セキュリティ : Cisco Firepower Management Center

防御センターの SNORT_BPF 変数の設定

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

防御センターによって点検からホストかネットワークを除外するのにバークレー パケットフィルタ(BPF)を使用できます。 Snort は不正侵入 ポリシーからトラフィックを除くのに Snort_BPF 変数を使用します。 この資料は方法で手順を Snort_BPF 変数をさまざまなシナリオで使用する提供したものです。

ヒント、トラフィックがで、点検されない不正侵入 ポリシーの BPF よりもむしろもの判別するアクセスコントロール ポリシーで信頼ルールを使用することを強く推奨します。 Snort_BPF 変数はソフトウェア バージョン 5.2 で利用でき、ソフトウェア バージョン 5.3 でまたはより高い非難されます。

、ジェレミー Weiss Nazmul Rajib によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は防御センター、不正侵入 ポリシー、バークレー パケットフィルタおよび Snort ルールのナレッジがあることを推奨します

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づくものです。

  • 防御センター
  • ソフトウェア バージョン 5.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。


設定手順

Snort_BPF 変数を設定するために、下記のようにステップに従って下さい:
  1. 防御センターの Web ユーザ ユーザー・インターフェースにアクセスして下さい。
  2. ポリシー > 不正侵入 > 不正侵入 ポリシーへのナビゲート
  3. 不正侵入 ポリシーを編集するために鉛筆アイコンをクリックして下さい。
  4. 左のメニューからの変数をクリックして下さい。
  5. 変数が設定されれば、変更を保存する必要があり実施されるためにそれのための不正侵入 ポリシーを再適用します。


図: Snort_BPF 変数 設定 ページのスクリーン ショット

設定例

いくつかの基本的な例は参照用に下記に提供されます:

 

シナリオ 1: 脆弱性スキャナーに出入してすべてのトラフィックを、無視して下さい

  1. IP アドレス 10.1.1.1 で脆弱性スキャンナーがあります 
  2. スキャナーに出入してすべてのトラフィックを無視したいと思います 
  3. トラフィックは 802.1q (VLAN)ないタグがかもしれないしまたはそうではないかもしれません 
SNORT_BPF は次のとおりです: 
 
not host 10.1.1.1 and not (vlan and host 10.1.1.1)
比較: VLAN タグ付けされたトラフィック *is not* はしかしポイント 1 および 2 は本当に次のとおりです残ります:  
not host 10.1.1.1
わかりやすい英語で、これはエンドポイントの 1 つが 10.1.1.1 (スキャナー)であるトラフィックを無視します。
 

 

シナリオ 2: 2 つの脆弱性スキャナーに出入してすべてのトラフィックを、無視して下さい

 
  1. IP アドレス 10.1.1.1 で脆弱性スキャンナーがあります 
  2. IP アドレス 10.2.1.1 で 2つめの脆弱性スキャンナーがあります 
  3. スキャナーに出入してすべてのトラフィックを無視したいと思います 
  4. トラフィックは 802.11 (VLAN)タグがないかもしれないしまたはそうではないかもしれません 
SNORT_BPF は次のとおりです: 
 
not (host 10.1.1.1 or host 10.2.1.1) and not (vlan and (host 10.1.1.1 or host 10.2.1.1))
比較: VLAN タグ付けされたトラフィック *is not* はしかしポイント 1 および 2 は本当に次のとおりです残ります:  
not (host 10.1.1.1 or host 10.2.1.1)
要約すると、これはエンドポイントの 1 つが 10.1.1.1 または 10.2.1.1 であるトラフィックを無視します。

VLAN タグが一度だけある特定の BPF に、たいていの場合発生するはずであることに注意することは重要です。 唯一の時ネットワーク使用が VLAN タギングに入り込んだ場合ですそれを何度も見るはずです(時々「QinQ と」言われる)。

 

シナリオ 3: 2 つの脆弱性スキャナーに出入して VLAN タグ付きトラフィックを、無視して下さい

  1. IP アドレス 10.1.1.1 で脆弱性スキャンナーがあります 
  2. IP アドレス 10.2.1.1 で 2つめの脆弱性スキャナーがあります
  3. スキャナーに出入してすべてのトラフィックを無視したいと思います 
  4. トラフィックはタグ付けされた 802.11 (VLAN)であり次 VLAN 101 特定の(VLAN)タグを使用したいです

SNORT_BPF は次のとおりです:

not (host 10.1.1.1 or host 10.2.1.1) and not (vlan 101 and (10.1.1.1 or host 10.2.1.1))

 

シナリオ 4: バックアップサーバからの無視トラフィック

 
  1. IP アドレス 10.1.1.1 でネットワーク バックアップ サーバがあります
  2. ネットワークのマシンはポート 8080 のこのサーバに毎夜のバックアップを実行するために接続します
  3. 暗号化された大量であるのでこのバックアップ トラフィックを無視したいです
SNORT_BPF は次のとおりです: 
 
not (dst host 10.1.1.1 and dst port 8080) and not (vlan and (dst host 10.1.1.1 
and dst port 8080))
 比較: VLAN タグ付けされたトラフィック *is not* はしかしポイント 1 および 2 は本当に次のとおりです残ります:  
not (dst host 10.1.1.1 and dst port 8080)

変換されて、これはポート 8080 (リスニングポート)の 10.1.1.1 (仮説的なバックアップサーバ)へのトラフィックが IPS 検出 エンジンによって検査するべきではないことを意味します。

 ホストの代わりにネットを単一 の ホストよりもむしろネットワーク ブロックを、規定 するのに使用することもまた可能性のあるです。  次に、例を示します。

not net 10.1.1.0/24

一般に、それは BPF をできるだけ特定に作る好ましい習慣です; 除かれる必要があるエクスプロイト試みが含まれているかもしれない無関係なトラフィックを除くインスペクションからのトラフィックを除いて間ない。

 

シナリオ 5: 個々のホストよりもむしろネットワーク レンジを使用するため

 

ホストよりもむしろ変数の長さを短くするために BPF 変数のネットワーク レンジを規定できます。 そうすることはホストの代わりにキーワードを使用し、CIDR 範囲を規定 します。 次に例を示します。

not (dst net 10.8.0.0/16 and dst port 8080) and not (vlan and (dst net 10.8.0.0/16
and dst port 8080))

CIDR 表示法を使用してネットワーク アドレスおよび CIDRブロック アドレス スペース内の使用可能なアドレスを入力するようにして下さい。 たとえばネット 10.8.2.16/16 よりもむしろネット 10.8.0.0/16 を使用して下さい。

SNORT_BPF 変数はある特定のトラフィックが IPS 検出 エンジンによって点検されることを防ぐために使用されます; 頻繁にパフォーマンス上の理由から。 この変数は標準バークレー パック フィルター(BPF)形式を使用します。 SNORT_BPF 変数と一致するトラフィックは検査されます; SNORT_BPF 変数と一致しないトラフィックが IPS 検出 エンジンによって検査されない間。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118090