セキュリティ : Cisco IOS Intrusion Prevention System Feature ソフトウェア

Cisco IOS Intrusion Prevention System(IPS)の Router and Security Device Manager(SDM)および Cisco IOS CLI の設定例

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Router and Security Device Manager (SDM)では 2.2、Cisco IOSか。 IPS 設定は SDM アプリケーションの内で統合されています。 もはや Cisco IOS IPS を設定するために個々のウィンドウを起動させるために必要となりません。

Cisco SDM 2.2 では、新しい IPS コンフィギュレーション ウィザードはルータのステップ必要なイネーブル Cisco IOS IPS を通してガイドします。 さらに、まだ Cisco SDM 2.2 が付いている Cisco IOS IPS を有効に し、ディセーブルにし、調整する拡張設定オプションを使用できます。

Cisco は pretuned シグニチャ 定義ファイル(SDFs)によって Cisco IOS IPS を実行することを推奨します: attack-drop.sdf、128MB.sdf、256MB.sdf)。 これらのファイルは異なるメモリ量でルータのために作成されます。 ファイルは SDFs を推奨する Cisco SDM と最初にルータの Cisco IOS IPS を有効に するとき組み込まれます。 これらのファイルはまた http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup registeredcustomers だけ)からダウンロードすることができます。

デフォルト SDFs を有効に する プロセスは工場出荷時状態 SDF のイネーブル Cisco IOS IPS で詳述されます。 デフォルト SDFs が十分なかまたは新しいシグニチャを追加したいと思うときデフォルト SDF を有効に した後アペンド追加シグニチャに説明があるプロシージャを使用できます。

前提条件

要件

Javaランタイム環境 (JRE) バージョン 1.4.2 または それ 以降が Cisco SDM 2.2 を使用するために必要となります。 Cisco 推奨のおよび調整された署名 ファイルは(DRAM に基づく) Cisco SDM と組み込まれます(Cisco SDM がルータフラッシュ フラッシュ・メモリでロードされる)。

使用するコンポーネント

この文書に記載されている情報は Cisco Router and Security Device Manager (SDM)に 2.2 基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

工場出荷時状態 SDF の Cisco IOS IPS を有効に して下さい

CLI プロシージャ

CLI を Cisco IOS IPS でルータをルータフラッシュで 128MB.sdf をロードするために Cisco 1800 シリーズ設定するのに使用するためにこのプロシージャを完了して下さい。

  1. 安全 装置 イベント Exchange (SDEE)イベント 通知を有効に するためにルータを設定して下さい。

    yourname#conf t
    
  2. 設定コマンド(行ごとに 1)を入力し、次に終了するために Cntl+Z を押して下さい。

    yourname(config)#ip ips notify sdee
    
  3. インターフェイスに関連付けるのに使用する IPS ルール名前を作成して下さい。

    yourname(config)#ip ips name myips
    
  4. どのファイルから規定 する IPS location コマンドを Cisco IOS IPS システムがシグニチャを読むか設定して下さい。

    この例はフラッシュするのファイルを使用します: 128MB.sdf. FTP、HTTP、HTTPS、RTP、SCP および TFTP によってファイルを指すためにフラッシュする、ディスク、またはプロトコルを使用するこのコマンドの位置 URL 部分はどの有効な URL である場合もあります。

    yourname(config)#ip ips sdf location flash:128MB.sdf
    

    注: シグニチャ エンジンが構築しているとき Telnetセッションによってルータを設定するか、または SDEE メッセージが表示されなければ場合 terminal monitor コマンドを有効に して下さい。

