セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA:ASA から AIP SSM へのネットワーク トラフィックの送信の設定例

2008 年 4 月 23 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 4 月 2 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      初期設定
      AIP-SSM によるすべてのトラフィックの検査
      AIP-SSM による特定のトラフィックの検査
確認
トラブルシューティング
      フェールオーバーの問題
      エラー メッセージ
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)経由で Advanced Inspection and Prevention Security Services Module(AIP-SSM)(IPS)モジュールへネットワーク トラフィックを送信する方法の設定例について説明します。 設定例では、Command Line Interface(CLI; コマンドライン インターフェイス)を使用します。

Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)から Content Security and Control Security Services Module(CSC-SSM)へネットワーク トラフィックを送信する方法については、『ASA:ASA から CSC-SSM へのネットワーク トラフィックの送信の設定例』を参照してください。

注:ASA を通過するネットワーク トラフィックには、インターネットにアクセスする内部ユーザまたは Demilitarized Zone(DMZ; 非武装地帯)や Inside ネットワーク内の ASA によって保護されたリソースにアクセスするインターネット ユーザなどがあります。ASA から送信される、もしくは ASA へ送信されるネットワーク トラフィックは、検査のために IPS モジュールには送信されません。IPS モジュールに送信されないトラフィックの例としては、ASA インターフェイスへの PING の実行(ICMP)や ASA への Telnet の実行などが挙げられます。

注:検査を目的としてトラフィックを分類するために ASA によって使用されるモジュラ ポリシー フレームワークは、IPv6 をサポートしていません。 そのため、ASA を経由して IPv6 トラフィックを AIP SSM へ転送する場合、IPv6 トラフィックはサポートされません。

前提条件

要件

このドキュメントの内容を理解するには、Cisco ASA ソフトウェア バージョン 7.x および IPS ソフトウェア バージョン 5.x の設定方法に関する基本的な知識が必要です。

  • ASA 7.x に必要な設定コンポーネントには、インターフェイス、アクセス リスト、Network Address Translation(NAT; ネットワーク アドレス変換)、ルーティングなどがあります。

  • AIP-SSM(IPS ソフトウェア 5.x)に必要な設定コンポーネントには、ネットワーク セットアップ、allowed hosts 設定、インターフェイス設定、シグニチャ定義、イベント アクション ルールなどがあります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ソフトウェア バージョン 7.2.1 が稼働する ASA 5510

  • IPS ソフトウェア バージョン 5.1.1 が稼働する AIP-SSM-10

注:この設定例は、OS 7.x が稼働する Cisco ASA 5500 シリーズ ファイアウォールおよび IPS 5.x が稼働する AIP-SSM モジュールと互換性があります。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するための情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 leavingcisco.com アドレスであり、ラボ環境で使用されたものです。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

traffic-asa-aip-ssm-1.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

初期設定

このドキュメントでは、次の設定を使用します。 ASA と AIP-SSM のどちらもデフォルト設定から開始されますが、テストを目的として特定の変更が行われています。 追加部分については設定内にその旨が注記されています。

ASA 5510
ciscoasa#show running-config
: Saved
:
ASA Version 7.2(1) 
!
hostname ciscoasa
enable password WwXYvtKrnjXqGbu1 encrypted
names
!

!--- IP アドレッシングがデフォルト設定に追加されています。

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.16.1.254 255.255.255.0 
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.254 255.255.255.0 
!
interface Ethernet0/2
 nameif dmz
 security-level 50
 ip address 192.168.1.254 255.255.255.0 
!
interface Management0/0
 nameif management
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
 management-only
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive

!--- テスト トラフィック(ICMP と Telnet)を許可するために
!--- アクセス リストが追加されています。

access-list acl_outside_in extended permit icmp any host 172.16.1.50 
access-list acl_inside_in extended permit ip 10.2.2.0 255.255.255.0 any 
access-list acl_dmz_in extended permit icmp 192.168.1.0 255.255.255.0 any
pager lines 24

!--- ロギングが有効になっています。

logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu management 1500
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400

!--- NAT 変換ルールが追加されています。

global (outside) 1 172.16.1.100
global (dmz) 1 192.168.1.100
nat (inside) 1 10.2.2.0 255.255.255.0
static (dmz,outside) 172.16.1.50 192.168.1.50 netmask 255.255.255.255 
static (inside,dmz) 10.2.2.200 10.2.2.200 netmask 255.255.255.255 

!--- インターフェイスにアクセス リストが適用されています。

access-group acl_outside_in in interface outside
access-group acl_inside_in in interface inside
access-group acl_dmz_in in interface dmz
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy

!--- 事前設定済みのデフォルト設定には
!--- ポリシーマップ global_policy が含まれます。

 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global

!--- 事前設定済みのデフォルト設定には
!--- グローバルに適用されるサービス ポリシー global_policy が含まれています。

prompt hostname context 
.
: end

AIP SSM(IPS)
onionlabaip#show configuration
! ------------------------------       
! Version 5.1(1)
! Current configuration last modified Wed Aug 23 09:26:03 2006
! ------------------------------
service interface
exit
! ------------------------------
service analysis-engine
virtual-sensor vs0 
physical-interface GigabitEthernet0/1 
exit
exit
! ------------------------------
service authentication
exit
! ------------------------------
service event-action-rules rules0

!--- Variables 設定が定義されています。

variables DMZ address 192.168.1.0-192.168.1.255
variables IN address 10.2.2.0-10.2.2.255
exit
! ------------------------------
service host
network-settings

!--- 管理 IP アドレスが設定されています。

host-ip 172.22.1.169/24,172.22.1.1
host-name onionlabaip
telnet-option disabled
access-list x.x.0.0/16

!--- 特定の IP アドレスはこのドキュメントに関連していないため
!--- 設定からアクセス リスト IP アドレスが削除されています。

exit
time-zone-settings
offset -360
standard-time-zone-name GMT-06:00
exit
summertime-option recurring
offset 60
summertime-zone-name UTC
start-summertime
month april
week-of-month first
day-of-week sunday
time-of-day 02:00:00
exit
end-summertime
month october
week-of-month last
day-of-week sunday
time-of-day 02:00:00
exit
exit
exit    
! ------------------------------
service logger
exit
! ------------------------------
service network-access
exit
! ------------------------------
service notification
exit
! ------------------------------
service signature-definition sig0

!--- テストのために、シグニチャはデフォルト設定から変更されています。

signatures 2000 0 
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit    
exit

!--- テストのために、シグニチャはデフォルト設定から修正されています。

signatures 2004 0 
alert-severity high
engine atomic-ip
event-action produce-alert|produce-verbose-alert
exit
alert-frequency
summary-mode fire-all
summary-key AxBx
exit
exit
status
enabled true
exit
exit

!--- テストのために、カスタム シグニチャが追加されています。

signatures 60000 0 
alert-severity high
sig-fidelity-rating 75
sig-description
sig-name Telnet Command Authorization Failure
sig-string-info Command authorization failed
sig-comment signature triggers string command authorization failed
exit
engine atomic-ip
specify-l4-protocol yes
l4-protocol tcp
no tcp-flags
no tcp-mask
exit
specify-payload-inspection yes
regex-string Command authorization failed
exit
exit
exit
exit
exit
! ------------------------------
service ssh-known-hosts
exit
! ------------------------------
service trusted-certificates
exit
! ------------------------------
service web-server
enable-tls true
exit
onionlabaip#

AIP-SSM によるすべてのトラフィックの検査

多くの場合、ネットワーク管理者や企業の上級管理職は、すべてのイベントを監視できる必要があります。 この設定は、すべてのイベントを監視するための要件を満たしています。 すべてのイベントを監視することに加えて、ASA と AIP-SSM のインタラクションの方法について 2 つの判断が必要になります。

  • AIP-SSM モジュールがプロミスキャス モードとインライン モードのどちらで配備されるのか。

    • プロミスキャス モードでは、ASA が元のデータを宛先に転送する一方で、データのコピーが AIP-SSM に送信されます。プロミスキャス モードの AIP-SSM は、Intrusion Detection System(IDS; 侵入検知システム)として認識される場合があります。 このモードでは、トリガー パケット(アラームの原因となるパケット)が宛先に到達することができます。 回避が発生し、追加パケットによる宛先への到達が中断される場合がありますが、トリガー パケットは中断されません。

    • インライン モードでは、検査を目的として、ASA によって AIP-SSM にデータが転送されます。 AIP-SSM の検査に合格したデータは ASA に返され、処理が継続されて宛先に送信されます。 インライン モードの AIP-SSM は、Intrusion Prevention System(IPS; 侵入防御システム)として認識される場合があります。プロミスキャス モードとは異なり、インライン モード(IPS)では実際にトリガー パケットによる宛先への到達が中断されます。

