Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
インターフェイスの設定
インターフェイスの設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

インターフェイスの設定

IPS SSP インターフェイスについて

物理インターフェイスの設定

無差別モード

インライン インターフェイス モード

インターフェイス通知の設定

インターフェイス統計情報の表示

インターフェイスの設定


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、IPS SSP にインターフェイスを設定する手順について説明します。次のような構成になっています。

「IPS SSP インターフェイスについて」

「物理インターフェイスの設定」

「無差別モード」

「インライン インターフェイス モード」

「インターフェイス通知の設定」

「インターフェイス統計情報の表示」

IPS SSP インターフェイスについて

IPS SSP は、管理インターフェイス(コマンド/コントロール)とセンシング インターフェイスの 2 つのインターフェイスを備えています。コマンド/コントロール インターフェイスは、IP アドレスが割り当てられ、IPS SSP を設定するために使用されます。IPS SSP からは、IDM にセキュリティ イベントとステータス イベントを送信するために使用されます。IPS SSP のコマンド/コントロール インターフェイスの名前は、Management0/0 です。


注意 IPS SSP は、4 種類のポート(コンソール、管理、GigabitEthernet、および 10GE)を備えています。コンソール ポートと管理ポート(IPS SSP の右前面パネル上にある)は、IPS ソフトウェアによって設定および制御を行います。GigabitEthernet ポートと 10GE ポート(IPS SSP の左前面パネル上にある)は、IPS ソフトウェアではなく、ASA ソフトウェアによって設定および制御を行います。ただし、IPS SSP をリセットまたはシャットダウンするときは、GigabitEthernet ポートと 10GE ポートもリンクダウンします。これらのポートに対するリンク ダウンの影響を最小限に抑えるために、IPS SSP のリセットまたはシャットダウンはスケジュールされたメンテナンス期間中に行う必要があります。

コマンド/コントロール インターフェイスは、常にイネーブルです。特定の物理インターフェイスに常にマッピングされます。コマンド/コントロール インターフェイスを検知インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。

センシング インターフェイスは、セキュリティ違反についてトラフィックを分析するために使用されます。IPS SSP 上には、センシング インターフェイスが 1 つだけ存在します。PortChannel0/0 という名前のバックプレーン インターフェイスです。すべてのバックプレーン インターフェイスは、速度、デュプレックス、および状態の設定が固定されています。これらの設定は、すべてのバックプレーン インターフェイスのデフォルト設定内で保護されています。IPS SSP インターフェイスは、適応型セキュリティ アプライアンス上のセキュリティ コンテキストで設定します。センシング インターフェイスは、常にイネーブルです。

詳細情報

ASA ソフトウェアの詳細については、次の URL にある ASA のユーザ マニュアルを参照してください。

http://www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html

物理インターフェイスの設定

サービス インターフェイス サブモードで physical-interfaces interface_name コマンドを使用して、インターフェイス PortChannel0/0 の説明を追加します。IPS SSP は、適応型セキュリティ アプライアンス CLI から無差別モード用に設定され、Cisco IPS CLI からは設定されません。設定可能な唯一の physical-interfaces オプションは、 description です。代替 TCP リセット インターフェイスは IPS SSP に適用されず、デュプレックスと速度のオプションは保護され、インターフェイスはすでにイネーブルになっています。

IPS SSP 上のインターフェイスの説明を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 インターフェイス サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service interface
 

ステップ 3 使用可能なインターフェイスのリストを表示します。

ips-ssp(config-int)# physical-interfaces ?
Management0/0 Management0/0 physical interface.
PortChannel0/0 PortChannel0/0 physical interface.
ips-ssp(config-int)# physical-interfaces
 

ステップ 4 インターフェイスを指定します。

ips-ssp(config-int)# physical-interfaces PortChannel0/0
 

ステップ 5 このインターフェイスの説明を追加します。

ips-ssp(config-int-phy)# description INT1
 

ステップ 6 設定を確認できます。


subinterface-typenone(デフォルト)になっていることを確認します。インライン VLAN ペアは、subinterface-type コマンドを使用して設定します。


ips-ssp(config-int-phy)# show settings
<protected entry>
name: PortChannel0/0
-----------------------------------------------
media-type: backplane <protected>
description: SSP INT default:
admin-state: enabled <protected>
duplex: full <protected>
speed: 10000 <protected>
alt-tcp-reset-interface
-----------------------------------------------
none
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-int-phy)#
 

