このドキュメントは、Cisco Secure Policy Manager(CSPM)で Cisco Secure Intrusion Detection System(IDS)センサーを設定するための手順について説明します。 コンピュータに CSPM バージョン 2.3.I がインストール済みであることを前提としています。バージョン "I" では、Cisco Catalyst(R) 6000 スイッチの IDS 装置(センサー装置、Cisco IOS(R) ルータ、または IDS ブレード)の管理が可能です。また、IDS postoffice パラメータが正しく定義されていることも前提となります。パラメータには、HOSTID、ORGID、HOSTNAME、および ORGNAME などが含まれます。CSPM ホストがセンサーと通信するには、ORGID および ORGNAME などのパラメータがセンサーに定義されているパラメータと一致する必要があります。
このドキュメントに特有の要件はありません。
このドキュメントの情報は、CSPM 2.3.I以降に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
ドキュメント表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。
ここでは、CSPMでIDSセンサーを設定するために使用するプロセスについて説明します。
CSPMを起動し、ログインします。初期起動で表示される空白のテンプレートに、ネットワークを定義します。
これらの3つの定義は、IDSのCSPMトポロジで必要です。
センサーの制御インターフェイスが存在するネットワーク、および CSPM ホストが常駐するネットワークの定義。この 2 つが同じサブネットにある場合、定義する必要があるのは 1 つのネットワークだけです。このネットワークを最初に定義します。
最初に定義したネットワークでの CSPM ホストの定義。CSPM ホストが定義されていないと、センサーは管理できません。
定義したネットワークでのセンサーの定義。
次のステップを実行します。
トポロジの Internet アイコン上で右クリックして、New > Network 順に選択して新しいネットワークを作成します。
Network Panel の右側に、使用する新しいネットワーク名、ネットワーク アドレス、およびネットマスクなどを追加します。
IP Address ボタンをクリックし、インターネットに接続する際に使用するネットワークの IP アドレスを入力します。
通常は、ネットワークのデフォルト ゲートウェイを入力します。
注:センサーを管理すると、センサーがこのデフォルトゲートウェイ情報を送信されないため、ゲートウェイアドレスが必ずしも正しい必要はありません。センサーにはすでにゲートウェイ アドレスが定義されています。
[OK] をクリックします。ネットワークは、エラーなしでトポロジマップに追加されます。
CSPMホストを追加する手順は、次のとおりです。
Network Topology で、追加したネットワークを右クリックし、New > Host の順に選択します。
CSPMは、次のような画面を表示します。画面が表示されない場合は、定義したネットワークに CSPM ホストが見つかりません。CSPM ホストの IP アドレスを再度チェックします。
Yes をクリックして、トポロジに CSPM ホストをインストールします。
CSPM ホストの General 画面で情報が正しいことを確認します。
CSPM ホストの General 画面で OK をクリックします。
センサーデバイスを追加するには、次の手順を実行します。
センサーが存在するネットワークを右クリックし、[ウィザーズ] > [センサーの追加]を選択します。
注:CSPMホストとセンサーの制御インターフェイスが同じネットワークにない場合は、センサーが存在するネットワークを定義します。
センサーの正しい postoffice パラメータを入力します。
Check here to verify the Sensor's address ボックスをクリックします。
注:このセンサーを初めて設定する場合は、センサーの設定をキャプチャしません。センサーの設定を取り込むのは、UNIX ダイレクタまたは別の CSPM ホスト経由で、このセンサーに関する設定を以前に行ったものの、センサーのシグニチャに新たに設定変更を加えた場合です。
Next をクリックして、センサーのシグニチャ バージョンを定義します。また、nrversコマンドを発行してセンサーでこれを確認することもできます。
注:CSPMにセンサーで実行している正しいセンサーバージョンがない場合は、CSPMホストのシグネチャを更新してください。更新の詳細は、「ソフトウェアのダウンロード」を参照してください。
Next ボタンをクリックして、処理を続けます。
Finish をクリックして、トポロジへのセンサーのインストールを終了します。
CSPM のメイン メニューから、File > Save and Update の順に選択して、トポロジに入力した情報を CSPM にコンパイルします。CSPM ホストで postoffice プロトコルを開始するには、このステップが必要であることに注意してください。
netrangrユーザとしてセンサーにログインし、すべてが機能することを確認します。
nrconns コマンドを実行します。
>nrconns Connection Status for gacy.rtp cspm.rtp Connection 1: 172.18.124.106 45000 1 [Established] sto:0004 with Version 1 netrangr@gacy:/usr/nr >
注:センサとCSPMホストが通信していない場合、次のような出力が表示されます。
