ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
AIP SSM および SSC での IPS アプリケー ションの設定
AIP SSM および SSC での IPS アプリケーションの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

AIP SSM および SSC での IPS アプリケーションの設定

AIP SSM および SSC の詳細

AIP SSM/SSC の適応型セキュリティ アプライアンスとの動作

動作モード

仮想センサーの使用(AIP SSM 専用)

AIP SSM と AIP SSC との違い

AIP SSM/SSC のライセンス要件

ガイドラインおよび制約事項

AIP SSM/SSC の設定

AIP SSM/SSC タスクの概要

AIP SSM/SSC でのセキュリティ ポリシーの設定

仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)

AIP SSM/SSC へのトラフィックの誘導

AIP SSM/SSC パスワードのリセット

AIP SSM/SSC の機能履歴

AIP SSM および SSC での IPS アプリケーションの設定

この章では、AIP SSM または AIP SSC で動作する IPS アプリケーションを設定する方法を説明します。


) SSC は ASA 5505 でサポートされています。どのモデルで SSM がサポートされているかという詳細については、「モデルごとの SSM および SSC サポート」を参照してください。


この章には、次の項があります。

「AIP SSM および SSC の詳細」

「AIP SSM/SSC のライセンス要件」

「ガイドラインおよび制約事項」

「AIP SSM/SSC の設定」

「AIP SSM/SSC の機能履歴」

AIP SSM および SSC の詳細

AIP SSM/SSC は、ASA 5500 シリーズ適応型セキュリティ アプライアンスに取り付けることができます。AIP SSM/SSC は高度な IPS ソフトウェアを実行して全機能を備えた予防型の侵入防護サービスを提供し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックをネットワークに影響を与える前に阻止します。この項は、次の内容で構成されています。

「AIP SSM/SSC の適応型セキュリティ アプライアンスとの動作」

「動作モード」

「仮想センサーの使用(AIP SSM 専用)」

「AIP SSM と AIP SSC との違い」

AIP SSM/SSC の適応型セキュリティ アプライアンスとの動作

AIP SSM/SSC は、セキュリティ アプライアンスとは別のアプリケーションを実行します。ただし、そのアプリケーションはセキュリティ アプライアンスのトラフィック フローに統合されます。AIP SSM/SSC には外部インターフェイス自体は入っていません(SSM 上の管理インターフェイスだけは除く)。セキュリティ アプライアンスで IPS インスペクションのためにトラフィックを識別する場合、トラフィックはセキュリティ アプライアンスと AIP SSM/SSC を次のように流れます。

1. トラフィックがセキュリティ アプライアンスに入ります。

2. ファイアウォール ポリシーが適用されます。

3. トラフィックは、バックプレーンを経由して AIP SSM/SSC に送信されます。

トラフィックのコピーだけを AIP SSM/SSC に送信する方法の詳細については、「動作モード」を参照してください。

4. AIP SSM/SSC は、セキュリティ ポリシーをトラフィックに適用し、該当するアクションを実行します。

5. 有効なトラフィックは、インライン モードでバックプレーン経由で再び適応型セキュリティ アプライアンスに送信されます。AIP SSM/SSC は、そのセキュリティ ポリシーにしたがって一部のトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックが適応型セキュリティ アプライアンスを出ます。

図 30-1 は、AIP SSM/SSC をインライン モードで実行している場合のトラフィック フローを示します。この例では、AIP SSM/SSC により、攻撃と特定したトラフィックが自動的にブロックされています。その他すべてのトラフィックは、セキュリティ アプライアンスを経由して転送されます。

図 30-1 適応型セキュリティ アプライアンスでの AIP SSM/SSC トラフィック フロー:インライン モード

 

