Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
ネットワークベース IDS および IPS デバイス の設定
ネットワークベース IDS および IPS デバイスの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ネットワークベース IDS および IPS デバイスの設定

Cisco IDS 4.0 および IPS 5.x センサー

Cisco Sensor のブートストラップ

センサーでのアクセス プロトコルのイネーブル化

適切なシグニチャとアクションのイネーブル化

MARS での Cisco IDS または IPS デバイスの追加および設定

シード ファイルからインポートした Cisco IPS または IDS デバイスの監視対象ネットワークの指定

Cisco IPS デバイスの詳細なイベント データの表示

MARS が Cisco IPS デバイスからイベントがプルされることの検証

ネットワークベース IDS および IPS デバイスの設定

ネットワーク侵入検知および侵入防御システムは、MARS に対するアクティブな攻撃を特定するために重要なソースです。ここでは、ネットワークベース IDS および IPS デバイスをブートストラップし、追加する方法について説明します。

この章は、次の内容で構成されています。

「Cisco IDS 4.0 および IPS 5.x センサー」

Cisco IDS 4.0 および IPS 5.x センサー

Cisco IDS または IPS ネットワーク センサーを MARS に追加するプロセスは、2 つのパートから構成されます。

1. 「Cisco Sensor のブートストラップ」

2. 「MARS での Cisco IDS または IPS デバイスの追加および設定」

3. 「MARS が Cisco IPS デバイスからイベントがプルされることの検証」

次のトピックは、Cisco IDS および IPS デバイスをサポートします。

「Cisco IPS デバイスの詳細なイベント データの表示」


「シード ファイルからのデバイスのロード」に従ってシード ファイル形式を使用してセンサー定義をインポートした場合、センサーの監視対象であるネットワークを定義する必要があります。


Cisco Sensor のブートストラップ

MARS によって監視されるセンサーを準備するには、MARS がセンサーと通信できるようにセンサーを準備し、正しいデータが生成されるようにする必要があります。

ここでは、次の内容について説明します。

「センサーでのアクセス プロトコルのイネーブル化」

「適切なシグニチャとアクションのイネーブル化」

センサーでのアクセス プロトコルのイネーブル化

センサーの設定は、そのセンサーで動作しているソフトウェアのバージョンによって異なります。次の項では、各バージョンの要件について説明しています。

ここでは、次の内容について説明します。

「Cisco IDS 4.x ソフトウェア」

「Cisco IPS 5.x、6.x、および 7.x ソフトウェア」

Cisco IDS 4.x ソフトウェア

Cisco IDS 4.x デバイスの場合、MARS は SSL 上の RDEP を使用してログをプルします。そのため、MARS からセンサーに対して HTTPS アクセスできる必要があります。センサーを準備するには、センサーで HTTP サーバをイネーブルにし、TLS が HTTP アクセスできるようにし、MARS の IP アドレスを許可ホスト(センサーにアクセスし、イベントをプルできるホスト)として定義する必要があります。ネットワーク上の限られたホストまたはサブネットからのアクセスを許可するようにセンサーを設定した場合、 accessList ipAddress ip_addressnetmask コマンドを使用してこのアクセスをイネーブルにできます。

Cisco IPS 5.x、6.x、および 7.x ソフトウェア

Cisco IPS 5.x、6.x、および 7.x デバイスの場合、MARS は SDEE over SSL を使用してログをプルします。そのため、MARS からセンサーに対して HTTPS アクセスできる必要があります。センサーを準備するには、センサーで HTTP サーバをイネーブルにし、TLS が HTTP アクセスできるようにし、MARS の IP アドレスを許可ホスト(センサーにアクセスし、イベントをプルできるホスト)として定義する必要があります。ネットワーク上の限られたホストまたはサブネットからのアクセスを許可するようにセンサーを設定した場合、 access-list ip_address/netmask コマンドを使用してこのアクセスをイネーブルにできます。

適切なシグニチャとアクションのイネーブル化

シグニチャ アクションが適切に設定されている場合、Cisco IDS または IPS デバイスでシグニチャを発生させる最初のイベントのトリガー パケット情報を MARS で表示できます。また、Cisco IDS および IPS デバイスから IP ログ データをプルすることもできますが、この操作にはシステムのリソースが大量に消費されます。そのため、IP ログ データを生成するシグニチャのセットを選択する場合は注意が必要です。

Cisco IDS または IPS デバイスでアクティブなシグニチャを設定する場合、アラート アクションおよび目的のデータを生成するアクションを指定する必要があります。

トリガー パケットを表示するには、「produce-verbose-alert」アクションをイネーブルにする必要があります。

IP ログを表示するには、アラート、または「produce-verbose-alert」アクションおよび「log-pair-packets」アクションをイネーブルにする必要があります。


注意 IP ロギングおよび詳細なアラートをセンサーに設定すると、システムのリソースが大量に消費され、センサーのパフォーマンスに影響があります。さらに、MARS Appliance のパフォーマンスに影響があります。このような影響があるため、IP ログを生成するシグニチャを設定する場合は注意してください。

MARS での Cisco IDS または IPS デバイスの追加および設定

MARS で Cisco IDS または IPS デバイスを追加するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 次のいずれかを実行します。

[Device Type] リストから [Cisco IDS 4.0] を選択します。

図 2-1 Cisco IDS 4.0 の設定

 

[Device Type] リストから [Cisco IPS 5.x] を選択します。

図 2-2 Cisco IPS 5.x の設定

 

ステップ 3 [Device Name] フィールドにセンサーのホスト名を入力します。

[Device Name] 値は、設定済みのセンサー名と同じにする必要があります。

ステップ 4 管理 IP アドレスを [Access IP] フィールドに入力します。

ステップ 5 管理 IP アドレスを [Reporting IP] フィールドに入力します。

[Reporting IP] アドレスは、管理 IP アドレスと同じアドレスです。

ステップ 6 レポート デバイスへのアクセスに使用される管理アカウントに関連付けられたユーザ名を [Login] フィールドに入力します。

ステップ 7 [Login] フィールドに指定したユーザ名に関連付けられたパスワードを [Password] フィールドに入力します。

ステップ 8 センサー上で実行されている Web サーバがリッスンする TCP ポートを [Port] フィールドに入力します。デフォルトの HTTPS ポートは 443 です。


) HTTP のみを設定することもできますが、MARS には HTTPS が必要です。


ステップ 9 センサーから IP ログをプルするには、[Pull IP Logs] で [Yes] を選択します。

ステップ 10 (任意)攻撃パスの算出および軽減のために、センサーの監視対象のネットワークを指定します。ネットワークを手動で定義するには、[Define a Network] オプション ボタンを選択します。

a. ネットワーク アドレスを [Network IP] フィールドに入力します。

b. 対応するネットワーク マスク値を [Mask] フィールドに入力します。

c. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

d. 必要に応じて繰り返します。

ステップ 11 (任意)デバイスに接続するネットワークを選択するには、[Select a Network] オプション ボタンをクリックします。

a. [Select a Network] リストからネットワークを選択します。

b. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

c. 必要に応じて繰り返します。

ステップ 12 設定を確認するには、[Test Connectivity] をクリックします。

ステップ 13 [Submit] をクリックします。


 

シード ファイルからインポートした Cisco IPS または IDS デバイスの監視対象ネットワークの指定

シード ファイルを使用して Cisco IPS または IDS デバイスを MARS にインポートした後は、そのセンサーで監視するネットワークを定義する必要があります。

センサーの監視対象であるネットワークを定義するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] をクリックします。

ステップ 2 シード ファイルを使用してインポートされた Cisco IPS または IDS デバイスの横にあるチェックボックスを選択します。[Edit] をクリックします。

ステップ 3 (任意)攻撃パスの算出および軽減のために、センサーの監視対象のネットワークを指定します。ネットワークを手動で定義するには、[Define a Network] オプション ボタンを選択します。

a. ネットワーク アドレスを [Network IP] フィールドに入力します。

b. 対応するネットワーク マスク値を [Mask] フィールドに入力します。

c. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

d. 必要に応じて繰り返します。

ステップ 4 (任意)デバイスに接続するネットワークを選択するには、[Select a Network] オプション ボタンをクリックします。

a. [Select a Network] リストからネットワークを選択します。

b. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

c. 必要に応じて繰り返します。

ステップ 5 変更内容を保存するには、[Submit] をクリックします。

ステップ 6 MARS が、このモジュールからセッション化イベントを開始できるようにするには、[Activate] をクリックします。


 

Cisco IPS デバイスの詳細なイベント データの表示

アラート メッセージに加え、センサー アプライアンスかモジュールかに関係なく、Cisco IDS 4.x と、Cisco IPS 5.x、6.x、および 7.x の各デバイスから報告されるインシデントに関連するトリガー パケットおよび IP ログ データを表示できます。この情報は、攻撃方法を詳細に理解する必要がある場合に役立ちます。MARS には、これら 2 つのデータ タイプを中心にした 2 つのイベント タイプが含まれます。

トリガー パケット データ。 アラームが検出されたときにネットワークで送信されたデータを特定します。この情報は、攻撃の性質を診断するために利用できます。トリガー パケットには、アラームを発生させた単一のデータ パケットがあります。

パケット データ。 アラームが検出されたときにネットワークで送信されたデータを特定します。この情報は、攻撃の性質を診断するために利用できます。IP ログに含まれるデータのサイズはセンサーの設定によって変わりますが、デフォルトで、IP ログには 30 秒のパケット データが含まれます。このデータを表示するには、Cisco IPS デバイスで [Admin] > [System Setup] > [Security and Monitor Devices] を選択し、[Pull IP Logs] オプションをイネーブルにする必要があります。

このデータの生成に必要な正しいシグニチャ設定については、「適切なシグニチャとアクションのイネーブル化」を参照してください。

レポート Cisco IPS デバイスで IP ログ機能がイネーブルの場合、これらのイベント タイプはインシデント デバイスの一部として組み合わせられます。このデータを表示するには、インシデントをドリルダウンし、目的のイベント タイプ([Packet Data] または [Trigger Packet Data])を展開し、イベントを選択し、そのイベントの [Reporting Device] 列の [RAW Events for this Session] アイコンをクリックします。これらのイベントについて表示される送信元、宛先、および他のデータは、元のアラートのデータと一致します。さらに、このデータは 16 進のバイナリ形式で表示されます。


) トリガー パケットおよび IP ログ データは、base64 エンコーディング形式を使用して MARS データベースに保存されます。そのため、検索文字列を指定しただけの場合、キーワード検索は役立ちません。


MARS が Cisco IPS デバイスからイベントがプルされることの検証


) MARS Web インターフェイスで Cisco IPS デバイスを設定するときに、[Test Connectivity] 操作が失敗しなければ、通信はイネーブルになります。また、このタスクを実行すると、アラートの生成およびプルが正しく行われることを検証できます。


データ フローを検証するために、ネットワークに悪意のあるイベントを作成する方法は一般的です。Cisco IPS デバイスと MARS 間のデータ フローを検証するには、次のタスクを実行します。

1. Cisco IPS デバイスで、シグニチャ 2000 および 2004 をイネーブルにし、アラートします。これらのシグニチャは ICMP メッセージ(ping)を監視します。

2. Cisco IPS デバイスがリッスンしているサブネット上のデバイスに ping を送信します。イベントの生成とプルが MARS によって行われます。

3. イベントが MARS Web インターフェイスに表示されることを確認します。Cisco IPS デバイスを使用してクエリーを実行できます。

4. データフローを検証したら、Cisco IPS デバイスで 2000 および 2004 シグニチャをディセーブルにできます。