この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Attack Response Controller(ARC)がセンサー上でブロッキングとレート制限を実行するように設定する方法について説明します。
(注) ARC は、以前は Network Access Controller と呼ばれていました。IPS 5.1 から名前が変更されましたが、IDM には引き続き Network Access Controller という用語が含まれています。
• 「ブロッキング デバイスおよびレート制限デバイスの設定」
• 「ルータのブロッキングまたはレート制限のデバイス インターフェイスの設定」
センサー上のブロッキング アプリケーションである ARC は、ルータ、スイッチ、PIX.Firewall、FWSM、および ASA 上でブロックを開始したり停止したりします。ARC は、管理しているデバイス上で IP アドレスをブロックします。ARC は、他のマスター ブロッキング センサーも含めて、管理しているすべてのデバイスに同じブロックを送信します。ARC はブロックの時間を監視し、その時間が満了するとブロックを削除します。
(注) ARC は、4 ~ 7 秒未満で新しいブロックの応答アクションを完了するように設計されています。ほとんどの場合、より短い時間でアクション応答を完了します。このパフォーマンス上の目標を実現するため、センサーでは、過度なレートでのブロックの実行やデバイスとインターフェイスに対する過剰なブロックの管理を設定しないでください。ブロックの最大数は 250 未満、ブロックする項目の最大数は 10 未満にすることをお勧めします。ブロックする項目の最大数を計算する場合は、ファイアウォール、ASA、または FWSM を、ブロックするコンテキストごとに 1 つのブロックする項目として数えます。ルータは、ブロックするインターフェイス/方向ごとに 1 つのブロックする項目として数えます。Catalyst ソフトウェアを実行するスイッチは、ブロックする VLAN ごとに 1 つのブロックする項目として数えます。推奨される制限を越えると、ARC がブロックをちょうどよいタイミングで適用しなかったり、ブロックをまったく適用しなかったりする可能性があります。
マルチモードで設定された ASA、PIX Firewall 7.0、FWSM 2.1 以降などのファイアウォールの場合、IPS 5.1 はブロック要求に VLAN 情報を挿入しません。このため、ブロックされている IP アドレスが正しいかどうかをファイアウォールごとに確認する必要があります。たとえば、センサーが VLAN A 用に設定されたファイアウォールのカスタマー コンテキストでパケットを監視し、VLAN B 用に設定された別のファイアウォールのカスタマー コンテキストでブロッキングを実行しているとします。この場合、VLAN A でブロックをトリガーするアドレスは、VLAN B 上の別のホストを指している可能性があります。
• ホスト ブロック:特定 IP アドレスからのすべてのトラフィックのブロック。
• 接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックのブロック。
同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックを指定すると、そのブロックは接続ブロックからホスト ブロックに自動的に切り替えられます。
(注) ファイアウォールでは、接続ブロックはサポートされません。ファイアウォールでは、接続情報を追加したホスト ブロックのみがサポートされます。
• ネットワーク ブロック:特定ネットワークからのすべてのトラフィックのブロック。
ホスト ブロックと接続ブロックは、シグニチャがトリガーされたときに手動または自動で開始できます。ネットワーク ブロックは、手動でのみ開始することができます。
自動ブロックの場合は、特定のシグニチャのイベント アクションとして Request Block Host または Request Block Connection を選択し、それらを設定したイベント アクション オーバーライドに追加する必要があります。それによって、SensorApp はシグニチャがトリガーされたときにブロック要求を ARC に送信できます。ARC は、SensorApp からブロック要求を受信すると、ホストまたは接続をブロックするようにデバイスのコンフィギュレーションを更新します。Request Block Host または Request Block Connection イベント アクションをシグニチャに追加する手順については、 「シグニチャへのアクションの割り当て」 を参照してください。また、Request Block Host または Request Block Connection イベント アクションを特定のリスク評価のアラームに追加するオーバーライドを設定する手順については、 「イベント アクション オーバーライドの設定」 を参照してください。
Cisco ルータおよび Catalyst 6500 シリーズ スイッチでは、ARC は ACL または VACL を適用することでブロックを作成します。ACL と VACL は、インターフェイスの方向または VLAN 上のデータ パケットの追加を許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可または拒否の条件が記述されています。PIX Firewall、FWSM、および ASA では、ACL または VACL は使用されません。組み込みの shun コマンドおよび no shun コマンドを使用します。
デバイスを管理するには、ARC に関する次の情報が必要です。
• ログイン ユーザ ID(デバイスに AAA が設定されている場合)
• イネーブル パスワード(ユーザがイネーブル特権を持っている場合は不要)
• 管理対象のインターフェイス(ethernet0、vlan100 など)
• 作成される ACL または VACL で、最初に適用する任意の既存 ACL または VACL 情報(Pre-Block ACL または VACL)、または最後に適用する ACL または VACL 情報(Post-Block ACL または VACL)
これは、PIX Firewall、FWSM、または ASA には当てはまりません。それらはブロックするために ACL を使用しないためです。
• デバイスとの通信で Telnet または SSH を使用するかどうか
• ブロックしない IP アドレス(ホストまたはホストの範囲)
ヒント ARC のステータスを確認するには、sensor#
で show statistics network-access と入力します。この操作を行うと、管理しているデバイス、アクティブなブロック(存在する場合)、およびすべてのデバイスのステータスが表示されます。または、IDMで、Monitoring > Statistics をクリックして ARC のステータスを確認します。
(注) ARC は、以前は Network Access Controller(NAC)と呼ばれていました。名前は変更されましたが、IDM と CLI では引き続き Network Access Controller、nac、および network-access として示されています。
レート制限を使用すると、センサーがネットワーク デバイス上の指定したトラフィッククラスのレートを制限します。レート制限の応答は、Host Flood エンジンと Net Flood エンジン、および TCP ハーフオープン SYN シグニチャに対してサポートされます。ARC は、Cisco IOS バージョン 12.3 以降を実行するネットワーク デバイスでレート制限を設定することができます。ルータでのレート制限の設定については、「ブロッキング デバイスおよびレート制限デバイスの設定」 を参照してください。マスター ブロッキング センサーは、レート制限要求をブロッキング転送センサーに転送することもできます。詳細については、マスター ブロッキング センサーの設定 を参照してください。
アクティブなレート制限のリストは、ARC の統計情報で確認できます。詳細については、 「統計情報の表示」 を参照してください。
レート制限を追加するには、プロトコル、宛先 IP アドレス、およびレート制限イベントの生成が可能なシグニチャのいずれかに一致するデータ値の組み合せを指定します。手順については、 「アクティブなレート制限の管理」 を参照してください。また、アクションを Request Rate Limit に設定し、さらにこれらのシグニチャの率を設定する必要があります。 表8-1 に、サポートされているシグニチャとパラメータを示します。
|
|
|
|
|
---|---|---|---|---|
ブロッキングまたはレート制限を実行するために ARC を設定する前に、次のことを実行してください。
• ネットワーク トポロジを分析して、どのデバイスをどのセンサーでブロックするかや、ブロックしないアドレスを確認します。
(注) マスター ブロッキング センサーを追加する場合は、センサーごとにブロックするデバイスの数を減らしてください。たとえば、10 のファイアウォールと 10 のルータでブロッキングを行い、ブロックするインターフェイス/方向がそれぞれ 1 つずつある場合は、そのうちの 10 をセンサーに割り当て、残りの 10 をマスター ブロッキング センサーに割り当てます。
• 各デバイスにログインするために必要なユーザ名、デバイスのパスワード、イネーブル パスワード、および接続タイプ(Telnet または SSH)の情報を入手します。
• 必要に応じて、Pre-Block ACL または VACL、および Post-Block ACL または VACL の名前を確認します。
• ブロックするインターフェイスとブロックしないインターフェイス、およびその方向(インまたはアウト)を確認します。誤ってネットワーク全体を遮断しないでください。
デフォルトでは、ARC は任意の組み合せで最大 250 のデバイスをサポートします。ARC によるブロッキングがサポートされるデバイスは、次のとおりです。
