CiscoWorks VPN/Security Management Solution

VMS IDS MC を使用した IDS TCP リセットの設定

ダウンロード VMS IDS MC を使用した IDS TCP リセットの設定

設定例

概要

この文書では、VPN/Security Management Solution（VMS）、IDS Management Console（IDS MC）を使用した、Cisco Intrusion Detection System（IDS）の設定例を示します。 IDS Sensor から Cisco ルータへの TCP リセットを設定します。

前提条件

要件

TCP リセットを設定する前に、次の要件を満たしていることを確認してください。

• Sensor が設置され、必要なトラフィックを検知するための設定が完了している。

• スニファ インターフェイスがインターフェイス外のルータに接続されている。

使用されているコンポーネント

この文書内の情報は、次のバージョンのソフトウェアおよびハードウェアに基づいています。

• IDS MC および Security Monitor 1.2.3 を使用した VMS 2.2

• Cisco IDS Sensor 4.1.3S(63)

• Cisco IOS^® Software リリース 12.3.5 が実行されている Cisco Router

この文書に記載されている情報は、特定のラボ環境に置かれたデバイスに基づいて作成されています。 この文書で使用されているデバイスの初期状態は、すべてデフォルト設定です。 実稼働中のネットワークを使用する場合は、コマンドによる影響を理解しておいてください。

表記法

文書の表記法については、『Cisco Technical Tips Conventions』を参照してください。

設定

ここでは、この文書内で説明されている機能を設定するための情報を示します。

注： この文書で使用されているコマンドの詳細については、Command Lookup Tool（登録済みのユーザ専用）を使用してください。

ネットワーク ダイアグラム

この文書では、次に示されているネットワーク構成を使用します。

構成

この文書では、次の構成を使用します。

• ルータ Light

• ルータ House

Current configuration : 906 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 100.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
!         
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 100.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Building configuration...

Current configuration : 797 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname House
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
no ip domain lookup
!
!
interface Ethernet0
 ip address 10.66.79.210 255.255.255.224
 hold-queue 100 out
!
interface Ethernet1
 ip address 100.100.100.1 255.255.255.0
 ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 100.100.100.2
ip http server
no ip http secure-server
!
!
!
line con 0
 stopbits 1
line vty 0 4
 password cisco
 login
!
scheduler max-task-time 5000
end

センサーの初期設定

注： Sensor を初期設定済みである場合、「IDS MC への Sensor のインポート」へ進んでください。

1. Sensor のコンソールにログインします。

   ユーザ名とパスワードを求められます。 今回、初めてこの Sensor のコンソールにログインする場合、ユーザ名 cisco とパスワード cisco を使用してログインしてください。

2. パスワードを変更するように求められ、確認のために新しいパスワードを再入力するように求められます。

3. 次の例のように、setup と入力し、求められる情報を入力して Sensor の基本パラメータを設定します。

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   At any point you may enter a question mark '?' for help. 
   User ctrl-c to abort configuration dialog at any prompt. 
   Default settings are in square brackets '[]'. 
   
   Current Configuration: 
   
   networkParams 
   ipAddress 10.66.79.195 
   netmask 255.255.255.224 
   defaultGateway 10.66.79.193 
   hostname sensor5 
   telnetOption enabled 
   accessList ipAddress 10.66.79.0 netmask 255.255.255.0 
   exit 
   timeParams 
   summerTimeParams 
   active-selection none 
   exit 
   exit 
   service webServer 
   general 
   ports 443 
   exit 
   exit 
   
   5 Save the config:   (It might take a few minutes for the sensor saving the configuration) 
   [0] Go to the command prompt without saving this config. 
   [1] Return back to the setup without saving this config. 
   [2] Save this configuration and exit setup. 
   
   Enter your selection[2]: 2
   

IDS MC への Sensor のインポート

IDS MC に Sensor をインポートするには、次の手順に従います。

1. Sensor をブラウザで参照します。 ここでは、http://10.66.79.250:1741 または https://10.66.79.250:1742 のどちらかです。

2. 適切なユーザ名とパスワードでログインします。

   この例では、ユーザ名が admin、パスワードが cisco です。

3. VPN/Security Management Solution > Management Center から、IDS Sensors を選択します。

4. Devices タブをクリックし、Sensor Group を選択します。

5. Global を選択し、Create Subgroup をクリックします。

6. Group Name を入力し、Default オプション ボタンが選択されていることを確認した後、OK をクリックして IDS MC にサブグループを追加します。

   

7. Devices > Sensor から、前の手順で作成したサブグループ（ここでは test）を選択し、Add をクリックします。

8. サブグループを選択し、Next をクリックします。

   

9. 次の例に従って詳細を入力し、Next をクリックして続けます。

   

10. Successfully imported sensor configuration というメッセージが表示されたら、Finish をクリックして続けます。

    

11. IDS MC に Sensor がインポートされたことがわかります。 ここでは、Sensor5 がインポートされています。

    

Security Monitor への Sensor のインポート

Security Monitor に Sensor をインポートするには、次の手順に従います。

1. VMS Server メニューから、VPN/Security Management Solution > Monitoring Center > Security Monitor を選択します。

2. Devices タブを選択してから Import をクリックし、次の例に従って IDS MC Server Information を入力します。

   

3. Sensor（ここでは sensor5）を選択し、Next をクリックして続けます。

   

4. 必要に応じて Sensor の NAT アドレスを更新してから、Finish をクリックして続けます。

   

5. OK をクリックして、IDS MC から Security Monitor への Sensor のインポートを完了します。

   

6. Sensor が正常にインポートされたことがわかります。

   

IDS MC を使用したシグニチャ アップデート

次の手順では、IDS MC を使用してシグニチャ アップデートを行う方法を説明します。

1. Network IDS Signature updates をダウンロードし、VMS Server の C:\PROGRA~1\CSCOpx\MDC\etc\ids\updates\ ディレクトリに保存します。

2. VMS Server コンソールから、VPN/Security Management Solution > Management Center > IDS Sensors を選択します。

3. Configuration タブを選択し、Updates をクリックします。

4. Update Network IDS Signatures をクリックします。

5. アップグレードするシグニチャをドロップダウン メニューから選択し、Apply をクリックして続けます。

   

6. アップデートする Sensor を選択し、Next をクリックして続けます。

   

7. Management Center および Sensor にアップデートを適用することの確認を求められたら、Finish をクリックして続けます。

   

8. Telnet またはコンソールから Sensor のコマンド ライン インターフェイスにログインします。 次のような情報が表示されます。

   sensor5# 
   Broadcast message from root (Mon Dec 15 11:42:05 2003): 
   Applying update IDS-sig-4.1-3-S63.  
   This may take several minutes. 
   Please do not reboot the sensor during this update. 
   Broadcast message from root (Mon Dec 15 11:42:34 2003): 
   Update complete. 
   sensorApp is restarting 
   This may take several minutes. 
   

9. アップグレードが完了するまで数分間待機した後、show version と入力して確認します。

   sensor5#show version 
   Application Partition: 
   Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S63 
   
   Upgrade History: 
   * IDS-sig-4.1-3-S62           07:03:04 UTC Thu Dec 04 2003 
      IDS-sig-4.1-3-S63.rpm.pkg   11:42:01 UTC Mon Dec 15 2003
   

IOS Router の TCP リセットの設定

IOS ルータに TCP リセットを設定するには、次の手順に従います。

1. VPN/Security Management Solution > Management Center > IDS Sensors を選択します。

2. Configuration タブの Object Selector から Sensor を選択した後、Settings をクリックします。

3. Signatures を選択し、Custom をクリックした後、Add をクリックして新しいシグニチャを追加します。

   

4. 新しい Signature Name を入力してから、Engine（ここでは STRING.TCP）を選択します。

5. 該当するオプション ボタンを選択してから Edit をクリックすることで、利用可能なパラメータをカスタマイズできます。

   この例では、ServicePorts パラメータの値を編集して 23（ポート 23）に変更しています。 RegexString パラメータも編集して testattack という値を追加しています。 完了したら、OK をクリックして続けます。

   

6. シグニチャの Severity および Action を編集したり、シグニチャの Enable/Disable を切り替えるには、シグニチャの名前をクリックします。

   

7. ここでは、重大度を High に変更し、アクションとして Log & Reset を選択します。 OK をクリックして続けます。

   

8. シグニチャの全体は次のようになります。

   

9. Configuration > Pending を選択し、保留中の設定内容が正しいことを確認してから、Save をクリックします。

   

10. 設定の変更内容を Sensor に適用するには、変更を生成してから展開する必要があります。 これを行うには、Deployment > Generate を選択した後 Apply をクリックします。

    

11. Deployment > Deploy を選択し、Submit をクリックします。

12. Sensor の隣にあるチェックボックスにチェック マークを付け、Deploy をクリックします。

13. キュー内のジョブのチェックボックスにチェックマークを付け、Next をクリックして続けます。

    

14. Job Name を入力し、ジョブを Immediate としてスケジュールした後、Finish をクリックします。

    

15. Deployment > Deploy > Pending を選択します。

    保留中のジョブが完了するまでの数分間、待機します。 キューが空になります。

16. 展開を確認するには、Configuration > History を選択します。

    設定のステータスが Deployed として表示されることを確認します。 これは、Sensor の設定が正常にアップデートされたことを意味します。

    

確認

このセクションには、設定が正しく機能していることを確認するための情報が記載されています。

攻撃および TCP リセットの起動

ブロッキング処理が正常に動作していることを確認するには、攻撃テストを起動して結果を確認します。

1. 攻撃を起動する前に、VPN/Security Management Solution > Monitoring Center > Security Monitor を選択します。

2. メイン メニューから Monitor を選択し、Events をクリックします。

3. Launch Event Viewer をクリックします。

   

4. 攻撃を起動するには、あるルータからもう一方のルータに Telnet でログインし、testattack と入力します。

   ここでは、ルータ House からルータ Light に Telnet でログインします。 testattack と入力した後、Space キーまたは Enter キーを押すと、Telnet セッションがリセットされます。

   light#telnet 100.100.100.1 
   Trying 100.100.100.1 ... Open 
   User Access Verification 
   Password: 
   house>en 
   Password: 
   house#testattack 
   
   !--- The Telnet session has been reset due to the 
   !--- signature "testattack" being triggered.
   
   
   [Connection to 100.100.100.1 lost]
   

5. ここで、Event Viewer から、新しいイベントの Query Database をクリックします。

   起動した攻撃に関するアラートが表示されます。

   

6. Event Viewer に表示されているアラームを選択して右クリックし、View Context Buffer または View NSDB を選択してアラームの詳細情報を表示します。

   注： NSDB は、『Cisco Secure Encyclopedia』にもあります。

   

トラブルシューティング

このセクションには、設定のトラブルシューティングを行うための情報が記載されています。

トラブルシューティング手順

トラブルシューティングを行うには、次の手順に従います。

1. IDS MC から、Reports > Generate を選択します。

   問題のタイプに応じて、7 種類の使用可能なレポートの 1 つに詳細が示されています。

   

2. ルータのアクセスリストを設定する際、ブロッキングではコマンド コントロール ポートが使用されますが、TCP リセットはスニファ インターフェイスから Sensor に対して送信されます。 次のように、スイッチ上で set span コマンドを使用して、接続したポートが正しいことを確認してください。

   set span <src_mod/src_port><dest_mod/dest_port> both inpkts enable
   banana (enable) set span 2/12 3/6 both inpkts enable 
   Overwrote Port 3/6 to monitor transmit/receive traffic of Port 2/12 
   Incoming Packets enabled. Learning enabled. Multicast enabled. 
   banana (enable) 
   banana (enable) 
   banana (enable) show span 
   
   Destination     : Port 3/6              
   !--- connect to sniffing interface of the sensor
   Admin Source    : Port 2/12        
   !--- in this case, connect to Ethernet1 of Router House 
   Oper Source     : Port 2/12 
   Direction       : transmit/receive 
   Incoming Packets: enabled 
   Learning        : enabled 
   Multicast       : enabled 
   
   

3. TCP リセットが動作していない場合、Sensor にログインし、show event コマンドを入力します。

   攻撃を起動し、アラームがトリガーされないかどうかを確認します。 アラームがトリガーされた場合、アラームのアクション タイプが TCP reset に設定されていることを確認してください。

関連情報

• Cisco Secure Intrusion Detection サポート ページ
• Cisco Secure Intrusion Detection System の文書
• CiscoWorks VPN/Security Management Solution サポート ページ
• テクニカル サポート：シスコシステムズ