  5. トラフィックをスキャンすることを Cisco IOS IPS が可能にしたいと思うインターフェイスの IPS を有効に して下さい。 この場合、interface fastethernet 0 の両方向で有効に なりました。

    yourname(config)#interface fastEthernet 0
    yourname(config-if)#ip ips myips in
    *Oct 26 00:32:30.297: %IPS-6-SDF_LOAD_SUCCESS: 
            SDF loaded successfully from opacl
    *Oct 26 00:32:30.921: %IPS-6-SDF_LOAD_SUCCESS: 
            SDF loaded successfully from flash:128MB.sdf
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            OTHER - 4 signatures - 1 of 15 engines
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_READY:  
            OTHER - 0 ms - packets for this engines will be scanned
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            MULTI-STRING - 0 signatures - 2 of 15 engines
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILD_SKIPPED:  
            MULTI-STRING - there are no new signature definitions for this engine
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            STRING.ICMP - 1 signatures - 3 of 15 engines
    *Oct 26 00:32:30.941: %IPS-6-ENGINE_READY:  
            STRING.ICMP - 20 ms - packets for this engine will be scanned
    *Oct 26 00:32:30.945: %IPS-6-ENGINE_BUILDING:  
            STRING.UDP - 17 signatures - 4 of15 engines
    *Oct 26 00:32:31.393: %IPS-6-ENGINE_READY:  
            STRING.UDP - 448 ms - packets for this engine will be scanned
    *Oct 26 00:32:31.393: %IPS-6-ENGINE_BUILDING:  
            STRING.TCP - 58 signatures - 5 of 15 engines
    *Oct 26 00:32:33.641: %IPS-6-ENGINE_READY:  
            STRING.TCP - 2248 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.641: %IPS-6-ENGINE_BUILDING:  
            SERVICE.FTP - 3 signatures - 6 of 15 engines
    *Oct 26 00:32:33.657: %IPS-6-ENGINE_READY:  
            SERVICE.FTP - 16 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.657: %IPS-6-ENGINE_BUILDING:  
            SERVICE.SMTP - 2 signatures - 7 of 15 engines
    *Oct 26 00:32:33.685: %IPS-6-ENGINE_READY:  
            SERVICE.SMTP - 28 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.689: %IPS-6-ENGINE_BUILDING:  
            SERVICE.RPC - 29 signatures - 8 f 15 engines
    *Oct 26 00:32:33.781: %IPS-6-ENGINE_READY:  
            SERVICE.RPC - 92 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.781: %IPS-6-ENGINE_BUILDING:  
            SERVICE.DNS - 31 signatures - 9 of 15 engines
    *Oct 26 00:32:33.801: %IPS-6-ENGINE_READY:  
            SERVICE.DNS - 20 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.801: %IPS-6-ENGINE_BUILDING:  
            SERVICE.HTTP - 132 signatures - 10 of 15 engines
    *Oct 26 00:32:44.505: %IPS-6-ENGINE_READY:  
            SERVICE.HTTP - 10704 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.509: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.TCP - 11 signatures - 11 of 15 engines
    *Oct 26 00:32:44.513: %IPS-6-ENGINE_READY:  
            ATOMIC.TCP - 4 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.513: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.UDP - 9 signatures - 12 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.UDP - 4 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.ICMP - 0 signatures - 13 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILD_SKIPPED:  
            ATOMIC.ICMP - there are no new signature definitions for this engine
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.IPOPTIONS - 1 signatures - 14 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.IPOPTIONS - 0 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.L3.IP - 5 signatures - 15 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.L3.IP - 0 ms - packets for this engine will be scanned
    yourname(config-if)#ip ips myips out
    yourname(config-if)#ip virtual-reassembly
    

    IPS ルールがインターフェイスに適用される時最初に、Cisco IOS IPS は SDF 場所コマンドによって規定 される ファイルからの構築されたシグニチャを開始します。 SDEE メッセージはコンソールに記録 され、もし設定するなら syslog サーバに送られます。 <number > エンジンの <number が付いている SDEE メッセージは > シグニチャ エンジン 構築プロセスを示します。 最終的には 2 つの数が同じのとき、すべてのエンジンは構築されます。

