夫
3') FirePOWER の導入実績が世界的に無いため、これを試したい


と言う事なのだ そうで ある
つまり、

客を モルモット扱い かよっ!


と言う訳で、自身の知的興味と趣味と宗教上の教義に基(もと)づいた機器の選定で ある事が分かった
ここで言う宗教とは、Cisco 製品第一主義教 の事で ある

FirePOWER と Cisco 製品第一主義教 に ついては以下を参照

Cisco ASA with FirePOWER Services

一応、Cisco 社からは以下の助言(と言うか警告か) を頂戴したが、それでも この SIer は採用を押し切って しまった

本件、ユーザ数、同時認証等、どのくらいの規模での認証をお考えでしょうか?
機能的には認証動作致しますが、パフォーマンス、スケーラビリティの観点からも考慮が必要かと思いますので、慎重にご検討いただければと存じます。

ASA5545 では FW+URL Filter を行わせ、かつ、ID-FWとなると、始業時の同時認証では相当の負荷が考えられます。
残念ながら、弊社でもこれらを組み合わせた場合等、対応可能な指標値は持ち合わせておりませんので、もし実装を行う場合には、負荷状況を見ながら順次展開頂く形になるかと思われます。

# いやぁ、この手の宗教の徒輩(とはい) とは本当に付き合い切れない ものが ある


当然の事ながら、私からは些(いささ)か なりとも ASA の採用には反対したが、却下されて しまった



2. 筐体


機器の筐体は IA を採用した PC サーバで ある
OS は良く分からない

Cisco 社の Webページを見ても、CPU が何かは読み取れないので、Cisco 社は IA を基(もと)に した機器で ある事を秘匿したいのかも知れない
例えば以下を表示させても、

Cisco ASA 5500-X シリーズ ミッドレンジ セキュリティ アプライアンス: ASA 5512-X、5515-X、5525-X、5545-X、5555-X

表2. Cisco ASA 5500-X シリーズのハードウェアおよび物理仕様
CPU : マルチコア、エンタープライズ グレード

としか記述されて いない
どうにも歯に衣(きぬ)着せる表現で あるが、IA で ある事は以下を見れば分かる
# sh conf
: Saved
:
: Serial Number: **********
: Hardware:   ASA5545, 12288 MB RAM,  Lynnfield 2660 MHz, 1 CPU (8 cores)

CPU は Lynnfield と あるので、どうやら以下の事で らしい

Intel Core i7 - Wikipedia



3. 操作


機器の操作は CUI および GUI で行う

.1 CUI での操作


機器自体の操作は ssh で login してコマンドラインで実施する事に なる

実際に CUI で login して見ると、以下の様(よう)に表示される

Type help or '?' for a list of available commands.
asa/pri/act> enable
Password: ******
asa/pri>act#

どうやら ASA 二機での HA 構成では、login した機器のフェイルオーヴァ(failover)状態を表示させる事が出来る様で ある
これは以下を実行すると、

asa(config)# prompt hostname priority state

以下の状態を読み取って表示させると言う らしい

[hostname]/<primary/secondry>/<active/standby>#


これは地味に便利かも知れない

コマンド及び機器設定は他の Cisco 社製品と似ているので、これで迷う人は先(ま)ず いないと思う
ただ、ファイアウォールとしての通信制御設定は CUI では もう無理なので、Cisco 原理主義者と言えど GUI で設定するしか無いと思う


.2 GUI での操作


先ずは Web ブラウザで機器の IP アドレスを指定し表示させる

https://[ASA IP address]/


以下の画面が表示されるが、どうやら ASDM と言うものを利用する必要が ある らしい

Cisco ASDM 画面

取り敢えず下段の "Install Java Web Start" を選択し、Java Web Start 版をインストールして見る

すると、java.com から Java をダウンロードすると表示された

ASA java 01

ASA を操作するための PC は、Web に通信出来なければ ならないと言う事か
仕方が無いので、ダウンロードを行う

ASA java 02

Java を導入して ASDM を起動するが、Cisco FireSIGHT System の画面とも大きく異なり、一瞬何を どう操作すれば良いのやら分からなくなって しまった
この Cisco ASDM 画面、日本語化されて いないのは諦めると しても、少し操作が分かりにくいと思う

公開 : 2015年5月9日
戻る
pagetop