SDM 侵入防御システム (IPS) ユーザーズ ガイド
侵入防御システム
侵入防御システム
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 649KB) | フィードバック

目次

侵入防御システム

IPS メニュー オプションおよびツールバー ボタン

IPS ホーム ページ

SDEE メッセージ

SDEE メッセージ テキスト

IPS ルールの設定

インターフェイスに対して IPS を有効にする/インターフェイスの IPS を編集する

ルールの選択

ルールの追加/編集

標準ルール エントリの追加

拡張ルール エントリの追加

IPS シグニチャ

アクションの割り当て

シグニチャのインポート

シグニチャの追加/編集/複製

Cisco Intrusion Prevention Alert Center

グローバル設定

グローバル設定の編集

シグニチャの場所の追加/編集

設定

設定をルータに配信する

侵入防御システム

SDM 侵入防御システム(IPS)では、バージョン 12.3(8)T4 以降の IOS イメージを実行するルータで侵入検知を管理できます。SDM を使用すると、Cisco.com からシグニチャ定義ファイル(SDF)をインポートし、編集することができます。その後、編集したシグニチャをルータに送信できます。シグニチャとは、それと一致した場合にアラートを生成する特性のセットです。SDM IPS を使用して、シスログ(Syslog)サーバにアラートをコピーするように指定できます。また、Security Device Event Exchange(SDEE)プロトコルを使用してイベントをレポートするようにルータを設定することもできます。

IPS メニュー オプションおよびツールバー ボタン

このトピックでは、 IPS アプリケーションのメニュー オプションおよびツールバー ボタンについて説明します。

IPS のメニュー

IPS には次のメニューがあります。

ファイル メニュー

SDF を PC に保存]― シグニチャ定義ファイルを PC に保存します。

[実行コンフィギュレーションを PC に保存]― IPS の実行コンフィギュレーションを PC に保存します。

[スタートアップ コンフィギュレーションに書き込む]― ルータの実行コンフィギュレーションをルータのスタートアップ コンフィギュレーションに書き込みます。

[終了]― IPS アプリケーションを終了します。

編集メニュー

[設定]― IPS で作業するときのユーザ設定を行うことができます。ルータで cookie が無効になっている場合は、ユーザ設定は現在のセッションにだけ適用されます。設定可能なユーザ設定の詳細については、「設定」をクリックしてください。

表示メニュー

SDEE メッセージ パネルの表示]― このチェック ボックスを選択すると、SDEE メッセージを利用できるときに IPS ホーム ページの下部にアラートが表示されます。このオプションを選択すると、 [SDEE メッセージの表示] ボタンが右下に表示され、SDEE メッセージを利用できるときにボタンが有効になります。

[SDEE メッセージの表示]―[SDEE メッセージ]ウィンドウを表示します。

ヘルプ メニュー

[ヘルプ トピック] を選択すると、IPS オンライン ヘルプ システムが表示されます。

ツールバー ボタン

SDM ツールバーのボタンを使用すると、ホーム ページと設定ウィンドウ間の移動、実行コンフィギュレーションのロードおよび保存、現在のウィンドウのヘルプの表示が行えます。

ホーム ボタン

[ホーム] ボタンをクリックすると、IPS ホーム ページに戻ります。

設定ボタン

[設定] をクリックすると、IPS の設定を開始できます。

更新ボタン

[更新] をクリックすると、ルータから IPS に実行コンフィギュレーションがロードされます。

保存ボタン

[保存] をクリックすると、実行コンフィギュレーションがスタートアップ コンフィギュレーションに保存されます。

ヘルプ ボタン

[ヘルプ] をクリックすると、現在表示されているウィンドウのヘルプが表示されます。

タスク ボタン

[設定]をクリックすると、ウィンドウの左側に 3 つのタスク ボタンが表示されます。[分類]バーのボタンを使用すると、SDM IPS の別のエリアに移動できます。

ルール

IPS ルールの設定]が表示されます。ここでは、インターフェイス上での IPS の有効化と無効化の切り替えを行うことができます。IPS の適用方法についての情報はここに表示されます。インターフェイスで IPS を有効にする場合は、必要に応じて、侵入について検査するトラフィックを指定できます。

シグニチャ

IPS シグニチャ]ウィンドウが表示されます。ここではルータ上のシグニチャを管理できます。

グローバル設定

グローバル設定]ウィンドウが表示されます。ここでは IOS IPS の全体の操作に影響を与える設定を行うことができます

IPS ホーム ページ

[ホーム]、[設定]、[保存]、[更新]、および[ヘルプ]の各ボタンについては、「IPS メニュー オプションおよびツールバー ボタン」を参照してください。

ルータについて

ルータのハードウェア、ソフトウェア、および利用可能な機能についての情報を表示するパネルです。

 

ハードウェア
ソフトウェア
モデル タイプ

ルータのモデル。SDM が配信可能にしているシグニチャは、このルータのモデルと互換性があるシグニチャである。

IOS バージョン

ルータの IOS イメージのバージョン。IOS IPS は IOS バージョン 12.3(8)T4 以降でサポートされている。

使用可能メモリ/合計メモリ(MB)

ルータ上の使用可能 RAM/合計 RAM。RAM の容量によって、ルータに設定できるシグニチャの数が制限される可能性がある。

SDM バージョン

ルータにロードされ PC で稼動している SDM のバージョン。

合計フラッシュ(MB)

ルータにインストールしたフラッシュ メモリの容量を表示する。合計フラッシュは、フラッシュ メモリの合計であり、ルータに Web フラッシュ メモリがある場合はそれも含まれる。たとえば、フラッシュ メモリ 24 MB、および Web フラッシュ メモリ 2 MB を持つルータの場合、フラッシュ メモリの合計 26 MB が表示される。

機能の可用性

ルータによって使用されている Cisco IOS イメージで利用できる機能にはチェックマークが付けられる。SDM でチェックが付けられる機能は、[IP]、[ファイアウォール]、[VPN]、および[IPS]である。

設定の概要

ホーム ページのこの部分には、インターフェイスでの IPS のステータス、およびシグニチャ設定についての情報が表示されます。

インターフェイス ステータス

このエリアは、二重矢印ボタン(上向き)をクリックすると表示されます。

 

