Cisco Intrusion Detection System Device Manager および Event Viewer インストレーション ユーザ ガイド
IDS Device Manager 設定タスク
IDS Device Manager 設定タスク
発行日;2012/02/07 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

IDS Device Manager 設定タスク

インターフェイスの設定

センシング インターフェイスのイネーブル化とディセーブル化

インターフェイス グループへのインターフェイスの追加

シグニチャの設定

シグニチャの説明

Alarm Channel System Variables の設定

Alarm Channel Event Filters の設定

仮想センサー システム変数の設定

仮想センサー シグニチャ設定モードを使用したシグニチャの設定

仮想センサー シグニチャ設定モードでの作業

組み込みシグニチャのチューニング

カスタム シグニチャの作成

Signature Wizard の説明

Signature Wizard による カスタム シグニチャの作成

HTTP 要求のサンプル

正規表現の構文

IP フラグメント再構成の設定

TCP ストリーム再構成の設定

IP ロギングの設定

トラフィック オーバーサブスクリプションの確認

ブロッキングの設定

ブロッキング プロパティの設定

ブロックしないアドレスの設定

論理デバイスのセットアップ

ブロッキング デバイスの設定

Router Blocking Device Interfaces の設定

Catalyst 6K のブロッキング デバイス インターフェイスの設定

マスター ブロッキング センサーの設定

自動アップデートの設定

自動アップデートの設定

サポートされる FTP サーバ

Cisco IDS ソフトウェアの入手方法

暗号化アクセスが可能な Cisco.com アカウントの申し込み

アクティブなアップデート通知

Network Security Database

デフォルト設定への復元

IDS Device Manager 設定タスク

システム情報の設定が終了すると、インターフェイスの割り当て、シグニチャの設定、ブロッキングの設定、自動シグニチャ アップデートの設定、デフォルトの復元を実行できます。

次の各項では、これらのオプションを [Configuration] タブで設定する方法について説明します。

「インターフェイスの設定」

「シグニチャの設定」

「ブロッキングの設定」

「自動アップデートの設定」

「デフォルト設定への復元」

インターフェイスの設定

スニファ インターフェイス(監視)は、Group 0 の両側として、センサーに対してそのインターフェイスが監視できるようイネーブルになっている必要があります。


注意 Cisco IDS バージョン 4.1 がプレインストールされたセンサーでは、すべてのスニファ インターフェイスが Group 0 に追加されていますが、ディセーブルの状態で出荷されます。センサーに監視させたいスニファ インターフェイスをイネーブルにする必要があります。スニファ インターフェイスをイネーブルにしていない場合、センサーはネットワークを監視できません。

「センシング インターフェイスのイネーブル化とディセーブル化」

「インターフェイス グループへのインターフェイスの追加」

センシング インターフェイスのイネーブル化とディセーブル化

センサーに対して、コマンドとコントロールはそれぞれ 1 つしかありません。使用しているセンサーの種類に応じて、5 つのスニファ(監視)インターフェイスを設定できます。[Sensing Interface] ページに、認識されているセンシング インターフェイスが一覧表示されています。ここで、イネーブルまたはディセーブルにできます。

センサーがネットワーク トラフィックを監視するには、スニファ インターフェイスが Group 0 の一部であり(「センシング インターフェイスのイネーブル化とディセーブル化」を参照)、かつそれらがイネーブルにされていることが必要です。


) すべてのインターフェイスをイネーブルにする必要はありません。監視する必要があるインターフェイスだけをイネーブルにします。



注意 バージョン 4.0 から 4.1 へのアップグレードによって、いくつかのインターフェイスがグループに割り当てられずにイネーブルにされてしまう可能性があります。そのようなインターフェイスは、センサーへの通知に不整合が生じるのを避けるために、ディセーブルにするかあるいは Group 0 に追加してください。

センシング インターフェイスをイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Interfaces] を選択します。

[Sensing Interface] ページが表示されます。

このページには、インターフェイス名、デバイス名、インターフェイスのイネーブルとディセーブルの区別、インターフェイスがコマンド アンド コントロールであるか、スニファであるかの区別、およびインターフェイスのタイプ(SX、TX)の情報が表示されます。

ステップ 2 イネーブルまたはディセーブルにするインターフェイスの隣にあるチェックボックスを選択します。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 3 [Enable] または [Disable] をクリックします。

インターフェイスは、インターフェイス グループに属している場合にだけイネーブルにできます。インターフェイスがグループの一部でない場合には、次のエラーが表示されます。

This operation is illegal because interface, int0, does not belong to an interface group.

インターフェイス グループの詳細については、「インターフェイス グループへのインターフェイスの追加」を参照してください。

コンフィギュレーションの実行中は、次のメッセージが表示されます。

Configuration update is in progress. This page will be unavailable for a few minutes.

再び [Sensing Interface] ページが表示され、変更点が表示されます。


 

インターフェイス グループへのインターフェイスの追加

インターフェイス グループは、複数のスニファ インターフェイスを単一の論理的な仮想センサーにグループ化する方法です。インターフェイス グループは、0 だけがサポートされています。このインターフェイス グループには、複数のスニファ インターフェイスを随時割り当てられます。


) インターフェイス グループには、コマンド アンド コントロール タイプのインターフェイスを割り当てられません。


センサーがスニファ インターフェイスを監視するには、スニファ インターフェイスが Group 0 に割り当てられ、イネーブル化されている必要があります(「センシング インターフェイスのイネーブル化とディセーブル化」を参照)。


注意 IDS-4250-XL では、インターフェイス 0 をセンシング インターフェイスにはできません。これは、インターフェイス 0(int0)が TCP リセットの送信に使用されるためです。

インターフェイスをインターフェイス グループに追加し、インターフェイス グループをイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Interface Groups] を選択します。

[Interface Groups] ページが表示されます。

次の情報が表示されます。

[Group Number]:そのグループに割り当てられている論理番号。本リリースでは、0 を使用します。


) グループ番号は、0 だけがサポートされています。


[Virtual Sensor]:このグループに割り当てる仮想センサーを指定します。本リリースでは、「virtualSensor」を使用します。


) 仮想センサー(virtualSensor)は、1 つだけがサポートされています。


[Alarm Channel]:このグループのアラームチャネルを指定します。本リリースでは、「alarmChannel」を使用します。


) アラームチャネル(alarmChannel)は、1 つだけがサポートされています。


[Sensing Interfaces]:グループに属するインターフェイスを定義します。デフォルト値はありません。

[Enabled]:グループをイネーブルにするかディセーブルにするかを定義します。デフォルトは Yes です。

ステップ 2 イネーブルまたはディセーブルにするグループ インターフェイスの隣にあるチェックボックスを選択します。

ステップ 3 [Enable] または [Disable] をクリックします。

ステップ 4 編集するグループ インターフェイスの隣にあるチェックボックスを選択します。

ステップ 5 [Edit] をクリックします。

[Editing] ページが表示されます。

ステップ 6 グループに追加する 1 つ以上のセンシング インターフェイスを選択できます。


) 本リリースで編集できるオプションは、[Sensing Interfaces] だけです。複数のインターフェイスを選択するには、追加するインターフェイスを選択している間は Ctrl キーを押し続けてください。



注意 コマンド アンド コントロール インターフェイスを選択すると、設定エラーとなります。センシング インターフェイスとしてコマンド アンド コントロール インターフェイスを選択しないでください。ほとんどのセンサーでは、コマンド アンド コントロール インターフェイスは int1 ですが、ルータ ネットワーク モジュールでは int0 です。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 7 変更を保存、適用するには、[Apply to Sensor] を選択します。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

ステップ 8 変更を加えた [Group Interfaces] ページを表示するには、[Configuration] > [Sensing Engine] > [Interface Groups] を選択します。


 

シグニチャの設定

システム変数とイベント フィルタを設定し、Sensing Engine を通じてシグニチャのチューニングと作成ができます。

次のセクションでは、Sensing Engine を通じてシグニチャを設定する方法を説明します。

「シグニチャの説明」

「Alarm Channel System Variables の設定」

「Alarm Channel Event Filters の設定」

「仮想センサー システム変数の設定」

「仮想センサー シグニチャ設定モードを使用したシグニチャの設定」

「Signature Wizard の説明」

「IP フラグメント再構成の設定」

「TCP ストリーム再構成の設定」

「IP ロギングの設定」

「トラフィック オーバーサブスクリプションの確認」

シグニチャの説明

攻撃またはその他のネットワーク リソースの不正使用は、ネットワークへの侵入として定義付けることができます。ネットワークへの侵入は、シグニチャ ベースのテクノロジーを使用したセンサーによって検出されます。シグニチャは、Denial Of Service(DoS; サービス拒絶)攻撃などの典型的な不正侵入行為を検出するためにセンサーが使用する規則の集まりです。センサーは、ネットワーク パケットをスキャンするときに、シグニチャを使って既知の攻撃を検出し、指定されたアクションに従って対応します。

センサーは、一連のシグニチャとネットワーク アクティビティを比較します。一致した場合、イベントのロギングや IDS Event Viewer へのアラートの送信などのアクションを実行します。センサーでは、既存のシグニチャを変更したり、新しいシグニチャを定義したりできます。

シグニチャ ベースの侵入検出では、false positive が生じる場合があります。通常のネットワーク アクティビティでも、悪意のあるアクティビティとして誤解される場合があるためです。たとえば、ネットワーク アプリケーションやオペレーティング システムによっては多数の ICMP メッセージを送信する場合がありますが、シグニチャ ベースの検出システムでは、これを攻撃者がネットワーク セグメントを調査しようとしていると解釈してしまう可能性があります。センサーをチューニングすると、false positives を最小限に抑えることができます。

特定のシグニチャを使ってネットワーク トラフィックを監視するようにセンサーを設定するには、そのシグニチャを使用可能にする必要があります。デフォルトでは、重要なシグニチャは IDS Device Manager のインストール時に使用可能になります。使用可能になっているシグニチャと一致する攻撃が検出された時には、センサーはアラート イベント(以前はアラームと呼ばれていました)を生成します。これは、センサーのイベント ストアに保存されます。Web ベース クライアントは、アラート イベントやその他のイベントをイベント ストアから取得できます。デフォルトでは、センサーは Informational 以上のすべてのアラートをログに記録します。IDS Event Viewer を宛先として追加してあれば、アラームは IDS Event Viewer データベースに送られ、アラームを IDS Event Viewer で表示できます。

シグニチャには、サブシグニチャを持つもの(サブカテゴリに分類されているもの)があります。サブシグニチャを設定した場合、あるサブシグニチャのパラメータを変更しても、変更が適用されるのはそのサブシグニチャだけです。たとえば、シグニチャ 3050 のサブシグニチャ 1 の重大度を変更した場合、重大度の変更はサブシグニチャ 1 だけに適用され、3050 2、3050 3、および 3050 4 には適用されません。

ビルトイン シグニチャは、センサー ソフトウェアに含まれている既知の攻撃シグニチャです。ビルトイン攻撃シグニチャのリストに対しては、追加や削除はできません。名前も変更できません。組み込みシグニチャのチューニングは可能です。これには、シグニチャのいくつかのパラメータを変更します。変更された組み込みシグニチャは、 チューニング済み シグニチャと呼ばれます。

カスタム シグニチャと呼ばれるシグニチャを作成できます。カスタム シグニチャ ID は、20000 から始まります。カスタム シグニチャは任意の数の項目に対して設定できます。たとえば、UDP 接続の文字列との一致やネットワーク フラッドの追跡、スキャンなどです。シグニチャは、監視するトラフィックの種類に対して特別に設計されたシグニチャ エンジンを使って作成します。

