Ftd fmcベストプラクティス acp

皆さんこんにちは,

私は現在、複数の学校区のデファクト担当者です。ランサムウェアに襲われました。TAがVPNに入り、ACPがVPNアクセスを停止できることを知らず、地理的にリスクの高い地域をブロックするだけで十分だと思っていましたが、違いました。教訓として、ロシアによって私の全インフラとオンラインワークステーションが暗号化されました。古いSan設定での奇跡的な復旧に成功しました。

復旧後、多くの勉強と読み物を通じて、自信を深めています。

NSAのハードニングガイド、CISAのハードニング、さまざまなセキュリティ強化のガイドラインを見つけました。

コミュニティから、どのようなACPルールを設定しているかについてアドバイスをもらいたいと思います。

中央のsyslog、Duo SAMLを使ったVPNの多要素認証(MFA)、接続のセキュリティ向上、"壊れた!"と叫び始める人たちのために許可ルールを作成しています。

K12セクターの方で、自分たちのFTD設定の基本的な思想やネットワークの「これをやれ、こうすれば良くなる」ヒントを共有していただけると幸いです。

FMCは1600、FTDは2110(バージョン7.2.4)、ルーターとして3750x、コアに4507r+eを使用し、多数の3850sと接続しています。すべて推奨のIOSを実行しています。(静的ルートのみで、内部的にL3を行っているのは4507r+eだけです。)

ちなみに、ジオブロックはVPNには適用されません。VPN接続はFTDへのものであり、FTDを通じてではありません(同様にASAも)。これは改善中です… 信頼できるエンドポイントとDAPを利用して、VPNに接続できるシステムを絞り込みましょう。

ただし、ジオブロックはFTDの背後にあるシステムが処理するトラフィックを削減します。

Snort 3へのアップグレードも忘れずに行いましょう。