この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
以下のトピックでは、遠隔監視制御・情報取得(SCADA)プロトコルのプリプロセッサとその設定方法について説明します。
Supervisory Control and Data Acquisition(SCADA)プロトコルは、製造、水処理、配電、空港、輸送システムなどの工業プロセス、インフラストラクチャ プロセス、および設備プロセスからのデータをモニタ、制御、取得します。Firepower システムは、ネットワーク分析ポリシーの一部として設定できる Modbus および DNP3 SCADA プロトコル用のプリプロセッサを提供します。
対応する侵入ポリシーで Modbus または DNP3 キーワードを含むルールを有効にすると、Modbus または DNP3 プロセッサがその現在の設定で自動的に使用されます。ただし、ネットワーク分析ポリシーの Web インターフェイスではプリプロセッサは無効のままになります。
Modbus プロトコルは 1979 年に Modicon が初めて発表した、広く利用されている SCADA プロトコルです。Modbus プリプロセッサは、Modbus トラフィックの異常を検出し、ルール エンジンによる処理のために Modbus プロトコルをデコードします。ルール エンジンは Modbus キーワードを使用して特定のプロトコル フィールドにアクセスします。
1 つの構成オプションで、プリプロセッサが Modbus トラフィックを検査するポートのデフォルト設定を変更できます。
プリプロセッサが Modbus トラフィックを検査するポートを指定します。複数のポートを指定する場合は、カンマで区切ります。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
ネットワークに Modbus 対応デバイスが含まれていない場合は、トラフィックに適用するネットワーク分析ポリシーでこのプリプロセッサを有効にしないでください。
マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。| ステップ 1 |
、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。または、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。を選択します。
|
||
| ステップ 2 |
編集するポリシーの横にある編集アイコン( 代わりに表示アイコン( |
||
| ステップ 3 |
ナビゲーション パネルで [設定(Settings)] をクリックします。 |
||
| ステップ 4 |
[SCADA プリプロセッサ(SCADA Preprocessors)] の下の [Modbus の構成(Modbus Configuration)] が無効になっている場合は、[有効化(Enabled)] をクリックします。 |
||
| ステップ 5 |
[Modbus の構成(Modbus Configuration)] の横にある編集アイコン( |
||
| ステップ 6 |
[ポート(Ports)] フィールドに値を入力します。 複数の値を指定する場合は、カンマで区切ります。 |
||
| ステップ 7 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合、別のポリシーを編集すると、最後の確定後にキャッシュされた変更は破棄されます。 |
イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、Modbus プリプロセッサ ルール(GID 144)を有効にします。詳細については、侵入ルール状態の設定およびModbus プリプロセッサ ルールを参照してください。
設定変更を展開します。設定変更の展開を参照してください。
次の表に示す Modbus プリプロセッサ ルールによって イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、これらのルールを有効にする必要があります。
|
プリプロセッサ ルール GID:SID |
説明 |
|---|---|
|
144:1 |
Modbus の見出しの長さが、Modbus 機能コードに必要な長さと一致していない場合に、イベントが生成されます。 各 Modbus 機能の要求と応答には期待される形式があります。メッセージの長さが、期待される形式と一致しない場合に、このイベントが生成されます。 |
|
144:2 |
Modbus プロトコル ID がゼロ以外の場合に、イベントが生成されます。プロトコル ID フィールドは、Modbus と共にその他のプロトコルを多重伝送するために使用されます。プリプロセッサはこのような他のプロトコルを処理しないため、代わりにこのイベントが生成されます。 |
|
144:3 |
プリプロセッサが予約済み Modbus 機能コードを検出すると、イベントが生成されます。 |
Distributed Network Protocol(DNP3)は、当初は発電所間で一貫性のある通信を実現する目的で開発された SCADA プロトコルです。DNP3 も、水処理、廃棄物処理、輸送などさまざまな産業分野で幅広く利用されるようになっています。
