セキュリティ : Cisco IOS Intrusion Prevention System Feature ソフトウェア

Cisco IOS Intrusion Prevention System(IPS)の Router and Security Device Manager(SDM)および Cisco IOS CLI の設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco Router and Security Device Manager (SDM)では 2.2、Cisco IOSか。 IPS 設定は SDM アプリケーションの内で統合されています。 Cisco IOS IPS を設定するために、別のウィンドウを起動する必要はありません。

Cisco SDM 2.2 では、新しい IPS コンフィギュレーション ウィザードにより、ルータ上で Cisco IOS IPS をイネーブルにするために必要な手順が指示されます。 また、Cisco SDM 2.2 で Cisco IOS IPS のイネーブル化、ディセーブル化、調整を行うための高度な設定も使用できます。

あらかじめ調整されたシグネチャ定義ファイル(SDF)を使って、Cisco IOS IPS を実行することを推奨します。 attack-drop.sdf、128MB.sdf、256MB.sdf)。 これらのファイルは、メモリ量が異なるルータに対して作成されます。 ファイルは Cisco SDM にバンドルされています。ルータで Cisco IOS IPS 初めてイネーブルにする場合は SDF が推奨されます。 これらのファイルは http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup登録ユーザ専用)からダウンロードできます。

デフォルトの SDF をイネーブルにするプロセスは、「工場出荷時のデフォルトの SDF を使ったCisco IOS IPS の有効化」で詳細に説明します。 デフォルトの SDF が十分でないか、新しいシグネチャを追加する場合、「Append Additional Signatures after Enabling Default SDF」に記載されている手順を使用できます。

前提条件

要件

Cisco SDM 2.2 を使用するには、Java Runtime Environment(JRE)バージョン1.4.22が必要です。 (DRAMに基づいて)シスコが推奨するチューニング済みシグネチャ ファイルが Cisco SDM にバンドルされています(Cisco SDM を搭載したルータのフラッシュ メモリにロードされています)。

使用するコンポーネント

このドキュメントの情報は、Cisco ルータおよび Security Device Manager(SDM)2.2 に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

工場出荷時のデフォルトの SDF を使ったCisco IOS IPS の有効化

CLI の手順

CLI を使って、ルータのフラッシュ上に 128 MB.sdf をロードするように Cisco IOS IPS を搭載した Cisco 1800 シリーズ ルータを構成するには、次の手順を実行します。

  1. Security Device Event Exchange(SDEE)イベント通知をイネーブルにするようにルータを設定します。

    yourname#conf t
    
  2. 終了するには、コンフィギュレーション コマンド(1行に 1 つずつ)を入力して、Cntl キーを押した状態で Z キーを押します。

    yourname(config)#ip ips notify sdee
    
  3. インターフェイスの関連付けに使用される IPS ルール名を作成します。

    yourname(config)#ip ips name myips
    
  4. Cisco IOS IPS システムがシグネチャを読み取るファイルを指定する IPS location コマンドを設定します。

    この例では、フラッシュ上の次のファイルを使用します。 128MB.sdf. このコマンドのロケーション URL の部分は、ファイルをポイントする、フラッシュ、ディスク、または FTP、HTTP、HTTPS、RTP、SCP、TFTP を介したプロトコルを使用する有効な URL になることがあります。

    yourname(config)#ip ips sdf location flash:128MB.sdf
    

    Telnet セッションを介してルータを設定している場合、terminal monitor コマンドを有効にする必要があります。そうでない場合、シグネチャ エンジンの構築中、SDEE メッセージが表示されません。

