Cisco FireSIGHT Management Center

1. FirePOWER の操作のため、Cisco FireSIGHT Management Center を導入

FirePOWER で URI フィルタを利用したいがために、以下の Cisco FireSIGHT Management Center なる代物を購入する事となった

Cisco FireSIGHT Management Center - Cisco Systems

FirePOWER についてはこちらを参照

Cisco ASA with FirePOWER Services

それにしても思うのであるが、Cisco 第一主義教の教徒と言うは何故(なにゆえ)に Cisco 社製品で揃えようとするのであろうか
全く以(もっ)て不可解な行動であり、理解に苦しむものである
別にルータは YAMAHA でも良いと思うし、L2スイッチ/L3スイッチは Brocade でも良いと思う
ファイアウォールは寧(むし)ろ FortiGate の方が市場で受け入れられている

ホーム - ヤマハ株式会社
ルーター - ヤマハ株式会社

Brocade Communications Systems, Inc.
スイッチ | Brocade Communications Systems, Inc.

UTM、次世代ファイアウォールは FortiGate | フォーティネット
UTM、次世代ファイアウォールは FortiGate - FortiGateアプライアンス - フォーティネット

Cisco 800 程度のルータで良いのであれば、YAMAHA 製品で充分であろう

光ファイバで機器を結線したいのであれば、Brocade 社製品の方が Cisco 製品よりも速度面で優れていると言う
実は私はブロケードコミュニケーションズシステムズ株式会社霞が関オフィスで以下の様(よう)なセミナーに参加した事があるのであるが、

イベント情報 | Brocade Communications Systems, Inc.

Brocade の技術者が、Brocade のファイバチャネルインタフェイスは非常に高速であると熱く熱っぽく情熱的に訴えており、計測検証における具体数値を見せられて、成程と唸(うな)ったものである

更に書き述べるが、URI フィルタはファイアウォールで実現するのでは無く WebProxy 機で実現した方が、SI における手法として優れているものと確信している
私が機器とアプリケーションを選定する立場であったとすれば、以下の様な選択を採ったであろう

URI フィルタ

話が脇道に逸(そ)れた

2. 筐体

機器の筐体は IA を採用した PC サーバである
OS として Linux が導入されており、ディストリビューションは RedHat を基に Cisco が手を加えているものと思われる
実際に CUI で login して見ると、以下の様に表示される

Copyright 2001-2013, Sourcefire, Inc. All rights reserved. Sourcefire is
a registered trademark of Sourcefire, Inc. All other trademarks are
property of their respective owners.

Sourcefire Linux OS v5.3.0 (build 73)
Sourcefire Defense Center 750 v5.3.1.2 (build 30)

admin@Sourcefire3D:~$

機器の OS は FirePOWER とほぼ共通であるらしい

# FirePOWER は Sourcefire Linux OS v5.3.1 (build 43) であるが、この辺(あた)りは誤差の範囲であろう

3. 操作

機器の操作は CUI および GUI で行う

.1 CUI での操作

機器自体の操作は ssh で login してコマンドラインで実施する事になる

OS が Linux なので当然の事であるが、他の Cisco 社製品とのコマンド体系の互換性は全く無い
FirePOWER とは共通しているのかとも思ったが、どうやら大きく異なる様に見受けられる

admin@Sourcefire3D:~$ help
GNU bash, version 3.2.334(1)-release (x86_64-unknown-linux-gnu)
These shell commands are defined internally.  Type `help' to see this list.
Type `help name' to find out more about the function `name'.
Use `info bash' to find out more about the shell in general.
Use `man -k' or `info' to find out more about commands not in this list.

A star (*) next to a name means that the command is disabled.

