セキュリティ : Cisco IPS 4200 シリーズ センサー

IDM および IEV を使用する IDS TCP リセットの設定

2003 年 9 月 16 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 12 月 8 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     ネットワーク ダイアグラム
     設定
センサーの設定の開始
IEV へのセンサーの追加
Cisco IOS(R) ルータのための TCP Reset の設定
確認
     攻撃と TCP Reset の起動
トラブルシューティング
     ヒント
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、IDS Device Manager(IDM)と IDS Event Viewer(IEV)を使用して、Intrusion Detection System(IDS; 侵入検知システム)の TCP Reset を設定する方法について説明します。 IDM と IDS Sensor は、TCP Reset の際にシスコ ルータを管理するために使用されます。 この設定を行う際には、次のことを確認してください。

  • センサーをインストールし、センサーが正しく動作していることを確認します。

  • スニフィング インターフェイスのスパンを、インターフェイス外部のルータまで及ぶようにします。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IDS Event Viewer 4.1.1S(50)

  • Cisco IDS Sensor 4.1.1S(50)

  • Cisco IOS ソフトウェア リリース 12.2(15)T5 が動作する Cisco IOS ルータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

設定

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

idstcpreset-1.gif

設定

この文書で使用する設定を次に示します。

Router Light

Current configuration : 906 bytes
   !
   version 12.2
   service timestamps debug uptime
   service timestamps log uptime
   no service password-encryption
   !
   hostname light
   !
   enable password cisco
   !
   username cisco password 0 cisco
   ip subnet-zero
   !
   !
   !
   ip ssh time-out 120
   ip ssh authentication-retries 3
   !
   call rsvp-sync
   !
   !
   !
   fax interface-type modem
   mta receive maximum-recipients 0
   !
   controller E1 2/0
   !
   !
   !
   interface FastEthernet0/0
    ip address 100.100.100.2 255.255.255.0
    duplex auto
    speed auto
   !
   interface FastEthernet0/1
    ip address 1.1.1.1 255.255.255.0
    duplex auto
    speed auto
   !
   interface BRI4/0
    no ip address
    shutdown
   !
   interface BRI4/1
    no ip address
    shutdown
   !
   interface BRI4/2
    no ip address
    shutdown
   !
   interface BRI4/3
    no ip address
    shutdown
   !
   ip classless
   ip route 0.0.0.0 0.0.0.0 100.100.100.1
   ip http server
   ip pim bidir-enable
   !
   !
   dial-peer cor custom
   !
   !
   line con 0
   line 97 108
   line aux 0
   line vty 0 4
    login
   !
   end


Router House

Current configuration : 939 bytes
   !
   version 12.2
   service timestamps debug uptime
   service timestamps log uptime
   no service password-encryption
   !
   hostname house
   !
   logging queue-limit 100
   enable password cisco
   !
   ip subnet-zero
   !
   !
   no ip cef
   no ip domain lookup
   !
   ip audit notify log
   ip audit po max-events 100
   !
   !
   no voice hpi capture buffer
   no voice hpi capture destination
   !
   !
   !
   !
   interface FastEthernet0/0
    ip address 10.66.79.210 255.255.255.224
    duplex auto
    speed auto
   !
   interface FastEthernet0/1
    ip address 100.100.100.1 255.255.255.0
    duplex auto
    speed auto
   !
   interface ATM1/0
    no ip address
    shutdown
    no atm ilmi-keepalive
   !
   ip classless
   ip route 0.0.0.0 0.0.0.0 10.66.79.193
   ip route 1.1.1.0 255.255.255.0 100.100.100.2
   no ip http server
   no ip http secure-server
   !
   !
   !
   !
   call rsvp-sync
   !
   !
   mgcp profile default
   !
   !
   line con 0
    exec-timeout 0 0
   line aux 0
   line vty 0 4
    exec-timeout 0 0
    password cisco
    login
   line vty 5 15
    login
   !
   !
   end