  5. トラフィックをスキャンするため Cisco IOS IPS を有効にするインターフェイスで IPS を有効にします。 このケースでは、インターフェイス fastEthernet 0 の双方向で有効にしました。

    yourname(config)#interface fastEthernet 0
    yourname(config-if)#ip ips myips in
    *Oct 26 00:32:30.297: %IPS-6-SDF_LOAD_SUCCESS: 
            SDF loaded successfully from opacl
    *Oct 26 00:32:30.921: %IPS-6-SDF_LOAD_SUCCESS: 
            SDF loaded successfully from flash:128MB.sdf
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            OTHER - 4 signatures - 1 of 15 engines
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_READY:  
            OTHER - 0 ms - packets for this engines will be scanned
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            MULTI-STRING - 0 signatures - 2 of 15 engines
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILD_SKIPPED:  
            MULTI-STRING - there are no new signature definitions for this engine
    *Oct 26 00:32:30.921: %IPS-6-ENGINE_BUILDING:  
            STRING.ICMP - 1 signatures - 3 of 15 engines
    *Oct 26 00:32:30.941: %IPS-6-ENGINE_READY:  
            STRING.ICMP - 20 ms - packets for this engine will be scanned
    *Oct 26 00:32:30.945: %IPS-6-ENGINE_BUILDING:  
            STRING.UDP - 17 signatures - 4 of15 engines
    *Oct 26 00:32:31.393: %IPS-6-ENGINE_READY:  
            STRING.UDP - 448 ms - packets for this engine will be scanned
    *Oct 26 00:32:31.393: %IPS-6-ENGINE_BUILDING:  
            STRING.TCP - 58 signatures - 5 of 15 engines
    *Oct 26 00:32:33.641: %IPS-6-ENGINE_READY:  
            STRING.TCP - 2248 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.641: %IPS-6-ENGINE_BUILDING:  
            SERVICE.FTP - 3 signatures - 6 of 15 engines
    *Oct 26 00:32:33.657: %IPS-6-ENGINE_READY:  
            SERVICE.FTP - 16 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.657: %IPS-6-ENGINE_BUILDING:  
            SERVICE.SMTP - 2 signatures - 7 of 15 engines
    *Oct 26 00:32:33.685: %IPS-6-ENGINE_READY:  
            SERVICE.SMTP - 28 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.689: %IPS-6-ENGINE_BUILDING:  
            SERVICE.RPC - 29 signatures - 8 f 15 engines
    *Oct 26 00:32:33.781: %IPS-6-ENGINE_READY:  
            SERVICE.RPC - 92 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.781: %IPS-6-ENGINE_BUILDING:  
            SERVICE.DNS - 31 signatures - 9 of 15 engines
    *Oct 26 00:32:33.801: %IPS-6-ENGINE_READY:  
            SERVICE.DNS - 20 ms - packets for this engine will be scanned
    *Oct 26 00:32:33.801: %IPS-6-ENGINE_BUILDING:  
            SERVICE.HTTP - 132 signatures - 10 of 15 engines
    *Oct 26 00:32:44.505: %IPS-6-ENGINE_READY:  
            SERVICE.HTTP - 10704 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.509: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.TCP - 11 signatures - 11 of 15 engines
    *Oct 26 00:32:44.513: %IPS-6-ENGINE_READY:  
            ATOMIC.TCP - 4 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.513: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.UDP - 9 signatures - 12 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.UDP - 4 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.ICMP - 0 signatures - 13 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILD_SKIPPED:  
            ATOMIC.ICMP - there are no new signature definitions for this engine
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.IPOPTIONS - 1 signatures - 14 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.IPOPTIONS - 0 ms - packets for this engine will be scanned
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_BUILDING:  
            ATOMIC.L3.IP - 5 signatures - 15 of 15 engines
    *Oct 26 00:32:44.517: %IPS-6-ENGINE_READY:  
            ATOMIC.L3.IP - 0 ms - packets for this engine will be scanned
    yourname(config-if)#ip ips myips out
    yourname(config-if)#ip virtual-reassembly
    

    IPS ルールが初めてインターフェイスに適用されると、Cisco IOS IPS は SDF location コマンドで指定されたファイルからシグネチャを構築します。 SDEE メッセージが コンソールに記録され、syslog サーバが設定されている場合は、syslog サーバに送信されます。 <number> of <number> engines が付いた SDEE メッセージは、シグネチャ エンジンの構築プロセスを示しています。 最後に、2 つの番号が同じである場合、すべてのエンジンが構築されます。

