IPS 6.X以降:IMEによる仮想センサーの設定

ダウンロード オプション

  • PDF     (594.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (506.2 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (591.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2009 年 12 月 22 日
Document ID:111431

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、分析エンジンの機能と、Cisco IPS Manager Express(IME)の Cisco Secure Intrusion Prevention System(IPS)でバーチャル センサーを作成、編集、および削除する方法について説明します。 また、インターフェイスをバーチャル センサーに割り当てる方法についても説明します。

注:AIM-IPSおよびNME-IPSは仮想化をサポートしていません。

前提条件

要件

このドキュメントに関しては個別の前提条件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • ソフトウェア バージョン 6.0 およびそれ以降が実行されている Cisco 4200 シリーズ IPS デバイス

  • Cisco IPS Manager Express(IME)バージョン 6.1.1 およびそれ以降

    注:IMEはCisco IPS 5.0以降を実行するセンサーデバイスの監視に使用できますが、IMEで提供される新機能の一部は、Cisco IPS 6.1以降を実行するセンサーでのみサポートされます。

    注:Cisco Secure Intrusion Prevention System(IPS)5.xは、デフォルトの仮想センサーvs0のみをサポートします。デフォルトvs0以外の仮想センサーは、IPS 6.x以降でサポートされています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、次のセンサーにも使用できます。

  • IPS-4240

  • IPS-4255

  • IPS-4260

  • IPS-4270-20

  • AIP-SSM

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

分析エンジンについて

分析エンジンでは、パケット分析およびアラート検出が実行されます。特定のインターフェイスを介して流されるトラフィックが監視されます。分析エンジンに、バーチャル センサーを作成します。各バーチャル センサーには、インターフェイスのリスト、インライン インターフェイス ペア、インライン VLAN ペア、およびそれに関連付けられている VLAN グループに固有の名前があります。定義順序の問題を回避するため、割り当てには矛盾も重複も認められません。インターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループを特定のバーチャル センサーに割り当て、複数のバーチャル センサーで処理されるパケットがないようにします。各バーチャル センサーは、特別な名前を付けられたシグニチャ定義、イベント アクション ルール、およびアノマリー ディテクションの設定にも関連付けられます。いずれのバーチャル センサーに割り当てられていないインターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループからのパケットは、インライン バイパス設定に基づいて廃棄されます。

バーチャル センサーについて

センサーでは、1 つまたは多数の監視対象データ ストリームから、データ入力を受信できます。これらの監視対象データ ストリームは、物理インターフェイス ポートまたは仮想インターフェイス ポートのいずれかの場合があります。たとえば、単一のセンサーでは、ファイアウォールの内側のトラフィック、ファイアウォールの外側のトラフィック、または、ファイアウォールの両側からのトラフィックを同時に監視できます。単一のセンサーは、1 つまたは複数のデータ ストリームを監視できます。この状況で、単一のセンサー ポリシーまたは設定は、すべての監視対象データ ストリームに適用されます。バーチャル センサーは、設定ポリシーのセットによって定義されるデータの集まりです。バーチャル センサーは、インターフェイス コンポーネントによって定義されるパケットのセットに適用されます。バーチャル センサーでは、複数のセグメントを監視でき、単一の物理センサー内で、各バーチャル センサーの異なるポリシーまたは設定を適用できます。分析下の監視対象セグメントごとに、異なるポリシーを設定できます。また、たとえば sig0、rules0、または ad0 などの同じポリシー インスタンスを、異なるバーチャル センサーに適用することもできます。インターフェイス、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループを、バーチャル センサーに割り当てることもできます。

注:Cisco Secure Intrusion Prevention System(IPS)は、4つ以上の仮想センサーをサポートしていません。デフォルトのバーチャルセンサーはvs0です。デフォルトのバーチャルセンサーは削除できません。インターフェイス リスト、アノマリー ディテクション動作モード、インライン TCP セッション トラッキング モード、およびバーチャル センサーの説明のみが、デフォルト バーチャル センターについて変更できる設定機能です。シグニチャ定義、イベント アクション ルール、またはアノマリー ディテクション ポリシーは変更できません。