  • ASA が AIP-SSM と通信できない場合、ASA は検査対象のトラフィックをどのように処理する必要があるのか。 ASA が AIP-SSM と通信できない場合の例には、AIP-SSM がリロードする場合やモジュールに障害が発生して交換が必要な場合などがあります。 この場合、ASA がフェール オープンまたはフェール クローズとなる可能性があります。

    • フェール オープンを使用すると、AIP-SSM に到達不可能な場合に、ASA が検査対象のトラフィックを最終宛先へ受け渡すことが可能になります。

    • フェール クローズでは、ASA が AIP-SSM と通信できない場合に検査対象のトラフィックをブロックします。

    注:検査対象のトラフィックは、アクセス リストを使用して定義されます。 この出力例では、アクセス リストによって任意の発信元から任意の宛先へのすべての IP トラフィックが許可されます。 したがって、検査対象のトラフィックは ASA を通過するすべてのトラフィックである可能性があります。

ciscoasa(config)#access-list traffic_for_ips permit ip any any
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips

!--- match any コマンドは
!--- match access-list [access-list name] コマンドの代わりに使用できます。
!--- この例では、アクセス リスト traffic_for_ips によって
!--- すべてのトラフィックが許可されます。また、match any コマンドでも
!--- すべてのトラフィックが許可されます。どちらの設定も使用できます。
!--- アクセス リストを定義すると、トラブルシューティングが容易になります。

ciscoasa(config)#policy-map global_policy

!--- ポリシーマップ global_policy はデフォルト設定の
!--- 一部であることに注意してください。ポリシーマップ global_policy は
!--- service-policy コマンドを使用してグローバルに適用されます。

ciscoasa(config-pmap)#class ips_class_map 
ciscoasa(config-pmap-c)#ips inline fail-open 

!--- 2 つの判断を行う必要があります。 
!--- まず、AIP-SSM は
!--- インライン モードとプロミスキャス モードのどちらで機能するのか。 
!--- 次に、ASA はフェール オープンなのかフェール クローズなのか。


AIP-SSM による特定のトラフィックの検査

ネットワーク管理者が AIP-SSM モニタをすべてのトラフィックのサブネットとして設定する場合、ASA には設定可能な 2 つの独立した変数があります。 まず、必要なトラフィックを含めたり除外したりするように、アクセス リストを記述できます。 アクセス リストの修正に加えて、サービス ポリシーを特定のインターフェイスに適用したり、AIP-SSM によって検査されるトラフィックを変更するためにグローバルに適用できたりします。

このドキュメントのネットワーク ダイアグラムを基準にすると、ネットワーク管理者は、AIP-SSM による Outside ネットワークと DMZ ネットワークの間のすべてのトラフィックを検査する必要があります。

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip any 192.168.1.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips deny ip 192.168.1.0 255.255.255.0 10.2.2.0 255.255.255.0 
ciscoasa(config)#access-list traffic_for_ips permit ip 192.168.1.0 255.255.255.0 any 
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface dmz

!--- このアクセス リストでは、Inside ネットワークから DMZ ネットワークに送信されたトラフィックおよび
!--- DMZ ネットワークから Inside ネットワークに送信されたトラフィックが拒否されます。  
!--- また、service-policy コマンドが DMZ インターフェイスに適用されています。


次に、ネットワーク管理者は、Inside ネットワークから Outside ネットワークに発信されたトラフィックを AIP-SSM で監視する必要があります。 Inside ネットワークから DMZ ネットワークへのトラフィックは監視されません。

注:このセクションを理解するには、ステートフルネス、TCP、UDP、ICMP、接続、およびコネクションレス型通信に関する中級レベルの知識が必要です。

ciscoasa#configure terminal
ciscoasa(config)#access-list traffic_for_ips deny ip 10.2.2.0 255.255.255.0 192.168.1.0 255.255.255.0
ciscoasa(config)#access-list traffic_for_ips permit ip 10.2.2.0 255.255.255.0 any
ciscoasa(config)#class-map ips_class_map 
ciscoasa(config-cmap)#match access-list traffic_for_ips
ciscoasa(config)#policy-map interface_policy
ciscoasa(config-pmap)#class ips_class_map
ciscoasa(config-pmap-c)#ips inline fail-open 
ciscoasa(config)#service-policy interface_policy interface inside

