IPS ブロッキングについて
IPS の Attack Response Controller(ARC)コンポーネントは、攻撃しているホストとネットワークからのアクセスをブロックすることで、疑わしいイベントに対してネットワーク デバイスを管理します。ARC は、管理しているデバイスの IP アドレスをブロックします。他のメインブロッキングセンサーを含め、管理しているすべてのデバイスに同じブロックを送信します。ARC は、ブロックの時間をモニタし、時間の経過後にブロックを削除します。
![]() (注) |
ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IPS のマニュアルおよび設定インターフェイスでは、Network Access Controller、nac、および network-access という名前で呼ばれています。 |
ARC は、7 秒以内に新しいブロックのアクション応答を完了します。ほとんどの場合は、より短い時間でアクション応答を完了します。このパフォーマンス目標を達成するために、センサーでのブロックの実行レートが高すぎたり、管理するブロッキング デバイスおよびインターフェイスが多すぎたりしないように設定してください。最大ブロック数は 250 以下にし、最大ブロッキング項目数は 10 以下にすることを推奨します。ブロッキング項目の最大数を計算するために、セキュリティ アプライアンスはブロッキング コンテキストあたり 1 つのブロッキング項目としてカウントします。ルータは、ブロッキング インターフェイス/方向あたり 1 つのブロッキング項目としてカウントします。Catalyst ソフトウェアを実行しているスイッチは、ブロッキング VLAN あたり 1 つのブロッキング項目としてカウントします。推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しなかったり、ブロックをまったく適用できなかったりすることがあります。
マルチ コンテキスト モードで設定されているセキュリティ アプライアンスでは、Cisco IPS は VLAN 情報をブロック要求に含めません。したがって、ブロックされる IP アドレスが各セキュリティ アプライアンスに対して正しいことを確認する必要があります。たとえば、センサーは、VLAN A に対して設定されているセキュリティ アプライアンス カスタマー コンテキストでパケットをモニタリングする一方で、VLAN B に対して設定されている別のセキュリティ アプライアンス カスタマー コンテキストでブロッキングしている場合があります。VLAN A でブロックをトリガーするアドレスは、VLAN B 上の別のホストを参照します。
![]() (注) |
ブロッキングは、マルチ コンテキスト モードの管理コンテキストでは FWSM でサポートされません。 |
ブロックには次の 3 種類があります。
-
ホスト ブロック:特定の IP アドレスからのすべてのトラフィックをブロックします。
シグニチャがトリガーされたときに自動ホストブロックを開始するように IPS を設定するには、[ホストのブロックを要求(Request Block Host)] イベントアクションをシグニチャに追加するか、イベント アクション オーバーライド ポリシーを使用してリスクレーティングに基づくイベントに追加します。イベント アクション オーバーライドの設定およびシグニチャの設定を参照してください。
-
接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックによって、接続ブロックからホスト ブロックにブロックが自動的に切り替えられます。
シグニチャがトリガーされたときに自動接続ブロックを開始するように IPS を設定するには、[接続のブロックを要求(Request Block Connection)] イベントアクションをシグニチャに追加するか、イベント アクション オーバーライド ポリシーを使用してリスクレーティングに基づくイベントに追加します。
-
ネットワーク ブロック:特定のネットワークからのトラフィックをすべてブロックします。
ホスト ブロックと接続ブロックは、手動で開始するか、シグニチャがトリガーされたときに自動的に開始できます。ネットワーク ブロックは手動でだけ開始できます。ネットワーク ブロックは Security Manager から開始できません。代わりに IPS Device Manager を使用します。
![]() ヒント |
接続ブロックとネットワーク ブロックは、セキュリティ アプライアンス(ファイアウォール)ではサポートされません。セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。 |
![]() (注) |
ブロッキングとセンサーのパケット ドロップ機能を混同しないでください。センサーでは、インライン モードのセンサーに対してパケットのインライン拒否、接続のインライン拒否、および攻撃者のインライン拒否のアクションが設定されている場合にパケットをドロップできます。 |