    注: IP 仮想 な再組立ては(つけられたとき)自動的にそのインターフェイスを通してルータに入って来るフラグメント化されたパケットを再構成するインターフェイス 機能です。 Cisco はトラフィックがルータに到達するすべてのインターフェイスの IP バーチャル アセンブリを有効に することを推奨します。 interface fastethernet 0 の「IP バーチャル アセンブリ」をつけることのほかの上の例では、内部インターフェイス VLAN 1 でそれを同様に設定します。

    yourname(config)#int vlan 1
    yourname(config-if)#ip virtual-reassembly
    

SDM 2.2 プロシージャ

Cisco SDM 2.2 を Cisco IOS IPS でルータを Cisco 1800 シリーズ設定するのに使用するためにこのプロシージャを完了して下さい。

  1. SDM アプリケーションで、『Configure』 をクリック し、次に侵入防御をクリックして下さい。

    /image/gif/paws/105629/ips_sdm_cli_config_01.gif

  2. 作成 IPS タブをクリックし、次に起動 IPS ルール ウィザードをクリックして下さい。

    Cisco SDM は SDEE によって Cisco IOS IPS 機能を設定するために IPS イベント 通知が要求します。 デフォルトで、SDEE 通知は有効に なりません。 Cisco SDM はこのイメージに示すように SDEE によって IPS イベント 通知を有効に するためにプロンプト表示します:

    /image/gif/paws/105629/ips_sdm_cli_config_02.gif

  3. [OK] をクリックします。

    IPS Policies ウィザード ダイアログボックスの IPS Policies ウィザード ウィンドウへの歓迎は現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_03.gif

  4. [Next] をクリックします。

    『Interfaces』 を選択 ウィンドウは現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_04.gif

  5. IPS を有効に したいと思う選択しそのインターフェイスの方向を示すために受信送信チェックボックスをクリックして下さいインターフェイスを。

    注: Cisco はインターフェイスの IPS を有効に するとき受信および送信方向を有効に することを推奨します。

  6. [Next] をクリックします。

    SDF Locations ウィンドウは現われます。

  7. SDF 位置を設定するために『Add』 をクリック して下さい。

    シグニチャ Location ダイアログボックスが現われる追加。

    /image/gif/paws/105629/ips_sdm_cli_config_05.gif

  8. フラッシュ オプション ボタンの規定 SDF をクリックし、フラッシュ ドロップダウン リストのファイル名から 256MB.sdf を選択して下さい。

  9. オートセーブ チェックボックスをクリックし、『OK』 をクリック して下さい。

    注:  オートセーブ オプションは自動的にシグニチャ変更があるとき署名 ファイルを保存します。

    SDF Locations ウィンドウは新しい SDF 位置を表示する。

    /image/gif/paws/105629/ips_sdm_cli_config_06.gif

    注: バックアップを指定するために追加シグニチャ場所を追加できます。

  10. 使用組み込みシグニチャ(バックアップとして)チェックボックスをクリックして下さい。

    注: Cisco は 1つ以上の場所を規定 しなかったら組み込みシグニチャ オプションを使用しないことを推奨します。

  11. 継続するには [Next] をクリックします。

    サマリ ウィンドウは現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_07.gif

  12. [Finish] をクリックします。

    コマンド配達 Status ダイアログボックスは IPS エンジンがすべてのシグニチャをコンパイルすると同時にステータスを表示する。

    /image/gif/paws/105629/ips_sdm_cli_config_08.gif

  13. プロセスが完了した、『OK』 をクリック して下さい。

    シグニチャ コンパイル Status ダイアログボックスはシグニチャ コンパイル情報を表示する。

    /image/gif/paws/105629/ips_sdm_cli_config_09.gif

    この情報はどのエンジンがそのエンジンのシグニチャの数コンパイルされたか示し。 Status カラムでスキップされて表示するエンジンに関しては、そのエンジンのためにロードされるシグニチャがありません。

