Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
概要
概要
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

概要

Cisco Security Agent の動作

攻撃のライフサイクル

Cisco Security Agent の攻撃への対処方法

構成の概要

ネットワーク アーキテクチャ

Cisco Security Agent のアーキテクチャ

セキュア チャネルによる通信

ポリシー アップデートの配布

概要

Cisco Security Agent の動作

Cisco Security Agent は、攻撃がネットワークおよびシステムの全体に拡散しないように防御するエージェントを展開することによって、セキュリティを企業内のあらゆる場所に提供します。これらの Cisco Security Agent は、Management Center for Cisco Security Agents(CSA MC)が提供するポリシーのセットを実施します。ネットワーク管理者は、ポリシー セットから選択してシステム ノードに適用します。

Cisco Security Agent は、割り当てられたポリシーに従って動作して、システム リソースを強力に保護するとともに、複数のシステムおよびネットワーク リソースの監査と制御を行います。

この章で取り上げる事項は次のとおりです。

「攻撃のライフサイクル」

「Cisco Security Agent の攻撃への対処方法」

「構成の概要」

「ネットワーク アーキテクチャ」

「Cisco Security Agent のアーキテクチャ」

「セキュア チャネルによる通信」

「ポリシー アップデートの配布」

攻撃のライフサイクル

ネットワークが攻撃目標にされたとき、襲撃は通常一連の手順で実行されます。攻撃の各手順は、以前に成功した手順により異なります。 表 1-1 に、攻撃の一般的な展開を示します。

表 1-1 攻撃のライフサイクル

攻撃アクション
ネットワークにおける現象
探索する
  • サーバの IP アドレスに対して ping を実行する
  • IP アドレスに対して traceroute を実行する
  • パスワードをスニファする
  • メール ユーザになりすます
侵入する
  • 電子メール添付
  • Java アプレットと ActiveX コントロール
  • バッファ オーバーフロー
  • バックドアとトロイの木馬
存続する
  • セキュリティの設定を弱める
  • 新しいサービスをインストールする
伝染する
  • 電子メール
  • インターネット接続
  • IRC
  • FTP
  • 感染したファイルの共有
機能を停止させる
  • ディスクを再フォーマットする
  • データを破壊する
  • セキュリティ ホールを開ける
  • コンピュータをクラッシュさせる
  • ワーク サイクルを消費する
  • 機密データを盗む

Cisco Security Agent の攻撃への対処方法

Cisco Security Agent は、アンチウイルス ソフトウェアやネットワーク ファイアウォール ソフトウェアと違って、ユーザが必要なテクノロジーにアクセスするのを妨げません。ユーザが広い範囲のインターネット リソースを使用することによって各自のシステムを危険にさらすだろうという前提に立っています。これを踏まえて Cisco Security Agent は、カーネル レベルでインストールされ、動作します。ネットワーク アクション、ローカル ファイル システム、およびその他のシステム コンポーネントを制御し、システム自体で実行されるアクションのインベントリを維持します。この方法では、悪意のあるシステム アクションはただちに検出され無効にされる一方で、その他のアクションは許可されます。両方のアクションは、ユーザに見えない形で実行され、ユーザは何も中断することがありません。

たとえば、暗号化された悪意あるコードが電子メールを介してシステムに入り込んだ場合、Cisco Security Agent が保護しているシステム リソースを突然実行したり、変更したりしようとすると、そのコードはただちに無効にされ、ネットワーク管理者に通知が送られます。

Cisco Security Agent はネットワーク管理者が設定して展開したポリシーを使用してシステムを保護します。これらのポリシーは、特定のシステム アクションを許可または拒否することができます。システム リソースに対するアクセス、またはアクションが実行される前に、アクションが許可されているか、または拒否されているかを Cisco Security Agent が判別する必要があります。

特に、規則ポリシーを使用することによって、管理者は次のパラメータに基づいて、システム リソースへのアクセスを制御できます。

アクセスされているリソース

呼び出されている動作

そのアクションを呼び出しているアプリケーション

問題のリソースには、システム リソースの場合もあれば、ネットワーク リソース、たとえば、メール サーバの場合もあります。

特定の規則で制御されているシステム アクションが実行されようとして、結果として許可または拒否されたときは、システム イベントがログに記録され、管理者に設定可能な通知形式(たとえば、電子メール、ポケットベル、またはカスタム スクリプト)で送られます。