このアクセス リストでは、Inside ネットワークから発信され、DMZ ネットワークに宛てられたトラフィックが拒否されます。 2 番目のアクセス リストの行では、Inside ネットワークから発信され、AIP-SSM への Outside ネットワークに宛てられたトラフィックが許可または拒否されます。 この時点で、ASA のステートフルネスがその機能を発揮します。 たとえば、内部ユーザが Outside ネットワーク(ルータ)上のデバイスへの TCP 接続(Telnet)を開始します。 ユーザは、ルータへの接続とログインに成功します。 次に、ユーザは承認されていないルータ コマンドを発行します。 ルータは Command authorizaton failed を返します。Command authorization failed という文字列を含むデータ パケットには、Outside ルータの発信元および Inside ユーザの宛先が含まれています。 発信元(Outside)および宛先(Inside)は、このドキュメントですでに定義されているアクセス リストには一致しません。 ASA では、ステートフルな接続が追跡されるため、(Outside から Inside へ)返されるデータ パケットは、検査のために AIP-SSM へ送信されます。 AIP-SSM で設定されたカスタム シグニチャ 60000 0 がアラームを発行します。

注:デフォルトでは、ASA によって ICMP トラフィックの状態が保持されません。 上述の設定例では、内部ユーザが Outside ルータに対して PING(ICMP エコー要求)を実行します。 ルータは ICMP エコー応答を返します。 AIP-SSM では、エコー要求パケットは検査されますが、エコー応答パケットは検査されません。 ASA で ICMP 検査が有効になっている場合、エコー要求とエコー応答のどちらのパケットも AIP-SSM によって検査されます。

確認

アラート イベントが AIP-SSM に記録されていることを確認します。

管理者ユーザ アカウントを使用して、AIP-SSM にログインします。 show events alert コマンドを実行すると、この出力が生成されます。

注:出力は、シグニチャ設定、AIP-SSM に送信されたトラフィックのタイプ、およびネットワーク負荷に基づいて異なります。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

show events alert

evIdsAlert: eventId=1156198930427770356 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 18:52:57 2006/08/24 13:52:57 UTC
  signature: description=Telnet Command Authorization Failure id=60000 version=custom 
    subsigId: 0
    sigDetails: Command authorization failed
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=OUT 172.16.1.200
      port: 23
    target: 
      addr: locality=IN 10.2.2.200
      port: 33189
  riskRatingValue: 75
  interface: ge0_1
  protocol: tcp
        

evIdsAlert: eventId=1156205750427770078 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Request id=2004 version=S1 
    subsigId: 0
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=OUT 172.16.1.200
    target: 
      addr: locality=DMZ 192.168.1.50
  triggerPacket: 
000000  00 16 C7 9F 74 8C 00 15  2B 95 F9 5E 08 00 45 00  ....t...+..^..E.
000010  00 3C 2A 57 00 00 FF 01  21 B7 AC 10 01 C8 C0 A8  .<*W....!.......
000020  01 32 08 00 F5 DA 11 24  00 00 00 01 02 03 04 05  .2.....$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp


evIdsAlert: eventId=1156205750427770079 severity=high vendor=Cisco 
  originator: 
    hostId: onionlabaip
    appName: sensorApp
    appInstanceId: 345
  time: 2006/08/24 19:46:08 2006/08/24 14:46:08 UTC
  signature: description=ICMP Echo Reply id=2000 version=S1 
    subsigId: 0
  interfaceGroup: 
  vlan: 0
  participants: 
    attacker: 
      addr: locality=DMZ 192.168.1.50
    target: 
      addr: locality=OUT 172.16.1.200
  triggerPacket: 
000000  00 16 C7 9F 74 8E 00 03  E3 02 6A 21 08 00 45 00  ....t.....j!..E.
000010  00 3C 2A 57 00 00 FF 01  36 4F AC 10 01 32 AC 10  .<*W....6O...2..
000020  01 C8 00 00 FD DA 11 24  00 00 00 01 02 03 04 05  .......$........
000030  06 07 08 09 0A 0B 0C 0D  0E 0F 10 11 12 13 14 15  ................
000040  16 17 18 19 1A 1B 1C 1D  1E 1F                    ..........
  riskRatingValue: 100
  interface: ge0_1
  protocol: icmp

この設定例では、複数の IPS シグニチャがテスト トラフィックに対してアラームを発行するように調整されています。 シグニチャ 2000 および 2004 は設定変更が行われています。カスタム シグニチャ 60000 が追加されてます。 ラボ環境またはほとんどのデータが ASA を通過しないネットワークにおいては、イベントをトリガーするためにシグニチャの設定変更が必要になる場合があります。 ASA および AIP-SSM が大量のトラフィックが通過する環境に展開される場合、デフォルトのシグニチャ設定によってイベントが生成される可能性があります。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ASA から show コマンドを発行します。