(注) ARC は、4 ~ 7 秒未満で新しいブロックの応答アクションを完了するように設計されています。ほとんどの場合、より短い時間でアクション応答を完了します。このパフォーマンス上の目標を実現するため、センサーでは、過度なレートでのブロックの実行やデバイスとインターフェイスに対する過剰なブロックの管理を設定しないでください。ブロックの最大数は 250 未満、ブロックする項目の最大数は 10 未満にすることをお勧めします。ブロックする項目の最大数を計算する場合は、ファイアウォール、ASA、または FWSM を、ブロックするコンテキストごとに 1 つのブロックする項目として数えます。ルータは、ブロックするインターフェイス/方向ごとに 1 つのブロックする項目として数えます。Catalyst ソフトウェアを実行するスイッチは、ブロックする VLAN ごとに 1 つのブロックする項目として数えます。
• Cisco IOS 11.2 以降を使用する Cisco シリーズ ルータ(ACL)
• IOS 11.2(9)P 以降を使用する RSM 搭載 Catalyst 5000 スイッチ(ACL)
• IOS 12.1(13)E 以降を使用する Catalyst 6500 スイッチおよび 7600 ルータ(ACL)
• Catalyst ソフトウェア バージョン 7.5(1) 以降を使用する Catalyst 6500 スイッチおよび 7600 ルータ(VACL)
(注) スーパーバイザ エンジンでの VACL ブロッキングと MSFC での ACL ブロッキングがサポートされます。
• PIX Firewall バージョン 6.0 以降( shun コマンド)
• ASA バージョン 7.0 以降( shun コマンド)
ACL、VACLS、または shun コマンドのいずれかを使用してブロッキングを設定します。すべてのファイアウォールと ASA モデルが shun コマンドをサポートしています。
ARC によるレート制限がサポートされるデバイスは、次のとおりです。
この項では、ブロッキング プロパティを設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Blocking Properties パネルを使用して、ブロッキングとレート制限をイネーブルにするために必要な基本的な設定を行えます。
ARC が、管理対象デバイスでのブロッキングとレート制限を制御します。
手動で実行を試みてもブロックされるべきではないホストおよびネットワークを識別できるように、センサーをチューニングする必要があります。信頼されたネットワーク デバイスの通常の動作が、攻撃として扱われる可能性があるためです。このようなデバイスや信頼された内部ネットワークもブロックする必要はありません。シグニチャを適切にチューニングすることにより、false positive の数を減らし、ネットワークが正しく動作することを保証できます。シグニチャのチューニングとフィルタリングを行うと、アラームの生成が防止できます。アラームが生成されない場合、それに関連付けられたブロックも実行されません。
(注) Never Block Address オプションはレート制限には適用されません。
ネットマスクを指定すると、それが決してブロックされるべきではないネットワークのネットマスクになります。ネットマスクを指定しない場合、指定した IP アドレスだけがブロック対象外になります。
デフォルトでは、ブロッキングはセンサー上でイネーブルです。ARC が管理しているデバイスに手動で設定をしなければならない場合は、まずブロッキングをディセーブルにする必要があります。管理者と ARC が同じデバイスに同時に変更を加えないようにしてください。同時に変更を加えると、デバイスまたは ARC の失敗を引き起こします。
(注) デフォルトでは、Cisco IOS デバイス上ではブロッキングのみがサポートされています。レート制限、またはブロッキングとレート制限を選択することで、ブロッキングのデフォルト値を上書きできます。
Blocking Properties パネルには次のフィールドとボタンがあります。
• Enable blocking :ホストのブロッキングをイネーブルにするかどうかを指定します。
デフォルトはイネーブルです。Enable blocking がディセーブルで、その他のフィールドにデフォルト以外の値が指定されていると、エラー メッセージが表示されます。
(注) ブロッキングをイネーブルにした場合は、レート制限もイネーブルにします。ブロッキングをディセーブルにした場合は、レート制限もディセーブルにします。つまり、ARC は新たにブロックまたはレート制限を追加したり、既存のブロックまたはレート制限を削除したりすることはできません。
(注) ブロッキングをイネーブルにしない場合でも、その他のブロッキング設定値はすべて設定できます。
• Allow the sensor IP address to be blocked :センサー IP アドレスをブロック可能にするかどうかを指定します。
• Log all block events and errors :センサーが、開始から終了までのブロックに伴うイベントと発生したすべてのエラー メッセージをログに記録するように設定します。
デバイスに対してブロックが追加または削除されたときには、イベントがログに記録されます。このようなすべてのイベントやエラーをログに記録する必要のない場合もあります。このオプションをディセーブルにすると、新しいイベントとエラーは抑止されます。デフォルトはイネーブルです。
(注) Log all block events and errors はレート制限にも適用されます。
• Enable NVRAM write :ARC が最初に接続したときに NVRAM に書き込むように、センサーがルータに指示します。
イネーブルの場合は、ACL が更新されるたびに NVRAM に書き込まれます。デフォルトはディセーブルです。
NVRAM への書き込みをイネーブルにすると、ブロッキングとレート制限の変更がすべて NVRAM に書き込まれます。ルータをリブートしても、正しいブロックとレート制限はアクティブなままです。NVRAM への書き込みがディセーブルの場合、ルータはリブート後にブロッキングまたはレート制限を実行しないため短時間でアップします。NVRAM への書き込みをイネーブルにしないと、NVRAM の寿命が延び、新しいブロックおよびレート制限を設定する時間は短縮されます。
• Enable ACL Logging :ARC が ACL または VACL のブロック エントリにログ パラメータを付加します。
パケットがフィルタリングされると、デバイスは syslog イベントを生成します。このオプションは、ルータおよびスイッチだけに適用されます。デフォルトはディセーブルです。
• Maximum Block Entries :ブロックするエントリの最大数。
値は 1 ~ 65535 です。デフォルトは 250 です。
• Maximum Interfaces :ブロックを実行するためのインターフェイスの最大数を設定します。
たとえば、PIX Firewall は 1 つのインターフェイスとしてカウントされます。1 つのインターフェイスを持つルータは 1 とカウントされますが、2 つのインターフェイスを持つルータは 2 とカウントされます。インターフェイスの最大数はデバイスあたり 250 です。デフォルトは 250 です。
(注) Maximum Interfaces は、ARC が管理可能なデバイスおよびインターフェイスの数の上限に設定します。ブロッキング デバイスの合計数(マスター ブロッキング センサーを除く)はこの値以下でなければなりません。ブロックする項目の合計数もこの値を超えることはできません。ファイアウォール コンテキスト、ルータがブロックするインターフェイス/方向、またはスイッチがブロックする VLAN は、それぞれ 1 つのブロックする項目と見なされます。
(注) さらに、最大限度は固定されており、それらを変更することはできません。最大限度は、デバイスあたり 100 インターフェイス、250 のファイアウォール、250 のルータ、250 の Catalyst Software スイッチ、および 100 のマスター ブロッキング センサーです。
• Maximum Rate Limit Entries :レート制限エントリの最大数。
最大レート制限の数は、最大ブロック数以下である必要があります。レート制限数をブロック数より多く設定すると、エラーが発生します。値は 1 ~ 32767 です。デフォルトは 250 です。
• Never Block Addresses :センサーによるブロッキングを回避する IP アドレスを設定します。
– IP Address :ブロックしない IP アドレス。
– Mask :ブロックしない IP アドレスに対応するマスク。
• Add :Add Never Block Address ダイアログボックスを表示します。
このダイアログボックスで、ブロックしないホストおよびネットワークのリストにホストまたはネットワークを追加できます。
• Edit :Edit Never Block ダイアログボックスを表示します。
このダイアログボックスで、ブロックしないホストまたはネットワークを変更できます。
• Delete :ブロックしないホストおよびネットワークのリストからホストまたはネットワークを削除します。
Add and Edit Never Block Address ダイアログボックスには、次のフィールドとボタンがあります。
• IP Address :ブロックしない IP アドレス。
• Mask :ブロックしない IP アドレスに対応するマスク。
ブロッキング プロパティを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Blocking Properties をクリックします。
Blocking Properties パネルが表示されます。
ステップ 3 Enable blocking チェックボックスをオンにして、ブロッキングとレート制限をイネーブルにします。
(注) ブロッキングまたはレート制限を動作させるには、ブロッキングまたはレート制限を実行するようにデバイスをセットアップする必要があります。手順については、「ルータのブロッキングまたはレート制限のデバイス インターフェイスの設定」、および「Catalyst 6000 のブロッキング デバイス インターフェイスの設定」を参照してください。
ステップ 4 必要な場合以外は、 Allow the sensor IP address to be blocked チェックボックスはオンにしないでください。
ステップ 5 ブロッキングのイベントとエラーをログに記録する場合は、 Log all block events and errors チェックボックスをオンにします。
ステップ 6 ARC が最初に接続したときに NVRAM に書き込みように、センサーによってルータに指示する場合は、 Enable NVRAM write チェックボックスをオンにします。
ステップ 7 ARC によって ACL または VACL のブロック エントリにログ パラメータを付加させる場合は、 Enable ACL logging チェックボックスをオンにします。
ステップ 8 Maximum Block Entries フィールドに、同時に実行できるブロックの数を入力します(0 ~ 65535)。
(注) 最大ブロック数は 250 を超えて設定しないことをお勧めします。
(注) ブロックの数は、最大ブロック数を超えることはできません。最大数になると、既存のブロックがタイムアウトしてなくなるまで、新しいブロックはできません。
ステップ 9 Maximum Interfaces フィールドにブロックを実行するインターフェイス数を入力します。
ステップ 10 Maximum Rate Limit Entries フィールドにレート制限のエントリ数(1 ~ 32767)を入力します。
ステップ 11 Add をクリックして、ブロックしないアドレスのリストにホストまたはネットワークを追加します。
Add Never Block Address ダイアログボックスが表示されます。
ステップ 12 IP Address フィールドにホストまたはネットワークの IP アドレスを入力します。
ステップ 13 Network Mask フィールドで、ホストまたはネットワークのネットワーク マスクを入力するか、またはリストからネットワーク マスクを選択します。
ヒント 変更を元に戻して Add Never Block Address ダイアログボックスを閉じるには、Cancel をクリックします。
エントリが重複する場合は、エラー メッセージが表示されます。
新しいホストまたはネットワークが、Blocking Properties パネルの Never Block Addresses リストに現れます。
ステップ 15 ブロックしないアドレスのリストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Never Block Address ダイアログボックスが表示されます。
ステップ 16 IP Address フィールドで、ホストまたはネットワークの IP アドレスを編集します。
ステップ 17 Network Mask フィールドで、ホストまたはネットワークのネットワーク マスクを編集します。
ヒント 変更を元に戻して Edit Never Block Address ダイアログボックスを閉じるには、Cancel をクリックします。
編集したホストまたはネットワークが、Allowed Hosts パネルの Never Block Addresses リストに現れます。
ステップ 19 リストからホストまたはネットワークを削除するには、ホストまたはネットワークを選択して Delete をクリックします。
そのホストは Blocking Properties パネルの Never Block Addresses リストから消去されます。
ステップ 20 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、アクティブなレート制限を管理する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Rate Limits パネルで、レート制限を設定および管理することができます。
レート制限は、ネットワーク デバイスのインターフェイス上で、指定されたタイプのトラフィックの量を帯域幅の最大容量の一定の率までに制限します。この率を超えるトラフィックは、ネットワーク デバイスによってドロップされます。レート制限では、指定されたターゲット ホストへのトラフィック、または設定されたインターフェイスや方向を通過するすべてのトラフィックを制限することができます。レート制限は、恒常的に、または指定した期間だけ使用することができます。レート制限は、プロトコル、オプションの宛先アドレス、およびオプションのデータ値によって指定されます。
レート制限は率(パーセント)で指定されるため、異なる帯域幅容量を持つインターフェイスでは別の実際の制限値に変換される場合があります。レート制限のパーセント値は、1 ~ 100 までの整数で指定します。
Rate Limits パネルには次のフィールドとボタンがあります。
• Protocol :レートを制限するトラフィックのプロトコル。
• Rate :レート制限されたトラフィックに許可された、帯域幅の最大容量に対する率。
• Source IP :(オプション)レート制限されたトラフィックの送信元ホストの IP アドレス。
• Source Port :(オプション)レート制限されたトラフィックの送信元ホストのポート。
• Destination IP :レート制限されたトラフィックの宛先ホストの IP アドレス。
• Destination Port :(オプション)レート制限されたトラフィックの宛先ホストのポート。
• Data :(オプション)特定のプロトコルのトラフィックをさらに正確に限定するために必要な追加の識別情報。
たとえば、echo-request の場合、ICMP プロトコルのトラフィックはレート制限の ping に絞られます。
• Minutes Remaining :該当のレート制限が有効である残り時間(分単位)。
• Timeout (minutes) :該当のレート制限の合計時間(分単位)。
• Add :Add Rate Limit ダイアログボックスを表示します。
Add Rate Limit ダイアログボックスには次のフィールドとボタンがあります。
• Protocol :レート制限されたトラフィックのプロトコル(ICMP、TCP、または UDP)。
• Rate :レート制限されたトラフィックに許可された、帯域幅の最大容量に対する率。
• Source IP :(オプション)レート制限されたトラフィックの送信元ホストの IP アドレス。
• Source Port :(オプション)レート制限されたトラフィックの送信元ホストのポート。
• Destination IP :(オプション)レート制限されたトラフィックの宛先ホストの IP アドレス。
• Destination Port :(オプション)レート制限されたトラフィックの宛先ホストのポート。
• Use Additional Data :(オプション)echo-reply、echo-request、halfOpenSyn などの追加データを指定するかどうかを選択できます。
• Timeout :タイムアウトをイネーブルにするかどうかを選択できます。
– No Timeout :タイムアウトをイネーブルにしません。
– Enable Timeout :タイムアウト(分単位)を指定できます(1 ~ 70560)。
• Apply :変更を適用してダイアログボックスを閉じます。
レート制限の詳細については、「レート制限について」を参照してください。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Monitoring > Rate Limits をクリックします。
ステップ 3 Add をクリックして、レート制限を追加します。
Add Rate Limit ダイアログボックスが表示されます。
ステップ 4 レートを制限するトラフィックのプロトコル(ICMP、TCP、または UDP)を Protocol リストから選択します。
ステップ 5 Rate フィールドにレート制限(1 ~ 100)を入力します。
ステップ 6 (オプション) Destination IP フィールドに宛先 IP アドレスを入力します。
ステップ 7 レート制限で追加データを使用するように設定する場合は、 Use Additional Data チェックボックスを選択します。
ステップ 8 Select Data リストから、追加データ(echo-reply、echo-request、または halfOpenSyn)を選択します。
ステップ 9 タイムアウト(分単位)を設定する場合は、 Enable Timeout チェックボックスを選択します。
ステップ 10 Timeout フィールドに、時間を分単位で入力します(1 ~ 70560)。
ヒント 変更を元に戻して Add Rate Limit ダイアログボックスを閉じるには、Cancel をクリックします。
ステップ 11 レート制限に一定の時間を設定しない場合は、 No Timeout チェックボックスを選択します。
Rate Limits パネルのリストに新しいレート制限が表示されます。
ステップ 13 Refresh をクリックして、Rate Limits リストの内容をリフレッシュします。
ステップ 14 レート制限を削除するには、リストからレート制限を選択して、 Delete をクリックします。
Delete Rate Limit ダイアログボックスで、該当のレート制限を本当に削除するかどうかをたずねられます。
ヒント No をクリックすると、Delete Rate Limit ダイアログボックスが閉じます。
ステップ 15 Yes をクリックしてレート制限を削除します。
該当のレート制限はレート制限のリストに表示されなくなります。
この項では、デバイス ログイン プロファイルを設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Device Login Profiles パネルで、センサーがブロッキング デバイスへのログイン時に使用するプロファイルを設定できます。
センサーが管理するその他のハードウェアについてもデバイス ログイン プロファイルをセットアップする必要があります。デバイス ログイン プロファイルには、作成した名前の下に、ユーザ名、ログイン パスワード、およびイネーブル パスワードに関する情報が含まれます。たとえば、同じパスワードとユーザ名を使用するルータはすべて 1 つのデバイス ログイン プロファイル名の下にまとめることができます。
(注) ブロッキング デバイスを設定する前に、デバイス ログイン プロファイルを作成しておく必要があります。
Device Login Profile パネルには次のフィールドとボタンがあります。
• Username :ブロッキング デバイスへのログインに使用されるユーザ名(オプション)。