Alarm Channel System Variables の設定

アラーム チャネル イベント フィルタの設定には、システム変数を使用します。複数のフィルタで同じ値を使用する場合、変数を使用します。変数の値を変更すると、すべてのフィルタの変数が更新されます。このため、アラーム フィルタを設定するときに変数を繰り返し変更しなくて済みます。詳細については、「Alarm Channel Event Filters の設定」を参照してください。

アラームは、アラーム チャネルに送られ、そこでフィルタと集約が行われます。サポートされるアラームチャネルは 1 つだけのため、アラーム チャネルは選択できません。

アラーム チャネル システム変数の値は変更できますが、変数の追加や削除はできません。変数の名前、タイプ、制約も変更できません。


) すべての Sensing Engine ページに対して新しい設定を適用するには、[Activity] バー上の [Save Changes] アイコンをクリックする必要があります。


たとえば、エンジニアリング グループに適用された IP アドレス空間があり、そのグループ内に Windows システムがない場合、Windows ベースの攻撃については考慮する必要がなく、エンジニアリング グループの IP アドレス空間として USER-ADDR1 を設定できます。これにより、[Event Filters] ページでその変数を使用して、USER-ADDR1 に対する Windows ベースの攻撃をすべて無視するフイルタを設定できます。

ネットマスク 255.255.255.0 で 192.168.1.0 ネットワークを指定するいくつかの例を次に示します。

192.168.1.0-192.168.1.255

これはネットワークを、1 つの IP アドレスの範囲として指定するものです。


) 「-」は、2 つの IP アドレスに挟まれた IP アドレス範囲を示します。


192.168.1.0/24

これは、数値のビット マスクを用いたネットワークを指定します。

192.168.1.

これは、最後のオクテットを除いたネットワークを指定します。


) センサーは、最後のオクテットが無い IP アドレスをネットワークとして扱います(それに対し、ping はひとつの IP アドレスにまで解決しようとします)。


192.168.1

このため、最後のオクテットを除いたネットワークを指定します(最後の「.」は除かれています)。

複数のエントリの間にコンマを入れて複数の IP アドレスとネットワークをひとつの変数として指定することもできます。次の例 10.20、20-50 は、次のようなネットワークになります。

10.20:ネットマスク 255.255.0.0 をもつネットワーク 10.20.0.0

20-50:20.0.0.0 255.0.0.0、21.0.0.0 255.0.0.0、22.0.0.0 255.0.0.0、と続いて 50.0.0.0 255.0.0.0 で終わる 31 の異なるネットワーク

各ネットワーク アドレスは、以下のいずれかで始まります。

20、21、22、23、24、25、26、27、28、29

30、31、32、33、34、35、36、37、38、39

40、41、42、43、44、45、46、47、48、49

または 50 の、計 31 ネットワークが指定されます。

アラーム チャネル システム変数を定義するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Alarm Channel Configuration] > [System Variables] を選択します。

[System Variables] ページが表示されます。

ステップ 2 編集したいシステム変数の隣にあるチェックボックスを選択し、[Edit] をクリックします。

選択した変数の [Editing] ページが表示されます。


) 一度に編集できる変数は 1 つだけです。ページの最後にある [Rows per page] リスト ボックスでページの表示を調整したり、[Page] リスト ボックスでページを選択することで変数の追加ページに移動できます。


ステップ 3 次のシステム変数に対する値を入力してください(編集しているものに応じた値で、上の例では USER-ADDRS1 です)。


) デリミタにはカンマが使用できます。カンマの後にはスペースを入れないでください。スペースを入力すると、Validation failed エラーが生じます。


OUT

OUT は、IN に含まれないすべてを定義します。この値は編集できません。デフォルトは 0 ~ 255.255.255.255 です。

IN

IN は、すべての内部 IP アドレス空間のリストです。内部 IP アドレスを入力してください。

DMZ1、DMZ2、DMZ3

DMZ は、任意の IP アドレスの指定に使用できます。これらは、ファイアウォールに付随するフィルタリング シグニチャと共に使う名前付き DMZ です。

USER-ADDRS1、USER-ADDRS2、USER-ADDRS3、USER-ADDRS4、USER-ADDRS5

USER-ADDR は、任意の IP アドレスの指定に使用できます。フィルタを使用する IP アドレスの任意のグループに適用するために、USER-ADDR 変数を設定できます。

SIG1、SIG2、SIG3、SIG4、SIG5

SIG は、特定のアドレスに対して除外する、よく使われるシグニチャを定義するために使用できます。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 4 [OK] をクリックします。


) 変更を元に戻すには、[Activity] バーの [Undo Changes] アイコンをクリックします。


ステップ 5 システム変数を保存するには、[Activity] バーの [Save Changes] アイコンをクリックします。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

リスト中の編集した変数を見るには、数分待機してから、[Alarm Channel Configuration] > [System Variables] を再度クリックします。

新しい値が [Value] カラムに表示されます。

ステップ 6 ステップ 2 から 5 を繰り返して、追加のシステム変数を編集します。


 

Alarm Channel Event Filters の設定

指定したシグニチャに対する送信元アドレスと宛先アドレスに基づいて、イベント フィルタを設定できます。フィルタに対するアドレスをグループ化するために、Alarm Channel System Variables ページ上で定義したアラーム チャネル システム変数が使用できます。


) 文字列でなく変数を使っていることを示すために、変数を「$」で始める必要があります。「$」を付けないと、Bad source and destination エラーが生じます。



) すべての Sensing Engine ページに対して新しい設定を適用するには、[Activity] バー上の [Save Changes] アイコンをクリックする必要があります。


アラーム チャネル イベント フィルタを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Alarm Channel Configuration] > [Event Filters] を選択します。

[Event Filters] ページが表示されます。

ステップ 2 イベント フィルタを追加するには、[Add] をクリックします。

[Adding] ページが表示されます。

ステップ 3 [SIGID] フィールドには、このフィルタを適用するイベントのシグニチャ ID を入力します(上記の例はシグニチャ 7101 とシステム変数 $USER-ADDRS1 を使用しています)。

使用できるのは、リスト(2001, 2004)、範囲 (2001 ~ 2004)、全シグニチャに対してはアスタリスク(*)、(あるいは [Alarm Channel System Variables] ページで定義していれば)SIG 変数の 1 つです。変数の前には $ を付けます。

ステップ 4 [SubSig] フィールドには、このフィルタを適用するイベントのサブシグニチャ ID を入力します。

ステップ 5 [Exception] フィールドには、イベント フィルタへの例外(ブール値)を入力します。


) フィルタがイベント フィルタへの例外を示す場合は、具体的な情報を追加するのではなく、「一般ケース」の例外を作成することができます。たとえば、イベント フィルタがシグニチャ グループの生成を防止した場合、例外は既存のフィルタをかいくぐってシグニチャのサブセットを適用させます。


ステップ 6 [SrcAddrs] フィールドには、このフィルタを適用するイベントの送信元アドレスを入力します。

[Alarm Channel System Variables] ページで DMZ または USER-ADDR 変数を定義していれば、それらのいずれかも使用できます。変数の前には $ を付けます。

ステップ 7 [DestAddrs] フィールドには、このフィルタを適用するイベントの宛先アドレスを入力します。

[Alarm Channel System Variables] ページで DMZ または USER-ADDR 変数を定義していれば、それらのいずれかも使用できます。変数の前には $ を付けます。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 8 [Apply to Sensor] をクリックします。


) 変更を元に戻すには、[Activity] バーの [Undo Changes] アイコンをクリックします。


ステップ 9 変更を保存するには、[Activity] バーの [Saves Changes] をクリックします。

次のようなメッセージが表示されます。

Configuration information is not available at this time. Try again in a few minutes.

追加したフィルタを見るには、数分待機してから [Event Filters] をクリックします。

フィルタされているシグニチャが [Event Filters] ページに表示されます。

ステップ 10 フィルタを削除するには、シグニチャの隣にあるチェックボックスを選択し、[Remove] をクリックします。

ステップ 11 フィルタを編集するには、該当するフィルタの隣にあるチェックボックスを選択し、[Edit] をクリックします。

[Editing] ページが表示されます。

ステップ 12 変更を加えた後、[OK] をクリックします。


 

仮想センサー システム変数の設定

複数のシグニチャで同じ値を使用する場合、変数を使用します。変数の値を変更すると、すべてのシグニチャの変数が更新されます。このため、シグニチャを設定するときに変数を繰り返し変更しなくて済みます。

システム変数の値は変更できますが、変数の追加や削除はできません。変数の名前やタイプは変更できません。仮想センサーは 1 つしかサポートされないため、選択はできません。


) すべての Sensing Engine ページに対して新しい設定を適用するには、[Activity] バー上の [Save Changes] アイコンをクリックする必要があります。


仮想センサー システム変数を選択するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [System Variables] を選択します。

[System Variables] ページが表示されます。

ステップ 2 編集したいシステム変数を選択し、[Edit] をクリックします。

[Editing] ページが表示されます。

ステップ 3 編集したいシステム変数に値を入れます(上記の例では Ports1 です)。


) 一度に編集できるシステム変数は 1 つだけです。ページの最後にある [Rows per page] リスト ボックスでページの表示を調整したり、[Page] リスト ボックスでページを選択することで変数の追加ページに移動できます。


WEBPORTS:WEBPORTS は Web サーバが実行されているポート群で、あらかじめ定義されているものですが、値は編集できます。この変数は、Web ポートが含まれるすべてのシグニチャに影響します。デフォルトは、80, 3128, 8000, 8010, 8080, 8888, 24326 です。

Ports1、Ports2、Ports3、Ports4、Ports5、Ports6、Ports7、Ports8、Ports9:特定のシグニチャに適用するポートのリストを設定できます。

IPReassembleMaxFrags:システムにキューさせるフラグメントの総数を定義します。定義できる数は、1000 から 50,000 の間です。デフォルトは 10,000 です。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 4 [OK] をクリックします。


) 変更を元に戻すには、[Activity] バーの [Undo Changes] アイコンをクリックします。


ステップ 5 システム変数を保存するには、[Activity] バー上の [Save Changes] アイコンをクリックします。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

数分待機したら、[Virtual Sensor Configuration] > [System Variables] をクリックして編集した値を表示します。

新しい値が [Value] カラムに表示されます。

ステップ 6 ステップ 2 から 5 を繰り返して、追加のシステム変数を編集します。


 

仮想センサー シグニチャ設定モードを使用したシグニチャの設定

Signature Configuration Mode ページには、仮想センサーに対するシグニチャ グループの最上位カテゴリのリストが表示されます。リスト内の全シグニチャまたはシグニチャ エンジンのタイプに応じてグループ化されたシグニチャが表示されます。一部のシグニチャがデフォルトでイネーブルになっているため、それに対応するセキュリティ レベルは即時に提供されます。組み込みシグニチャを変更した場合は、 チューニング済み シグニチャとなります。また、 カスタム シグニチャと呼ばれるシグニチャも作成できます。

仮想センサーは 1 つしかないため、選択できません。

[All Signatures] をクリックすると、全部のシグニチャを一度に表示できます。特定のシグニチャを探す場合は、[All Signatures] をクリックしてからブラウザの検索オプションを使用してシグニチャ ID またはシグニチャ名を検索します。

