Management Center for IDS Sensors 2.0 ユーザ ガイド
IDS MC を使用した Sensor の 管理
IDS MC を使用した Sensor の管理
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

IDS MC を使用した Sensor の管理

ネットワーク上への Sensor の配置

ネットワークの Sensor の配置場所の決定

Sensor の動作

ネットワーク上への Sensor の配置

展開の検討事項について

IDS MC を使用した Sensor の管理

この章では、Management Center for IDS Sensors(IDS MC)で Sensor を管理するために従う必要のあるタスク フローの概要を説明します。まずは、セキュリティ対策のアプリケーションをイネーブルにするセキュリティ ポリシーを開発する必要があります。セキュリティ ポリシーは、次のようにします。

組織のセキュリティ目標を特定します。

保護するリソースを文書化します。

現在のマップおよびインベントリで、ネットワーク インフラストラクチャを特定します。

さらに保護を強化する重要なリソース(研究開発、金融、および人事など)を特定します。

セキュリティ ポリシーを開発すると、図 3-1 に示すように、それが Cisco Security Wheel のハブになります。

図 3-1 Cisco Security Wheel

 

Cisco Security Wheel のスポークは、次の 4 つの手順から成る連続したプロセスとして、ネットワーク セキュリティを表します。

1. システムを保護する。

2. セキュリティ ポリシーに対する違反や攻撃に備えてネットワークを監視し、それらに対応する。

3. 実施されているセキュリティ セーフガードの実効性をテストする。

4. 企業セキュリティを管理して、改善する。

4 つの手順をすべて継続して実行する必要があります。また、企業のセキュリティ ポリシーを作成し、アップデートしたときはこれらの手順を別々に検討する必要があります。

IDS MC は、Cisco Intrusion Detection System の管理ソフトウェアです。Cisco Intrusion Detection System は、不審なアクティビティやネットワークへのアクティブな攻撃に備えてネットワーク トラフィックをリアルタイムで監視します。ネットワーク トラフィックを監視するネットワーク デバイスは、Sensor と呼ばれています。Sensor は、物理的に異なる 2 つのネットワークに接続されることが多いため、マルチホーム ホストと似ています。ただし、アドレス指定可能な接続が 1 つだけであるという点で、マルチホーム ホストとは異なります。つまり、監視されているネットワークに接続されているアダプタは、アドレス指定できません。このアダプタは混合モード アダプタとして動作し、物理媒体上で検知された各ネットワーク パケットを検査します。Sensor には、特定の Cisco Catalyst 6000 スイッチで動作する専用のスタンドアロン ネットワーク アプライアンスおよびラインカード モジュールの 2 種類の物理モデルがあります。

Sensor は、ネットワーク パケットを Sensor のシグニチャと比較して、ネットワーク パケットの内容が攻撃条件と一致するかどうかを判断します。「シグニチャ」は、サービス拒絶攻撃(DoS)などの典型的な侵入活動を検出するために Sensor が使用するトラフィック パターンです。これは、通常は規則のセットと考えられています。パケットが特定のシグニチャ ルールに一致した場合、アラームが生成され、Monitoring Center for Security(Security Monitor)に送信されます。


) シグニチャの中には、攻撃ではなく、通常のネットワーク アクティビティを監視するものがあります。たとえば、Signature 2004 の ICMP Echo Request は、攻撃ではなく通常のネットワーク トラフィックから多くのアラームを生成する結果になります。


Sensor を設定して、シスコ ルータに対してコマンドを発行し、特定のシグニチャのアラームをトリガーする発信元 IP アドレスからのパケットをブロックするようにできます。これらのコマンドは、シスコ ルータのアクセス コントロール リスト(ACL)に対する一時的な変更として発行されます。指定した期間が経過すると、Sensor はこれらのコマンドを削除し、ルータを不正侵入前の設定状態に復元します。Sensor は、Cisco PIX Firewall および Cisco Catalyst 6000 スイッチに対しても同様の変更を行うことができます。

Sensor には、次の事項に関連する設定が多くあります。

IDS MC が Sensor との通信に使用する IP アドレス。

Sensor 上で動作するソフトウェアのバージョン。

ネットワーク トラフィックの検査に使用するシグニチャ。

適用されている可能性のあるシグニチャの上書き。

アクティブな攻撃のブロックに使用されるデバイス。

監視されたネットワークと syslog データ ストリーム。

Sensor がアラーム ログ データを FTP サーバにコピーするかどうか。

Sensor は、初期設定から展開まで、基本的なタスク フローに従います。次のリストは、プライマリ タスクとその実行順序を特定します。

1. Sensor をブートストラップすると、IDS MC はネットワーク上の Sensor を検出できます。ブートストラップは、ネットワーク上での Sensor の起動と実行、IP アドレスの割り当て、および物理媒体への接続を行います。

2. Sensor を IDS MC に追加します。次に、ブートストラップした Sensor のコンフィギュレーション設定と一致する設定を、手動で定義します。

3. 攻撃に対して特定の応答を行うようにシグニチャを設定します。たとえば、アラームの発信元アドレスへのパケットの送受信をファイルに記録します。既存のシグニチャの編集、または新しいシグニチャの定義ができます。

