セキュリティ : Cisco 侵入防御システム

IPS トラフィックのインスペクションとシグニチャ アラートの確認方法

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は使用するようにステップを実稼働環境の侵入防御システム(IPS)センサーおよびシグニチャ テスト オプションのオペレーションを確認するために提供したものです。

注: デイヴィッド Houck および Dustin Ralich によって貢献される、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。

  • 侵入防御 システムリリース 6.2(x)E4

  • 侵入防御 システムリリース 7.0(x)E4

  • 侵入防御 システムリリース 7.1(x)E4

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

内部、外部および管理 コミュニケーション

IPS 管理 アクセスおよび準備を確認するためにこれらのステップを使用して下さい:

  • IPS のコンソールにアクセスして下さい。 これがモジュール問題である場合、入力して下さい:

    • 適応性があるセキュリティ アプライアンス モデル(ASA) 5500 および 5585 シリーズからのセッション 1

    • 5500x からのセッション IPS

    • ネットワークモジュールの service-module IDS センサ スロット/ポート セッションは(NME)モジュールを高めました、

    • CatOS の sessionslot_number

    • Intrusion detection system (IDSM)および IDSM-2 (第2世代)モジュールのための IOS のセッション スロット module_number プロセッサ 1

  • 初期セットアップで設定されたユーザ名 および パスワードとログインして下さい。 デフォルトのユーザ名およびパスワードは「cisco」です。 適切なリリースのためのセットアップ ガイドを詳細については参照して下さい。

  • セットアップが既に完了した場合、IPS 管理にテスト IP接続に進んで下さい。

  • show statistics host コマンドを入力し、IPS 管理 IP アドレスにセキュア シェル(SSH) アクセスを ping し、得ることを試みて下さい。 これがはたらく場合、次 の ステップに進んで下さい。 そうでなかったら、それから適切なリリースのためのコンフィギュレーション ガイドで接続に関する問題を解決して下さい。

  • show version コマンドを入力して下さい。 ソフトウェア バージョンが現在であることを確認して下さい、それはライセンス インストールされています、シグニチャ バージョンは最新です、ホスト 認証が有効であることエンジンすべては正常に動作して。

  • 前の手順すべてが検証される場合、IPS の管理アドレスに HTTPS によってアクセスし、IDM を起動させて下さい。 Java 6 はインストールする必要があります。 Java 6 が利用できない場合、Express (IME) IPS Webページからのインストール IPS マネージャ。

    注: Java 7 は IPS デバイスマネージャ(IDM)を起動させるためにまたは現時点で適応性がある Security Device Manager (ASDM)の IPS オプションにアクセスするためにサポートされません。

  • 接続が正常である場合、IDM で、設定 > センサー管理に > アップデートして下さい行き、Cisco.com からのライセンスを認可します。 存在 する 有効なライセンスがこれインターネットへの接続を確認しても。

  • 成功すれば、そして > グローバル な相関関係 > インスペクション/評判 Configuration > Policies の順に進み、DNS 作業を確かめるためにグローバル な相関関係を『Test』 をクリック して下さい。 これをチェックし、> Events のモニタに行き、警告、エラーおよび致命的だけ選択し、グローバル な相関更新が失敗したかどうか確認するため。

    注: グローバル な相関は IPS リリース 7.0 以前の IPS ソフトウェアで利用できません。

トラフィックのインスペクションを確認して下さい

IPS によって通信を確認した後、これらのステップのトラフィックのインスペクションを確認できます。

  • インターフェイス リンクステータスを検知するセンサーがアップ、トラフィックを受信することを確認して下さい。 センサー インターフェイスにログインし、これらのコマンドを入力して下さい:

sensor# show interface
 

!! In the output, find the applicable section for the sensing interface(s) in 
!! question and confirm that the Link Status value is "Up". If so, note the 
!! value shown for the Total Packets Received counter. After a few seconds, 
!! run the command again and compare the current value to the previous.
!! If the value has increased, the sensing interface(s) in-question is Up
!! and receiving traffic. Example:

 
sensor# show interface
MAC statistics from interface GigabitEthernet0/0
   Interface function = Sensing interface
   Link Status = Up
   Total Packets Received = 100
 
sensor# show interface
MAC statistics from interface GigabitEthernet0/0
   Interface function = Sensing interface
   Link Status = Up
   Total Packets Received = 150
 

!! If a sensing interface's Link Status value is expected to be "Up", but is 
!! not, verify that it is properly and physically connected to a switchport or
!! other network device. If so, verify that the switchport or other network
!! device is configured properly and the remote interface (the switchport or
!! NIC on the other network device) is not administratively-disabled
!! ("shutdown"). If needed, try to swap cables with another that is known
!! to be good.
 
!! If a sensing interface's Total Packets Received counter does not increment,
!! check the configuration of the switchport or other network device to which
!! the sensing interface is connected. If the sensing interface is supposed to
!! be the destination of a SPAN/monitor session, verify the SPAN/monitor
!! configuration on the switch the sensing interface is connected.

