Cisco Intrusion Prevention System Device Manager コンフィギュレーション ガイド for IPS 7.1
Attack Response Controller でのブロッキングとレート制限の設定
Attack Response Controller でのブロッキングとレート制限の設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Attack Response Controller でのブロッキングとレート制限の設定

ARC コンポーネント

ブロッキングについて

レート制限について

レート制限のサービス ポリシーについて

ARC を設定する前に

サポートされるデバイス数

ブロッキング プロパティの設定

[Blocking Properties] ペイン

ブロッキング プロパティについて

[Blocking Properties] ペインのフィールドの定義

ブロッキング プロパティの設定

[Add and Edit Never Block Address] ダイアログボックスのフィールドの定義

ブロックしない IP アドレスの追加、編集、および削除

デバイス ログイン プロファイルの設定

[Device Login Profiles] ペイン

[Device Login Profiles] ペインのフィールドの定義

[Add and Edit Device Login Profile] ダイアログボックスのフィールドの定義

デバイス ログイン プロファイルの設定

ブロッキング デバイスの設定

[Blocking Device] ペイン

[Blocking Devices] ペインのフィールドの定義

[Add and Edit Blocking Device] ダイアログボックスのフィールドの定義

ブロッキング デバイスおよびレート制限デバイスの追加、編集、および削除

Router Blocking Device Interfaces の設定

[Router Blocking Device Interfaces] ペイン

ルータのブロッキング デバイス インターフェイスについて

センサーがデバイスを管理する方法

[Router Blocking Device Interfaces] ペインのフィールドの定義

[Add and Edit Router Blocking Device Interface] ダイアログボックスのフィールドの定義

ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定

Cat 6K のブロッキング デバイス インターフェイスの設定

[Cat 6K Blocking Device Interfaces] ペイン

Cat 6K のブロッキング デバイス インターフェイスについて

[Cat 6K Blocking Device Interfaces] ペインのフィールドの定義

[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスのフィールドの定義

Cat 6K のブロッキング デバイス インターフェイスの設定

マスター ブロッキング センサーの設定

[Master Blocking Sensor] ペイン

マスター ブロッキング センサーについて

[Master Blocking Sensor] ペインのフィールドの定義

[Add and Edit Master Blocking Sensor] ダイアログボックスのフィールドの定義

マスター ブロッキング センサーの設定

Attack Response Controller でのブロッキングとレート制限の設定


) IPS SSP を搭載した Cisco ASA 5585-X は、現在のところ、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。現時点では、他に IPS バージョン 7.1 をサポートしている Cisco IPS センサーはありません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以上および ASA 8.4(2) 以上でサポートされています。ASA 8.3(x) では、サポートされていません。



ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IDM および CLI には、Network Access Controller、nac、および network-access という名前で参照している部分があります。


この章では、センサーでブロッキングを設定する方法について説明します。次の事項について説明します。

「ARC コンポーネント」

「ブロッキング プロパティの設定」

「デバイス ログイン プロファイルの設定」

「ブロッキング デバイスの設定」

「Router Blocking Device Interfaces の設定」

「Cat 6K のブロッキング デバイス インターフェイスの設定」

「マスター ブロッキング センサーの設定」

ARC コンポーネント

ここでは、ARC の各種コンポーネントについて説明します。次の事項について説明します。

「ブロッキングについて」

「レート制限について」

「レート制限のサービス ポリシーについて」

「ARC を設定する前に」

「サポートされるデバイス数」

ブロッキングについて


ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IDM および CLI には、Network Access Controller、nac、および network-access という名前で参照している部分があります。


ARC は、疑わしいイベントに応答し、攻撃しているホストとネットワークからのアクセスをブロックすることでネットワーク デバイスを管理します。ARC は、管理しているデバイスの IP アドレスをブロックします。他のマスター ブロッキング センサーを含め、管理しているすべてのデバイスに同じブロックを送信します。ARC は、ブロックの時間をモニタし、時間の経過後にブロックを削除します。

ARC は、7 秒以内に新しいブロックのアクション応答を完了します。ほとんどの場合は、より短い時間でアクション応答を完了します。このパフォーマンス目標を達成するために、センサーでのブロックの実行レートが高すぎたり、管理するブロッキング デバイスおよびインターフェイスが多すぎたりしないように設定してください。最大ブロック数は 250 以下にし、最大ブロッキング項目数は 10 以下にすることを推奨します。ブロッキング項目の最大数を計算するために、セキュリティ アプライアンスはブロッキング コンテキストあたり 1 つのブロッキング項目としてカウントします。ルータは、ブロッキング インターフェイス/方向あたり 1 つのブロッキング項目としてカウントします。Catalyst ソフトウェアを実行しているスイッチは、ブロッキング VLAN あたり 1 つのブロッキング項目としてカウントします。推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しない場合や、ブロックをまったく適用できない場合があります。


注意 ブロッキングは、マルチ モード管理コンテキストの FWSM ではサポートされません。

マルチ モードで設定されているセキュリティ アプライアンスでは、Cisco IPS は VLAN 情報をブロック要求に含めません。したがって、ブロックされる IP アドレスが各セキュリティ アプライアンスに対して正しいことを確認する必要があります。たとえば、センサーは、VLAN A に対して設定されているセキュリティ アプライアンス カスタマー コンテキストでパケットをモニタし、VLAN B に対して設定されている別のセキュリティ アプライアンス カスタマー コンテキストでブロッキングしている場合があります。VLAN A でブロックをトリガーするアドレスは、VLAN B で別のホストを参照する場合があります。

ブロックには次の 3 種類があります。

ホスト ブロック:特定の IP アドレスからのすべてのトラフィックをブロックします。

接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックによって、接続ブロックからホスト ブロックにブロックが自動的に切り替えられます。

ネットワーク ブロック:特定のネットワークからのトラフィックをすべてブロックします。ホスト ブロックと接続ブロックは、手動で開始するか、シグニチャがトリガーされたときに自動的に開始できます。ネットワーク ブロックは手動でだけ開始できます。


) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。



注意 ブロッキングとセンサーのパケット ドロップ機能を混同しないでください。センサーでは、インライン モードのセンサーに対してパケットのインライン拒否、接続のインライン拒否、および攻撃者のインライン拒否のアクションが設定されている場合にパケットをドロップできます。

自動ブロックの場合、シグニチャがトリガーされたときに SensorApp でブロック要求を ARC に送信するために、特定シグニチャのイベント アクションに対応する [Request Block Host] チェックボックスまたは [Request Block Connection] チェックボックスをオンにし、それらのシグニチャを設定したイベント アクション オーバーライドに追加する必要があります。ARC は、SensorApp からブロック要求を受信すると、デバイス設定をアップデートしてホストまたは接続をブロックします。

Cisco ルータおよび Catalyst 6500 シリーズ スイッチでは、ARC は ACL または VACL を適用してブロックを作成します。ACL および VACL は、インターフェイス方向または VLAN 上のデータ パケットの経路を許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可条件と拒否条件が含まれます。セキュリティ アプライアンスでは、ACL または VACL は使用されません。組み込みの shun コマンドおよび no shun コマンドが使用されます。


注意 ARC により作成される ACL は変更しないでください。また、他のシステムにより変更されないようにしてください。これらは一時的な ACL であり、新しい ACL がセンサーにより常時作成されます。Pre-Block ACL および Post-Block ACL に対する変更のみ可能です。

ARC でデバイスを管理するには、次の情報が必要です。

ログイン ユーザ ID(デバイスに AAA が設定されている場合)

ログイン パスワード

イネーブル パスワード(イネーブル特権のあるユーザは不要)

管理するインターフェイス(ethernet0、vlan100 など)

作成する ACL または VACL の最初(Pre-Block ACL または VACL)または最後(Post-Block ACL または VACL)で適用する既存の ACL または VACL 情報

セキュリティ アプライアンスでは、ブロックするために ACL は使用されないため、これはセキュリティ アプライアンスには適用されません。

デバイスとの通信に Telnet と SSH のどちらを使用しているか

絶対にブロックしない IP アドレス(ホストまたはホストの範囲)

ブロックの継続時間


ヒント ARC の状態を参照するには、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。


) レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック イベント アクションまたはレート制限イベント アクションを指定してシグニチャを設定し、IPv6 トラフィックによってトリガーされた場合、アラートは生成されますが、アクションは実行されません。


詳細情報

Request Block Host または Request Block Connection イベント アクションをシグニチャに追加する手順については、「シグニチャへのアクションの割り当て」を参照してください。

Request Block Host または Request Block Connection イベント アクションを特定リスク レーティングのアラートに追加するオーバーライドを設定する手順については、「イベント アクション オーバーライドの追加、編集、削除、イネーブル化、ディセーブル化」を参照してください。

Pre-Block ACL および Post-Block ACL の詳細については、「センサーがデバイスを管理する方法」を参照してください。

レート制限について

ARC は、保護されているネットワーク内のトラフィックのレート制限を行います。レート制限により、センサーはネットワーク デバイス上の指定したトラフィック クラスのレートを制限できます。レート制限応答は、ホスト フラッド エンジンとネット フラッド エンジン、および TCP ハーフオープン SYN シグニチャに対してサポートされます。ARC では、Cisco IOS 12.3 以降を実行しているネットワーク デバイスにレート制限を設定できます。マスター ブロッキング センサーは、レート制限要求をブロッキング転送センサーに転送することもできます。

レート制限を追加するには、以下を指定します。

レート制限の送信元アドレスまたは宛先アドレス、あるいはこれらの両方

TCP または UDP プロトコルを使用する場合、レート制限の送信元ポートまたは宛先ポート、あるいはこれらの両方

レート制限シグニチャを調整することもできます。[Request Rate Limit] にアクションを設定し、これらのシグニチャのパーセンテージを設定する必要もあります。


) レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック イベント アクションまたはレート制限イベント アクションを指定してシグニチャを設定し、IPv6 トラフィックによってトリガーされた場合、アラートは生成されますが、アクションは実行されません。


表 13-1 に、サポートされているレート制限シグニチャおよびパラメータを示します。

 

表 13-1 レート制限シグニチャ

シグニチャ ID
シグニチャ名
プロトコル
宛先 IP アドレスの可否
データ

2152

ICMP Flood Host

ICMP

Yes

echo-request

2153

ICMP Smurf Attack

ICMP

Yes

echo-reply

4002

UDP Flood Host

UDP

Yes

なし

6901

Net Flood ICMP Reply

ICMP

No

echo-reply

6902

Net Flood ICMP Request

ICMP

No

echo-request

6903

Net Flood ICMP Any

ICMP

No

なし

6910

Net Flood UDP

UDP

No

なし

6920

Net Flood TCP

TCP

No

なし

3050

TCP HalfOpenSyn

TCP

No

halfOpenSyn


ヒント ARC の状態を参照するには、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。

詳細情報

ルータでレート制限を設定する手順については、 「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」 を参照してください。

センサーをマスター ブロッキング センサーとして設定する手順については、「マスター ブロッキング センサーの設定」を参照してください。

レート制限のサービス ポリシーについて

レート制限が設定されているインターフェイス/方向にサービス ポリシーを適用しないでください。適用した場合は、レート制限アクションが失敗します。レート制限を設定する前に、インターフェイス/方向にサービス ポリシーがないことを確認し、存在する場合には削除します。ARC では、ARC が以前に追加したものでないかぎり、既存のレート制限は削除されません。

レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、 acl および class-map エントリを使用してトラフィックを識別し、 policy-map および service-policy エントリを使用してトラフィックをポリシングします。

ARC を設定する前に


注意 2 つのセンサーが同じデバイスでブロッキングまたはレート制限を制御することはできません。この状況が必要な場合は、一方のセンサーをマスター ブロッキング センサーとして設定してデバイスを管理し、もう一方のセンサーでマスター ブロッキング センサーに要求を転送できます。


) マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のセキュリティ アプライアンスと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。


ARC でブロッキングまたはレート制限を設定する前に、以下を実行する必要があります。

ネットワーク トポロジを分析して、どのデバイスをどのセンサーでブロックする必要があるか、どのアドレスはブロックするべきではないかを理解します。

各デバイスにログインするために必要なユーザ名、デバイスのパスワード、イネーブル パスワード、および接続タイプ(Telnet または SSH)などの情報を収集します。

デバイスのインターフェイスの名前を確認します。

必要に応じて、Pre-Block ACL または VACL の名前、および Post-Block ACL または VACL の名前を確認します。

どのインターフェイスで、どの方向(インまたはアウト)をブロックする必要があるか、またはブロックするべきではないかを理解します。誤ってネットワーク全体をシャットダウンすることは避けなければなりません。

サポートされるデバイス数


注意 推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しない場合や、ブロックをまったく適用できない場合があります。

デフォルトでは、ARC は、任意の組み合わせで 250 までのデバイスをサポートします。ARC によるブロッキングでは、次のデバイスがサポートされます。

Cisco IOS 11.2 以降(ACL)を使用する Cisco シリーズ ルータ

Cisco 1600 シリーズ ルータ

Cisco 1700 シリーズ ルータ

Cisco 2500 シリーズ ルータ

Cisco 2600 シリーズ ルータ

Cisco 2800 シリーズ ルータ

Cisco 3600 シリーズ ルータ

Cisco 3800 シリーズ ルータ

Cisco 7200 シリーズ ルータ

Cisco 7500 シリーズ ルータ

Catalyst 5000 スイッチ、RSM 搭載、IOS 11.2(9)P 以降(ACL)

Catalyst 6500 スイッチおよび 7600 ルータ、IOS 12.1(13)E 以降(ACL)

Catalyst 6500 スイッチおよび 7600 ルータ、Catalyst ソフトウェア バージョン 7.5(1) 以降(VACL)

Supervisor Engine 1A(PFC 搭載)

Supervisor Engine 1A(MSFC1 搭載)

Supervisor Engine 1A(MFSC2 搭載)

Supervisor Engine 2(MSFC2 搭載)

Supervisor Engine 720(MSFC3 搭載)


) Supervisor Engine での VACL ブロッキング、および MSFC での ACL ブロッキングがサポートされています。


PIX Firewall、バージョン 6.0 以降( shun コマンド)

501

506E

515E

525

535

ASA バージョン 7.0 以降( shun コマンド)

ASA-5510

ASA-5520

ASA-5540

FWSM 1.1 以降( shun コマンド)

ブロッキングを設定するには、ACL、VACLS、または shun コマンドのいずれかを使用します。すべてのファイアウォールおよび ASA モデルは shun コマンドをサポートしています。

