このドキュメントでは、分析エンジンの機能と、Cisco IPS Manager Express(IME)の Cisco Secure Intrusion Prevention System(IPS)でバーチャル センサーを作成、編集、および削除する方法について説明します。 また、インターフェイスをバーチャル センサーに割り当てる方法についても説明します。
注:AIM-IPSおよびNME-IPSは仮想化をサポートしていません。
このドキュメントに関しては個別の前提条件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
ソフトウェア バージョン 6.0 およびそれ以降が実行されている Cisco 4200 シリーズ IPS デバイス
Cisco IPS Manager Express(IME)バージョン 6.1.1 およびそれ以降
注:IMEはCisco IPS 5.0以降を実行するセンサーデバイスの監視に使用できますが、IMEで提供される新機能の一部は、Cisco IPS 6.1以降を実行するセンサーでのみサポートされます。
注:Cisco Secure Intrusion Prevention System(IPS)5.xは、デフォルトの仮想センサーvs0のみをサポートします。デフォルトvs0以外の仮想センサーは、IPS 6.x以降でサポートされています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この設定は、次のセンサーにも使用できます。
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
AIP-SSM
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
分析エンジンでは、パケット分析およびアラート検出が実行されます。特定のインターフェイスを介して流されるトラフィックが監視されます。分析エンジンに、バーチャル センサーを作成します。各バーチャル センサーには、インターフェイスのリスト、インライン インターフェイス ペア、インライン VLAN ペア、およびそれに関連付けられている VLAN グループに固有の名前があります。定義順序の問題を回避するため、割り当てには矛盾も重複も認められません。インターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループを特定のバーチャル センサーに割り当て、複数のバーチャル センサーで処理されるパケットがないようにします。各バーチャル センサーは、特別な名前を付けられたシグニチャ定義、イベント アクション ルール、およびアノマリー ディテクションの設定にも関連付けられます。いずれのバーチャル センサーに割り当てられていないインターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループからのパケットは、インライン バイパス設定に基づいて廃棄されます。
センサーでは、1 つまたは多数の監視対象データ ストリームから、データ入力を受信できます。これらの監視対象データ ストリームは、物理インターフェイス ポートまたは仮想インターフェイス ポートのいずれかの場合があります。たとえば、単一のセンサーでは、ファイアウォールの内側のトラフィック、ファイアウォールの外側のトラフィック、または、ファイアウォールの両側からのトラフィックを同時に監視できます。単一のセンサーは、1 つまたは複数のデータ ストリームを監視できます。この状況で、単一のセンサー ポリシーまたは設定は、すべての監視対象データ ストリームに適用されます。バーチャル センサーは、設定ポリシーのセットによって定義されるデータの集まりです。バーチャル センサーは、インターフェイス コンポーネントによって定義されるパケットのセットに適用されます。バーチャル センサーでは、複数のセグメントを監視でき、単一の物理センサー内で、各バーチャル センサーの異なるポリシーまたは設定を適用できます。分析下の監視対象セグメントごとに、異なるポリシーを設定できます。また、たとえば sig0、rules0、または ad0 などの同じポリシー インスタンスを、異なるバーチャル センサーに適用することもできます。インターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループを、バーチャル センサーに割り当てることもできます。
注:Cisco Secure Intrusion Prevention System(IPS)は、4つ以上の仮想センサーをサポートしていません。デフォルトのバーチャルセンサーはvs0です。デフォルトのバーチャルセンサーは削除できません。インターフェイス リスト、アノマリー ディテクション動作モード、インライン TCP セッション トラッキング モード、およびバーチャル センサーの説明のみが、デフォルト バーチャル センターについて変更できる設定機能です。シグニチャ定義、イベント アクション ルール、またはアノマリー ディテクション ポリシーは変更できません。
仮想化には、次の利点があります。
トラフィックの異なるセットに対し、異なる設定を適用できます。
1 つのセンサーで、重複している IP 領域の 2 つのネットワークを監視できます。
ファイアウォールまたは NAT デバイスの内側および外側の両方を監視できます。
仮想化には、次の制約事項があります。
非対称トラフィックの両側を、同じバーチャル センサーに割り当てる必要があります。
VACL キャプチャまたは SPAN(混合モード監視)は、VLAN タギングとの一貫性がなく、これによって VLAN グループに問題が発生します。
Cisco IOS ソフトウェアを使用する場合、トランキングに対する設定が行われている場合でも、VACL キャプチャ ポートまたは SPAN ターゲットでは、タグ付けされたパケットを常に受信するわけではありません。
MSFC を使用する場合、学習されたルートの高速スイッチング パスによって、VACL キャプチャおよび SPAN の動作が変更されます。
永続的な保存は制限されます。
仮想化には、次のトラフィック キャプチャ要件があります。
バーチャル センサーでは、キャプチャ ポートのネイティブ VLAN 上のトラフィック以外の、802.1q ヘッダーがあるトラフィックを受信する必要があります。
センサーは、指定されたセンサーの同じバーチャル センサーにある同じ VLAN グループのトラフィックの両方の方向を参照する必要があります。
このセクションでは、バーチャル センターの追加、編集、および削除に関する情報について説明します。
バーチャル センサーを作成するには、サービス分析エンジン サブモードで virtual-sensor name コマンドを発行します。バーチャル センサーにポリシー(アノマリー ディテクション、イベント アクション ルール、およびシグニチャ定義)を割り当てます。次に、インターフェイス(混合モード、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループ)を、バーチャル センサーに割り当てます。バーチャル センサーにこれらを割り当てる前に、インライン インターフェイス ペアおよび VLAN ペアを設定する必要があります。これらのオプションによって、次の設定が割り当てられます。
anomaly-detection:アノマリー ディテクション パラメータ。