Cisco IOS ソフトウェア デバイス(ルータおよび Catalyst 6500 シリーズ スイッチ)では、ARC は、ACL を適用することでブロックを作成します。Catalyst オペレーティング システムを実行する Catalyst 6500/7600 デバイスでは、ARC は VACL を適用することでブロックを作成します。ACL および VACL は、インターフェイス方向または VLAN 上のデータ パケットの経路を許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可条件と拒否条件が含まれます。セキュリティアプライアンスでは、shun コマンドが ACL の代わりに使用されます。
![]() ヒント |
ブロッキングデバイスとして設定できる特定のデバイスおよびオペレーティング システム バージョンのリストについては、使用している IPS ソフトウェアバージョンの『Installing and Using Cisco Intrusion Prevention System Device Manager』の「Configuring Attack Response Controller for Blocking and Rate Limiting」の章で、サポートされるデバイス情報を参照してください。これらの資料は、Cisco.com の http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_installation_and_configuration_guides_list.html [英語] から入手できます。 |
次の各項で、IPS ブロッキングについて詳細に説明します。
ブロック適用のストラテジ
ブロッキングは、イベントの発生時に、イベントに [Request Block Connection] または [Request Block Host] イベント アクションが含まれる場合にだけ実行されます。これらのイベント アクションは、通常、拒否アクションを使用して不要なトラフィックをドロップするインライン モードで IPS を操作している場合には不要です。
ブロッキング アクションの実装が必要になる状況は次のとおりです。
-
無差別モード:無差別モードで実行している場合、IPS は拒否アクションを実装できません。このため、ホストからのトラフィックを防ぐには、ブロッキングを実装する必要があります。
-
インライン モード:インライン モードでは、拒否アクションを実装して不要なトラフィックを即時にドロップできます。ただし、ネットワークの他のセグメントを保護するためにブロッキング アクションの追加が必要な場合があります。
たとえば、ネットワークが A、B、C、D、E の 5 つのサブネットから構成され、これらの各セグメントに、それをモニタしているインライン IPS デバイスがあるとします。サブネット A の IPS が攻撃を識別した場合、IPS は拒否アクションを使用してサブネット A を保護できるだけでなく、ブロック要求アクションを使用して B、C、D、E を保護するファイアウォールを設定し、攻撃がこれらの他のサブネットをターゲットとする前に攻撃者を避けることもできます。この例では、1 つの IPS をメインブロッキングセンサーとして指定し、他の 4 つの IPS センサーで、メインブロッキングセンサーを介したブロッキングを実行させます。
次の手法を使用して、ブロック要求アクションをイベントに追加します。
-
イベント アクション オーバーライド ポリシー:イベント アクション オーバーライド ルールを設定して、イベントのリスクレーティングに基づいてすべてのイベントにアクションを追加します。これは単純なアプローチです。拒否アクションの追加に使用されるのと同じリスク レーティングでブロック要求アクションを追加できます。詳細については、イベント アクション オーバーライドの設定を参照してください。
-
シグニチャ ポリシー:ブロック要求アクションを個々のシグニチャに追加できます。これには、各シグニチャを編集してアクションを追加する必要があります。これは時間のかかるアプローチとなる場合がありますが、最も関心のあるイベント タイプだけにブロッキングを設定できます。詳細については、シグニチャの設定を参照してください。
関連項目
レート制限について
Attack Response Controller(ARC)は、保護されているネットワーク内のトラフィックのレート制限を行います。レート制限により、センサーはネットワーク デバイス上の指定したトラフィック クラスのレートを制限できます。レート制限応答は、Host Flood エンジンと Net Flood エンジン、および TCP ハーフオープン SYN シグニチャに対してサポートされます。ARC では、Cisco IOS 12.3 以降を実行しているネットワーク デバイスにレート制限を設定できます。メインブロッキングセンサーは、レート制限要求をブロッキング転送センサーに転送することもできます。
シグニチャにレート制限を追加するには、[Request Rate Limit] アクションを追加する必要があります。次に、シグニチャ パラメータを編集して、Event Actions Settings フォルダにこれらのシグニチャのパーセンテージを設定します。
![]() ヒント |
レート制限は手動でも実装できますが、Security Manager を使用した実装はできません。代わりに IPS Device Manager を使用します。 |
ブロッキング デバイスでは、レート制限が設定されているインターフェイス/方向にサービス ポリシーを適用しないでください。適用した場合は、レート制限アクションが失敗します。レート制限を設定する前に、インターフェイス/方向にサービス ポリシーがないことを確認し、存在する場合には削除します。ARC では、ARC が以前に追加したものでないかぎり、既存のレート制限は削除されません。
レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、ACL および class-map エントリを使用してトラフィックを識別し、policy-map および service-policy エントリを使用してトラフィックをポリシングします。
ルータおよびスイッチ ブロッキング デバイスについて
Cisco IOS ソフトウェアを実行しているルータまたは Catalyst 6500/7600 デバイス、あるいは Catalyst オペレーティング システムを実行している Catalyst 6500/7600 デバイスを使用して、ネットワークに IPS ブロッキングを実装できます。ルータまたはスイッチを使用する場合、Attack Response Controller(ARC)では、拡張 ACL(IOS デバイス上)または VLAN ACL(Catalyst OS デバイス上)を設定してブロックが実装されます。これらの ACL と VACL は、同じ方法で作成および管理されます。
レート制限でも ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、ACL および class-map エントリを使用してトラフィックを識別し、policy-map および service-policy エントリを使用してトラフィックをポリシングします。
![]() ヒント |
IPS は、Cisco IOS ソフトウェアを実行している Catalyst 6500/7600 デバイスをルータと同等と見なします。これらのデバイスをブロッキング デバイスとして追加する場合は、ルータとして追加します。 |
ルータ インターフェイスまたはスイッチ VLAN をブロッキング インターフェイスとして設定する場合は、オプションで、pre-ACL/VACL および post-ACL/VACL の名前を指定できます。ACL 名または VACL 名の指定は任意ですが、インターフェイスまたは VLAN に ACL または VACL を設定した場合は、それらも IPS に対して指定する必要があります。そうしないと、その ACL または VACL は ARC によってデバイス設定から削除されます。
pre-ACL/VACL および post-ACL/VACL には次の用途があります。
-
Pre-Block ACL/VACL は、主にセンサーでブロックしない対象を許可する場合に使用します。パケットが ACL/VACL に対してチェックされると、最初に一致した行によってアクションが決定されます。最初の行が Pre-Block ACL/VACL の permit 行と一致する場合、パケットは、ACL/VACL であとに(自動ブロックからの)deny 行がある場合でも許可されます。Pre-Block ACL/VACL では、ブロックの結果の deny 行をオーバーライドできます。
-
Post-Block ACL/VACL は、同じインターフェイスまたは方向で追加のブロッキングまたは許可を行う場合に最もよく使用されます。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合は、その既存の ACL を Post-Block ACL/VACL として使用できます。Post-Block ACL/VACL がない場合、センサーは新しい ACL/VACL の最後に permit ip any any を挿入します。
IOS ソフトウェア ブロッキング デバイスを Security Manager で管理している場合は、ブロッキングデバイスを選択し、[ツール(Tools)] > [設定のプレビュー(Preview Config)] を選択することで ACL 名を識別できます。インターフェイス設定で ip access-group コマンドを検索し、方向を確認します。たとえば、次の行は、CSM_FW_ACL_GigabitEthernet0/1 という名前の ACL が、GigabitEthernet0/1 インターフェイスに接続された In 方向に存在することを示しています。
interface GigabitEthernet0/1
ip access-group CSM_FW_ACL_GigabitEthernet0/1 in
この例では、ブロッキング インターフェイスとして GigabitEthernet0/1 を In 方向に設定する場合、pre-ACL または post-ACL として、CSM_FW_ACL_GigabitEthernet0/1 を必ず指定してください。ほとんどの場合は、ACL を post-ACL として指定します。これにより、比較的短い IPS ブロッキング ACL によって望ましくないトラフィックが最初に除外され、その後、ブロッキング デバイスによって他のアクセス ルールが実行されます。
Security Manager では Catalyst OS デバイスが管理されないため、VACL 名を判断するには Security Manager の外部で Catalyst OS デバイス設定を調べる必要があります。IOS ソフトウェアを実行する Catalyst 6500/7600 デバイスにも VACL がある場合がありますが、デバイスが IOS ソフトウェアを実行している場合、IPS は Catalyst 6500/7600 VLAN で VLAN ブロッキングを実行しないことに注意してください。