仮想化の利点と制約事項

仮想化の利点

仮想化には、次の利点があります。

  • トラフィックの異なるセットに対し、異なる設定を適用できます。

  • 1 つのセンサーで、重複している IP 領域の 2 つのネットワークを監視できます。

  • ファイアウォールまたは NAT デバイスの内側および外側の両方を監視できます。

仮想化の制約事項

仮想化には、次の制約事項があります。

  • 非対称トラフィックの両側を、同じバーチャル センサーに割り当てる必要があります。

  • VACL キャプチャまたは SPAN(混合モード監視)は、VLAN タギングとの一貫性がなく、これによって VLAN グループに問題が発生します。

    • Cisco IOS ソフトウェアを使用する場合、トランキングに対する設定が行われている場合でも、VACL キャプチャ ポートまたは SPAN ターゲットでは、タグ付けされたパケットを常に受信するわけではありません。

    • MSFC を使用する場合、学習されたルートの高速スイッチング パスによって、VACL キャプチャおよび SPAN の動作が変更されます。

  • 永続的な保存は制限されます。

仮想化の要件

仮想化には、次のトラフィック キャプチャ要件があります。

  • バーチャル センサーでは、キャプチャ ポートのネイティブ VLAN 上のトラフィック以外の、802.1q ヘッダーがあるトラフィックを受信する必要があります。

  • センサーは、指定されたセンサーの同じバーチャル センサーにある同じ VLAN グループのトラフィックの両方の方向を参照する必要があります。

設定

このセクションでは、バーチャル センターの追加、編集、および削除に関する情報について説明します。

バーチャル センサーの追加

バーチャル センサーを作成するには、サービス分析エンジン サブモードで virtual-sensor name コマンドを発行します。バーチャル センサーにポリシー(アノマリー ディテクション、イベント アクション ルール、およびシグニチャ定義)を割り当てます。次に、インターフェイス(混合モード、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループ)を、バーチャル センサーに割り当てます。バーチャル センサーにこれらを割り当てる前に、インライン インターフェイス ペアおよび VLAN ペアを設定する必要があります。これらのオプションによって、次の設定が割り当てられます。

  • anomaly-detection:アノマリー ディテクション パラメータ。

    • anomaly-detection-name name:アノマリー ディテクション ポリシーの名前

    • operational-mode:アノマリー ディテクション モード(inactive、learn、detect

  • description:バーチャル センサーの説明。

  • event-action-rules:イベント アクション ルール ポリシーの名前。

  • inline-TCP-evasion-protection-mode:トラフィックの検出に必要な次のノーマライザ モードのタイプを検出できます。

    • asymmetric:双方向トラフィック フローの 1 つの方向のみを参照できます。非対称モード保護によって、TCP レイヤでの回避保護が緩和されます。

      注:非対称モードでは、センサーの状態をフローと同期させ、両方向を必要としないエンジンの検査を維持できます。完全保護では、トラフィックの両側の参照が必要なため、非対称モードによってセキュリティが低くなります。

    • strict:パケットが何らかの理由で損失した場合、損失したパケット後のすべてのパケットは処理されません。厳密な回避保護によって、TCP ステートおよびシーケンス監視が完全に実施されます。

      注:順序が正しくないパケットや損失したパケットが発生した場合は、Normalizerエンジンのシグニチャ1300または1330の起動が発生する可能性があります。この場合は、状況を修正しようとしますが、接続が拒否されるされる可能性があります。

  • inline-TCP-session-tracking-mode:インライン トラフィックで重複 TCP セッションを指定できるようにする高度な方式。デフォルトはバーチャル センサーで、これが、ほとんどの場合、最善の選択肢です。

    • virtual-sensor:同じセッションに属すバーチャル センター内の同じセッション キー(AaBb)を持つすべてのパケット。

    • interface-and-vlan:同じ VLAN(またはインライン VLAN ペア)および同じセッションに属す同じインターフェイス上の、同じセッションキー(AaBb)を持つすべてのパケット。同じキーを持つが、異なる VLAN またはインターフェイスにあるパケットは、独立して監視されます。

    • vlan-only:同じセッションに属しているインターフェイスに関係なく、同じ VLAN(またはインライン VLAN ペア)および同じセッションの、同じセッションキー(AaBb)を持つすべてのパケット。同じキーを持つが異なる VLAN にあるパケットは、独立して監視されます。

  • signature-definition:シグニチャ定義ポリシーの名前。

  • logical-interfaces:論理インターフェイス(インライン インターフェイス ペア)の名前。

  • physical-interfaces:物理インターフェイス(混合モード、インライン VLAN ペア、および VLAN グループ)の名前。

    • subinterface-number:物理サブインターフェイスの番号。subinterface-type が none の場合、値 0 によって、インターフェイス全体が混合モードで割り当てられることを示します。