  14. シグニチャ コンパイル Status ダイアログボックスを閉じるために『Close』 をクリック して下さい。

  15. どのシグニチャがルータで現在ロードされるか確認するために、『Configure』 をクリック し、次に侵入防御をクリックして下さい。

  16. 編集 IPS タブをクリックし、次に『Signatures』 をクリック して下さい。

    IPS 署名簿は Signatures ウィンドウに現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_10.gif

デフォルト SDF を有効に した後アペンド追加シグニチャ

CLI プロシージャ

利用可能 な CLI コマンドがシグニチャを作成するか、または分散 IOSSxxx.zip ファイルからのシグニチャ 情報を読むためにありません。 Cisco は Cisco IOS IPS システムのシグニチャを管理するのに IPS センサーのために SDM か管理センターを使用することを推奨します。

既に準備ができた署名 ファイルがあり、Cisco IOS IPS システムで動作する SDF とこのファイルをマージしたいと思っている顧客向けに、このコマンドを使用できます:

yourname#show running-config | include ip ips sdf
ip ips sdf location flash:128MB.sdf
yourname#

シグニチャ location コマンドによって定義される署名 ファイルはリロードするか、またはルータ IOS IPS が再構成されるときルータが署名ファイルをロードするところにです。 正常であるマージ プロセスに関しては署名 ファイル location コマンドによって定義されるファイルはまた更新済である必要があります。

  1. 現在設定されたシグニチャ位置をチェックするために表示コマンドを使用して下さい。

    出力は設定されたシグニチャ場所を示したものです。 このコマンドはシグニチャを実行する電流がどこにからロードされるか示します。

    yourname#show ip ips signatures
    Builtin signatures are configured

    シグニチャは flash:128MB.sdf から最後にロードされました

    Cisco SDF リリースバージョン S128.0

    傾向 SDF リリースバージョン V0.0

  2. 署名 ファイルをマージするために前の手順からの情報と共にコピー <url > IPSsdf コマンドを、使用して下さい。

    yourname#copy tftp://10.10.10.5/mysignatures.xml ips-sdf
    Loading mysignatures.xml from 10.10.10.5 (via Vlan1): !
    [OK - 1612 bytes]
    *Oct 26 02:43:34.904: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from opacl
    No entry found for lport 55577, fport 4714 No entry found for lport 51850, fport
    4715
    *Oct 26 02:43:34.920: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from 
            tftp://10.10.10.5/mysignatures.xml
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: OTHER - 4 signatures - 1 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: OTHER - there are no new signature
            definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: MULTI-STRING - 0 signatures - 
            2 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: MULTI-STRING - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: STRING.ICMP - 1 signatures - 
            3 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.ICMP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: STRING.UDP - 17 signatures - 
            4 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.UDP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.924: %IPS-6-ENGINE_BUILDING: STRING.TCP - 59 signatures - 
            5 of 15 engines
    *Oct 26 02:43:36.816: %IPS-7-UNSUPPORTED_PARAM: STRING.TCP 9434:0 CapturePacket=False - 
            This parameter is not supported
    *Oct 26 02:43:37.264: %IPS-6-ENGINE_READY: STRING.TCP - 2340 ms - packets for this
            engine will be scanned
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.FTP - 3 signatures - 
            6 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.FTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.SMTP - 2 signatures - 
            7 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.SMTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.RPC - 29 signatures - 
            8 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.RPC - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.292: %IPS-6-ENGINE_BUILDING: SERVICE.DNS - 31 signatures - 
            9 of 15 engines
    *Oct 26 02:43:37.292: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.DNS - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.296: %IPS-6-ENGINE_BUILDING: SERVICE.HTTP - 132 signatures - 
            10 of 15 engines
    *Oct 26 02:43:37.296: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.HTTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILDING: ATOMIC.TCP - 11 signatures - 
            11 of 15 engines
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.TCP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILDING: ATOMIC.UDP - 9 signatures - 
            12 of 15 engines
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.UDP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.ICMP - 0 signatures - 
            13 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.ICMP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.IPOPTIONS - 1 signatures - 
            14 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.IPOPTIONS - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.L3.IP - 5 signatures - 
            15 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.L3.IP - there are 
            no new signature definitions for this engine
    yourname#

    copy コマンドを発行した後、ルータはメモリに署名 ファイルをロードし、次にシグニチャ エンジンを構築します。 コンソール SDEE メッセージ出力では、各シグニチャ エンジンのためのビルディング ステータスは表示する。