    IP 仮想リアセンブリはインターフェイス機能で、この機能をオンにすると、対象のインターフェイスを介して受信するフラグメント化したパケットが自動的に再アセンブルされます。 トラフィックがルータに着信するすべてのインターフェイスで、IP 仮想アセンブリを有効にすることを推奨します。 上記の例では、インターフェイス fastEthernet 0 で「IP 仮想アセンブリ」をオンにするだけでなく、内部インターフェイス VLAN 1 でも同様にオンに設定します。

    yourname(config)#int vlan 1
    yourname(config-if)#ip virtual-reassembly
    

SDM 2.2 の手順

Cisco SDM 2.2 を使って Cisco IOS IPS を搭載した Cisco 1800 シリーズ ルータを設定するには、次の手順を実行します。

  1. SDM アプリケーションで [Configure] をクリックし、次に [Intrusion Prevention] をクリックします。

    /image/gif/paws/105629/ips_sdm_cli_config_01.gif

  2. [Create IPS] タブをクリックし、次に [Launch IPS Rule Wizard] をクリックします。

    Cisco SDM では、Cisco IOS IP 機能を設定するため、SDEE を介した IPS イベント通知が必要です。 デフォルトでは、この機能は無効になっています。 Cisco SDM では、次の図に示すように、SDEE を介して IPSイベント通知を有効にするように指示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_02.gif

  3. [OK] をクリックします。

    [IPS Policies Wizard] ダイアログボックスの [Welcome to the IPS Policies Wizard] ウィンドウが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_03.gif

  4. [Next] をクリックします。

    [Select Interfaces] ウィンドウが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_04.gif

  5. IPS を有効にするインターフェイスを選択し、[Inbound] または [Outbound] チェックボックスのいずれかをオンにして、そのインターフェイスの方向を示します。

    インターフェイス で IPS を有効にする場合、着信および発信の双方向を有効にすることを推奨します。

  6. [Next] をクリックします。

    [SDF Locations] ウィンドウが表示されます。

  7. SDF の場所を設定するには、[Add] をクリックします。

    [Add a Signature Location] ダイアログボックスが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_05.gif

  8. [Specify SDF on flash] ラジオ ボタンをクリックして、[File Name on flash] ドロップダウン リストから 256MB.sdf を選択します。

  9. [Autosave] チェックボックスをオンにして、[OK] をクリックします。

    [Autosave] オプションにより、シグネチャが変更された場合、シグネチャファイルが自動的に保存されます。

    [SDF Locations] ウィンドウに新しい SDF の場所が表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_06.gif

    バックアップを指定するため、追加シグネチャの場所を追加できます。

  10. [Use Built-In Signatures (as backup)] チェックボックスをオンにします。

    1 つ以上の場所を指定していない場合、組み込みシグネチャオプションを使用しないことを推奨します。

  11. 継続するには [Next] をクリックします。

    [Summary] ウィンドウが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_07.gif

  12. [Finish] をクリックします。

    [Commands Delivery Status] ダイアログボックスに、IPS エンジンがすべてのシグネチャをコンパイルしたときのステータスが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_08.gif

  13. プロセスが完了したら、[OK] をクリックします。

    [Signature Compilation Status] ダイアログボックスに、シグネチャコンパイル情報が表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_09.gif

    この情報には、コンパイルを実行したエンジンと、そのエンジン内のシグネチャ数が表示されます。 スタータス列に [Skipped] と表示されたエンジンの場合、そのエンジン用にロードされたシグネチャはありません。

  14. [Close] をクリックして、[Signature Compilation Status] ダイアログボックスを閉じます。

  15. どのシグネチャがルータに現在ロードされているか検証するには、[Configure] をクリックし、次に [Intrusion Prevention] をクリックします。

  16. [Edit IPS] タブをクリックし、次に [Signatures] をクリックします。

    [Signatures] ウィンドウに IPS シグネチャリストが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_10.gif