anomaly-detection-name name:アノマリー ディテクション ポリシーの名前
operational-mode:アノマリー ディテクション モード(inactive、learn、detect)
description:バーチャル センサーの説明。
event-action-rules:イベント アクション ルール ポリシーの名前。
inline-TCP-evasion-protection-mode:トラフィックの検出に必要な次のノーマライザ モードのタイプを検出できます。
asymmetric:双方向トラフィック フローの 1 つの方向のみを参照できます。非対称モード保護によって、TCP レイヤでの回避保護が緩和されます。
注:非対称モードでは、センサーの状態をフローと同期させ、両方向を必要としないエンジンの検査を維持できます。完全保護では、トラフィックの両側の参照が必要なため、非対称モードによってセキュリティが低くなります。
strict:パケットが何らかの理由で損失した場合、損失したパケット後のすべてのパケットは処理されません。厳密な回避保護によって、TCP ステートおよびシーケンス監視が完全に実施されます。
注:順序が正しくないパケットや損失したパケットが発生した場合は、Normalizerエンジンのシグニチャ1300または1330の起動が発生する可能性があります。この場合は、状況を修正しようとしますが、接続が拒否されるされる可能性があります。
inline-TCP-session-tracking-mode:インライン トラフィックで重複 TCP セッションを指定できるようにする高度な方式。デフォルトはバーチャル センサーで、これが、ほとんどの場合、最善の選択肢です。
virtual-sensor:同じセッションに属すバーチャル センター内の同じセッション キー(AaBb)を持つすべてのパケット。
interface-and-vlan:同じ VLAN(またはインライン VLAN ペア)および同じセッションに属す同じインターフェイス上の、同じセッションキー(AaBb)を持つすべてのパケット。同じキーを持つが、異なる VLAN またはインターフェイスにあるパケットは、独立して監視されます。
vlan-only:同じセッションに属しているインターフェイスに関係なく、同じ VLAN(またはインライン VLAN ペア)および同じセッションの、同じセッションキー(AaBb)を持つすべてのパケット。同じキーを持つが異なる VLAN にあるパケットは、独立して監視されます。
signature-definition:シグニチャ定義ポリシーの名前。
logical-interfaces:論理インターフェイス(インライン インターフェイス ペア)の名前。
physical-interfaces:物理インターフェイス(混合モード、インライン VLAN ペア、および VLAN グループ)の名前。
subinterface-number:物理サブインターフェイスの番号。subinterface-type が none の場合、値 0 によって、インターフェイス全体が混合モードで割り当てられることを示します。
no:エントリまたは選択を削除します。
バーチャル センサーを追加するには、次の手順を実行します。
管理者権限を持つアカウントで CLI にログインします。
サービス分析モードを開始します。
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
バーチャル センサーを追加します。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
このバーチャル センサーの説明を追加します。
sensor(config-ana-vir)# description virtual sensor 2
アノマリー ディテクション ポリシーおよび動作モードを、このバーチャル センサーに割り当てます。
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn
イベント アクション ルール ポリシーを、このバーチャル センサーに割り当てます。
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1
シグニチャ定義ポリシーを、このバーチャル センサーに割り当てます。
sensor(config-ana-vir)# signature-definition sig1
インライン TCP セッション トラッキング モードを割り当てます。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
デフォルトはバーチャル センサー モードで、ほとんどの場合、これが最善の選択肢です。
インライン TCP 回避保護モードを割り当てます。
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
デフォルトは strict モードで、ほとんどの場合、これが最善の選択肢です。
使用可能なインターフェイスのリストが表示されます。
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
このバーチャル センサーに追加する混合モード インターフェイスを割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
このバーチャル センサーに割り当てるすべての混合モード インターフェイスについて、この手順を繰り返します。
このバーチャル センサーに追加するインライン インターフェイス ペアを割り当てます。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
インターフェイスはすでにペアにされている必要があります。
このバーチャル センサーに追加する、インライン VLAN ペアのサブインターフェイスまたはグループを、次のとおりに割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
インターフェイスは VLAN ペアまたはグループにすでに分割されている必要があります。
バーチャル センサー設定を確認します。
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
分析エンジン モードを終了します。
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。
これで、Cisco Secure Intrusion Prevention System(IPS)にバーチャル センサーを追加する処理が終了しました。 さらにバーチャル センサーを追加するには、同じ手順を実行します。
注:Cisco Secure Intrusion Prevention System(IPS)は、4つ以上の仮想センサーをサポートしていません。デフォルト バーチャル センサーは vs0 です。
Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)に、バーチャル センサーを設定するには、次の手順を実行します。
[Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。次に、スクリーンショットに示したように、[Add Virtual Sensor] をクリックします。
