ASA/PIX/IOS のルータの IPS での回避/ブロックの設定例

概要

この資料に Cisco IPS の助けによって PIX/ASA/Cisco IOSルータのシャニングを設定する方法を記述されています。 アークは、センサーのブロッキング アプリケーション、およびルータの停止ブロック、Cisco 5000 RSM および Catalyst 6500 シリーズ スイッチ、PIXファイアウォール、FWSM および ASA 開始します。 ブロック問題は弧光を発するか、または悪意のある IP アドレスのための管理対象装置に排除します。 円弧はセンサーが管理するすべてのデバイスに同じブロックを送ります。 母型センサーが設定される場合、ブロックはに転送され、このデバイスから発行されます。 ARC は、ブロック時間をモニタし、時間の経過後にブロックを削除します。

IPS 5.1 を使用するとき、特別な注意は VLAN 情報としてマルチ コンテキスト モードのファイアウォールへのシャニングがシャニング要求と送信 されないとき奪取 する必要があります。

注: ブロッキングは多重コンテキスト FWSM の管理コンテキストでサポートされません。

ブロックには 3 つの型があります:

• ホスト ブロック—ある特定の IP アドレスからのすべてのトラフィックをブロックします。

• 接続ブロック—所定のソース IP アドレスからの所定のデスティネーション IP アドレスおよび宛先ポートへのブロック トラフィック。

  同じソース IP アドレスからの別の宛先 IP アドレスまたは宛先ポートへのマルチ接続ブロックは自動的に接続ブロックからホスト ブロックにブロックを切り替えます。

  注: 接続ブロックはセキュリティ アプライアンス モデルによってサポートされません。 セキュリティ アプライアンス モデル オプションのポート および プロトコル 情報のサポート ホスト ブロックだけ。

• ネットワーク ブロック—ある特定のネットワークからのすべてのトラフィックをブロックします。

  シグニチャが引き起こされるときホストおよび接続ブロックを手動または自動で始めることができます。 ネットワーク ブロックしか手動で始めないことができます。

自動ブロックに関しては、シグニチャが引き起こされるとき SensorApp が弧光を発する Block 要求を送信 するように特定のシグニチャのための検知時のアクションとして要求ブロック ホストか要求ブロック接続を選択して下さい。 アークが SensorApp から Block 要求を受け取れば、ホストか接続をブロックするためにデバイスコンフィギュレーションをアップデートします。 シグニチャに要求ブロック ホストか要求ブロック接続イベント操作を追加するプロシージャに関する詳細についてはシグニチャに操作を、5-22 ページ割り当てる方法を参照して下さい。 検知時のアクション オーバーライドの設定を、7-15 特定のリスク定格のアラームに要求ブロック ホストか要求ブロック接続イベント操作を追加するオーバーライドの設定のためのプロシージャに関する詳細についてはページ参照して下さい。

on Cisco ルータおよび Catalyst 6500 シリーズ スイッチは ACL か VACL の適用によって、アーク ブロックを作成します。 ACL および VACL はインターフェイス方向を含む、および VLAN、それぞれ割り当てまたは拒否トラフィックにフィルターを加えます。 PIXファイアウォール、FWSM および ASA は ACL か VACL を使用しません。 組み込みは排除し、コマンドを使用されます排除しないで下さい。

円弧の設定にこの情報が必要となります:

• デバイスが AAA で設定される場合、ユーザ ID をログインして下さい

• ログインパスワード

• ユーザはイネーブル特権がある場合必要ではないイネーブルパスワード、

• 、たとえば管理されるべき、インターフェイス ethernet0、vlan100

• あらゆる既存の ACL または VACL 情報始まり（前ブロック ACL か VACL）または作成される VACL または ACL の終わり（後ブロック ACL か VACL）に応用がほしいと思います。 これは PIXファイアウォール、FWSM、または ASA にそれらがブロックするのに ACL か VACL を使用しないので適用しません。

• デバイスと通信するのに Telnet か SSH を使用するかどうか

• IP アドレス（ホストのホストか範囲）決してブロックされてほしくない

• ブロックに持続してどの位ほしいか

前提条件

要件

ブロッキングのための円弧を設定するか、または制限を評価する前に、これらのタスクを完了して下さい:

• 当たりセンサーが、決してブロックするべきではないどのデバイスがブロックする必要があるか理解するためにネットワーク トポロジを分析して下さい。

• ユーザ名を、デバイス パスワード、イネーブルパスワード収集すれば、コネクション タイプは各デバイスに（Telnet か SSH）ログインを必要としました。

• デバイスのインターフェイス名を識別して下さい。

• 前ブロック ACL か VACL および後ブロック ACL か VACL の名前をもし必要なら識別して下さい。

• どのインターフェイスがどの方向でべきで、ブロックするべきではないし、か理解して下さい（でまたは）。

使用するコンポーネント

この文書に記載されている情報は Cisco 侵入防御システム 5.1 およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

注: デフォルトで、アークは 250 のブロックエントリの限界のために設定されます。 円弧によってサポートされるブロック デバイスのリストに関する詳細についてはサポート デバイスを参照して下さい。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

ブロッキングを有効に し、制限を評価するために必要な基本的な設定を行うためにブロッキング プロパティ ペインを使用して下さい。

管理対象装置の操作を制限する円弧コントロール・ブロックおよび比率。

決してブロックするべきではないネットワークおよびホストを識別するためにセンサーを調整して下さい。 信頼されたデバイスのトラフィックがシグニチャを始動させることは可能性のあるです。 攻撃者をブロックするためにこのシグニチャが設定される場合正当 な ネットワークトラフィックは影響を受けます。 デバイスの IP アドレスはにブロック リストこのシナリオを防ぐために決してリストすることができません。

決してブロックエントリで規定 される ネットマスクはブロック アドレスに決して適用されません。 ネットマスクが規定 されない場合、デフォルト /32 マスクは適用します。

注: デフォルトで、センサーはこれがセンサーとブロック デバイス間の通信と干渉すると同時に自身の IP アドレスのためのブロックを発行することができません。 しかし、このオプションはユーザによって設定可能です。

円弧がブロック デバイスを管理するために設定されればブロック デバイスは排除し、ブロックのために使用する ACL/VACL は手動で変えるべきではありません。 これにより円弧サービスの中断を引き起こし、発行されない未来のブロックという結果に終る場合があります。

注: デフォルトで、ブロックだけサポートされた on Cisco IOSデバイスです。 比率制限と制限するか、またはブロックする比率を選択する場合ブロッキング デフォルトを無効にすることができます。

ブロックを変えるために発行するか、または、IPS ユーザは管理者またはオペレータ ロールがなければなりません。

Ciscoルータを管理するためにセンサーを設定して下さい

このセクションはセンサーを Ciscoルータを管理するために設定する方法を記述します。 それはこれらのトピックが含まれています:

• 設定 ユーザ プロファイル

• ルータおよび ACL

• CLI を使用する設定 Ciscoルータ

設定 ユーザ プロファイル

センサーはユーザ プロファイルを設定するためにユーザ プロファイル profile_name コマンドでその他のデバイスを管理します。 ユーザ プロファイルは USERID、パスワードおよびイネーブルパスワード 情報が含まれています。 たとえば、すべてが同じパスワードおよびユーザ名を共有するルータは 1 つのユーザ プロファイル以下ある場合もあります。

注: ブロック デバイスを設定する前にユーザ プロファイルを作成して下さい。

ユーザ プロファイルを設定するためにこれらのステップを完了して下さい:

1. 管理者権限を持つアカウントで CLI にログインします。

2. ネットワーク アクセス モードを開始して下さい。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. ユーザ プロファイル名前を作成して下さい。

   sensor(config-net)#user-profiles PROFILE1
   

4. そのユーザ プロファイルのためのユーザ名を入力して下さい。

   sensor(config-net-use)#username username
   

5. ユーザ向けのパスワードを規定 して下さい。

   sensor(config-net-use)# password
   Enter password[]: ********
   Re-enter password ********
   

6. ユーザ向けのイネーブルパスワードを規定 して下さい。

   sensor(config-net-use)# enable-password
   Enter enable-password[]: ********
   Re-enter enable-password ********
   

7. 設定を確認します。

   sensor(config-net-use)#show settings
      profile-name: PROFILE1
      -----------------------------------------------
         enable-password: <hidden>
         password: <hidden>
         username: jsmith default:
      -----------------------------------------------
   sensor(config-net-use)#

8. ネットワーク アクセス サブモードを終了して下さい。

   sensor(config-net-use)#exit
   sensor(config-net)#exit
   Apply Changes:?[yes]:

9. 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。

ルータおよび ACL

円弧が ACL を使用するブロック デバイスで設定されるとき、ACL はこのように構成されます:

1. センサー IP アドレスの割り当て行か、場合規定 された、センサーの NAT アドレス

   注: ACL にブロックされる割り当てセンサーこの行現われなければ。

2. （規定 された場合）前ブロック ACL

   この ACL はデバイスに既にある必要があります。

   注: 円弧は前もって構成された ACL の行を読み、ブロック ACL の開始するにこれらの行をコピーします。

3. 起動中のブロック

4. 次のいずれか: 後ブロック ACL permit ip any any

   - （規定 された場合）後ブロック ACL

   この ACL はデバイスに既にある必要があります。

   注: 円弧は ACL の行を読み、ACL の終わりにこれらの行をコピーします。

   注: すべての無比パケットが割り当てられてほしい場合 ACL の最後の行が permit ip any any であることを確かめて下さい。

   -後ブロック ACL が規定 される場合 permit ip any any （使用されない）

注: 円弧があなたによって決して修正するべきではない作らないまたは他のシステム ACL。 これらの ACL は一時であり、新しい ACL はセンサーによって絶えず作成されます。 行うことができる唯一の修正は前および後ブロック ACL にあります。

