セキュリティ : Cisco IPS 4200 シリーズ センサー

IDM および IEV を使用した IDS ブロッキングの設定

2003 年 9 月 16 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 12 月 17 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     ネットワーク ダイアグラム
     設定
センサーの設定の開始
IEV へのセンサーの追加
Cisco IOS(R) ルータのブロッキングの設定
確認
     攻撃とブロッキングの起動
トラブルシューティング
     ヒント
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、IDS Device Manager(IDM)と IDS Event Viewer(IEV)を使用して、Intrusion Detection System(IDS; 侵入検知システム)のブロッキングを設定する方法について説明します。 IDM および IDS センサーは、Cisco ルータを管理してブロッキングを行うために使用されます。 この設定を検討する際には、次の点に注意してください。

  • センサーをインストールし、センサーが正しく動作していることを確認します。

  • スニフィング インターフェイスのスパンが、インターフェイス外部のルータまで及ぶようにします。

はじめに

表記法

文書の表記法の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に関する特別な前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IDS Event Viewer 4.1.1S(50)

  • Cisco IDS Sensor 4.1.1S(50)

  • Cisco IOS ソフトウェア リリース 12.2(15)T5 が動作する Cisco IOS ルータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 また、この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 実稼動中のネットワークで作業をしている場合、実際にコマンドを使用する前に、その潜在的な影響について理解しておく必要があります。

設定

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク設定を使用しています。

idsblock-1.gif

設定

この文書で使用する設定を次に示します。

Router Light

Current configuration : 906 bytes
   !
   version 12.2
   service timestamps debug uptime
   service timestamps log uptime
   no service password-encryption
   !
   hostname light
   !
   enable password cisco
   !
   username cisco password 0 cisco
   ip subnet-zero
   !
   !
   !
   ip ssh time-out 120
   ip ssh authentication-retries 3
   !
   call rsvp-sync
   !
   !
   !
   fax interface-type modem
   mta receive maximum-recipients 0
   !
   controller E1 2/0
   !
   !
   !
   interface FastEthernet0/0
    ip address 100.100.100.2 255.255.255.0
    duplex auto
    speed auto
   !
   interface FastEthernet0/1
    ip address 1.1.1.1 255.255.255.0
    duplex auto
    speed auto
   !
   interface BRI4/0
    no ip address
    shutdown
   interface BRI4/1
    no ip address
    shutdown
   !
   interface BRI4/2
    no ip address
    shutdown
   !
   interface BRI4/3
    no ip address
    shutdown
   !
   ip classless
   ip route 0.0.0.0 0.0.0.0 100.100.100.1
   ip http server
   ip pim bidir-enable
   !
   !
   dial-peer cor custom
   !
   !
   line con 0
   line 97 108
   line aux 0
   line vty 0 4
    login
   !
   end


Router House

Current configuration : 939 bytes
   !
   version 12.2
   service timestamps debug uptime
   service timestamps log uptime
   no service password-encryption
   !
   hostname house
   !
   logging queue-limit 100
   enable password cisco
   !
   ip subnet-zero
   !
   !
   no ip cef
   no ip domain lookup
   !
   ip audit notify log
   ip audit po max-events 100
   !
   !
   no voice hpi capture buffer
   no voice hpi capture destination
   !
   !
   !
   !
   interface FastEthernet0/0
    ip address 10.66.79.210 255.255.255.224
    duplex auto
    speed auto
   !
   interface FastEthernet0/1
    ip address 100.100.100.1 255.255.255.0
    ip access-group IDS_FastEthernet0/1_in_0 in 
   
   !--- ブロッキングを設定した後、
   !--- IDS センサーによりこの行が挿入されます。
   
    duplex auto
    speed auto
   !
   interface ATM1/0
    no ip address
    shutdown
    no atm ilmi-keepalive
   !
   ip classless
   ip route 0.0.0.0 0.0.0.0 10.66.79.193
   ip route 1.1.1.0 255.255.255.0 100.100.100.2
   no ip http server
   no ip http secure-server
   !
   !
   ip access-list extended IDS_FastEthernet0/1_in_0
    permit ip host 10.66.79.195 any
    permit ip any any
   
   !--- ブロッキングを設定した後、
   !--- IDS センサーによりこの行が挿入されます。
   
   !
   call rsvp-sync
   !
   !
   mgcp profile default
   !
   !
   line con 0
    exec-timeout 0 0
   line aux 0
   line vty 0 4
    exec-timeout 0 0
    password cisco
    login
   line vty 5 15
    login
   !
   !
   end

