セキュリティ : Cisco IPS 4200 シリーズ センサー

IPS 6.X 以降/IDSM2: IDM を使用したインライン インターフェイス ペア モードの設定例

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

インライン インターフェイス ペア モードの操作はそれらをもっと遅くするトラフィックフローにレイテンシーが追加されるとき侵入防御システム(IPS)を直接入れ、パケット転送レートに影響を与えます。 これはセンサーが不正侵入を停止するようにします従って意図されていたターゲットに達する前に悪意のあるトラフィックを廃棄します、従って保護サービスを提供します。 だけでなく、レイヤ3 および 4 のインライン デバイス プロセス情報ですが、またより洗練された組み込み不正侵入(7)のためのパケットのコンテンツおよびペイロードをへのレイヤ3 分析します。 このより深い分析はシステムがパススルー従来のファイアウォール デバイス不正侵入をその通常識別し、停止するようにおよび/または拒否するようにします。

インライン インターフェイス ペア モードでは、パケットはセンサーのペアの最初のインターフェイスおよびペアの第 2 インターフェイスを通って入ります。 パケットはペアの第 2 インターフェイスにそのパケットがシグニチャによって拒否されないか、または修正されれば送信 されます。

これらのモジュールが 1 つの検知インターフェイスだけ備えているのにインラインに動作するために AIM-IPS および AIP-SSM を設定できます。

組み合わせられたインターフェイスが同じスイッチに接続される場合、2 つのポートのための異なるアクセス VLAN でアクセス ポートでスイッチでそれらを設定する必要があります。 さもなければ、トラフィックはインライン インターフェイスをフローしません。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報はコマンド ライン インターフェース 6.0 および侵入防御 システム デバイス デバイス マネージャ(IDM)を 6.0 使用する Cisco IPS センサーに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この文書に記載されている情報は Intrusion Detection System (IDSM-2) サービス モジュールにまた適当です。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

インライン インターフェイスは設定を組み合わせます

インライン インターフェイス ペアを作成するためにサービス インターフェイス サブモードでインライン インターフェイス name コマンドを使用して下さい。

このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

AIP-SSM は Cisco ASA CLI とない Cisco IPS CLI からのインライン インターフェイス モードのために設定されます。

これらのオプションによって、次の設定が割り当てられます。

  • 論理的なインライン インターフェイス ペアのインライン インターフェイス name —名前

    すべてのモジュール(IDSM-2 NM-CIDS、および AIP-SSM)のインターフェイスを検知するすべてのバックプレーンで adminの状態はイネーブルになったに設定 され、保護されます(設定を変更できません)。 adminの状態はコマンドおよび制御 インタフェースに効果を(保護されます)もたらさないし。 それはインターフェイスを検知することに影響を与えます。 監視することができないのでコマンドおよび制御 インタフェースは有効に なる必要はありません。

  • default — システムデフォルト標準設定に値を設定し直します

  • description —インライン インターフェイス ペアの記述

  • interface1 interface_name —インライン インターフェイス ペアの最初のインターフェイス

  • interface2 interface_name —インライン インターフェイス ペアの第 2 インターフェイス

  • エントリまたは選択設定を取除きます

  • adminの状態{有効に なる | 無効} —インターフェイスがイネーブルまたはディセーブルであるかどうか、インターフェイスの管理上のリンク状態。

CLI 設定

センサーのインライン VLAN ペア設定を行うためにこれらのステップを完了して下さい:

  1. アドミニストレーター特権があるアカウントの CLI へのログイン。

  2. インターフェイス サブモードを入力して下さい:

    sensor#configure terminal
    sensor(config)#service interface 
    sensor(config-int)#
  3. どのインライン インターフェイスでもあるかどうか確認して下さい。 サブインターフェイス型はインライン インターフェイスが設定されない場合どれも読む必要があります:

    sensor(config-int)#show settings
       physical-interfaces (min: 0, max: 999999999, current: 2)
       -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/0 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <protected>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
    <protected entry>
          name: GigabitEthernet0/1 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/2 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/3 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: Management0/0 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <protected>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
       -----------------------------------------------
       command-control: Management0/0 <protected>
       inline-interfaces (min: 0, max: 999999999, current: 0)
       -----------------------------------------------
       -----------------------------------------------
       bypass-mode: auto <defaulted>
       interface-notifications
       -----------------------------------------------
          missed-percentage-threshold: 0 percent <defaulted>
          notification-interval: 30 seconds <defaulted>
          idle-interface-delay: 30 seconds <defaulted>
       -----------------------------------------------
    sensor(config-int)#
  4. インライン ペアを挙げて下さい:

    sensor(config-int)#inline-interfaces PAIR1
    
  5. 利用可能 な インターフェイスのリストを表示する:

    sensor(config-int)#physical-interfaces ?
    GigabitEthernet0/0     GigabitEthernet0/0 physical interface.
    GigabitEthernet0/1     GigabitEthernet0/1 physical interface.
    GigabitEthernet0/2     GigabitEthernet0/2 physical interface.
    GigabitEthernet0/3     GigabitEthernet0/3 physical interface.
    Management0/0          Management0/0 physical interface.
    sensor(config-int)#physical-interfaces
    