センサーの設定の開始

以下の手順を使用して、センサーの設定を開始します。

  1. センサーに初めてログインする場合は、ユーザ名 cisco、パスワード cisco を入力する必要があります。

  2. システムがパスワード変更のプロンプトを表示したら、パスワードを変更します。

    注: Cisco123 は辞書にある単語であるため、システムでは使用できません。

  3. setup と入力し、システム プロンプトに従ってセンサーの基本パラメータをセットアップします。

  4. 次の情報を入力します。

    sensor5#setup 
       
           --- System Configuration Dialog --- 
       
       
       !--- どの時点でも疑問符「?」を入力してヘルプを表示することができます。 
       !--- 設定ダイアログを終了するには、プロンプトで Ctrl+C キーを押します。 
       !--- デフォルト設定は角カッコ「[]」に囲まれています。 
       
       
       Current Configuration: 
       
       networkParams 
       ipAddress 10.66.79.195 
       netmask 255.255.255.224 
       defaultGateway 10.66.79.193 
       hostname sensor5 
       telnetOption enabled 
       accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
       exit 
       timeParams 
       summerTimeParams 
       active-selection none 
       exit 
       exit 
       service webServer 
       general 
       ports 443 
       exit 
       exit 
  5. 設定を保存します。

    センサーで設定を保存するには、数分かかる場合があります。

    [0] Go to the command prompt without saving this config. 
       [1] Return back to the setup without saving this config. 
       [2] Save this configuration and exit setup. 
       
       Enter your selection[2]: 2 

IEV へのセンサーの追加

次の手順を使用して、IEV へセンサーを追加します。

  1. IEV をインストールした Windows 2000 PC で IEV を開きます。

  2. File > New > Device の順に選択します。

  3. 次の情報を入力して OK をクリックし、設定を完了します。

    idstcpreset-2.gif

  4. Devices > sensor5 と選択してセンサーのステータスを確認し、右クリックして Device Status を選択します。

    「Subscription successfully opened.」と表示されていることを確認します。

    idstcpreset-3.gif

Cisco IOS(R) ルータのための TCP Reset の設定

次の手順を使用して、Cisco IOS ルータ用に TCP Reset を設定します。

  1. IEV PC から Web ブラウザを開き、https://10.66.79.195 にアクセスします。

  2. OK をクリックして、センサーからダウンロードされる HTTPS 証明書を受け入れます。

  3. Login ウィンドウで、ユーザ名に cisco、パスワードに 123cisco123 を入力します。

    次のような IDM 管理インターフェイスが表示されます。

    idstcpreset-4.gif

  4. Configuration タブで、Sensing Engine をクリックします。

  5. 左のペインで Signature Wizard をクリックします。

  6. Virtual Sensor Configuration で、Start the Wizard ボタンをクリックします。

  7. Wizard Tasks から Signature Type を選択し、続いて TCP Stream Signature を選択します。

  8. Next をクリックして次に進みます。

    idstcpreset-5.gif

  9. 次の情報に関しては、デフォルトのままにするか、独自の Signature ID と User Notes を入力します。Next をクリックして次に進みます。

    idstcpreset-6.gif

  10. Regular Expression を入力し(この例では「testattack」を使用)、Service Ports には 23 を入力し、Direction では To Port を選択し、Next をクリックして次に進みます。

    idstcpreset-7.gif

  11. Severity of the Alert を high に設定し、Action to Take in Response リストの LogReset を選択します。

  12. Next をクリックして次に進みます。

    idstcpreset-8.gif

  13. Alert Behavior 画面ではデフォルトの設定を使用し、Next をクリックして次に進みます。

    アラートの動作を詳細に設定したい場合は、Advanced をクリックしてください。

    idstcpreset-9.gif

  14. Create をクリックして、新しいシグニチャを作成します。

    idstcpreset-10.gif

  15. OK を 2 回クリックして、確定します。

    idstcpreset-11.gif

  16. メイン メニューから Save Changes アイコンをクリックして、シグニチャをセンサーに適用します。

  17. このステップは任意であり、シグニチャの確認と詳細な項目の変更を行いたい場合に実行します。

    1. Configuration タブをクリックし、Sensing Engine を選択します。

    2. 左側のペインから、Virtual Sensor Configuration の下にある Signature Configuration Mode を選択します。