デフォルトの SDF を有効にした後の追加シグネチャの追加

CLI の手順

シグネチャの作成、または配布済み IOS-Sxxx.zip ファイルのシグネチャ情報の読み取りに使用できる CLI コマンドはありません。 SDM または IPS センサー 用 Management Center のいずれかを使って、Cisco IOS IPS システムのシグネチャを管理することを推奨します。

すでにシグネチャファイルを準備していて、このファイルを Cisco IOS IPS システムで実行している SDF とマージする場合は、次のコマンドを使用できます。

yourname#show running-config | include ip ips sdf
ip ips sdf location flash:128MB.sdf
yourname#

シグネチャ ロケーション コマンドで定義したシグネチャ ファイルは、ルータのリロード時、またはルータ IOS IPS の再設定時に、ルータがシグネチャ ファイルをロードするファイルです。 マージ プロセスを正常に完了するには、シグネチャ ファイル ロケーション コマンドで定義されたファイルも更新する必要があります。

  1. 現在設定されているシグネチャの場所を確認するには、show コマンドを使用します。

    出力には設定されたシグネチャの位置が表示されます。 このコマンドは、現在実行されているシグネチャがどこからロードされたかを表示します。

    yourname#show ip ips signatures
    Builtin signatures are configured

    Signatures were last loaded from flash:128MB.sdf

    Cisco SDF release version S128.0

    Trend SDF release version V0.0

  2. シグネチャ ファイルをマージするには、copy <url> ips-sdf コマンドを、前の手順で取得した情報と併せて使用します。

    yourname#copy tftp://10.10.10.5/mysignatures.xml ips-sdf
    Loading mysignatures.xml from 10.10.10.5 (via Vlan1): !
    [OK - 1612 bytes]
    *Oct 26 02:43:34.904: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from opacl
    No entry found for lport 55577, fport 4714 No entry found for lport 51850, fport
    4715
    *Oct 26 02:43:34.920: %IPS-6-SDF_LOAD_SUCCESS: SDF loaded successfully from 
            tftp://10.10.10.5/mysignatures.xml
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: OTHER - 4 signatures - 1 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: OTHER - there are no new signature
            definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: MULTI-STRING - 0 signatures - 
            2 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: MULTI-STRING - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: STRING.ICMP - 1 signatures - 
            3 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.ICMP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILDING: STRING.UDP - 17 signatures - 
            4 of 15 engines
    *Oct 26 02:43:34.920: %IPS-6-ENGINE_BUILD_SKIPPED: STRING.UDP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:34.924: %IPS-6-ENGINE_BUILDING: STRING.TCP - 59 signatures - 
            5 of 15 engines
    *Oct 26 02:43:36.816: %IPS-7-UNSUPPORTED_PARAM: STRING.TCP 9434:0 CapturePacket=False - 
            This parameter is not supported
    *Oct 26 02:43:37.264: %IPS-6-ENGINE_READY: STRING.TCP - 2340 ms - packets for this
            engine will be scanned
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.FTP - 3 signatures - 
            6 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.FTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.SMTP - 2 signatures - 
            7 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.SMTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILDING: SERVICE.RPC - 29 signatures - 
            8 of 15 engines
    *Oct 26 02:43:37.288: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.RPC - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.292: %IPS-6-ENGINE_BUILDING: SERVICE.DNS - 31 signatures - 
            9 of 15 engines
    *Oct 26 02:43:37.292: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.DNS - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.296: %IPS-6-ENGINE_BUILDING: SERVICE.HTTP - 132 signatures - 
            10 of 15 engines
    *Oct 26 02:43:37.296: %IPS-6-ENGINE_BUILD_SKIPPED: SERVICE.HTTP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILDING: ATOMIC.TCP - 11 signatures - 
            11 of 15 engines
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.TCP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILDING: ATOMIC.UDP - 9 signatures - 
            12 of 15 engines
    *Oct 26 02:43:37.316: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.UDP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.ICMP - 0 signatures - 
            13 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.ICMP - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.IPOPTIONS - 1 signatures - 
            14 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.IPOPTIONS - there are 
            no new signature definitions for this engine
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILDING: ATOMIC.L3.IP - 5 signatures - 
            15 of 15 engines
    *Oct 26 02:43:37.320: %IPS-6-ENGINE_BUILD_SKIPPED: ATOMIC.L3.IP - there are 
            no new signature definitions for this engine
    yourname#