インターフェイス
インバウンド IPS/アウトバウンド IPS

インターフェイスの名前

[有効]― IPS はこの方向のトラフィックで有効である。

[無効]― IPS はこの方向のトラフィックで無効である。

シグニチャ ステータス

 

アクティブなシグニチャ

現在ルータにロードされているシグニチャの数。

ロードされたシグニチャ の場所

ビルトイン: シグニチャは IOS ビルトイン シグニチャからロードされる。

URL: ルータが使用するシグニチャのロード元である URL。

シグニチャのロード元を変更するか、新しく指定するには、 [グローバル設定] をクリックし、[設定されている SDF の場所]エリアの[ 追加] をクリックする。

通知

ルータに設定されている通知方法。通知方法を変更するには、 [グローバル設定] をクリックする。

SDEE メッセージのアラートエリア

これは、ウィンドウの一番下のエリアで、IPS で SDEE メッセージが生成されると "新しい SDEE メッセージを使用できます" というメッセージが表示されます。

SDEE メッセージの表示ボタン

このボタンは、SDEE メッセージを利用できるときに有効になります。このボタンをクリックすると、[SDEE メッセージ]ウィンドウが表示されます。

SDEE メッセージ

このウィンドウには、ルータが受信した SDEE メッセージのリストが表示されます。SDEE メッセージは、IPS 設定に変更があったときに生成されます。

選択肢:

[すべて]― SDEE エラー メッセージと SDEE ステータス メッセージの両方が表示されます。

[エラー]― SDEE エラー メッセージだけが表示されます。

[ステータス]― SDEE ステータス メッセージだけが表示されます。

タイプ

タイプは、[エラー]、および[ステータス]です。表示される SDEE メッセージについては、「SDEE メッセージ テキスト」をクリックしてください。

時刻

メッセージの受信時刻です。

説明

該当する説明です。

更新ボタン

新しい SDEE メッセージがあるかどうかチェックする場合にクリックします。

閉じるボタン

[SDEE メッセージ]ウィンドウを閉じる場合にクリックします。

SDEE メッセージ テキスト

ここでは、表示される可能性があるすべての SDEE メッセージを示します。

IDS ステータス メッセージ

ENGINE_BUILDING: %s - %d シグニチャ - %d/%d エンジン
 

説明: Signature MicroEngine(SME)の構築が開始されたときに生成されます。

ENGINE_BUILD_SKIPPED: %s - このエンジンには新しいシグニチャ定義がありません。
 

説明: 侵入検知システム SME にシグニチャ定義がないとき、または既存のシグニチャ定義に対して変更がないときに生成されます。

ENGINE_READY: %s - %d ミリ秒 - このエンジンのパケットがスキャンされます。
 

説明: IDS SME が構築され、パケットをスキャンする準備ができたときに生成されます。

SDF_LOAD_SUCCESS: SDF は %s から正常にロードされました。
 

説明: 指定した場所から SDF ファイルが正常にロードされたときに生成されます。

BUILTIN_SIGS: ビルトイン シグニチャをロードするための %s
 

説明: 最後の手段として、ルータがビルトイン シグニチャをロードするときに生成されます。

IDS エラー メッセージ

ENGINE_BUILD_FAILED: %s - %d ミリ秒 - エンジンの構築に失敗しました - %s
 

説明: SDF ファイルがロードされた後、いずれかのエンジンの構築に失敗したときに生成されます。失敗したエンジンごとにこのようなメッセージが 1 つ送信されます。

これは、IOS IPS エンジンが、メッセージ内に示されたエンジン用のシグニチャのインポートに失敗したことを意味します。この問題の原因として一番可能性が大きいのはメモリの不足です。この問題が発生した場合、新しくインポートされたシグニチャのうち、このエンジンに属するシグニチャが IOS IPS によって破棄されます。

SDF_PARSE_FAILED: 行 %d カラム %d バイト %d 長さ %d の %s
 

説明: SDF ファイルの解析が正しく行われなかったときに生成されます。

SDF_LOAD_FAILED: %s SDF を %s からロードできませんでした
 

説明: 何らかの理由で SDF ファイルのロードに失敗したときに生成されます。

DISABLED: %s - IDS は無効です
 

説明: IDS が無効になっています。メッセージには原因が示されます。

SYSERROR: 予期しないエラー (%s) が行 %d 関数 %s() ファイル %s で発生しました
 

説明: 予期しない内部システム エラーが発生したときに生成されます。

IPS ルールの設定

[ホーム]、[設定]、[更新]、[保存]、および[ヘルプ]の各ボタンについては、「IPS メニュー オプションおよびツールバー ボタン」を参照してください。

インターフェイス

このリストを使用して、[インターフェイス リスト]エリアに表示されているインターフェイスにフィルタを適用することができます。次から選択します。

[すべてのインターフェイス]― ルータのすべてのインターフェイス

[IPS インターフェイス]― IPS が有効になっているインターフェイス

有効ボタン

このボタンをクリックすると、選択したインターフェイスで IPS を有効にすることができます。IPS が適用されるトラフィックの方向、および検査するトラフィックのタイプの定義に使用する ACL を指定できます。詳細については、「インターフェイスに対して IPS を有効にする/インターフェイスの IPS を編集する」を参照してください。

編集ボタン

このボタンをクリックすると、選択したインターフェイスに適用する IPS の特性を編集できます。

無効ボタン

このボタンをクリックすると、選択したインターフェイスで IPS を無効にできます。コンテキスト メニューに、IPS が適用されているトラフィック方向が表示されるので、IPS を無効にする方向を選択できます。IPS が適用されているインターフェイスで IPS を無効にした場合は、SDM により、IPS ルールが適用されていたインターフェイスからルールが切り離されます。

すべて無効ボタン

このボタンをクリックすると、IPS が有効になっているすべてのインターフェイスで IPS を無効にできます。IPS が適用されているインターフェイスで IPS を無効にした場合は、SDM により、IPS ルールが適用されていたインターフェイスからルールが切り離されます。

インターフェイス名

たとえば、Serial0/0、または FE0/1 などのインターフェイスの名前です。

IP

IP アドレス

このカラムには、次のいずれかのタイプの IP アドレスが表示されます。

インターフェイスの設定済み IP アドレス。

DHCP クライアント ― インターフェイスは、ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)サーバから IP アドレスを受け取ります。