netrangr@gacy:/usr/nr >nrconns Connection Status for gacy.rtp insane.rtp Connection 1: 172.18.124.194 45000 1 [SynSent] sto:5000 syn NOT rcvd! netrangr@gacy:/usr/nr
この場合は、スニファトレースを取得して、両側がUDP 45000パケットを送信しているかどうかを確認します。UDP 45000 は、IDS 装置が相互に通信するときに使用するパケットです。センサーでこれをテストするには、rootにsuし、(センサーの種類に応じて)snoop -d iprb1ポート45000 (IDS 4210センサー用)およびsnoop -d iprb0ポート45000(センサーの他モデル用)を実行します。
<control-c> を使用して、スヌープ セッションから抜け出します。
次の出力は、センサーとCSPM間に通信がない場合に表示されます。
netrangr@gacy:/usr/nr >su - Password: Sun Microsystems Inc. SunOS 5.8 Generic February 2000 # snoop -d spwr0 port 45000 Using device /dev/spwr (promiscuous mode) 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52 ^C#
上記の出力では、センサーはUDP 45000パケットを送信しますが、受信はしません。正しい設定では、次のような出力が生成されます。
# snoop -d spwr0 port 45000 Using device /dev/iprb (promiscuous mode) 172.18.124.106 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56 172.18.124.142 -> gacy UDP D=45000 S=45000 LEN=56 gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56
上記の出力では、UDP 45000トラフィックは両方向に流れます。
UDP 45000パケットが両方向に流れ、センサーのnrconnsの出力に接続が確立されていないと示され、センサーとCSPMホストのpostofficeパラメータが一致しません。
CSPM ホストの postoffice パラメータを手作業でチェックするには、次の処理を実行します。
Windowsエクスプローラを使用して、NTマシンにCSPMがインストールされている場所に移動します。
WriteまたはWordpadを使用して、host、route、およびorganizationファイルを編集します(フォーマットが破損するため、メモ帳は使用しないでください)。
これらのファイルが正しくインストールされていることを確認します。いずれかの値が正しくない場合は、これらの値を編集し、次の手順を使用してNTコンピュータをリブートします。
Network Topology で CSPM アイコンをクリックします。
Policy Distribution タブをクリックして、postoffice パラメータを入力します。
変更を Save および Update します。
NT コンピュータをリブートします。
CSPM に設定を保存したら、センサーを設定します。これを行うには、最初にセンサーを設定して、センサーが認識するアラームを独自のログに書き込みます。次に、センサーを正しいインターフェイスで「sniff」に設定します。
アラームをログに書き込むには、次の手順を使用します。
Generate audit event log files ボックスをクリックし、アラームをローカル ログに送信するようにセンサーに指示を出します。
また、デフォルトでは、設定をCSPMボックスにプッシュした後に、アラームをCSPMボックスに送信します。
[OK] をクリックして、次に進みます。
センサーを「スニフ」に設定するには、次の手順を実行します。
CSPM トポロジでセンサーを選択して、Sensing タブをクリックします。
次のように Packet Capture Device を定義します。
iprb0 - IDS 4210センサー用
spwr0 – その他のセンサーモデル用
[OK] をクリックして、次に進みます。
CSPM メニュー バー上で Update アイコンをクリックし、CSPM の情報を更新します。
注:すべてが正常に動作すると、次のような画面が表示されます。赤字のエラーがないことに注意してください。黄色い警告は通常は心配ありません。
Network Topology でセンサーを選択したら、Command タブをクリックして、更新した設定をセンサーに送ります。
[Approve Now]ボタンをクリックして、センサーに設定を送信します。
[ステータス]ペインに[アップロード<#>完了]メッセージが表示されます。これは、有効で完全な転送プロセスを示します。センサーが更新され、正常に動作するようになります。
センサーが正常に動作しないときは、センサーに戻り、nrconns コマンドの出力結果をチェックし、CSPM ホストとセンサーの間に接続が確立していることを確認します。
この処理が終了したら、センサーが CSPM ホストに送信するアラームを Event Viewer で探すことができます。イベントビューアを表示するには、CSPMのメインメニューから[Tools] > [View Sensor Events] > [Database]を選択します。
OK をクリックして、Events Database ウィンドウを表示します。画面は、アラームの種類によって異なります。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
19-Jan-2006 |
初版 |