    copy コマンドを実行すると、ルータはシグネチャ ファイルをメモリにロードし、シグネチャ エンジンを構築します。 コンソール SDEE メッセージの出力では、各シグネチャ エンジンの構築状態が表示されます。

    • %IPS-6-ENGINE_BUILD_SKIPPED は、このエンジンには新規シグネチャがないことを示しています。

    • %IPS-6-ENGINE_READY は、新規シグネチャがあり、エンジンが準備できていることを示しています。 前述のとおり、「15 of 15 engines」というメッセージは、すべてのエンジンが構築済みであることを示しています。

    • IPS-7-UNSUPPORTED_PARAM は、Cisco IOS IPS が特定のパラメータをサポートしていないことを示しています。 たとえば CapturePacket と ResetAfterIdle です。

    これらのメッセージは情報専用で、Cisco IOS IPS のシグネチャ機能やパフォーマンスへの影響はありません。 これらのログ メッセージは、ロギング レベルをデバッグ(レベル 7)より上に設定することでオフにできます。

  3. シグネチャ ロケーション コマンドで定義されている SDF を更新し、ルータのリロード時に、更新されたシグネチャと一緒にマージされたシグネチャ セットが設定されるようにします。 この例では、マージされたシグネチャを 128MB.sdf フラッシュ ファイルに保存した後のファイル サイズの差異を示しています。

    yourname#show flash:
    -#- --length-- -----date/time------ path
    4 504630 Aug 30 2005 22:58:34 +00:00 128MB.sdf
    yourname#copy ips-sdf flash:128MB.sdf
    yourname#show flash:
    -#- --length-- -----date/time------ path
    4 522656 Oct 26 2005 02:51:32 +00:00 128MB.sdf

    警告 警告: 新しい 128MB.sdf には、ユーザがマージしたシグネチャが含まれるようになりました。 内容は、シスコのデフォルトの 128MB.sdf ファイルとは異なります 混乱を避けるために、このファイルを別の名前に変更することを推奨します。 名前を変更した場合、シグネチャ ロケーション コマンドも変更する必要があります。

SDM 2.2 の手順

Cisco IOS IPS を有効にすると、Cisco SDM インポート機能を使って、シグネチャ セットを実行しているルータに新しいシグネチャを追加できます。 新しいシグネチャをインポートするには、次の手順を実行します。

  1. 追加のシグネチャをインポートするには、デフォルト SDF または IOS-Sxxx.zip 更新ファイルを選択します。

  2. [Configure] をクリックし、次に [Intrusion Prevention] をクリックします。

  3. [Edit IPS] タブをクリックし、次に [Import] をクリックします。

    /image/gif/paws/105629/ips_sdm_cli_config_11.gif

  4. [Import] ドロップダウン リストから [From PC] を選択します。

  5. シグネチャのインポート元のファイルを選択します。

    /image/gif/paws/105629/ips_sdm_cli_config_12.gif

    この例では、Cisco.com からダウンロードした最新のアップデートを、ローカルの PC ハード ディスクに保存します。

  6. [Open] をクリックします。

    警告 警告: メモリの制約があるため、すでに導入されているシグネチャに加えて、新しく追加できるシグネチャの数には制限があります。 選択したシグネチャの数が多すぎる場合、メモリ不足のため、ルータは新しいシグネチャをすべてロードできない場合があります。

    シグネチャ ファイルのロードが完了すると、[IPS Import] ダイアログボックスが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_13.gif