• Login Password :ブロッキング デバイスへのログインに使用されるパスワード(オプション)。
Add Device Login Profile ダイアログボックスのみの項目です。
(注) パスワードが存在する場合、パスワードは固定数のアスタリスクで表示されます。
• Enable Password :ブロッキング デバイスで使用されるイネーブル パスワード(オプション)。
Add Device Login Profile ダイアログボックスのみの項目です。
(注) パスワードが存在する場合、パスワードは固定数のアスタリスクで表示されます。
• Add :Add Device Login Profile ダイアログボックスを表示します。
このダイアログボックスで、デバイス ログイン プロファイルを追加できます。
• Edit :Edit Device Login Profile ダイアログボックスを表示します。
このダイアログボックスで、このデバイス ログイン プロファイルに関連付けられた値を変更できます。
• Delete :デバイス ログイン プロファイルのリストから該当のデバイス ログイン プロファイルを削除します。
使用中のプロファイルを削除しようとすると、エラー メッセージが表示されます。
Add and Edit Device Login Profile ダイアログボックスには、次のフィールドとボタンがあります。
• Username :ブロッキング デバイスへのログインに使用されるユーザ名(オプション)。
• Login Password :ブロッキング デバイスへのログインに使用されるパスワード(オプション)。
Add Device Login Profile ダイアログボックスのみの項目です。
(注) パスワードが存在する場合、パスワードは固定数のアスタリスクで表示されます。
• Enable Password :ブロッキング デバイスで使用されるイネーブル パスワード(オプション)。
Add Device Login Profile ダイアログボックスのみの項目です。
(注) パスワードが存在する場合、パスワードは固定数のアスタリスクで表示されます。
デバイス ログイン プロファイルを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Device Login Profiles をクリックします。
Device Login Profiles パネルが表示されます。
ステップ 3 Add をクリックして、プロファイルを追加します。
Add Device Login Profile ダイアログボックスが表示されます。
ステップ 4 Profile Name フィールドにプロファイル名を入力します。
ステップ 5 Username フィールドにブロッキング デバイスにログインするために使用するユーザ名を入力します。
ステップ 6 New Password フィールドにログイン パスワードを入力し、 Confirm New Password フィールドにも再度入力します。
ステップ 7 New Password フィールドにイネーブル パスワードを入力し、 Confirm New Password フィールドにも再度入力します。
ヒント 変更を元に戻して Add Device Login Profile ダイアログボックスを閉じるには、Cancel をクリックします。
プロファイル名がすでに存在する場合は、エラー メッセージが表示されます。
Device Login Profile パネルのリストに新しいデバイス ログイン プロファイルが表示されます。
ステップ 9 デバイス ログイン プロファイル リストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Device Login Profile ダイアログボックスが表示されます。
ステップ 10 Username フィールドでブロッキング デバイスにログインするために使用するユーザ名を編集します。
ステップ 11 ログイン パスワードを変更するには、 Change the login password を選択します。
ステップ 12 New Password フィールドに新しいログイン パスワードを入力し、 Confirm New Password フィールドにも再度入力します。
ステップ 13 イネーブル パスワードを変更するには、 Change the enable password を選択します。
ステップ 14 New Password フィールドに新しいイネーブル パスワードを入力し、 Confirm New Password フィールドにも再度入力します。
ヒント 変更を元に戻して Edit Device Login Profile ダイアログボックスを閉じるには、Cancel をクリックします。
Device Login Profile パネルのリストに編集したデバイス ログイン プロファイルが表示されます。
ステップ 16 リストからデバイス ログイン プロファイルを削除するには、それを選択して Delete をクリックします。
そのデバイス ログイン プロファイルは、Device Login Profile パネルのリストから消去されます。
ステップ 17 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、ブロッキング デバイスおよびレート制限デバイスを設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
• 「ブロッキング デバイスおよびレート制限デバイスの設定」
Blocking Devices パネルで、ブロッキングおよびレート制限を実装するために、センサーが使用するデバイスを設定できます。
Cisco IOS ルータまたは Catalyst 6500 ファミリのスイッチに配置する ACL 規則を生成したり、PIX Firewall または ASA で排除規則を生成することにより、攻撃をブロックするようにセンサーを設定できます。このルータ、スイッチ、ファイアウォールは、ブロッキング デバイスと呼ばれます。
レート制限では ACL が使用されますが、使用方法はブロックの場合とは異なります。レート制限は、ACL と class-map エントリを使用して、トラフィック、およびトラフィックをポリシングするための policy-map エントリと service-policy エントリを識別します。
あらかじめセンサーが管理するデバイスごとにデバイス ログイン プロファイルを指定しておかないと、Blocking Devices パネルでデバイスを設定することはできません。
Blocking Devices パネルには次のフィールドとボタンがあります。
• IP Address :ブロッキング デバイスの IP アドレス。
• Sensor's NAT Address :(オプション)センサーの NAT アドレス。
• Device Login Profile :ブロッキング デバイスへのログインに使用されるデバイスのログイン プロファイル。
• Device Type :デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。
• Response Capabilities :デバイスで、ブロッキング、レート制限、またはその両方を使用するかどうかを示します。
• Communication :ブロッキング デバイスへのログインに使用される通信メカニズムを示します(SSH 3DES、SSH DES、Telnet)。
• Add :Add Blocking Device ダイアログボックスを表示します。
このダイアログボックスで、ブロッキング デバイスを追加できます。
IP アドレスがすでに存在する場合は、エラー メッセージが表示されます。
• Edit :Edit Blocking Device ダイアログボックスを表示します。
このダイアログボックスで、このブロッキング デバイスに関連付けられた値を変更できます。
• Delete :ブロッキング デバイスのリストから該当のブロッキング デバイスを削除します。
使用中のブロッキング デバイスを削除しようとすると、エラー メッセージが表示されます。
Add and Edit Blocking Device ダイアログボックスには、次のフィールドとボタンがあります。
• IP Address :ブロッキング デバイスの IP アドレス。
• Sensor's NAT Address :(オプション)センサーの NAT アドレス。
• Device Login Profile :ブロッキング デバイスへのログインに使用されるデバイスのログイン プロファイル。
• Device Type :デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。
• Response Capabilities :デバイスで、ブロッキング、レート制限、またはその両方を使用するかどうかを示します。
• Communication :ブロッキング デバイスへのログインに使用される通信メカニズムを示します(SSH 3DES、SSH DES、Telnet)。
ブロッキング デバイスおよびレート制限デバイスを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Blocking Devices をクリックします。
ステップ 3 Add をクリックし、ブロッキング デバイスを追加します。
デバイス ログイン プロファイルが設定されていない場合は、エラー メッセージが表示されます。手順については、「デバイス ログイン プロファイルの設定」を参照してください。
Add Blocking Device ダイアログボックスが表示されます。
ステップ 4 IP Address フィールドにブロッキング デバイスの IP アドレスを入力します。
ステップ 5 (オプション) Sensor's NAT Address フィールドにセンサーの NAT アドレスを入力します。
ステップ 6 Device Login Profile ドロップダウン リストからデバイス ログイン プロファイルを選択します。
ステップ 7 Device Type ドロップダウン リストからデバイスのタイプを選択します。
ステップ 8 Response Capabilities の隣にある Block または Rate Limit 、もしくは両方をオンにして、デバイスがブロッキング、レート制限、または両方のそれを実行するかを選択します。
