Cisco IOS IPS について
Cisco Security Manager を Cisco IOS Intrusion Prevention System(IOS IPS; IOS 侵入防御システム)とともに使用して、サポートされている Cisco IOS ソフトウェアリリース 12.4(11)T2 以降を使用する Cisco ルータで侵入防御を管理できます。
Cisco IOS IPS は、インライン侵入防御センサーとして機能し、パケットとセッションがルータを通過するときに監視し、各パケットをスキャンして Cisco IOS IPS シグニチャと照合します。疑わしいアクティビティを検出すると、ネットワーク セキュリティが侵害される前に対応し、Cisco IOS syslog メッセージまたは Security Device Event Exchange(SDEE)を使用してイベントを記録します。
さまざまな脅威に対して適切な対応を選択するように Cisco IOS IPS を設定できます。Signature Event Action Processor(SEAP)は、忠実度、重大度、ターゲットの価値レーティングなどのパラメータに基づいて、シグニチャ イベントが実行するアクションを動的に制御できます。これらのアクションは、[Signatures] ポリシーおよび [Event Actions] ポリシーを使用して Security Manager で設定できます。
セッション内のパケットがシグニチャと一致すると、Cisco IOS IPS は必要に応じて次のいずれかのアクションを実行できます。
-
syslog サーバまたは中央管理インターフェイスにアラームを送信する。
-
パケットをドロップします。
-
接続をリセットする。
-
指定した期間、攻撃者の送信元 IP アドレスからのトラフィックを拒否する。
-
指定した期間、シグニチャが確認された接続上のトラフィックを拒否する。
シスコでは、柔軟性を念頭に置いて Cisco IOS ソフトウェアベースの侵入防御機能および Cisco IOS Firewall を開発しているため、false positive の場合にシグニチャを個別にディセーブルにできます。通常は、ネットワーク セキュリティ ポリシーをサポートするために、ファイアウォールと Cisco IOS IPS の両方をイネーブルにすることを推奨します。ただし、異なるルータ インターフェイス上で、これらの機能を個別にイネーブルにすることもできます。
Cisco IOS IPS 設定プロセスの全般的な説明については、を参照してください。Cisco IOS IPS 設定の概要
ここでは、次の内容について説明します。
IPS サブシステムおよび IOS IPS リビジョンのサポートについて
Cisco Security Manager では IOS IPS のマイナー リビジョンが自動的にサポートされます。サポートされているマイナー リビジョンを確認するには、IPS サブシステム バージョンが必要です。
IPS サブシステム バージョンは、Cisco IOS IPS 機能の変更の追跡に使用されるバージョン番号です。サブシステム番号は、デバイスのプロパティで表示されます(デバイスを右クリックして [デバイスプロパティ(Device Properties)] を選択)。Cisco IOS IPS を実行しているルータ上のコマンドラインで show subsys name ips コマンドを使用して、詳細な Cisco IOS IPS サブシステムのバージョンを表示することもできます。3.x サブシステムは、IPS 5.x に相当します。Cisco IOS ソフトウェアリリースでサポートされているサブシステムのリストについては、Cisco.com で、該当するリリースの Security Manager の『Supported Devices and Software Versions for Cisco Security Manager』を参照してください。
IPS サブシステムのバージョンは、バージョンの相違がポストフィックスだけである場合は、マイナーとなります。たとえば、3.0.1 から 3.0.2 へのリビジョンはマイナーと見なされます。別の例として、3.0.1 から 3.1.1 もマイナーなバージョン変更と見なされます。ただし、新機能を含むマイナーリビジョンは、Cisco Security Manager によって自動的にサポートされません。
ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャン
ライトウェイト シグニチャによる Cisco IOS IPS シグニチャ スキャンを Cisco IOS Release 15.0(1)M に追加することにより、Cisco IOS IPS の機能が拡張されます。この機能拡張により、既存のシグニチャ セットと機能的に同等だがより軽量なシグニチャをロードして、より大規模なシグニチャ セットをロードできるようになります。このとき、追加メモリを大幅に消費したり、既存のシグニチャ セットによって消費されるメモリ量を減らしたりする必要はありません。これらのシグニチャは、ライトウェイト シグニチャと呼ばれています。