  6. ペアに 2 つのインターフェイスを設定して下さい:

    sensor(config-int)#interface1 GigabitEthernet0/0
    
    sensor(config-int-inl)#interface2 GigabitEthernet0/1
    

    トラフィックをモニタできる前に仮想 なセンサーにインターフェイスを割り当て、有効に して下さい。 詳細についてはステップ 10 を参照して下さい。

  7. このインターフェイスの説明を追加して下さい:

    sensor(config-int-phy)#description PAIR1 Gig0/0 and Gig0/1
    
  8. インライン インターフェイス ペアに設定したいと思う他のどのインターフェイスのためのステップ 4 〜 7 も繰り返して下さい。

  9. 設定を確認して下さい:

    sensor(config-int-inl)#show settings
       name: PAIR1
       -----------------------------------------------
          description: PAIR1 Gig0/0 & Gig0/1 default:
          interface1: GigabitEthernet0/0
          interface2: GigabitEthernet0/1
       -----------------------------------------------
  10. インターフェイス ペアに割り当てられるインターフェイスをイネーブルに設定して下さい:

    sensor(config-int)#exit
    sensor(config-int)#physical-interfaces GigabitEthernet0/0
    sensor(config-int-phy)#admin-state enabled
    sensor(config-int-phy)#exit
    sensor(config-int)#physical-interfaces GigabitEthernet0/1
    sensor(config-int-phy)#admin-state enabled
    sensor(config-int-phy)#exit
    sensor(config-int)#
  11. インターフェイスが有効に なることを確認して下さい:

    sensor(config-int)#show settings
       physical-interfaces (min: 0, max: 999999999, current: 5)
       -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/0
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: enabled default: disabled
             duplex: auto <defaulted>
             speed: auto <defaulted>
             default-vlan: 0 <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/1
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: enabled default: disabled
             duplex: auto <defaulted>
             speed: auto <defaulted>
             default-vlan: 0 <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/2 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
             description: <defaulted>
             admin-state: disabled <defaulted>
             duplex: auto <defaulted>
             speed: auto <defaulted>
             default-vlan: 0 <defaulted>
             alt-tcp-reset-interface
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
             subinterface-type
             -----------------------------------------------
                none
                -----------------------------------------------
                -----------------------------------------------
             -----------------------------------------------
          -----------------------------------------------
          <protected entry>
          name: GigabitEthernet0/3 <defaulted>
          -----------------------------------------------
             media-type: tx <protected>
    --MORE--
  12. インライン インターフェイス ペアを削除し、混合モードにインターフェイスを戻すためにこのコマンドを発行して下さい:

    sensor(config-int)#no inline-interfaces PAIR1
    

    またからインライン インターフェイス ペアをそれが割り当てられる仮想 なセンサー削除して下さい。

  13. インライン インターフェイス ペアが削除されたことを確認して下さい:

    sensor(config-int)#show settings
      -----------------------------------------------
      command-control: Management0/0 <protected>
      inline-interfaces (min: 0, max: 999999999, current: 0)
      -----------------------------------------------
      -----------------------------------------------
      bypass-mode: auto <defaulted>
      interface-notifications
      -----------------------------------------------
  14. インターフェイスコンフィギュレーション サブモードを終了して下さい:

    sensor(config-int)#exit
    Apply Changes:?[yes]:
  15. 変更を加えるか、またはそれらを廃棄するために入るために『Enter』 を押さない で下さい。

IDM 設定

IDM を使用してセンサーのインライン VLAN ペア設定を行うためにこれらのステップを完了して下さい:

  1. ブラウザを開き、IPS の IDM にアクセスするために https:// <Management_IP_Address_of_IPS> を入力して下さい。

  2. IDM ランチャーを『Download』 をクリック し、アプリケーションのためのインストーラをダウンロードし IDM を始めて下さい

  3. ホスト名、IP アドレス、バージョンおよびモデルのようなデバイス情報を表示するために Home ページに行って下さい。

    ips5x-inline-mode-config-01.gif

  4. 設定 > センサー セットアップに進み、ネットワークをクリックして下さい。 ホスト名、IP アドレスおよびデフォルト ルートを規定できます。

    ips5x-inline-mode-config-02.gif

  5. 設定 > インターフェイスコンフィギュレーションに行き、概略をクリックして下さい。

    このページは検知インターフェイスの設定 の 要約を表示します:

    ips5x-inline-mode-config-03.gif

  6. 設定 > インターフェイスコンフィギュレーション > インターフェイスに行き、インターフェイス名を選択して下さい。 それから、検知インターフェイスをイネーブルに設定するために『Enable』 をクリック して下さい。 また、二重、速度および VLAN 情報を設定して下さい。

    ips5x-inline-mode-config-04.gif

  7. 設定 > インターフェイスコンフィギュレーション > インターフェイス ペアに行き、インライン ペアを作成するために『Add』 をクリック して下さい。

    ips5x-inline-mode-config-05.gif

  8. インライン ペア設定の概略を表示し、加えて下さい。

    ips5x-inline-mode-config-06.gif

  9. > 仮想 なセンサーは設定 > 分析 エンジンに行き、新しく仮想 なセンサーを作成するために『Edit』 をクリック します。

    ips5x-inline-mode-config-07.gif

  10. インライン仮想 なセンサー vs0 にインライン ペアを割り当てて下さい。

    ips5x-inline-mode-config-08.gif

  11. 割り当てられた仮想 なセンサー情報の概略を表示して下さい。

    ips5x-inline-mode-config-09.gif

インライン モードの IDSM-2 のためのスイッチを設定して下さい

IDSM-2 の IDSM-2 インライン モードのためのスイッチを設定するために設定インライン モードセクションの IDSM-2 のための Catalystシリーズ 6500 スイッチの設定を参照して下さい。

トラブルシューティング

問題

IPS が失敗した、インラインに設定されたら、開いたインターフェイス失敗を(トラフィックは渡り続けます)または閉じられるして下さい(トラフィックは廃棄されます)。

解決策

故障する開いた状態の IPS を設定できます。 従って、IPS が失敗したトラフィックを通過させ続けますがモニタしませんトラフィックを。


関連情報


Document ID: 107540