ARC によるレート制限では、次のデバイスがサポートされます。

Cisco IOS 12.3 以降を使用する Cisco シリーズ ルータ

Cisco 1700 シリーズ ルータ

Cisco 2500 シリーズ ルータ

Cisco 2600 シリーズ ルータ

Cisco 2800 シリーズ ルータ

Cisco 3600 シリーズ ルータ

Cisco 3800 シリーズ ルータ

Cisco 7200 シリーズ ルータ

Cisco 7500 シリーズ ルータ


注意 ARC は、VIP 搭載の 7500 ルータではレート制限を実行できません。ARC は、エラーは報告しますが、レート制限は実行できません。

ブロッキング プロパティの設定

ここでは、センサーのブロッキング プロパティを設定する方法について説明します。次の事項について説明します。

「[Blocking Properties] ペイン」

「ブロッキング プロパティについて」

「[Blocking Properties] ペインのフィールドの定義」

「ブロッキング プロパティの設定」

「[Add and Edit Never Block Address] ダイアログボックスのフィールドの定義」

「ブロックしない IP アドレスの追加、編集、および削除」

[Blocking Properties] ペイン


ブロックしない IP アドレスを追加、編集、または削除するには、管理者またはオペレータである必要があります。


[Blocking Properties] ペインを使用して、ブロッキングおよびレート制限をイネーブルにするために必要な基本設定を行います。

ブロッキング プロパティについて

ARC は、管理対象デバイスでブロッキング アクションおよびレート制限アクションを制御します。手動でもブロックするべきではないホストおよびネットワークをセンサーが識別するように調整する必要があります。信頼できるネットワーク デバイスによる通常の予期可能な動作が攻撃と見なされることも考えられます。そのようなデバイスは絶対にブロックしてはなりません。また、信頼できる内部のネットワークも絶対にブロックしてはなりません。シグニチャを適切にチューニングすることにより、false positive の数を減らし、ネットワークが正しく動作することを保証できます。シグニチャのチューニングとフィルタリングを行うと、アラームの生成が防止できます。アラームが生成されない場合、それに関連付けられたブロックも実行されません。


) Never Block Address はレート制限には適用されません。このオプションは Request Block Host イベント アクションまたは Request Block Connection イベント アクションにのみ適用されます。Deny Attacker Inline、Deny Connection Inline、または Deny Packet Inline イベント アクションには適用されません。イベント アクション規則を使用して、ブロック、拒否、およびドロップの対象にしないホストを除外してください。


ネットマスクを指定すると、それがブロックされないネットワークのネットマスクになります。ネットマスクを指定しないと、指定した IP アドレスだけがブロックされません。


注意 センサーがそれ自体をブロックすることを許可すると、ブロッキング デバイスとの通信ができなくなる可能性があるため、推奨しません。センサーでそれ自体の IP アドレスをブロックするルールが作成されても、センサーからブロッキング デバイスへのアクセスが妨げられないことが確認された場合は、このオプションを設定できます。

デフォルトでは、センサーのブロッキングはイネーブルになっています。デバイスが ARC により管理されていて、そのデバイスに対し何かを手動で設定する必要がある場合、最初にブロッキングをディセーブルにする必要があります。ユーザと ARC の両方が同じデバイスで同時に変更を加える状況を回避する必要があります。この状況が発生すると、デバイスまたは ARC でエラーが発生します。

Cisco IOS デバイスでは、デフォルトではブロッキングのみサポートされます。レート制限を選択することで、またはブロッキングとレート制限を選択することで、ブロッキングのみというデフォルトをオーバーライドできます。

[Blocking Properties] ペインのフィールドの定義

[Blocking Properties] ペインには次のフィールドが表示されます。

[Enable blocking]:ホストのブロッキングをイネーブルにするかどうかを指定します。デフォルトではイネーブルです。[Enable blocking] がディセーブルで、デフォルト以外の値が他のフィールドに入力されている場合、エラー メッセージが表示されます。


) ブロッキングをイネーブルにする場合は、レート制限もイネーブルにします。ブロッキングをディセーブルにする場合は、レート制限もディセーブルにします。これは、ARC が新しいブロックまたはレート制限の追加や既存のブロックまたはレート制限の削除を行えないことを意味します。



) ブロッキングをイネーブルにしない場合でも、他のすべてのブロッキング設定を行うことができます。


[Allow sensor IP address to be blocked]:センサーの IP アドレスをブロックできるようにするかどうかを指定します。デフォルトではディセーブルです。

[Log all block events and errors]:ブロックの開始から終了まで、ブロックの後に発生したイベントと、発生したすべてのエラー メッセージをセンサーでログに記録するように設定します。

ブロックがデバイスに追加されるかデバイスから削除されると、イベントがログに記録されます。これらすべてのイベントおよびエラーをログに記録する必要はない可能性があります。このオプションをディセーブルにすると、新しいイベントとエラーが抑止されます。デフォルトではイネーブルです。


) すべてのブロック イベントとエラーの記録はレート制限にも適用されます。


[Enable NVRAM write]:ARC の最初の接続時に、センサーの指示でルータが NVRAM に書き込みを行うように設定します。イネーブルになっている場合は、ACL が更新されるたびに NVRAM が書き込まれます。デフォルトではディセーブルです。


) NVRAM の書き込みをイネーブルにすると、ブロッキングとレート制限に対するすべての変更が NVRAM に必ず書き込まれます。ルータが再起動された場合でも、適切なブロックとレート制限がアクティブになります。NVRAM の書き込みがディセーブルになっている場合、ルータの再起動後にブロッキングまたはレート制限が行われない期間が短時間発生します。NVRAM 書き込みをイネーブルにしない場合、NVRAM の寿命が延び、新しいブロックとレート制限の設定にかかる時間が短縮されます。


[Enable ACL Logging]:ARC で、ACL または VACL のブロック エントリにログ パラメータを追加します。これにより、デバイスはパケットがフィルタ処理されるときに syslog イベントを生成します。このオプションは、ルータとスイッチにのみ適用されます。デフォルトではディセーブルです。

[Maximum Block Entries]:ブロックするエントリの最大数。値は 1 ~ 65535 です。デフォルトは 250 です。

[Maximum Interfaces]:ブロックを実行するインターフェイスの最大数を設定します。

たとえば、PIX 500 シリーズ セキュリティ アプライアンスは 1 つのインターフェイスとカウントされます。1 つのインターフェイスを持つルータは 1 つとしてカウントされますが、2 つのインターフェイスを持つルータは 2 つとしてカウントされます。インターフェイスの最大数はデバイスあたり 250 です。デフォルトは 250 です。


) [Maximum Interfaces] を使用して、ARC が管理できるデバイスとインターフェイスの数の上限を設定します。ブロッキング デバイスの合計数(マスター ブロッキング センサーを含まない)がこの値を超えることはできません。ブロッキング項目の合計数もこの値を超えることはできません。ブロッキング項目は 1 つのセキュリティ アプライアンス コンテキスト、1 つのルータ ブロッキング インターフェイス/方向、または VLAN をブロッキングしている 1 つの Catalyst ソフトウェア スイッチです。



) また、デバイスあたり 250 個のインターフェイス、250 台のセキュリティ アプライアンス、250 台のルータ、250 台の Catalyst ソフトウェア スイッチ、および 100 台のマスター ブロッキング センサーは固定の最大数であり、変更できません。


[Maximum Rate Limit Entries]:レート制限エントリの最大数。最大レート制限は、最大ブロッキング エントリ以下である必要があります。ブロック エントリの数を超える数のレート制限エントリを設定すると、エラーが表示されます。値は 1 ~ 32767 です。デフォルトは 250 です。

[Never Block Addresses]:センサーでブロックするのを回避する IP アドレスを設定できます。


) Never Block Address はレート制限には適用されません。このオプションは Request Block Host イベント アクションおよび Request Block Connection イベント アクションにのみ適用されます。Deny Attacker Inline、Deny Connection Inline、または Deny Packet Inline イベント アクションには適用されません。イベント アクション規則を使用して、ブロック、拒否、およびドロップの対象にしないホストを除外してください。


[IP Address]:ブロックしない IP アドレス。

[Mask]:ブロックしない IP アドレスに対応するマスク。

ブロッキング プロパティの設定

ブロッキング プロパティを設定するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Blocking Properties] を選択します。

ステップ 3 ブロッキングおよびレート制限をイネーブルにするには、[Enable blocking] チェックボックスをオンにします。


) ブロッキングまたはレート制限を動作させるには、ブロッキングまたはレート制限を実行するようにデバイスを設定する必要があります。


ステップ 4 必要な場合以外は、[Allow the sensor IP address to be blocked] チェックボックスをオンにしないでください。


注意 センサーがそれ自体をブロックすることを許可すると、ブロッキング デバイスと通信できなくなる可能性があるため、推奨しません。このオプションは、センサーが自分の IP アドレスをブロックする規則を作成した場合に、そのためにセンサーがブロックしている装置にアクセスできなくなることはないと保証されている場合にだけ選択します。

ステップ 5 ブロッキング イベントおよびエラーをログに記録する場合は、[Log all block events and errors] チェックボックスをオンにします。

ステップ 6 ARC の最初の接続時に、センサーの指示でルータが NVRAM に書き込みを行うようにするには、[Enable NVRAM write] チェックボックスをオンにします。

ステップ 7 ARC で、ACL または VACL のブロック エントリにログ パラメータを追加する場合、[Enable ACL logging] チェックボックスをオンにします。

ステップ 8 [Maximum Block Entries] フィールドには、同時に維持されるブロック数を入力します(1 ~ 65535)。


) 250 を超える最大ブロック エントリ数を設定することは推奨されていません。



) ブロック数が最大ブロック エントリ数を超えることはありません。最大数に達すると、既存のブロックがタイムアウトするか削除されるまで新しいブロックは発生しません。


ステップ 9 [Maximum Interfaces] フィールドに、ブロックを実行するインターフェイスの数を入力します。

ステップ 10 [Maximum Rate Limit Entries] フィールドに、必要とするレート制限エントリの数(1 ~ 32767)を入力します。


注意 最大レート制限は、最大ブロッキング エントリ以下である必要があります。ブロック エントリの数を超える数のレート制限エントリを設定すると、エラーが表示されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 11 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

[Add and Edit Never Block Address] ダイアログボックスのフィールドの定義

[Add and Edit Never Block Address] ダイアログボックスには、次のフィールドが表示されます。

[IP Address]:ブロックしない IP アドレス。

[Mask]:ブロックしない IP アドレスに対応するマスク。

ブロックしない IP アドレスの追加、編集、および削除

ブロックしない IP アドレスを追加、編集、および削除するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Blocking Properties] を選択し、[Add] をクリックして、ブロックしないアドレスのリストにホストまたはネットワークを追加します。

ステップ 3 [IP Address] フィールドに、ホストまたはネットワークの IP アドレスを入力します。

ステップ 4 [Network Mask] フィールドに、ホストまたはネットワークのネットワーク マスクを入力するか、リストからネットワーク マスクを選択します。


ヒント 変更を廃棄して [Add Never Block Address] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 5 [OK] をクリックします。エントリが同一の場合、エラー メッセージが表示されます。[Blocking Properties] ペインの [Never Block Addresses] リストに、新しいホストまたはネットワークが表示されます。

ステップ 6 [Never Block Addresses] リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 7 [IP Address] フィールドで、ホストまたはネットワークの IP アドレスを編集します。

ステップ 8 [Network Mask] フィールドで、ホストまたはネットワークのネットワーク マスクを編集します。


ヒント 変更を廃棄して [Edit Never Block Address] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。[Allowed Hosts] ペインの [Never Block Addresses] リスト内に編集済みのホストまたはネットワークが表示されます。

ステップ 10 ホストまたはネットワークをリストから削除するには、ホストまたはネットワークを選択し、[Delete] をクリックします。[Blocking Properties] ペインの [Never Block Addresses] リストからホストが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 11 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

デバイス ログイン プロファイルの設定

ここでは、デバイス ログイン プロファイルの設定方法について説明します。次の事項について説明します。

「[Device Login Profiles] ペイン」

「[Device Login Profiles] ペインのフィールドの定義」

「[Device Login Profiles] ペインのフィールドの定義」

「デバイス ログイン プロファイルの設定」

[Device Login Profiles] ペイン


デバイス ログイン プロファイルを追加または編集するには、管理者またはオペレータである必要があります。


[Device Login Profiles] ペインを使用して、ブロッキング デバイスへのログイン時にセンサーが使用するプロファイルを設定します。センサーが管理する他のハードウェアのデバイス ログイン プロファイルを設定する必要があります。作成した名前を持つデバイス ログイン プロファイルには、ユーザ名、ログイン パスワード、およびイネーブル パスワード情報が含まれます。たとえば、同じパスワードとユーザ名を共有するすべてのルータに対して、1 つのデバイス ログイン プロファイル名で対応できます。


) ブロッキング デバイスを設定する前に、デバイス ログイン プロファイルを作成する必要があります。


[Device Login Profiles] ペインのフィールドの定義

[Device Login Profiles] ペインには次のフィールドが表示されます。

[Profile Name]:プロファイルの名前。

[Username]:ブロッキング デバイスへのログイン時に使用するユーザ名。

[Login Password]:ブロッキング デバイスへのログイン時に使用するログイン パスワード。


) パスワードがある場合は、一定の個数のアスタリスクで表示されます。


[Enable Password]:ブロッキング デバイスで使用するパスワードをイネーブルにします。


) パスワードがある場合は、一定の個数のアスタリスクで表示されます。


[Add and Edit Device Login Profile] ダイアログボックスのフィールドの定義

[Add and Edit Device Login Profile] ダイアログボックスには次のフィールドが表示されます。

[Profile Name]:プロファイルの名前。

[Username]:ブロッキング デバイスへのログイン時に使用するユーザ名。

[Login Password]:ブロッキング デバイスへのログイン時に使用するログイン パスワード。


) パスワードがある場合は、一定の個数のアスタリスクで表示されます。


[Enable Password]:ブロッキング デバイスで使用するパスワードをイネーブルにします。


) パスワードがある場合は、一定の個数のアスタリスクで表示されます。


デバイス ログイン プロファイルの設定

デバイス ログイン プロファイルを設定するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Device Login Profiles] を選択し、[Add] をクリックしてプロファイルを追加します。

ステップ 3 [Profile Name] フィールドにプロファイル名を入力します。

ステップ 4 (オプション)[Username] フィールドに、ブロッキング デバイスへのログイン時に使用するユーザ名を入力します。

ステップ 5 (オプション)[New Password] フィールドに、ログイン パスワードを入力します。

ステップ 6 (オプション)[Confirm New Password] フィールドに、確認のためにログイン パスワードを再度入力します。

ステップ 7 (オプション)[New Password] フィールドに、イネーブル パスワードを入力します。

ステップ 8 (オプション)[Confirm New Password] フィールドに、確認のためにイネーブル パスワードを再度入力します。


ヒント 変更を廃棄して [Add Device Login Profile] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。プロファイル名がすでに存在する場合、エラー メッセージが表示されます。[Device Login Profile] ペイン内のリストに、新しいデバイス ログイン プロファイルが表示されます。

ステップ 10 デバイス ログイン プロファイル リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 11 [Username] フィールドで、ブロッキング デバイスへのログイン時に使用するユーザ名を編集します。

ステップ 12 ログイン パスワードを変更するには、[Change the login password] チェックボックスをオンにします。

ステップ 13 [New Password] フィールドに、新しいログイン パスワードを入力します。

ステップ 14 [Confirm New Password] フィールドに、確認のために新しいログイン パスワードを入力します。

ステップ 15 イネーブル パスワードを変更するには、[Change the enable password] チェックボックスをオンにします。

ステップ 16 [New Password] フィールドに、新しいイネーブル パスワードを入力します。

ステップ 17 [Confirm New Password] フィールドに、確認のためにイネーブル パスワードを入力します。


ヒント 変更を廃棄して [Edit Device Login Profile] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 18 [OK] をクリックします。[Device Login Profile] ペイン内のリストに、編集済みのデバイス ログイン プロファイルが表示されます。

ステップ 19 リストからデバイス ログイン プロファイルを削除するには、デバイス ログイン プロファイルを選択し、[Delete] をクリックします。[Device Login Profile] ペイン内のリストからデバイス ログイン プロファイルが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 20 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

ブロッキング デバイスの設定

ここでは、ブロッキング デバイスの設定方法について説明します。次の事項について説明します。

「[Blocking Device] ペイン」

「[Blocking Devices] ペインのフィールドの定義」

「[Add and Edit Blocking Device] ダイアログボックスのフィールドの定義」

「ブロッキング デバイスおよびレート制限デバイスの追加、編集、および削除」

[Blocking Device] ペイン


ブロッキング デバイスを設定するには、管理者またはオペレータである必要があります。


[Blocking Devices] ペインを使用して、センサーがブロッキングおよびレート制限を実行するために使用するデバイスを設定します。Cisco IOS ルータまたは Catalyst 6500 スイッチに展開される ACL 規則を生成することで、またはセキュリティ アプライアンスで排除規則を生成することで、攻撃をブロックするようにセンサーを設定できます。このルータ、スイッチ、またはセキュリティ アプライアンスは、ブロッキング デバイスと呼ばれます。

レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、ACL および class-map エントリを使用してトラフィックを識別し、policy-map および service-policy エントリを使用してトラフィックをポリシングします。


注意 単一のセンサーで複数のデバイスを管理することはできますが、複数のセンサーで単一のデバイスを管理することはできません。この場合、マスター ブロッキング センサーを使用する必要があります。

[Blocking Devices] ペインでデバイスを設定する前に、センサーが管理するデバイスごとにデバイス ログイン プロファイルを指定する必要があります。

[Blocking Devices] ペインのフィールドの定義

[Blocking Devices] ペインには次のフィールドが表示されます。

[IP Address]:ブロッキング デバイスの IP アドレス。

[Sensor's NAT Address]:センサーの NAT アドレス。

[Device Login Profile]:ブロッキング デバイスへのログイン時に使用するデバイス ログイン プロファイル。

[Device Type]:デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。デフォルトは [Cisco Router] です。

[Response Capabilities]:デバイスで、ブロッキング、レート制限、またはその両方を使用することを指定します。

[Communication]:ブロッキング デバイスへのログイン時に使用する通信メカニズム(SSH 3DES および Telnet)を指定します。デフォルトは [SSH 3DES] です。

[Add and Edit Blocking Device] ダイアログボックスのフィールドの定義

[Add and Edit Blocking Device] ダイアログボックスには、次のフィールドが表示されます。

[IP Address]:ブロッキング デバイスの IP アドレス。

[Sensor's NAT Address]:センサーの NAT アドレス。

[Device Login Profile]:ブロッキング デバイスへのログイン時に使用するデバイス ログイン プロファイル。

[Device Type]:デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。デフォルトは [Cisco Router] です。

[Response Capabilities]:デバイスで、ブロッキング、レート制限、またはその両方を使用することを指定します。

[Communication]:ブロッキング デバイスへのログイン時に使用する通信メカニズム(SSH 3DES および Telnet)を指定します。デフォルトは [SSH 3DES] です。

ブロッキング デバイスおよびレート制限デバイスの追加、編集、および削除

ブロッキング デバイスおよびレート制限デバイスを追加、編集、または削除するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Blocking] > [Blocking Devices] を選択し、[Add] をクリックしてブロッキング デバイスを追加します。

デバイス ログイン プロファイルを設定していない場合、エラー メッセージが表示されます。

ステップ 3 [IP Address] フィールドには、ブロッキング デバイスの IP アドレスを入力します。

ステップ 4 (オプション)[Sensor's NAT Address] フィールドに、センサーの NAT アドレスを入力します。

ステップ 5 [Device Login Profile] ドロップダウン リストからデバイス ログイン プロファイルを選択します。

ステップ 6 [Device Type] ドロップダウン リストからデバイス タイプを選択します。

ステップ 7 [Response Capabilities] フィールドで、[Block] チェックボックス、[Rate Limit] チェックボックス、またはその両方をオンにして、デバイスでブロッキング、レート制限、またはその両方を実行することを指定します。


) シグニチャがトリガーされたとき、SensorApp でブロック要求またはレート制限要求を ARC に送信するために、特定のシグニチャに対しブロッキングおよびレート制限を選択する必要があります。


ステップ 8 [Communication] ドロップダウン リストから、通信タイプを選択します。[SSH 3DES] を選択する場合、ステップ 11 に進みます。


ヒント 変更を廃棄して [Add Blocking Device] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。IP アドレスがすでに追加されている場合は、エラー メッセージが表示されます。[Blocking Devices] ペイン内のリストに、新しいデバイスが表示されます。

ステップ 10 [SSH 3DES] を選択した場合は、既知のホスト リストにデバイスを追加する必要があります。


) [SSH 3DES] を選択した場合、3DES 暗号化をサポートする機能セットやライセンスがブロッキング デバイスに必要です。



) [Configuration] > [Sensor Management] > [SSH] > [Known Host Keys] > [Add Known Host Key] を選択することでも、既知のホスト リストにデバイスを追加できます。


a. センサーに Telnet 接続し、CLI にログインします。

b. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

c. 公開キーを入手します。

sensor(config)# ssh host-key blocking_device_ip_address
 

d. 公開キーを既知のホストのリストに追加することを確認するように求めるメッセージが表示されます。

Would you like to add this to the trusted certificate table for this host?[yes]:
 

e. yes と入力します。

f. グローバル コンフィギュレーション モードおよび CLI を終了します。

sensor(config)# exit
sensor# exit
 

ステップ 11 ブロッキング デバイス リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 12 必要に応じて、センサーの NAT アドレスを編集します。

ステップ 13 必要に応じて、デバイス ログイン プロファイルを変更します。

ステップ 14 必要に応じて、デバイス タイプを変更します。

ステップ 15 必要に応じて、ブロッキングまたはレート制限をデバイスで実行するかどうかについて変更を行います。

ステップ 16 必要に応じて、通信タイプを変更します。


ヒント 変更を廃棄して [Edit Blocking Device] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 17 [OK] をクリックします。[Blocking Device] ペイン内のリストに、編集済みのブロッキング デバイスが表示されます。

ステップ 18 リストからブロッキング デバイスを削除するには、ブロッキング デバイスを選択し、[Delete] をクリックします。[Blocking Device] ペイン内のリストからブロッキング デバイスが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 19 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

Router Blocking Device Interfaces の設定

ここでは、ルータのブロッキング デバイス インターフェイスを設定する方法について説明します。次の事項について説明します。

「[Router Blocking Device Interfaces] ペイン」

「ルータのブロッキング デバイス インターフェイスについて」

「センサーがデバイスを管理する方法」

「[Router Blocking Device Interfaces] ペインのフィールドの定義」

「[Add and Edit Router Blocking Device Interface] ダイアログボックスのフィールドの定義」

「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」

[Router Blocking Device Interfaces] ペイン


ルータのブロッキング デバイス インターフェイスを設定するには、管理者またはオペレータである必要があります。


[Router Blocking Device Interfaces] ペインで、ルータのブロッキング インターフェイスまたはレート制限インターフェイスを設定し、ブロックまたはレート制限するトラフィックの方向を指定します。

ルータのブロッキング デバイス インターフェイスについて


) Pre-Block ACL および Post-Block ACL はレート制限には適用されません。


Pre-Block ACL と Post-Block ACL は、ルータのコンフィギュレーション内に作成し、保存します。これらの ACL は名前付きまたは番号付きの拡張 IP ACL にする必要があります。ACL の作成の詳細については、ルータのマニュアルを参照してください。[Pre-Block ACL] フィールドおよび [Post-Block ACL] フィールドに、ルータに対しすでに設定されている、これらの ACL の名前を入力します。

Pre-Block ACL は、主にブロック対象外のものを許可するために使用されます。この ACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block ACL の許可の行である場合、ACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block ACL は、ブロックによって生じる拒否の行よりも優先されます。

Post-Block ACL は、同じインターフェイスまたは方向に対して、追加的にブロッキングまたは許可を行う場合に最適です。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合、その ACL を Post-Block ACL として使用できます。Post-Block ACL がない場合、センサーは新しい ACL の最後に permit ip any any を挿入します。

センサーが起動すると、2 つの ACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の ACL が作成されます。

センサーの IP アドレスに対する permit

Pre-Block ACL のすべての設定行のコピー

センサーによりブロックされる各アドレスの deny

Post-Block ACL のすべての設定行のコピー

センサーは新しい ACL を、指定したインターフェイスと方向に適用します。


) 新しい ACL がルータのインターフェイスまたは方向に適用されると、そのインターフェイスまたは方向に対する他の ACL が適用されなくなります。


センサーがデバイスを管理する方法


) ACL はレート制限デバイスには適用されません。


ARC は、Cisco のルータやスイッチを管理する場合、それらのデバイスの ACL を使用します。ACL は、次のように作成されます。

1. センサーの IP アドレス、またはセンサーの NAT アドレス(指定されている場合)を含む permit


) センサーのブロックを許可している場合、この行は ACL に含まれません。


2. Pre-Block ACL(指定されている場合)

この ACL は、すでにデバイスに存在している必要があります。


) ARC は ACL 内の行を読み取り、それらの行を ACL の先頭にコピーします。


3. アクティブなブロックがある場合、そのブロック

4. 次のいずれか

Post-Block ACL(指定されている場合)

この ACL は、すでにデバイスに存在している必要があります。


) ARC は ACL 内の行を読み取り、それらの行を ACL の末尾にコピーします。



) 一致しないパケットをすべて許可する場合、ACL 内の最後の行が permit ip any any であることを確認します。


permit ip any any (Post-Block ACL を指定した場合は使用されません)

ARC は、デバイスを管理するために 2 つの ACL を使用します。アクティブな ACL は一度に 1 つだけです。オフラインの ACL 名を使用して新しい ACL が作成され、それがインターフェイスに適用されます。ARC は、次のサイクルでは、このプロセスを逆に実行します。


注意 ARC により作成される ACL は変更しないでください。また、他のシステムにより変更されないようにしてください。これらは一時的な ACL であり、新しい ACL がセンサーにより常時作成されます。Pre-Block ACL および Post-Block ACL に対する変更のみ可能です。

Pre-Block ACL または Post-Block ACL を修正する必要がある場合は、次の手順に従います。

1. センサーでブロッキングをディセーブルにします。

2. デバイスの設定に変更を加えます。

3. センサーでブロッキングを再びイネーブルにします。

ブロッキングが再びイネーブルになると、センサーは新しいデバイス設定を読み取ります。


注意 1 つのセンサーで複数のデバイスを管理できますが、1 つのデバイスに対して複数のセンサーは使用できません。その場合は、マスター ブロッキング センサーを使用してください。

詳細情報

ブロッキングをイネーブルにする手順については、「ブロッキング プロパティの設定」を参照してください。

センサーをマスター ブロッキング センサーとして設定する手順については、「マスター ブロッキング センサーの設定」を参照してください。

[Router Blocking Device Interfaces] ペインのフィールドの定義

[Router Blocking Device Interfaces] ペインには、次のフィールドが表示されます。

[Router Blocking Device]:デバイスをブロックまたはレート制限するルータの IP アドレス。

[Blocking Interface]:デバイスをブロックまたはレート制限するルータで使用するインターフェイス。有効な値は、a ~ z、A ~ Z、0 ~ 9 および特殊文字「.」と「/」の形式の 1 ~ 64 までの文字です。

[Direction]:ブロッキング ACL に適用する方向。有効な値は、In および Out です。

[Pre-Block ACL]:ブロッキング ACL の前に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。

[Post-Block ACL]:ブロッキング ACL の後に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。


) [Post-Block ACL] と [Pre-Block ACL] は同一にできません。


[Add and Edit Router Blocking Device Interface] ダイアログボックスのフィールドの定義

[Add and Edit Router Blocking Device Interface] ダイアログボックスには、次のフィールドが表示されます。

[Router Blocking Device]:デバイスをブロックまたはレート制限するルータの IP アドレス。

[Blocking Interface]:デバイスをブロックまたはレート制限するルータで使用するインターフェイス。有効な値は、a ~ z、A ~ Z、0 ~ 9 および特殊文字「.」と「/」の形式の 1 ~ 64 までの文字です。

[Direction]:ブロッキング ACL に適用する方向。有効な値は、In および Out です。

[Pre-Block ACL]:ブロッキング ACL の前に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。

[Post-Block ACL]:ブロッキング ACL の後に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。


) [Post-Block ACL] と [Pre-Block ACL] は同一にできません。


ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定

ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスを設定するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Router Blocking Device Interfaces] を選択し、[Add] をクリックしてルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスを追加します。

ステップ 3 [Router Blocking Device] ドロップダウン リストで、ルータ ブロッキング デバイスまたはレート制限デバイスの IP アドレスを選択します。

ステップ 4 [Blocking Interface] フィールドに、ブロッキング インターフェイスまたはレート制限インターフェイスの名前を入力します。

ステップ 5 [Direction] ドロップダウン リストから、方向(インまたはアウト)を選択します。

ステップ 6 (オプション)[Pre-Block ACL] フィールドに、Pre-Block ACL の名前を入力します。


) このステップはレート制限デバイスには適用されません。


ステップ 7 (オプション)[Post-Block ACL] フィールドに、Post-Block ACL の名前を入力します。


) このステップはレート制限デバイスには適用されません。



ヒント 変更を廃棄して [Add Router Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 8 [OK] をクリックします。IP アドレス、インターフェイス、および方向の組み合わせがすでに存在する場合、エラー メッセージが表示されます。[Router Blocking Device Interfaces] ペイン内のリストに、新しいインターフェイスが表示されます。

ステップ 9 ルータ ブロッキング デバイス インターフェイス リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 10 必要に応じて、ブロッキング インターフェイスまたはレート制限インターフェイスの名前を編集します。

ステップ 11 必要に応じて、方向を変更します。

ステップ 12 必要に応じて、Pre-Block ACL 名を編集します。

ステップ 13 必要に応じて、Post-Block ACL 名を編集します。


ヒント 変更を廃棄して [Edit Router Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 14 [OK] をクリックします。[Router Blocking Device Interfaces] ペイン内のリストに、編集済みのルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスが表示されます。

ステップ 15 リストからルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスを削除するには、削除対象を選択し、[Delete] をクリックします。[Router Blocking Device Interfaces] ペイン内のリストから、ルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 16 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

Cat 6K のブロッキング デバイス インターフェイスの設定

ここでは、Catalyst 6500 シリーズのインターフェイスを設定する方法について説明します。次の事項について説明します。

「[Cat 6K Blocking Device Interfaces] ペイン」

「Cat 6K のブロッキング デバイス インターフェイスについて」

「[Cat 6K Blocking Device Interfaces] ペインのフィールドの定義」

「[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスのフィールドの定義」

「Cat 6K のブロッキング デバイス インターフェイスの設定」

[Cat 6K Blocking Device Interfaces] ペイン


Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを設定するには、管理者またはオペレータである必要があります。


[Cat 6K Blocking Device Interfaces] ペインで、ブロッキングを実行する Catalyst 6500 シリーズ スイッチの VLAN ID および VACL を指定します。

Cat 6K のブロッキング デバイス インターフェイスについて

Cisco Catalyst ソフトウェアを実行する場合、スイッチ自体の VACL を使用してブロックを実行するように ARC を設定できます。また、Cisco IOS ソフトウェアを実行する場合、MSFC またはスイッチ自体のルータ ACL を使用してブロックを実行するように ARC を設定できます。ここでは、VACL を使用したブロッキングについて説明します。VACL を使用するスイッチを設定して、レート制限を実行することはできません。Catalyst 6500 シリーズ スイッチでブロッキング インターフェイスを設定する必要、およびブロックするトラフィックの VLAN を指定する必要があります。

スイッチの設定で Pre-Block VACL および Post-Block VACL を作成し、保存します。これらの VACL は名前付きまたは番号付きの拡張 IP VACL にする必要があります。VACL の作成の詳細については、スイッチのマニュアルを参照してください。[Pre-Block VACL] フィールドおよび [Post-Block VACL] フィールドに、スイッチに対しすでに設定されている、これらの VACL の名前を入力します。

Pre-Block VACL は、主にセンサーでブロックしない対象を許可する場合に使用します。パケットと VACL が照合され、最初に一致した行によりアクションが決定されます。最初の行が Pre-Block VACL の permit 行と一致する場合、VACL の後続の行に(自動ブロックからの)deny 行がある場合でも、パケットは許可されます。Pre-Block VACL では、ブロックの結果の deny 行をオーバーライドできます。

Post-Block VACL は、同じ VLAN で追加のブロッキングまたは許可を実行する場合に最適です。センサーが管理する VLAN に既存の VACL がある場合、既存の VACL を Post-Block VACL として使用できます。Post-Block VACL がない場合、センサーは新しい VACL の末尾に permit ip any any を挿入します。


) IDSM2 は、新しい VACL の末尾に permit ip any any capture を挿入します。


センサーは、起動すると、2 つの VACL の内容を読み取ります。その後、次のエントリが含まれる 3 つ目の VACL を作成します。

センサーの IP アドレスに対する permit

Pre-Block VACL のすべての設定行のコピー

センサーによりブロックされる各アドレスの deny

Post-Block VACL のすべての設定行のコピー

センサーは新しい VACL を、指定した VLAN に適用します。


) 新しい VACL がスイッチの VLAN に適用されると、その VLAN に対する他の VACL は適用されなくなります。


詳細情報

ルータ ACL を使用したブロッキングについては、「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」を参照してください。

[Cat 6K Blocking Device Interfaces] ペインのフィールドの定義

[Cat 6K Blocking Device Interfaces] ペインには、次のフィールドが表示されます。

[Cat 6K Blocking Device]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。

[VLAN ID]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。値は 1 ~ 4094 です。

[Pre-Block VACL]:ブロッキング VACL の前に適用する VACL。値は 0 ~ 64 文字です。

[Post-Block VACL]:ブロッキング VACL の後に適用する VACL。値は 0 ~ 64 文字です。


) [Post-Block VACL] は [Pre-Block VACL] と、異なる必要があります。


[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスのフィールドの定義

[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスには、次のフィールドが表示されます。

[Cat 6K Blocking Device]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。

[VLAN ID]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。値は 1 ~ 4094 です。

[Pre-Block VACL]:ブロッキング VACL の前に適用する VACL。値は 0 ~ 64 文字です。

[Post-Block VACL]:ブロッキング VACL の後に適用する VACL。値は 0 ~ 64 文字です。


) [Post-Block VACL] は [Pre-Block VACL] と、異なる必要があります。


Cat 6K のブロッキング デバイス インターフェイスの設定

Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを設定するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Cat 6K Blocking Device Interfaces] を選択し、[Add] をクリックして、Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを追加します。

ステップ 3 [Cat 6K Blocking Device] ドロップダウン リストから、Catalyst 6500 シリーズ スイッチの IP アドレスを選択します。

ステップ 4 [VLAN ID] フィールドに VLAN ID を入力します。

ステップ 5 (オプション)[Pre-Block VACL] フィールドに、Pre-Block VACL の名前を入力します。

ステップ 6 (オプション)[Post-Block VACL] フィールドに、Post-Block VACL の名前を入力します。


ヒント 変更を廃棄して [Add Cat 6K Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 7 [OK] をクリックします。IP アドレスと VLAN の組み合わせがすでに存在する場合、エラー メッセージが表示されます。[Cat 6K Blocking Device Interfaces] ペイン内のリストに、新しいインターフェイスが表示されます。

ステップ 8 Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスのリスト内にある既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 9 必要に応じて、VLAN ID を編集します。

ステップ 10 必要に応じて、Pre-Block VACL 名を編集します。

ステップ 11 必要に応じて、Post-Block VACL 名を編集します。


ヒント 変更を廃棄して [Edit Cat 6K Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 12 [OK] をクリックします。[Cat 6K Blocking Device Interfaces] ペイン内のリストに、編集済みの Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスが表示されます。

ステップ 13 リストから Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを削除するには、削除対象を選択し、[Delete] をクリックします。[Cat 6K Blocking Device Interfaces] ペイン内のリストから Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 14 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。


 

マスター ブロッキング センサーの設定

ここでは、マスター ブロッキング センサーの設定方法について説明します。次の事項について説明します。

「[Master Blocking Sensor] ペイン」

「マスター ブロッキング センサーについて」

「[Master Blocking Sensor] ペインのフィールドの定義」

「[Add and Edit Master Blocking Sensor] ダイアログボックスのフィールドの定義」

「マスター ブロッキング センサーの設定」

[Master Blocking Sensor] ペイン


マスター ブロッキング センサーを設定するには、管理者またはオペレータである必要があります。


[Master Blocking Sensor] ペインで、ブロッキング デバイスを設定するために使用するマスター ブロッキング センサーを指定します。

マスター ブロッキング センサーについて

複数のセンサー(ブロッキング転送センサー)が、1 つ以上のデバイスを制御する、指定したマスター ブロッキング センサーに、ブロッキング要求を転送できます。マスター ブロッキング センサーは、他の 1 つ以上のセンサーに代わって 1 つ以上のデバイスでブロッキングを制御するセンサーで実行されている ARC です。マスター ブロッキング センサーの ARC は、他のセンサーで実行されている ARC の要求に応じて、デバイスでブロッキングを制御します。マスター ブロッキング センサーは、レート制限を転送することもできます。


注意 2 つのセンサーが同じデバイスでブロッキングまたはレート制限を制御することはできません。この状況が必要な場合は、一方のセンサーをマスター ブロッキング センサーとして設定してデバイスを管理し、もう一方のセンサーでマスター ブロッキング センサーに要求を転送できます。

マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のファイアウォールと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。

ブロッキング転送センサーで、マスター ブロッキング センサーとして機能するリモート ホストを識別します。マスター ブロッキング センサーでは、アクセス リストにブロッキング転送センサーを追加する必要があります。

マスター ブロッキング センサーが Web 接続に TLS を必要とする場合は、マスター ブロッキング センサー リモート ホストの X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定する必要があります。センサーでは TLS がデフォルトでイネーブルになりますが、このオプションは変更できます。


) 通常、マスター ブロッキング センサーはネットワーク デバイスを管理するように設定します。ブロッキング転送センサーは、通常は他のネットワーク デバイスを管理するようには設定されていませんが、これを行うことは可能です。


ブロッキング用またはレート制限用に設定されているデバイスがない場合でも、ブロッキング用またはレート制限用に設定されているセンサーは、ブロッキング要求およびレート制限要求をマスター ブロッキング センサーに転送できます。ブロッキングまたはレート制限要求がイベント アクションとして設定されているシグニチャが起動した場合、センサーはブロック要求またはレート制限要求をマスター ブロッキング センサーに転送し、そのセンサーがブロックまたはレート制限を実行します。


注意 1 つのセンサーだけがデバイス上のすべてのブロッキング インターフェイスを制御する必要があります。

[Master Blocking Sensor] ペインのフィールドの定義

[Master Blocking Sensor] ペインには次のフィールドが表示されます。

[IP Address]:マスター ブロッキング センサーの IP アドレス。

[Port]:マスター ブロッキング センサーに接続するためのポート。デフォルトは 443 です。

[Username]:マスター ブロッキング センサーへのログイン時に使用するユーザ名。ユーザ名は ^[A-Za-z0-9()+:,_/-]+$ というパターンに従います。つまり、ユーザ名の先頭の 1 文字は英数字にする必要があり、A ~ Z(大文字または小文字)までの任意の英字、0 ~ 9 までの任意の数字、- および _ を含めることができます。またユーザ名は 1 ~ 64 文字使用できます。

[TLS Used]:TLS を使用するかどうかを示します。

[Add and Edit Master Blocking Sensor] ダイアログボックスのフィールドの定義

[Add and Edit Master Blocking Sensor] ダイアログボックスには、次のフィールドが表示されます。

[IP Address]:マスター ブロッキング センサーの IP アドレス。IP アドレスがすでに存在する場合、警告が表示されます。

[Port (optional)]:マスター ブロッキング センサーに接続するためのポート。デフォルトは 443 です。

[Username]:マスター ブロッキング センサーへのログイン時に使用するユーザ名。ユーザ名は ^[A-Za-z0-9()+:,_/-]+$ というパターンに従います。つまり、ユーザ名の先頭の 1 文字は英数字にする必要があり、A ~ Z(大文字または小文字)までの任意の英字、0 ~ 9 までの任意の数字、- および _ を含めることができます。またユーザ名は 1 ~ 64 文字使用できます。

[Change the password]:パスワードを変更するかどうかを示します。

[New Password]:マスター ブロッキング センサーへのログイン時に使用するログイン パスワード。

[Confirm Password]:ログイン パスワードを確認します。

[Use TLS]:TLS を使用するかどうかを示します。

マスター ブロッキング センサーの設定

マスター ブロッキング センサーを設定するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。

ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Master Blocking Sensor] を選択し、[Add] をクリックしてマスター ブロッキング センサーを追加します。

ステップ 3 [IP Address] フィールドには、マスター ブロッキング センサーの IP アドレスを入力します。

ステップ 4 (オプション)[Port] フィールドに、ポート番号を入力します。デフォルトは 443 です。

ステップ 5 [Username] フィールドに、ユーザ名を入力します。

ステップ 6 [New Password] フィールドに、ユーザのパスワードを入力します。

ステップ 7 [Confirm New Password] フィールドに、確認のためにパスワードを入力します。

ステップ 8 [TLS] チェックボックスをオンにします。


ヒント 変更を廃棄して [Add Master Blocking Sensor] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。IP アドレスがすでに追加されている場合は、エラー メッセージが表示されます。[Master Blocking Sensor] ペイン内のリストに、新しいマスター ブロッキング センサーが表示されます。

ステップ 10 [TLS] を選択した場合は、マスター ブロッキング センサー リモート ホストの TLS/SSL X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定します。


) [Configuration] > [Sensor Management] > [Certificates] > [Trusted Hosts] > [Add Trusted Host] を選択することでも、X.509 証明書を受け入れるようにブロッキング転送センサーを設定できます。


a. 管理者権限を持つアカウントを使用して、ブロッキング転送センサーの CLI にログインします。

b. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

c. 信頼できるホストを追加します。

sensor(config)# tls trusted-host ip-address master_blocking_sensor_ip_address
 

信頼できるホストの追加を確認するように求めるメッセージが表示されます。

Would you like to add this to the trusted certificate table for this host?[yes]:
 

d. yes を入力してホストを追加します。

e. グローバル コンフィギュレーション モードおよび CLI を終了します。

sensor(config)# exit
sensor# exit
 

証明書のフィンガープリントに基づいて証明書を受け入れるように要求されます。センサーが提供するのは、自己署名証明書(認識された認証局の署名がある証明書ではなく)だけです。マスター ブロッキング センサーのホスト センサー証明書を検証するには、ホスト センサーにログインし、 show tls fingerprint コマンドを入力して、ホスト証明書のフィンガープリントが一致することを確認します。

ステップ 11 マスター ブロッキング センサー リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。

ステップ 12 (オプション)ポートを編集します。

ステップ 13 必要に応じて、ユーザ名を編集します。

ステップ 14 このユーザのパスワードを変更するには、[Change the password] チェックボックスをオンにします。

a. [New Password] フィールドに、新しいパスワードを入力します。

b. [Confirm New Password] フィールドに、確認のために新しいパスワードを入力します。

ステップ 15 必要に応じて、[TLS] チェックボックスをオンまたはオフにします。


ヒント 変更を廃棄して [Edit Master Blocking Sensor] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 16 [OK] をクリックします。[Master Blocking Sensor] ペイン内のリストに、編集済みのマスター ブロッキング センサーが表示されます。

ステップ 17 リストからマスター ブロッキング センサーを削除するには、削除対象を選択し、[Delete] をクリックします。[Master Blocking Sensor] ペイン内のリストからマスター ブロッキング センサーが削除されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 18 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。