ステップ 7 インターフェイス サブモードを終了します。

ips-ssp(config-int-phy)# exit
ips-ssp(config-int)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

IPS SSP にトラフィックを送信するための手順については、「IPS SSP の仮想センサーの作成」を参照してください。

無差別モード

無差別モードでは、パケットはセンサーを通過しません。センサーは、実際に転送されるパケットではなく、モニタ対象のトラフィックのコピーを分析します。無差別モードで運用する利点は、転送されるトラフィックでパケットのフローにセンサーが影響を与えないことです。ただし、無差別モードで運用するときは、アトミック アタック(シングルパケット攻撃)などの特定のタイプの攻撃の場合に、悪意のあるトラフィックがターゲットに到達することをセンサーで阻止できないという短所があります。無差別モードのセンサー デバイスによって実行される応答アクションはイベント後の応答であるため、多くの場合、攻撃に対応するために、ルータやファイアウォールなど、他のネットワーキング デバイスによるサポートが必要となります。このような応答アクションは一部の攻撃を防ぐことはできますが、アトミック アタックでは、無差別モードベースのセンサーが管理対象デバイス(ファイアウォール、スイッチ、ルータなど)に ACL 修正を適用する前に、シングル パケットがターゲット システムに到達する可能性があります。

インライン インターフェイス モード

インライン インターフェイス ペア モードで運用する場合は、IPS が直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。遅延が加わるため、パケット転送速度は遅くなります。その結果、センサーは、悪意のあるトラフィックがターゲットに到達する前にそのトラフィックをドロップして攻撃を阻止できるため、保護サービスが提供されます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。この詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、その攻撃の停止やブロックを行うことができます。

インライン インターフェイス ペア モードでは、パケットはセンサーのペアの 1 つめのインターフェイスを経由して入り、ペアの 2 つめのインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されないかぎり、ペアの 2 つめのインターフェイスに送信されます。


) IPS SSP は、センシング インターフェイスが 1 つしか存在しなくても、インラインで動作するように設定できます。


詳細情報

IPS SSP にトラフィックを送信するための手順については、「IPS SSP の仮想センサーの作成」を参照してください。

インターフェイス通知の設定

インターフェイス上のパケットのフローをモニタし、そのフローが指定した間隔中に変更(開始/停止)された場合に通知を送信するようにセンサーを設定できます。特定の通知間隔内に欠落パケットのしきい値を設定でき、ステータス イベントがレポートされる前のインターフェイス アイドル遅延も設定できます。サービス インターフェイス サブモードで interface-notifications コマンドを使用して、トラフィック通知を設定します。

オプション

次のオプションが適用されます。

default :値をシステムのデフォルト設定に戻します。

idle-interface-delay :通知が送信される前にインターフェイスがアイドル状態でなければならない秒数を指定します。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。

missed-percentage-threshold :通知が送信される前に、指定された間隔内で失われなければならないパケットのパーセンテージを指定します。有効な範囲は 0 ~ 100 です。デフォルトは 0 です。

notification-interval :欠落パケットのパーセンテージを確認する間隔を指定します。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。

インターフェイス通知の設定

インターフェイス通知設定を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 インターフェイス サブモードを開始します。

ips-ssp(config)# service interface
 

ステップ 4 インターフェイス通知サブモードを開始します。

ips-ssp(config-int)# interface-notifications
 

ステップ 5 アイドル インターフェイス遅延を指定します。

ips-ssp(config-int-int)# idle-interface-delay 60
 

ステップ 6 損失パーセンテージしきい値を指定します。

ips-ssp(config-int-int)# missed-percentage-threshold 1
 

ステップ 7 通知間隔を指定します。

ips-ssp(config-int-int)# notification-interval 60
 

ステップ 8 設定を確認できます。

ips-ssp(config-int-int)# show settings
interface-notifications
-----------------------------------------------
missed-percentage-threshold: 1 percent default: 0
notification-interval: 60 seconds default: 30
idle-interface-delay: 60 seconds default: 30
-----------------------------------------------
ips-ssp(config-int-int)#
 