構成の概要

Management Center for Cisco Security Agents には 2 つのコンポーネントがあります。

CSA MC:指定された Windows 2003 システムにインストールされ、設定データベース サーバおよび Web ベースのユーザ インターフェイスが含まれます。

Cisco Security Agent (エージェント):複数の Windows、Solaris、および Linux オペレーティング システムにインストールされます。サポートされるオペレーティング システムおよびシステム要件の詳細なリストについては、このリリースの『 Release Notes for Cisco Security Agent 』を参照してください。

CSA MC を使用するには、ネットワークのマシンを特定のグループに集めて、それらのグループにセキュリティ ポリシーを付加します。すべての設定は Web ベースのユーザ インターフェイスを介して行われ、その後でエージェントに展開されます。

図 1-1 のネットワーク例に、基本的な展開のシナリオを示します。CSA MC ソフトウェアはポリシーとホスト グループのすべてを維持するシステムにインストールされます。管理ユーザ インターフェイスは、SSL(Secure Sockets Layer)を使用してセキュアにアクセスされ、サーバに接続して Web ブラウザを実行できるネットワーク上のマシンであれば、どのマシンもアクセスできます。CSA MC からネットワーク中のエージェントにポリシーを展開するには、Web ベースのインターフェイスを使用してください。

図 1-1 ポリシーの展開

ネットワーク アーキテクチャ

CSA MC のアーキテクチャ モデルは中央管理センターとシステム ノードで構成されています。中央管理センターは、ポリシーのデータベースを維持し、システム ノードはすべて、Cisco Security Agent ソフトウェアがデスクトップとサーバにインストールされています。

エージェントは、CSA MC に登録されます。CSA MC はシステムの記録を設定データベースで調べます。システムが発見されて認証されたら、CSA MC はその特定のシステムまたは特定のグループのシステムに対して設定ポリシーを展開します。

Cisco Security Agent ソフトウェアは、ローカル システムを継続的に監視して、ポリシーのアップデートが行われていないかどうか、設定可能な間隔で CSA MC をポーリングします。さらに、起動されたイベント アラートを CSA MC のグローバル イベント マネージャに送信します。グローバル イベント マネージャは、システムのイベント ログを検査し、その検査結果によって、アラート通知を管理者に向けて起動することもあれば、エージェントに特定のアクションを起こさせることもあります。


) 製品のアーキテクチャの詳細については、付録 C「システム コンポーネント」を参照してください。


図 1-2 CSA MC のアーキテクチャ

Cisco Security Agent のアーキテクチャ

Cisco Security Agent ソフトウェアは各システム ノードにローカルでインストールされ、そのシステムの動作を代行受信します。ネットワーク アプリケーション インターセプタはアプリケーション レベルに位置し、すべてのアプリケーション動作を代行受信します。その他の Cisco Security Agent のメカニズムはネットワーク トラフィック、ファイル アクション、およびシステム レジストリ アクションを代行受信します。その間に規則およびイベント相関エンジンはエージェント メカニズムすべてを制御し、そのエージェント メカニズムはエージェント ポリシーを起動するイベントを監視します。図 1-3を参照してください。

図 1-3 Cisco Security Agent ソフトウェア アーキテクチャ(Windows)

図 1-4 Cisco Security Agent ソフトウェア アーキテクチャ(UNIX)

セキュア チャネルによる通信

Management Center for Cisco Security Agents サーバ システムとブラウザベースのユーザ インターフェイスにアクセスしているシステムとの間の通信はすべて、SSL(Secure Sockets Layer)を使用して保護されます。管理者の認証も、各管理セッションを認証して開始するためのユーザ名とパスワードの入力を要求することによって提供されます。さらに、管理サーバとエージェントの間の通信も SSL を通過します。

証明書のインポートと SSL を使用した安全な接続については、インストレーション ガイドを参照してください。

ポリシー アップデートの配布

ネットワークの Cisco Security Agent は、設定可能な間隔で、アップデートされた規則がないかどうかチェックするために CSA MC をポーリングします。詳細については、 第 3 章「グループの設定とホストの管理」 を参照してください。

規則がシステムで起動されると、エージェントはそのイベント通知を CSA MC に送信します。CSA MC はそのエージェントを識別し、エージェントによって提出されたイベント通知を検査し、この情報を相関付けます。