セキュリティ : Cisco 侵入防御システム

Cisco IPS 自動シグニチャアップデート 機能がどのように動作するかについて

2013 年 2 月 10 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2012 年 8 月 17 日) | フィードバック


目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
ネットワーク要求
シグニチャ自動アップデートプロセス
設定
警告
トラブルシューティング
次の機能拡張
Cisco サポート コミュニティ - 特集対話
関連情報

概要

この資料は Cisco 侵入防御 システム(IPS)自動更新機能およびオペレーションの外観を提供したものです。

IPS 自動アップデート 機能は IPS バージョン 6.1 で導入され、規則的にスケジュールされた間隔の IPS シグニチャをアップデートする簡単な方法を管理者に与えます。

注: この資料のコンテンツはジャスティン Taliaferro、タッド プーラおよび SID Chandrachud によって、Cisco TAC エンジニア作成されました。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • シグニチャアップデートは IPS サブスクリプションおよびライセンスキーのために有効な Ciscoサービスを必要とします。 https://tools.cisco.com/SWIFT/Licensing/PrivateRegistrationServlet に行き、ライセンスキーに適用するために IPS シグニチャ サブスクリプション サービスをクリックして下さい。

  • と IPS サブスクリプションのためのアクティブな Ciscoサービス関連付けられる Cisco.com (CCO)ユーザアカウント

  • 暗号ソフトウェアをダウンロードする特権。 アクセスできるかどうか確認するために http://tools.cisco.com/legal/k9/controller/do/k9Check.x?eind=Y に行って下さい。

使用するコンポーネント

この文書に記載されている情報は IPS バージョン 6.1 および それ 以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク要求

  1. IPS のコマンドおよび制御 インタフェースは HTTPS (TCP 443)およびを使用してインターネットにダイレクトアクセスを HTTP (80) TCP 必要とします。

  2. ルータおよびファイアウォールのようなエッジ・ デバイスのネットワーク・アドレス 変換 (NAT)およびアクセスコントロール アクセス・コントロール・リスト(ACL)は IPS 接続設定された割り当てインターネットへのである必要があります。

  3. すべてのコンテンツ フィルターおよびネットワークトラフィック シェーパーからコマンドおよび制御 インタフェース IP アドレスを除外して下さい。

  4. 自動更新機能はプロキシサーバを通して接続をサポートしません。

シグニチャ自動アップデートプロセス

これはプロセスです:

ips-automatic-signature-update-01.gif

  1. IPS は 198.133.219.25 (pre-7.0.8)または 72.163.4.161 (7.0.8 およびそれ以降)で Auto Update Server に HTTPS (443) TCP を使用して認証します。

  2. IPS はプラットフォーム ID および Cisco IPS センサーの信頼性を確認するのにサーバが使用する暗号化された共有秘密を含む Auto Update Server に明らかなクライアントを差し向けます。

  3. 認証されて、アップデート サーバは明らかなサーバと応答しまプラットフォーム ID によって関連付けられるダウンロード ファイルオプションのリストが含まれています。 ここに含まれているデータは更新バージョン、ダウンロード サイトおよびサポートされたファイル 転送 プロトコルに関連情報が含まれています。 このデータに基づいて、IPS オート更新ロジックはダウンロード オプションのうちのどれかが有効でした、ダウンロードに選択しますかどうか最もよい更新プログラム パッケージを確認します。 ダウンロードの準備で、サーバはアップデート ファイルを復号化するのに使用されるべき一組のキーを IPS に与えます。

  4. IPS は明らかなサーバで識別されるダウンロード サーバに新しい接続を確立します。 ダウンロード サーバのIPアドレスは変わります、位置に依存している。

  5. IPS は明らかなサーバで学ばれるファイルのダウンロード データ URL で定義されるファイル 転送 プロトコルを使用します(現在使用 HTTP (80) TCP)。 IPS は更新プログラム パッケージを復号化するのに以前にダウンロードされたキーを使用し、次にセンサーに署名 ファイルを加えます。