  7. 左のツリー ビューに移動し、インポートするシグネチャの横の [Import] チェックボックスをオンにします。

  8. [Merge] ラジオ ボタンをクリックし、次に [OK] をクリックします。

    [Replace] オプションは、ルータ上の現在のシグネチャ セットを、インポートするように選択したシグネチャに置き換えます。

    [OK] をクリックすると、Cisco SDM アプリケーションはルータにシグネチャを配布します。

    /image/gif/paws/105629/ips_sdm_cli_config_14.gif

    シグネチャのコンパイル時とロード時は、CPU の使用率が高くなります。 インターフェイスで Cisco IOS IPS を有効にすると、シグネチャ ファイルのロードが開始されます。 ルータで SDF のロードが完了するまで約 5 分かかります。 Cisco IOS ソフトウェア CLI から show process cpu コマンドを使って、CPU の使用率を表示できます。 ただし、ルータが SDF をロードしている間は、その他のコマンドや他の SDF のロードは実行しないでください。 このような操作を実行すると、シグネチャ コンパイル プロセスが完了するまでの時間が長くなります(SDF のロード時に CPU 使用率が 100 パーセントに近くなるため)。 シグネチャのリストを参照して、enabled 状態でない場合、シグネチャを有効にする必要があります。

    シグネチャの総数が 519 に増えました。 この数には、ファイル共有サブカテゴリに属している IOS-S193.zip ファイルで使用可能なすべてのシグネチャが含まれます。

    /image/gif/paws/105629/ips_sdm_cli_config_15.gif

Cisco SDM を使って Cisco IOS IPS 機能を管理する方法についてのより高度なトピックについては、次の URL の Cisco SDM ドキュメントを参照してください。

シグネチャの選択とシグネチャ カテゴリの操作

ネットワーク用に正しいシグネチャを効果的に選択する方法を決定するには、保護対象のネットワークに関していくつか知らなければならないことがあります。 Cisco SDM 2.2 以降では、更新されたシグネチャ カテゴリにより、ユーザはネットワークを保護する正しいシグネチャ セットを選択できます。

カテゴリは、シグネチャをグループ化する方法です。 これにより、シグネチャの選択を、相互に関連するシグネチャのサブセットに狭めることができます。 1 つのシグネチャは 1 カテゴリにだけ属することもあれば、複数のカテゴリに属することもあります。

上位 5 つのカテゴリを以下に示します。

  • OS — オペレーティング システムに基づくシグネチャの分類

  • 攻撃 — 攻撃に基づくシグネチャの分類

  • サービス — サービスに基づくシグネチャの分類

  • レイヤ 2~4 プロトコル — プロトコルレベルに基づくシグネチャの分類

  • リリース — リリースに基づくシグネチャの分類

上記の各カテゴリは、さらにサブカテゴリに分類されます。

たとえば、インターネットと VPN 経由で企業ネットワークへのブロードバンド接続が確立しているホーム ネットワークを考えてみましょう。 ブロードバンド ルータでは、すべての接続で、インターネットから発信されたトラフィックが接続されているホーム ネットワークへ送信されないように、インターネットへのオープン(非 VPN)接続で Cisco IOS Firewall が有効にされています。 ホーム ネットワークからインターネットへのすべてのトラフィックは許可されます。 Windows ベースの PC と、HTTP(Web ブラウジング)や電子メールなどのアプリケーションを使用するとします。

ユーザが必要とするアプリケーションだけがルータを介して通過できるように、ファイアウォールを設定します。 これにより、ネットワーク全体に広がる、不要なトラフィックや潜在的に悪意のあるトラフィックのフローが制御されます。 ホーム ユーザが特定のサービスを必要としなかったり、使用しない場合を考えてみましょう。 そのサービスがファイアウォールを通過することが許可されている場合、攻撃に使用されて脅威がネットワーク全体に及ぶおそれのある穴が潜在することになります。 ベスト プラクティスは、必要なサービスのみを許可することです。 ここでは、有効にするシグネチャを選択する方がより簡単です。 ファイアウォールを通過することを許可するサービスに対するシグネチャだけを有効にするだけですみます。 この例では、サービスには電子メールと HTTP が含まれます。 Cisco SDM はこの設定を簡略化します。