    • %IPS-6-ENGINE_BUILD_SKIPPED はこのエンジンのための新しいシグニチャがないことを示します。

    • %IPS-6-ENGINE_READY は新しいシグニチャがあり、エンジンが準備ができていることを示します。 の前にように、15 のエンジンの "15 は」メッセージすべてのエンジンが構築されたことを示します。

    • IPS-7-UNSUPPORTED_PARAM はある特定のパラメータが Cisco IOS IPS によってサポートされないことを示します。 たとえば、CapturePacket および ResetAfterIdle。

    注:  これらのメッセージは情報だけのため、Cisco IOS IPS シグニチャ機能またはパフォーマンスの影響がありません。 これらのロギングメッセージはログ レベルをデバッグ(7) レベルより高く設定 することによって消すことができます。

  3. ルータ リロードに、それ更新済シグニチャと設定 されたマージされたシグニチャがある時シグニチャ location コマンドによって定義される SDF をそのような物ことアップデートして下さい。 この例はマージされたシグニチャが 128MB.sdf フラッシュファイルに保存された後ファイルサイズ違いを示したものです。

    yourname#show flash:
    -#- --length-- -----date/time------ path
    4 504630 Aug 30 2005 22:58:34 +00:00 128MB.sdf
    yourname#copy ips-sdf flash:128MB.sdf
    yourname#show flash:
    -#- --length-- -----date/time------ path
    4 522656 Oct 26 2005 02:51:32 +00:00 128MB.sdf

    警告 警告: 新しい 128MB.sdf は今顧客マージされたシグニチャが含まれています。 コンテンツは Ciscoデフォルト 128MB.sdf ファイルと異なっています。 Cisco は混合を避けるために異なる名前にこのファイルを変更することを推奨します。 名前が変更される場合、シグニチャ location コマンドはまた変更される必要があります。

SDM 2.2 プロシージャ

Cisco IOS IPS が有効に なった後、新しいシグニチャは Cisco SDM インポート機能と設定 される シグニチャを実行するルータに追加することができます。 新しいシグニチャをインポートするためにこれらのステップを完了して下さい:

  1. 追加シグニチャをインポートするためにデフォルト SDFs か IOSSxxx.zip アップデート ファイルを選択して下さい。

  2. 『Configure』 をクリック し、次に侵入防御をクリックして下さい。

  3. 編集 IPS タブをクリックし、次に『Import』 をクリック して下さい。

    /image/gif/paws/105629/ips_sdm_cli_config_11.gif

  4. インポート ドロップダウン リストからの PC から選択して下さい。

  5. シグニチャをインポートしたいと思うファイルを選択して下さい。

    /image/gif/paws/105629/ips_sdm_cli_config_12.gif

    この例は Cisco.com からダウンロードされ、ローカルPC ハードディスクで保存される最新のアップデートを使用します。

  6. [Open] をクリックします。

    警告 警告: メモリ抑制が原因で、新しいシグニチャの限られた数だけ既に展開されてしまったシグニチャの上に追加することができます。 余りにも多くのシグニチャが選択される場合、ルータはメモリ不足が理由ですべての新しいシグニチャをロードできないかもしれません。

    署名 ファイル ロードが完了すれば、IPS Import ダイアログボックスは現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_13.gif