Security Manager は、ISR およびモジュラ アクセス ルータ上で、LWE のカスタム シグニチャを検出および調整できます。また、ISR およびモジュラ アクセス ルータ上の LWE シグニチャ向けに、次の機能をサポートしています。
-
新しいシグニチャ タイプ
-
シグニチャ カテゴリ
-
デフォルトの新しいシグニチャ カテゴリ認識
-
新しいエンジン更新レベル
-
ライセンス ステータス:バイパス、期限切れ、または未インストール
ルータ設定ファイルおよびシグニチャ イベント アクション プロセッサ(SEAP)
Cisco IOS Release 12.4(11)T 以降、Cisco IOS IPS では、Signature Definition File(SDF; シグニチャ定義ファイル)が使用されなくなりました。このため、Security Manager では、廃止予定の組み込みシグニチャ セットである 128.sdf、256.sdf、および attack-drop.sdf を使用できません。
代わりに、ルータは、3 つの設定ファイル(デフォルト設定、デルタ設定、および SEAP 設定)が含まれているディレクトリを介して、シグニチャ定義情報にアクセスします。この場所は、[IPS] > [一般設定(General Settings)] ポリシーを使用して設定できます。
SEAP は、シグネチャイベントのデータフローの調整をする制御ユニットです。SEAP を使用すると、Event Risk Rating(ERR; イベント リスク レーティング)フィードバックに基づく高度なフィルタリングおよびシグニチャの上書きを実行できます。ERR は、false positive を最小限に抑えるために、ユーザが選択するアクション適用レベルを制御するために使用します。
シグニチャは、以前は NVRAM に格納されていましたが、現在はデルタ設定ファイルに格納されます。
Cisco IOS IPS の制限事項および制約事項
Cisco IOS IPS ルータは、専用 IPS センサー アプライアンスおよびサービス モジュールでサポートされているすべての機能をサポートしているわけではありません。また、IOS IPS をサポートするルータが IPS 機能に割り当てるメモリの量は、IPS センサーが割り当てるメモリの量よりも多くはない可能性があります。次の制限事項および制約事項を考慮する必要があります。
-
IOS IPS デバイスを設定する場合は、必要なシグニチャだけを選択します。Security Manager で使用可能なシグニチャをすべて選択すると、IOS IPS ルータで使用できるメモリを超過する可能性があります。これにより、配布が失敗したり、デバイスが一部のシグニチャしかロードできなかったり、パフォーマンスが大幅に低下したりする可能性があります。配布に失敗した場合は、選択するシグニチャ セットの数を減らしてから、デバイスに設定を再配布します。
-
初めて IOS-IPS を使用するように設定されている Cisco Security Manager 管理対象ルータでは、シグネチャの更新に自動更新プロセスを使用できません。自動更新プロセスを使用する前に、ルータを更新する必要があります。次の手順に従ってください。
-
E3 シグネチャ(S317 など)をプッシュします。
-
S470 などの中間シグネチャをプッシュします。
-
最初の E4 シグネチャ(S485 など)をプッシュします。
-
目的のレベルに達するまで、後続の E4 シグネチャをプッシュします。各差分のサイズは 10 MB 未満にする必要があります。
-
ルータを更新したら、自動更新プロセスを使用してシグネチャを更新できます。各増分変更がルータで使用可能なメモリを超えないため、自動更新プロセスは成功します。自動更新の設定については、IPS 更新の自動化を参照してください。
-
仮想センサーは、IOS IPS ではサポートされていません。
-
IOS IPS ルータでイベント アクション フィルタを使用する場合は、イベント アクション フィルタの基準に一致したイベントから IPS アクションのサブセットだけを削除できます。使用可能なイベント アクションの詳細については、[Add Filter Item]/[Edit Filter Item] ダイアログボックスおよびIPS イベント アクションについてを参照してください。
-
IOS IPS は、IPS ソフトウェア 5.1 に基づいています。したがって、これ以降のバージョンの IPS ソフトウェアで導入された機能は、通常、IOS IPS では使用できません。たとえば、次の機能は設定できません。
-
グローバル相関。
-
異常検出。
-
イベント アクション ネットワーク識別ポリシーでの OS ID。
-