カテゴリを使って必要なシグネチャを選択するには、[Service] > [HTTP] の順に選択して、すべてのシグネチャを有効にします。 この選択プロセスは、すべての HTTP シグネチャを選択し、そのシグネチャをルータにインポートできる、シグネチャのインポート ダイアログでも動作します。

選択する必要がある追加カテゴリには、DNS、NETBIOS/SMB、HTTPS および SMTP が含まれます。

デフォルト SDF ファイルのシグネチャの更新

現在、3 つのビルドごとの SDF(attack-drop.dsf、128MB.sdf、256MB.sdf)が http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup登録ユーザ専用)の Cisco.com で公開されています。 これらのファイルの新バージョンは、使用可能になるとすぐに公開されます。 これらのデフォルトの SDF で Cisco IOS IPS を実行するルータを更新するには、Web サイトにアクセスして、これらのファイルの最新バージョンをダウンロードしてください。

CLI の手順

  1. ダウンロードしたファイルを、これらのファイルのダウンロード元としてルータで設定されている場所にコピーします。 ルータで現在設定されている場所を確認するには、show running-config | in ip ips sdf コマンドを使用します。

    Router#show running-config | in ip ips sdf
    ip ips sdf location flash://256MB.sdf autosave

    この例では、ルータは、フラッシュ上の 256MB.sdf を使用します。 このファイルは、新しくダウンロードした 256MB.sdf をルータのフラッシュにコピーすると更新されます。

  2. Cisco IOS IPS サブシステムをリロードして、新しいファイルを実行します。

    Cisco IOS IPS をリロードするには次の 2 つの方法があります。 ルータをリロードするか、IOS IPS サブシステムを再設定して、シグネチャをリロードするようトリガーすることです。 Cisco IOS IPS を再設定するには、設定済みのインターフェイスからすべての IPS ルールを削除し、インターフェイスに IPS ルールを適用し直すことです。 これにより、Cisco IOS IPS システムのリロードがトリガーされます。

SDM 2.2 の手順

ルータ上のデフォルト SDF を更新するには、次の手順を実行します。

  1. [Configure] をクリックし、次に [Intrusion Prevention] をクリックします。

  2. [Edit IPS] タブをクリックし、次に [Global Settings] タブをクリックします。

    /image/gif/paws/105629/ips_sdm_cli_config_16.gif

    UI の上部にグローバル設定が表示されます。 UI の下半分は、現在設定されている SDF の位置を示します。 この場合、フラッシュ メモリから読み込まれた 256MB.sdf ファイルが設定されています。

  3. [File] メニューから [File Management] を選択します。

    [File Management] ダイアログボックスが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_17.gif

  4. [Load file from PC] をクリックします。

    [Save File] ダイアログボックスが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_18.gif

  5. 更新が必要な SDF を選び、[Open] をクリックします。

    SDM 警告メッセージが表示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_19.gif

  6. 既存のファイルを置き換えるには、[Yes] をクリックします。

    ダイアログ ボックスが表示され、アップロードの進捗状況が示されます。

    /image/gif/paws/105629/ips_sdm_cli_config_20.gif

  7. アップロード プロセスが完了したら、SDF ロケーション ツールバーの上にある [Reload Signatures] をクリックします。 この操作により、Cisco IOS IPS がリロードされます。

    /image/gif/paws/105629/ips_sdm_cli_config_21.gif

    IOS-Sxxx.zip パッケージには、Cisco IOS IPS がサポートするすべてのシグネチャが含まれます。 このシグネチャ パッケージのアップグレードは、使用可能になり次第、Cisco.com で公開されます。 このパッケージに含まれているシグネチャをアップデートするには、手順 2 を参照してください。


関連情報


Document ID: 105629