JOB_SPEC [&]                       (( expression ))
. filename [arguments]             :
[ arg... ]                         [[ expression ]]
alias [-p] [name[=value] ... ]     bg [job_spec ...]
bind [-lpvsPVS] [-m keymap] [-f fi break [n]
builtin [shell-builtin [arg ...]]  caller [EXPR]
case WORD in [PATTERN [| PATTERN]. cd [-L|-P] [dir]
command [-pVv] command [arg ...]   compgen [-abcdefgjksuv] [-o option
complete [-abcdefgjksuv] [-pr] [-o continue [n]
declare [-afFirtx] [-p] [name[=val dirs [-clpv] [+N] [-N]
disown [-h] [-ar] [jobspec ...]    echo [-neE] [arg ...]
enable [-pnds] [-a] [-f filename]  eval [arg ...]
exec [-cl] [-a name] file [redirec exit [n]
export [-nf] [name[=value] ...] or false
fc [-e ename] [-nlr] [first] [last fg [job_spec]
for NAME [in WORDS ... ;] do COMMA for (( exp1; exp2; exp3 )); do COM
function NAME { COMMANDS ; } or NA getopts optstring name [arg]
hash [-lr] [-p pathname] [-dt] [na help [-s] [pattern ...]
history [-c] [-d offset] [n] or hi if COMMANDS; then COMMANDS; [ elif
jobs [-lnprs] [jobspec ...] or job kill [-s sigspec | -n signum | -si
let arg [arg ...]                  local name[=value] ...
logout                             popd [+N | -N] [-n]
printf [-v var] format [arguments] pushd [dir | +N | -N] [-n]
pwd [-LP]                          read [-ers] [-u fd] [-t timeout] [
readonly [-af] [name[=value] ...]  return [n]
select NAME [in WORDS ... ;] do CO set [--abefhkmnptuvxBCHP] [-o opti
shift [n]                          shopt [-pqsu] [-o long-option] opt
source filename [arguments]        suspend [-f]
test [expr]                        time [-p] PIPELINE
times                              trap [-lp] [arg signal_spec ...]
true                               type [-afptP] name [name ...]
typeset [-afFirtx] [-p] name[=valu ulimit [-SHacdfilmnpqstuvx] [limit
umask [-p] [-S] [mode]             unalias [-a] name [name ...]
unset [-f] [-v] [name ...]         until COMMANDS; do COMMANDS; done
variables - Some variable names an wait [n]
while COMMANDS; do COMMANDS; done  { COMMANDS ; }
admin@Sourcefire3D:~$

何だこれは ?? 良く分からん

shell は bash が採用されており、素の Linux コマンドが実行出来てしまう
OS と筐体の設定ファイルを幾つか確認して行くと、

admin@Sourcefire3D:/etc$ cat /etc/fstab # FILESYSTEMS WERE FORMATTED USING ext3, BUT MOUNTED USING ext2 # !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # XXX This is the OS-level config file, it is overwritten by the product # XXX See templates at ims/src/binaries/sfwww/templates/html_templates/stig/fstab.tt # XXX or /var/sf/htdocs/template/html_templates/stig/fstab.tt # !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! LABEL=3D-5.3.0 / ext2 defaults 1 1 LABEL=/boot /boot ext2 defaults 1 1 LABEL=/Volume /Volume ext2 defaults 1 1 none /dev/pts devpts gid=5,mode=620 0 0 none /proc proc defaults 0 0 none /dev/shm tmpfs defaults 0 0 none /sys sysfs defaults 0 0 none /proc/bus/usb usbfs defaults 0 0 /dev/sda2 swap swap defaults 0 0 /dev/cdrom /mnt/cdrom iso9660 noauto,owner,nosuid,nodev,ro 0 0 /dev/fd0 /mnt/floppy auto noauto,owner,nosuid,nodev 0 0 /Volume/5.3.0 /var bind defaults,bind 0 0 /Volume/5.3.0/sf /usr/local/sf bind defaults,bind 0 0 /Volume/5.3.0/perl5 /usr/lib/perl5 bind defaults,bind 0 0 /Volume/lib/mysql /var/lib/mysql bind defaults,bind 0 0 admin@Sourcefire3D:/etc$

ファイルシステムは ext3 で初期化されているがマウントは ext2 で行われていると言う事らしいが、理由は良く分からない

.2 GUI での操作

Webブラウザで以下の通り指定すると、Cisco FireSIGHT System の Login 画面が表示される

https://[FireSIGHT Management Center IP address]/

いやぁ、何と言うか Cisco製品とは思えない(いやまぁ元々は他社製品ではあるのではあるが) 見た目である

URI フィルタは以下の画面から操作するのでは無いかと思うが、良く分からない

URI フィルタの設定を CUI で設定出来ないのかと思って Cisco社に問い合わせて見たが、FireSIGHT Management Center からでしか設定出来ないと言う回答を得た
う～む、そうですか...

これから URI フィルタをここに設定して行くのかと思うと、何とも憂鬱な話である

なお、URI フィルタの設定は、以下のディレクトリに保存されるらしい

/usr/local/sf

sf とは Sourcefire の事であろう
動作保証対象外かも知れないが、vi で設定を書き込んでいる事も可能であるのかも知れない

公開 : 2015年5月14日