セキュリティ : Cisco IPS 4200 シリーズ センサー

CSPM での Cisco Secure IDS センサーの設定

2003 年 1 月 7 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 1 月 19 日) | フィードバック

目次


概要

この文書は、Cisco Secure Policy Manager(CSPM)で Cisco Secure Intrusion Detection System(IDS; 侵入検知システム)センサーを設定する手順について説明します。コンピュータに CSPM バージョン 2.3.I がインストール済みであることを前提としています。バージョン "I" では、Cisco Catalyst(R) 6000 スイッチの IDS 装置(センサー装置、Cisco IOS(R) ルータ、または IDS ブレード)の管理が可能です。また、IDS postoffice パラメータが正しく定義されていることも前提となります。パラメータには、HOSTID、ORGID、HOSTNAME、および ORGNAME などが含まれます。CSPM ホストがセンサーと通信するには、ORGID および ORGNAME などのパラメータがセンサーに定義されているパラメータと一致する必要があります。

ハードウェアおよびソフトウェアのバージョン

この文書の情報は、次のソフトウェアのバージョンに基づいています。

  • CSPM 2.3.I および以降

設定

次のセクションでは、CSPM で IDS センサーを設定する手順を説明します。

まず CSPM を起動してログインします。初期起動で表示される空白のテンプレートに、ネットワークを定義します。

CSPM トポロジでは、IDS に次の 3 つを定義する必要があります。

  1. センサーの制御インターフェイスが存在するネットワーク、および CSPM ホストが常駐するネットワークの定義。この 2 つが同じサブネットにある場合、定義する必要があるのは 1 つのネットワークだけです。このネットワークを最初に定義します。
  2. 最初に定義したネットワークでの CSPM ホストの定義。CSPM ホストが定義されていないと、センサーは管理できません。
  3. 定義したネットワークでのセンサーの定義。

CSPM ホストが常駐するネットワークの定義

  1. トポロジの Internet アイコン上で右クリックして、New > Network 順に選択して新しいネットワークを作成します。

  2. Network Panel の右側に、使用する新しいネットワーク名、ネットワーク アドレス、およびネットマスクなどを追加します。

  3. IP Address ボタンをクリックし、インターネットに接続する際に使用するネットワークの IP アドレスを入力します。通常は、ネットワークのデフォルト ゲートウェイを入力します。

    注: センサーを管理する場合、センサーにはこのデフォルト ゲートウェイ情報は送られないため、必ずしもゲートウェイの正しいアドレスは必要ではありません。センサーにはすでにゲートウェイ アドレスが定義されています。

  4. OK をクリックします。これで、ネットワークは問題なくトポロジ マップに追加されます。


CSPM ホストの追加

  1. Network Topology で、追加したネットワークを右クリックし、New > Host の順に選択します。次のような画面が表示されます。画面が表示されない場合は、定義したネットワークに CSPM ホストが見つかりません。CSPM ホストの IP アドレスを再度チェックします。

  2. Yes をクリックして、トポロジに CSPM ホストをインストールします。
  3. CSPM ホストの General 画面で情報が正しいことを確認します。
  4. CSPM ホストの General 画面で OK をクリックします。

センサー装置の追加

  1. センサーが常駐するネットワーク上で右クリックして、Wizards > Add Sensor の順に選択します。

    注: CSPM ホストとセンサーの制御インターフェイスが同じネットワーク内になければ、センサーが存在するネットワークを定義する必要があります。

  2. センサーの正しい postoffice パラメータを入力します。

  3. Check here to verify the Sensor's address ボックスをクリックします。

    注: センサーを初めて設定するときは、センサーの設定は取り込みません。センサーの設定を取り込むのは、UNIX ダイレクタまたは別の CSPM ホスト経由で、このセンサーに関する設定を以前に行ったものの、センサーのシグニチャに新たに設定変更を加えた場合です。

  4. Next をクリックして、センサーのシグニチャ バージョンを定義します。シグニチャ バージョンは、nrvers コマンドを実行してチェックすることもできます。

    注: センサーで稼動している正しいバージョンが、CSPM に設定されていない場合、CSPM ホストのシグニチャを更新する必要があります。更新の詳細は、「ソフトウェアのダウンロード」を参照してください。