バーチャル センターに名前を付け(この例では vs2)、指定された領域にバーチャル センターに説明を追加します。このバーチャル センサーに追加する混合モード インターフェイスも割り当てます。ここでは、ギガビット イーサネット 0/2 が選択されています。スクリーンショットに示したように、[Signature Definition] 、[Event Action Rule] 、[Anomaly Detection] 、および [Advanced Options] の各セクションに詳細を指定します。
[Advanced Options] に、TCP セッション トラッキング モードおよびノーマライザ モードに関する詳細を指定します。ここでは、[TCP Session Tracking Mode] が [Virtual Sensor] で、[Normalizer Mode] が [Strict Evasion Protection] モードです。
[OK] をクリックします。
新たに追加されたバーチャル センサー vs2 が、バーチャル センサーのリストに示されます。[Apply] をクリックし、新しいバーチャル センサーの設定を Cisco Secure Intrusion Prevention System(IPS)に送信します。
これで、バーチャル センサーを追加する設定は完了しました。
次のバーチャル センサーのパラメータを編集できます。
シグニチャ定義ポリシー
イベント アクション ルール ポリシー
アノマリー ディテクション ポリシー
アノマリー ディテクション動作モード
インライン TCP セッション トラッキング モード
説明
割り当てられるインターフェイス
バーチャル センサーを編集するには、次の手順を実行します。
管理者権限を持つアカウントで CLI にログインします。
サービス分析モードを開始します。
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
バーチャル センサーは vs1 を編集します。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
このバーチャル センサーの説明を編集します。
sensor(config-ana-vir)# description virtual sensor A
このバーチャル センサーに割り当てられているアノマリー ディテクション ポリシーおよび動作モードを変更します。
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn
このバーチャル センサーに割り当てられている、イベント アクション ルール ポリシーを変更します。
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0
このバーチャル センサーに割り当てられているシグニチャ定義ポリシーを変更します。
sensor(config-ana-vir)# signature-definition sig0
インライン TCP セッション トラッキング モードを変更します。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
デフォルトはバーチャル センサー モードで、ほとんどの場合、これが最善の選択肢です。
使用可能なインターフェイスのリストが表示されます。
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
このバーチャル センサーに割り当てられている混合モード インターフェイスを変更します。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
このバーチャル センサーに割り当てられているインライン インターフェイス ペアを変更します。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
インターフェイスはすでにペアにされている必要があります。
このバーチャル センサーに割り当てられている、VLAN ペアまたはグループが使用されているサブインターフェイスを変更します。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
インターフェイスは VLAN ペアまたはグループにすでに分割されている必要があります。
編集するバーチャル センサーの設定を確認します。
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
分析エンジン モードを終了します。
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。
Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)で、バーチャル センサーを編集するには、次の手順を実行します。
[Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。
スクリーンショットに示したように、編集するバーチャル センサーを選択し、[Edit] をクリックします。この例では、vs2 が編集されるバーチャル センサーです。
[Edit Virtual Sensor] ウィンドウの [Signature Definition] 、[Event Action Rule] 、[Anomaly Detection] 、および [Advanced Options] の各セクションで、存在するバーチャル センサーのパラメータを変更します。[OK] をクリックして、[Apply] をクリックします。
これで、バーチャル センサーを編集する処理は完了しました。
バーチャル センサーを削除するには、次の手順を実行します。
バーチャル センサーを削除するには、no virtual-sensor コマンドを発行します。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2
削除されるバーチャル センサーを確認します。
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#
デフォルト バーチャル センサー vs0 のみが存在しています。
分析エンジン モードを終了します。
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)で、バーチャル センサーを削除するには、次の手順を実行します。
[Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。
スクリーンショットに示したように、削除するバーチャル センサーを選択し、[Delete] をクリックします。この例では、vs2 が削除されるバーチャル センサーです。
これで、バーチャル センサーを削除する処理は完了しました。バーチャル センサーは vs2 が削除されます。
IME を介して IPS にアクセスしようとしたときに、IPS Manager Express が開始されず、次のエラー メッセージを受信する。
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
この問題を解決するには、IME ワークステーション PC をリロードします。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
22-Dec-2009 |
初版 |