(注) シグニチャがトリガーされたときに SensorApp が ARC にブロック要求またはレート制限要求を送信できるように、特定のシグニチャのブロッキングおよびレート制限のアクションを選択する必要があります。詳細については、「シグニチャへのアクションの割り当て」を参照してください。
ステップ 9 Communication ドロップダウン リストから通信タイプを選択します。
SSH 3DES または SSH DES を選択した場合は、手順 11 に進みます。
ヒント 変更を元に戻して Add Blocking Device ダイアログボックスを閉じるには、Cancel をクリックします。
IP アドレスがすでに追加されている場合は、エラー メッセージが発生します。
Blocking Devices パネルのリストに新しいデバイスが表示されます。
ステップ 11 SSH 3DES または SSH DES を選択した場合、デバイスを既知のホストのリストに追加する必要があります。
(注) SSH 3DES または SSH DES を選択する場合、ブロッキング デバイスに目的の 3DES/DES の暗号化をサポートする機能セットまたはライセンスがある必要があります。
(注) また、Configuration > SSH > Known Host Keys > Add Known Host Key をクリックして、Add Known Host Key ダイアログボックスで既知のホストのリストにデバイスを追加することもできます。手順については、「既知のホスト鍵の定義」を参照してください。
a. センサーに Telnet 接続し、CLI にログインします。
b. グローバル コンフィギュレーション モードに入ります。
sensor(config)#
ssh host-key blocking_device_ip_address
d. 公開鍵を既知のホストのリストに追加することを確認するように求めるメッセージが表示されます。
f. グローバル コンフィギュレーション モードと CLI を終了します。
ステップ 12 ブロッキング デバイスのリストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Blocking Device ダイアログボックスが表示されます。
ステップ 13 必要に応じてセンサーの NAT アドレスを編集します。
ステップ 14 必要に応じてデバイス ログイン プロファイルを変更します。
ステップ 16 必要に応じて、デバイスがブロッキングまたはレート制限のどちらを実行するかを変更します。
ヒント 変更を元に戻して Edit Blocking Device ダイアログボックスを閉じるには、Cancel をクリックします。
Blocking Devices パネルのリストに編集したブロッキング デバイスが表示されます。
ステップ 19 ブロッキング デバイスをリストから削除するには、それを選択して Delete をクリックします。
そのブロッキング デバイスは、Blocking Device パネルのリストから消去されます。
ステップ 20 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、ルータのブロッキングまたはレート制限のインターフェイスを設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
• 「ルータのブロッキングおよびレート制限のデバイス インターフェイスの設定」
ARC は Cisco ルータおよびスイッチ上の ACL を使用して、それらのデバイスを管理します。これらの ACL は、次のもので構成されています。
(注) ACL はレート制限のあるデバイスには適用されません。
1. センサーの IP アドレス、または指定されている場合はセンサーの NAT アドレスが示された permit 行
(注) センサーのブロックを許可する場合は、この行は ACL に表示されません。
この ACL はすでにデバイスに存在している必要があります。
(注) ARC はこの ACL の行を読み取り、その行を ACL の先頭にコピーします。
この ACL はすでにデバイスに存在している必要があります。
(注) ARC はこの ACL の行を読み取り、その行を ACL の最後にコピーします。
(注) 一致しないパケットをすべて許可する場合は、ACL の最後の行を必ず permit ip any any にします。
– permit ip any any (Post-Block ACL が指定されている場合は使用しません。)
ARC は、2 つの ACL を使用してデバイスを管理します。一時点でアクティブになるのは、どちらか 1 つだけです。ARC は、オフラインになっている ACL の名前を使用して新しい ACL を作成し、それをインターフェイスに適用します。その後、次のサイクルでは、ARC はこの逆のプロセスを実行します。
Pre-Block または Post-Block ACL を変更する必要がある場合は、次の手順を実行します。
ブロッキングが再度有効になると、センサーは新しいデバイス コンフィギュレーションを読み取ります。手順については、 「ブロッキング プロパティの設定」 を参照してください。
IPS 5.1 は、ユーザが定義しレート制限と一緒に適用されるサービス ポリシーをサポートしていません。サービス ポリシーには、センサー レート制限との互換性がありません。サービス ポリシーは、レート制限用に設定されたインターフェイス/方向には適用しないでください。適用すると、レート制限アクションが失敗します。レート制限を設定する前に、インターフェイス/方向にサービス ポリシーがないことを確認し、存在する場合にはそれを削除してください。
レート制限では ACL が使用されますが、使用方法はブロックの場合とは異なります。レート制限は、ACL と class-map エントリを使用して、トラフィック、およびトラフィックをポリシングするための policy-map エントリと service-policy エントリを識別します。
Router Blocking Device Interfaces パネルで、ルータ上のブロッキング インターフェイスまたはレート制限インターフェイスを設定し、ブロックまたはレート制限するトラフィックの方向を指定する必要があります。
Pre-Block ACL と Post-Block ACL は、ルータのコンフィギュレーション内に作成し、保存します。これらの ACL は名前付きまたは番号付きの拡張 IP ACL にする必要があります。ACL の作成の詳細については、ルータのマニュアルを参照してください。
(注) Pre-Block および Post-Block ACL は、レート制限には適用されません。
Pre-Block ACL と Post-Block ACL の各フィールドに、ルータにすでに設定されている ACL の名前を入力します。
Pre-Block ACL は、主にブロック対象外のものを許可するために使用されます。この ACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block ACL の許可の行である場合、ACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block ACL は、ブロックによって生じる拒否の行よりも優先されます。
Post-Block ACL は、同じインターフェイスまたは方向に対して、追加的にブロッキングまたは許可を行う場合に最適です。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合、その ACL を Post-Block ACL として使用できます。Post-Block ACL がない場合、センサーは新しい ACL の最後に permit ip any any を挿入します。
センサーが起動すると、2 つの ACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の ACL が作成されます。
• センサーによってブロックされている各アドレスの deny 行
センサーは新しい ACL を、指定したインターフェイスと方向に適用します。
(注) 新しい ACL がルータのインターフェイスまたは方向に適用されると、そのインターフェイスまたは方向に対する他の ACL が適用されなくなります。
この項では、ルータ インターフェイスのフィールドの定義を示します。取り上げる事項は次のとおりです。
Router Blocking Device Interfaces パネルには次のフィールドとボタンがあります。
• Router Blocking Device :ブロッキングまたはレート制限を実行するルータ デバイスの IP アドレス。
• Blocking Interface :ブロッキングまたはレート制限を実行するルータ デバイスで使用されるインターフェイス。
a ~ z、A ~ Z、0 ~ 9、「.」および「/」で構成された 1 ~ 64 文字の値が有効です。
• Direction :ブロッキング ACL を適用する方向。
• Pre-Block ACL :ブロッキング用の ACL の前に適用する ACL。
0 ~ 64 文字の値が有効です。このフィールドはレート制限には適用されません。
• Post-Block ACL :ブロッキング用の ACL の後で適用する ACL。
0 ~ 64 文字の値が有効です。このフィールドはレート制限には適用されません。
(注) Post-Block ACL と Pre-Block ACL を同じにすることはできません。
• Add :Add Router Blocking Device Interface ダイアログボックスを開きます。
このダイアログボックスで、ルータのブロッキング デバイスまたはレート制限デバイスのインターフェイスを追加できます。
ルータのブロッキング デバイスがない場合は、エラー メッセージが表示されます。
• Edit :Edit Router Blocking Device Interface ダイアログボックスを表示します。
このダイアログボックスで、このルータのブロッキング デバイスまたはレート制限デバイスのインターフェイスに関連付けられた値を変更できます。
• Delete :ルータのブロッキング デバイス インターフェイスのリストから該当のルータ ブロッキング デバイス インターフェイスを削除します。
Add and Edit Router Blocking Device Interface ダイアログボックスには、次のフィールドとボタンがあります。
