セキュリティ : Cisco 侵入防御システム

Cisco IPS 自動シグニチャ アップデートの機能の動作の説明

2013 年 11 月 4 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2012 年 8 月 17 日) | フィードバック


目次


概要

この資料は Cisco 侵入防御システム(IPS)自動更新機能およびオペレーションの外観を提供したものです。

IPS 自動アップデート 機能は IPS バージョン 6.1 で導入され、規則的にスケジュールされた間隔の IPS シグニチャをアップデートする簡単な方法を管理者に与えます。

注: Cisco TAC エンジニアによって貢献される。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • シグニチャアップデートは有効な Cisco Services for IPS サブスクリプションおよびライセンスキーを必要とします。 https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet に行き、ライセンスキーに適用するために IPS シグニチャ サブスクリプション サービスをクリックして下さい。

  • アクティブな Cisco Services for IPS サブスクリプションと関連付けられる Cisco.com (CCO)ユーザアカウント。

  • 暗号ソフトウェアをダウンロードする特権。 アクセスできるかどうか確認するために http://tools.cisco.com/legal/k9/controller/do/k9Check.x?eind=Y に行って下さい。

使用するコンポーネント

この文書に記載されている情報は IPS バージョン 6.1 および それ 以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク要求

  1. IPS のコマンドおよび制御 インタフェースは HTTPS (TCP 443)およびを使用してインターネットにダイレクトアクセスを HTTP (80) TCP 必要とします。

  2. ルータおよびファイアウォールのようなエッジ・ デバイスのネットワーク アドレス変換(NAT)およびアクセス コントロール リスト(ACL)は IPS 接続 インターネットへ設定された割り当てである必要があります。

  3. すべてのコンテンツ フィルターおよびネットワークトラフィック シェーパーからコマンドおよび制御 インタフェース IP アドレスを除外して下さい。

  4. 7.2(1) FIPS/CC によって証明されるリリースの自動更新機能サポート プロキシサーバ。 他の 6.x および 7.x ソフトウェア リリースはすべて現時点でプロキシサーバを通して自動更新をサポートしません。 7.2(1) リリースはデフォルト SSH および HTTPS 設定へのいくつかの変更が含まれています。 7.2(1) にアップグレードする前に Cisco 侵入防御システム 7.2(1)E4 に関するリリース ノートを参照して下さい。

シグニチャ自動アップデートプロセス

これはプロセスです:

ips-automatic-signature-update-01.gif

  1. IPS は HTTPS (443) TCP を使用して 72.163.4.161 で Auto Update Server に認証します。

  2. IPS は Auto Update Server に明らかなプラットフォーム ID および Cisco IPS センサーの信頼性を確認するのにサーバが使用する暗号化された共有秘密が含まれているクライアントを差し向けます。

  3. 認証されて、アップデート サーバは明らかなサーバと応答しますプラットフォーム ID によって関連付けられるダウンロード ファイルオプションのリストが含まれている。 ここに含まれているデータは更新バージョン、ダウンロード サイトおよびサポートされたファイル 転送 プロトコルに関連情報が含まれています。 このデータに基づいて、IPS オート更新ロジックはダウンロード オプションのうちのどれかが有効でした、ダウンロードに選択しますかどうか最もよい更新プログラム パッケージを確認します。 ダウンロードの準備で、サーバはアップデート ファイルを復号化するのに使用されるべき一組のキーを IPS に与えます。

  4. IPS は明らかなサーバで識別されるダウンロード サーバに新しい接続を確立します。 ダウンロード サーバのIPアドレスは変わります、位置に依存している。 IPS は明らかなサーバで学ばれるファイルのダウンロード データ URL で定義されるファイル 転送 プロトコルを使用します(現在使用 HTTP (80) TCP)。

  5. IPS は更新プログラム パッケージを復号化するのに以前にダウンロードされたキーを使用し、次にセンサーに署名 ファイルを加えます。

設定

自動更新機能は IPS デバイスマネージャ(IDM)または Express (IME) IPS マネージャから設定することができます。 次の手順を実行します。

  1. IDM/IME から、> センサー管理 > 自動/Cisco.com アップデート 『Configuration』 を選択 して下さい

    ips-automatic-signature-update-02.gif

  2. イネーブル シグニチャおよびエンジン更新を右側のペインの Cisco.com チェックボックスから選択し、設定 ペインを廃棄するためにブルー Cisco.com サーバ設定タイトルをクリックして下さい。

  3. CCO ユーザ名 および パスワードを入力して下さい。

    注: Cisco.com URL を変更しないで下さい。 それはデフォルト設定から変更される必要があるべきではありません。

    URL はこのようになる必要があります:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    注: URL を編集しないで下さい。 //は計画的、ない誤植です。 IP アドレスをです上でと同じ確認して下さい。

    ips-automatic-signature-update-03.gif

  4. シグニチャアップデートをスケジュールするために開始時刻および周波数を設定して下さい。 この例では、時間は 23:15:00 に設定 されます。 周波数は一時間毎にサポートするために設定することができますまたは毎日アップデートは試みます。 コンフィギュレーション変更を加えるために『Apply』 をクリック して下さい。

    注: 時間、たとえば、8:00、13:00 および 15:00 の上にないランダム時間にそれを設定 することを推奨します。

    ips-automatic-signature-update-04.gif

  5. 正常に完了するオート アップデートがこの例に見られるように IPS CLI から show statistics host コマンドを入力することを確認するため:

    IPS# show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

警告

いくつかのシグニチャアップデートは IPS がソフトウェア バイパス・ モードに入ることができる間に正規表現 表がリコンパイルされるように要求します。 トラフィックがインスペクションなしでインライン インターフェイスおよびインライン VLAN ペアをフローするようにする自動にバイパス・ モードが設定されているとインライン センサーに関しては分析 エンジンはバイパスされます。 バイパス・ モードが消える場合、インライン センサーはアップデートが適用している間、トラフィックを通過させることを止めます。

トラブルシューティング

オート シグニチャアップデートの正しい設定の後で、一般に見つけられた問題を特定し、解決するためにこれらのステップを完了して下さい:

  1. AIM および IDSM を除くすべての IPS アプライアンスおよびモジュールに関しては、コマンドはおよび制御 インタフェースは有効 な IP アドレス/サブネット マスク/ゲートウェイが割り当てられるローカルネットワークに接続されインターネットに IP到達性があるようにして下さい。 AIM および IDSM モジュールに関しては、virtual コマンドおよび制御 インタフェースは設定で定義されたように利用されます。 CLI からのインターフェイスの動作状態を確認するために、この show コマンドを入力して下さい:

    IPS# show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. CCOユーザアカウントにシグニチャアップデート パッケージをダウンロードする必要な特権があるかどうか検証するためにこの同じ CCO アカウントの Cisco.com に Webブラウザおよびログインを開いて下さい。 認証される、手動で最新の IPS シグニチャ パッケージをダウンロードして下さい。 手動でパッケージをダウンロードする不可能は有効な Cisco Services for IPS サブスクリプションがユーザアカウントのアソシエーションの欠如が多分原因です。 さらに、CCO の security software へのアクセスは年次暗号化/エクスポート協定を受け入れた許可されたユーザに制限 されます。 この協定を承認する失敗は既知ずっと IDM/IME/CSM からシグニチャ ダウンロードを防ぐためにです。 この協定が受け入れられたかどうか確かめるために、同じ CCO アカウントの Cisco.com にブラウザおよびログインを開いて下さい。 認証される、手動で K9 featureset が付いている Cisco IOS ® ソフトウエアパッケージをダウンロードするように試みて下さい。

  3. インターネット バインドされたトラフィック(すべてのバージョンを除く 7.2(1))のためのプロキシがあるかどうか確認して下さい。 コマンドおよびコントロール ポートからのトラフィックがこのプロキシを通過する場合、オート アップデート 機能は動作しません。 コマンドおよびコントロール ポート トラフィックがプロキシによってフィルタリングされない再構成し、再度テストして下さいようにネットワークを。

  4. パスに沿うコンテンツフィルタリングまたはトラフィック・ シェーピング アプリケーションまたはアプライアンスがインターネットへあるかどうか確認して下さい。 もしあれば、コマンドおよび制御 インタフェースの IP アドレスが制約事項なしでインターネットにアクセスするように除外を設定して下さい。

  5. ICMP トラフィックがインターネットの方に許可される場合、IPS センサーの CLI を開き、パブリックIPアドレスを ping することを試みて下さい。 このテストが必要なルーティングおよび NAT ルールが(もし使用するならことを)正しく設定されればかどうか確認するのに使用することができます。 ICMP テストが成功したらけれどもオート更新が失敗し続けたらようにパス割り当てに沿うルータおよびファイアウォールのようなネットワークデバイス IPS コマンドおよび制御 インタフェース IP からの HTTPS および HTTP セッションして下さい。 たとえば、コマンドおよび制御 IP アドレスが 10.1.1.1 なら、ASA ファイアウォールの簡単な ACL項目はこの例のように見えることができます:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. CCO ユーザ名は@特殊文字を、たとえば含まれていない、はずです。 詳細については Cisco バグ ID CSCsq30139登録 ユーザだけ)を参照して下さい。

  7. シグニチャ自動アップデート障害が診断されるとき、HTTP エラー コードを検知 して下さい。

    IPS# show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    メッセージ 意味
    Error: AutoUpdate 例外: HTTP接続は [1,110] 失敗しました 認証は失敗しました。 ユーザ名 および パスワードをチェックして下さい。
    status=false AutoUpdate 例外: レシーブ HTTP応答は [3,212] 失敗しました 時間を計られる Auto Update Server への要求。
    Error: HTTP エラー応答: 400 Cisco URL 設定がディフォルトされることを確かめて下さい。 CCO ID が長さが 32 文字より大きい場合、別の CCO ID を試みて下さい。 これは Cisco ダウンロード サーバの制限である場合もあります。
    Error: AutoUpdate 例外: HTTP接続は [1,0] 失敗しました ネットワーク上の問題はダウンロードを防ぎましたまたはダウンロード サーバにおいての潜在的な問題があります。

次の機能拡張

これらは機能拡張です:

  • Cisco バグ ID CSCsv89560登録 ユーザだけ) — ENH - IDS: 自動/Cisco.com アップデート 機能のためのプロキシ サポートを追加して下さい。

  • Cisco バグ ID CSCtg94422登録 ユーザだけ) — IPS: シグニチャのための即時 AutoUpdate を許可する CLI の Add コマンド

  • Cisco バグ ID CSCuf81644登録 ユーザだけ) —自動アップデート問題についてのより多くの詳細を提供する CLI コマンドを追加して下さい

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113674