IME を使用した IPS ブロッキングの設定

概要

このドキュメントでは、IPS Manager Express(IME)を使用した侵入防御システム(IPS)ブロッキングの設定について説明します。IMEおよびIPSセンサーは、シスコルータのブロッキング管理に使用されます。この設定を検討する際は、次の点に注意してください。

• センサーを取り付け、センサーが正しく動作していることを確認します。

• スニフィング インターフェイスのスパンを、インターフェイス外部のルータまで及ぶようにします。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco IPS Manager Express 7.0

• Cisco IPS Sensor 7.0(0.88)E3

• Cisco IOSソフトウェアリリース12.4が稼働するCisco IOS^®ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

ネットワーク図

このドキュメントでは、次のネットワーク設定を使用します。

設定

このドキュメントでは次の設定を使用します。

• Router Light

• Router House

Current configuration : 906 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname light
!
enable password cisco
!
username cisco password 0 cisco
ip subnet-zero
!
!
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
call rsvp-sync
!
!
!
fax interface-type modem
mta receive maximum-recipients 0
!
controller E1 2/0
!
!
!
interface FastEthernet0/0
 ip address 10.100.100.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 1.1.1.1 255.255.255.0
 duplex auto
 speed auto
!
interface BRI4/0
 no ip address
 shutdown
interface BRI4/1
 no ip address
 shutdown
!
interface BRI4/2
 no ip address
 shutdown
!
interface BRI4/3
 no ip address
 shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.100.100.1
ip http server
ip pim bidir-enable
!
!
dial-peer cor custom
!
!
line con 0
line 97 108
line aux 0
line vty 0 4
 login
!
end

Current configuration : 939 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname house
!
logging queue-limit 100
enable password cisco
!
ip subnet-zero
!
!
no ip cef
no ip domain lookup
!
ip audit notify log
ip audit po max-events 100
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
!
!
interface FastEthernet0/0
 ip address 10.66.79.210 255.255.255.224
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.100.100.1 255.255.255.0
 ip access-group IDS_FastEthernet0/1_in_0 in 

!--- After you configure blocking, !--- IDS Sensor inserts this line.

 duplex auto
 speed auto
!
interface ATM1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.66.79.193
ip route 1.1.1.0 255.255.255.0 10.100.100.2
no ip http server
no ip http secure-server
!
!
ip access-list extended IDS_FastEthernet0/1_in_0
 permit ip host 10.66.79.195 any
 permit ip any any

!--- After you configure blocking, !--- IDS Sensor inserts this line.

!
call rsvp-sync
!
!
mgcp profile default
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 exec-timeout 0 0
 password cisco
 login
line vty 5 15
 login
!
!
end

センサー設定の開始

センサーの設定を開始するには、次の手順を実行します。

1. センサーに初めてログインする場合は、ユーザ名 cisco、パスワード cisco を入力する必要があります。

2. システムがパスワード変更のプロンプトを表示したら、パスワードを変更します。

   注：Cisco123は辞書語であり、システムでは使用できません。

3. setupと入力し、システムプロンプトに従って、センサーの基本的なパラメータを設定します。

4. 次の情報を入力します。

   sensor5#setup 
   
       --- System Configuration Dialog --- 
   
   
   !--- At any point you may enter a question mark '?' for help. !--- Use ctrl-c to abort the configuration dialog at any prompt. !--- Default settings are in square brackets '[]'. 
   
   Current time: Thu Oct  22 21:19:51 2009
   
   Setup Configuration last modified:
   
   Enter host name[sensor]:
   Enter IP interface[10.66.79.195/24,10.66.79.193]:
   
   Modify current access list?[no]:
   Current access list entries:
   
   !--- permit the ip address of workstation or network with IME
   
   Permit:10.66.79.0/24
   Permit:
   Modify system clock settings?[no]:
     Modify summer time settings?[no]:
       Use USA SummerTime Defaults?[yes]:
       Recurring, Date or Disable?[Recurring]:
       Start Month[march]:
       Start Week[second]:
       Start Day[sunday]:
       Start Time[02:00:00]:
       End Month[november]:
       End Week[first]:
       End Day[sunday]:
       End Time[02:00:00]:
       DST Zone[]: 
       Offset[60]:
     Modify system timezone?[no]:
       Timezone[UTC]:
       UTC Offset[0]:
     Use NTP?[no]: yes
       NTP Server IP Address[]: 
       Use NTP Authentication?[no]: yes
         NTP Key ID[]: 1
         NTP Key Value[]: 8675309

5. 設定を保存します。

   センサーが設定を保存するのに数分かかることがあります。

   [0] Go to the command prompt without saving this config. 
   [1] Return back to the setup without saving this config. 
   [2] Save this configuration and exit setup. 
   