    • no:エントリまたは選択を削除します。

バーチャル センサーを追加するには、次の手順を実行します。

  1. 管理者権限を持つアカウントで CLI にログインします。

  2. サービス分析モードを開始します。

    sensor# configure terminal

        sensor(config)# service analysis-engine

        sensor(config-ana)#

  3. バーチャル センサーを追加します。

    sensor(config-ana)# virtual-sensor vs2

        sensor(config-ana-vir)#

  4. このバーチャル センサーの説明を追加します。

    sensor(config-ana-vir)# description virtual sensor 2

  5. アノマリー ディテクション ポリシーおよび動作モードを、このバーチャル センサーに割り当てます。

    sensor(config-ana-vir)# anomaly-detection

        sensor(config-ana-vir-ano)# anomaly-detection-name ad1

        sensor(config-ana-vir-ano)# operational-mode learn

  6. イベント アクション ルール ポリシーを、このバーチャル センサーに割り当てます。 

    sensor(config-ana-vir-ano)# exit

        sensor(config-ana-vir)# event-action-rules rules1

  7. シグニチャ定義ポリシーを、このバーチャル センサーに割り当てます。

    sensor(config-ana-vir)# signature-definition sig1

  8. インライン TCP セッション トラッキング モードを割り当てます。 

    sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor

    デフォルトはバーチャル センサー モードで、ほとんどの場合、これが最善の選択肢です。

  9. インライン TCP 回避保護モードを割り当てます。

    sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict

    デフォルトは strict モードで、ほとんどの場合、これが最善の選択肢です。

  10. 使用可能なインターフェイスのリストが表示されます。

    sensor(config-ana-vir)# physical-interface ?

        GigabitEthernet0/0     GigabitEthernet0/0 physical interface.

        GigabitEthernet0/1     GigabitEthernet0/1 physical interface.

        GigabitEthernet2/0     GigabitEthernet0/2 physical interface.

        GigabitEthernet2/1     GigabitEthernet0/3 physical interface.

        sensor(config-ana-vir)# physical-interface
    sensor(config-ana-vir)# logical-interface ?

        <none available>

  11. このバーチャル センサーに追加する混合モード インターフェイスを割り当てます。

    sensor(config-ana-vir)# physical-interface GigabitEthernet0/2

    このバーチャル センサーに割り当てるすべての混合モード インターフェイスについて、この手順を繰り返します。

  12. このバーチャル センサーに追加するインライン インターフェイス ペアを割り当てます。

    sensor(config-ana-vir)# logical-interface inline_interface_pair_name

    インターフェイスはすでにペアにされている必要があります。

  13. このバーチャル センサーに追加する、インライン VLAN ペアのサブインターフェイスまたはグループを、次のとおりに割り当てます。

    sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number 
subinterface_number

    インターフェイスは VLAN ペアまたはグループにすでに分割されている必要があります。

  14. バーチャル センサー設定を確認します。

    sensor(config-ana-vir)# show settings

   name: vs2

   -----------------------------------------------

      description: virtual sensor 1 default:

      signature-definition: sig1 default: sig0

      event-action-rules: rules1 default: rules0

      anomaly-detection

      -----------------------------------------------

         anomaly-detection-name: ad1 default: ad0

         operational-mode: learn default: detect

      -----------------------------------------------

      physical-interface (min: 0, max: 999999999, current: 2)

      -----------------------------------------------

         name: GigabitEthernet0/2

         subinterface-number: 0 <defaulted>

      -----------------------------------------------

      inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor

      -----------------------------------------------

      logical-interface (min: 0, max: 999999999, current: 0)

      -----------------------------------------------

      -----------------------------------------------

   -----------------------------------------------

sensor(config-ana-vir)#

  15. 分析エンジン モードを終了します。

    sensor(config-ana-vir)# exit

        sensor(config-ana)# exit

        sensor(config)# 

        Apply Changes:?[yes]:

  16. 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。

これで、Cisco Secure Intrusion Prevention System(IPS)にバーチャル センサーを追加する処理が終了しました。 さらにバーチャル センサーを追加するには、同じ手順を実行します。

注:Cisco Secure Intrusion Prevention System(IPS)は、4つ以上の仮想センサーをサポートしていません。デフォルト バーチャル センサーは vs0 です。

