Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Cisco IPS モジュール
Cisco IPS モジュール
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco IPS モジュール

IOS IPS を実行する Cisco IOS デバイス上の SDEE のイネーブル化

シスコ製スイッチまたは Cisco ASA に対する IPS モジュールの追加

Cisco IPS モジュール

MARS はシスコ製スイッチおよび Cisco ASA アプライアンスにインストールされている Cisco IPS モジュールを監視できます。これらのモジュールを準備するには、次のタスクを実行する必要があります。

ベース モジュール(ルータ、スイッチ、または Cisco ASA)を、「シスコ製ルータ」「シスコ製スイッチ デバイス」、および「シスコ製ファイアウォール デバイス(PIX、ASA、FWSM)」に従って定義します。

ベース モジュールをブートストラップして、Cisco IPS モジュール上の SDEE トラフィックをイネーブルにし、イベントを MARS Appliance に転送し、MARS からモジュールに格納されている SDEE イベントにアクセスできるようにします。モジュール アクセスによって、MARS はトリガー パケットおよび IP ログ情報を取得できるようになります。

Web インターフェイスで、以前に定義したベース モジュールに IPS 機能を追加します。

次の項では、Cisco IPS モジュールの設定についてもサポートしています。

「MARS が Cisco IPS デバイスからイベントがプルされることの検証」

この章は、次の内容で構成されています。

「IOS IPS を実行する Cisco IOS デバイス上の SDEE のイネーブル化」

「シスコ製スイッチまたは Cisco ASA に対する IPS モジュールの追加」

IOS IPS を実行する Cisco IOS デバイス上の SDEE のイネーブル化

Cisco IOS デバイス上で設定検出のために Telnet または SSH をイネーブルにするだけでなく、IOS IPS をサポートするデバイスで SDEE をイネーブルにする必要もあります。SDEE は、発生したシグニチャに関するイベントを MARS に発行するときに使用されます。

IOS IPS を実行する Cisco IOS デバイス上で SDEE プロトコルをイネーブルにするには、次の手順を実行します。


ステップ 1 イネーブル パスワードを使用して Cisco IOS デバイスにログインします。

ステップ 2 次のコマンドを入力して、MARS が IOS デバイスからイベントを取得できるようにします。

Router(config)#ip http secure-server
Router(config)#ip ips notify sdee
Router(config)#ip sdee subscriptions 3
Router(config)#ip sdee events 1000
Router(config)#no ip ips notify log
 

) 「no ips notify log」によって、IPS モジュールは IPS イベントを syslog で送信しなくなります。



 

シスコ製スイッチまたは Cisco ASA に対する IPS モジュールの追加

多目的のシスコ プラットフォームで、インラインの IPS 機能およびシグニチャ検出をイネーブルにすることができます。シスコ製スイッチで実行される IDS-M2、または Cisco ASA で実行される ASA-SSM を特定できます。これらのモジュールのいずれかを示すには、ベース プラットフォームの一部としてモジュールの設定を定義する必要があります。これは、[Admin] > [System Setup] > [Security and Monitor Devices] で事前に定義しておく必要があります。

IPS モジュールを Cisco ASA のシスコ製スイッチに追加するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] をクリックします。

ステップ 2 デバイス リストから、IPS モジュールを追加するシスコ製スイッチまたは Cisco ASA を選択し、[Edit] をクリックします。

ステップ 3 [Add Module] をクリックします。

 

ステップ 4 [Device Type] リストの [Cisco IPS 5.x] または [Cisco IPS 6.x] を選択します。

シスコ製スイッチの場合、Cisco IPS 4.0 モジュールも追加できます。スタンドアロン センサーと同様に、これらの モジュールを設定します。これらのモジュールの設定手順については、「Cisco IDS 4.0 および IPS 5.x センサー」を参照してください。

図 9-1 Cisco IPS 5.x または 6.x の設定

 

ステップ 5 [Device Name] フィールドにセンサーのホスト名を入力します。

ステップ 6 管理 IP アドレスを [Reporting IP] フィールドに入力します。

ステップ 7 [Reporting IP] アドレスは、管理 IP アドレスと同じアドレスです。

ステップ 8 レポート デバイスへのアクセスに使用される管理アカウントに関連付けられたユーザ名を [Login] フィールドに入力します。

ステップ 9 [Login] フィールドに指定したユーザ名に関連付けられたパスワードを [Password] フィールドに入力します。

ステップ 10 センサー上で実行されている Web サーバがリッスンする TCP ポートを [Port] フィールドに入力します。

デフォルトの HTTPS ポートは 443 です。


) HTTP のみを設定することもできますが、MARS には HTTPS が必要です。


ステップ 11 (任意)攻撃パスの算出および軽減のために、センサーの監視対象のネットワークを指定します。ネットワークを手動で定義するには、[Define a Network] オプション ボタンを選択します。

a. ネットワーク アドレスを [Network IP] フィールドに入力します。

b. 対応するネットワーク マスク値を [Mask] フィールドに入力します。

c. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

d. 必要に応じて繰り返します。

ステップ 12 (任意)デバイスに接続するネットワークを選択するには、[Select a Network] オプション ボタンをクリックします。

a. [Select a Network] リストからネットワークを選択します。

b. [Add] をクリックして、指定したネットワークを [Monitored Networks] フィールドに移動します。

c. 必要に応じて繰り返します。

ステップ 13 [Test Connectivity] をクリックして設定を検証します。

ステップ 14 変更内容を保存するには、[Submit] をクリックします。

ステップ 15 MARS が、このモジュールからセッション化イベントを開始できるようにするには、[Activate] をクリックします。