• Router Blocking Device :ブロッキングまたはレート制限を実行するルータ デバイスの IP アドレス。
• Blocking Interface :ブロッキングまたはレート制限を実行するルータ デバイスで使用されるインターフェイス。
a ~ z、A ~ Z、0 ~ 9、「.」および「/」で構成された 1 ~ 64 文字の値が有効です。
• Direction :ブロッキング ACL を適用する方向。
• Pre-Block ACL :ブロッキング用の ACL の前に適用する ACL。
0 ~ 64 文字の値が有効です。このフィールドはレート制限には適用されません。
• Post-Block ACL :ブロッキング用の ACL の後で適用する ACL。
0 ~ 64 文字の値が有効です。このフィールドはレート制限には適用されません。
(注) Post-Block ACL と Pre-Block ACL を同じにすることはできません。
ルータのブロッキングおよびレート制限のデバイス インターフェイスを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Router Blocking Device Interfaces をクリックします。
Router Blocking Device Interfaces パネルが表示されます。
ステップ 3 Add をクリックし、ルータのブロッキングまたはレート制限のデバイス インターフェイスを追加します。
Add Router Blocking Device Interface ダイアログボックスが表示されます。
ステップ 4 ルータのブロッキング デバイスまたはレート制限デバイスの IP アドレスをドロップダウン リストから選択します。
ステップ 5 Blocking Interface フィールドにブロッキングまたはレート制限のインターフェイスの名前を入力します。
ステップ 6 Direction ドロップダウン リストから方向(インまたはアウト)を選択します。
ステップ 7 (オプション) Pre-Block ACL フィールドに Pre-Block ACL の名前を入力します。
ステップ 8 (オプション) Post-Block ACL フィールドに Post-Block ACL の名前を入力します。
ヒント 変更を元に戻して Add Router Blocking Device Interface ダイアログボックスを閉じるには、Cancel をクリックします。
IP アドレス/インターフェイス/方向の組み合せがすでに存在する場合は、エラー メッセージが表示されます。
Router Blocking Device Interfaces パネルのリストに新しいインターフェイスが表示されます。
ステップ 10 ルータのブロッキング デバイス インターフェイスのリストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Router Blocking Device ダイアログボックスが表示されます。
ステップ 11 ブロッキングまたはレート制限のインターフェイスの名前を編集します。
ステップ 13 (オプション)Pre-Block ACL の名前を編集します。
ステップ 14 (オプション)Post-Block ACL の名前を編集します。
ヒント 変更を元に戻して Edit Router Blocking Device Interface ダイアログボックスを閉じるには、Cancel をクリックします。
Router Blocking Device Interfaces パネルのリストに編集したルータのブロッキングまたはレート制限のデバイス インターフェイスが表示されます。
ステップ 16 ブロッキングまたはレート制限のデバイス インターフェイスをリストから削除するには、それを選択して Delete をクリックします。
そのルータのブロッキングまたはレート制限のデバイス インターフェイスは、Router Blocking Device Interfaces パネルのリストから消去されます。
ステップ 17 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、Catalyst 6500 シリーズ スイッチのインターフェイスを設定する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
• 「Catalyst 6000 のブロッキング デバイス インターフェイスの設定」
Cat 6K Blocking Device Interfaces パネルで、ブロックする Catalyst 6500 シリーズ スイッチの VLAN ID と VACL を指定します。
ARC のブロッキングを設定するときには、Cisco Catalyst ソフトウェアを実行している場合にはスイッチ自体にある VACL を、また、Cisco IOS ソフトウェアを実行している場合には MSFC 上またはスイッチ自体にあるルータの ACL を使用できます。この項では、VACL を使用したブロッキングについて説明します。VACL を使用するスイッチでレート制限を実行するように設定することはできません。
Catalyst 6500 シリーズ スイッチ上でブロッキング インターフェイスを設定し、ブロックするトラフィックの VLAN を指定する必要があります。
スイッチの設定に Pre-Block VACL と Post-Block VACL を作成して保存します。これらの VACL は名前付きまたは番号付きの拡張 IP VACL にする必要があります。VACL の作成の詳細については、スイッチのマニュアルを参照してください。
Pre-Block VACL と Post-Block VACL の各フィールドに、スイッチですでに設定されている VACL の名前を入力します。
Pre-Block VACL は、主にブロック対象外のものを許可するために使用されます。VACL を使用してパケットがチェックされる場合は、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block VACL の許可の行である場合、VACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block VACL は、ブロックによって生じる拒否の行よりも優先されます。
Post-Block VACL は、同じ VLAN で追加的なブロッキングまたは許可を行う場合に最適です。センサーが管理する VLAN に既存の VACL がある場合、その VACL を Post-Block VACL として使用できます。Post-Block VACL がない場合、センサーは新しい VACL の最後に permit ip any any を挿入します。
(注) IDSM-2 は、新しい VACL の最後に permit ip any any capture を挿入します。
センサーが起動すると、2 つの VACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の VACL が作成されます。
• センサーによってブロックされている各アドレスの deny 行
• Post-Block VACL のすべての設定行のコピー
センサーは新しい VACL を、指定した VLAN に適用します。
(注) スイッチの VLAN に新しい VACL が適用されると、該当の VLAN に対して他のすべての VACL は適用されなくなります。
Catalyst 6500 シリーズ スイッチのブロッキング デバイスのインターフェイスを設定するには、管理者またはオペレータである必要があります。
この項では、Catalyst 6500 シリーズ スイッチ インターフェイスのフィールドの定義を示します。取り上げる事項は次のとおりです。
Cat 6K Blocking Device Interfaces パネルには次のフィールドとボタンがあります。
• Cat 6K Blocking Device :ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。
• VLAN ID :ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。
• Pre-Block VACL :ブロッキング用の VACL の前に適用する VACL。
• Post-Block VACL :ブロッキング用の VACL の後で適用する VACL。
(注) Post-Block VACL と Pre-Block VACL を同じにすることはできません。
• Add :Add Cat 6K Blocking Device Interface ダイアログボックスを表示します。
このダイアログボックスで、Catalyst 6500 シリーズスイッチのブロッキング デバイス インターフェイスを追加することができます。
Catalyst 6500 シリーズ スイッチがない場合は、エラーが表示されます。
• Edit :Edit Cat 6K Blocking Device Interface ダイアログボックスを表示します。
このダイアログボックスで、この Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスに関連付けられた値を変更できます。
• Delete :スイッチのブロッキング デバイス インターフェイスのリストから該当のスイッチ インターフェイスを削除します。
Add and Edit Cat 6K Blocking Device Interface ダイアログボックスには、次のフィールドとボタンがあります。
• Cat 6K Blocking Device :ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。
• VLAN ID :ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。
• Pre-Block VACL :ブロッキング用の VACL の前に適用する VACL。
• Post-Block VACL :ブロッキング用の VACL の後で適用する VACL。
(注) Post-Block VACL と Pre-Block VACL を同じにすることはできません。
Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Cat 6K Blocking Device Interfaces をクリックします。