ネゴシエート済み ― インターフェイスはリモート デバイスとのネゴシエーションによって IP アドレスを受け取ります。

IP アンナンバード ― ルータは、ルータおよび LAN 上のホストに対し、サービス プロバイダから提供された IP アドレス プールの中の 1 つを使用します。

該当なし ― このインターフェイス タイプには IP アドレスを割り当てられません。

インバウンド IPS/アウトバウンド IPS

[有効]― IPS はこの方向のトラフィックで有効です。

[無効]― IPS はこの方向のトラフィックで無効です。

VFR ステータス

Virtual Fragment Reassembly( VFR)のステータス。次のいずれかの値になります。

[オン]― VFR は有効です。

[オフ]― VFR は無効です。

IPS は、IP フラグメントの内容を識別できません。また、シグニチャと照合するポート情報をフラグメントから収集することもできません。このため、フラグメントは、検査もダイナミック アクセス コントロール リスト(ACL)の作成も行われずにネットワークをそのまま通過します。

VFR によって、Cisco IOS Firewall で適切なダイナミック ACL を作成できるので、さまざまなフラグメンテーション攻撃からネットワークを保護することができます。

説明

接続の説明が追加されている場合はそれが表示されます。

IPS フィルタの詳細

トラフィックにフィルタが適用されていない場合、このエリアには何も表示されません。フィルタが適用されている場合は、かっこ内に ACL の名前または番号が表示されます。

[アウトバウンド フィルタ]/[インバウンド フィルタ]ボタン

クリックすると、アウトバウンドまたはインバウンド方向のトラフィックに適用されるフィルタのエントリが表示されます。

フィールドの説明

 

フィールド
説明
アイコン
意味
アクション

トラフィックが許可されるか拒否されるかを指定する。

 

送信元トラフィックを許可する。

 

 

送信元トラフィックを拒否する。

送信元/宛先

ネットワークまたはホストのアドレス、または任意のホストまたはネットワーク。

サービス

フィルタが適用されるサービスのタイプ。IP、TCP、UDP、
IGMP、および ICMP サービスにフィルタを適用できる。

ログ

拒否されたトラフィックをログに記録するかどうかを指定する。

オプション

CLI を使用して設定されるオプション。

説明

提供されている説明。

インターフェイスに対して IPS を有効にする/インターフェイスの IPS を編集する

このウィンドウでは、侵入検知を有効にするインターフェイスや、検査するトラフィックの指定に使用する IPS フィルタを選択します。

両方/インバウンド/アウトバウンド

このボタンを使用すると、IPS を有効にする対象を、インバウンドとアウトバウンドの両方のトラフィックにするか、インバウンド トラフィックのみにするか、またはアウトバウンド トラフィックのみにするかを指定できます。

インバウンド フィルタ

(オプション)検査するインバウンド トラフィックを指定するアクセス ルールの名前または番号を入力します。指定した ACL に関連付けられているインターフェイスが選択されると、[IPS Rules Configuration](IPS ルールの設定)ウィンドウにその ACL が表示されます。アクセス ルールを参照するか、新しいルールを作成する必要がある場合は、 [...] ボタンをクリックします。

アウトバウンド フィルタ

(オプション)検査するアウトバウンド トラフィックを指定するアクセス ルールの名前または番号を入力します。指定した ACL に関連付けられているインターフェイスが選択されると、[IPS Rules Configuration](IPS ルールの設定)ウィンドウにその ACL が表示されます。アクセス ルールを参照するか、新しいルールを作成する必要がある場合は、 [...] ボタンをクリックします。

... ボタン

このボタンを使用してフィルタを指定します。このボタンをクリックすると、次のオプションを含むメニューが表示されます。

[既存のルール(ACL)を選択する]。詳細については、「ルールの選択」を参照してください。

[新しいルール(ACL)を作成して選択する]。詳細については、「ルールの追加/編集」を参照してください。

[なし(ルールの関連付けを解除)]。このオプションを使用して、フィルタが適用されているトラフィック方向からフィルタを削除できます。

このインターフェイスに対してフラグメント チェックを行う

(デフォルトでは有効です。)IOS ファイアウォールでこのインターフェイスの IP フラグメントをチェックする場合に選択します。詳細については、「VFR ステータス」を参照してください。

他のインターフェイスに対してフラグメント チェックを行う

アウトバウンド トラフィックに対してフラグメント チェックを行う場合、ルータは、設定されているインターフェイスにアウトバウンド トラフィックを送信するインターフェイスへのインバウンド トラフィックを検査する必要があります。これらのインターフェイスを以下で指定します。

[インバウンド]ラジオ ボタンが選択されている場合、このエリアは表示されません。

ルールの選択

このウィンドウでは、使用するルールを選択します。

ルール カテゴリ

選択するルールのカテゴリを選択します。選択したカテゴリ内のルールがリストの下のボックスに表示されます。ボックスにルールが表示されない場合は、そのカテゴリのルールが定義されていないことを意味します。

名前/番号

ルールの名前または番号です。

使用元

ルールがどのように使用されるかを示します。たとえば、ルールがインターフェイスに関連付けられている場合は、そのインターフェイスの名前が表示されます。ルールが IPSec ポリシーで使用される場合は、そのポリシーの名前が表示されます。ルールが NAT によって使用される場合、このカラムには値 NAT が含まれます。

説明

ルールの説明です。

アクセス ルールのプレビュー

画面のこのエリアには、選択したルールのエントリが表示されます。

アクション

[許可する] または[ 拒否する] のいずれかになります。

送信元

トラフィックで一致が必要な送信元 IP アドレスの条件です。このカラムには、以下を含めることができます。

IP アドレスおよび ワイルドカード マスク。IP アドレスでネットワークを指定し、ワイルドカード マスクで、ルールの IP アドレスがパケット内の IP アドレスとどの程度一致しなければならないかを指定します。

キーワード「 any 」。「any」は、送信元 IP アドレスが任意で認証されることを示します。

ホスト名。

宛先

拡張ルールの場合にトラフィックで一致が必要な宛先 IP アドレスの条件です。これは、ネットワーク アドレス、または特定のホストのアドレスです。このカラムには、以下を含めることができます。