グループ名をクリックすると、グループ内のシグニチャ リストを表示できます。各グループには、そのイネーブル レベルが表示されます(ディセーブル、一部イネーブル、またはイネーブル アイコン)。グループ内の 1 つか一部またはすべてのシグニチャをイネーブル化またはディセーブル化できます。シグニチャを選択してイネーブル化またはディセーブル化するには、シグニチャのチェックボックスを選択します。

組み込みシグニチャはチューニングできます。シグニチャをチューニングするには、チェックボックスを選択し、[Edit] をクリックします。一部のシグニチャにはサブ シグニチャがあります。これらは個別に編集できるため、シグニチャをより柔軟にコントロールできます。手順については、「組み込みシグニチャのチューニング」を参照してください。

カスタム シグニチャの作成、およびカスタム シグニチャの個別、一部、全部の削除ができます。カスタム シグニチャを作成するには、正しいシグニチャ エンジンを選択した後、[Add] をクリックし、シグニチャ パラメータを設定します。シグニチャ エンジンとそのパラメータの詳細については、「シグニチャ エンジンの使用」を参照してください。


) カスタム シグニチャを作成するプロセスを説明する Signature Wizard を使用することもできます。


シグニチャは、複数のグループに属することができます。あるグループでシグニチャの編集を行うと、全グループに影響します。たとえば、Attack カテゴリですべての一般的攻撃シグニチャをイネーブルにすると、7107 がイネーブルになります。Engine カテゴリで ATOMIC.ARP シグニチャをディセーブルにすると、7107 はディセーブルになります。最後に実行した編集が、適用されます。

この項で取り上げる事項は次のとおりです。

「仮想センサー シグニチャ設定モードでの作業」

「組み込みシグニチャのチューニング」

「カスタム シグニチャの作成」

仮想センサー シグニチャ設定モードでの作業

Signature Configuration Mode ページでは、シグニチャ グループや複数のシグニチャのイネーブル化とディセーブル化、すべてのシグニチャの表示、チューニング済みシグニチャのデフォルトへの復元が実行できます。シグニチャがイネーブル化されると、アラームが送信されます。

シグニチャ ID 番号をクリックし、NSDB 内のシグニチャの説明を表示できます。NSDB の詳細については、「Network Security Database」を参照してください。

シグニチャのイネーブル化、ディセーブル化、表示、デフォルトへの復元は、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [Signature Configuration Mode] を選択します。

[Signature Groups] ページが表示されます。

ステップ 2 グループ内のすべてのシグニチャをイネーブル化またはディセーブル化するには、シグニチャ グループの隣にあるチェックボックスを選択し、[Enable] または [Disable] をクリックします。


) 塗りつぶしのない円は、そのシグニチャ グループ内にイネーブルになっているシグニチャがないことを示します。塗りつぶされた円は、すべてのシグニチャがイネーブルになっていることを示します。一部が欠けた円は、グループ内の少なくとも 1 のシグニチャがイネーブルになっていることを示します。


次のメッセージが表示されます。

Selected Signatures have been enabled. To commit the changes please click the save changes icon in the Activity Bar.

ステップ 3 [Save Changes] アイコンをクリックして変更を保存するか、シグニチャ グループの隣にあるチェックボックスを選択して [Restore Defaults] をクリックし、グループをデフォルト設定に戻します。

ステップ 4 単一のシグニチャをイネーブルまたはディセーブルにするには、次のいずれかを実行します。

すべての IDS シグニチャを表示するには、[All Signatures] をクリックします。


) [Page] リスト ボックスの範囲で複数のシグニチャを選択できます。[Rows per page] リスト ボックスで [All] を選択した場合、すべてのシグニチャが表示されるまでに時間がかかる場合があります。


[All Signatures] ページが表示されます。

シグニチャ ID 番号をクリックし、NSDB 内のシグニチャの説明を表示できます。NSDB の詳細については、「Network Security Database」を参照してください。

シグニチャ グループ名をクリックします。

たとえば、[Attack Signatures] をクリックします。

[Attack] ページが表示されます。

イネーブルまたはディセーブルにする攻撃シグニチャ グループ、たとえば、DoS をクリックします。

ステップ 5 イネーブルまたはディセーブルにするシグニチャの隣にあるチェックボックスを選択し、[Enable] または [Disable] をクリックします。


注意 シグニチャは、複数のグループに属することができます。あるグループでシグニチャをイネーブルまたはディセーブルにすると、他のグループに属している同じシグニチャも影響を受けます。

次のメッセージが表示されます。

Selected Signatures have been enabled. To commit the changes please click the save changes icon in the Activity Bar.

ステップ 6 [Save Changes] アイコンをクリックして変更を保存するか、シグニチャの隣にあるチェックボックスを選択し、[Restore Defaults] をクリックしてシグニチャをデフォルト設定に戻します。


) 単一のシグニチャ レベルの後は、シグニチャを編集(チューニング)できます。手順については、「組み込みシグニチャのチューニング」を参照してください。


ステップ 7 シグニチャの隣にあるチェックボックスを選択し、[Delete] をクリックします


) 削除できるのはカスタム シグニチャだけで、ビルトインやチューニング済みシグニチャは削除できません。


カスタム シグニチャの作成については、「カスタム シグニチャの作成」を参照してください。

ステップ 8 変更を保存するには、[Activity] バー上の [Save Changes] アイコンをクリックします。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

ステップ 9 [Signature Configuration Mode] ページに戻るには、[Virtual Sensor Configuration] > [Signature Configuration Mode] をクリックします。

ステップ 10 リスト中のイネーブル化またはディセーブル化されたシグニチャを表示するには、[All Signatures] または該当するシグニチャ グループをクリックします。


 

組み込みシグニチャのチューニング

シグニチャをチューニングするには、単一シグニチャのレベルで [Edit] をクリックします。そのシグニチャに対して可能なパラメータのリストが表示されます。どのパラメータも編集できますが、赤色のアスタリスクがついたパラメータに対する値が必要になります。一部のパラメータにはそこから選択できるメニュー リストがあり、それ以外ではテキストを入力します。それぞれに有効な値を見るには、マウスをそのパラメータの上に置きます。シグニチャ エンジンとパラメータの詳細については、「シグニチャ エンジンの使用」を参照してください。

シグニチャをチューニングするには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [Signature Configuration Mode] を選択します。

[Signature Groups] ページが表示されます。

ステップ 2 すべての IDS シグニチャを表示するには、[All Signatures] をクリックするか、あるいは該当するシグニチャ グループ名をクリックします。

この例では、[All Signatures] ページを使用します。

[All Signatures] ページが表示されます。


) [Rows per page] リスト ボックスで [All] を選択した場合、すべてのシグニチャが表示されるまでに時間がかかる場合があります。


ステップ 3 編集するシグニチャの隣にあるチェックボックスを選択し(この例では、Other エンジンから Signature 993)、[Edit] をクリックします。


) 一度に編集できるシグニチャは 1 つだけです。ページの最後にある [Rows per page] リスト ボックスでページの表示を調整したり、[Page] リスト ボックスでページを選択することで変数の追加ページに移動できます。前のページに戻るには、[Back] をクリックします。


[Editing] ページが表示されます。

ステップ 4 シグニチャのパラメータへの変更(たとえば Alarm Severity を Informational から Medium に変更)を確認します。

各パラメータの説明を見るには、マウスをそのパラメータの上に置きます。シグニチャ エンジンとパラメータの詳細については、「シグニチャ エンジンの使用」を参照してください。


) IP ログを生成するには、ログに対して EventAction を設定します。このシグニチャに基づく攻撃をセンサーが検出したときに、IP ログが自動的に作成されます。詳細については、「IP ロギングの設定」「IP ログのダウンロード」を参照してください。


ステップ 5 組み込みシグニチャへの変更を保存するには、[Ok] をクリックします。

次のメッセージが表示されます。

Signature has been updated. To commit the changes please click the save changes icon in the Activity bar.

Alarm Severity が Informational から Medium に変更され、ページが再表示されます。このシグニチャを編集したため、Type が Built-in から Tuned に変更されました。


) シグニチャ ページを移動するには、ページ下部にある [Back] ボタンを使用します。


ステップ 6 変更を保存するには、[Activity] バー上の [Save Changes] アイコンをクリックします。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

ステップ 7 [Signature Configuration Mode] ページに戻るには、[Virtual Sensor Configuration] > [Signature Configuration Mode] をクリックします。

ステップ 8 リスト中のチューニングされたシグニチャを表示するには、[All Signatures] または該当するシグニチャ グループをクリックします。


 

カスタム シグニチャの作成

カスタム シグニチャの作成、およびカスタム シグニチャの個別、一部、全部の削除ができます。カスタム シグニチャを作成するには、正しいシグニチャ エンジンを選択した後、[Add] をクリックし、シグニチャ パラメータを設定します。シグニチャ エンジンとそのパラメータの詳細については、「シグニチャ エンジンの使用」を参照してください。

仮想センサーは 1 つしかないため、選択できません。

カスタム シグニチャを作成するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [Signature Configuration Mode] を選択します。

[Signature Configuration Mode] ページが表示されます。

ステップ 2 [Signature Groups] ページで [Engines] をクリックします。

[Engines] ページが表示されます。

ステップ 3 カスタム シグニチャの作成に使用するエンジン、たとえば [TRAFFIC.ICMP] をクリックします。

[TRAFFIC.ICMP] ページに組み込みシグニチャが列挙されます。

ステップ 4 [Add] をクリックします。

[Adding TRAFFIC.ICMP] ページが表示されます。

ステップ 5 必要なパラメータを入力し、[Ok] をクリックします。

各カテゴリの説明を見るには、マウスをそのカテゴリの上に置きます。シグニチャ エンジンとカテゴリの詳細については、「シグニチャ エンジンの使用」を参照してください。


) IP ログを生成するには、ログに対して EventAction を設定します。このシグニチャに基づく攻撃をセンサーが検出したときに、IP ログが自動的に作成されます。詳細については、「IP ロギングの設定」「IP ログのダウンロード」を参照してください。



) カスタム シグニチャ ID の範囲は、20000 ~ 50000 です。


次のようなメッセージが表示されます。

Signature has been added. To commit the changes please click the save changes icon in the Activity bar.

[TRAFFIC.ICMP] ページに、Type が Custom の新しいシグニチャが表示されます。

ステップ 6 変更を保存するには、[Activity] バー上の [Save Changes] アイコンをクリックします。

次のようなメッセージが表示されます。

Configuration update in progress. This page will be unavailable for a few minutes.

