セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA/IPS FAQ: IPS はどのようにイベントログの未翻訳実質 IP アドレスを表示するか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

ネットワーク アドレス変換(NAT)を行った後適応性があるセキュリティ アプライアンス モデル(ASA)が IPS にトラフィックを送信 するが Cisco 侵入防御システム(IPS)がイベントログの未翻訳実質 IP addressess をどのように表示するかこの資料に説明されています。

Prashant Joshi および Dinkar Sharma によって貢献される、Cisco TAC エンジニア。

背景説明

トポロジ

    • サーバのプライベート IP アドレス: 192.168.1.10
    • サーバ(Natted)のパブリックIPアドレス:  203.0.113.2
    • 攻撃者の IP アドレス: 203.0.113.10

IPS がイベントログの未翻訳実質 IP アドレスを表示する仕組み

説明

ASA は IPS にパケットを送信 するとき、Cisco ASA/Security サービス モジュール(SSM)バックプレーン プロトコル ヘッダにそのパケットをカプセル化します。 ASA の後ろの内部ユーザの実際のIPアドレスを表すこのヘッダはフィールドが含まれています。

これらのログはサーバのパブリックIPアドレスにインターネット制御メッセージ プロトコル (ICMP)パケットを送信する攻撃者を、203.0.113.2 示します。 IPS でキャプチャ される パケットは ASA が実行 NAT の後で IPS にパケットをパントすることを示します。

IPS# packet display PortChannel0/0
Warning: This command will cause significant performance degradation
tcpdump: WARNING: po0_0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on po0_0, link-type EN10MB (Ethernet), capture size 65535 bytes
03:40:06.239024 IP 203.0.113.10 > 192.168.1.10: ICMP echo request, id 512, seq
31232, length 40
03:40:06.239117 IP 203.0.113.10 > 192.168.1.10: ICMP echo request, id 512, seq
31232, length 40
03:40:06.239903 IP 203.0.113.2 > 203.0.113.10: ICMP echo reply, id 512, seq
31232, length 40
03:40:06.239946 IP 203.0.113.2 > 203.0.113.10: ICMP echo reply, id 512, seq
31232, length 40

イベントはログオンします攻撃者からの ICMP 要求パケットのための IPS をここにあります。
 

evIdsAlert: eventId=6821490063343  vendor=Cisco  severity=informational  
originator:
hostId: IPS
appName: sensorApp
appInstanceId: 1305
time: Dec 24, 2014 03:43:57 UTC offset=0 timeZone=UTC
signature: description=ICMP Echo Request id=2004 version=S666 type=other
created=20001127
subsigId: 0
sigDetails: ICMP Echo Request
interfaceGroup: vs0
vlan: 0
participants:
attacker:
addr: 203.0.113.10 locality=OUT
target:
addr: 192.168.1.10 locality=OUT
os: idSource=unknown type=unknown relevance=relevant
alertDetails: InterfaceAttributes: context="single_vf" physical="Unknown"
backplane="PortChannel0/0" ;
riskRatingValue: 35 targetValueRating=medium attackRelevanceRating=relevant
threatRatingValue: 35
interface: PortChannel0/0 context=single_vf physical=Unknown backplane=
PortChannel0/0
protocol: icmp

イベントはログオンします内部サーバからの ICMP 応答のための IPS をここにあります。

evIdsAlert: eventId=6821490063344  vendor=Cisco  severity=informational  
originator:
hostId: IPS
appName: sensorApp
appInstanceId: 1305
time: Dec 24, 2014 03:43:57 UTC offset=0 timeZone=UTC
signature: description=ICMP Echo Reply id=2000 version=S666 type=other
created=20001127
subsigId: 0
sigDetails: ICMP Echo Reply
interfaceGroup: vs0
vlan: 0
participants:
attacker:
addr: 192.168.1.10 locality=OUT
target:
addr: 203.0.113.10 locality=OUT
os: idSource=unknown type=unknown relevance=relevant
alertDetails: InterfaceAttributes: context="single_vf" physical="Unknown"
backplane="PortChannel0/0" ;
riskRatingValue: 35 targetValueRating=medium attackRelevanceRating=relevant
threatRatingValue: 35
interface: PortChannel0/0 context=single_vf physical=Unknown backplane=
PortChannel0/0
protocol: icmp

ASA データ平面で集められるキャプチャはここにあります

   1: 09:55:50.203267       203.0.113.10 > 192.168.1.10: icmp: echo request
2: 09:55:50.203877 203.0.113.2 > 203.0.113.10: icmp: echo reply
3: 09:55:51.203541 203.0.113.10 > 192.168.1.10: icmp: echo request
4: 09:55:51.204182 203.0.113.2 > 203.0.113.10: icmp: echo reply

デコードされた ASA データ平面キャプチャ。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118729