DNP3 プリプロセッサは、DNP3 トラフィックの異常を検出し、ルール エンジンによる処理のために DNP3 プロトコルをデコードします。ルール エンジンは、DNP3 キーワードを使用して特定のプロトコル フィールドにアクセスします。
指定された各ポートでの DNP3 トラフィックのインスペクションを有効にします。1 つのポートを指定するか、複数のポートをカンマで区切ったリストを指定できます。
DNP3 リンク層フレームに含まれているチェックサムを検証します。無効なチェックサムを含むフレームは無視されます。
ルール 145:1 を有効にすると、無効なチェックサムが検出されたときに イベントを生成し、インライン展開では、違反パケットをドロップします。 できます。
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
脅威(Threat) |
Protection |
任意(Any) |
任意(Any) |
Admin/Intrusion Admin |
ネットワークに DNP3 対応デバイスが含まれていない場合は、トラフィックに適用するネットワーク分析ポリシーでこのプリプロセッサを有効にしないでください。
マルチドメイン展開では、編集できる現在のドメインで作成されたポリシーが表示されます。また、編集できない先祖ドメインで作成されたポリシーも表示されます。下位のドメインで作成されたポリシーを表示および編集するには、そのドメインに切り替えます。| ステップ 1 |
、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。または、次に [ネットワーク分析ポリシー(Network Analysis Policy)] をクリックします。を選択します。
|
||
| ステップ 2 |
編集するポリシーの横にある編集アイコン( 代わりに表示アイコン( |
||
| ステップ 3 |
ナビゲーション パネルで [設定(Settings)] をクリックします。 |
||
| ステップ 4 |
[SCADA プリプロセッサ(SCADA Preprocessors)] の下の [DNP3 の構成(DNP3 Configuration)] が無効になっている場合は、[有効化(Enabled)] をクリックします。 |
||
| ステップ 5 |
[DNP3 の構成(DNP3 Configuration)] の横にある編集アイコン( |
||
| ステップ 6 |
ポートの値を入力します。 複数の値を指定する場合は、カンマで区切ります。 |
||
| ステップ 7 |
[不良 CRC の記録(Log bad CRCs)] チェックボックスをオンまたはオフにします。 |
||
| ステップ 8 |
最後のポリシー確定後にこのポリシーで行った変更を保存するには、[ポリシー情報(Policy Information)] をクリックして、[変更を確定(Commit Changes)] をクリックします。 変更を確定せずにポリシーをそのままにした場合、別のポリシーを編集すると、最後の確定後にキャッシュされた変更は破棄されます。 |
イベントを生成し、インライン展開では、違反パケットをドロップします。 を行うには、DNP3 プリプロセッサ ルール(GID 145)を有効にします。詳細については、侵入ルール状態の設定、DNP3 プリプロセッサ オプション、およびDNP3 プリプロセッサ ルールを参照してください。
設定変更を展開します。設定変更の展開を参照してください。
次の表に示す DNP3 プリプロセッサ ルールによって イベントを生成し、インライン展開では、違反パケットをドロップします。 するには、これらのルールを有効にする必要があります。
|
プリプロセッサ ルール GID:SID |
説明 |
|---|---|
|
145:1 |
[無効な CRC を記録(Log bad CRC)] が有効である場合に、無効なチェックサムを含むリンク層フレームがプリプロセッサにより検出されると、イベントが生成されます。 |
|
145:2 |
無効な長さの DNP3 リンク層フレームがプリプロセッサにより検出されると、イベントが生成され、パケットがブロックされます。 |
|
145:3 |
再構成中に無効なシーケンス番号のトランスポート層セグメントがプリプロセッサにより検出されると、イベントが生成され、パケットがブロックされます。 |
|
145:4 |
完全なフラグメントを再構成する前に DNP3 再構成バッファがクリアされると、イベントが生成されます。このことは、FIR フラグを伝送するセグメントが、他のセグメントがキューに入れられた後で現れる場合に発生します。 |
|
145:5 |
予約済みアドレスを使用する DNP3 リンク層フレームをプリプロセッサが検出すると、イベントが生成されます。 |
|
145:6 |
予約済み機能コードを使用する DNP3 要求または応答をプリプロセッサが検出すると、イベントが生成されます。 |
)をクリックします。
)が表示される場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。
フィードバック