このドキュメントでは、IPS Manager Express(IME)を使用した侵入防御システム(IPS)ブロッキングの設定について説明します。IMEおよびIPSセンサーは、シスコルータのブロッキング管理に使用されます。この設定を検討する際は、次の点に注意してください。
センサーを取り付け、センサーが正しく動作していることを確認します。
スニフィング インターフェイスのスパンを、インターフェイス外部のルータまで及ぶようにします。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
Cisco IPS Manager Express 7.0
Cisco IPS Sensor 7.0(0.88)E3
Cisco IOSソフトウェアリリース12.4が稼働するCisco IOS®ルータ
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このドキュメントでは、次のネットワーク設定を使用します。
このドキュメントでは次の設定を使用します。
Router Light |
---|
Current configuration : 906 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname light ! enable password cisco ! username cisco password 0 cisco ip subnet-zero ! ! ! ip ssh time-out 120 ip ssh authentication-retries 3 ! call rsvp-sync ! ! ! fax interface-type modem mta receive maximum-recipients 0 ! controller E1 2/0 ! ! ! interface FastEthernet0/0 ip address 10.100.100.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto ! interface BRI4/0 no ip address shutdown interface BRI4/1 no ip address shutdown ! interface BRI4/2 no ip address shutdown ! interface BRI4/3 no ip address shutdown ! ip classless ip route 0.0.0.0 0.0.0.0 10.100.100.1 ip http server ip pim bidir-enable ! ! dial-peer cor custom ! ! line con 0 line 97 108 line aux 0 line vty 0 4 login ! end |
Router House |
---|
Current configuration : 939 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname house ! logging queue-limit 100 enable password cisco ! ip subnet-zero ! ! no ip cef no ip domain lookup ! ip audit notify log ip audit po max-events 100 ! ! no voice hpi capture buffer no voice hpi capture destination ! ! ! ! interface FastEthernet0/0 ip address 10.66.79.210 255.255.255.224 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.100.100.1 255.255.255.0 ip access-group IDS_FastEthernet0/1_in_0 in !--- After you configure blocking, !--- IDS Sensor inserts this line. duplex auto speed auto ! interface ATM1/0 no ip address shutdown no atm ilmi-keepalive ! ip classless ip route 0.0.0.0 0.0.0.0 10.66.79.193 ip route 1.1.1.0 255.255.255.0 10.100.100.2 no ip http server no ip http secure-server ! ! ip access-list extended IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any !--- After you configure blocking, !--- IDS Sensor inserts this line. ! call rsvp-sync ! ! mgcp profile default ! ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 exec-timeout 0 0 password cisco login line vty 5 15 login ! ! end |
センサーの設定を開始するには、次の手順を実行します。
センサーに初めてログインする場合は、ユーザ名 cisco、パスワード cisco を入力する必要があります。
システムがパスワード変更のプロンプトを表示したら、パスワードを変更します。
注:Cisco123は辞書語であり、システムでは使用できません。
setupと入力し、システムプロンプトに従って、センサーの基本的なパラメータを設定します。
次の情報を入力します。
sensor5#setup --- System Configuration Dialog --- !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. Current time: Thu Oct 22 21:19:51 2009 Setup Configuration last modified: Enter host name[sensor]: Enter IP interface[10.66.79.195/24,10.66.79.193]: Modify current access list?[no]: Current access list entries: !--- permit the ip address of workstation or network with IME Permit:10.66.79.0/24 Permit: Modify system clock settings?[no]: Modify summer time settings?[no]: Use USA SummerTime Defaults?[yes]: Recurring, Date or Disable?[Recurring]: Start Month[march]: Start Week[second]: Start Day[sunday]: Start Time[02:00:00]: End Month[november]: End Week[first]: End Day[sunday]: End Time[02:00:00]: DST Zone[]: Offset[60]: Modify system timezone?[no]: Timezone[UTC]: UTC Offset[0]: Use NTP?[no]: yes NTP Server IP Address[]: Use NTP Authentication?[no]: yes NTP Key ID[]: 1 NTP Key Value[]: 8675309
設定を保存します。