センサーの設定の開始

以下の手順を使用して、センサーの設定を開始します。

  1. センサーに初めてログインする場合は、ユーザ名 cisco、パスワード cisco を入力する必要があります。

  2. システムがパスワード変更のプロンプトを表示したら、パスワードを変更します。

    注: Cisco123 は辞書にある単語であるため、システムでは使用できません。

  3. setup と入力し、システム プロンプトに従ってセンサーの基本パラメータをセットアップします。

  4. 次の情報を入力します。

    sensor5#setup 
       
           --- System Configuration Dialog --- 
       
       
       !--- どの時点でも疑問符「?」を入力してヘルプを表示することができます。 
       !--- 設定ダイアログを終了するには、プロンプトで Ctrl+C キーを押します。 
       !--- デフォルト設定は角カッコ「[]」に囲まれています。 
       
       
       Current Configuration: 
       
       networkParams 
       ipAddress 10.66.79.195 
       netmask 255.255.255.224 
       defaultGateway 10.66.79.193 
       hostname sensor5 
       telnetOption enabled 
       accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
       exit 
       timeParams 
       summerTimeParams 
       active-selection none 
       exit 
       exit 
       service webServer 
       general 
       ports 443 
       exit 
       exit 
  5. 設定を保存します。

    センサーが設定を保存するには数分間かかる場合があります。

    [0] Go to the command prompt without saving this config. 
       [1] Return back to the setup without saving this config. 
       [2] Save this configuration and exit setup. 
       
       Enter your selection[2]: 2 

IEV へのセンサーの追加

次の手順を使用して、IEV へセンサーを追加します。

  1. IEV をインストールした Windows 2000 PC で IEV を開きます。

  2. File > New > Device の順に選択します。

  3. 次の情報を入力して OK をクリックし、設定を完了します。

    idsblock-2.gif

  4. Devices > sensor5 と選択してセンサーのステータスを確認し、右クリックして Device Status を選択します。

    「Subscription successfully opened.」と表示されていることを確認します。

    idsblock-3.gif

Cisco IOS(R) ルータのブロッキングの設定

次の手順で、Cisco IOS ルータのブロッキングを設定します。

  1. IEV PC から Web ブラウザを開き、https://10.66.79.195 にアクセスします。

  2. OK をクリックして、センサーからダウンロードされる HTTPS 証明書を受け入れます。

  3. Login ウィンドウで、ユーザ名に cisco、パスワードに 123cisco123 を入力します。

    次のような IDM 管理インターフェイスが表示されます。

    idsblock-4.gif

  4. Configuration タブから Sensing Engine をクリックします。

  5. 左のペインで Signature Wizard をクリックします。

  6. Virtual Sensor Configuration の下で Start the Wizard ボタンをクリックします。

  7. Wizard Tasks から Signature Type を選択し、続いて TCP Stream Signature を選択します。

  8. Next をクリックして続けます。

    idsblock-5.gif

  9. 次の情報はデフォルトのままにしておくか、独自の Signature ID と User Notes を入力して、Next をクリックして続けます。

    idsblock-6.gif

  10. Regular Expression に入力し(この例では「testattack」を使用)、Service Ports には 23 を入力し、Direction では To Port を選択し、Next をクリックして続けます。

    idsblock-7.gif

  11. Severity of the Alert を high に設定し、Response リストの Action to Take で Shun Host を選択します。

    Shun Host により、攻撃元の IP ホストまたは IP サブネットがブロックされます。

    Shun Connection により、(攻撃元の TCP または UDP 接続に基づいて)TCP または UDP ポートがブロックされます。

  12. Next をクリックして続けます。

    idsblock-8.gif

  13. Alert Behavior 画面のデフォルト設定を使用し、Next をクリックして続けます。

    アラートの動作を調整したい場合は Advanced をクリックします。

    idsblock-9.gif

  14. Create をクリックして、新しいシグニチャを作成します。

    idsblock-10.gif

  15. OK を 2 回クリックして、確定します。

    idsblock-11.gif

  16. メイン メニューから Save Changes アイコンをクリックして、シグニチャをセンサーに適用します。

  17. このステップはオプションで、シグニチャを確認したり、シグニチャをさらに修正したい場合に使用します。

    1. Configuration タブをクリックし、Sensing Engine を選択します。

    2. 左側のペインから、Virtual Sensor Configuration の下にある Signature Configuration Mode を選択します。