CAT 6K Blocking Device Interfaces パネルが表示されます。
ステップ 3 Add をクリックし、Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスを追加します。
Add Cat 6K Blocking Device Interface ダイアログボックスが表示されます。
ステップ 4 Catalyst 6500 シリーズ スイッチの IP アドレスをドロップダウン リストから選択します。
ステップ 5 VLAN ID フィールドに VLAN ID を入力します。
ステップ 6 (オプション) Pre-Block VACL フィールドに Pre-Block VACL の名前を入力します。
ステップ 7 (オプション) Post-Block VACL フィールドに Post-Block VACL の名前を入力します。
ヒント 変更を元に戻して Add Cat 6K Blocking Device Interface ダイアログボックスを閉じるには、Cancel をクリックします。
IP アドレス/VLAN の組み合せがすでに存在する場合は、エラー メッセージが表示されます。
Cat 6K Blocking Device Interfaces パネルのリストに新しいインターフェイスが表示されます。
ステップ 9 Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスのリストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Cat 6K Blocking Device Interface ダイアログボックスが表示されます。
ステップ 11 Pre-Block VACL の名前を編集します。
ステップ 12 Post-Block VACL の名前を編集します。
ヒント 変更を元に戻して Edit Cat 6K Blocking Device Interface ダイアログボックスを閉じるには、Cancel をクリックします。
Cat 6K Blocking Device Interfaces パネルのリストに編集した Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスが表示されます。
ステップ 14 Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスをリストから削除するには、それを選択して Delete をクリックします。
その Catalyst 6500 シリーズ スイッチのブロッキング デバイス インターフェイスは、Cat 6K Blocking Device Interfaces パネルのリストから消去されます。
ステップ 15 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、マスター ブロッキング センサーの設定方法について説明します。取り上げる事項は次のとおりです。
(注) マスター ブロッキング センサーは、マスター レート制限センサーとしても動作できます。
• 概要
Master Blocking Sensor パネルで、ブロッキング デバイスを制御するために使用するマスター ブロッキング センサーを指定します。
ブロッキング要求は、複数のセンサー(ブロッキング転送センサー)から、1 つ以上のデバイスを制御する、マスター ブロッキング センサーに転送できます。マスター ブロッキング センサーは、1 つ以上のセンサーに代わって 1 つ以上のデバイスのブロッキングを管理するセンサーで実行される ARC です。マスター ブロッキング センサーの ARC は、他のセンサーで実行されている ARC の要求により、デバイスのブロッキングを制御します。
(注) マスター ブロッキング センサーを追加する場合は、センサーごとにブロックするデバイスの数を減らしてください。たとえば、10 のファイアウォールと 10 のルータでブロッキングを行い、ブロックするインターフェイス/方向がそれぞれ 1 つずつある場合は、そのうちの 10 をセンサーに割り当て、残りの 10 をマスター ブロッキング センサーに割り当てます。
また、マスター ブロッキング センサーは、レート制限を転送することもできます。
これには、ブロッキング転送センサーで、どのリモート ホストがマスター ブロッキング センサーであるかを特定し、マスター ブロッキング センサーではブロッキング転送センサーをアクセス リストに追加する必要があります。
マスター ブロッキング センサーで Web 接続に TLS が必要である場合は、ブロッキング転送センサーの ARC がマスター ブロッキング センサーであるリモート ホストの X.509 証明書を受け入れるように設定する必要があります。センサーでは、デフォルトで TLS がイネーブルになっていますが、このオプションは変更可能です。
(注) 通常、マスター ブロッキング センサーは、ネットワーク デバイスを管理するために設定されます。ブロッキング転送センサーは、通常は他のネットワーク デバイスの管理目的では設定されませんが、設定することはできます。
ブロッキングやレート制限用に設定されたデバイスが存在しない場合であっても、ブロッキングやレート制限を実行するように設定されたセンサーは、ブロッキング要求やレート制限要求をマスター ブロッキング センサーに転送できます。イベント アクションとしてブロッキング要求やレート制限要求が設定されたシグニチャが発生すると、センサーはそのブロッキング要求またはレート制限要求をマスター ブロッキング センサーに転送し、そこでブロッキングやレート制限が実行されます。
この項では、マスター ブロッキング センサーのフィールドの定義を示します。取り上げる事項は次のとおりです。
Master Blocking Sensor パネルには次のフィールドとボタンがあります。
• IP Address :マスター ブロッキング センサーの IP アドレス。
• Port :マスター ブロッキング センサーに接続するためのポート。
• Username :マスター ブロッキング センサーへのログインに使用されるユーザ名。
• TLS Used :TLS を使用するかどうかを指定します。
• Add :Add Master Blocking Sensor ダイアログボックスを表示します。
このダイアログボックスで、マスター ブロッキング センサーを追加できます。
• Edit :Edit Master Blocking Sensor ダイアログボックスを表示します。
このダイアログボックスで、このマスター ブロッキング センサーに関連付けられた値を変更できます。
• Delete :マスター ブロッキング センサーのリストから該当のマスター ブロッキング センサーを削除します。
Add and Edit Master Blocking Sensor ダイアログボックスには、次のフィールドとボタンがあります。
• IP Address :マスター ブロッキング センサーの IP アドレス。
• Port :(オプション)マスター ブロッキング センサーの接続先ポート。
• Username :マスター ブロッキング センサーへのログインに使用されるユーザ名。
• Change the password :パスワードを変更するかどうかを指定します。
• New Password :マスター ブロッキング センサーへのログインに使用されるログイン パスワード。
• Confirm Password :ログイン パスワードの確認。
• Use TLS :TLS を使用するかどうかを指定します。
マスター ブロッキング センサーを設定するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Configuration > Blocking > Master Blocking Sensor をクリックします。
Master Blocking Sensor パネルが表示されます。
ステップ 3 Add をクリックし、マスター ブロッキング センサーを追加します。
Add Master Blocking Sensor ダイアログボックスが表示されます。
ステップ 4 IP Address フィールドにマスター ブロッキング センサーの IP アドレスを入力します。
ステップ 5 (オプション) Port フィールドにポート番号を入力します。
ステップ 6 Username フィールドにユーザ名を入力します。
ステップ 7 Password フィールドにユーザのパスワードを入力します。
ステップ 8 Confirm New Password フィールドにパスワードを再度入力します。
ヒント 変更を元に戻して Add Master Blocking Sensor ダイアログボックスを閉じるには、Cancel をクリックします。
IP アドレスがすでに追加されている場合は、エラー メッセージが発生します。
Master Blocking Sensor パネルのリストに新しいマスター ブロッキング センサーが表示されます。
ステップ 11 TLS を選択した場合は、マスター ブロッキング センサー リモート ホストの TLS/SSL X.509 証明書を受け取るためにブロッキング転送センサーの ARC を設定します。
(注) また、Configuration > Certificates > Trusted Hosts > Add Trusted Host をクリックして、X.509 証明書を受け取るためのブロッキング転送センサーを設定することもできます。手順については、「信頼できるホストの追加」を参照してください。
a. 管理者特権を持つアカウントを使用してブロッキング転送センサーの CLI にログインします。
b. グローバル コンフィギュレーション モードに入ります。
信頼できるホストの追加を確認するように求めるメッセージが表示されます。
e. グローバル コンフィギュレーション モードと CLI を終了します。
(注) 証明書のフィンガープリントに基づいて証明書を受け入れるように求めるプロンプトが表示されます。センサーは自己署名証明書のみを提示します(公認の認証局の証明書ではありません)。マスター ブロッキング センサーのホスト センサーの証明書は、ホスト センサーにログインし show tls fingerprint コマンドを入力してホストの証明書のフィンガープリントが一致していることを調べることで、確認できます。