ステップ 7 [Signature Configuration Mode] ページに戻るには、[Signature Configuration Mode] をクリックします。

ステップ 8 リスト中のカスタム シグニチャを表示するには、[All Signatures] または該当するシグニチャ グループをクリックします。


 

Signature Wizard の説明

Signature Wizard は、すべてのシグニチャ エンジンとそれらのパラメータについての詳細な知識がなくてもカスタム シグニチャの作成が可能なように、作成手順を順を追って示します

Signature Wizard には、6 つのタスクがあります。

シグニチャ タイプの選択(Signature Type)

シグニチャの識別(Signature Identification)

エンジン固有のパラメータの設定(Engine-Specific Parameters)

アラート応答の設定(Alert Response)

アラート動作の設定(Alert Behavior)

カスタム シグニチャの完了(Finish)

一部のシグニチャ パラメータは、すべてのシグニチャに共通です。これらの Master Engine パラメータは、識別、アラート動作、アラート応答のパラメータに分類されています。Signature Type(Web、single packet、string)を選択した後、そのタイプのシグニチャに特有のパラメータを設定します。


) カスタム シグニチャの作成後、Dropped Packet Count signature(993)をイネーブルにして、作成したカスタム シグニチャをテストすることをお勧めします。詳細については、「トラフィック オーバーサブスクリプションの確認」を参照してください。


ここでは、次の内容について説明します。

「Signature Wizard による カスタム シグニチャの作成」

「HTTP 要求のサンプル」

「正規表現の構文」

Signature Wizard による カスタム シグニチャの作成

Signature Wizard は、カスタム シグニチャを設定する手順を順を追って示します。この手順を覚えると、カスタム シグニチャを Virtual Sensor Configuration Mode から設定することもできるようになります。手順については、「カスタム シグニチャの作成」を参照してください。

シグニチャ エンジンとそのパラメータの詳細については、「シグニチャ エンジンの使用」を参照してください。

Signature Wizard を使用してカスタム シグニチャを作成するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [Signature Wizard] を選択します。

Signature Wizard のメイン ページが表示されます。


) カスタム シグニチャの作成後、Dropped Packet Count signature(993)をイネーブルにして、作成したカスタム シグニチャをテストすることをお勧めします。詳細については、「トラフィック オーバーサブスクリプションの確認」を参照してください。


ステップ 2 [Start the Wizard] をクリックします。

ステップ 3 次の Signature Types のいずれかを選択して最初のウィザードを完了し、[Next] をクリックします。

Web Server Signatures:Web URL 要求内の正規表現を取り込み、引数 URI、長さ、その他のパラメータを確認します。このシグニチャは、Web サービスまたは HTTP 要求に向けられたトラフィックだけを検索します。このシグニチャでは、リターン トラフィックは検査できません。各シグニチャで、対象の個別 Web ポートを指定できます。

HTTP 要求のサンプルについては、「HTTP 要求のサンプル」を参照してください。

Packet Signatures(TCP、UDP、IP):ポートあるいはプロトコルごとにトラフィックを検査します(Atomic signatures とも呼ばれます)。

Stream Signatures(TCP、UDP、ICMP):プロトコルに基づいた単純なステートフル表現の照合を行います。

ステップ 4 [Signature Identification] フィールドに入力して 2 番目のウィザードを完了します。

a. [Signature ID] フィールドに数値を入力します。

カスタム シグニチャ ID の範囲は、20,000 ~ 50,000 です。

b. [SubSignature ID] フィールドに数値を入力します。

デフォルトは 0 です。

似ているシグニチャをグループにまとめるには、サブシグニチャ ID を割り当てます。

c. [Signature Name] フィールドに名前を入力します。

デフォルトでは、シグニチャ エンジン(ステップ 3 で選択したシグニチャ タイプに応じる)が [Signature Name] フィールドに表示されます。それぞれのカスタム シグニチャに合せて、具体的な名前に変更します。


) アラートが生成されると、シグニチャ名はシグニチャ ID およびサブシグニチャ ID とともに IDS Event Viewer に報告されます。


d. [Alert Notes] フィールドにテキストを入力します(オプション)。

このシグニチャのアラームにテキストが含まれるようにテキストを追加できます。アラートが生成されると、このテキストは IDS Event Viewer に報告されます。

e. [User Notes] フィールドにテキストを入力します(オプション)。

ここには、必要に応じてどのようなテキストを入力することもできます。このフィールドは、シグニチャやアラートには影響を与えません。

f. [Next] をクリックします。

g. Web サーバ シグニチャを作成する場合は、シグニチャが監視するポートを [Web Server Service Ports] フィールドに入力してから、[Next] をクリックします


) デフォルトでは、このシグニチャは WEBPORTS 仮想センサー システム変数で指定された HTTP 要求を監視します。WEBPORTS は、標準の HTTP シグニチャに用いられる Web ポートのリストです。詳細については、「仮想センサー システム変数の設定」を参照してください。デフォルトの Web ポートは、80、3128、8000、8010、8080、8888、24326 です。


ステップ 5 エンジン固有のパラメータを設定して、3 番目のウィザード タスクを完了します。

Web サーバ シグニチャについては、ステップ 6 を参照してください。パケット シグニチャについては、ステップ 7 を参照してください。ストリーム シグニチャについては、ステップ 8 を参照してください。

ステップ 6 Web サーバ シグニチャに対してエンジン固有のパラメータを設定します。

Web サーバ シグニチャでは、全体の着信 HTTP 要求、HTTP ヘッダー、URI、または 引数リストからの文字列と正規表現を照合できます。あるいは、それらのフィールドのバッファ オーバーフローの可能性を確認できます。シグニチャは、指定した条件すべてを満たさない限り開始されません。

a. 次の [Web Server Buffer Overflow Checks] フィールドにバイト数を入力して、バッファ オーバーフローの検出を試行します。

[Maximum Length of HTTP Request] フィールド:全体の HTTP 要求に対する最大長を指定します。

[Maximum Length of HTTP Request] フィールド:全体の HTTP ヘッダーに対する最大長を指定します。

[Maximum Length of URI フィールド]:HTTP URI に対する最大長を指定します。

[Maximum Length of HTTP Arguments]:HTTP 引数リストに対する最大長を指定します。

b. [Web Server Regular Expressions] フィールドに、照合したい任意の正規表現を入力します。

全体の着信 HTTP 要求、HTTP ヘッダー、URI、または 引数リストからの文字列と正規表現を照合できます。


) 正規表現に関するヘルプについて Regular Expression Builder を参照したい場合は、正規表現フィールドの隣のアイコンをクリックしてください。IDS バージョン 4.1 の正規表現の文法に関する表については、「正規表現の構文」を参照してください。


[HTTP Request Regular Expression]:全体の HTTP 要求内のテキストと照合する正規表現を指定します。

[Minimum HTTP request length]:正規表現照合前の要求の最小長を指定します。


) 最小長は、正規表現が * や + の正規表現演算子を含む場合にだけ設定できます。


[HTTP Request Regular Expression]:HTTP ヘッダー内のテキストと照合する正規表現を指定します。

[HTTP Header URI Regular Expression]:HTTP ヘッダー URI のテキストと照合する正規表現を指定します。

[HTTP Header Argument Name Regular Expression]:HTTP ヘッダー引数名と照合する正規表現を指定します。

[HTTP Header Argument Value Regular Expression]:HTTP ヘッダー引数値と照合する正規表現を指定します。

c. [Next] をクリックします。

ステップ 7 パケット シグニチャに対するエンジン固有のパラメータを設定し、[Next] をクリックします。

a. TCP パケット シグニチャ


) TCP パケット シグニチャは、個々の TCP パケットを検査します。これは、正規表現、TCP フラグ、指定されたポート上のトラフィックを確認します。シグニチャは、指定した条件すべてを満たさない限り開始されません。


[TCP Packet Regular Expression]:単一 TCP パケットのテキスト内で正規表現と照合するために用いられる正規表現を指定します。


) 正規表現に関するヘルプについて Regular Expression Builder を参照したい場合は、[TCP Packet Regular Expression] フィールドの隣のアイコンをクリックしてください。IDS バージョン 4.1 の正規表現の文法に関する表については、「正規表現の構文」を参照してください。


[Source Port]:TCP パケットの送信元ポートの照合をチェックします。

値は 0 ~ 65535 です。

[Range of Source Ports]:全ポート、低ポート(0 ~ 1023)または高ポート(1024 ~ 65535)から送出されるトラフィックをチェックします。

値は、全ポート =0、低ポート =1、高ポート =2 です。

[Destination Port]:TCP パケットの宛先ポートの照合をチェックします。

値は 0 ~ 65535 です。

[Range of Destination Ports]:全ポート、低ポート(0 ~ 1023)または高ポート(1024 ~ 65535)に送信されるトラフィックをチェックします。

値は、全ポート =0、低ポート =1、高ポート =2 です。

[TCP Flags]:TCP パケットの照合値をチェックします。

値は、True、False、Do Not Care です。True は、フラグが設定されていない時にシグニチャが開始されることを意味します(つまり、センサーはフラグが true であることを期待します)。False は、フラグが設定されていればシグニチャが開始されることを意味します。Do Not Care では、フラグは検査されません。

TCP SYN フラグ

TCP RST フラグ

TCP PSH フラグ

ACK PSH フラグ

ACK URG フラグ

TCP FIN フラグ

[Source IP Address]:発信元ホストまたはネットワークの IP アドレスを示します。

[Source IP Mask]:発信元ホストまたはネットワークのネットマスクを示します。

[Destination IP Address]:宛先ホストまたはネットワークの IP アドレスを示します。

[Destination IP Mask]:宛先ホストまたはネットワークのネットマスクを示します。

b. UDP パケット シグニチャ


) UDP パケット シグニチャは、個々の UDP パケットを検査します。検査では、指定されたポートのトラフィックとパケット サイズがチェックされます。シグニチャは、指定した条件すべてを満たさない限り開始されません。


[Source Port]:UDP パケットの送信元ポートの照合をチェックします。

[Destination Port]:UDP パケットの宛先ポートの照合をチェックします。

[Minimum UDP Packet Length]:UDP パケットの最小長をチェックします。

[Short UDP Packet Length]:UDP ヘッダー長よりも短い IP データ長をチェックします。

[Source IP Address]:発信元ホストまたはネットワークの IP アドレスを示します。

[Source IP Mask]:発信元ホストまたはネットワークのネットマスクを示します。

[Destination IP Address]:宛先ホストまたはネットワークの IP アドレスを示します。

[Destination IP Mask]:宛先ホストまたはネットワークのネットマスクを示します。

c. IP パケット シグニチャ


) IP パケット シグニチャは、個々の IP パケットを検査します。シグニチャは、指定した条件すべてを満たさない限り開始されません。


[Examine ICMP Packets only]:ICMP パケットだけを検査します。

[Impossible Packets]:発信元アドレスと宛先アドレスが同じ場合にだけシグニチャを開始します。

[Local Host only]:ローカル ホスト(127.0.0.1)アドレスがパケット内にある場合にシグニチャを開始します。

[Overrun Packets]:フラグメント オーバーランが発生した場合にシグニチャを開始します。

[Reserved Packets]:RFC1918 で指定された予約済み IP アドレスが使用された場合にシグニチャを開始します。

[Maximum Data Length]:IP パケットのデータ長の最大許容長を設定します。

[Maximum Inspection Length]:検査される最大バイト数を指定します。

[Maximum Time To Live(TTL)]:論理ストリームの最大秒数を指定します。

[Maximum Protocol Number](0 ~ 255):プロトコル数の最大許容数を指定します。

[Minimum IP Data Length]:IP パケットのデータ長の最小許容長を設定します。

[IP Protocol Number]:指定されたプロトコルをパケットが使用している場合にシグニチャを開始するよう設定します。

[IP Protocol Number]:指定されたプロトコル名をパケットが使用している場合にシグニチャを開始するよう設定します。値は、FRAG、IP、TCP、UDP、ICMP、ARP、CROSS、CUSTOM、ZERO です。

