CSPM での Cisco Secure IDS センサーの設定

ダウンロード オプション

  • PDF     (798.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (779.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (1.0 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2006 年 1 月 19 日
Document ID:6117

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントは、Cisco Secure Policy Manager(CSPM)で Cisco Secure Intrusion Detection System(IDS)センサーを設定するための手順について説明します。 コンピュータに CSPM バージョン 2.3.I がインストール済みであることを前提としています。バージョン "I" では、Cisco Catalyst(R) 6000 スイッチの IDS 装置(センサー装置、Cisco IOS(R) ルータ、または IDS ブレード)の管理が可能です。また、IDS postoffice パラメータが正しく定義されていることも前提となります。パラメータには、HOSTID、ORGID、HOSTNAME、および ORGNAME などが含まれます。CSPM ホストがセンサーと通信するには、ORGID および ORGNAME などのパラメータがセンサーに定義されているパラメータと一致する必要があります。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、CSPM 2.3.I以降に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

コンフィギュレーション

ここでは、CSPMでIDSセンサーを設定するために使用するプロセスについて説明します。

CSPMを起動し、ログインします。初期起動で表示される空白のテンプレートに、ネットワークを定義します。

ids2cspm_6117_a.gif

これらの3つの定義は、IDSのCSPMトポロジで必要です。

  1. センサーの制御インターフェイスが存在するネットワーク、および CSPM ホストが常駐するネットワークの定義。この 2 つが同じサブネットにある場合、定義する必要があるのは 1 つのネットワークだけです。このネットワークを最初に定義します。

  2. 最初に定義したネットワークでの CSPM ホストの定義。CSPM ホストが定義されていないと、センサーは管理できません。

  3. 定義したネットワークでのセンサーの定義。

CSPM ホストが常駐するネットワークの定義

次のステップを実行します。

  1. トポロジの Internet アイコン上で右クリックして、New > Network 順に選択して新しいネットワークを作成します。

    ids2cspm_6117_b.gif

  2. Network Panel の右側に、使用する新しいネットワーク名、ネットワーク アドレス、およびネットマスクなどを追加します。

    ids2cspm_6117_c.gif

  3. IP Address ボタンをクリックし、インターネットに接続する際に使用するネットワークの IP アドレスを入力します。

    通常は、ネットワークのデフォルト ゲートウェイを入力します。

    注:センサーを管理すると、センサーがこのデフォルトゲートウェイ情報を送信されないため、ゲートウェイアドレスが必ずしも正しい必要はありません。センサーにはすでにゲートウェイ アドレスが定義されています。

  4. [OK] をクリックします。ネットワークは、エラーなしでトポロジマップに追加されます。

    ids2cspm_6117_d.gif

CSPM ホストの追加

CSPMホストを追加する手順は、次のとおりです。

  1. Network Topology で、追加したネットワークを右クリックし、New > Host の順に選択します。

    CSPMは、次のような画面を表示します。画面が表示されない場合は、定義したネットワークに CSPM ホストが見つかりません。CSPM ホストの IP アドレスを再度チェックします。

    ids2cspm_6117_e.gif

  2. Yes をクリックして、トポロジに CSPM ホストをインストールします。

  3. CSPM ホストの General 画面で情報が正しいことを確認します。

  4. CSPM ホストの General 画面で OK をクリックします。

センサー装置の追加

センサーデバイスを追加するには、次の手順を実行します。

  1. センサーが存在するネットワークを右クリックし、[ウィザーズ] > [センサーの追加]を選択します

    注:CSPMホストとセンサーの制御インターフェイスが同じネットワークにない場合は、センサーが存在するネットワークを定義します。

    ids2cspm_6117_f.gif

  2. センサーの正しい postoffice パラメータを入力します。

    ids2cspm_6117_g.gif

  3. Check here to verify the Sensor's address ボックスをクリックします。

    注:このセンサーを初めて設定する場合は、センサーの設定をキャプチャしません。センサーの設定を取り込むのは、UNIX ダイレクタまたは別の CSPM ホスト経由で、このセンサーに関する設定を以前に行ったものの、センサーのシグニチャに新たに設定変更を加えた場合です。

  4. Next をクリックして、センサーのシグニチャ バージョンを定義します。また、nrversコマンドを発行してセンサーでこれを確認することもできます。

    ids2cspm_6117_h.gif

    注:CSPMにセンサーで実行している正しいセンサーバージョンがない場合は、CSPMホストのシグネチャを更新してください。更新の詳細は、「ソフトウェアのダウンロード」を参照してください。

  5. Next ボタンをクリックして、処理を続けます。

  6. Finish をクリックして、トポロジへのセンサーのインストールを終了します。

  7. CSPM のメイン メニューから、File > Save and Update の順に選択して、トポロジに入力した情報を CSPM にコンパイルします。CSPM ホストで postoffice プロトコルを開始するには、このステップが必要であることに注意してください。

  8. netrangrユーザとしてセンサーにログインし、すべてが機能することを確認します。

  9. nrconns コマンドを実行します。 

    >nrconns

Connection Status for gacy.rtp

               cspm.rtp Connection 1: 172.18.124.106   45000 1 
               [Established]  sto:0004 with Version 1

netrangr@gacy:/usr/nr

>

    注:センサとCSPMホストが通信していない場合、次のような出力が表示されます。 

    netrangr@gacy:/usr/nr

>nrconns

Connection Status for gacy.rtp

          insane.rtp Connection 1: 172.18.124.194   45000 1 [SynSent]      
          sto:5000  syn NOT rcvd!