IP アドレスおよびワイルドカード マスク。IP アドレスでネットワークを指定し、ワイルドカード マスクで、ルールの IP アドレスがパケット内の IP アドレスとどの程度一致しなければならないかを指定します。

キーワード「 any 」。「any」は、送信元 IP アドレスがどんな IP アドレスでもよいことを示します。

ホスト名。

サービス

拡張ルールの場合、ルールと一致するパケットを含む必要があるトラフィックのタイプがサービスによって指定されます。これは、echo-reply などのサービスの後に ICMP などのプロトコルを表示することによって示されます。同じエンドポイント間の複数のサービスを許可または拒否するルールには、サービスごとに 1 つのエントリが含まれている必要があります。

ログ

このカラムは、そのエントリでロギングが有効になっているかどうかを示します。

属性

ポート番号など、エントリの属性がこのカラムに表示されます。

説明

説明が入力されている場合は、説明が表示されます。

ルールの追加/編集

このウィンドウでは、[ルール]ウィンドウで選択したルールを追加または編集できます。ルールの名前または番号の変更、ルール エントリの追加、変更、並べ替え、または削除、およびルールの説明の追加または変更を行うことができます。

名前/番号

ルールの名前または番号を追加または変更します。

標準ルールでは、1 ~ 99、または 1300 ~ 1999 の範囲内の番号を付ける必要があります。

拡張ルールでは、100 ~ 199 または 2000 ~ 2699 の範囲内の番号を付ける必要があります。

名前には英字を含めることができるので、アクセス ルールに意味のあるラベルを関連付けることができます。

タイプ

追加するルールのタイプを選択します。標準ルールでは、パケット内の送信元ホストまたはネットワークの検査をルータ上で行います。拡張ルールでは、送信元のホストまたはネットワーク、宛先のホストまたはネットワーク、およびパケットに含まれるトラフィックのタイプの検査をルータ上で行います。

説明

このフィールドにはルールの説明を入力できます。説明の長さは 100 文字未満でなければなりません。

ルール エントリ リスト

このリストには、ルールを設定するエントリが表示されます。エントリは追加、編集、および削除できます。また、エントリを並べ替えて、評価される順序を変更することもできます。

ルール エントリを作成する際は、次のガイドラインを参照してください。

リストには、許可のステートメントを少なくとも 1 つ含める必要があります。そうしなければすべてのトラフィックが拒否されます。

すべてを許可またはすべてを拒否するエントリを一覧に含める場合は、リストの最後に置く必要があります。

標準エントリと拡張エントリを同じルール内に混在させることはできません。

同じルールに重複するエントリを配置することはできません。

複製

このボタンをクリックすると、選択したエントリを新しいエントリのテンプレートとして使用できます。この機能を使用すると時間を節約でき、エラーを減らすことができます。たとえば、送信元と宛先が同じで、プロトコルまたはポートが異なる拡張ルール エントリを多数作成する場合は、まず[追加]ボタンを使用して最初のエントリを作成します。1 つめのエントリを作成したら、 [複製] を使用してコピーし、プロトコル フィールドまたはポート フィールドを変更して新しいエントリを作成します。

実行する操作

 

目的
手順

ルール エントリを追加または編集する。

[追加] をクリックし、表示されたウィンドウでエントリを作成する。または、 [編集] をクリックし、表示されたウィンドウでエントリを変更する。

既存のエントリをテンプレートとしてルール エントリを追加する。

テンプレートとして使用するエントリを選択し、 [複製] をクリックする。次に、表示されるダイアログ ボックスでエントリを作成する。

ダイアログ ボックスには、選択したエントリの内容が表示されるので、それを編集して新しいエントリを作成できる。

ルータが特定のエントリを確実に評価するようにルール エントリを並べ替える。

ルール エントリを選択し、 [上へ移動] または[ 下へ移動] ボタンをクリックして、エントリを目的の位置に移動する。

ルールをインターフェイスに関連付ける。

[関連付け] をクリックし、[インターフェイスに関連付ける]ウィンドウでインターフェイスと方向を選択する。

[関連付け] ボタンが有効になっていない場合は、[インターフェイスと接続]ウィンドウでインターフェイスをダブルクリックし、[関連付け]タブを使用する方法で、ルールをインターフェイスに関連付けることができる。

ルール エントリを削除する。

ルール エントリを選択し、 [削除] をクリックする。表示される警告ウィンドウで、削除を確認する。

ルールについての理解を深める。

Cisco.com のリソースを参照する。次のリンクには、IP アクセス リストについての情報が含まれている。

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml

標準ルール エントリの追加

標準ルール エントリでは、特定の送信元から送られたトラフィックを許可または拒否できます。送信元は、ネットワーク、または特定のネットワーク内のホストです。このウィンドウではルール エントリを 1 つ作成できますが、必要な場合はこのウィンドウに戻って、ルールのエントリをさらに作成することができます。


) 作成するルール エントリのどの条件にも該当しないトラフィックは、暗黙的に拒否されます。拒否するつもりがないトラフィックが確実に許可されるようにするには、設定中のルールに明示的な許可エントリを追加する必要があります。


アクション

パケットがルール エントリの条件に一致したときにルータで実行するアクションを選択します。選択肢は、 [許可する] および[ 拒否する] です。

送信元ホスト/ネットワーク

トラフィックで一致が必要な送信元 IP アドレスの条件。ウィンドウ内のこのエリアのフィールドは、[タイプ]フィールドの値に応じて変わります。

タイプ

次のいずれかを選択します。

特定の IP アドレス。これは、ネットワーク アドレス、または特定のホストのアドレスです。

ホスト名。

任意の IP アドレス

IP アドレス

[特定の IP アドレス] を選択した場合は、このフィールドに IP アドレスを入力します。入力するアドレスがネットワーク アドレスの場合は、「 ワイルドカード マスク」を入力して、ネットワーク アドレス内で一致が必要な部分を指定します。