ステップ 9 インターフェイス通知サブモードを終了します。

ips-ssp(config-int-int)# exit
ips-ssp(config-int)# exit
Apply Changes:?[yes]:
 

ステップ 10 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

インターフェイス統計情報の表示

EXEC モードで show interfaces [ clear | brief ] コマンドを使用して、すべてのシステム インターフェイスの統計情報を表示します。 show interfaces { FastEthernet | GigabitEthernet | Management } [ slot/port ] コマンドを使用して、特定のインターフェイスの統計情報を表示します。

オプション

次のオプションが適用されます。

clear :(任意)診断をクリアします。

brief :(任意)各インターフェイスのユーザビリティ ステータスの概要を表示します。

Management0/0 :この管理インターフェイスの統計情報を表示します。

PortChannel0/0 :PortChannel0/0 インターフェイスの統計情報を表示します。

Management :管理インターフェイスの統計情報を表示します。


Management の印の付いた外部ポートを持つプラットフォームでのみ、このキーワードはサポートされます。


インターフェイス統計情報の表示

インターフェイス統計情報を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 すべてのインターフェイスの統計情報を表示します。

ips-ssp# show interfaces
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Description =
Media Type = TX
Default Vlan = 0
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 1786269
Total Bytes Received = 195561352
Total Multicast Packets Received = 0
Total Receive Errors = 2
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 639160
Total Bytes Transmitted = 234623511
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Down
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 0
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ips-ssp#
 

ステップ 3 インターフェイスの概要を簡潔に表示します。* は、インターフェイスがコマンド/コントロール インターフェイスであることを示しています。

ips-ssp# show interfaces brief
CC Interface Sensing State Link Inline Mode Pair Status
* Management0/0 Disabled Up
PortChannel0/0 Enabled Down Unpaired N/A
ips-ssp#
 

ステップ 4 特定のインターフェイスの統計情報を表示します。

ips-ssp# show interfaces PortChannel0/0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Down
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 0
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
ips-ssp#
 

ステップ 5 統計情報をクリアします。

ips-ssp# show interfaces clear
Interface Statistics
Total Packets Received = 0
Total Bytes Received = 0
Missed Packet Percentage = 0
MAC statistics from interface Management0/0
Interface function = Command-control interface
Description =
Media Type = TX
Default Vlan = 0
Link Status = Up
Link Speed = Auto_1000
Link Duplex = Auto_Full
Total Packets Received = 1788042
Total Bytes Received = 195720517
Total Multicast Packets Received = 0
Total Receive Errors = 2
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 640344
Total Bytes Transmitted = 234918987
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface PortChannel0/0
Interface function = Sensing interface
Description =
Media Type = backplane
Default Vlan = 0
InlineMode = Unpaired
Pair Status = N/A
Hardware Bypass Capable = No
Hardware Bypass Paired = N/A
Link Status = Down
Admin Enabled Status = Enabled
Link Speed = Auto_10000
Link Duplex = Auto_Full
Missed Packet Percentage = 0
Total Packets Received = 0
Total Bytes Received = 0
Total Multicast Packets Received = 0
Total Broadcast Packets Received = 0
Total Jumbo Packets Received = 0
Total Undersize Packets Received = 0
Total Receive Errors = 0
Total Receive FIFO Overruns = 0
Total Packets Transmitted = 0
Total Bytes Transmitted = 0
Total Multicast Packets Transmitted = 0
Total Broadcast Packets Transmitted = 0
Total Jumbo Packets Transmitted = 0
Total Undersize Packets Transmitted = 0
Total Transmit Errors = 0
Total Transmit FIFO Overruns = 0
MAC statistics from interface Management0/1
Interface function = Reserved for future use
ips-ssp#