[Minimum IP Protocol Number](0 ~ 255):プロトコル数の最小許容数を指定します。

[Maximum Protocol Number](0 ~ 255):プロトコル数の最大許容数を指定します。

[Source IP Address]:発信元ホストまたはネットワークの IP アドレスを示します。

[Source IP Mask]:発信元ホストまたはネットワークのネットマスクを示します。

[Destination IP Address]:宛先ホストまたはネットワークの IP アドレスを示します。

[Destination IP Mask]:宛先ホストまたはネットワークのネットマスクを示します。

ステップ 8 ストリーム シグニチャ固有のパラメータ(TCP、UDP、ICMP)を設定します。


) ストリーム シグニチャは、指定された文字列に対して個々のパケットを検査します。シグニチャは、指定した条件すべてを満たさない限り開始されません。



) IDS バージョン 4.1 の正規表現の文法に関する表については、「正規表現の構文」を参照してください。


[Regular Expression]:単一パケットで照合する正規表現を指定します。

[Service Ports]:検査する宛先ポートのリストまたは範囲を指定します。

[Direction]:検査するパケットが宛先ポートに行くのか、そこから出るのかを指定します。値は、To Port と From Port です。

[Offset in Packet to Examine](bytes):ストリームの指定されたオフセットに正規表現が出現する場合にだけこのシグニチャが開始されるよう制限します。

[Minimum Matching String Length]:照合する文字列が少なくともこのサイズの場合にだけこのシグニチャが開始されるよう制限します(オプション)。

ステップ 9 [Alert Response Actions] を選択して、4 番目のウィザードを完了します。

a. センサーがアラートを送信したときに IDS Event Viewer が報告する重大度を選択します。

High

Informational

Low

Medium

b. アラートの起動に加えてセンサーが行うアクションを選択します。


) シグニチャによっては表示されないイベント アクションのオプションがあります。これは、シグニチャ エンジンによって決まります。


[Log]:アラートを起こしたトラフィックをセンサーがログします。

[Reset]:接続を切断するために、攻撃者に対してセンサーが TCP リセットを送出します。

[Shun Host]:攻撃者からローカル ネットワークへの全パケットをブロックするよう、センサーがネットワーク装置を動的に設定します。

[Shun Connection]:攻撃者から被害先 IP アドレスとポートに向けたパケットをブロックするよう、センサーがネットワーク装置を動的に設定します。

[ZERO]:センサーは何もしません(デフォルト)。

c. このシグニチャが開始されたときに報告される発信元アドレスと宛先アドレスを入れ替えるかどうかを選択します。

[Yes]:アドレスを入れ替え

[No]:アドレスを入れ替えません。

d. シグニチャを開始させたパケットをアラート中に含めるかどうかを選択します。

[True]:パケットを含めます。

[False]:パケットを含めません。

e. [Next] をクリックします。

ステップ 10 Alert Behavior を定義して、5 番目のウィザードを完了します。

a. デフォルトのまま変更しない場合は、[Next] をクリックします。

b. アラートの動作を調整する場合には、[Advanced] をクリックします。


) シグニチャの反応頻度は制御できます。たとえば、センサーから送られるアラートの量を減らす場合があります。または、シグニチャの反応を 1 つのアラートにまとめたい場合があります。また、IDS に偽のトラフィックを送り、IDS が短時間に大量のアラートを発生させるようにする「Stick」などの IDS 対抗ツールに対応させる場合があります。


高度なアラートの動作を設定する方法については、ステップ 11 から 15 を参照してください。

ステップ 11 シグニチャが開始されるたびにアラートを送信する方法

a. [Alert Each Time] を選択し、[Next] をクリックします。

b. 応答を変更するには、[Dynamic Response] を選択します。

アラートの率が指定秒数内の指定された数のシグニチャを超えると、センサーはシグニチャごとにアラートを送信せず、アラートを 1 つのグローバル サマリーにまとめて送信します。指定間隔内にアラートの率がしきい値を下回ると、元のアラート動作に戻ります。グローバル サマリーでは、すべての攻撃者の IP アドレスとポート、およびすべての被害先 IP アドレスとポートに対してシグニチャが反応した件数がカウントされます。

c. [Threshold] フィールドに、シグニチャの反応レートのしきい値を入力します。

デフォルトは 100 です。

d. [Interval field] フィールドに、間隔を秒で入力します。

デフォルトは 30 秒です。

e. [Next] をクリックします。

f. この間隔中のシグニチャの数をカウントするのに使用するアドレス セットを次の中から選びます。

[All address] フィールド:攻撃者の IP アドレスおよび、攻撃者のポート、被害先の IP アドレス、被害先のポートに基づいて要約し、検査します。

[Attacker IP address]:攻撃者の IP アドレスに基づいて要約し、検査します。

[Victim IP address]:被害先の IP アドレスに基づいて要約し、検査します。

[Attacker and Victim IP addresses]:攻撃者の IP アドレスと被害先の IP アドレスに基づいて要約し、検査します。

ステップ 12 シグニチャが反応するたびにアラートを送りながら、反応後にセンサーが指定秒数の間検査を中断する方法

a. [Fire Alert One Time] を選択し、[Next] をクリックします。

b. 応答を変更するには、[Dynamic Response] を選択します。

c. [Threshold] フィールドに、シグニチャの反応レートのしきい値を入力します。

デフォルトは 100 です。

d. [Interval field] フィールドに、間隔を秒で入力します。

デフォルトは 30 秒です。

e. [Next] をクリックします。

f. この間隔中のシグニチャの数をカウントするのに使用するアドレス セットを次の中から選びます。

[All address] フィールド:攻撃者の IP アドレスおよび、攻撃者のポート、被害先の IP アドレス、被害先のポートに基づいて要約し、検査します。

[Attacker IP address]:攻撃者の IP アドレスに基づいて要約し、検査します。

[Victim IP address]:被害先の IP アドレスに基づいて要約し、検査します。

[Attacker and Victim IP addresses]:攻撃者の IP アドレスと被害先の IP アドレスに基づいて要約し、検査します。

ステップ 13 各アドレス セットに対する最初のアラートを送り、その後は一定時間の間そのアドレスで発生するすべてのアラートの要約を送信する方法

a. [Summary Alert] を選択し、[Next] をクリックします。

b. 要約の間隔に対する秒数を[Summary Interval] フィールドに入力し、[Next] をクリックします。

デフォルトは 30 秒です。

c. 応答を変更するには、[Dynamic Response] を選択します。

d. [Threshold] フィールドに、シグニチャの反応レートのしきい値を入力します。

デフォルトは 100 です。

e. [Interval field] フィールドに、間隔を秒で入力します。

デフォルトは 30 秒です。

f. [Next] をクリックします。

g. この間隔中のシグニチャの数をカウントするのに使用するアドレス セットを次の中から選びます。

[All address] フィールド:攻撃者の IP アドレスおよび、攻撃者のポート、被害先の IP アドレス、被害先のポートに基づいて要約し、検査します。

[Attacker IP address]:攻撃者の IP アドレスに基づいて要約し、検査します。

[Victim IP address]:被害先の IP アドレスに基づいて要約し、検査します。

[Attacker and Victim IP addresses]:攻撃者の IP アドレスと被害先の IP アドレスに基づいて要約し、検査します。

h. [Next] をクリックします。

ステップ 14 最初のアラートを送り、その後は一定時間の間に全アドレスで発生するすべてのアラートのグローバル サマリーを送信する方法


) このオプションを選択した場合、シグニチャの反応頻度に基づいてセンサーの動作を動的に変更する設定はできなくなります。


a. [Global Summary] を選択し、[Next] をクリックします。

b. グローバル サマリーの秒数を入力します。

デフォルトは 15 秒です。

ステップ 15 シグニチャが指定秒数の間に指定した回数の反応をした場合にアラートを送信する方法


) このオプションを選択した場合、シグニチャの反応頻度に基づいてセンサーの動作を動的に変更する設定はできなくなります。


a. [Fixed Rate and Interval] を選択し、[Next] をクリックします。

b. シグニチャが時間間隔内に反応する必要がある回数を入力します。

デフォルトは 1 です。

c. 間隔を秒数で入力します。

d. この間隔中のシグニチャの数をカウントするのに使用するアドレス セットを次の中から選びます。

[All address] フィールド:攻撃者の IP アドレスおよび、攻撃者のポート、被害先の IP アドレス、被害先のポートに基づいて要約し、検査します。

[Attacker IP address]:攻撃者の IP アドレスに基づいて要約し、検査します。

[Victim IP address]:被害先の IP アドレスに基づいて要約し、検査します。

[Attacker and Victim IP addresses]:攻撃者の IP アドレスと被害先の IP アドレスに基づいて要約し、検査します。

ステップ 16 カスタム シグニチャを作成するには、[Create] をクリックします。

以下のメッセージが表示されます。

You have successfully created the signature. Click Apply Changes on the main page when you are ready to commit the changes.

ステップ 17 メッセージ ウィンドウ上の [OK] をクリックします。

ステップ 18 [Wizard Completed] ページ上の [OK] をクリックします。

メインの [Signature Wizard] ページに戻ります。

ステップ 19 カスタム シグニチャを保存するには、[Activity] バー上の [Save Changes] アイコンをクリックします。


 

HTTP 要求のサンプル

Web サーバ シグニチャでは、全体の着信 HTTP 要求、HTTP ヘッダー、URI、または 引数リストからの文字列と正規表現を照合できます。あるいは、それらのフィールドのバッファ オーバーフローの可能性を確認できます。シグニチャは、指定した条件すべてを満たさない限り開始されません。

以下は、HTTP 要求のサンプルです。

POST /eng/Tech/projectB/foobar.html?name=john&last=doe HTTP/1.0
<CRLF>
Accept: text/html
User-Agent: Mozilla
Host: 10.1.20.55
Content-Length: 45
<CRLF>
<CRLF>
Argument1=td&Argument2=foobar&middlename=levi&<CRLF>

この例では、HTTP URI が HTTP メソッドの直後から始まり、最初の LF または引数デリミタ(?&)までとなります。

/eng/Tech/projectB/foobar.html
 

URI に引数デリミタ(& または ?)が含まれる場合は、そのデリミタの直後から最初の改行までのセクションが引数となります。POST メソッドが使用されている場合、引数には Content-Length ヘッダー フィールドで定義されたエンティティ ボディ内のデータもすべて含まれます。このどちらの場合にも該当しなければ、引数セクションは空になっていてもかまいせん。POST メソッドが使用されている場合は、URI 要求行の引数よりも前に、エンティティ ボディの検査が行われることもあります。

name=john&last=doe
Argument1=td&Argument2=foobar&middlename=levi
 

HTTP ヘッダーは、最初の改行の直後から 2 つの復帰改行(<CRLF><CRLF>)までの部分です。

Accept: text/html User-Agent: Mozilla Host:
10.1.20.55 Content-Length: 45
 

HTTP 要求は、要求全体で構成されているため、分割できません。

POST /eng/Tech/projectB/foobar.html?name=john&last=doe HTTP/1.0<CRLF>
Accept: text/html
User-Agent: Mozilla
Host: 10.1.20.55
Content-Length: 45
<CRLF><CRLF>
Argument1=td&Argument2=foobar&middlename=levi<CRLF>

正規表現の構文

正規表現(Regex)は、テキストを記述する手段として、強力で柔軟性のある表記言語です。正規表現では、パターン マッチングが行われることから、任意のパターンを簡潔に記述できるようになっています。

表 3-1 に、IDS バージョン 4.1 Regex 文法を列挙します。

 

表 3-1 正規表現の構文

メタ文字
名前
説明

?

疑問符

0 回または 1 回の繰り返し。

*

星印(アスタリスク)

0 回以上の繰り返し。

+

プラス記号

1 回以上の繰り返し。

{x}

量指定子

ちょうど X 回の繰り返し。

{x,}

最小量指定子

少なくとも X 回の繰り返し。

.