    3. All Signatures をクリックします。

    4. Page ドロップダウン メニューから、20002 を選択します。

    5. Signature ID に対して 20002 をチェックし、Edit をクリックします。

      このシグニチャに関するすべての修正は、次のページから行うことができます。

    6. OK をクリックして変更を確定するか、変更を適用しない場合は Cancel をクリックします。

      idstcpreset-12.gif

確認

攻撃と TCP Reset の開始

以下の手順を使用して、攻撃と TCP Reset を開始します。

  1. 攻撃を開始する前に、IEV にアクセスし、Tools > Realtime Dashboard の順に選択して、Launch Dashboard をクリックします。

  2. Router Light から Router House に Telnet 接続し、testattack と入力します。

    Space キーか Enter キーを押して、Telnet セッションをリセットします。

    light#telnet 100.100.100.1 
           Trying 100.100.100.1 ... Open 
       
           User Access Verification 
           Password: 
           house>en 
           Password: 
           house#testattack 
           [Connection to 100.100.100.1 closed by foreign host] 
           
       !--- Telnet セッションはシグニチャ "testattack" がトリガされたため
          !--- リセットされています。 
       
       
  3. 攻撃が開始されると、IDS Event Viewer の Dashboard に赤色のアラームが表示されます。

    idstcpreset-13.gif

  4. Dashboard でこれらのアラームの 1 つを選択し、右クリックして show context または NSDB link を選択して、アラームの詳細な情報を表示します。

    Cisco Secure Encyclopedia登録ユーザのみ)では、NSDB のオンライン バージョンをチェックできます。

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を説明します。

ヒント

次のトラブルシューティングのヒントを使用してください。

  • コマンドおよびコントロール ポートからシャニング(排除機能)を実行すると、ルータの access control list(ACL; アクセス コントロール リスト)が再プログラムされます。 TCP Reset は、センサーのスニフィング インターフェイスから送信されます。 スイッチでスパンを設定するには、次に示すように set span <src_mod/src_port><dest_mod/dest_port> コマンドを両方の着信パケットを有効にして使用してください。

    banana (enable)set span 2/12 3/6 both inpkts enable 
       Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
       Incoming Packets enabled. Learning enabled. Multicast enabled. 
       banana (enable) 
       banana (enable) 
       banana (enable)show span 
       
       Destination     : Port 3/6              
       !--- センサーのスニフィング インターフェイスに接続
       Admin Source    : Port 2/12        
       !--- Router House の FastEthernet0/0 に接続
       Oper Source     : Port 2/12 
       Direction       : transmit/receive 
       Incoming Packets: enabled 
       Learning        : enabled 
       Multicast       : enabled 
  • TCP Reset が動作している場合は、アクション タイプ TCP Reset に対してアラームがトリガされるかどうかを確認してください。 アラームが表示されている場合は、シグニチャ タイプが TCP reset に設定されていることを確認してください。

    サービス アカウント su を使用してルートにログインし、次のコマンドを実行します。

    [root@sensor1 root]#tcpdump -i eth0 -n 

    上記のコマンドでは、センサーのインターフェイスが eth0 に設定されていると仮定しています。

    注: 100 個の tcp reset が被害者または標的に送られ、次に 100 個が攻撃者またはクライアントに送られます。

    出力例を次に示します。

    03:06:00.598777 64.104.209.205.1409 > 
        10.66.79.38.telnet: R 107:107(0) ack 72 win 0 
       03:06:00.598794 64.104.209.205.1409 > 
        10.66.79.38.telnet: R 108:108(0) ack 72 win 0 
       
       03:06:00.599360 10.66.79.38.telnet > 
        64.104.209.205.1409: R 72:72(0) ack 46 win 0 
       03:06:00.599377 10.66.79.38.telnet > 
        64.104.209.205.1409: R 73:73(0) ack 46 win 0 

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 44903