4. Sensor のシグニチャを調整します。IP フラグメントおよび TCP セッションに対するリアセンブリ オプションの指定、シグニチャのアラームを送信しないホストおよびネットワークの識別、重大度に基づくアラームのフィルタリング、シグニチャのパラメータ変更(監視するポートの特定など)の、4 つの一般的な方法で Sensor のシグニチャを調整できます。

5. コンフィギュレーション ファイルを生成、承認、および Sensor に展開します。

6. Security Monitor を使用して、履歴およびリアルタイムの攻撃とシステム ステータス通知を表示します。ネットワーク アクティビティを検査するように Sensor を設定した後、Sensor によって生成された通知は、すべてデータベースに発行されます。Security Monitor を使用することで、これらの通知を検査して、どのような攻撃が行われているかを判断し、Sensor の(検出した攻撃に対するブロッキング ルールを生成した Sensor など)ステータス情報を収集できます。

ネットワーク上への Sensor の配置

このセクションでは、ネットワーク上に Sensor を展開および設定する最適な方法について説明します。ここでは、次のトピックについて説明します。

「ネットワークの Sensor の配置場所の決定」

「Sensor の動作」

「ネットワーク上への Sensor の配置」

「展開の検討事項について」

ネットワークの Sensor の配置場所の決定

ネットワークのどこに Sensor を配置するかを決定するには、お客様のネットワークと、インターネットを含むほかのネットワーク間の接続を慎重に調査する必要があります。このプロセスでは、ご使用のネットワークの規模と複雑性の調査、およびネットワーク上のトラフィック量と種類の調査も必要です。

ご使用のネットワークにおけるこれらの特徴を調査すると、必要な Sensor の数と各 Sensor に対するハードウェア コンフィギュレーション(たとえば、ネットワーク インターフェイス カードのサイズと種類)の決定に役立ちます。IDS MC は、少なくとも 300 の Sensor の展開をサポートするように設計されています。


) 侵入検知の展開の詳細については、『Intrusion Detection Planning Guide』を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/idpg/index.htm


Sensor は、特定のネットワーク セグメントを通過するすべてのトラフィックを監視します。このことを念頭に置き、保護するすべてのネットワーク接続を検討します。これらの接続は、図 3-2 および次の段落で説明するように、4 つの基本的なカテゴリまたはロケーションに分類できます。

図 3-2 ネットワーク接続の主な種類

 

ロケーション 1 では、Sensor は保護されたネットワークとインターネット間のトラフィックを監視する目的で配置されています。これは、一般に「境界保護」と呼ばれており、Sensor の最も一般的な展開です。このロケーションは、ファイアウォール保護と共有できます。これについては、「ネットワーク上への Sensor の配置」で説明します。

ロケーション 2 では、Sensor は図 3-2 でリモート アクセス サーバ(ダイヤルアップ サーバとラベルが付いている)のネットワーク側を監視しています。この接続は社員専用の場合がありますが、外部からの攻撃を受けやすい可能性があります。

ロケーション 3 では、Sensor はイントラネット接続を監視しています。たとえば、ある部門の保護されたネットワークに、これまで記述したすべての接続タイプが必要な e- コマース サイトが含まれているとします。ほかの部門のネットワークには、企業固有の研究開発またはその他の技術情報が含まれている可能性があるため、さらに保護が必要です。

ロケーション 4 では、Sensor はビジネス パートナーとのエクストラネット接続を監視しています。ほとんどの組織は、この種類の接続の使用およびセキュリティのポリシーを定義していますが、パートナーのネットワークが十分に保護されていることは保証されていません。したがって、部外者がこの接続タイプを介して組織のネットワークに侵入する可能性があります。これらのエクストラネット接続にもファイアウォールがあります。

これらの接続タイプを念頭に置き、保護するすべてのネットワークを検討します。監視するセグメントを決定します。各 Sensor は、監視するセグメントに対して設定されたシグニチャを維持することを覚えておいてください。シグニチャは、組織全体で標準であるか、各 Sensor で一意です。ネットワーク トポロジーを定義して、トラフィックが特定の監視されたネットワーク セグメントを通るように強制できます。Sensor の配置を決定する場合は、動作に関するトレードオフを常に考慮します。最終的な結論は、ネットワーク内に Sensor を配置する場所、必要な数、ハードウェア条件からどのように設定すべきかについて、最も適した結果になる必要があります。

Sensor の動作

ネットワーク保護の次のステップは、Sensor がネットワーク トラフィックを取り込む方法を理解することです。

各 Sensor には、2 つのインターフェイスがあります。一般的なインストールでは、一つのインターフェイスは任意のネットワーク セグメントを監視し、もう一つのインターフェイスは、IDS MC およびその他のネットワーク デバイスと通信します。「モニタリング インターフェイス」は、混合モードで動作します。つまり、IP アドレスがなく、監視対象のセグメントから見ることはできません。

Sensor は、IP 層でネットワーク トラフィックを取り込みます。したがって、ほとんどのネットワークがデータ パケットのやり取りに使用する Media Access Control(MAC)層プロトコルを理解して解釈する必要があります。

「コマンドとコントロール インターフェイス」は、常にイーサネット インターフェイスです。このインターフェイスには IP アドレスが割り当てられており、これによって IDS MC またはほかのネットワーク デバイス(通常はシスコ ルータ)と通信できます。このインターフェイスは、セキュリティの観点からは「強固」ですが、ネットワーク上で見ることができるため、保護する必要があります。

攻撃に対応している場合、Sensor は次のことができます。

モニタリング インターフェイスを経由して TCP リセットを挿入する。


) TCP リセット アクションは、TCP ベースのサービスに関連するこれらのシグニチャでの処置選択としてのみ適切です。非 TCP ベースのサービス上のアクションとして選択された場合、処置を行いません。また、TCP プロトコルには制限があるため、TCP リセットが攻撃しているセッションを取り除くとは限りません。


コマンドとコントロール インターフェイスを使用して、ACL を変更し、Sensor が管理するルータ(または PIX Firewall または Cisco Catalyst 6000 スイッチ)上のトラフィックをブロックするようにします。


このようなルータは、「ブロッキング ルータ」として知られています。Sensor は、このルータに対して Telnet セッション(PIX Firewall の場合は SSH セッション)を開いて保守し、トラフィックをブロックする ACL ルール セットの発行に必要な時間を削減します。


Sensor の動作を理解する最後のステップは、監視対象ネットワークでのデータの速度と負荷です。Sensor はデータ パスに存在しないため、ネットワークのパフォーマンスには影響しません。ただし、監視できるデータ速度には制限があります。次のリストでは、利用可能なモデルおよび監視できる最大ネットワーク速度を示します。

IDS-4210 Sensor アプライアンス:最大 45 Mbps をサポート。

IDS-4230 Sensor アプライアンス:最大 100 Mbps をサポート。

IDS-4235 Sensor アプライアンス:最大 200 Mbps をサポート。

IDS-4250 Sensor アプライアンス:最大 500 Mbps をサポート。

IDS-4250XL Sensor アプライアンス:最大 1000 Mbps をサポート

IDSM for Catalyst 6000:最大 120 Mbps をサポート。ネットワーク トラフィックによる。

IDSM2 for Catalyst 6000:最大 600 Mbps をサポート。ネットワーク トラフィックによる。

NM-CIDS for Cisco 2600/3600 IOS ルータ:最大 40 Mbps をサポート。ネットワーク トラフィックによる。

ネットワーク上への Sensor の配置

フィルタリング ルータの前方または背後に Sensor を配置できます。いずれの場所にも、利点と欠点があります。

フィルタリング ルータの前方に Sensor のモニタリング インターフェイスを置くと、Sensor は着信および発信するすべてのネットワーク トラフィックを監視できるようになります。ただし、この方法で展開した場合、Sensor は内部ネットワークのトラフィックを正常に検出できなくなります。ネットワーク サービスの胞弱性を利用する内部のアタッカーは、外部の Sensor では検出されません(図 3-3 を参照)。図 3-3 では、Outermost ルータはフィルタリング ルータです。

図 3-3 フィルタリング ルータの前方に Sensor を配置

 

Sensor のモニタリング インターフェイスをフィルタリング ルータの背後に置くと、攻撃から Sensor を保護することができ、攻撃はフィルタリング ルータがブロックします。このコンフィギュレーションを使用すると、Sensor はルータと連携して、将来発生する攻撃をブロックするため、より強力な応答機能が得られます。

展開の検討事項について

Sensor をイネーブルにして、フィルタリングルータを管理し、ネットワークを保護するには、次を実行する必要があります。

ルータ上の Telnet サービスをイネーブルにします。

IDS MC の Object Selector にルータを追加します。

これで、Sensor はルータ ACL をダイナミックにアップデートでき、不正なアクティビティを拒否できます。