               

netrangr@gacy:/usr/nr

    この場合は、スニファトレースを取得して、両側がUDP 45000パケットを送信しているかどうかを確認します。UDP 45000 は、IDS 装置が相互に通信するときに使用するパケットです。センサーでこれをテストするには、rootにsuし、(センサーの種類に応じて)snoop -d iprb1ポート45000 (IDS 4210センサー用)およびsnoop -d iprb0ポート45000(センサーの他モデル用)を実行します。

    <control-c> を使用して、スヌープ セッションから抜け出します。

    次の出力は、センサーとCSPM間に通信がない場合に表示されます。 

    netrangr@gacy:/usr/nr

>su -

Password:

Sun Microsystems Inc.   SunOS 5.8       Generic February 2000

# snoop -d spwr0 port 45000

Using device /dev/spwr (promiscuous mode)

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

  172.18.124.100 -> 172.18.124.106 UDP D=45000 S=45000 LEN=52

^C#

    上記の出力では、センサーはUDP 45000パケットを送信しますが、受信はしません。正しい設定では、次のような出力が生成されます。 

    # snoop -d spwr0 port 45000

Using device /dev/iprb (promiscuous mode)

172.18.124.106 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.106 UDP D=45000 S=45000 LEN=56

172.18.124.142 -> gacy         UDP D=45000 S=45000 LEN=56

        gacy -> 172.18.124.194 UDP D=45000 S=45000 LEN=56

    上記の出力では、UDP 45000トラフィックは両方向に流れます。

    UDP 45000パケットが両方向に流れ、センサーのnrconnsの出力に接続が確立されていないと示され、センサーとCSPMホストのpostofficeパラメータが一致しません。

    CSPM ホストの postoffice パラメータを手作業でチェックするには、次の処理を実行します。

    1. Windowsエクスプローラを使用して、NTマシンにCSPMがインストールされている場所に移動します。

      ids2cspm_6117_i.gif

    2. WriteまたはWordpadを使用して、host、route、およびorganizationファイルを編集します(フォーマットが破損するため、メモ帳は使用しないでください)。

    3. これらのファイルが正しくインストールされていることを確認します。いずれかの値が正しくない場合は、これらの値を編集し、次の手順を使用してNTコンピュータをリブートします。

      1. Network Topology で CSPM アイコンをクリックします。

      2. Policy Distribution タブをクリックして、postoffice パラメータを入力します。

      3. 変更を Save および Update します。

      4. NT コンピュータをリブートします。

        ids2cspm_6117_j.gif

Sensor の設定

CSPM に設定を保存したら、センサーを設定します。これを行うには、最初にセンサーを設定して、センサーが認識するアラームを独自のログに書き込みます。次に、センサーを正しいインターフェイスで「sniff」に設定します。

ログへのアラームの書き込み

アラームをログに書き込むには、次の手順を使用します。

  1. Generate audit event log files ボックスをクリックし、アラームをローカル ログに送信するようにセンサーに指示を出します。

    また、デフォルトでは、設定をCSPMボックスにプッシュした後に、アラームをCSPMボックスに送信します。

    ids2cspm_6117_k.gif

  2. [OK] をクリックして、次に進みます。

センサーの「スニファ」への設定

センサーを「スニフ」に設定するには、次の手順を実行します。

  1. CSPM トポロジでセンサーを選択して、Sensing タブをクリックします。

  2. 次のように Packet Capture Device を定義します。

    • iprb0 - IDS 4210センサー用

    • spwr0 – その他のセンサーモデル用

    ids2cspm_6117_l.gif

  3. [OK] をクリックして、次に進みます。

  4. CSPM メニュー バー上で Update アイコンをクリックし、CSPM の情報を更新します。

    注:すべてが正常に動作すると、次のような画面が表示されます。赤字のエラーがないことに注意してください。黄色い警告は通常は心配ありません。

    ids2cspm_6117_m.gif

  5. Network Topology でセンサーを選択したら、Command タブをクリックして、更新した設定をセンサーに送ります。

    ids2cspm_6117_n.gif

  6. [Approve Now]ボタンをクリックして、センサーに設定を送信します。

    ids2cspm_6117_o.gif

    [ステータス]ペインに[アップロード<#>完了]メッセージが表示されます。これは、有効で完全な転送プロセスを示します。センサーが更新され、正常に動作するようになります。

    センサーが正常に動作しないときは、センサーに戻り、nrconns コマンドの出力結果をチェックし、CSPM ホストとセンサーの間に接続が確立していることを確認します。

    ids2cspm_6117_p.gif

    この処理が終了したら、センサーが CSPM ホストに送信するアラームを Event Viewer で探すことができます。イベントビューアを表示するには、CSPMのメインメニューから[Tools] > [View Sensor Events] > [Database]を選択します。

    ids2cspm_6117_q.gif

    OK をクリックして、Events Database ウィンドウを表示します。画面は、アラームの種類によって異なります。

    ids2cspm_6117_r.gif

関連情報

更新履歴

改定 発行日 コメント
1.0
19-Jan-2006
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています