セキュリティ : Cisco IPS Sensor Software Version 7.1

Cisco IPS 自動シグニチャ アップデートの機能の動作の説明

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco 侵入防御システム(IPS)自動更新機能およびオペレーションの外観を提供したものです。

IPS 自動アップデート 機能は IPS バージョン 6.1 で導入され、規則的にスケジュールされた間隔の IPS シグニチャをアップデートする簡単な方法を管理者に与えます。 

著者:Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • シグニチャアップデートは有効な Cisco Services for IPS サブスクリプションおよびライセンスキーを必要とします。 https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet に行き、ライセンスキーに適用するために IPS シグニチャ サブスクリプション サービスをクリックして下さい。 

  • アクティブな Cisco Services for IPS サブスクリプションと関連付けられる Cisco.com (CCO)ユーザアカウント。

  • 暗号ソフトウェアをダウンロードする特権。 次のように行って下さい。 http://tools.cisco.com/legal/k9/controller/do/k9Check.x?eind=Y アクセスできるかどうか確認するため。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • Cisco IPS バージョン 6.1 および それ 以降

  • Cisco IPS バージョン 7.2(1)のための特定の機能、7.3(1)、およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。 

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ネットワーク要求

  1. IPS のコマンドおよび制御 インタフェースは HTTPS (TCP 443)およびを使用してインターネットにダイレクトアクセスを HTTP (80) TCP 必要とします。

  2. ルータおよびファイアウォールのようなエッジ デバイスのネットワーク アドレス変換(NAT)およびアクセス コントロール リスト(ACL)は IPS 接続設定された割り当てインターネットへのである必要があります。

  3. すべてのコンテンツ フィルターおよびネットワークトラフィック シェーパーからコマンドおよび制御 インタフェース IP アドレスを除外して下さい。

  4. 7.2(1) FIPS/CC によって証明されるリリースの自動更新機能サポート プロキシサーバ。 他の 6.x および 7.x ソフトウェア リリースはすべて現時点でプロキシサーバを通して自動更新をサポートしません。 7.2(1) リリースはデフォルト セキュア シェル(SSH)および HTTPS 設定へのいくつかの変更が含まれています。 7.2(1) にアップグレードする前に Cisco 侵入防御システム 7.2(1)E4 に関するリリース ノートを参照して下さい。

警告: Cisco IPS バージョン 7.0(8)E4 では、Cisco サーバのIPアドレスのデフォルト値は 198.133.219.25 からオート アップデート URL 設定の 72.163.4.161 に変更されます。 センサーが自動更新のために設定される場合、センサーが新しい IP アドレスに接続するようにファイアウォール ルールをアップデートする必要があるかもしれません。 Cisco IPS バージョン 7.2 および それ 以降に関しては、ハードコードされた自動アップデート サーバのIPアドレスはネームド 完全修飾ドメイン名 (FQDN)およびドメイン ネーム システム(DNS)参照と取り替えられます。 その他の情報に関してはこの資料のコンフィギュレーションセクションを参照して下さい。

警告をバイパスして下さい

いくつかのシグニチャアップデートは IPS がソフトウェア バイパス モードに入ることができる間に正規表現 表がリコンパイルされるように要求します。 自動にバイパス モードが設定されているとインライン センサーに関しては分析 エンジンはバイパスされインスペクションなしでインライン インターフェイスおよびインライン VLAN ペアをフローするようにトラフィックがします。  バイパス モードがに設定 される場合、インライン センサーはアップデートが適用している間、トラフィックを通過させることを止めます。

シグニチャ自動アップデートプロセス 

 

  1. IPS は HTTPS (443) TCP を使用して 72.163.4.161 で Auto Update Server に認証します。

  2. IPS は Auto Update Server に明らかなプラットフォーム ID および Cisco IPS センサーの信頼性を確認するのにサーバが使用する暗号化された共有秘密が含まれているクライアントを差し向けます。

  3. 認証されて、アップデート サーバは明らかなサーバと応答しますプラットフォーム ID によって関連付けられるダウンロード ファイルオプションのリストが含まれている。 ここに含まれているデータは更新バージョン、ダウンロード サイトおよびサポートされたファイル 転送 プロトコルに関連情報が含まれています。 このデータに基づいて、IPS オート更新ロジックはダウンロード オプションのうちのどれかが有効でした、ダウンロードに選択しますかどうか最もよい更新プログラム パッケージを確認します。 ダウンロードの準備で、サーバはアップデート ファイルを復号化するのに使用されるべき一組のキーを IPS に与えます。

  4. IPS は明らかなサーバで識別されるダウンロード サーバに新しい接続を確立します。 ダウンロード サーバのIPアドレスは変わります、位置に依存している。 IPS は明らかなサーバで学ばれるファイルのダウンロード データ URL で定義されるファイル 転送 プロトコルを使用します(現在使用 HTTP (80) TCP)。

  5. IPS は更新プログラム パッケージを復号化するのに以前にダウンロードされたキーを使用し、次にセンサーに署名 ファイルを加えます。

設定

基本的なシグニチャ自動アップデート 設定

自動更新機能は IPS デバイスマネージャ(IDM)または Express (IME) IPS マネージャから設定することができます。 次の手順を実行します。

  1. IDM/IME から、> センサー管理 > 自動/Cisco.com アップデート 『Configuration』 を選択 して下さい



  2. イネーブル シグニチャおよびエンジン更新を右側のペインの Cisco.com チェックボックスから選択し、設定 ペインを廃棄するためにブルー Cisco.com サーバ設定タイトルをクリックして下さい。

  3. CCO ユーザ名 および パスワードを入力して下さい。

    Cisco IPS バージョン 7.0(8) および 7.1(6)のための例 URL はここにあります:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl

    Cisco IPS バージョン 7.2(1)のための例 URL は、7.3(1)、およびそれ以降ここにあります:

    https://www.cisco.com//cgi-bin/front.x/ida/locator/locator.pl

    : Cisco.com URL を変更しないで下さい。 それはデフォルト設定から変更される必要があるべきではありません。 //は計画的、ない誤植です。 Cisco IPS バージョン 7.2(1)では、7.3(1) は、およびそれ以降、センサー インターネット ルーティング可能IPアドレスに www.cisco.com URL を解決するためにセンサー ネットワークコンフィギュレーションで定義される DNSサーバを問い合わせます。



  4. シグニチャアップデートをスケジュールするために開始時刻および周波数を設定して下さい。 時間の上にないランダム時間に開始時刻を設定 することを推奨します。  この例では、時間は 23:15:00 に設定 されます。  周波数は一時間毎にサポートするために設定することができますまたは毎日アップデートは試みます。 コンフィギュレーション変更を加えるために『Apply』 をクリック して下さい



シグニチャ自動更新機能拡張

自動アップデート 機能への多くの改善は Cisco IPS バージョン 7.2(1) および それ 以降に含まれています。 追加 の セキュリティ改善はまた Cisco IPS バージョン 7.3(2) および それ 以降に追加されます。  その他の情報に関してはこのセクションに説明がある設定 オプションを参照して下さい。

機能を今アップデートして下さい

Cisco IPS バージョン 7.2(1)は管理者がシグニチャ自動アップデートをすぐに始めることを可能にする IPS GUI および CLI に新しい機能をもたらしました発生する予定された時間を待つ必要性をバイパスする。

自動更新をバイパスするためにすぐにスケジュールし、アップデートし、IDM/IME にナビゲート し、> センサー管理 > 自動/Cisco.com アップデート 『Configuration』 を選択 して下さい。 自動更新が正しく設定および適用される限り、アップデート試みを引き起こすために画面の右上隅の UpdateNow ボタンをクリックできます。

またセンサー CLI にアップデート試みを引き起こすために autoupdatenow コマンドを入力できます。 次に例を示します。

SSP-60# autoupdatenow
Warning: Executing this command will perform an auto-upgrade on the sensor immediately.
Before executing this command, you must have a valid license to apply the Signature
AutoUpdates and auto-upgrade settings configured.After executing this command please
disable user-server/cisco-server inside 'auto-upgrade' settings, if you don't want
scheduled auto-updates
Continue? []: yes
Automatic Update for the sensor has been executed.Use 'show statistics host' command
to check the result of auto-update.Please disable user-server/cisco-server in
auto-upgrade settings, if you don't want scheduled auto-updates

インターネット プロキシによる自動更新

自動更新をインターネット プロキシによって引き起こすために、IDM/IME にナビゲート し、> 設定されるセンサー > ネットワーク 『Configuration』 を選択 して下さい。 DNS および(オプションで) HTTP プロキシサーバ IP アドレスおよびポートを入力して下さい:

信頼されたルート 認証を検証して下さい

Cisco IPS バージョン 7.3(2)はアップデートがダウンロードされるとき IPS のための機能をアップデータ サーバの原証明 チェーンを検証するもたらしました。 有効に されてこの機能が IPS は証明書 チェーンの原証明がたとえば信頼されたルート CA.によって署名するかどうか、Cisco サーバからのシグニチャアップデート プロセスで得られ、グローバル な相関サーバが検証される TLS 原証明検証します。 この機能は Cisco IPS バージョン 7.3(2)で現在デフォルトでディセーブルにされます; ただし、それは将来のリリースでデフォルトで有効に なるかもしれません。  IPS を読みます私を詳細についてはファイル参照して下さい。

ローカル信頼できる証明書 ストアを表示して下さい

IPS バージョン 7.3(2) および それ 以降のインストール済み信頼されたルート 認証の現在のリストを表示するために、設定 > センサー管理 > 認証 > 信頼されたルート 認証にナビゲート します:

イネーブル厳密な TLS サーバ証明 検証

厳密な TLS サーバ 検証 機能を有効に するためにこれらのステップを完了して下さい:

  1. 設定される設定 > センサーへのナビゲート > ネットワーク

  2. HTTP を拡張して下さい、SSH、CLI 及びその他のオプション廃棄メニュー FTP して下さい、Telnet で接続して下さい

  3. イネーブル厳密な TLS サーバ検証チェック チェック ボックスをチェックして下さい。

  4. センサーに設定を適用するために『Apply』 をクリック して下さい。 

ローカル信頼できる証明書 ストアへの追加して下さい/アップデート 原証明

認証がアップデータ サーバで切れると同時に、Cisco は GeoTrust および Thawte 以外原証明 チェーンを使用する権限を所有します。 更新済認証が電流 IPS ソフトウェア イメージにない場合、更新済原証明 チェーンはセンサーのローカル信頼できる証明書 ストアに手動でインストールすることができます。 DER 符号化形式 認証はファイルサーバで置かれ、センサーによって SCP か HTTPS によって取得することができます。 次 の 例は認証インストール/アップデートプロセスを示すために SCP を使用します。

  1. IDM/IME から、設定 > センサー管理 > SSH へのナビゲート > 既知ホスト RSA キー

  2. SCP サーバの IP アドレスを『Add』 をクリック し、入力して下さい。

  3. センサーをサーバから公開キーを取得してもらうためにホストキーを自動的に『Retrieve』 をクリック して下さい。

  4. 二度『OK』 をクリック し、次にセンサーに設定を適用するために適用して下さい。 

    : 警告は SCP サーバによって示されるキーサイズが 2,048 ビットより小さい場合現われます。



  5. 既知ホスト表にキーを追加既知ホスト RSA キー 画面に戻るために追加するためにまたは『Yes』 をクリック しない で下さい。



  6. 設定 > センサー管理 > 信頼されたルート 認証へのナビゲート。

  7. 『Add』 をクリック して下さい SCP サーバから新しい DER 符号化形式 証明書ファイルを追加するために/アップデート。 証明書ファイルがサーバで SSH によってリモート検索のために利用可能事前に配置されるようにすれば。

  8. SCP をプロトコルとして選択し、URL、ユーザ名およびパスワードを入力して下さい。

  9. 認証 ファイル転送およびインストールを始めるために『OK』 をクリック して下さい。

  10. 認証を IPS ローカル信頼されたルートストアに追加し、次に OK 終了するために『Yes』 をクリック して下さい。



確認

IDM/IME から、> センサー管理 > 自動/Cisco.com アップデート 『Configuration』 を選択 して下さい 最後のダウンロード試みのステータスを検討するために AutoUpdate ヒント セクションを拡張して下さい。  AutoUpdate ヒント データをリフレッシュするために Refreshin 順序をクリックして下さい

自動アップデートプロセスのステータスを CLI によって確認するために、show statistics host コマンドを入力して下さい:

IPS# show statistics host
<Output truncated>
Auto Update Statistics
lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
= Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
= Success
lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
= Download: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
IPS-sig-S654-req-E4.pkg
= Success
nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
= Success
<Output truncated>

IDM/IME から、ライセンス ステータスおよび現在インストール済みシグニチャ バージョンを表示するためにホーム ダッシュボードの認可小道具を参照して下さい。 同じ情報は show version コマンドで CLI によって得ることができます。

SSP-60# show version
Application Partition:

Cisco Intrusion Prevention System, Version 7.3(2)E4

Host:
Realm Keys key1.0
Signature Definition:
Signature Update S805.0 2014-06-03
Threat Profile Version 7
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS60
Serial Number: JAF1527CPNK
Licensed, expires: 21-Jun-2014 UTC
Sensor up-time is 39 days.
Using 46548M out of 48259M bytes of available memory (96% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 86.6M out of 377.5M bytes of available disk space (24% usage)
boot is using 63.4M out of 70.5M bytes of available disk space (95% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)

MainApp C-2014_04_14_22_11_7_3_1_48 (Release) 2014-04-14T22:15:32-0500
Running
AnalysisEngine C-2014_04_14_22_11_7_3_1_48 (Release) 2014-04-14T22:15:32-0500
Running
CollaborationApp C-2014_04_14_22_11_7_3_1_48 (Release) 2014-04-14T22:15:32-0500
Running
CLI C-2014_04_14_22_11_7_3_1_48 (Release) 2014-04-14T22:15:32-0500

Upgrade History:

* IPS-sig-S802-req-E4 16:07:23 UTC Thu May 29 2014
IPS-sig-S805-req-E4.pkg 16:18:51 UTC Mon Jun 09 2014