  7. 左ツリー表示によってナビゲート し、インポートしたいと思うシグニチャの隣で Import チェックボックスをクリックして下さい。

  8. 併合オプション ボタンをクリックし、次に『OK』 をクリック して下さい。

    注: 置換オプションはインポートするために選択するシグニチャとルータで設定 される現在のシグニチャを取り替えます。

    『OK』 をクリック すれば、Cisco SDM アプリケーションはルータにシグニチャを渡します。

    /image/gif/paws/105629/ips_sdm_cli_config_14.gif

    注: CPU使用率が高い状態はシグニチャのコンパイルおよびロードの間に発生します。 Cisco IOS IPS がインターフェイスで有効に なった後、署名 ファイルはロードし始めます。 ルータは約 SDF をロードするために 5 分かかります。 Cisco IOSソフトウェア CLI からの CPU稼働率を表示するために show process CPU コマンドを使用するように試みることができます。 ただしルータが SDF をロードしている間、追加コマンドを使用するか、または他の SDFs をロードするように試みないで下さい。 (CPU稼働率が SDF のロードの時に 100 パーセント利用に密接であるので)これにより完了するためにシグニチャ コンパイル処理は時間がかかりますかもしれません。 使用可能状態にない場合シグニチャのリストを通って参照し、シグニチャを有効に する必要があるかもしれません。

    総シグニチャ数は 519 に増加しました。 この数は IOS-S193.zip ファイルで利用可能 な ファイル共有下位範疇に属するすべてのシグニチャが含まれています。

    /image/gif/paws/105629/ips_sdm_cli_config_15.gif

Cisco SDM を Cisco IOS IPS 機能を管理するのに使用する方法についてのより多くの高度なトピックに関してはこの URL で Cisco SDM ドキュメントを参照して下さい:

シグニチャ カテゴリーを『Signatures』 を選択 し、使用して下さい

判別するために効果的にネットワークに正しいシグニチャを選択する方法を保護しているネットワークについてのいくつかの事を知って下さい。 Cisco SDM 2.2 およびそれ以降 ネットワークを保護するためにシグニチャの正しいセットを選択するそれ以上の支援顧客の更新済シグニチャ カテゴリ 情報。

カテゴリはシグニチャをグループ化する方法です。 それは互いに関連しているシグニチャのサブセットにシグニチャ選択を狭くするのを助けます。 1 つのシグニチャは 1 カテゴリだけに属する可能性がありますか、または複数のカテゴリーに属する可能性があります。

これらは 5 つのトップレベル カテゴリーです:

  • OS — オペレーション システム ベースのシグニチャ分類

  • 攻撃—攻撃ベースのシグニチャ分類

  • サービス—サービス ベース シグニチャ分類

  • レイヤ 2-4 protocol —プロトコル レベル ベースのシグニチャ類別

  • リリース—リリースベース シグニチャ分類

これらのカテゴリーのそれぞれは下位範疇に更に分けられます。

一例として、インターネットへのブロードバンド な接続および社内ネットワークへの VPN トンネルのホーム ネットワークをみなして下さい。 ブロードバンドルータはどの接続でもインターネットから起き、ホーム ネットワークに接続ことを防ぐためにインターネットへの開いた(非 VPN)接続で有効に なる Cisco IOS ファイアウォールを備えています。 すべてのトラフィックがホーム ネットワークからインターネットに起きる割り当てられます。 ユーザが Windows ベース の パソコンを使用し、HTTP (Web ブラウジング)および E メールのようなアプリケーションを使用すると仮定して下さい。

ファイアウォールはユーザーのニーズがルータをフローすることができることようにアプリケーションだけ設定することができます。 これはネットワーク全体広がることができる不必要で、可能性としては悪いトラフィックのフローを制御します。 ホーム ユーザーが特定のサービスを必要としないし、利用しないと考慮して下さい。 そのサービスがファイアウォールをフローすればことができる場合ネットワーク全体フローするのに使用攻撃ができる潜在的なホールがあります。 最良 の 方法必要である割り当てサービスだけ。 この場合、有効に なるべきかどんなシグニチャを選択することは容易です。 ファイアウォールをフローすることを割り当てることサービスのためのだけシグニチャを有効に する必要があります。 この例では、サービスは E メールおよび HTTP が含まれています。 Cisco SDM はこの設定を簡約化します。