ドット

改行(0x0A)以外の任意の 1 文字。

[abc]

文字クラス

リスト内の任意の 1 文字。

[^abc]

否定文字クラス

リストにない任意の 1 文字。

[a-z]

文字範囲クラス

範囲内(両端も含む)の任意の 1 文字。

( )

カッコ

他のメタ文字の適用範囲を制限する際に使用する。

|

論理和(OR)

このメタ文字で区切られた各表現のうちいずれかと一致する。

^

キャレット

行の先頭。

\ char

エスケープ文字。

char がメタ文字である場合も含めて、 char そのものと一致する。

char

文字

char がメタ文字でない場合は、 char そのものと一致する。

\r

復帰

復帰文字(0x0D)と一致する。

\n

改行

改行文字(0x0A)と一致する。

\t

タブ

タブ文字(0x09)と一致する。

\f

フォーム フィード

フォーム フィード文字(0x0C)と一致する。

\xNN

エスケープされた 16 進数文字

16 進コード 0xNN(0<=N<=F)を持つ文字と一致する。

\NNN

エスケープされた 8 進数文字

8 進コード NNN(0<=N<=8)を持つ文字と一致する。

繰り返し演算子ではいずれの場合も、該当する文字列のうち最も短いものが一致対象となります。一方、それ以外の演算子では、その適用範囲に最大限多くの文字が取り込まれるため、該当する文字列のうち最も長いものが一致対象となります。

表 3-2 は、正規表現のパターンの例を示したものです。

 

表 3-2 正規表現のパターン

一致対象
正規表現

Hacker

Hacker

Hacker または hacker

[Hh]acker

bananas、banananas、banananananas など、一定の規則で構成されたすべての文字列

ba(na)+s

同じ行の中にある foo と bar の間に改行以外の文字が 0 個以上ある文字列

foo.*bar

foo または bar

foo|bar

moon または soon

(m|s)oon

IP フラグメント再構成の設定

センサーは、複数のパケットにわたってフラグメント化されたデータグラムを再構成するように設定できます。このとき、データグラムの数と、データグラムについてさらにフラグメントが届くのを待つ時間を判断するために使用する境界値が指定できます。これは、センサーがフレーム送信を受信できなかったことや、無作為にフラグメント化されたデータグラムを生成する攻撃が仕掛けられていることが原因で再構成が不十分なデータグラムに対し、センサーのリソースをすべて割り当ててしまわないようにするためのものです。

IP フラグメント再構成を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [IP Fragment Reassembly] を選択します。

[IP Fragment Reassembly] ページが表示されます。

ステップ 2 [IP Reassemble Mode] リスト ボックスから利用中のオペレーティング システムを選択します。

NT

Solaris

Linux

BSD

ステップ 3 [Maximum Reassemble Fragments] フィールドに、センサーが再構成を試みるフラグメント数を入力します。

デフォルトは 10000 です。

ステップ 4 IP Reassemble Timeout フィールドに、センサーがフラグメントを再構成しようとする特定のやりとりの追跡を停止するまでの経過時間の最長秒数を入力します。

デフォルトは 120 秒です。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 5 [Ok] をクリックして変更を保存します。

次のようなメッセージが表示されます。

IP Fragment Reassembly configuration has been updated. To commit the changes please click the save changes icon in the Activity bar.


 

TCP ストリーム再構成の設定

センサーは、完了した 3 ウェイ ハンドシェイクによって確立された TCP セッションだけを監視するように設定できます。また、ハンドシェイクの完了まで待つ時間の最大値と、パケットがない場合に接続を監視し続ける時間も設定できます。これは、有効な TCP セッションが確立していないときにセンサーがアラームを生成しないようにするためのものです。IDS システムに対する攻撃には、単純に攻撃を繰り返すだけで IDS にアラームを生成させようとするものがあります。TCP セッションの再組み立て機能は、IDS に対するこのような攻撃の緩和に役立ちます。

TCP ストリーム再構成を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [TCP Stream Reassembly] を選択します。

[TCP Stream Reassembly] ページが表示されます。

ステップ 2 センサーを、完了した 3 ウェイ ハンドシェイクによって確立された TCP セッションだけを監視するように設定するには、[Enable TCP Three Way Handshake] を選択します。

ステップ 3 [TCP Reassemble Mode] リスト ボックスから再構成のモードを選択します。

[Strict]:何らかの理由でパケットを受信しなかった場合、以後のパケットはすべて処理されます。

[Loose]:パケットが廃棄される可能性がある場合に使用します。

ステップ 4 [TCP Open Established Timeout] フィールドには、完全に確立した TCP 接続にパケットがない場合に何秒間経過後にその接続に割り当てたリソースを開放するかを入力します。

値は 15 の間 3600 です。デフォルトは 900 です。

ステップ 5 [TCP Embryonic Timeout] フィールドには、開始されたものの完全に確立していない TCP セッションに割り当てたリソースを開放するまでの経過秒数を入力します。


) セッションは、3 ウェイ ハンドシェイクが完了していなければ初期接続されたとは見なされません。


値は 11 秒と 128 秒の間です。デフォルトは 15 秒です。

ステップ 6 [TCP Max Queue Size] フィールドに、キューに入るパケット数を入力します。

デフォルトは 32 です。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 7 [Apply to Sensor] をクリックして、変更内容を保存します。

次のようなメッセージが表示されます。

TCP Stream Reassembly configuration has been updated. To commit the changes please click the save changes icon in the Activity bar.


 

IP ロギングの設定

センサーが攻撃を検出したときに、IP セッション ログを生成するように設定できます。シグニチャの応答アクションとして IP ロギングが設定されているときにシグニチャが反応すると、アラームの送信元アドレスとの間で送受信されるすべてのパケットが指定された時間の間ログに記録されます。イベントがログされる時間を分の単位で設定できます。


) 値の中から 1 つを入力します(ステップ 2、3、または 4)。IP ロギングは、最初の条件が満たされた時に停止します。どの値も指定しなければ、デフォルトの 10 分となります。


IP ロギングを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [IP Log] を選択します。

[IP Logs] ページが表示されます。

ステップ 2 [IP Log Packets] フィールドに、ログをとるパケット数を入力します。

ステップ 3 [IP Log Time] フィールドに、IP ロギングを実行する時間を分単位で入力します。

値は 1 ~ 60 分です。デフォルトは 30 分です。

ステップ 4 [IP Log Bytes] フィールドに、ログをとるバイト数を入力します。

ステップ 5 [Ok] をクリックして変更を保存します。

次のようなメッセージが表示されます。

IP Log configuration has been updated. To commit the changes please click the save changes icon in the Activity bar.


 

トラフィック オーバーサブスクリプションの確認

Signature 993 アラームによってセンサーがパケットをドロップしていることがわかり、ドロップした割合を基にセンサーへ送るトラフィック レベルが調整できます。たとえば、アラームがパケットのドロップを 0 かまたは非常に小さな割合として通知していれば、センサーは今送信されているトラフィック量を監視できます。

993 アラームがパケットのドロップを大きな割合で示していれば、センサーがオーバーサブスクライブ状態だということになります。センサーがオーバーサブスクライブ状態になると、TCP ストリーム内のアラームをノンリニアに検出することが難しくなります。パケットのドロップによって影響を受けるストリームの割合を予測することは簡単ではありません。センサーを動作させている環境が飽和しており、その環境を継続して動作させなければならない場合には、TCP3WayHandshake をディセーブルにし、最良のセキュリティが確保されるよう TCPReassemblyMode をゆるく設定することをお勧めします。

Signature 993 は、シグニチャ エンジン OTHER の一部で、次の設定パラメータがあります。

MpcTimeout 5 <= MpcTimeout <= 2500(単位は秒)(デフォルト = 30)

MpcTimeout は、アラームの間隔です。

MpcPercentThreshold 0 <= MpcPercentThreshold <= 100 (単位はパーセント)(デフォルト = 0)

MpcPercentThreshold は、未受信パケットの割合で、これを超えるとアラームが送出されます。値を 100 パーセントにするとこのしきい値はディセーブル化されます。

MpcPercentThreshold を超えると、アラームが送出されます


) シグニチャ 993 が 100 パーセントのパケット損失を生成した場合、センサーはアラームを出しておらず問題が発生しています。センサーのバージョンが最新であることを確認してください。最新のバージョンであれば、問題を TAC に連絡してください。


OTHER シグニチャ エンジンの詳細については、「OTHER エンジン」を参照してください。

ブロッキングの設定

Cisco IOS ルータまたは Catalyst 6500 ファミリのスイッチに配置する ACL 規則を生成したり、PIX Firewall で排除規則を生成することにより、攻撃をブロックするようにセンサーを設定できます。

次の項では、ブロッキングの設定方法について説明します。

「ブロッキング プロパティの設定」

「ブロックしないアドレスの設定」

「論理デバイスのセットアップ」

「ブロッキング デバイスの設定」

「Router Blocking Device Interfaces の設定」

「Catalyst 6K のブロッキング デバイス インターフェイスの設定」

「マスター ブロッキング センサーの設定」

ブロッキング プロパティの設定

[Blocking Properties] ページで、Network Access Controller(NAC)に対するグローバル ブロッキング プロパティを設定します。NAC は、管理対象デバイス上のブロッキング アクションを制御します。

ブロッキング プロパティを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Blocking Properties] を選択します。

[Blocking Properties] ページが表示されます。

ステップ 2 [Enable Blocking] チェックボックスを選択します。

ステップ 3 必要な場合以外は、[Allow the Sensor IP to be Blocked] チェックボックスはオンにしないでください。


注意 センサーが自らをブロックすることは許可しないことをお勧めします。これを許可すると、センサーが管理対象デバイスと通信しなくなる可能性があります。このオプションは、センサーが自分の IP アドレスをブロックする規則を作成した場合に、そのためにセンサーがブロックしている装置にアクセスできなくなることはないと保証されている場合にだけ選択します。

ステップ 4 [Maximum Block Entries] フィールドには、同時に維持されるブロック数を入力します(0 ~ 250)。


) 最大ブロック数は 250 を超えて設定することはサポートしておらず、お勧めしません。


デフォルト値は 100 です。


) ブロックの数は、最大ブロック数を超えることはできません。最大数になると、既存のブロックがタイムアウトしてなくなるまで、新しいブロックはできません。


ステップ 5 [Block Time] フィールドには、ブロックの持続時間を入力します。

デフォルトは 30 分です。


) デフォルト ブロック時間を変更すると、シグニチャ パラメータが変更され、すべてのシグニチャが影響を受けます。アップデートにはしばらく時間がかかります。メッセージ「Configuration update in progress.This page will be unavailable for a few minutes.」が表示されます。


ステップ 6 [Apply to Sensor] をクリックして、変更内容を保存します。


) フォームをリセットする場合は、[Reset] をクリックします。



 

ブロックしないアドレスの設定

信頼されたネットワーク デバイスの通常の動作が攻撃として扱われる可能性がある場合、センサーをチューニングして、手動でも決してブロックされるべきではないホストやネットワークを識別する必要があります。このようなデバイスはブロックする必要はなく、信頼された内部ネットワークもブロックする必要はありません。シグニチャを適切にチューニングすることにより、false positive の数を減らし、ネットワークが正しく動作することを保証できます。シグニチャのチューニングとフィルタリングを行うと、アラームの生成が防止できます。アラームが生成されない場合、それに関連付けられたブロックも実行されません。

ネットマスクを指定すると、それが決してブロックされるべきではないネットワークのネットマスクになります。ネットマスクを指定しない場合、指定した IP アドレスだけがブロック対象外になります。