動作モード

次のいずれかのモードを使用して、トラフィックを AIP SSM/SSC に送信できます。

インライン モード:このモードにより AIP SSM/SSC は直接トラフィック フローに配置されます(図 30-1 を参照)。IPS インスペクション対象として識別されたトラフィックが、続けて適応型セキュリティ アプライアンスを通過するためには、まず、AIP SSM/SSC を通過して検査に合格する必要があります。検査対象として識別されたすべてのパケットは分析されてから通過を許可されるため、このモードはきわめてセキュアなモードです。また、AIP SSM/SSC は、パケット単位でブロッキング ポリシーを実装することもできます。ただし、このモードはスループットに影響を与える場合があります。

無差別モード:このモードでは、トラフィックのストリームを複製して AIP SSM/SSC に送信します。このモードでは、セキュリティは低下しますが、トラフィック スループットにはほとんど影響を与えません。インライン モードとは異なり、無差別モードの AIP SSM/SSC がトラフィックをブロックするためには、適応型セキュリティ アプライアンスにトラフィックを除外するように指示するか、適応型セキュリティ アプライアンス上の接続をリセットする必要があります。また、AIP SSM/SSC によるトラフィックの分析中、AIP SSM/SSC が除外できずに少量のトラフィックが適応型セキュリティ アプライアンスを通過してしまうことがあります。

図 30-2 に無差別モードの AIP SSM/SSC を示します。この例では、AIP SSM/SSC が、脅威と特定したトラフィックについて、除外メッセージをセキュリティ アプライアンスに送信しています。

図 30-2 適応型セキュリティ アプライアンスでの AIP SSM/SSC トラフィック フロー:無差別モード

 

仮想センサーの使用(AIP SSM 専用)

IPS ソフトウェア バージョン 6.0 以降を実行している AIP SSM は、複数の仮想センサーを実行できます。これは、AIP SSM に複数のセキュリティ ポリシーを設定できるということです。各コンテンツまたはシングル モードのセキュリティ アプライアンスを 1 つ以上の仮想センサーに割り当てられます。または、複数のセキュリティ コンテキストを同一仮想センサーに割り当てられます。サポートされる最大センサー数を含む、仮想センサーの詳細については、IPS のマニュアルを参照してください。

図 30-3 に、仮想センサーとセキュリティ コンテキストの 1 対 1 の組み合せ(インライン モード)と、同一仮想センサーを共有する 2 つのセキュリティ コンテキストを示します。

図 30-3 セキュリティ コンテキストと仮想センサー

 

図 30-4 に、シングル モードのセキュリティ アプライアンスと複数の仮想センサーの組み合せ(インライン モード)を示します。定義されたトラフィック フローはそれぞれ別のセンサーに流れます。

図 30-4 シングル モードのセキュリティ アプライアンスと複数の仮想センサー

 

AIP SSM と AIP SSC との違い

AIP SSM では ASA 5510 以降の高度なパフォーマンス要件に対応しており、AIP SSC は ASA 5505 セキュリティ アプライアンスを小規模オフィスに設置する場合に適しています。次の機能は AIP SSM ではサポートされていますが、AIP SSC ではサポートされていません。

仮想センサー

異常検出

デフォルト リタイア済みシグニチャのリタイア解除

AIP SSM/SSC のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

全モデル

基本ライセンス

AIP SSM/SSC の IPS アプリケーションでは、シグニチャの更新をサポートするため、個別の Cisco Services for IPS ライセンスが必要です。その他の更新はすべてライセンスがなくても使用できます。

ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

ASA 5505 適応型セキュリティ アプライアンスではマルチ コンテキスト モードがサポートされていないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされていません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされます。

モデルに関するガイドライン

SSC は ASA 5505 でだけサポートされています。どのモデルで SSM がサポートされているかという詳細については、「サポート対象プラットフォームおよび SSM」を参照してください。

ASA 5505 適応型セキュリティ アプライアンスではマルチ コンテキスト モードがサポートされていないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされていません。