前ブロックか後ブロック ACL を修正する必要がある場合これらのステップを完了して下さい:

1. センサーのブロッキングをディセーブルにして下さい。

2. デバイスの設定への変更を行なって下さい。

3. センサーのブロッキングを再び有効に して下さい。

ブロックが再び有効に なるとき、センサーは新しいデバイスコンフィギュレーションを読みます。

注: 単一センサーは多数のデバイスを管理できますが複数のセンサーは単一 の デバイスを管理できません。 ケースでは複数のセンサーから発行されてブロックする単一 ブロック デバイスのために、母型センサー設計に組み込まれなければなりません意味されます。 母型センサーは複数のセンサーから Blocking 要求を受け取り、ブロック デバイスに Blocking 要求すべてを発行します。

ルータコンフィギュレーションの前ブロックおよび後ブロック ACL を作成し、保存します。 これらの ACL は指名されるか、または番号が付いている拡張 IP ACL、である必要があります。 ACL を作成する方法に関する詳細についてはルータドキュメンテーションを参照して下さい。

注: 前ブロックおよび後ブロック ACL は制限を評価するために適用しません。

ACL は評価されたトップダウンであり、最初の一致処置はとられます。 前ブロック ACL はブロックに起因した拒否に優先する割り当てが含まれているかもしれません。

前 ACL ブロックによって処理されないあらゆる条件を説明するのに後ブロック ACL が使用されています。 インターフェイスのおよびブロックが発行される方向の既存の ACL があれば、その ACL は後ブロック ACL として使用することができます。 後ブロック ACL を持たない場合、センサーは新しい ACL の終わりに permit ip any any を挿入します。

センサーは開始するとき、2 ACL のコンテンツを読み込みます。 それはこれらのエントリで第 3 ACL を作成します:

• センサー IP アドレスのための割り当て行

• 前ブロック ACL のすべての設定行のコピー

• 各アドレスのための拒否行センサーによってブロックされる

• 後ブロック ACL のすべての設定行のコピー

指定する方向インターフェイスにおよびセンサーは新しい ACL を適用します。

注: 新しいブロック ACL はルータのインターフェイスに、特定 の 方向で加えられるとき、その方向のそのインターフェイスの既存 ACL を取り替えます。

CLI を使用する設定 Ciscoルータ

センサーを Ciscoルータをブロッキングを行い、制限を評価するために管理するために設定するためにこれらのステップを完了して下さい:

1. 管理者権限を持つアカウントで CLI にログインします。

2. ネットワーク アクセス サブモードを入力して下さい。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. 円弧によって制御されるルータのための IP アドレスを規定 して下さい。

   sensor(config-net)#router-devices ip_address
   

4. ユーザ プロファイルを設定したときに作成した論理デバイス デバイス名を入力して下さい。

   sensor(config-net-rou)#profile-name user_profile_name
   

   円弧は入力する何でも受け入れます。 それはかどうかユーザ プロファイル 存在確認しません。

5. センサーにアクセスするのに使用される方式を規定 して下さい。

   sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
   

   明記していなかったら、SSH トリプル DES は使用されます。

   注: DES かトリプル DES を使用する場合、デバイスからの SSH キーを受け入れるために ssh ホストキー ip_address コマンドを使用して下さい。

6. センサー NAT アドレスを規定 して下さい。

   sensor(config-net-rou)#nat-address nat_address
   

   注: これはセンサーのアドレスから NAT アドレスに ACL の最初の行の IP アドレスを変更します。 NAT アドレスはセンサー アドレス、センサーとブロック デバイスの間にある中間デバイスによって変換される後 NAT です。