ブロッキング デバイスによってブロックされないアドレスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Never Block Addresses] を選択します。

[Never Block Addresses] ページが表示されます。

ステップ 2 ブロック対象外のアドレスを追加するために、[Add] をクリックします。

[Adding] ページが表示されます。

ステップ 3 [IP Address] フィールドには、ブロック対象外のホストの IP アドレスを入力します。

ステップ 4 [Network Mask] フィールドには、ブロック対象外のネットワークのネットマスクを入力します。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 5 [Apply to Sensor] をクリックして、変更内容を保存します。


 

論理デバイスのセットアップ

センサーが管理するその他のハードウェアに対し、論理デバイスを設定する必要があります。たとえば、同じパスワードとユーザ名を使用するルータはすべて 1 つの論理デバイス名の下にまとめることができます。

論理デバイスをセットアップするには、次の手順を実行します。


ステップ 1 [Configuration] > [Logical Devices] を選択します。

[Logical Device Configuration] ページが表示されます。

ステップ 2 [Add] をクリックしてセンサーが管理する論理デバイスを追加します。

[Adding] ページが表示されます。

ステップ 3 [Name] フィールドに、論理デバイス名を入力します。

ステップ 4 [Enable Password] フィールドには、論理デバイスに対するイネーブル パスワードを入力します(1 から 16 文字)。


) イネーブル パスワードがなければ、none を入力します。


ステップ 5 [Password] フィールドには、論理デバイスに対する Telnet または SSH のパスワードを入力します(1 から 16 文字)。


) パスワードがなければ、none を入力します。


ステップ 6 [Username] フィールドには、論理デバイスに対するユーザ名を入力します。


) ユーザ名がなければ、none を入力します。



) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 7 [Apply to Sensor] をクリックして、変更内容を保存します。


 

ブロッキング デバイスの設定

Cisco IOS ルータまたは Catalyst 6500 スイッチに配置する ACL 規則を生成したり、PIX Firewall で排除規則を生成することにより、攻撃をブロックするようにセンサーを設定できます。このルータ、スイッチ、ファイアウォールは、ブロッキング デバイスと呼ばれます。

ブロッキング デバイスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Blocking Devices] を選択します。

[Blocking Devices] ページが表示されます。


注意 1 つのセンサーで複数のデバイスを管理できますが、複数のセンサーを 1 つのデバイスの制御に使うことはできません。このような場合は、マスター ブロッキング センサーを使用します。詳細については、「マスター ブロッキング センサーの設定」を参照してください。

ステップ 2 [Add] をクリックし、ブロッキング デバイスを追加します。

[Adding] ページが表示されます。

ステップ 3 [IP Address] フィールドには、ブロッキング デバイスの IP アドレスを入力します。

ステップ 4 [NAT Address] フィールドには、ブロッキング センサーの NAT アドレスを入力します。

ステップ 5 [Apply Logical Device] リスト ボックスからオプションを選択します。


) 複数のブロッキング デバイスに対して同じ論理デバイスを使用できます。論理デバイスのセットアップが必要です。デフォルト オプションの [None] は、論理デバイスのセットアップがされていないことを示します。詳細については、「論理デバイスのセットアップ」を参照してください。


ステップ 6 [Device Type] フィールドでは、ブロッキングするデバイスのタイプを選択します。

Cisco Router

Catalyst 6000 VACL、

PIX ファイアウォール

ステップ 7 [Communication] フィールドでは、センサーとブロッキング デバイスの間でイネーブルにするセキュアな通信のタイプを選択します。

SSH 3DES

SSH DES

Telnet


) SSH 3DES または SSH DES を選択した場合は、ステップ 8 に進みます。


ステップ 8 SSH 3DES または SSH DES を選択した場合、ホストを既知のホストのリストに追加する必要があります。


) SSH 3DES または SSH DES を選択する場合、ブロッキング デバイスに目的の DES/3DES の暗号化をサポートする機能セットまたはライセンスが必要です。


a. センサーに Telnet 接続し、CLI にログインします。


) 管理者特権が必要です。


b. 端末設定モードに入ります。

sensor# configure terminal

c. 公開鍵を入手します。

sensor(config)# ssh host-key blocking_device_ip_address

公開鍵を既知のホストのリストに追加することを確認するように求めるメッセージが表示されます。

Would you like to add this to the trusted certificate table for this host?[yes]:

d. yes を入力します。

e. 端末設定モードを終了します。

sensor(config)# exit

f. CLI を終了します。

sensor# exit

ステップ 9 [Apply to Sensor] をクリックして、変更内容を保存します。


 

Router Blocking Device Interfaces の設定

IDS Device Manager で、ルータのブロッキング インターフェイスを設定し、ブロックするトラフィックの方向を指定します。

Pre-Block ACL と Post-Block ACL は、ルータのコンフィギュレーション内に作成し、保存します。これらの ACL は名前付きまたは番号付きの拡張 IP ACL にする必要があります。ACL の作成の詳細については、ルータのマニュアルを参照してください。

[Pre-Block ACL Name] と [Post-Block ACL Name] の各フィールドに、ルータにすでに設定されている ACL の名前を入力します。

Pre-Block ACL は、主にブロック対象外のものを許可するために使用されます。この ACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block ACL の許可の行である場合、ACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block ACL は、ブロックによって生じる拒否の行よりも優先されます。

Post-Block ACL は、同じインターフェイスまたは方向に対して、追加的にブロッキングまたは許可を行う場合に最適です。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合、その ACL を Post-Block ACL として使用できます。Post-Block ACL がない場合、センサーは新しい ACL の最後に permit ip any any を挿入します。

センサーが起動すると、2 つの ACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の ACL が作成されます。

センサーの IP アドレスに対する permit 行

Pre-Block ACL のすべての設定行のコピー

センサーによってブロックされている各アドレスの deny 行

Post-Block ACL のすべての設定行のコピー

センサーは新しい ACL を、指定したインターフェイスと方向に適用します。


) 新しい ACL がルータのインターフェイスまたは方向に適用されると、そのインターフェイスまたは方向に対する他の ACL が適用されなくなります。


ルータのブロッキング インターフェイスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Router Blocking Device Interfaces] を選択します。

[Router Blocking Device Interfaces] ページが表示されます。

ステップ 2 [Add] をクリックして、ルータのブロッキング インターフェイスを設定します。

[Adding] ページが表示されます。

ステップ 3 [IP Address] フィールドで、ブロックで使用するルータの IP アドレスを選択します。

ステップ 4 [Blocking Interface] フィールドで、ブロッキングで使用するルータのインターフェイスを入力します(1 から 32 文字)。

ステップ 5 [Blocking Direction] リスト ボックスで、ブロック対象のインターフェイスを通るトラフィックの方向を選択します(In、Out)。

ステップ 6 [Pre-Block ACL Name] フィールドで、Pre-Block ACL の名前を入力します(1 から 64 文字)。

ステップ 7 [Post-Block ACL Name] フィールドで、Post-Block ACL の名前を入力します(1 から 64 文字)。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 8 [Apply to Sensor] をクリックして、変更内容を保存します。


 

Catalyst 6K のブロッキング デバイス インターフェイスの設定

Catalyst スイッチのブロッキング インターフェイスを設定し、ブロックのための VLAN インターフェイスを指定します。

Catalyst スイッチのブロッキング インターフェイスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [CAT 6K Blocking Device Interfaces] を選択します。

[CAT 6K Blocking Device Interfaces] ページが表示されます。

ステップ 2 [Add] をクリックして、ルータのブロッキング インターフェイスを設定します。

[Adding] ページが表示されます。

ステップ 3 [IP Address] フィールドで、ブロックで使用する Catalyst スイッチの IP アドレスを選択します。

ステップ 4 [VLAN] フィールドで、ブロッキングのためにセンサーが設定する VLAN 番号を入力します。

ステップ 5 [Pre-Block VACL Name] フィールドで、Pre-Block VACL の名前を入力します(1 から 64 文字)。

ステップ 6 [Post-Block VACL Name] フィールドで、Post-Block VACL の名前を入力します(1 から 64 文字)。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 7 [Apply to Sensor] をクリックして、変更内容を保存します。


 

マスター ブロッキング センサーの設定

ブロッキング要求は、複数のセンサー(ブロッキング転送センサー)から、1 つ以上のデバイスを制御する、マスター ブロッキング センサーに転送できます。ブロッキング転送センサーで [Configuration] > [Blocking] > [Master Blocking Sensor] を選択してどのリモート ホストがマスター ブロッキング センサーとして機能するかを識別し、マスター ブロッキング センサーで、ブロッキング転送センサーをその許可されたホスト設定に追加します。


) 通常、マスター ブロッキング センサーは、ネットワーク デバイスを管理するために設定されます。ブロッキング転送センサーは、通常はネットワーク デバイスの管理目的では設定されませんが、設定自体は可能です。


ブロッキング転送センサーとマスター ブロッキング センサーを設定するには、次の手順を実行します。


ステップ 1 マスター ブロッキング センサーに接続するために別のブラウザを開きます。

https://master_blocking_sensor_ip_address

ステップ 2 [Device] > [Sensor Setup] > [Allowed Hosts] を選択します。

[Allowed Hosts] ページが表示されます。

ステップ 3 [Add] をクリックして、ブロッキング転送センサーの IP アドレスとネットマスクを追加します。

[Adding] ページが表示されます。

ステップ 4 [IP Address] フィールドには、ブロッキング転送センサーの IP アドレスを入力します。

ステップ 5 [Netmask] フィールドには、ブロッキング転送センサーのネットマスクを入力します。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 6 [Apply to Sensor] をクリックして、変更内容を保存します。

ステップ 7 ブロッキング転送センサーとして許可するセンサーそれぞれに対し、ステップ 2 から 6 を繰り返します。

ステップ 8 ブロッキング転送センサーに接続するために別のブラウザを開きます。

https://blocking_forwarding_sensor_ip_address

ステップ 9 [Configuration] > [Blocking] > [Master Blocking Sensor] を選択します。

[Master Blocking Sensor] ページが表示されます。

ステップ 10 [Add] をクリックし、マスター ブロッキング センサーを追加します。

[Adding] ページが表示されます。

ステップ 11 [IP Address] フィールドには、マスター ブロッキング センサーの IP アドレスを入力します。

ステップ 12 マスター ブロッキング センサーが使用するポート番号を入力します。

ポート番号は、マスター ブロッキング センサーが IDS Device Manager 接続に用いているのと同じポート番号です。


) たとえば、https を用いて接続している場合は、デフォルトではポート 443 です。


ステップ 13 [User Name] フィールドには、IDS Device Manager 管理者のユーザ名を入力します。

ステップ 14 [Password] フィールドには、IDS Device Manager 管理者のパスワードを入力します。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 15 Use TLS を選択する場合は、次の手順を実行します。

a. ブロッキング転送センサーの CLI にアクセスします。


) 管理者特権が必要です。


b. コンフィギュレーション モードで開始します。

sensor# configure terminal

c. 信頼できるホストを追加します。

sensor(config)# tls trusted-host ip-address master-blocking_sensor_ip_address
 

信頼できるホストの追加を確認するように求めるメッセージが表示されます。

Would you like to add this to the trusted certificate table for this host?[yes]:

d. yes を入力します。

e. 端末設定モードを終了します。

sensor(config)# exit

f. CLI を終了します。

sensor# exit

ステップ 16 [Apply to Sensor] をクリックして、変更内容を保存します。

入力した内容を示す [Master Blocking Sensor] ページが表示されます。

ステップ 17 マスター ブロッキング センサーとして識別するセンサーそれぞれに対し、ステップ 8 から 16 を繰り返します。

ステップ 18 エントリを編集するには、エントリの横のチェック ボックスを選択し、[Edit] をクリックします。

[Editing] ページが表示されます。

ステップ 19 変更内容を確認したら、[Apply to Sensor] をクリックします。


 