マスク

[特定の IP アドレス を選択した場合は、このリストからワイルドカード マスクを選択するか、カスタムのワイルドカード マスクを入力します。ワイルドカード マスク内の 2 進数の 0 は、パケットの IP アドレス内で対応するビットが正確に一致しなければならないことを意味します。ワイルドカード マスク内の 2 進数の 1 は、パケットの IP アドレス内で対応するビットが一致する必要がないことを意味します。

ホスト名

[タイプ]フィールドで[ ホスト名] を選択した場合は、ホストの名前を入力します。

説明

このフィールドには、エントリについての簡単な説明を入力できます。説明は、100 文字未満でなければなりません。

このエントリに一致した場合のログ

[システム プロパティ]でシスログ(Syslog)を指定している場合は、一致するとシステム ログに記録されます。

拡張ルール エントリの追加

拡張ルール エントリでは、送信元と宛先、およびパケットで指定されているプロトコルとサービスに基づいて、トラフィックを許可または拒否できます。


) 作成するルール エントリのどの条件にも該当しないトラフィックは、暗黙的に拒否されます。拒否するつもりがないトラフィックが確実に許可されるようにするには、設定中のルールに明示的な許可エントリを追加する必要があります。


アクション

パケットがルール エントリの条件に一致したときにルータで実行するアクションを選択します。選択肢は、 [許可する] および[ 拒否する] です。

送信元ホスト/ネットワーク

トラフィックで一致が必要な送信元 IP アドレスの条件。ウィンドウ内のこのエリアのフィールドは、[タイプ]フィールドの値に応じて変わります。

タイプ

次のいずれかを選択します。

特定の IP アドレス。これは、ネットワーク アドレス、または特定のホストのアドレスです。

ホスト名。

任意の IP アドレス

IP アドレス

[A specific IP address]( 特定の IP アドレス)を選択した場合は、このフィールドに IP アドレス を入力します。入力するアドレスがネットワーク アドレスの場合は、「 ワイルドカード マスク」を入力して、ネットワーク アドレス内で一致が必要な部分を指定します。

マスク

[特定の IP アドレス] を選択した場合は、このリストからワイルドカード マスクを選択するか、カスタムのワイルドカード マスクを入力します。ワイルドカード マスク内の 2 進数の 0 は、パケットの IP アドレス内で対応するビットが正確に一致しなければならないことを意味します。ワイルドカード マスク内の 2 進数の 1 は、パケットの IP アドレス内で対応するビットが一致する必要がないことを意味します。

ホスト名

[タイプ]フィールドで[ ホスト名] を選択した場合は、ホストの名前を入力します。

宛先ホスト/ネットワーク

トラフィックで一致が必要な送信元 IP アドレスの条件。ウィンドウ内のこのエリアのフィールドは、[タイプ]フィールドの値に応じて変わります。

タイプ

次のいずれかを選択します。

特定の IP アドレス。これは、ネットワーク アドレス、または特定のホストのアドレスです。

ホスト名。

任意の IP アドレス

マスク

[特定の IP アドレス] を選択した場合は、このリストからワイルドカード マスクを選択するか、カスタムのワイルドカード マスクを入力します。ワイルドカード マスク内の 2 進数の 0 は、パケットの IP アドレス内で対応するビットが正確に一致しなければならないことを意味します。ワイルドカード マスク内の 2 進数の 1 は、パケットの IP アドレス内で対応するビットが一致する必要がないことを意味します。

ホスト名

[タイプ]フィールドで[ ホスト名] を選択した場合は、ホストの名前を入力します。

説明

このフィールドには、エントリについての簡単な説明を入力できます。説明は、100 文字未満でなければなりません。

プロトコルとサービス

エントリで適用するプロトコルおよびサービスがある場合はそれを選択します。入力する情報は、プロトコルごとに異なります。プロトコルをクリックすると、入力が必要な情報が表示されます。

送信元ポート

TCP または UDP が選択された場合に利用できます。このフィールドを設定すると、ルータによってパケットの送信元ポートにフィルタが適用されます。ただし、TCP 接続の送信元ポートの値の設定が必要になることはほとんどありません。このフィールドを使用する必要があるかどうかわからない場合は、 [= any] のままにします。

宛先ポート

TCP または UDP が選択された場合に利用できます。このフィールドを設定すると、ルータによってパケットの宛先ポートにフィルタが適用されます。

 

選択するプロトコル
[送信元ポート]フィールドと[宛先ポート]フィールドで指定できる内容

TCP および UDP

送信元ポートと宛先ポートを名前または番号で指定する。名前または番号を思い出せない場合は、[...]ボタンをクリックして、[サービス]ウィンドウから値を選択する。このフィールドには、0 ~ 65535 のプロトコル番号を指定できる。

=。ルール エントリは、フィールドの右側に入力した値に適用される。

!=。ルール エントリは、フィールドの右側に入力した値以外のすべての値に適用される。

<。ルール エントリは、入力したポート番号より小さい番号すべてに適用される。

>。ルール エントリは、入力したポート番号より大きい番号すべてに適用される。

範囲。エントリは、フィールドの右側で指定した範囲のポート番号に適用される。

ICMP

ICMP タイプとして[ 任意] を指定するか、タイプを名前か番号で指定する。名前または番号を思い出せない場合は、 [...] ボタンをクリックして、値を選択する。このフィールドには、0 ~ 255 のプロトコル番号を指定できる。

IP

IP プロトコルとして[ 任意] を指定するか、名前か番号でプロトコルを指定する。名前または番号を思い出せない場合は、 [...] ボタンをクリックして、値を選択する。このフィールドには、0 ~ 255 のプロトコル番号を指定できる。

このエントリに一致した場合のログ

[システム プロパティ]でシスログ(Syslog)サーバを指定している場合は、このボックスを選択すると、シスログ(Syslog)サーバに送信されるログ ファイルに、一致したことが記録されます。

IPS シグニチャ

このウィンドウでは、ルータに設定されている IPS シグニチャを表示できます。シグニチャは、カスタマイズしたものを追加するか、または Cisco.com からダウンロードしたシグニチャ定義ファイル(SDF)からインポートできます。シグニチャの編集、削除、有効化、および無効化もできます。