カテゴリを必須シグニチャを選択するのに使用するためにサービス > HTTP を選択し、すべてのシグニチャを有効に して下さい。 この選択過程はまたすべての HTTP シグニチャを選択し、ルータにインポートできるシグニチャ インポート ダイアログではたらきます。

選択される必要がある追加カテゴリーは DNS、NETBIOS/SMB、HTTPS および SMTP が含まれています。

デフォルト SDF ファイルのためのアップデート シグニチャ

3 つ毎製の SDFs (攻撃drop.dsf、128MB.sdf および 256MB.sdf)は http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup registeredcustomers だけ)の Cisco.com で現在掲示されます。 これらのファイルの新しいバージョンはそれらが利用可能であるとすぐ掲示されます。 これらのと Cisco IOS IPS をデフォルト SDFs 実行し、Webサイトに行き、これらのファイルの最新バージョンをダウンロードするルータをアップデートするため。

CLI プロシージャ

  1. からこれらのファイルをロードするためにルータが設定される位置にダウンロードされたファイルをコピーして下さい。 ルータが現在どこに設定されるか調べるために、show running-config を使用して下さい | IP IPS sdf コマンド。

    Router#show running-config | in ip ips sdf
    ip ips sdf location flash://256MB.sdf autosave

    この例では、ルータはフラッシュするの 256MB.sdf を使用します。 ファイルはルータフラッシュに新しいダウンロードされた 256MB.sdf をコピーするとき更新済です。

  2. 新しいファイルを実行するために Cisco IOS IPS サブシステムをリロードして下さい。

    Cisco IOS IPS をリロードする 2 つの方法があります: ルータをリロードするか、または IOS IPS サブシステムをシグニチャをリロードするために引き起こすように Cisco IOS IPS を再構成して下さい。 Cisco IOS IPS を再構成するために、設定済みインターフェイスからのすべての IPS ルールを取除き、次にインターフェイスに戻って IPS ルールを再適用して下さい。 これはリロードするために Cisco IOS IPS システムを引き起こします。

SDM 2.2 プロシージャ

ルータのデフォルト SDFs をアップデートするためにこれらのステップを完了して下さい:

  1. 『Configure』 をクリック し、次に侵入防御をクリックして下さい。

  2. 編集 IPS タブをクリックし、次に設定を『Global』 をクリック して下さい。

    /image/gif/paws/105629/ips_sdm_cli_config_16.gif

    UI の上はグローバル な 設定を示します。 UI の下半分は現在設定された SDF 場所を示します。 この場合、フラッシュ メモリからの 256MB.sdf ファイルは設定されます。

  3. File メニューから管理を『File』 を選択 して下さい。

    ファイル 管理 プログラム ダイアログボックスは現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_17.gif

  4. PC からのファイルを『Load』 をクリック して下さい。

    保存 File ダイアログボックスは現われます。

    /image/gif/paws/105629/ips_sdm_cli_config_18.gif

  5. アップデートされる必要がある選択し『Open』 をクリック して下さい SDF を。

    SDM 警告メッセージが現れます。

    /image/gif/paws/105629/ips_sdm_cli_config_19.gif

  6. 既存のファイルを置き換えるために『Yes』 をクリック して下さい。

    ダイアログボックスはアップロード プロセスの進行状況を表示する。

    /image/gif/paws/105629/ips_sdm_cli_config_20.gif

  7. アップロード プロセスが完了した、SDF 位置 ツールバーにあるリロード シグニチャをクリックして下さい。 この操作は Cisco IOS IPS をリロードします。

    /image/gif/paws/105629/ips_sdm_cli_config_21.gif

    注: IOSSxxx.zip パッケージは Cisco IOS IPS がサポートするすべてのシグニチャが含まれています。 このシグニチャ パッケージへのアップグレードは Cisco.com で利用可能になるとすぐ掲示されます。 このパッケージに含まれているシグニチャをアップデートするために Step2 を参照して下さい

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 105629