設定

自動更新機能は IPS デバイスマネージャ(IDM)または Express (IME) IPS マネージャから設定することができます。 次の手順を実行します。

  1. IDM/IME から、> センサー管理 > 自動/Cisco.com アップデート 『Configuration』 を選択 して下さい

    ips-automatic-signature-update-02.gif

  2. イネーブル シグニチャおよびエンジン更新を右側のペインの Cisco.com チェックボックスから選択し、設定 ペインを廃棄するためにブルー Cisco.com サーバ設定タイトルをクリックして下さい。

  3. CCO ユーザ名 および パスワードを入力して下さい。

    注: Cisco.com URL を変更しないで下さい。 それはデフォルト設定から変更される必要があるべきではありません。

    7.0(8) 前に、それはこのようになる必要があります:

    https://198.133.219.25//cgi-bin/front.x/ida/locator/locator.pl
    

    7.0(8) および 7.1(5) からおよびそれ以降、それはこのようになる必要があります:

    https://72.163.4.161//cgi-bin/front.x/ida/locator/locator.pl
    

    注: URL を編集しないで下さい。 //は計画的、ないタイプエラーです。

    ips-automatic-signature-update-03.gif

  4. シグニチャアップデートをスケジュールするために開始時刻および周波数を設定して下さい。 この例では、時間は 23:15:00 に設定 されます。 周波数は一時間毎にサポートするために設定することができますまたは毎日アップデートは試みます。 それからコンフィギュレーション変更を加えるために『Apply』 をクリック して下さい。

    注: 時間、たとえば、8:00、13:00 および 15:00 の上にないランダム時間にそれを設定 することを推奨します。

    ips-automatic-signature-update-04.gif

  5. オート アップデートが正常に完了したことを確認するために、この例に見られるように IPS CLI からの show statistics host コマンドを発行して下さい:

    IPS#show statistics host
    <Output truncated>
    Auto Update Statistics
       lastDirectoryReadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Read directory: http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/
        =   Success
       lastDownloadAttempt = 16:55:03 GMT-06:00 Wed Jun 27 2012
        =   Download: 
    http://CCOUser@72.163.7.55//swc/esd/06/273556262/guest/IPS-sig-S654-req-E4.pkg
        =   Success
       nextAttempt = 17:55:00 GMT-06:00 Wed Jun 27 2012
      lastInstallAttempt = 16:55:46 GMT-06:00 Wed Jun 27 2012
       =   Success
    <Output truncated>

警告

いくつかのシグニチャアップデートは IPS がソフトウェア バイパス・ モードに入ることができる間に正規表現 表がリコンパイルされるように要求します。 トラフィックがインスペクションなしでインライン インターフェイスおよびインライン VLAN ペアをフローするようにする自動にバイパス・ モードが設定されているとインライン センサーに関しては分析 エンジンはバイパスされます。 バイパス・ モードが消える場合、インライン センサーはアップデートが適用している間、トラフィックを通過させることを止めます。

トラブルシューティング

オート シグニチャアップデートの正しい設定の後で、一般に見つけられた問題を特定し、解決するためにこれらのステップを完了して下さい:

  1. AIM および IDSM を除くすべての IPS アプライアンスおよびモジュールに関しては、コマンドはおよび制御 インタフェースは有効 な IP アドレス/サブネット マスク/ゲートウェイが割り当てられるローカルネットワークに接続されインターネットに IP到達性があるようにして下さい。 AIM および IDSM モジュールに関しては、virtual コマンドおよび制御 インタフェースは設定で定義されたように利用されます。 CLI からのインターフェイスの動作状態を確認するために、この show コマンドを入力して下さい:

    IPS#show interfaces
    <Output truncated>
    MAC statistics from interface Management0/0
       Interface function = Command-control interface
       Description = 
       Media Type = TX
       Default Vlan = 0
       Link Status = Up  <---
    <Output truncated>
  2. CCOユーザアカウントにシグニチャアップデート パッケージをダウンロードする必要な特権があるかどうか検証するために Webブラウザを開き、この同じ CCO アカウントの Cisco.com にログインして下さい。 認証される、手動で最新の IPS シグニチャ パッケージをダウンロードして下さい。 手動でパッケージをダウンロードする不可能は IPS サブスクリプションのためのユーザアカウントのアソシエーションの欠如が多分原因有効な Ciscoサービスです。

  3. インターネット バインドされたトラフィックのためのプロキシがあるかどうか確認して下さい。 コマンドおよびコントロール ポートからのトラフィックがこのプロキシを通過する場合、オート アップデート 機能は動作しません。 コマンドおよびコントロール ポート トラフィックがプロキシによってフィルタリングされない再構成し、再度テストして下さいようにネットワークを。

  4. パスに沿うコンテンツフィルタリングまたはトラフィック・ シェーピング アプリケーションまたはアプライアンスがインターネットへあるかどうか確認して下さい。 もしあれば、コマンドおよび制御 インタフェースの IP アドレスが制約事項なしでインターネットにアクセスするように除外を設定して下さい。

  5. ICMP トラフィックがインターネットの方に許可される場合、IPS センサーの CLI を開き、パブリックIPアドレスを ping することを試みて下さい。 このテストが必要なルーティングおよび NAT ルールが(もし使用するならことを)正しく設定されればかどうか確認するのに使用することができます。 ICMP テストが成功したらけれどもオート更新が失敗し続けたらようにパス割り当てに沿うルータおよびファイアウォールのようなネットワークデバイス IPS コマンドおよび制御 インタフェース IP からの HTTPS および HTTP セッションして下さい。 たとえば、コマンドおよび制御 IP アドレスが 10.1.1.1 なら、ASA ファイアウォールの簡単な ACL項目はこの例のように見えることができます:

    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq www
    access-list INSIDE-TO-INTERNET extended permit tcp host 10.1.1.1 any eq https
  6. CCO ユーザ名は@特殊文字を、たとえば含まれていない、はずです。 詳細については Cisco バグ ID CSCsq30139 を参照して下さい。

  7. シグニチャ自動アップデート障害が診断されるとき、HTTP エラー コードを検知 して下さい。

    IPS#show statistics host
    Auto Update Statistics
    lastDirectoryReadAttempt = 19:31:09 CST Thu Nov 18 2010
    = Read directory: https://198.133.219.25//cgi-bin/front.x/ida/locator/locator.pl
    = Error: AutoUpdate exception: HTTP connection failed [1,110]   <--
    lastDownloadAttempt = 19:08:10 CST Thu Nov 18 2010
    lastInstallAttempt = 19:08:44 CST Thu Nov 18 2010
    nextAttempt = 19:35:00 CST Thu Nov 18 2010
    メッセージ 意味
    エラー: AutoUpdate 例外: HTTP接続は [1,110] 失敗しました 認証は失敗しました。 ユーザ名 および パスワードをチェックして下さい。
    status=false AutoUpdate 例外: レシーブ HTTP応答は [3,212] 失敗しました 時間を計られる Auto Update Server への要求。
    エラー: HTTP エラー応答: 400 Cisco URL 設定がディフォルトされることを確かめて下さい。 CCO ID が長さが 32 文字より大きい場合、別の CCO ID を試みて下さい。 これは Cisco ダウンロード サーバの制限である場合もあります。
    エラー: AutoUpdate 例外: HTTP接続は [1,0] 失敗しました ネットワーク上の問題はダウンロードを防ぎましたまたはダウンロード サーバにおいての潜在的な問題があります。

次の機能拡張

これらは機能拡張です:

Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


関連情報


Document ID: 113674