センサーが設定を保存するのに数分かかることがあります。
[0] Go to the command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration and exit setup. Enter your selection[2]: 2
センサーをIMEに追加するには、次の手順を実行します。
IPS Manager ExpressをインストールしたWindows PCに移動し、IPS Manager Expressを開きます。
[Home] > [Add]を選択します。
この情報を入力し、[OK]をクリックして設定を終了します。
[Devices] > [sensor5]を選択して、センサーのステータスを確認し、右クリックして[Status]を選択します。
サブスクリプションが正常に開いたことを確認します。メッセージに応答します。
Cisco IOSルートのブロッキングを設定するには、次の手順を実行します。
IME PCからWebブラウザを開き、https://10.66.79.195に移動します。
[OK]をクリックして、センサーからダウンロードしたHTTPS証明書を受け入れます。
[ログイン]ウィンドウで、ユーザー名にcisco、パスワードに123cisco123を入力します。
次のIME管理インターフェイスが表示されます。
[構成]タブで、[アクティブな署名]をクリックします。
次に、[署名ウィザード]をクリックします。
注:前のスクリーンショットは、スペースの制限により2つに分割されています。
シグニチャエンジンとして[Yes]と[String TCP]を選択します。[next] をクリックします。
この情報は[デフォルト(Default)]のままにするか、独自のシグニチャID、シグニチャ名、およびユーザノートを入力できます。[next] をクリックします。
[Event Action]を選択し、[Produce Alert]と[Request Block Host]を選択します。継続するには [Next] をクリックします。
正規表現(REGEX)を入力します。この例ではtestattackで、[Service Ports]に23と入力し、[Direction]に[To Service]を選択して、[Next]をクリックして続行します。
この情報は[Default]のままにします。[next] をクリックします。
[Finish]をクリックして、ウィザードを終了します。
[Configuration] > [sig0] > [Active Signatures]の順に選択し、新しく作成されたシグニチャを[Sig ID]または[Sig Name]で検索します。[Edit]をクリックして、署名を表示します。
確認した後[OK]をクリックし、[Apply]ボタンをクリックしてシグニチャをセンサーに適用します。
[Configuration]タブの[Sensor Management]で、[Blocking]をクリックします。左側のペインで[Blocking Properties]を選択し、[Enable Blocking]をオンにします。
左側のペインで、[Device Login Profile]に移動します。新しいプロファイルを作成するには、[Add]をクリックします。作成が完了したら、[OK]をクリックし、[Apply]をクリックしてセンサーを設定し、続行します。
次のステップは、ルータをブロッキングデバイスとして設定することです。この情報を追加するには、左側のペインで[Blocking Device]を選択し、[Add]をクリックします。次に、[OK]と[Apply]をクリックします。
次に、左側のペインで、ブロッキングデバイスインターフェイスを設定します。情報を追加し、[OK]と[Apply]をクリックします。
攻撃を開始してブロックするには、次の手順を実行します。
攻撃を開始する前に、IMEに移動し、[Event Monitoring] > [Dropped Attacks View]を選択し、右側のセンサーを選択します。
Router HouseにTelnetで接続し、次のコマンドを使用してサーバからの通信を確認します。
house#show user Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 226 vty 0 idle 00:00:17 10.66.79.195 house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 permit ip host 10.66.79.195 any permit ip any any (12 matches) house#
Router Light から Router House に Telnet し、testattack と入力します。
<space>または<enter>を押して、Telnetセッションをリセットします。
light#telnet 10.100.100.1 Trying 10.100.100.1 ... Open User Access Verification Password: house>en Password: house#testattack [Connection to 10.100.100.1 lost] !--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered.
Router HouseにTelnet接続し、次に示すようにshow access-listコマンドを使用します。
house#show access-list Extended IP access list IDS_FastEthernet0/1_in_0 10 permit ip host 10.66.79.195 any 20 deny ip host 10.100.100.2 any (71 matches) 30 permit ip any any
IDS Event Viewerのダッシュボードから、攻撃が開始されるとRed Alarmが表示されます。
ここでは、設定のトラブルシューティングに使用できる情報を示します。
次のトラブルシューティングのヒントを使用します。
Sensorからshow statistics network-accessの出力を調べ、状態がアクティブであることを確認します。コンソールまたはSSHからセンサーに次の情報が表示されます。
sensor5#show statistics network-access Current Configuration AllowSensorShun = false ShunMaxEntries = 100 NetDevice Type = Cisco IP = 10.66.79.210 NATAddr = 0.0.0.0 Communications = telnet ShunInterface InterfaceName = FastEthernet0/1 InterfaceDirection = in State ShunEnable = true NetDevice IP = 10.66.79.210 AclSupport = uses Named ACLs State = Active ShunnedAddr Host IP = 10.100.100.2 ShunMinutes = 15 MinutesRemaining = 12 sensor5#
通信パラメータに、3DESを使用したTelnetやSSHなどの正しいプロトコルが使用されていることを確認します。ユーザ名とパスワードのクレデンシャルが正しいことを確認するには、PCのSSH/Telnetクライアントから手動でSSHまたはTelnetを試すことができます。続いて、センサー自体からルータへ Telnet または SSH を試行して、ルータに正しくログインできるかどうかを確認します。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
17-Dec-2009 |
初版 |