  • またすべてのモニタリング インターフェイスがアップ直通ホーム > インターフェイス ステータスのリンク値を表示することを IDM で、確認して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/116006-ips-sensor-testing-01.gif

  • センサーのバーチャル センサーが割り当てられる少なくとも 1 つの検知インターフェイスを備えている確認し、トラフィックをことを検査します。 センサーにログインし、このコマンドを入力して下さい。

     sensor# show stat virtual
     
    
    !! In the output, find the List of interfaces monitored by this virtual
    !! sensor line and confirm that at least one (1) sensing interface(s) is
    !! listed. Additionally, find the Total packets processed since reset
    !! line/counter and confirm its value is greater-than (>) zero (0).
    !! Example:
    
     
    sensor# show stat virtual
       Statistics for Virtual Sensor vs0
          List of interfaces monitored by this virtual sensor = GigabitEthernet0/0
          General Statistics for this Virtual Sensor
             Total packets processed since reset = 200
     
    
    !! If there are no sensing interface(s) listed (or, if additional sensing
    !! interfaces need to be assigned), login to the sensor using an
    !! administrative account and issue the following commands 
    !! (NOTE: In the example provided, the GigabitEthernet0/0 sensing interface
    !! is assigned to virtual-sensor vs0. Replace that particular configuration
    !! line accordingly with the actual sensing interface you wish to assign to
    !! the virtual-sensor. If you need to assign multiple sensing interfaces,
    !! repeat that line (one per sensing interface)):
    
     
    sensor# conf t
    sensor(config) # service analysis-engine 
    sensor(config-ana) # virtual-sensor vs0
    sensor(config-ana-vir)# physical-interface GigabitEthernet0/0
    sensor(config-ana-vir)# exit
    sensor(config-ana)# exit
    Apply Changes?[yes]: yes
     
    
    !! NOTE: The above example assigns a Promiscuous sensing interface to the vs0 
    !! virtual-sensor. Inline sensing interfaces must first be "paired" together
    !! and then the logical pair assigned to a virtual-sensor. Details can be
    !! found in the official product configuration guide's Configuring
    !! Interfaces section.
    
    
  • またインターフェイスが設定 > ポリシー > IPS ポリシーの下の IDM の vs0 に割り当てられることを、確認して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/116006-ips-sensor-testing-02.gif

  • SSH を IPS に入力し、パケット ディスプレイ インターフェース スロット/port コマンドを入力し、トラフィックがインターフェイスで見られることを確認して下さい。

    注: 使用される式と一致するキーワードはトラフィックだけ表示することを tcpdump 式の使用が可能にします。

    sensor# packet display gigabitEthernet0/1 expression ip host 198.51.100.1
    Warning: This command will cause significant performance degradation
    tcpdump: WARNING: ge0_1: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ge0_1, link-type EN10MB (Ethernet), capture size 65535 bytes
    18:32:24.247864 IP 198.51.100.1.2000 > 192.0.2.1.2000: UDP, length 172
    18:32:24.247868 IP 198.51.100.1.2000 > 192.0.2.1.2000: UDP, length 172
    18:32:24.257249 IP 198.51.100.1.2000 > 192.0.2.1.16384: UDP, length 172
    
    
    !! Alternatively, in the case of VLAN tagging:
    
    
    sensor# packet display gigabitEthernet0/1 expression vlan 20 and
        ip host 192.51.100.1
    

シグニチャ適用を確認して下さい

  • シグニチャ イベントはモニタリング セクションで表示することができます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/116006-ips-sensor-testing-03.gif

  • シグニチャは設定の下で > すべてのシグニチャ修正することができます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/116006-ips-sensor-testing-04.gif

  • イネーブル シグニチャ 2000/0 および 2004/0 (インターネット制御メッセージ プロトコル(ICMP)エコーリプライおよび ICMPエコー要求); PING をセンサーを通して始め、Monitoring タブでイベントログをチェックして下さい。

    ICMP がブロックされれば:

    1107/0 のために、参照して下さい RFC1918 -見られる当たって下さい

    • このシグニチャを引き起こすために、セットはこのシグニチャの本当およびイネーブル終了させまし、RFC 1918 範囲の IP がシグニチャを引き起こすのを視聴します。

    • これらのアドレスは 10.0.0.0/8、172.16.0.0-172.31.255.255、192.168.0.0/16 です。

    • これは SSC-5 でシグニチャが非リタイア されることができるようにそれが必要となるので見られる場合がありません。

    3409/0 のため、ポート 80 への telnet。

    • Webサーバ セットアップによって、ポート 80 は開いて、telnet は正常です。 telnet が正常なとき、イベントは IPS で始動します。

    • センサーが有効な TCP 接続をトラッキングすることができるように TCP 三方ハンドシェイクが必要となります。 部分的なパケットキャプチャの非対称 ルーティングかリプレイの場合には、トラフィックによりシグニチャの適用を引き起こしません。

テストが完了する後、あらゆる修正されたシグニチャにデフォルトを復元する:

http://www.cisco.com/c/dam/en/us/support/docs/security/intrusion-prevention-system/116006-ips-sensor-testing-05.gif

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 116006