AIP SSM/SSC の設定

この項では、AIP SSM および AIP SSC の IPS の設定方法を説明します。説明する内容は次のとおりです。

「AIP SSM/SSC タスクの概要」

「AIP SSM/SSC でのセキュリティ ポリシーの設定」

「仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)」

「AIP SSM/SSC へのトラフィックの誘導」

「AIP SSM/SSC パスワードのリセット」

AIP SSM/SSC タスクの概要

AIP SSM/SSC のコンフィギュレーションは、SSM/SSC への IPS ソフトウェアのコンフィギュレーションおよび ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションを含むプロセスです。AIP SSM/SSC を設定するには、次の手順を実行します。


ステップ 1 ASDM から IDM を起動します。ASDM では、IDM を使用して AIP SSM を設定します。IDM で、インスペクションおよび保護ポリシーを設定します。このポリシーにより、トラフィックの検査方法と侵入が検出された場合の処理が決まります。AIP SSM についてだけ、AIP SSM をマルチ センサー モードで実行する場合には、仮想センサーごとにインスペクションおよび保護ポリシーを設定します。「AIP SSM/SSC でのセキュリティ ポリシーの設定」を参照してください。

ステップ 2 (AIP SSM 専用)マルチ コンテキスト モードで ASA 5500 の ASDM を使用して、コンテキストごとに使用できる IPS 仮想センサーを指定します(仮想センサーが設定されている場合)。「仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)」を参照してください。

ステップ 3 ASA 5500 の ASDM を使用して、AIP SSM/SSC に誘導するトラフィックを識別します。「AIP SSM/SSC へのトラフィックの誘導」を参照してください。


 

AIP SSM/SSC でのセキュリティ ポリシーの設定

ASDM では、IDM を使用して AIP SSM を設定します。この項では、ASDM 内から IDM にアクセスする方法を説明します。


) ASDM アクセスおよびその他の使用の SSC 管理インターフェイスを設定する場合は、「SSC 管理インターフェイスの設定」も参照してください。


詳細手順


ステップ 1 ASDM から IDM にアクセスするには、 [Configuration] > [IPS] をクリックします。

ステップ 2 AIP SSM/SSC の IP アドレスまたはホスト名の入力を要求されます。

AIP SSM/SSC で IPS バージョン 6.0 以降を実行している場合、ASDM は AIP SSM/SSC から IDM を取得して、IDM を ASDM インターフェイスの一部として表示します。AIP SSM/SSC のパスワードを入力して [OK] をクリックします。

ASDM ウィンドウに [IDM] ペインが表示されます。

AIP SSM の場合だけ、AIP SSM が以前のバージョンの IPS ソフトウェアを実行していると、ASDM に IDM へのリンクが表示されます。リンクをクリックして、新しいブラウザ ウィンドウで IDM を起動します。IDM にアクセスするには、ユーザ名とパスワードを入力する必要があります。

IDM にアクセスするためのパスワードがわからない場合は、ASDM を使用してパスワードをリセットできます。詳細については、「AIP SSM/SSC パスワードのリセット」を参照してください。

ステップ 3 IPS セキュリティ ポリシーの設定

AIP SSM の場合だけ、IPS バージョン 6.0 以降で仮想センサーを設定していると、センサーのいずれかをデフォルトとして指定します。ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションに仮想センサー名が指定されていない場合、デフォルト センサーが使用されます。

AIP SSM/SSC で実行される IPS ソフトウェアは、このマニュアルの対象範囲ではないため、詳細なコンフィギュレーション情報は次の場所にある IPS ドキュメントを参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/tsd_products_support_series_home.html


 

次のステップ

マルチ コンテキスト モードのセキュリティ アプライアンスについては、「仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)」を参照してください。

シングル コンテキスト モードのセキュリティ アプライアンスについては、「AIP SSM/SSC へのトラフィックの誘導」を参照してください。

仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)

セキュリティ アプライアンスがマルチ コンテキスト モードの場合、各コンテキストに 1 つ以上の IPS 仮想センサーを割り当てることができます。割り当てると、AIP SSM にトラフィックを送信するためのコンテキストを設定するときに、コンテキストに割り当てられているセンサーは指定でき、コンテキストに割り当てなかったセンサーは指定できません。コンテキストにセンサーを割り当てない場合、AIP SSM で設定されているデフォルト センサーが使用されます。同じセンサーを複数のコンテキストに割り当てられます。


) 仮想センサーを使うためにマルチ コンテキスト モードである必要はありません。シングル モードで、複数のセンサーを複数のトラフィック フローに使用できます。


詳細手順


ステップ 1 [ASDM Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Context Management] > [Security Contexts] ペインで、設定するコンテキストを選択し、 [Edit] を選択します。

[Edit Context] ダイアログボックスが表示されます。コンテキストの設定の詳細については、「セキュリティ コンテキストの設定」を参照してください。

ステップ 3 [IPS Sensor Allocation] 領域で、 [Add] をクリックします。

[IPS Sensor Selection] ダイアログボックスが表示されます。

ステップ 4 [Sensor Name] ドロップダウン リストで、AIP SSM に設定されている仮想センサーの中からセンサー名を選択します。

ステップ 5 (オプション)センサーにマッピング名を割り当てるには、[Mapped Sensor Name] フィールドに値を入力します。

このセンサー名は、コンテキスト内で実際のセンサー名の代わりに使用できます。マッピングされる名を指定しない場合、コンテキスト内でセンサー名が使用されます。セキュリティ上の理由から、コンテキストが使用しているセンサーをコンテキスト管理者に知られたくない場合があります。または、コンテキスト コンフィギュレーションの汎用化が必要な場合もあります。たとえば、すべてのコンテキストに「sensor1」および「sensor2」というセンサーを使用する場合、コンテキスト A の sensor1 および sensor2 には「highsec」センサーおよび「lowsec」センサーをマッピングできますが、コンテキスト B の sensor1 および sensor2 には「medsec」センサーおよび「lowsec」センサーをマッピングできます。

ステップ 6 [OK] をクリックして [Edit Context] ダイアログボックスに戻ります。

ステップ 7 (オプション)1 つのセンサーをこのコンテキストのデフォルト センサーとして設定するには、[Default Sensor] ドロップダウン リストからセンサー名を選択します。

コンテキスト コンフィギュレーション内に IPS を設定するときにセンサー名を指定しない場合、コンテキストはデフォルト センサーを使用します。1 つのコンテキストに設定できるデフォルト センサーは 1 つだけです。デフォルトとしてセンサーを指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、AIP SSM でトラフィックはデフォルト センサーを使用します。

ステップ 8 この手順をセキュリティ コンテキストごとに繰り返します。

ステップ 9 「AIP SSM/SSC へのトラフィックの誘導」の説明に従って、各コンテキストを変更して IPS セキュリティ ポリシーを設定します。


 

次のステップ

「AIP SSM/SSC へのトラフィックの誘導」の説明に従って、各コンテキストを変更して IPS セキュリティ ポリシーを設定します。

AIP SSM/SSC へのトラフィックの誘導

適応型セキュリティ アプライアンスから AIP SSM/SSC に誘導するトラフィックを識別するには、次の手順を実行します。マルチ コンテキスト モードの場合は、この手順を各コンテキスト実行スペースで実行します。

この機能は、サービス ポリシー ルールを使用してイネーブルにします。サービス ポリシー作成の詳細については、「サービス ポリシー ルールの設定」を参照してください。

IPS サービス ポリシーを設定するには、次の手順を実行します。


ステップ 1 [ASDM Device List] ペインで、アクティブなデバイスの [ IP address ] > [Contexts] の下にあるコンテキスト名をダブルクリックします。

ステップ 2 [Configuration] > [Firewall] > [Service Policy Rules] をクリックします。

ステップ 3 既存のルールを編集する、または新しいルールを作成するには、次の手順を実行します。

既存のルールの場合、ルールを選択して [Edit] をクリックします。

[Edit Service Policy Rule] ダイアログボックスが表示されます。

新しいルールの場合、 [Add] > [Add Service Policy Rule] を選択します。

[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。[Service Policy] ダイアログボックスおよび [Traffic Classification Criteria] ダイアログボックスで設定を完了します。詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください。 [Next] をクリックして [Add Service Policy Rule Wizard - Rule Actions] ダイアログボックスを表示します。

ステップ 4 [Intrusion Prevention] タブをクリックします。

他のタブを使用し、この同じトラフィックに対して他の機能アクションを設定することもできます。

ステップ 5 [Enable IPS for this traffic flow] チェックボックスをオンにします。

ステップ 6 [Mode] 領域で、 [Inline Mode] または [Promiscuous Mode] をクリックします。

詳細については、「動作モード」を参照してください。

ステップ 7 [If IPS Card Fails] 領域で、 [Permit traffic] または [Close traffic] をクリックします。

[Close traffic] オプションは、AIP SSM/SSC を使用できない場合はすべてのトラフィックをブロックするように適応型セキュリティ アプライアンスを設定します。

[Permit traffic] オプションは、AIP SSM/SSC が使用できない場合は検査を行わずにすべてのトラフィックの通過を許可するように適応型セキュリティ アプライアンスを設定します。

ステップ 8 (AIP SSM 専用)[IPS Sensor to use] ドロップダウン リストから、仮想センサー名を選択します。

AIP SSM でだけ仮想センサーを使用する場合、このオプションを使用してセンサー名を指定できます。セキュリティ アプライアンスでマルチ コンテキスト モードを使用する場合、指定できるセンサーは、コンテキストに割り当てたものだけです(「仮想センサーのセキュリティ コンテキストへの割り当て(AIP SSM 専用)」を参照)。センサー名を指定しないと、トラフィックはデフォルト センサーを使用します。マルチ コンテキスト モードでは、コンテキストのデフォルト センサーを指定できます。シングル モードの場合、またはマルチ モードでデフォルト センサーを指定しない場合は、トラフィックは AIP SSM に設定されているデフォルト センサーを使用します。

ステップ 9 [OK] をクリックします。


 

AIP SSM/SSC パスワードのリセット

AIP SSM/SSC で IPS バージョン 6.0 以降を実行している場合、ASDM を使用して AIP SSM/SSC パスワードをデフォルト設定にリセットできます。デフォルトのパスワードは「cisco」(かぎカッコなし)です。パスワードをリセットしたら、IDM で一意のパスワードに変更する必要があります。ASDM から IDM にアクセスする方法については、「AIP SSM/SSC タスクの概要」を参照してください。

AIP SSM/SSC パスワードをリセットすると、AIP SSM/SSC が再起動します。AIP SSM/SSC の再起動中、IPS サービスは使用できません。

AIP SSM/SSC パスワードをデフォルト設定にリセットするには、次の手順を実行します。


ステップ 1 ASDM メニューバーの [Tools] > [IPS Password Reset] を選択します。


) SSM がインストールされていないと、このオプションはメニューに表示されません。CSC SSM がインストールされている場合、このオプションは [CSC Password Reset] と表示されます。


[IPS Password Reset] 確認ダイアログボックスが表示されます。

ステップ 2 [OK] をクリックして、AIP SSM/SSC パスワードをデフォルト設定にリセットします。

ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。パスワードがリセットされなかったときは、AIP SSM で IPS バージョン 6.0 以降を使用していることを確認してください。

ステップ 3 [Close] をクリックしてダイアログボックスを閉じます。


 

AIP SSM/SSC の機能履歴

表 30-1 に、この機能のリリース履歴を示します。

 

表 30-1 AIP SSM/SSC の機能履歴

機能名
リリース
機能情報

AIP SSM

7.0(1)

AIP SSM が導入されました。コマンド ips が導入されました。

仮想センサー

8.0(2)

仮想センサー サポートが導入されました。仮想センサーにより、AIP SSM に複数のセキュリティ ポリシーを設定できます。次のコマンド allocate-ips が導入されました。

ASA 5505 の AIP SSC

8.2(1)

AIP SSC が導入されました。 allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip というコマンドが導入されました。