ステップ 12 マスター ブロッキング センサー リストに既存のエントリを編集するには、それを選択して Edit をクリックします。
Edit Master Blocking Sensor ダイアログボックスが表示されます。
ステップ 15 このユーザのパスワードを変更する場合は、 Change the password を選択します。
a. New Password フィールドに新しいパスワードを入力します。
b. 確認のため、 Confirm New Password フィールドに新しいパスワードを再度入力します。
ステップ 16 TLS チェックボックスをオンまたはオフにします。
ヒント 変更を元に戻して Edit Master Blocking Sensor ダイアログボックスを閉じるには、Cancel をクリックします。
Master Blocking Sensor パネルのリストに編集したマスター ブロッキング センサーが表示されます。
ステップ 18 リストからマスター ブロッキング センサーを削除するには、それを選択して Delete をクリックします。
そのマスター ブロッキング センサーは、Master Blocking Sensor パネルのリストから消去されます。
ステップ 19 変更を適用し、改訂したコンフィギュレーションを保存するには、 Apply をクリックします。
この項では、アクティブなホスト ブロックを管理する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Active Host Blocks パネルで、ホストのブロッキングを設定および管理できます。
アクティブなホスト ブロックは、特定のホストからのトラフィックを(そのブロックを削除するまで)永続的にブロックするか、指定された期間ブロックします。宛先 IP アドレスと、宛先のプロトコルおよびポートを指定することにより、接続をベースにしたブロックを実行することもできます。
アクティブなホスト ブロックは、送信元 IP アドレスによって定義されます。既存のブロックと同じ送信元 IP アドレスを持つブロックを追加すると、新しいブロックによって古いブロックが上書きされます。
ブロックの期間を指定する場合は、値を 1 ~ 70560 分(49 日)の範囲にする必要があります。時間を指定しない場合、ホスト ブロックはセンサーがリブートされるかブロックが削除されるまで有効になります。
Active Host Blocks パネルには次のフィールドとボタンがあります。
• Source IP :ブロックの送信元 IP アドレス。
• Destination IP :ブロックの宛先 IP アドレス。
• Destination Port :ブロックの宛先ポート。
• Protocol :プロトコルのタイプ(TCP、UDP、または ANY)。
• Minutes Remaining :ブロックの残り時間(分単位)。
• Timeout (minutes) :ブロックのオリジナルのタイムアウト値(分単位)。
• VLAN :シグニチャを発生させたデータを伝送した VLAN を示します。
• Connection Block Enabled :ホストへの接続をブロックするかどうか。
• Add :Add Active Host Block ダイアログボックスを開きます。
このダイアログボックスから、ホストの手動ブロックを追加できます。
Add Active Host Block ダイアログボックスには、次のフィールドとボタンがあります。
• Source IP :ブロックの送信元 IP アドレス。
• Enable connection blocking :ホストへの接続をブロックするかどうか。
• Connection Blocking :接続ブロッキングのパラメータを設定できます。
– Destination IP :ブロックの宛先 IP アドレス。
– Destination Port :(オプション)ブロックの宛先ポート。
– Protocol :(オプション)プロトコルのタイプ(TCP、UDP、または ANY)。
• VLAN :(オプション)シグニチャを発生させたデータを伝送した VLAN を示します。
• Enable Timeout :ブロックのタイムアウト値(分単位)を設定できます。
• No Timeout :ブロックにタイムアウトを指定しません。
• Apply :変更を適用し、改訂したコンフィギュレーションを保存します。
アクティブなホスト ブロックを設定および管理するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Monitoring > Active Host Blocks をクリックします。
Active Host Blocks パネルが表示されます。
ステップ 3 Add をクリックして、アクティブなホスト ブロックを追加します。
Add Active Host Block ダイアログボックスが表示されます。
ステップ 4 ブロックするホストの送信元 IP アドレスを入力します。
ステップ 5 ブロックを接続ベースにする場合は、 Enable Connection Blocking チェックボックスを選択します。
(注) 接続ブロックでは、特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックがブロックされます。
a. Destination IP フィールドに宛先 IP アドレスを入力します。
b. (オプション) Destination Port フィールドに宛先ポートを入力します。
c. Protocol ドロップダウン リストからプロトコルを選択します。
ステップ 6 (オプション) VLAN フィールドに、接続ブロックの VLAN を入力します。
ステップ 7 ブロックに一定の時間を設定する場合は、 Enable Timeout チェックボックスを選択します。
ステップ 8 Timeout フィールドに、時間(分単位)を入力します。
ヒント 変更を元に戻して Add Active Host Block ダイアログボックスを閉じるには、Cancel をクリックします。
ステップ 9 ブロックに一定の時間を設定しない場合は、 No Timeout チェックボックスを選択します。
その IP アドレスにブロックが設定されている場合は、エラー メッセージが発生します。
Active Host Blocks パネルのリストに新しいアクティブなホスト ブロックが表示されます。
ステップ 11 Refresh をクリックして、アクティブなホスト ブロックのリストの内容をリフレッシュします。
ステップ 12 ブロックを削除するには、リストでアクティブなホスト ブロックを選択して、 Delete をクリックします。
Delete Active Host Block ダイアログボックスで、該当のブロックを本当に削除するかどうかをたずねられます。
ヒント 変更を元に戻して Delete Active Host Block ダイアログボックスを閉じるには、Cancel をクリックします。
ステップ 13 Yes をクリックしてブロックを削除します。
この項では、ネットワーク ブロックを管理する方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
Network Blocks パネルで、ネットワークのブロッキングを設定および管理できます。
ネットワーク ブロックは、特定のネットワークからのトラフィックを(そのブロックを削除するまで)恒常的にブロックするか、指定された期間ブロックします。
ネットワーク ブロックは、送信元 IP アドレスとネットマスクによって定義されます。ネットマスクは、ブロックされるサブネットを定義します。ホストのサブネット マスクも受け入れられます。
ブロックの期間を指定する場合は、値を 1 ~ 70560 分(49 日)の範囲にする必要があります。時間を指定しない場合、ブロックはセンサーがリブートされるかブロックが削除されるまで有効になります。
Network Blocks パネルには次のフィールドとボタンがあります。
• Minutes Remaining :ブロックの残り時間(分単位)。
• Timeout (minutes) :ブロックのオリジナルのタイムアウト値(分単位)。
• Add :Add Network Block ダイアログボックスを表示します。
このダイアログボックスから、ネットワークのブロックを追加できます。
Add Network Block ダイアログボックスには、次のフィールドとボタンがあります。
• Enable Timeout :ブロックのタイムアウト値(分単位)を示します。
• No Timeout :ブロックにタイムアウトを指定しません。
• Apply :該当のブロックをすぐにセンサーに送信します。
ネットワーク ブロックを設定および管理するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して IDM にログインします。
ステップ 2 Monitoring > Features > IPS > Network Blocks をクリックします。
ステップ 3 Add をクリックして、ネットワーク ブロックを追加します。
Add Network Block ダイアログボックスが表示されます。
ステップ 4 ブロックするネットワークの送信元 IP アドレスを入力します。
ステップ 5 Netmask ドロップダウン リストからネットマスクを選択します。
ステップ 6 ブロックに一定の時間を設定する場合は、 Enable Timeout チェックボックスを選択します。
ステップ 7 Timeout フィールドに、時間(分単位)を入力します。
ヒント 変更を元に戻して Add Network Block ダイアログボックスを閉じるには、Cancel をクリックします。
ブロックがすでに追加されている場合は、エラー メッセージが発生します。
Network Blocks パネルのリストに新しいネットワーク ブロックが表示されます。
ステップ 9 Refresh をクリックして、ネットワーク ブロックのリストの内容をリフレッシュします。
ステップ 10 ブロックを削除するには、リストでネットワーク ブロックを選択して Delete をクリックします。
Delete Network Block ダイアログボックスで、該当のブロックを本当に削除するかどうかをたずねられます。
ステップ 11 Yes をクリックしてブロックを削除します。