    3. All Signatures をクリックします。

    4. Page ドロップダウン メニューから、20002 を選択します。

    5. Signature ID には 20002 をチェックし、Edit をクリックします。

      このシグニチャに関するすべての修正は、次のページから行うことができます。

    6. OK をクリックして変更を確定するか、変更を適用しない場合は Cancel をクリックします。

      idsblock-12.gif

  18. Configuration タブから Blocking をクリックします。

  19. 左側のペインから Blocking Properties を選択し、Enable Blocking をチェックします。

  20. タイマーを設定(15 分など)します。

  21. Apply to Sensor をクリックして続けます。

    idsblock-13.gif

  22. 左側のペインから Logical Devices を選択し、Add をクリックして以下の情報を追加してから、Apply to Sensor をクリックして続けます。

    idsblock-14.gif

  23. 左側のペインから Blocking Devices を選択し、Add をクリックして以下の情報を追加してから、Apply to Sensor をクリックして続けます。

    idsblock-15.gif

  24. Blocking Devices の下で Router Blocking Device Interfaces を選択し、Add をクリックして次の情報を追加してから、Apply to Sensor をクリックして続けます。

    idsblock-16.gif

確認

攻撃とブロッキングの起動

次の手順で、攻撃とブロッキングを起動します。

  1. 攻撃を起動する前に、IEV で Tools > Realtime Dashboard と選択し、Launch Dashboard をクリックします。

  2. Router House に Telnet し、次のコマンドを使用してサーバからの通信を確認します。

    house#show user
        
         Line     User      Host(s)          Idle        Location
       * 0 con 0             idle          00:00:00
       226 vty 0             idle          00:00:17     10.66.79.195
       
       
       house#show access-list
       Extended IP access list IDS_FastEthernet0/1_in_0
         permit ip host 10.66.79.195 any
         permit ip any any (12 matches)
       house#
  3. Router Light から Router House に Telnet し、testattack と入力します。

    スペースまたは Enter を押して、Telnet セッションをリセットします。

    light#telnet 100.100.100.1 
           Trying 100.100.100.1 ... Open 
       
           User Access Verification 
           Password: 
           house>en 
           Password: 
           house#testattack 
           [Connection to 100.100.100.1 lost] 
           
       !--- ホスト 100.100.100.2 は、シグニチャ "testattack" がトリガされたため
          !--- ブロックされました。 
       
       
  4. Router House に Telnet し、次に示すように show access-list コマンドを使用します。

    house#show access-list 
       Extended IP access list IDS_FastEthernet0/1_in_0
       10 permit ip host 10.66.79.195 any 
       20 deny ip host 100.100.100.2 any (71 matches) 
       30 permit ip any any 
  5. IDS Event Viewer の Dashboard から、攻撃が起動されると直ちに Red Alarm が表示されます。

    idsblock-17.gif

  6. Dashboard でアラームの 1 つを選択し、右クリックして show context または NSDB link を選択し、アラームに関するより詳細な情報を表示します。

    Cisco Secure Encylopedia登録ユーザのみ)では、NSDB のオンライン バージョンをチェックできます。

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を説明します。

ヒント

次のトラブルシューティングのヒントを使用してください。

  • センサーから show statistics networkaccess の出力を調べ、「state」がアクティブであることを確認します。 コンソールまたは SSH からセンサーへは、次の情報が表示されるはずです。

    sensor5#show statistics networkaccess 
       Current Configuration
         AllowSensorShun = false
         ShunMaxEntries = 100
         NetDevice
           Type = Cisco
           IP = 10.66.79.210
           NATAddr = 0.0.0.0
           Communications = telnet
           ShunInterface
             InterfaceName = FastEthernet0/1
             InterfaceDirection = in
       State
         ShunEnable = true
         NetDevice
           IP = 10.66.79.210
           AclSupport = uses Named ACLs
           State = Active
         ShunnedAddr
           Host
             IP = 100.100.100.2
             ShunMinutes = 15
             MinutesRemaining = 12
       sensor5#
  • 3DES が有効な Telnet や SSH などの正しいプロトコルが使用されていることを、通信パラメータが示していることを確認します。 PC の SSH/Telnet クライアントから手動で SSH または Telnet を試行して、ユーザ名とパスワードのクレデンシャルが正しいことを確認できます。 続いて、センサー自体からルータへ Telnet または SSH を試行して、ルータに正しくログインできるかどうかを確認します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 44905