IME でのバーチャル センサーの追加

Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)に、バーチャル センサーを設定するには、次の手順を実行します。

  1. [Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。次に、スクリーンショットに示したように、[Add Virtual Sensor] をクリックします。

    virtual-sensor-ips-01.gif

  2. バーチャル センターに名前を付け(この例では vs2)、指定された領域にバーチャル センターに説明を追加します。このバーチャル センサーに追加する混合モード インターフェイスも割り当てます。ここでは、ギガビット イーサネット 0/2 が選択されています。スクリーンショットに示したように、[Signature Definition] 、[Event Action Rule] 、[Anomaly Detection] 、および [Advanced Options] の各セクションに詳細を指定します。

    [Advanced Options] に、TCP セッション トラッキング モードおよびノーマライザ モードに関する詳細を指定します。ここでは、[TCP Session Tracking Mode] が [Virtual Sensor] で、[Normalizer Mode] が [Strict Evasion Protection] モードです。

    virtual-sensor-ips-02.gif

  3. [OK] をクリックします。

  4. 新たに追加されたバーチャル センサー vs2 が、バーチャル センサーのリストに示されます。[Apply] をクリックし、新しいバーチャル センサーの設定を Cisco Secure Intrusion Prevention System(IPS)に送信します。

    virtual-sensor-ips-03.gif

    これで、バーチャル センサーを追加する設定は完了しました。

バーチャル センサーの編集

次のバーチャル センサーのパラメータを編集できます。

  • シグニチャ定義ポリシー

  • イベント アクション ルール ポリシー

  • アノマリー ディテクション ポリシー

  • アノマリー ディテクション動作モード

  • インライン TCP セッション トラッキング モード

  • 説明

  • 割り当てられるインターフェイス

バーチャル センサーを編集するには、次の手順を実行します。

  1. 管理者権限を持つアカウントで CLI にログインします。

  2. サービス分析モードを開始します。

    sensor# configure terminal

        sensor(config)# service analysis-engine

        sensor(config-ana)#

  3. バーチャル センサーは vs1 を編集します。

    sensor(config-ana)# virtual-sensor vs2

        sensor(config-ana-vir)#

  4. このバーチャル センサーの説明を編集します。

    sensor(config-ana-vir)# description virtual sensor A

  5. このバーチャル センサーに割り当てられているアノマリー ディテクション ポリシーおよび動作モードを変更します。

    sensor(config-ana-vir)# anomaly-detection

        sensor(config-ana-vir-ano)# anomaly-detection-name ad0

        sensor(config-ana-vir-ano)# operational-mode learn

  6. このバーチャル センサーに割り当てられている、イベント アクション ルール ポリシーを変更します。

    sensor(config-ana-vir-ano)# exit
 
        sensor(config-ana-vir)# event-action-rules rules0

  7. このバーチャル センサーに割り当てられているシグニチャ定義ポリシーを変更します。 

    sensor(config-ana-vir)# signature-definition sig0

  8. インライン TCP セッション トラッキング モードを変更します。

    sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan

    デフォルトはバーチャル センサー モードで、ほとんどの場合、これが最善の選択肢です。

  9. 使用可能なインターフェイスのリストが表示されます。

    sensor(config-ana-vir)# physical-interface ?

        GigabitEthernet0/0     GigabitEthernet0/0 physical interface.

        GigabitEthernet0/1     GigabitEthernet0/1 physical interface.

        GigabitEthernet2/0     GigabitEthernet0/2 physical interface.

        GigabitEthernet2/1     GigabitEthernet0/3 physical interface.

        sensor(config-ana-vir)# physical-interface
    sensor(config-ana-vir)# logical-interface ?

        <none available>

  10. このバーチャル センサーに割り当てられている混合モード インターフェイスを変更します。

    sensor(config-ana-vir)# physical-interface GigabitEthernet0/2

  11. このバーチャル センサーに割り当てられているインライン インターフェイス ペアを変更します。

    sensor(config-ana-vir)# logical-interface inline_interface_pair_name

    インターフェイスはすでにペアにされている必要があります。

  12. このバーチャル センサーに割り当てられている、VLAN ペアまたはグループが使用されているサブインターフェイスを変更します。

    sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number 
subinterface_number

    インターフェイスは VLAN ペアまたはグループにすでに分割されている必要があります。

  13. 編集するバーチャル センサーの設定を確認します。

    sensor(config-ana-vir)# show settings

   name: vs2

   -----------------------------------------------

      description: virtual sensor 1 default:

      signature-definition: sig1 default: sig0

      event-action-rules: rules1 default: rules0

      anomaly-detection

      -----------------------------------------------

         anomaly-detection-name: ad1 default: ad0

         operational-mode: learn default: detect

      -----------------------------------------------

      physical-interface (min: 0, max: 999999999, current: 2)

      -----------------------------------------------

         name: GigabitEthernet0/2

         subinterface-number: 0 <defaulted>

      -----------------------------------------------

      inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor

      -----------------------------------------------

      logical-interface (min: 0, max: 999999999, current: 0)

      -----------------------------------------------

      -----------------------------------------------

   -----------------------------------------------

sensor(config-ana-vir)#

  14. 分析エンジン モードを終了します。 

    sensor(config-ana)# exit
 
        sensor(config)# 

        Apply Changes:?[yes]:

  15. 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。

IME でのバーチャル センサーの編集

Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)で、バーチャル センサーを編集するには、次の手順を実行します。

  1. [Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。

  2. スクリーンショットに示したように、編集するバーチャル センサーを選択し、[Edit] をクリックします。この例では、vs2 が編集されるバーチャル センサーです。

    virtual-sensor-ips-04.gif

  3. [Edit Virtual Sensor] ウィンドウの [Signature Definition] 、[Event Action Rule] 、[Anomaly Detection] 、および [Advanced Options] の各セクションで、存在するバーチャル センサーのパラメータを変更します。[OK] をクリックして、[Apply] をクリックします。

    virtual-sensor-ips-05.gif

    これで、バーチャル センサーを編集する処理は完了しました。

バーチャル センサーの削除

バーチャル センサーを削除するには、次の手順を実行します。

  1. バーチャル センサーを削除するには、no virtual-sensor コマンドを発行します。

    sensor(config-ana)# virtual-sensor vs2

        sensor(config-ana-vir)# 
        
        sensor(config-ana-vir)# exit

        sensor(config-ana)# no virtual-sensor vs2

  2. 削除されるバーチャル センサーを確認します。

    sensor(config-ana)# show settings

   global-parameters

   -----------------------------------------------

      ip-logging

      -----------------------------------------------

         max-open-iplog-files: 20 <defaulted>

      -----------------------------------------------

   -----------------------------------------------

   virtual-sensor (min: 1, max: 255, current: 2)

   -----------------------------------------------

      <protected entry>

      name: vs0 <defaulted>

      -----------------------------------------------

         description: default virtual sensor <defaulted>

         signature-definition: sig0 <protected>

         event-action-rules: rules0 <protected>

         anomaly-detection

         -----------------------------------------------

            anomaly-detection-name: ad0 <protected>

            operational-mode: detect <defaulted>

         -----------------------------------------------

         physical-interface (min: 0, max: 999999999, current: 0)

         -----------------------------------------------

         -----------------------------------------------

         logical-interface (min: 0, max: 999999999, current: 0)

         -----------------------------------------------

         -----------------------------------------------

sensor(config-ana)#

    デフォルト バーチャル センサー vs0 のみが存在しています。

  3. 分析エンジン モードを終了します。 

    sensor(config-ana)# exit
 
        sensor(config)# 

        Apply Changes:?[yes]:

IME でのバーチャル センサーの削除

Cisco IPS Manager Express が使用されている Cisco Secure Intrusion Prevention System(IPS)で、バーチャル センサーを削除するには、次の手順を実行します。

  1. [Configuration] > [SFO-Sensor] > [Policies] > [IPS Policies] を選択します。

  2. スクリーンショットに示したように、削除するバーチャル センサーを選択し、[Delete] をクリックします。この例では、vs2 が削除されるバーチャル センサーです。

    virtual-sensor-ips-06.gif

    これで、バーチャル センサーを削除する処理は完了しました。バーチャル センサーは vs2 が削除されます。

トラブルシュート

IPS Manager Express が起動しない

問題

IME を介して IPS にアクセスしようとしたときに、IPS Manager Express が開始されず、次のエラー メッセージを受信する。

"Cannot start IME client. Please check if it is already started. 
Exception: Address already in use: Cannot bind"

解決方法

この問題を解決するには、IME ワークステーション PC をリロードします。

関連情報

更新履歴

改定 発行日 コメント
1.0
22-Dec-2009
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています