シスコサービス統合型ルータ(ISR)1000、4000、CSR、およびISRvシリーズでのUTD Snort IPSの導入

はじめに

このドキュメントでは、IOx方式を使用して、Ciscoサービス統合型ルータ(ISR)ISR1K、ISR4K、CSR、およびISRvシリーズにUTD Snort IPS Engineを導入する方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Ciscoサービス統合型ルータ(ISR)ISR1K、ISR4K、CSR、およびISRvシリーズ（8 GB以上のDRAM）
• IOS-XEコマンドの基礎知識
• UTD Snort IPSの基礎知識
• 1年間または3年間のシグニチャIPS Snortサブスクリプションが必要です
• IOS-XE 16.10.1a以降

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• バージョン17.9.3aを実行するISR1K、ISR4K、CSRおよびISRvシリーズ
• UTD Snortエンジンバージョン17.9.3a
• ISR1K、ISR4K、CSR、およびISRvシリーズ用のSecurityk9ライセンス

VMANメソッドは廃止されました。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Unified Threat Defense(UTD)Snort IPS機能は、シスコサービス統合型ルータISR1K、ISR4K、CSR、およびISRvシリーズのブランチオフィスで、侵入防御システム(IPS)または侵入検知システム(IDS)を有効にします。この機能は、オープンソースのSnortを使用して、IPSまたはIDS機能を有効にします。

Snortは、リアルタイムのトラフィック分析を実行し、IPネットワークで脅威が検出されたときにアラートを生成するオープンソースのIPSです。また、プロトコル分析、コンテンツの調査やマーチングを実行し、バッファオーバーフローやステルスポートスキャンなどのさまざまな攻撃やプローブを検出できます。UTD Snortエンジンは、シスコサービス統合型ルータ（ISR1K、ISR4K、CSR、およびISRvシリーズ）の仮想コンテナサービスとして動作します。

UTD Snort IPSは、シスコサービス統合型ルータ（ISR1K、ISR4K、CSR、およびISRv）シリーズのIPSまたはIDS機能を提供します。 

• UTDはネットワークトラフィックを監視し、定義済みのルールセットに照らして分析します。
• UTDはアタッチ分類を実行します。
• UTDは、一致したルールに対してアクションを呼び出します。

ネットワーク要件に基づくUTD Snort IPSはIPSまたはIDSとして有効にできます。

• IDSモード：UTDのSnortエンジンは、トラフィックを検査してアラートを報告しますが、攻撃を防止するための措置は何も行いません。
• IPSモード：UTDのSnortエンジンは、IDSと同様にトラフィックを検査してアラートを報告しますが、攻撃を防止するための措置が講じられます。

UTD Snort IPSは、ルータISR1K、ISR4K、CSR、およびISRvシリーズのサービスとして動作します。サービスコンテナは、仮想化テクノロジーを使用して、アプリケーション用のシスコデバイス上にホスティング環境を提供します。Snortトラフィックインスペクションは、インターフェイス単位またはサポートされているすべてのインターフェイス上でグローバルに有効になります。

UTD Snort Engine IPSソリューション

UTDのSnortエンジンIPSソリューションは、次のエンティティで構成されています。

• Snort sensor：トラフィックを監視し、設定されたセキュリティポリシー（シグニチャ、統計情報、プロトコル分析など）に基づいて異常を検出し、アラートメッセージをアラート/レポートサーバに送信します。Snortセンサーは、ルータ上に仮想コンテナサービスとして導入されます。

• シグニチャストア：定期的に更新されるCiscoシグニチャパッケージをホストします。これらのシグニチャパッケージは、定期的またはオンデマンドでSnortセンサーにダウンロードされます。検証されたシグニチャパッケージは、Cisco.comに公開されます。設定に基づいて、シグニチャパッケージはCisco.comまたはローカルサーバからダウンロードできます。

  次のドメインは、cisco.comからシグニチャパッケージをダウンロードする過程でルータによってアクセスされます。

  • api.cisco.com

  • apx.cisco.com

  • cloudsso.cisco.com

  • cloudsso-test.cisco.com

  • cloudsso-test3.cisco.com

  • cloudsso-test4.cisco.com

  • cloudsso-test5.cisco.com

  • cloudsso-test6.cisco.com

  • cloudsso.cisco.com

  • download-ssc.cisco.com

  • dl.cisco.com

  • resolver1.opendns.com

  • resolver2.opendns.com

  シグニチャパッケージは、Snortセンサーで取得する前に、Cisco.comクレデンシャルを使用して、Cisco.comからローカルサーバに手動でダウンロードする必要があります。 

• アラート/レポートサーバ:Snortセンサーからアラートイベントを受信します。Snortセンサーによって生成されたアラートイベントは、IOS syslogまたは外部syslogサーバ、あるいはIOS syslogと外部syslogサーバの両方に送信できます。Snort IPSソリューションには、外部ログサーバはバンドルされていません。

• 管理:Snort IPSソリューションを管理します。管理はIOS CLIを使用して設定します。Snort Sensorには直接アクセスできず、すべての設定はIOS CLIを使用してのみ実行できます。

ライセンス要件

UTD Snortエンジンのライセンス要件は次のとおりです。

• Security K9ライセンスは、ISR1K、ISR4Kルータ、CSR、およびISRvで必要です。これに加えて、署名付きのサブスクリプションも1年または3年が必要です。サブスクリプションには次の2種類があります。

a)コミュニティシグニチャパッケージ：コミュニティシグニチャパッケージのルールセットでは、脅威に対するカバレッジが制限されています。

b)加入者ベースのシグニチャパッケージ：加入者ベースのシグニチャパッケージのルールセットは、脅威に対する最適な保護を提供します。  また、セキュリティインシデントや新しい脅威の予防的な検出に対応して、更新されたシグニチャへの迅速なアクセスを提供します。このサブスクリプションはシスコによって完全にサポートされ、パッケージはCisco.comで継続的に更新されます。

UTD Snortサブスクライバシグニチャパッケージはsoftware.cisco.comからダウンロードできます。Snortシグニチャ情報はsnort.orgにあります。

さらに、次のsnort.org Rule Documentation Searchツールを使用して、特定のSnort IPSシグニチャIDを検索できます。

• IPS/Snortを使用するには、「サポート対象プラットフォーム」セクションに記載されているCatalyst 8000エッジルータでDNA-Essentialsライセンスが必要です。

対応プラットフォーム 

UTD Snortエンジンでサポートされるプラットフォームは次のとおりです。

• ISR 4461、4451、4431、4351、4331、4321、4221X、4221、CSR、ISRv、およびISR 1K（17.2.1rリリースから、8 GB DRAMのみをサポートする1111X、1121X、1161XなどのPIDなど）

• Catalyst 8500L、8300、8200、8000V。

制限事項

UTDのSnortエンジンには、次の制限事項があります。

• TCP、UDP、およびICMPパケットだけが検査のためにUTD Snortエンジンに転送される

• トラフィックは、ボックスを通過する場合のみ、UTDのSnortエンジンに転送されて検査されます

制約事項

UTDのSnortエンジンには、次の制限事項があります。

• Cisco 4000シリーズISRでブーストライセンスを有効にすると、Snort IPSの仮想サービスコンテナを設定できなくなります。

• ゾーンベースファイアウォールのSYN-cookie機能と互換性がありません。

• ネットワークアドレス変換64(NAT64)はサポートされていません。

• オープンソースSnortでのSNMPポーリングには、SnortSnmpPluginが必要です。SnortSnmpプラグインがUTDにインストールされていないため、Snort IPSはSNMPポーリング機能またはMIBをサポートしません。

• IOS syslogはレート制限されているため、Snortによって生成されるすべてのアラートがIOS syslogからは見えない可能性があります。ただし、外部syslogサーバにエクスポートすれば、すべてのsyslogメッセージを表示できます。

UTD SnortエンジンIPSのダウンロードリンク

次に、CiscoルータにUTD Snortエンジンをインストールするために使用するUTD Snort IPS Engine Software イメージファイルをダウンロードするシスコのリンクを示します。その他に、実行されているUTD Snortエンジンのバージョンに応じて、UTD Snort IPSシグニチャをダウンロードするためのUTD Snort Subscriber Signature Packageファイルが用意されています。

• ISR1K:https://software.cisco.com/download/home/286315006/type

• ISR4K -https://software.cisco.com/download/home/284389362/type

• CSR:https://software.cisco.com/download/home/284364978/type

• ISRv -https://software.cisco.com/download/home/286308693/type

• Catalyst 8500L:https://software.cisco.com/download/home/286324574/type

• Catalyst 8300:https://software.cisco.com/download/home/286324476/type

• Catalyst 8200:https://software.cisco.com/download/home/286324472/type

• Catalyst 8000V:https://software.cisco.com/download/home/286327102/type

注：UTD Snortエンジンをインストールする前に考慮する必要がある前提条件。物理ISRの場合は、IOS-XEバージョン3.16.1以降を実行している必要があります。CSRの場合はバージョン16.3.1以降を実行し、ISRv(ENCS)の場合はバージョン16.8.1以降を実行する必要があります。Catalyst 8300（バージョン17.3.2以降）、8200（バージョン17.4.1以降）、および8000V（バージョン17.4.1以降）用。

注:ユーザがソフトウェアダウンロードページから手動でUTD Snort Subscriber Signature Packageをダウンロードする場合、パッケージのバージョンがSnortエンジンのバージョンと同じであることを確認する必要があります。たとえば、Snortエンジンのバージョンが2982の場合、ユーザは同じバージョンのシグニチャパッケージをダウンロードする必要があります。バージョンが一致しない場合、シグニチャパッケージのアップデートは拒否され、失敗します。

注：シグニチャパッケージが更新されると、エンジンが再起動し、データプレーンのフェールオープン/フェールクローズの設定に応じて、トラフィックが短時間中断されるか、検査をバイパスします。

ネットワーク図

設定

UTD Snortエンジンのインストール

ステップ 1：UTD SnortエンジンのVirtualPortGroupインターフェイスを設定し、2つのポートグループを設定します。

• 管理トラフィックのVirtualPortGroup0：このVirtualPortGroupは、ログをログコレクタに送信したり、Cisco.comからシグニチャ更新を取得したりするために使用されます。

• データトラフィック用のVirtualPortGroup1：このVirtualPortGroupは、IPSインスペクション用のデータプレーンに到着するインスペクション用にマークされたパケットを送受信するために使用されます。

Router#configure terminal
Router(config)#interface VirtualPortGroup0
Router(config-if)#description Management Interface
Router(config-if)#ip address 192.168.1.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface VirtualPortGroup1
Router(config-if)#description Data Interface
Router(config-if)#ip address 192.168.2.1 255.255.255.252
Router(config-if)#no shutdown
Router(config-if)#exit

注:UTD Snortエンジンが外部syslogサーバに到達できるようにするために、またcisco.comがシグニチャ更新ファイルを取得できるようにするために、VirtualPortgroup0に必要なNATおよびルーティングを設定してください。

ステップ2:グローバルコンフィギュレーションモードでIOx環境を有効にします。

Router(config)#iox

ステップ 3：次に、仮想サービスをアクティブ化し、ゲストIPを設定します。このためには、vnic設定でアプリケーションホスティングを設定します。

Router(config)#app-hosting appid UTD
Router(config-app-hosting)#app-vnic gateway0 virtualportgroup 0 guest-interface 0
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.1.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

Router(config-app-hosting)#app-vnic gateway1 virtualportgroup 1 guest-interface 1
Router(config-app-hosting-gateway0)#guest-ipaddress 192.168.2.2 netmask 255.255.255.252
Router(config-app-hosting-gateway0)#exit

ステップ 4（任意）： リソースプロファイルを設定します。

Router(config-app-hosting)#app-resource package-profile low [low,medium,high]
Router(config-app-hosting)#end

注:UTD Snortエンジン仮想サービスは、低、中、高の3つのリソースプロファイルをサポートします。これらのプロファイルは、仮想サービスを実行するために必要なCPUとメモリリソースを示します。これらのリソースプロファイルの1つを設定できます。リソースプロファイルの設定はオプションです。プロファイルを設定しない場合、仮想サービスはデフォルトのリソースプロファイルでアクティブ化されます。リソースプロファイルの詳細については、『ISR4KおよびCSR1000vのCisco仮想サービスリソースプロファイル』を参照してください。

注：このオプションはISR1Kシリーズでは使用できません。

ステップ 5： UTD Snort IPSエンジンソフトウェアファイルをルータのフラッシュにコピーした後、次のようにUTD.tarファイルを使用してアプリケーションホスティングをインストールします。

Router#app-hosting install appid UTD package bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar

注:UTDエンジンのバージョンはUTDファイル名で指定します。インストールするUTDエンジンのバージョンが、シスコルータで実行されているIOS-XEバージョンと互換性があることを確認してください

次に、UTDサービスが正しくインストールされたことを示すsyslogが表示されます。

Installing package 'bootflash:iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for 'utd'. Use 'show app-hosting list' for progress.
*Jun 26 19:25:35.975: %VMAN-5-PACKAGE_SIGNING_LEVEL_ON_INSTALL: R0/0: vman: Package 'iox-iosxe-utd.16.12.08.1.0.24_SV2.9.16.1_XE16.12.x86_64.tar' for service container 'utd' is 'Cisco signed', signing level cached on original install is 'Cisco signed'
*Jun 26 19:25:50.746: %VIRT_SERVICE-5-INSTALL_STATE: Successfully installed virtual service utd
*Jun 26 19:25:53.176: %IM-6-INSTALL_MSG: R0/0: ioxman: app-hosting: Install succeeded: utd installed successfully Current state is deployed

注:「show app-hosting list」を使用すると、ステータスが「Deployed」と表示されます。

手順 6：アプリケーションホスティングサービスを開始します。

Router#configure terminal
Router(config)#app-hosting appid UTD
Router(config-app-hosting)#start
Router(config-app-hosting)#end

注：アプリケーションホスティングサービスの開始後、アプリケーションホスティングのステータスは「Running」になります。 詳細を表示するには、「show app-hosting list」または「show app-hosting detail」を使用します。

次に、UTDサービスが正しくインストールされたことを示すsyslogメッセージが表示されます。

*Jun 26 19:55:05.362: %VIRT_SERVICE-5-ACTIVATION_STATE: Successfully activated virtual service UTD
*Jun 26 19:55:07.412: %IM-6-START_MSG: R0/0: ioxman: app-hosting: Start succeeded: UTD started successfully Current state is running

UTD SnortエンジンをIPSまたはIDSとして設定

インストールが成功したら、サービスプレーンでUTD Snortエンジンを設定する必要があります。UTDのSnortエンジンは、侵入防御システム(IPS)または侵入検知システム(IDS)としてトラフィックインスペクション用に設定できます。

警告：ルータで「securityk9」ライセンス機能が有効になっていることを確認してから、UTDサービスプレーンの設定に進んでください。

ステップ 1：Unified Threat Defense(UTD)標準エンジン（サービスプレーン）の設定

Router#configure terminal
Router(config)#utd engine standard

ステップ 2：リモートサーバとIOSd syslogへのUTD Snortエンジンのロギングを有効にします。

Router(config-utd-eng-std)#logging host 192.168.10.5
Router(config-utd-eng-std)#logging syslog

注:UTD Snort IPSはトラフィックを監視し、イベントを外部ログサーバまたはIOS syslogに報告します。IOS syslogへのロギングを有効にすると、ログメッセージの潜在的な量が原因でパフォーマンスに影響を与える可能性があります。ログの収集と分析には、Snortログをサポートするサードパーティ製の外部監視ツールを使用できます。

ステップ 3：Snortエンジンの脅威検査を有効にします。

Router(config-utd-eng-std)#threat-inspection

ステップ 4：Snortエンジンの動作モードとして脅威検出(IDS)または侵入防御システム(IPS)を設定します。

Router(config-utd-engstd-insp)#threat [protection,detection]

注:IPSの場合はキーワード「protection」、IDSモードの場合はキーワード「detection」を使用してください。デフォルトモードは「検出」です。

ステップ 5：Snortエンジンのセキュリティポリシーを設定します。

Router(config-utd-engstd-insp)#policy [balanced, connectivity, security]
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

注：デフォルトのポリシーは'balanced'です。選択したポリシーに応じて、SnortエンジンはSnortエンジン保護のIPSシグニチャをアクティブまたは非アクティブにします。

ステップ 6（オプション）： UTD許可リスト（ホワイトリスト）の設定を有効にします。

Router#configure terminal
Router(config)#utd threat-inspection whitelist

ステップ 7（オプション）： ホワイトリストに含めるIPS SnortシグニチャIDを設定します。

Router(config-utd-whitelist)#generator id 40 signature id 54621 comment FILE-OFFICE traffic

or

Router(config-utd-whitelist)#signature id 13418 comment "whitelisted the IPS signature 13418"

注：シグニチャIDは、抑制する必要があるアラートからコピーできます。シグニチャIDを複数設定できます。ホワイトリストに追加する必要があるシグニチャIDごとに、この手順を繰り返します。

注：許可リストのシグニチャIDを設定した後（ホワイトリスト）、UTD Snortエンジンは、アラートやドロップなしでフローがデバイスをパススルーすることを許可します。

注:ジェネレータID(GID)は、侵入ルールを評価してイベントを生成するサブシステムを識別します。標準テキスト侵入ルールのジェネレータIDは1で、共有オブジェクト侵入ルールのジェネレータIDは3です。また、さまざまなプリプロセッサに対するルールもいくつかあります。次の表1を参照してください。Generator IDsはGIDを説明します。

ステップ 8（オプション）： 脅威検査の設定で許可リストを有効にします。

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#whitelist

注：ホワイトリストのシグニチャIDを設定すると、Snortエンジンによって、アラートやドロップを発生させることなくフローをデバイスに通過できるようになります

ステップ 9：Snortシグニチャを自動的にダウンロードするようにシグニチャの更新間隔を設定します。

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#signature update occur-at [daily, monthly, weekly] 0 0

注：最初の数字は24時間形式の時間を定義し、2番目の数字は分を示します。

警告: UTDシグニチャのアップデートでは、アップデート時に短いサービス中断が生成されます。

ステップ 10：UTDのSnortエンジンシグニチャ更新サーバパラメータを設定します。

Router(config-utd-engstd-insp)#signature update server [cisco, url] username xxxx password xxxx

Example - Configuring signature updates from a Cisco Server:
Router(config-utd-engstd-insp)#signature update server cisco username xxxx password xxxx

or

Example - Configuring signature updates from a Local server:
Router(config-utd-engstd-insp)#signature update server url http://x.x.x.x/UTD-STD-SIGNATURE-31810-155-S.pkg

注：シグニチャのアップデート用にCiscoサーバを指し示すキーワード「cisco」を使用するか、またはアップデートサーバのカスタムhttp/httpsパスを定義するキーワード「url」を使用します。シスコサーバでは、シスコのユーザ名とパスワードのクレデンシャルを入力する必要があります。

注:IPS SnortシグニチャをシスコサーバからダウンロードするようにDNSサーバが設定されていることを確認します。 URLがIPアドレスとして指定されていない場合、Snortコンテナは、（ルータに設定されたDNSサーバ上で）ドメイン名のルックアップを実行して、Cisco.comまたはローカルサーバからの自動シグニチャアップデートの場所を解決します。

注:Snortシグニチャパッケージをダウンロードするために、インターフェイスVirtualPortGroup0に割り当てられたUTDモジュールのMGMT IPアドレスを、ルータのNAT設定に含めて、モジュールがCiscoサーバに到達できるように設定する必要があります。

ステップ 11UTDのSnortエンジンのロギングレベルと脅威検査アラート統計情報のロギングをイネーブルにします。

Router#config terminal
Router(config)#utd engine standard
Router(config-utd-eng-std)#threat-inspection
Router(config-utd-engstd-insp)#logging level [alert,crit,debug,emerg,info,notice,warning]
Router(config-utd-engstd-insp)#logging statistics enable
Router(config-utd-engstd-insp)#exit
Router(config-utd-eng-std)#exit

注:Cisco IOS XE Fuji 16.8リリース以降では、次のコマンド「show utd engine standard logging threat-inspection statisticsdetail」を実行すると、脅威検査アラートの要約された詳細を取得できます。 UTD Snortエンジンで脅威検査アラート統計情報のロギングが有効になっている場合のみ。

ステップ 12utdサービスを有効にします。

Router#configure terminal
Router(config)#utd

ステップ 13（オプション）： VirtualPortGroupインターフェイスからUTDサービスにデータトラフィックをリダイレクトします。

Router#configure terminal
Router(config)#utd
Router(config-utd)#redirect interface virtualPortGroup 

注：リダイレクションが設定されていない場合、自動的に検出されます。

ステップ 14：UTD IPSエンジンでルータ上のすべてのレイヤ3インターフェイスからのトラフィックを検査できるようにします。

Router(config-utd)#all-interfaces

ステップ 15：エンジン標準を有効にします。

Router(config-utd)#engine standard

次に、UTD Snortエンジンが適切に有効になったことを示すsyslogメッセージが表示されます。

*Jun 27 23:41:03.062: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
*Jun 27 23:41:13.039: %IOSXE-2-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008501210250689 %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Down => Red (3) for channel Threat Defense
*Jun 27 23:41:22.457: %IOSXE-5-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00000008510628353985 %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: Red

ステップ 16（オプション）： 障害発生時のUTD Snortエンジンのアクションの定義（UTDデータプレーン）

Router(config-engine-std)#fail open
Router(config-engine-std)#end

注:「fail close」オプションは、UTDエンジンに障害が発生したときにルータトラフィックをすべてドロップします。「fail open」オプションは、UTDの障害時にIPS/IDS検査を行わずにルータトラフィックのフローを継続できるようにします。デフォルトのオプションは'fail open'です。

ステップ 17：ルータの設定を保存します。

Router#copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]
Router#

UTD Snortエンジンのポートスキャンインスペクタ

UTDのSnortエンジンにはポートスキャン機能があります。 ポートスキャンはネットワーク偵察の一種で、攻撃者が攻撃の前兆としてよく使用します。ポートスキャンでは、攻撃者はターゲットホスト上のネットワークプロトコルとサービスをプローブするように設計されたパケットを送信します。攻撃者は、ホストからの応答として送信されたパケットを調べることで、ホストで開いているポートを判別し、それらのポートで実行されているアプリケーションプロトコルを直接または推論して判別できます。

単独では、ポートスキャンは攻撃の証拠にはなりません。ネットワーク上の正規のユーザが、攻撃者が使用する同様のポートスキャン技術を使用する可能性があります。

por_scan インスペクタは、4種類のポートスキャンを検出し、TCP、UDP、ICMP、およびIPプロトコルでの接続試行を監視します。アクティビティのパターンを検出することにより、port_scanインスペクタは、悪意のあるポートスキャンを特定するのに役立ちます。

ポートスキャンは一般に、対象ホストの数、スキャンホストの数、スキャンされるポートの数に基づいて4つのタイプに分類されます。

ポートスキャンインスペクタのルール

次の表3.は、ポートスキャンインスペクタのルールを示しています。

ポートスキャンの影響を受けるレベル

port_scanインスペクタには、UTD Snortエンジン用に3つのデフォルトのスキャン機密レベルが用意されています。

• 高いport_scan
• 低いport_scan
• 中程度のport_scan

UTD Snortエンジンのポートスキャンインスペクタの設定

ステップ 1：Unified Threat Defense(UTD)標準エンジン（サービスプレーン）の設定

Router#configure terminal
Router(config)#utd engine standard

ステップ 2：UTD Snortエンジンの脅威検査を有効にします。

Router(config-utd-eng-std)#threat-inspection

ステップ 3：次に、port_scanを有効にします。

Router(config-utd-engstd-insp)#port-scan 

ステップ 4：port_scan sensitiveレベルを設定します。使用できるオプションは、high、medium、またはlowです。

Router(config-utd-threat-port-scan)# sense level [high | low | medium]

Example:
Router(config-utd-threat-port-scan)# sense level high

ステップ 5：port_scanを有効にし、UTD Snortエンジンで機密レベルを設定したら、「show utd engine standard config」コマンドを使用してport_scan設定を確認します。

Router#show utd engine standard config 
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

確認

VirtualPortGroupのIPアドレスとインターフェイスのステータスを確認します

Router#show ip interface brief | i VirtualPortGroup
VirtualPortGroup0 192.168.1.1 YES NVRAM up up
VirtualPortGroup1 192.168.2.1 YES NVRAM up up

VirtualPortGroupインターフェイス設定を確認します

Router#show running-config | b interface
interface VirtualPortGroup0
description Management Interface
ip address 192.168.1.1 255.255.255.252
!
interface VirtualPortGroup1
description Data Interface
ip address 192.168.2.1 255.255.255.252

アプリケーションホスティングの設定を確認します

Router#show running-config | b app-hosting
app-hosting appid UTD
app-vnic gateway0 virtualportgroup 0 guest-interface 0
guest-ipaddress 192.168.1.2 netmask 255.255.255.252
app-vnic gateway1 virtualportgroup 1 guest-interface 1
guest-ipaddress 192.168.2.2 netmask 255.255.255.252
start
end

ioxのアクティベーションを確認します。

Router#show running-config | i iox
iox

アプリケーションホスティングの状態を確認します

Router#show app-hosting list
App id                                      State
---------------------------------------------------------
UTD                                         RUNNING

アプリケーションホスティングの詳細を確認する

show app-hosting detailコマンドを発行して、UTD Snortエンジンの状態、実行中のソフトウェアバージョン、RAM、CPUおよびディスクの使用率、ネットワーク統計情報、および設定されているDNSを確認します。

Router#show app-hosting detail
App id : UTD
Owner : ioxm
State : RUNNING
Application
Type : LXC
Name : UTD-Snort-Feature
Version : 1.0.7_SV2.9.18.1_XE17.9
Description : Unified Threat Defense
Author :
Path : /bootflash/secapp-utd.17.09.03a.1.0.7_SV2.9.18.1_XE17.9.x86_64.tar
URL Path :
Multicast : yes
Activated profile name :

Resource reservation
Memory : 1024 MB
Disk : 752 MB
CPU :
CPU-percent : 25 %
VCPU : 0

Platform resource profiles
Profile Name CPU(unit) Memory(MB) Disk(MB)
--------------------------------------------------------------

Attached devices
Type Name Alias
---------------------------------------------
Disk /tmp/xml/UtdLogMappings-IOX
Disk /tmp/xml/UtdIpsAlert-IOX
Disk /tmp/xml/UtdDaqWcapi-IOX
Disk /tmp/xml/UtdUrlf-IOX
Disk /tmp/xml/UtdTls-IOX
Disk /tmp/xml/UtdDaq-IOX
Disk /tmp/xml/UtdAmp-IOX
Watchdog watchdog-503.0
Disk /tmp/binos-IOX
Disk /opt/var/core
Disk /tmp/HTX-IOX
Disk /opt/var
NIC ieobc_1 ieobc
Disk _rootfs
NIC mgmt_1 mgmt
NIC dp_1_1 net3
NIC dp_1_0 net2
Serial/Trace serial3

Network interfaces
---------------------------------------
eth0:
MAC address : 54:0e:00:0b:0c:02
IPv6 address : ::
Network name :
eth:
MAC address : 6c:41:0e:41:6b:08
IPv6 address : ::
Network name :
eth2:
MAC address : 6c:41:0e:41:6b:09
IPv6 address : ::
Network name :
eth1:
MAC address : 6c:41:0e:41:6b:0a
IPv4 address : 192.168.2.2
IPv6 address : ::
Network name :

----------------------------------------------------------------------
Process Status Uptime # of restarts
----------------------------------------------------------------------
climgr UP 0Y 0W 0D 21:45:29 2
logger UP 0Y 0W 0D 19:25:56 0
snort_1 UP 0Y 0W 0D 19:25:56 0

Network stats:
eth0: RX packets:162886, TX packets:163855
eth1: RX packets:46, TX packets:65

DNS server:
domain cisco.com
nameserver 192.168.90.92

Coredump file(s): core, lost+found

Interface: eth2
ip address: 192.168.2.2/30
Interface: eth1
ip address: 192.168.1.2/30

Address/Mask Next Hop Intf.
-------------------------------------------------------------------------------
0.0.0.0/0 192.168.2.1 eth2
0.0.0.0/0 192.168.1.1 eth1

UTDのSnortエンジンの互換性バージョンを確認し、稼働しているルータのIOS-XEバージョンに対抗する

show utd engine standard versionコマンドを使用して、稼働しているIOS XEルータバージョンに対するUTD Snortエンジンの互換性バージョンを確認します。

Router#show utd engine standard version 
UTD Virtual-service Name: UTD
IOS-XE Recommended UTD Version: 1.1.11_SV3.1.81.0_XE17.12
IOS-XE Supported UTD Regex: ^1\.1\.([0-9]+)_SV(.*)_XE17.12$
UTD Installed Version: 1.1.11_SV3.1.81.0_XE17.12

UTDのSnortエンジンのステータスをチェックします。

オプション 1「show utd engine standard status」コマンドを発行して、UTD Snortエンジンのステータス、「緑」のステータス、「緑」のヘルス、「緑」の全体的なシステムステータスを確認し、UTD Snortエンジンが動作可能であることを示します。

Router#show utd engine standard status                   
Engine version       : 1.1.11_SV3.1.81.0_XE17.12
Profile              : Low
System memory        :
              Usage  : 31.80 %
              Status : Green         
Number of engines    : 1

Engine        Running    Health     Reason    
=======================================================
Engine(#1):   Yes        Green      None
=======================================================

Overall system status: Green

Signature update status:
=========================
Current signature package version: 31810.155.s
Last update status: Failed
Last successful update time: Wed Sep  3 12:51:56 2025 CST
Last failed update time: Wed Sep  3 17:55:02 2025 CST
Last failed update reason: File not found
Next update scheduled at: Thursday Sep 04 17:55 2025 CST
Current status: Idle

注:UTD Snortエンジンがオーバーサブスクライブになると、脅威対策チャネルの状態が緑から赤に変わります。UTDデータプレーンでは、fail-closeが設定されている場合は以降のパケットがすべて廃棄され、fail-closeが設定されていない場合（デフォルト）は検査されていないパケットが転送されます。 UTDサービスプレーンがオーバーサブスクリプションから回復すると、UTDデータプレーンに緑色のステータスで応答します。

オプション 2show platform software utd globalコマンドを発行して、UTD Snortエンジンの動作状態の概要を取得します。 

Router#show platform software utd global
UTD Global state
=========================
Engine : Standard
Global Inspection : Enabled
Operational Mode : Intrusion Prevention
Fail Policy : Fail-open
Container technology : LXC
Redirect interface : VirtualPortGroup1
UTD interfaces
All dataplane interfaces

UTD Snortエンジンの設定をチェックします。

オプション 1「show utd engine standard config」コマンドを発行して、UTD Snortエンジン設定の詳細、動作モード、ポリシーモード、シグニチャ更新設定、ロギング設定、ホワイトリスト、およびポートスキャンのステータスを表示します。  

Router#show utd engine standard config
UTD Engine Standard Configuration:

IPS/IDS : Enabled

Operation Mode : Intrusion Prevention
Policy : Security

Signature Update:
Server : cisco
User Name : cisco
Password : KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
Occurs-at : daily ; Hour: 0; Minute: 0

Logging:
Server : 192.168.10.5
Level : info
Statistics : Enabled
Hostname : router
System IP : Not set

Whitelist : Enabled
Whitelist Signature IDs:
54621, 40

 Port Scan : Enabled

Web-Filter : Disabled

オプション 2「show running-config | b engine」コマンドを発行して、設定されているUTD Snortエンジンの実行コンフィギュレーションを表示します。

Router#show running-config | b engine
utd engine standard
 logging host 192.168.10.5
 logging syslog
 threat-inspection
  threat protection
  policy security
  signature update server cisco username cisco password KcEDIO[gYafNZheBHBD`CC\g`_cSeFAAB
  signature update occur-at daily 0 0
  logging level info
  whitelist
  logging statistics enable
utd threat-inspection whitelist
 generator id 40 signature id 54621 comment FILE-OFFICE traffic
utd
 all-interfaces
 redirect interface VirtualPortGroup1
 engine standard

UTD SnortエンジンのIPS Snortシグニチャの更新ステータスを確認します。

1. 「show utd engine standard threat-inspection signature update status」コマンドを発行して、IPS Snortシグニチャのアップデート状態を確認します。

Router#show utd engine standard threat-inspection signature update status
Current signature package version: 31810.155.s
Current signature package name: UTD-STD-SIGNATURE-31810-155-S.pkg
Previous signature package version: 31810.154.s
---------------------------------------
Last update status: Failed
---------------------------------------
Last successful update time: Wed Sep 3 12:51:56 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.4.219/UTD-STD-SIGNATURE-31810-155-S.pkg
Last successful update speed: 6343108 bytes in 31 secs
---------------------------------------
Last failed update time: Thu Sep 4 17:55:02 2025 CST
Last failed update method: Auto
Last failed update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 17:55:02 2025 CST
Last attempted update method: Auto
Last attempted update server: http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
---------------------------------------
Total num of updates successful: 2
Num of attempts successful: 2
Num of attempts failed: 29
Total num of attempts: 31
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

2. 「utd threat-inspection signature update」コマンドを発行し、シグニチャのダウンロード用にUTD Snortエンジンに適用された既存のサーバ設定を使用してIPS Snortシグニチャの手動更新を実行します。

Router#utd threat-inspection signature update

3. 「utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force」コマンドを発行し、指定したサーバパラメータで手動のIPS Snortシグニチャ更新を強制します。

Router#utd threat-inspection signature update server [cisco, url] username xxxxx password xxxxx force

Example:
Router#utd threat-inspection signature update server url http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg force
% This operation may cause the UTD service to restart which will briefly interrupt services.
Proceed with signature update? [confirm]
Router#
*Sep 5 02:08:13.845: %IOSXE_UTD-4-SIG_UPDATE_EXEC: UTD signature update has been executed - A brief service interruption is expected
*Sep 5 02:08:35.007: %SDVT-2-SDVT_HEALTH_CHANGE: Service node 192.168.2.2 changed state from Green => Red (3) for channel Threat DefenseQFP:0.0 Thread:001 TS:00000217689533745619
Router#
*Sep 5 02:08:42.671: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: UTD signature update succeeded - previous version: 31810.155.s - current version: 31810.156.s
Router#
*Sep 5 02:09:00.284: %SDVT-5-SDVT_HEALTH_UP: Service node 192.168.2.2 is up for channel Threat Defense. Current Health: Green, Previous Health: RedQFP:0.0 Thread:001 TS:00000217714810090067

Router#show utd engine standard signature update status 
Current signature package version: 31810.156.s
Current signature package name: UTD-STD-SIGNATURE-31810-156-S.pkg
Previous signature package version: 31810.155.s
---------------------------------------
Last update status: No New Package found
---------------------------------------
Last successful update time: Thu Sep 4 20:08:41 2025 CST
Last successful update method: Manual
Last successful update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
Last successful update speed: 6344395 bytes in 27 secs
---------------------------------------
Last failed update time: Thu Sep 4 20:07:43 2025 CST
Last failed update method: Manual
Last failed update server: http://10.189.35.188/tftpboot/UTD-STD-SIGNATURE-31810-156-S.pkg
Last failed update reason: File not found
---------------------------------------
Last attempted update time: Thu Sep 4 20:10:29 2025 CST
Last attempted update method: Manual
Last attempted update server: http://10.189.35.188/UTD-STD-SIGNATURE-31810-156-S.pkg
---------------------------------------
Total num of updates successful: 3
Num of attempts successful: 4
Num of attempts failed: 30
Total num of attempts: 34
---------------------------------------
Next update scheduled at: Friday Sep 05 17:55 2025 CST
---------------------------------------
Current status: Idle

UTD Snortエンジンがトラフィックを検査しているかどうかを確認する方法

次のshowコマンドを使用して、UTD Snortエンジンによって処理されるトラフィックを監視し、トラフィックインスペクションに関連する統計情報を確認します。 

オプション 1次のshow utd engine standard statisticsの出力では、UTD Snortエンジンによってトラフィックが処理されている場合に、「received」カウンタと「analyzed」カウンタが増加します。

Router#show utd engine standard statistics
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62069    <------------
analyzed: 62069    <------------
allow: 60634
block: 38
replace: 1
whitelist: 1396
idle: 763994
rx_bytes: 13778491
--------------------------------------------------
codec
total: 62069 (100.000%)
eth: 62069 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62069 (100.000%)
tcp: 56168 ( 90.493%)
udp: 5667 ( 9.130%)
--------------------------------------------------

オプション 2次のshow platform hardware qfp active feature utd statsの出力では、トラフィックがルータからUTD Snortエンジンにトラフィック検査のためにリダイレクトされる場合は'decaps'カウンタと'Divert'カウンタが増加し、UTD Snortエンジンからルータにトラフィックがリダイレクトされる場合は'encaps'カウンタと'Reinject'カウンタが増加します。

Router#show platform hardware qfp active feature utd stats
Summary Statistics:

Policy
Active Connections                                                         3
TCP Connections Created                                                83364
UDP Connections Created                                               532075
ICMP Connections Created                                                 494

Channel Summary
Active Connections                                                         3
decaps                                                               1156574    <------------
encaps                                                               1157144    <------------
Expired Connections                                                   615930

Packet stats - Policy
Pkts dropped                                        pkt                15802
                                                    byt             14111880
Pkts entered policy feature                         pkt              1306750
                                                    byt            363602774
Pkts slow path                                      pkt               615933
                                                    byt             25317465

Packet stats - Channel Summary
Bypass                                              pkt                25368
                                                    byt              4459074
Divert                                              pkt              1157144    <------------
                                                    byt            301046050
Reinject                                            pkt              1156574    <------------
                                                    byt            301015446
Would Drop Statistics (fail-open):

Policy
TCP SYN w/data packet                                                  15802

Channel Summary
  Stats were all zero

General Statistics:
Non Diverted Pkts to/from divert interface                              2725
Inspection skipped - UTD policy not applicable                        111161
Pkts Skipped - New pkt from RP                                         33139
Response Packet Seen                                                   64766
Feature memory allocations                                            615933
Feature memory free                                                   615930
Feature Object Delete                                                 615930
Skipped - First-in-flow RST packets of a TCP flow                         55
          
Diversion Statistics Summary:
SN offloaded flow                                                       3282
Flows Bypassed as SN Unhealthy                                         25368

Service Node Statistics:
SN down                                                                    1
SN health green                                                           13
SN health red                                                             12

SN Health: Channel: Threat Defense : Green
AppNAV registration                                                        2
AppNAV deregister                                                          1

SN Health: Channel: Service : Down
  Stats were all zero

TLS Decryption policy not enabled
Appnav Statistics:
  No FO Drop                                          pkt                    0
                                                      byt                    0

オプション 3次のshow utd engine standard statistics internalの出力では、トラフィックを検査するためにルータからUTD Snortエンジンにトラフィックがリダイレクトされた場合に、「received」カウンタと「analyzed」カウンタが増加します。それに加えて、次の出力には、UTD Snortエンジンによって検査されたトラフィックに関する詳細と統計が表示されます。

Router# show utd engine standard statistics internal 
************************************
--------------------------------------------------
Packet Statistics
--------------------------------------------------
daq
received: 62099     <------------
analyzed: 62099     <------------
allow: 60664
block: 38
replace: 1
whitelist: 1396
idle: 764287
rx_bytes: 13782351
--------------------------------------------------
codec
total: 62099 (100.000%)
eth: 62099 (100.000%)
icmp4: 234 ( 0.377%)
icmp4_ip: 234 ( 0.377%)
ipv4: 62099 (100.000%)
tcp: 56198 ( 90.497%)
udp: 5667 ( 9.126%)
--------------------------------------------------
Module Statistics
--------------------------------------------------
appid
packets: 62099
processed_packets: 62087
ignored_packets: 12
total_sessions: 9091
service_cache_adds: 4
bytes_in_use: 608
items_in_use: 4
--------------------------------------------------
binder
raw_packets: 12
new_flows: 9091
service_changes: 4360
inspects: 9103
--------------------------------------------------
detection
analyzed: 62099
hard_evals: 234
raw_searches: 12471
cooked_searches: 5699
pkt_searches: 18170
pdu_searches: 14839
file_searches: 491
alerts: 3
total_alerts: 3
logged: 3
buf_dumps: 3
--------------------------------------------------
dns
packets: 5529
requests: 2780
responses: 2749
--------------------------------------------------
http_inspect
flows: 2449
scans: 10523
reassembles: 10523
inspections: 10317
requests: 2604
responses: 2309
get_requests: 1618
head_requests: 1
post_requests: 1
connect_requests: 984
request_bodies: 1
uri_normalizations: 1339
concurrent_sessions: 15
max_concurrent_sessions: 20
connect_tunnel_cutovers: 984
total_bytes: 1849394
--------------------------------------------------
normalizer
test_tcp_trim_win: 6
tcp_ips_data: 1
tcp_block: 38
--------------------------------------------------
pcre
pcre_rules: 6317
pcre_native: 6317
--------------------------------------------------
port_scan
packets: 62099
trackers: 96
bytes_in_use: 20736
--------------------------------------------------
search_engine
max_queued: 135
total_flushed: 52095
total_inserts: 66077
total_unique: 52095
non_qualified_events: 52326
qualified_events: 3
searched_bytes: 9498731
--------------------------------------------------
ssl
packets: 3281
decoded: 3281
client_hello: 927
server_hello: 927
certificate: 244
server_done: 711
client_key_exchange: 242
server_key_exchange: 242
change_cipher: 1160
client_application: 149
server_application: 1283
unrecognized_records: 19
sessions_ignored: 927
concurrent_sessions: 27
max_concurrent_sessions: 94
--------------------------------------------------
stream
flows: 9091
total_prunes: 7566
idle_prunes_proto_timeout: 7566
tcp_timeout_prunes: 5895
udp_timeout_prunes: 1561
icmp_timeout_prunes: 110
current_flows: 294
uni_flows: 249
--------------------------------------------------
stream_ip
sessions: 110
max: 110
created: 110
released: 110
total_bytes: 60371
--------------------------------------------------
stream_tcp
sessions: 7414
max: 7414
created: 7414
released: 7126
instantiated: 7414
setups: 7414
restarts: 3376
discards: 38
invalid_seq_num: 6
invalid_ack: 1
events: 39
syn_trackers: 7414
segs_queued: 12824
segs_released: 12710
segs_used: 7681
rebuilt_packets: 13601
rebuilt_bytes: 8945365
overlaps: 1
gaps: 1
memory: 208052
initializing: 246
established: 27
closing: 15
syns: 28310
syn_acks: 2449
resets: 358
fins: 2430
max_segs: 13
max_bytes: 15665
--------------------------------------------------
stream_udp
sessions: 1567
max: 1567
created: 1567
released: 1561
total_bytes: 743786
--------------------------------------------------
wizard
tcp_scans: 3376
tcp_hits: 3376
udp_scans: 118
udp_misses: 118
--------------------------------------------------
Appid Statistics
--------------------------------------------------
detected apps and services
Application: Services Clients Users Payloads Misc Referred 
chrome: 0 101 0 0 0 0 
dns: 1448 1449 0 0 0 0 
firefox: 0 139 0 0 0 0 
http: 2449 0 0 0 0 0 
microsoft_update: 0 0 0 34 0 0 
squid: 0 0 0 1144 0 0 
unknown: 1 0 0 2416 0 0 
--------------------------------------------------
Summary Statistics
--------------------------------------------------
process
signals: 2
--------------------------------------------------
memory
start_up_use: 240250880
cur_in_use: 293490688
max_in_use: 294907904
epochs: 2718651
allocated: 198516408
deallocated: 168476672
app_all: 265459456
active: 274247680
resident: 281190400
retained: 12693504

UTD SnortエンジンがIPS Snortシグニチャをトリガーしたかどうかを確認する方法 

次のshowコマンドを使用して、トリガーされるSnort IPSシグニチャ、生成されるIPS/IDSイベント、および関係する送信元と宛先のIPアドレスを監視します。 

オプション 1IPS/IDSイベントを検索するには、「show utd engine standard logging events [threat-inspection]」コマンドを使用します。

Router#show utd engine standard logging events [threat-inspection]
2025/09/03-15:03:42.946703 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:1417 -> 172.16.2.2:10
2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184
2025/09/03-16:10:12.705933 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:1:2] portscan: TCP Portscan [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.1.3:2184 -> 172.16.2.2:10

オプション 2「show utd engine standard logging statistics threat-inspection」コマンドを使用して、過去24時間にトリガーされた上位のIPS Snortシグニチャを探し、各シグニチャがトリガーされた回数を確認します。

Router# show utd engine standard logging statistics threat-inspection
Top Signatures Triggered in the past 24 hours
---------------------------------------------------------------------
Signature-id    Count   Description           
---------------------------------------------------------------------
122:7:2         137    portscan: TCP Filtered Portsweep
122:1:2         5      portscan: TCP Portscan
122:3:2         1      portscan: TCP Portsweep

オプション 3「show utd engine standard logging statistics threat-inspection detail」コマンドを使用して、過去24時間にトリガーされた上位のIPS Snortシグニチャ、各シグニチャのトリガー回数、およびシグニチャをトリガーした送信元および宛先IPアドレスを検索します。 

Router#show utd engine standard logging statistics threat-inspection detail
Top Signatures Triggered in the past 24 hours
 
Signature-id:122:7:2
Count: 137
Description:portscan: TCP Filtered Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           x.x.157.3         0          7              
172.16.2.2           x.x.157.14        0          6              
172.16.2.2           x.x.29.13         0          6              
172.16.2.2           x.x.104.78        0          6              
172.16.2.2           x.x.29.14         0          5              
172.16.2.2           x.x.157.15        0          5              
172.16.2.2           x.x.28.23         0          5              
172.16.2.2           x.x.135.19        0          5              
172.16.2.2           x.x.135.3         0          4              
172.16.2.2           x.x.157.11        0          4              
 
Signature-id:122:1:2
Count: 5
Description:portscan: TCP Portscan
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.1.3           172.16.2.2           0          5              
 
Signature-id:122:3:2
Count: 1
Description:portscan: TCP Portsweep
---------------------------------------------------------------------
Source IP            Destination IP       VRF        Count          
---------------------------------------------------------------------
172.16.2.2           172.16.1.3           0          1      
 

オプション 4 UTD Snortエンジンはトラフィックを監視し、イベントを外部ログサーバまたはIOS Syslogに報告します。IOS syslogへのロギングを有効にすると、ログメッセージの潜在的な量が原因でパフォーマンスに影響を与える可能性があります。ログの収集と分析には、Snortログをサポートするサードパーティ製の外部監視ツールを使用できます。

UTDのSnortエンジンでIPS/IDSイベントが生成されるたびに、ルータでは次のようなsyslogメッセージが表示されます。

Router#
*Sep  3 22:10:18.544: %IM-5-IOX_INST_NOTICE: R0/0: ioxman: IOX SERVICE UTD LOG: 2025/09/03-16:10:12.699925 CST [**] [Hostname: router] [**] [Instance_ID: 1] [**] Alert [**] [122:3:2] portscan: TCP Portsweep [**] [Classification: Attempted Information Leak] [Priority: 2] [VRF: 0] {TCP} 172.16.2.2:3 -> 172.16.1.3:2184

注:UTD Snortエンジンのログは、UTD Snortエンジンのutdエンジン標準設定でlogging syslogが有効になっている場合に、ルータのIOSd CLIに表示されます。

外部syslogサーバにログを送信するようにUTD Snortエンジンが設定されている場合、リモートsyslogサーバにUTD Snortエンジンのログが次のように表示されます。

アクティブなIPS Snortシグニチャを表示する方法

次のコマンドを使用して、使用するポリシー設定（Balanced、Connectivity、またはSecurity）に応じて、UTD Snortエンジンのアクティブ、ドロップ、およびアラートIPS Snortシグニチャを表示します。 

オプション 1次の手順に従って、セキュリティポリシーのアクティブなIPS Snortシグニチャリストを表示します。 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Security

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_security           
Router#more bootflash:siglist_security    
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Security
Total no. of active signatures: 23398
Total no. of drop signatures: 22625
Total no. of alert signatures: 773

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                       
List of Active Signatures: 
--------------------------
sigid: 13418, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: SERVER-OTHER IBM Tivoli Director LDAP server invalid DN message buffer overflow attempt;
sigid: 13897, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-MULTIMEDIA Apple QuickTime crgn atom parsing stack buffer overflow attempt;
sigid: 14263, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: POLICY-SOCIAL Pidgin MSNP2P message integer overflow attempt;
sigid: 15968, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER LANDesk Management Suite QIP service heal packet buffer overflow attempt;
sigid: 15975, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 15976, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-IMAGE OpenOffice TIFF parsing integer overflow attempt;
sigid: 16232, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: OS-WINDOWS Microsoft Windows EOT font parsing integer overflow attempt;
sigid: 16343, gid:3, log-level:3, action:  drop, class-type: misc-activity,
  Descr: FILE-PDF PDF header obfuscation attempt;
sigid: 16394, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: OS-WINDOWS Active Directory Kerberos referral TGT renewal DoS attempt;
sigid: 16728, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: NETBIOS Samba SMB1 chain_reply function memory corruption attempt;
sigid: 17647, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-FLASH Adobe Flash Player DefineSceneAndFrameLabelData memory corruption attempt;
sigid: 17665, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OFFICE OpenOffice Word document table parsing heap buffer overflow attempt;
sigid: 17741, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER MIT Kerberos asn1_decode_generaltime uninitialized pointer free attempt;
[omitted output]

オプション 2次の手順に従って、接続ポリシーのアクティブなIPS Snortシグニチャリストを表示します。 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1

IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Connectivity

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled                                                                    

Router#utd threat-inspection signature active-list write-to bootflash:siglist_connectivity       
Router#more bootflash:siglist_connectivity
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Connectivity
Total no. of active signatures: 597
Total no. of drop signatures: 494
Total no. of alert signatures: 103

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                           
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30942, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 30943, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: FILE-OTHER Cisco Webex ARF Player LZW decompress memory corruption denial of service attempt;
sigid: 35897, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35898, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35902, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack command injection attempt;
sigid: 35903, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER IBM Tivoli Storage Manager FastBack buffer overflow attempt;
sigid: 35926, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-WEBAPP Oracle Identity Management authorization bypass attempt;
sigid: 35927, gid:3, log-level:1, action:  drop, class-type: policy-violation,
  Descr: SERVER-WEBAPP Oracle Identity Management remote file execution attempt;
sigid: 38671, gid:3, log-level:1, action:  drop, class-type: attempted-user,
[omitted output]

オプション 3次の手順に従って、BalancedポリシーのアクティブなIPS Snortシグニチャリストを表示します。 

Router#show utd engine standard config
UTD Engine Standard Configuration:

VirtualPortGroup Id: 1


IPS/IDS         : Enabled

  Operation Mode : Intrusion Prevention
  Policy         : Balanced

  Signature Update:
    Server    : http://10.31.104.72/tftpboot/UTD-STD-SIGNATURE-31810-155-S.pkg
    Occurs-at : daily ; Hour: 17; Minute: 55

  Logging:
    Server    :  IOS Syslog;  172.16.2.2 
    Level     : debug
    Statistics    : Enabled
    Hostname    : router
    System IP   : Not set

  Whitelist : Disabled
  Whitelist Signature IDs:
 
  Port Scan      : Enabled
    Sense level  : High

Web-Filter      : Disabled

Router#utd threat-inspection signature active-list write-to bootflash:siglist_balanced
Router#more bootflash:siglist_balanced
=================================================================================
Signature Package Version: 31810.156.s
Signature Ruleset: Balanced
Total no. of active signatures: 10033
Total no. of drop signatures: 9534
Total no. of alert signatures: 499

For more details of each signature please go to www.snort.org/rule_docs to lookup
=================================================================================
                                                                        
List of Active Signatures: 
--------------------------
sigid: 30282, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30283, gid:3, log-level:2, action:  drop, class-type: attempted-dos,
  Descr: PROTOCOL-VOIP Cisco IOS SIP header denial of service attempt;
sigid: 30887, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30888, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco Tshell command injection attempt;
sigid: 30902, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30903, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt ;
sigid: 30912, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30913, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco Webex WRF heap corruption attempt;
sigid: 30921, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30922, gid:3, log-level:1, action:  drop, class-type: attempted-user,
  Descr: FILE-OTHER Cisco WebEx Player atas32.dll memory overread attempt;
sigid: 30929, gid:3, log-level:1, action:  drop, class-type: attempted-admin,
  Descr: SERVER-OTHER Cisco RV180 VPN CSRF attempt;
[omitted output]

注:Balanced、Connectivity、またはSecurityポリシーのアクティブなIPS Snortシグニチャを表示するには、UTD Snortエンジンが、表示する対象の対応するポリシーモードを実行している必要があります。

トラブルシューティング

1. Cisco Integrated Services Router（ISR；サービス統合型ルータ）でXE 16.10.1a以降（IOx方式の場合）が稼働していることを確認します。

2. Cisco Integrated Services Router(ISR)のSecurityk9機能が有効になっていることを確認します。

3. ISRハードウェアモデルが最小リソースプロファイルに準拠していることを確認します。

4. UTD Snortエンジンは、ゾーンベースファイアウォールSYN-cookieおよびネットワークアドレス変換64(NAT64)と互換性がありません

5. インストール後にUTD Snortエンジンサービスが起動していることを確認します。

6. シグニチャパッケージの手動ダウンロード中に、パッケージのバージョンがSnortエンジンのバージョンと同じであることを確認します。バージョンが一致しない場合、シグニチャパッケージのアップデートが失敗する可能性があります。

7. パフォーマンスに問題がある場合は、UTDのCPU、メモリ、およびストレージスペースを確認するために、'show app-hosting resource'および'show app-hosting utilization appid "UTD-NAME'を使用します。

Router#show app-hosting resource
CPU:
Quota: 75(Percentage)
Available: 50(Percentage)
VCPU:
Count: 6
Memory:
Quota: 10240(MB)
Available: 9216(MB)
Storage device: bootflash
Quota: 4000(MB)
Available: 4000(MB)
Storage device: harddisk
Quota: 20000(MB)
Available: 19029(MB)
Storage device: volume-group
Quota: 190768(MB)
Available: 169536(MB)
Storage device: CAF persist-disk
Quota: 20159(MB)
Available: 18078(MB)

Router#show app-hosting utilization appid utd
Application: utd
CPU Utilization:
CPU Allocation: 33 %
CPU Used: 3 %
Memory Utilization:
Memory Allocation: 1024 MB
Memory Used: 117632 KB
Disk Utilization:
Disk Allocation: 711 MB
Disk Used: 451746 KB

警告:Cisco TACに連絡してください。UTD SnortエンジンでCPU、メモリ、またはディスクの使用率が高くなっている場合に確認してください。

デバッグ

トラブルシューティングの目的で、次に示すdebugコマンドを使用して、UTD Snortエンジンからさらに詳細な情報を収集します。

debug virtual-service all
debug virtual-service virtualPortGroup
debug virtual-service messaging
debug virtual-service timeout
debug utd config level error [error, info, warning]
debug utd engine standard all

警告：実稼働時間中にdebugコマンドを実行すると、UTD SnortエンジンまたはルータのCPU、メモリ、またはディスク使用率が大幅に増加し、トラフィックとシステムの安定性に影響を与える可能性があります。debugコマンドは慎重に（できればメンテナンスウィンドウの間に）使用し、必要なデータを収集した直後に無効にしてください。リソース使用率の上昇またはサービスへの影響が確認された場合は、デバッグを停止し、Cisco TACにお問い合わせください。

関連情報

UTD Snort IPSの導入に関連するその他のドキュメントについては、次のサイトを参照してください。

Cisco Snort IPSセキュリティ設定ガイド

ISR4KおよびCSR1000v用のシスコ仮想サービスリソースプロファイル

ルータ上のSnort IPS – ステップバイステップの設定

Ciscoガイド – Snort IPSのトラブルシューティング

Snortポートスキャンインスペクタリファレンスガイド

Snortオープンソース侵入防御システム(IPS)のWebページ

cEdgeルータへのUTDセキュリティ仮想イメージのインストール

CSCwf57595 ISR4K Snort IPSが展開されない（ハードウェアに十分なプラットフォームリソースがないため）