7. ルータが制限するブロッキングか、比率またはその両方を行うかどうか規定 して下さい。

   注: デフォルトはブロックしています。 ルータにブロックだけを行ってほしい場合応答機能を設定する必要がありません。

   • 制限するただ比率

     sensor(config-net-rou)#response-capabilities rate-limit
     

   • ブロッキングおよび比率制限両方

     sensor(config-net-rou)#response-capabilities block|rate-limit
     

8. インターフェイス名および方向を規定 して下さい。

   sensor(config-net-rou)#block-interfaces interface_name {in | out}
   

   注: インターフェイスの名前はルータが認識する略語である必要があります interface コマンドの後で使用されたとき。

9. （オプションの）前 ACL 名前を追加して下さい（ブロックするただ）。

   sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
   

10. （オプションの）後 ACL 名前を追加して下さい（ブロックするただ）。

    sensor(config-net-rou-blo)#post-acl-name post_acl_name
    

11. 設定を確認します。

    sensor(config-net-rou-blo)#exit
    
    sensor(config-net-rou)#show settings
    
       ip-address: 10.89.127.97
       -----------------------------------------------
          communication: ssh-3des default: ssh-3des
          nat-address: 19.89.149.219 default: 0.0.0.0
          profile-name: PROFILE1
          block-interfaces (min: 0, max: 100, current: 1)
          -----------------------------------------------
             interface-name: GigabitEthernet0/1
             direction: in
             -----------------------------------------------
                pre-acl-name: <defaulted>
                post-acl-name: <defaulted>
             -----------------------------------------------
          -----------------------------------------------
          response-capabilities: block|rate-limit default: block
       -----------------------------------------------
    sensor(config-net-rou)#

12. ネットワーク アクセス サブモードを終了して下さい。

    sensor(config-net-rou)#exit
    sensor(config-net)#exit
    sensor(config)#exit
    Apply Changes:?[yes]:

13. 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は [no] を入力します。

Cisco ファイアウォールを管理するためにセンサーを設定して下さい

センサーを Cisco ファイアウォールを管理するために設定するためにこれらのステップを完了して下さい:

1. 管理者権限を持つアカウントで CLI にログインします。

2. ネットワーク アクセス サブモードを入力して下さい。

   sensor#configure terminal
   sensor(config)#service network-access
   sensor(config-net)#

3. 円弧によって制御されるファイアウォールのための IP アドレスを規定 して下さい。

   sensor(config-net)#firewall-devices ip_address
   

4. ユーザ プロファイルを設定したときに作成したユーザ プロファイル名前を入力して下さい。

   sensor(config-net-fir)#profile-name user_profile_name
   

   円弧は入力する何でも受け入れます。 それはかどうか論理デバイス 存在確認しません。

5. センサーにアクセスするのに使用される方式を規定 して下さい。

   sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
   

   明記していなかったら、SSH トリプル DES は使用されます。

   注: DES かトリプル DES を使用する場合場合、キーを受け入れるために ssh ホストキー ip_address コマンドを使用して下さいアークはデバイスに接続できません。

6. センサー NAT アドレスを規定 して下さい。

   sensor(config-net-fir)#nat-address nat_address
   

   注: これはセンサーの IP アドレスから NAT アドレスに ACL の最初の行の IP アドレスを変更します。 NAT アドレスはセンサー アドレス、センサーとブロック デバイスの間にある中間デバイスによって変換される後 NAT です。

7. 終了ネットワーク アクセス サブモード。

   sensor(config-net-fir)#exit
   sensor(config-net)#exit
   sensor(config)#exit
   Apply Changes:?[yes]:

8. 変更を適用する場合はEnter キーを押し、変更を廃棄する場合は [no] を入力します。

ブロックはとの PIX/ASA で排除します

攻撃ホストからのシャニング コマンド ブロック接続の発行。 コマンドの値を一致するパケットは廃棄され、ブロッキング 機能が取除かれるまで記録 されます。 シャニングは規定 された ホスト アドレスが付いている接続が現在アクティブであるかどうかに関係なく適用します。

宛先アドレス、送信元ポート および 宛先ポートおよびプロトコルを規定 すれば、それらのパラメータを一致する接続にシャニングを狭くします。

1 つを各ソース IP アドレスのためのコマンドを排除してもらうただことができます。

不正侵入を動的にブロックするのにシャニング コマンドが使用されているのでセキュリティ アプライアンス モデル 設定で表示する。

インターフェイスが外される時はいつでも、またそのインターフェイスに取除かれる接続されるすべては排除します。

この例はことをおこるホスト示したものです（10.1.1.27）対象が付いている接続をします（10.2.2.89） TCP に。 セキュリティ アプライアンス モデル 接続テーブルの接続は次の通り読みます:

TCP outside:10.1.1.27/555 inside:10.2.2.89/666

攻撃ホストからの接続をブロックするために、特権EXECモードでシャニング コマンドを使用して下さい。 これらのオプションのシャニング コマンドを適用して下さい:

hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp

コマンドはセキュリティ アプライアンス モデル 接続テーブルから接続を削除し、また 10.1.1.27:555 からからのセキュリティ アプライアンス モデルを 10.2.2.89:666 までパケットを（TCP）通過防ぎます。

関連情報

• センサーを Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するために設定する方法
• ブロックのための攻撃応答 IDM 7.0 を使用して制限するコントローラおよび比率の設定
• テクニカルサポートとドキュメント - Cisco Systems