[ホーム]、[設定]、[保存]、[更新]、および[ヘルプ]の各ボタンについては、「IPS メニュー オプションおよびツールバー ボタン」を参照してください。

選択肢/条件リスト

[選択肢/条件]リスト ボックスを使用すると、表示するシグニチャのタイプに応じてリストの項目にフィルタを適用できます。まず、[選択肢]リストで条件を選択し、次に右側のリスト([条件]リスト)で条件の値を選択します。

例:[選択肢]リストで[ エンジン] を選択した場合、[条件]リストのラベルが[エンジン]になり、 [Atomic.ICMP] や[ Service.DNS] などのエンジンから選択できます。

[Sig ID] または[ Sig Name] (シグニチャ名)を選択した場合は、[条件]リストに値を入力する必要があります。

合計[n]新規[n]削除[n]

このテキストは、新しいシグニチャと削除されたシグニチャの合計を示します。

すべて選択

リスト内のすべてのシグニチャを選択する場合にクリックします。

追加

以下のいずれかを実行する場合は[ 追加] をクリックします。

[新規追加]― このメニュー オプションは、[選択肢]の条件が[エンジン]で、さらに選択されたエンジンが IOS にハードコードされているエンジンではない場合に有効になります。ハードコードされたエンジンとは、たとえば String.TCP です。

[複製]― 複製オプションは、ハードコードされたエンジンに属さないシグニチャが選択された場合に有効になります。このオプションは、シグニチャが IOS にハードコードされたエンジンのいずれかを使用する場合は無効になります。

[シグニチャ フィルタの割り当て]― 選択したシグニチャに ACL を割り当てて、そのシグニチャについて検査するトラフィックを指定することができます。

編集

[編集] ボタンをクリックすると、選択したシグニチャのパラメータを編集できます。

削除ボタン

このボタンをクリックすると、選択したシグニチャに、リストから削除するためのマークを付けることができます。削除したシグニチャを表示するには、 [詳細] をクリックします。これらのシグニチャのステータスと処理の詳細については、「削除するシグニチャ」を参照してください。

有効ボタン

選択したシグニチャを有効にする場合にクリックします。有効になっているシグニチャには、緑のチェックマークが付けられます。いったん無効にした後で再度有効にしたシグニチャには、変更をルータに適用しなければならないことを示す黄色の待機アイコンが[!]カラムに表示されます。

無効ボタン

選択したシグニチャを無効にするときにクリックします。無効になっているシグニチャには、赤いアイコンが付けられます。シグニチャが現在のセッションの間に無効になった場合は、変更をルータに適用しなければならないことを示す黄色の待機アイコンが[!]カラムに表示されます。

インポート ボタン

シグニチャ定義ファイルをインポートする場合にクリックします。ファイルがインポートされると、IPS によってシグニチャがシグニチャ リストに表示されます。ルータに配信する前に、シグニチャを編集または削除することができます。Cisco.com から SDF をダウンロードするには、次の URL をクリックします。

http://www.cisco.com/cgi-bin/tablebuild.pl/ios-sigup

詳細については、「シグニチャのインポート」を参照してください。

Cisco では、新たな脅威に関する情報を提供する Alert Center を運営しています。詳細については、「Cisco Intrusion Prevention Alert Center」を参照してください。

[要約]/[詳細]ボタン

このボタンを使用して、削除のマークが付けられたシグニチャを表示または非表示にします。

シグニチャ リスト

シグニチャ リストには、ルータから取得されたシグニチャと、SDF から追加されたすべてのシグニチャが表示されます。リストには、選択コントロールを使用してフィルタを適用できます。

 

有効

有効のシグニチャには、緑のアイコンが付けられる。有効の場合は、シグニチャが検出されたときに指定されたアクションが実行される。

無効のシグニチャには、赤いアイコンが付けられる。無効の場合、アクションは無効になり実行されない。

アラート(!)

このカラムには、黄色の[Wait](待機)アイコンが表示される場合がある。このアイコンは、ルータに配信されていない新しいシグニチャ、またはルータに配信されていない変更済みのシグニチャであることを示す。

Sig ID

数字のシグニチャ ID。たとえば、ICMP Echo Reply の sigID は 2000。

SubSig ID

サブシグニチャ ID。

名前

シグニチャの名前。たとえば、ICMP Echo Reply。

アクション

シグニチャが検出されたときに実行するアクション。

フィルタ

対応するシグニチャに関連付けられている ACL。

重大度

イベントの重大度レベル。重大度レベルは、情報、低、中、および高。

エンジン

シグニチャが属するエンジン。

アイコン

 

 

シグニチャは有効です。

 

シグニチャは無効です。シグニチャは、ルータ設定に存在しますがアクティブではありません。

 

シグニチャ ステータスが SDM で変更され、ルータへの配信を待っています。

右クリック コンテキスト メニュー

シグニチャを右クリックすると、SDM によって次のオプションを持つコンテキスト メニューが表示されます。

[アクション]― シグニチャが一致するときに実行されるアクションを選択する場合にクリックします。詳細については、「アクションの割り当て」を参照してください。

[重大度の設定先]― シグニチャの重大度のレベルを高、中、低、または情報に設定する場合にクリックします。

[デフォルトの復元]― シグニチャのデフォルト値を復元する場合にクリックします。

[フィルタの削除]― シグニチャに適用されているフィルタを削除する場合にクリックします。

[NSDB ヘルプ](CCO アカウントが必要)― ネットワーク セキュリティ データベース(NSDB)についてのヘルプを表示する場合にクリックします。

削除するシグニチャ

この領域は、 [詳細] ボタンをクリックすると、表示されます。ここには、シグニチャ リストから削除したシグニチャが表示されます。削除マークが付けられたシグニチャは、 [変更の適用] をクリックするまでは IPS 設定ではアクティブのままです。[シグニチャ]ウィンドウを閉じて IPS を無効にした場合は、IPS が再度有効になったときにマーク付きのシグニチャが削除されます。

すべての削除の取り消しボタン

削除マーク付きのシグニチャのリストにあるすべてのシグニチャを復元する場合に、このボタンをクリックします。

削除の取り消しボタン

選択した削除マーク付きシグニチャを復元する場合にクリックします。クリックすると、シグニチャのマークが消え、アクティブなシグニチャのリストに戻されます。

変更の適用ボタン

新しくインポートしたシグニチャ、シグニチャの編集、新しく有効または無効になったシグニチャをルータに配信する場合にクリックします。変更が適用されると、黄色の[Wait](待機)アイコンが[!]カラムから削除されます。

変更の破棄ボタン

これまでの変更を破棄する場合にクリックします。

アクションの割り当て

このウィンドウには、シグニチャが一致するときに実行できるアクションが含まれます。利用可能なアクションはシグニチャによって異なりますが、最も一般的なアクションは、次のとおりです。

alarm ― アラームを生成します。

drop ― パケットを廃棄します。

reset ― 接続をリセットします。

シグニチャのインポート

このウィンドウでは、シグニチャを、Cisco.com からダウンロードした SDF からインポートしたり、名前、ID、シグニチャ エンジン別に表示したり、[Signature Configuration](シグニチャ設定)ウィンドウに追加することができます。

使用可能なシグニチャ

[使用可能なシグニチャ]リストには、ダウンロードされた SDF から SDM によりインポートされたシグニチャが表示されます。各シグニチャには、シグニチャ名、シグニチャ ID、サブシグニチャ ID、およびシグニチャのエンジンが表示されます。このリストには、エンジンのタイプ、シグニチャの属性、その他の条件に従ってフィルタを適用できます。

[使用可能なシグニチャ]リストでグレーになっているシグニチャは、すでにルータで設定されています。

使用可能メモリ

このフィールドには、ルータで使用できるメモリの容量が表示されます。このフィールドの値は、シグニチャが追加されると減少します。

追加するシグニチャ

[追加するシグニチャ]リストには、[Signatures Definition File Configuration](シグニチャ定義ファイルの設定)ウィンドウ内のリストに追加されるシグニチャが表示されます。このリストは、ルータに配信できます。

>> ボタンおよび << ボタン

[>>] をクリックすると、[使用可能なシグニチャ]リストで選択したシグニチャが[追加するシグニチャ]リストに移動されます。 [<<] をクリックすると、[追加するシグニチャ]リスト内のシグニチャが削除され、[使用可能なシグニチャ]リストに戻ります。

インポート ボタン

[インポート] をクリックすると、このルータで有効なシグニチャが SDF から SDM IPS にロードされ、[使用可能なシグニチャ]リストに表示されます。インポートの前に、Cisco.com から最新のシグニチャ ファイル更新をダウンロードしておく必要があります。

シグニチャの追加/編集/複製

このウィンドウには、次の「フィールドの定義」セクションで説明するフィールドと値が含まれています。フィールドは、シグニチャによって異なります。したがって、このリストは表示される可能性があるすべてのフィールドを網羅していません。

フィールドの定義

[シグニチャの追加]、[シグニチャの編集]、[シグニチャの複製]の各画面には、次のフィールドがあります。

SIGID ― このシグニチャに割り当てられた一意の数値を識別します。IPS では、この値を使用して特定のシグニチャを識別します。

SigName ― シグニチャに割り当てられた名前を識別します。

SubSig ― サブシグニチャに割り当てられた一意の数値を識別します。subSig ID は、広範なシグニチャのバージョンをさらに細かく特定するために使用されます。

AlarmInterval ― 一定時間後に発行するようにしたイベントの特別な処理です。Y 秒のインターバルで X 個までのアラームに抑えるには、[AlarmInterval]を Y、[MinHits]を X に設定します。

AlarmSeverity ― このシグニチャのアラームで通知される重大度です。

AlarmThrottle ― アラームの生成に使用されるテクニックです。

AlarmTraits ― このシグニチャについて詳しく説明するユーザ定義の特性です。

ChokeThreshold ― AlarmThrottle のモードを自動的に切り替える、インターバルあたりのアラームのしきい値です。[ChokeThreshold]が定義されている場合、[ThrottleInterval]に設定されているインターバルで大量のアラームが発生すると、IPS によって自動的に AlarmThrottle モードが切り替えられます。

Enabled ― シグニチャが有効かどうかを特定します。IPS では、シグニチャで指定されたトラフィックから保護するには、そのシグニチャが有効になっていなければなりません。

EventAction ― このシグニチャと一致したときに IPS で実行されるアクションを特定します。

FlipAddr ― アラーム メッセージで送信元と宛先のアドレス(およびポート)がスワップされる場合は[True]です。スワップされない(正常)の場合は[False]です。

MinHits ― アラーム メッセージが送信される前のシグニチャの最小ヒット数。これは、アドレス キーにシグニチャが X 回現れてからアラームを発行するためのリミッタです。

SigComment ― シグニチャのコメントです。

SigVersion ― シグニチャのバージョンです。

ThrottleInterval ― アラーム スロットルのインターバルを定義する秒数です。これを[AlarmThrottle]パラメータと組み合わせて使用して、特別なアラーム リミッタをチューニングします。

WantFrag ― フラグメントが必要な場合は[True]です。フラグメントが必要でない場合は[False]です。どちらでもよい場合は[Any]です。

Cisco Intrusion Prevention Alert Center

Cisco Intrusion Prevention Alert Center では、新たな脅威に関する情報を提供しており、これらの脅威からネットワークを保護するために利用できる Cisco IPS シグニチャへのリンクが用意されています。Cisco Intrusion Prevention Alert Center には、次のリンクからアクセスできます。

http://www.cisco.com/pcgi-bin/front.x/ipsalerts/ipsalertsHome.pl

グローバル設定

[ホーム]、[設定]、[保存]、[更新]、および[ヘルプ]の各ボタンについては、「IPS メニュー オプションおよびツールバー ボタン」を参照してください。

編集ボタン

このウィンドウに表示されているグローバル設定を編集する場合にクリックします。

通知メソッドのステータス

 

シスログ(Syslog)

[有効] の場合、通知は[システム プロパティ]で指定されたシスログ(Syslog)サーバに送信される。

SDEE

Security Device Event Exchange。 [有効] の場合、SDEE イベントが生成される。

SDEE イベント

ルータのバッファに格納されている SDEE イベントの数。

SDEE サブスクリプション

同時 SDEE サブスクリプションの数。

エンジン オプション

エンジン オプションは次のとおり。

[失敗したら切断]― デフォルトでは、IOS により特定のエンジンの新しいシグニチャがコンパイルされている間、そのエンジンに対するパケットは、スキャンなしでそのまま通過する。このオプションを有効にすると、コンパイル中は IOS でパケットが破棄される。