  • show module:システム情報および ASA 上の SSM に関する情報を表示します。

    ciscoasa#show module 
    
    Mod Card Type                                    Model              Serial No. 
    --- -------------------------------------------- ------------------ -----------
      0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX1016K0RN
     1 ASA 5500 Series Security Services Module-10  ASA-SSM-10   JAB101502A6
    
    Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
    --- --------------------------------- ------------ ------------ ---------------
      0 0016.c79f.748c to 0016.c79f.7490  1.1          1.0(10)0     7.2(1)
      1 0016.c79f.7567 to 0016.c79f.7567  1.0          1.0(10)0     5.1(1)S205.0
    
    Mod SSM Application Name           Status           SSM Application Version
    --- ------------------------------ ---------------- --------------------------
      1 IPS                            Up               5.1(1)S205.0
    
    Mod Status             Data Plane Status     Compatibility
    --- ------------------ --------------------- -------------
      0 Up Sys             Not Applicable         
      1 Up                 Up
    
    !--- 強調表示されている部分は、
    !--- ASA によって AIP-SSM が認識され、
    !--- AIP-SSM ステータスがアップであることを示しています。
    
    
    
  • show run

    ciscoasa#show run
    
    !--- 出力を省略。
    
    access-list traffic_for_ips extended permit ip any any 
    ...
    class-map ips_class_map
     match access-list traffic_for_ips
    ...
    policy-map global_policy
    ... 
    class ips_class_map
      ips inline fail-open
    ...
    service-policy global_policy global
    
    !--- これらの各行は
    !--- AIP-SSM にデータを送信するために必要です。
    
    
    
  • show access-list:アクセス リストのカウンタを表示します。

    ciscoasa#show access-list traffic_for_ips
    access-list traffic_for_ips; 1 elements
    access-list traffic_for_ips line 1 extended permit ip any any (hitcnt=2) 0x9bea7286
    
    !--- アクセス リストによってゼロより大きいヒット カウントが
    !--- 表示されることを確認します。
    
    
    

AIP-SSM を設置して使用する以前に、ネットワーク トラフィックは正常に ASA を通過していますか。 正常に通過しない場合、ネットワークおよび ASA アクセス ポリシー ルールにトラブルシューティングを行うことが必要な場合があります。

フェールオーバーの問題

  • 2 つの ASA をフェールオーバー構成で配置し、それぞれに AIP-SSM が含まれている場合、AIP-SSM の設定を手動で複製する必要があります。 フェールオーバー メカニズムによって複製されるのは、ASA の設定のみです。 AIP-SSM はフェールオーバーに含まれていません。

  • ASA フェールオーバー ペアでステートフル フェールオーバーが設定されている場合、AIP-SSM はステートフル フェールオーバーに参加しません。

エラー メッセージ

次に示すように、IPS モジュール(AIP-SSM)によってエラー メッセージが生成され、イベントは発行されません。

07Aug2007 18:59:50.468 0.757 interface[367] Cid/W errWarning Inline
data bypass has started.

  07Aug2007 18:59:59.619 9.151 mainApp[418] cplane/E Error during socket
read

  07Aug2007 19:03:13.219 193.600 nac[373] Cid/W errWarning New host ip
[192.168.101.76]

  07Aug2007 19:06:13.979 180.760 sensorApp[417] Cid/W errWarning
unspecifiedWarning:There are no interfaces assigned to any virtual
sensors. This can result in some packets not being monitored.

  07Aug2007 19:08:42.713 148.734 mainApp[394] cplane/E Error - accept()
call returned -1

  07Aug2007 19:08:42.740 0.027 interface[367] Cid/W errWarning Inline
data bypass has started.

IPS バーチャル センサーが ASA のバックプレーン インターフェイスに割り当てられていないことがこのエラー メッセージの原因です。 SSM モジュールへトラフィックを送信するために ASA は適切な方法で設定されますが、SSM によってトラフィックがスキャンされるためには、ASA によって作成されたバックプレーン インターフェイスにバーチャル センサーを割り当てる必要があります。

errorMessage: IpLogProcessor::addIpLog: Ran out of file descriptors  name=errWarn

errorMessage: IpLog 1701858066 terminated early due to lack of file handles. 
name=ErrLimitExceeded  

これらのメッセージは、すべてのシステム リソースを次々に占有する IP LOGGING が有効になっていることを示しています。 トラブルシューティングや調査を目的とする場合にだけ IP LOGGING を使用する必要があるため、Cisco では IP LOGGING を無効にすることをお勧めします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 71204