自動アップデートの設定

IDS サービス パックの自動アップデートとシグニチャ アップデートをスケジュールできます。

「自動アップデートの設定」

「サポートされる FTP サーバ」

「Cisco IDS ソフトウェアの入手方法」

「暗号化アクセスが可能な Cisco.com アカウントの申し込み」

「アクティブなアップデート通知」

「Network Security Database」

自動アップデートの設定

サービス パックとシグニチャの自動更新を設定し、これらのアップデートが中央の FTP または SCP サーバにロードされたときにダウンロードが行われ、センサーに適用されるようにすることができます。デフォルトは 5 分です。


) センサーは、サービス パックとシグニチャのアップデートを Cisco.com から自動的にダウンロードできません。サービス パックとシグニチャのアップデートはご自分で Cisco.com から FTP または SCP サーバにダウンロードします。それらを FTP または SCP サーバからセンサーにダウンロードするよう設定します。サービス パックとシグニチャの更新を取得する手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。



注意 Cisco.com から更新をダウンロードしたら、FTP または SCP サーバ上のダウンロード ファイルの整合性を保証できるように対策を講じる必要があります。

サポートされているサーバのリストについては、「サポートされる FTP サーバ」を参照してください。

自動更新を設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Auto Update] をクリックします。

[Auto Update] ページが表示されます。

ステップ 2 [Enable Auto Update] チェックボックスをオンにして、自動更新を使用可能にします。

ステップ 3 [IP Address] フィールドに、更新をチェックするサーバの IP アドレスを入力します。

ステップ 4 [Directory] フィールドに、更新が置かれるサーバ上のディレクトリへのパス(1 から 128 文字)を入力します。

ステップ 5 [Username] フィールドに、サーバへログインする際に使うユーザ名(1 から 16 文字)を入力します。

ステップ 6 [Password] フィールドに、サーバのパスワード(1 to 16 文字)を入力します。

ステップ 7 [File Copy Protocol] リスト ボックスで、[SCP] または [FTP] を選択します。

ステップ 8 更新を時間単位で指定するには、[Hourly] を選択し、次の手順を実行します。

a. [Start Time] フィールドに、更新を開始する時刻(hh:mm:ss)を入力します。

b. [Frequency] フィールドに、各更新が行われる時間間隔(1 から 8760)を入力します。

たとえば、5 と入力すると、センサーは 5 時間ごとにサーバ上のファイルのディレクトリを確認します。更新があれば、ダウンロードし、インストールします。更新可能なものが複数ある場合でも、1 回にインストールされる更新は 1 つだけです。

ステップ 9 カレンダー更新に対しては、[Calendar] を選択し、次の手順を実行します。

a. [Start Time] フィールドに、更新を開始する時刻(hh:mm:ss)を入力します。

b. [Day] フィールドで、更新をダウンロードする日を選択します。


) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 10 [Apply to Sensor] をクリックして、変更内容を保存します。


 

サポートされる FTP サーバ

サービス パックとシグニチャの更新でサポートされている FTP サーバは次の通りです。

Sambar FTP Server バージョン 5.0(win32)

Web-mail Microsoft FTP Service バージョン 5.0(win32)

Serv-U FTP-Server v2.5h for WinSock(win32)

Solaris 2.8

HP-UX(HP-UX qdir-5 B.10.20 A 9000/715)

Windows 2000(Microsoft ftp server バージョン 5.0)

Windows NT 4.0(Microsoft ftp server バージョン 3.0)


) センサーは、サービス パックとシグニチャのアップデートを Cisco.com からダウンロードできません。サービス パックとシグニチャのアップデートはご自分で Cisco.com から FTP サーバにダウンロードします。それらを FTP サーバからセンサーにダウンロードするよう設定します。


Cisco IDS ソフトウェアの入手方法

IDS Event Viewer、シグニチャ アップデート、サービス パック アップデート、BIOS アップグレード、Readme、その他のソフトウェア アップデートは、Cisco.com の Software Center( http://www.cisco.com/kobayashi/sw-center/ciscosecure/ids/crypto/ )にあります。


) Software Center にアクセスするには、Cisco.com にログインする必要があります。


Network Security Database(NSDB)も含まれている定期的なシグニチャのアップデートは、約 2 週間ごとに Cisco.com に用意されます。サービス パックも、必要に応じて Cisco.com に用意されます。

アップデートをダウンロードするには、Cisco.com のパスワードが必要です。暗号化アクセスが可能な Cisco.com アカウントの取得に関する情報については、「暗号化アクセスが可能な Cisco.com アカウントの申し込み」 を参照してください。

最新のシグニチャとサービス パック アップデートのため、Cisco.com を定期的にチェックしてください。

Cisco.com の Software Center にアクセスするには、次の手順を実行します。


ステップ 1 Cisco.com に移動します。

ステップ 2 Cisco.com にログインします。

ステップ 3 [Technical Support] > [Software Center] を選択します。

ステップ 4 [Software Products & Downloads] の下にある [Cisco Secure Software] をクリックします。

ステップ 5 [Cisco Secure Software] の下にある [Cisco Intrusion Detection System (IDS)] をクリックします。

ステップ 6 [Version 4.X] の下にあるセンサーを見つけ、[Latest Software] をクリックします。

ステップ 7 [Software Download] ページで、必要なアップデートを選択します。

ステップ 8 Readme の説明に従って、アップデートをインストールします。

何らかの原因でシグニチャ アップデートまたはサービス パックをインストール後にセンサーが利用できなくなった場合には、『 Cisco Intrusion Detection System Appliance and Module Installation and Configuration Guide Version 4.1 』の「Recovering the Sensor Software Image」を参照してください。


) メジャー バージョン アップグレード、マイナー バージョン アップグレード、サービス パック、シグニチャ アップデートは、すべてのセンサーで同一です。リカバリとアプリケーション ファイルは、プラットフォームごとに異なります。



 

暗号化アクセスが可能な Cisco.com アカウントの申し込み

ソフトウェア アップデートをダウンロードするには、暗号化アクセス用の Cisco.com アカウントが必要です。

暗号化アクセスを申し込むには、次の手順を実行します。


ステップ 1 Cisco.com アカウントをお持ちであれば、ステップ 2 へ進みます。Cisco.com アカウントをお持ちでなければ、 http://tools.cisco.com/RPF/register/register.do で登録してください。

ステップ 2 次の URL http://www.cisco.com/pcgi-bin/Software/Crypto/crypto_main.pl に移動します。

[Enter Network Password] ダイアログボックスが表示されます。

ステップ 3 Cisco.com アカウントでログインします。

[Encryption Software Export Distribution Authorization Form] ページが表示されます。

ステップ 4 リスト ボックスでソフトウェアを選択して [Submit] をクリックします。

Encryption Software Export Distribution Authorization Form が表示されます。

ステップ 5 Encryption Software Export Distribution Authorization Form を検討し、各項目に入力し、[Submit] をクリックします。

「Cisco Encryption Software: Crypto Access Granted」というメッセージが表示されます。


) 申し込みの処理には、約 4 時間かかります。受け付け処理が完了するまで、ソフトウェアのダウンロードはできません。完了通知は送信されません。



 

アクティブなアップデート通知

Cisco.com にある Cisco IDS Active Update Notifications に加入すると、シグニチャ アップデートおよびサービス パック アップデートがあった場合に電子メールを受け取ることができます。

シグニチャ アップデートに関する通知を受信するには、次の手順を実行します。


ステップ 1 次の URL http://www.cisco.com/warp/public/779/largeent/it/ids_news/subscribe.html に移動します。

ステップ 2 [E-mail] フィールドに電子メール アドレスを入力します。

ステップ 3 [Password] ボックスにパスワードを入力します。

ステップ 4 [Password] ボックスにパスワードをもう一度入力します。

ステップ 5 [Submit] をクリックします。

これで、シグニチャ アップデートが行われたとき、電子メールの通知とアップデート入手方法の説明が送られてくるようになります。


 

Network Security Database

Network Security Database(NSDB)は、Cisco のネットワークの脆弱性情報の辞書を HTML ベースで示したものです。IDS Device Manager の右上にあるバー内の [NSDB] をクリックして NSDB にアクセスします。

そのページの特定のシグニチャのページにアクセスするには、[Configuration] > [Sensing Engine] > [Virtual Sensor Configuration] > [Signature Configuration Mode] > [All Signatures] を選択し、シグニチャの ID 番号をクリックします。

通常、NSDB のエントリには次の重要なセキュリティ情報が含まれています。

Signature Name:シグニチャの名前を指定。エントリの一番上。

ID:シグニチャに対する一意の ID。

Sub ID:シグニチャに対するオプションのサブ シグニチャ ID。

Recommended Alarm Level:シグニチャに対して設定を推奨しているアラーム レベル。

Signature Type:影響を与えるシグニチャ タイプ。タイプには 2 種類あります。

Network:ネットワーク ベースの脆弱性を分類したもの。

Host:ホスト ベースの脆弱性を分類したもの。

Signature Structure:ネットワーク上のアラーム状態を明確に特定するために必要なパケット数を定義したもの。タイプには 2 種類あります。

Atomic signature:アラーム状態を識別するために 1 つのパケットだけを検査することを要求します。

Composite signature:アラーム状態を識別するために複数のパケットを検査することを要求します。

Implementation:アラーム状態を識別するためにこのシグニチャがパケット ヘッダを検査することを表示します。実装タイプには 2 種類あります。

Content-based signature:アラーム状態を識別するためにパケットのペイロードとヘッダを検査します。

Context-based signature:アラーム状態を識別するためにパケット ヘッダを検査します。

Release Version:この番号は、そのシグニチャが最初に掲載されたリリースを示します。

Description:シグニチャと、そのシグニチャが検出した不正利用を説明します。

Benign Trigger(s):不正利用のように見えていても実際は正常なネットワーク アクティビティの false positive を説明しています。

Recommended Signature Filter:使用できるフィルタを提供します。

Data Field Information Tag:シグニチャを作成するのに使用された少しの情報(URL など)を提供しています。

Related Vulnerabilities:各シグニチャがゼロあるいはそれ以上に関連する脆弱性を示します。それぞれの脆弱性情報のページでは、脆弱性の背景と利用可能な対抗策のリンクが提供されます。

User Notes:自身のネットワーク セキュリティ環境向けにカスタマイズされたセキュリティ情報を入力できるユーザ定義のノートのページを示したものです。

デフォルト設定への復元

センサーはデフォルト設定に復元できます。


警告 [Apply to Sensor] をクリックすると、現在のアプリケーション設定が削除され、デフォルト設定が復元されます。ネットワーク設定もデフォルトに戻り、IDS Device Manager および CLI との接続が直ちに切断されます。


デフォルトの設定を復元するには、次の手順を実行します。


ステップ 1 [Device] > [Configuration] > [Restore Defaults] を選択します。

[Restore Defaults] ページが表示されます。

ステップ 2 [Apply to Sensor] をクリックし、デフォルトの設定を復元します。

IP アドレス、ネットマスク、デフォルト ゲートウェイ、許可ホスト、パスワード、および時間はリセットされません。手動および自動ブロックも有効なままになります。