[ビルトイン シグニチャをバックアップとして使用する]― IPS が指定の場所からシグニチャを検出できなかった場合、または指定の場所からシグニチャをロードできなかった場合、IOS ビルトイン シグニチャを使用して IPS を有効にすることができる。このオプションはデフォルトで有効になっている。

[IPS インターフェイス上の拒否アクション]― ルータで負荷分散を実行している場合、有効にすることが勧められている。このオプションを有効にすると、攻撃的なトラフィックが入ってくるインターフェイスで ACL を有効にする代わりに、IPS インターフェイスで ACL を有効にできる。

イベントの回避

このカテゴリでは Shun Time パラメータを使用する。Shun Time とは、回避アクションを有効にしておく時間のことである。

設定されている SDF の場所

シグニチャの場所は、SDF へのパスを示す URL で指定されます。SDF を探す際、ルータはまずリストの 1 つめの場所にアクセスします。アクセスに失敗した場合は、SDF が見つかるまで、リスト内のその次の場所に順番にアクセスします。

追加ボタン

リストに URL を追加する場合にクリックします。

編集ボタン

選択した場所を編集する場合にクリックします。

削除ボタン

選択した場所を削除する場合にクリックします。

上へ移動/下へ移動ボタン

リスト内の URL の設定順を変更する場合に、これらのボタンを使用します。

グローバル設定の編集

このウィンドウの IOS IPS の全体的な操作に適用される設定を編集します。

シスログ(Syslog)通知の有効化

ルータが、アラーム、イベント、およびエラー メッセージをシスログ(Syslog )サーバに送信するときに選択します。この通知方法を使用するには、シスログ(Syslog)サーバを[システム プロパティ]で指定しておく必要があります。

SDEE 通知の有効化

ルータが SDEE 通知イベントを記録できるようにするときに選択します。

SDEE イベントの最大保存可能数

ルータに格納できる SDEE イベントの最大数を指定します。ルータに格納できるイベント数を増やすと、メモリの使用量が増えます。

同時 SDEE サブスクリプション数(1 ~ 3)

SDEE サブスクリプションは、SDEE イベントのライブ フィードです。ルータで使用する SDEE サブスクリプションの数を指定します。最大数は 3 です。

エンジンが失敗したら切断

デフォルトでは、IOS が特定のエンジンに対して新しいシグニチャをコンパイルしている間、そのエンジンに対するパケットは、スキャンなしでそのまま通過します。コンパイル中、IOS でパケットを破棄するには、このオプションを有効にします。

ビルトイン シグニチャをバックアップとして使用する

IPS が指定の場所からシグニチャを検出できなかった場合、または指定の場所からシグニチャをロードできなかった場合、IOS ビルトイン シグニチャを使用して IPS を有効にできます。このオプションはデフォルトで有効になっています。

IPS インターフェイス上の拒否アクションを有効にする

このオプションは、シグニチャ アクションが[denyAttackerInline]または
[denyFlowInline]に設定されている場合に適用できます。IPS のデフォルトでは、ACL は IPS インターフェイスではなく、攻撃的トラフィックが入ってくるインターフェイスに適用されます。このオプションを有効にすると、IPS により、ACL は最初に攻撃的なトラフィックを受信したインターフェイスではなく、IPS インターフェイスに直接適用されます。ルータで負荷分散を実行していない場合は、この設定を有効にしないでください。ルータで負荷分散を実行している場合は、この設定を有効にすることをお勧めします。

Shun Time

回避アクションを有効にしておく時間を設定します。デフォルト値は 30 分です。

シグニチャの場所の追加/編集

IOS IPS によってロードされる SDF のロード元を指定します。SDF の場所は複数指定できます。

フラッシュ上の SDF を指定

ドロップダウン リストから利用可能なファイルを選択します。

SDF を指定する URL

プロトコル

http または https など、ルータで使用するプロトコルを選択します。

URL

Universal Resource Locator(URL)を次の形式で入力します。

https://<シグニチャ ファイルへのパス>
 

この URL 形式の例を次に示します。これは形式を示すための例です。シグニチャ ファイルへの有効な URL ではありませんのでご注意ください。

https://172.16.122.204/mysigs/vsensor.sdf

設定

この画面では、次の Security Device Manager オプションを設定できます。

コマンドをルータに配信する前にプレビューする

SDM で、IPS によって生成された Cisco IOS 設定コマンドのリストをルータに配信する前に表示する場合は、このオプションを選択します。

シグニチャ ファイルをフラッシュに保存する

シグニチャの変更をルータ フラッシュに保存する場合は、このオプションを選択します。フラッシュ メモリに十分な空き容量がない場合は、SDM によってメッセージが表示されます。この場合は、フラッシュ メモリをアップグレードできるようになるまで、SDF ファイルを PC に保存します。

SDM を終了する前に確認する

SDM を終了するときに確認するダイアログ ボックスを表示する場合は、このオプションをクリックします。

設定をルータに配信する

この画面では、SDM を使用した任意の設定変更をルータに配信できます。SDM の使用による設定変更は、設定を配信するまでルータには反映されません。

実行コンフィギュレーションをルータのスタートアップ コンフィギュレーションに保存する

このチェック ボックスを選択すると、SDM で、ウィンドウに表示されている設定がルータの実行コンフィギュレーション ファイルとスタートアップ ファイルの両方に保存されます。実行コンフィギュレーション ファイルは一時的なもので、ルータがリブートされると消去されます。ルータのスタートアップ コンフィギュレーションに設定を保存すると、リブート後も設定の変更が保持されます。

SDM が Cisco 7000 ルータの設定に使用されている場合で、実行コンフィギュレーションに boot network または boot host コマンドと service config コマンドがある場合は、 [実行コンフィギュレーションをルータのスタートアップ コンフィギュレーションに保存する] チェック ボックスが無効になります。

閉じる

[設定をルータに配信する]ダイアログ ボックスを閉じる場合は、このボタンをクリックします。

ファイルに保存

ウィンドウに表示されている設定の変更をテキスト ファイルに保存する場合は、このボタンをクリックします。