Recovery Partition Version 1.1 - 7.3(2)E4

Host Certificate Valid from: 15-Jul-2013 to 16-Jul-2015

トラブルシューティング

オート シグニチャアップデートの正しい設定の後で、一般に見つけられた問題を特定し、解決するためにこれらのステップを完了して下さい:

  1. AIM および IDSM を除くすべての IPS アプライアンスおよびモジュールに関しては、コマンドはおよび制御 インタフェースは有効 な IP アドレス/サブネット マスク/ゲートウェイが割り当てられるローカルネットワークに接続されインターネットに IP到達性があるようにして下さい。 AIM および IDSM モジュールに関しては、virtual コマンドおよび制御 インタフェースは設定で定義されたように利用されます。 CLI からのインターフェイスの動作状態を確認するために、この表示コマンドを入力して下さい:

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
    Interface function = Command-control interface
    Description = Media Type = TX
    Default Vlan = 0
    Link Status = Up <---
    <Output truncated>


  2. CCOユーザアカウントにシグニチャアップデート パッケージをダウンロードする必要な特権があるかどうか検証するためにこの同じ CCO アカウントの Cisco.com に Webブラウザおよびログインを開いて下さい。 認証される、手動で最新の IPS シグニチャ パッケージをダウンロードして下さい。 手動でパッケージをダウンロードする不可能は有効な Cisco Services for IPS サブスクリプションがユーザアカウントのアソシエーションの欠如が多分原因です。 さらに、CCO の security software へのアクセスは年次暗号化/エクスポート協定を受け入れた許可されたユーザに制限 されます。 この協定を承認する失敗は既知ずっと IDM/IME/CSM からシグニチャ ダウンロードを防ぐためにです。 この協定が受け入れられたかどうか確かめるために、同じ CCO アカウントの Cisco.com にブラウザおよびログインを開いて下さい。 認証される、手動で Cisco IOS をダウンロードするように試みて下さいか。 K9 機能セットのソフトウエアパッケージ。

  3. インターネット バインドされたトラフィック(7.2(1) およびそれ以降を除くすべてのバージョン)のためのプロキシがあるかどうか確認して下さい。 コマンドおよびコントロール ポートからのトラフィックがこのプロキシを通過する場合、オート アップデート 機能は動作しません。 コマンドおよびコントロール ポート トラフィックがプロキシによってフィルタリングされない再構成し、再度テストして下さいようにネットワークを。

  4. バージョン 7.2 または 7.3 ソフトウェアを実行するセンサーに関しては 1つ以上の DNSサーバが設定されるように、して下さい。 センサーがインターネット ルーティング可能IPアドレスに www.cisco.com アップデータ FQDN を解決できるようにこれが必要となります。

  5. パスにコンテンツフィルタリングまたはトラフィック シェーピング アプリケーションまたはアプライアンスがインターネットへあるかどうか確認して下さい。 もしあれば、コマンドおよび制御 インタフェースの IP アドレスが制約事項なしでインターネットにアクセスするように除外を設定して下さい。

  6. ICMP トラフィックがインターネットの方に許可される場合、IPS センサーの CLI を開き、パブリックIPアドレスを ping することを試みて下さい。

    このテストが必要なルーティングおよび NAT ルールが(もし使用するならことを)正しく設定されればかどうか確認するのに使用することができます。 ICMP テストが成功したらけれどもオート更新が失敗し続けたらようにパス割り当てに沿うルータおよびファイアウォールのようなネットワークデバイス IPS コマンドおよび制御 インタフェース IP からの HTTPS および HTTP セッションして下さい。 たとえば、コマンドおよび制御 IP アドレスが 10.1.1.1 なら、ASA ファイアウォールの簡単な ACL項目はこの例のように見えることができます:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https


  7. CCO ユーザ名は@特殊文字を、たとえば含まれていない、はずです。 詳細については Cisco バグ ID CSCsq30139 を参照して下さい。

  8. シグニチャ自動アップデート障害が発生するとき、関連する HTTP エラー コードを一致するために次の表を使用して下さい。

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110] <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
メッセージ意味
Error: AutoUpdate exception: HTTP接続は [1,110] 失敗しました認証は失敗しました。 ユーザ名 および パスワードをチェックして下さい。
status=false AutoUpdate 例外: レシーブ HTTP応答は [3,212] 失敗しました時間を計られる Auto Update Server への要求。
Error: http error response: 400Cisco URL 設定がディフォルトされることを確かめて下さい。 CCO ID が長さが 32 文字より大きい場合、別の CCO ID を試みて下さい。 これは Cisco ダウンロード サーバの制限である場合もあります。
Error: AutoUpdate exception: HTTP接続は [1,0] 失敗しましたネットワーク上の問題はダウンロードを防ぎましたまたはダウンロード サーバにおいての潜在的な問題があります。


Document ID: 113674