  5. Next ボタンをクリックして、処理を続けます。
  6. Finish をクリックして、トポロジへのセンサーのインストールを終了します。
  7. CSPM のメイン メニューから、File > Save and Update の順に選択して、トポロジに入力した情報を CSPM にコンパイルします。CSPM ホストで postoffice プロトコルを開始するには、このステップが必要であることに注意してください。
  8. netrangr ユーザとしてセンサーにログインして、すべてが順調に動作していることを確認します。
  9. nrconns コマンドを実行します。

    >nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >

    注: センサーと CSPM ホストが通信していなければ、代わりに次のような出力が表示されます。

    netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr

    その場合は、スニファ トレースを入手して、センサーと CSPM ホストの両側が UDP 45000 パケットを送信していることを確認する必要があります。UDP 45000 は、IDS 装置が相互に通信するときに使用するパケットです。センサーでこれをテストするには、su コマンドで root ユーザに変更し、所有するセンサーによって、IDS 4210 センサーの場合は snoop -d iprb1 port 45000 を、それ以外のセンサー モデルの場合は snoop -d iprb0 port 45000 を実行します。

    <control-c> を使用して、スヌープ セッションから抜け出します。

    次の出力は、センサーと CSPM の間に通信が確立していない場合に表示されます。

    netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#

    上の出力では、センサーは UDP 45000 パケットを送信していますが、何も受信していません。設定が正しい場合、次のような出力が表示されます。

    # snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56

    上の出力では、双方向に UDP 45000 トラフィックが行き来しています。

    双方向に UDP 45000 パケットのフローがあり、センサーで nrconns コマンドを実行した結果、依然として接続が確立していないと表示される場合は、センサーと CSPM ホストの postoffice パラメータが一致していません。

    CSPM ホストの postoffice パラメータを手作業でチェックするには、次の処理を実行します。

    1. Windows のエクスプローラを使用して、NT マシンで CSPM がインストールされている場所に移動します。

    2. Write またはワードパッドを使用して、host、route、または organization ファイルを編集します(フォーマットがくずれるため、メモ帳は使用しないでください)。
    3. これらのファイルが正しくインストールされていることを確認します。正しくない値があれば、次のステップに従って値を編集し、NT コンピュータをリブートします。
      1. Network Topology で CSPM アイコンをクリックします。
      2. Policy Distribution タブをクリックして、postoffice パラメータを入力します。
      3. 変更を Save および Update します。
      4. NT コンピュータをリブートします。

センサーの設定

CSPM に設定を保存したら、センサーを設定します。そのためには、まず確認したアラームを自分のログに書き込むようにセンサーを設定します。次に正しいインターフェイスで「スニファする」ようにセンサーを設定します。

ログへのアラームの書き込み

  1. Generate audit event log files ボックスをクリックし、アラームをローカル ログに送信するようにセンサーに指示を出します。この設定後、デフォルトで CSPM ボックスにもアラームが送信されます。

  2. OK をクリックします。

センサーの「スニファ」への設定

  1. CSPM トポロジでセンサーを選択して、Sensing タブをクリックします。
  2. 次のように Packet Capture Device を定義します。
    • iprb0 - IDS 4210 センサーの場合
    • spwr0 - それ以外のセンサー モデルの場合

  3. OK をクリックし処理を続けます。
  4. CSPM メニュー バー上で Update アイコンをクリックし、CSPM の情報を更新します。

    注: 処理が正常に実行されると、次のような画面が表示されます。赤字のエラーがないことに注意してください。黄色い警告は通常は心配ありません。

  5. Network Topology でセンサーを選択したら、Command タブをクリックして、更新した設定をセンサーに送ります。

  6. Approve Now ボタンをクリックして、センサーに設定を送信するプロセスを開始します。

Status ペインに "Upload <#> completed" メッセージが表示され、有効な転送プロセスが終了したことが示されます。これでセンサーが更新され、正常に動作します。

センサーが正常に動作しないときは、センサーに戻り、nrconns コマンドの出力結果をチェックし、CSPM ホストとセンサーの間に接続が確立していることを確認します。

この処理が終了したら、センサーが CSPM ホストに送信するアラームを Event Viewer で探すことができます。Event Viewer を参照するには、CSPM メイン メニューから、Tools > View Sensor Events > Database の順に選択します。


OK をクリックして、Events Database ウィンドウを表示します。受信したアラームによって、画面の内容も異なります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 6117