   Enter your selection[2]: 2 

IMEへのセンサーの追加

センサーをIMEに追加するには、次の手順を実行します。

1. IPS Manager ExpressをインストールしたWindows PCに移動し、IPS Manager Expressを開きます。

2. [Home] > [Add]を選択します。

3. この情報を入力し、[OK]をクリックして設定を終了します。

   

4. [Devices] > [sensor5]を選択して、センサーのステータスを確認し、右クリックして[Status]を選択します。

   サブスクリプションが正常に開いたことを確認します。メッセージに応答します。

   

Cisco IOSルータのブロッキングの設定

Cisco IOSルートのブロッキングを設定するには、次の手順を実行します。

1. IME PCからWebブラウザを開き、https://10.66.79.195に移動します。

2. [OK]をクリックして、センサーからダウンロードしたHTTPS証明書を受け入れます。

3. [ログイン]ウィンドウで、ユーザー名にcisco、パスワードに123cisco123を入力します。

   次のIME管理インターフェイスが表示されます。

   

4. [構成]タブで、[アクティブな署名]をクリックします。

5. 次に、[署名ウィザード]をクリックします。

   

   注：前のスクリーンショットは、スペースの制限により2つに分割されています。

6. シグニチャエンジンとして[Yes]と[String TCP]を選択します。[next] をクリックします。

   

7. この情報は[デフォルト(Default)]のままにするか、独自のシグニチャID、シグニチャ名、およびユーザノートを入力できます。[next] をクリックします。

   

8. [Event Action]を選択し、[Produce Alert]と[Request Block Host]を選択します。継続するには [Next] をクリックします。

   

9. 正規表現(REGEX)を入力します。この例ではtestattackで、[Service Ports]に23と入力し、[Direction]に[To Service]を選択して、[Next]をクリックして続行します。

   

10. この情報は[Default]のままにします。[next] をクリックします。

    

11. [Finish]をクリックして、ウィザードを終了します。

    

12. [Configuration] > [sig0] > [Active Signatures]の順に選択し、新しく作成されたシグニチャを[Sig ID]または[Sig Name]で検索します。[Edit]をクリックして、署名を表示します。

    

13. 確認した後[OK]をクリックし、[Apply]ボタンをクリックしてシグニチャをセンサーに適用します。

14. [Configuration]タブの[Sensor Management]で、[Blocking]をクリックします。左側のペインで[Blocking Properties]を選択し、[Enable Blocking]をオンにします。

    

15. 左側のペインで、[Device Login Profile]に移動します。新しいプロファイルを作成するには、[Add]をクリックします。作成が完了したら、[OK]をクリックし、[Apply]をクリックしてセンサーを設定し、続行します。

    

16. 次のステップは、ルータをブロッキングデバイスとして設定することです。この情報を追加するには、左側のペインで[Blocking Device]を選択し、[Add]をクリックします。次に、[OK]と[Apply]をクリックします。

    

17. 次に、左側のペインで、ブロッキングデバイスインターフェイスを設定します。情報を追加し、[OK]と[Apply]をクリックします。

    

確認

攻撃とブロッキングの開始

攻撃を開始してブロックするには、次の手順を実行します。

1. 攻撃を開始する前に、IMEに移動し、[Event Monitoring] > [Dropped Attacks View]を選択し、右側のセンサーを選択します。

2. Router HouseにTelnetで接続し、次のコマンドを使用してサーバからの通信を確認します。

   house#show user
    
     Line     User      Host(s)          Idle        Location
   * 0 con 0             idle          00:00:00
   226 vty 0             idle          00:00:17     10.66.79.195
   
   
   house#show access-list
   Extended IP access list IDS_FastEthernet0/1_in_0
     permit ip host 10.66.79.195 any
     permit ip any any (12 matches)
   house#

3. Router Light から Router House に Telnet し、testattack と入力します。

   <space>または<enter>を押して、Telnetセッションをリセットします。

   light#telnet 10.100.100.1 
       Trying 10.100.100.1 ... Open 
   
       User Access Verification 
       Password: 
       house>en 
       Password: 
       house#testattack 
       [Connection to 10.100.100.1 lost] 
       
   !--- Host 10.100.100.2 has been blocked due to the !--- signature "testattack" triggered. 
   
   

4. Router HouseにTelnet接続し、次に示すようにshow access-listコマンドを使用します。

   house#show access-list 
   Extended IP access list IDS_FastEthernet0/1_in_0
   10 permit ip host 10.66.79.195 any 
   20 deny ip host 10.100.100.2 any (71 matches) 
   30 permit ip any any 

5. IDS Event Viewerのダッシュボードから、攻撃が開始されるとRed Alarmが表示されます。

   

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

ヒント

次のトラブルシューティングのヒントを使用します。

• Sensorからshow statistics network-accessの出力を調べ、状態がアクティブであることを確認します。コンソールまたはSSHからセンサーに次の情報が表示されます。

  sensor5#show statistics network-access 
  Current Configuration
    AllowSensorShun = false
    ShunMaxEntries = 100
    NetDevice
      Type = Cisco
      IP = 10.66.79.210
      NATAddr = 0.0.0.0
      Communications = telnet
      ShunInterface
        InterfaceName = FastEthernet0/1
        InterfaceDirection = in
  State
    ShunEnable = true
    NetDevice
      IP = 10.66.79.210
      AclSupport = uses Named ACLs
      State = Active
    ShunnedAddr
      Host
        IP = 10.100.100.2
        ShunMinutes = 15
        MinutesRemaining = 12
  sensor5#

• 通信パラメータに、3DESを使用したTelnetやSSHなどの正しいプロトコルが使用されていることを確認します。ユーザ名とパスワードのクレデンシャルが正しいことを確認するには、PCのSSH/Telnetクライアントから手動でSSHまたはTelnetを試すことができます。続いて、センサー自体からルータへ Telnet または SSH を試行して、ルータに正しくログインできるかどうかを確認します。

関連情報

• Cisco Secure Intrusion Prevention のサポート ページ
• テクニカル サポートとドキュメント – Cisco Systems