センサーは、起動時に 2 つの ACL/VACL の内容を読み取ります。センサーは次のエントリをこの順序で持つ第 3 の ACL/VACL を作成し、この結合された ACL/VACL がインターフェイスまたは VLAN に適用されます。
-
センサー IP アドレス、またはセンサーの NAT アドレス(指定されている場合)がある permit 行
[Blocking] ポリシーの [General] タブで [Allow Sensor IP address to be Blocked] オプションを選択した場合、この permit エントリは追加されません。詳細については、[General] タブ、IPS ブロッキング ポリシーを参照してください。
-
Pre-Block ACL/VACL(指定されている場合)。
-
IPS によって生成された任意のアクティブ ブロック(deny ステートメント)。
-
Post-Block ACL/VACL(指定されている場合)。
Post-Block ACL/VACL を指定しない場合は、すべてのフィルタされないトラフィックを許可するために permit ip any any エントリが追加されます。これにより、インターフェイス ACL を終了する通常の暗黙の deny any が否定されます。
Catalyst OS を使用している場合、IDSM-2 は新しい VACL の最後に permit ip any any capture を挿入します。
ARC がデバイスを管理し、そのデバイスで ACL/VACL を設定する必要がある場合は、最初にブロッキングをディセーブルにする必要があります。ユーザと ARC の両方が同じデバイスで同時に変更を加える状況を回避する必要があります。この状況が発生すると、デバイスまたは ARC でエラーが発生します。Pre-Block ACL/VACL または Post-Block ACL/VACL を修正する必要がある場合は、次の手順に従います。
-
センサーでブロッキングをディセーブルにします。
一時的な変更を加えるため、デバイスで IPS Device Manager(IDM)を使用して、ブロッキングをディセーブルにし、再びイネーブルにできます。または、Security Manager の [Blocking] ポリシーの [General] タブで [Enable Blocking] オプションを選択解除してから、IPS センサーに設定を展開できます。ブロッキングを再びイネーブルにするには、[Enable Blocking] オプションをもう一度選択し、IPS センサーに設定を展開します。
-
デバイスの設定に変更を加えます。たとえば、Security Manager でブロッキング デバイスを管理する場合は、更新した設定を展開し、デバイスがリロードされるまで待ちます。
-
センサーでブロッキングを再びイネーブルにします。
メインブロッキングセンサーについて
複数のセンサー(ブロッキング転送センサー)が、1 つ以上のデバイスを制御する、指定したメインブロッキングセンサーに、ブロッキング要求を転送できます。メインブロッキングセンサーは、他の 1 つ以上のセンサーに代わって 1 つ以上のデバイスでブロッキングを制御するセンサーで実行されている ARC です。ブロッキングまたはレート制限要求がイベントアクションとして設定されているシグニチャが出現した場合、センサーはブロック要求またはレート制限要求をメインブロッキングセンサーに転送し、そのセンサーがブロックまたはレート制限を実行します。
メインブロッキングセンサーを追加する場合は、センサーあたりのブロッキングデバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のファイアウォールと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、メインブロッキングセンサーに残りの 10 個を割り当てることができます。
[Blocking] ページの説明に従って、[ブロッキング(Blocking)] ポリシーの [プライマリブロッキングセンサー(Primary Blocking Sensors)] タブで、メインブロッキングセンサーを設定します。
メインブロッキングセンサーを設定する場合は、次のヒントを考慮してください。
-
2 つのセンサーが同じデバイスでブロッキングまたはレート制限を制御することはできません。この状況が必要な場合は、一方のセンサーをメインブロッキングセンサーとして設定してデバイスを管理し、もう一方のセンサーでメインブロッキングセンサーに要求を転送できます。
-
ブロッキング転送センサーで、マスターブロッキングセンサーとして機能するリモートホストを識別します。メインブロッキングセンサーでは、[許可ホスト(Allowed Hosts)] ポリシーを使用してアクセスリストにブロッキング転送センサーを追加する必要があります。許可ホストの識別を参照してください。
-
メインブロッキングセンサーが Web 接続に TLS を必要とする場合は、メイン ブロッキング センサー リモート ホストの X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定する必要があります。センサーでは TLS がデフォルトでイネーブルになりますが、このオプションは変更できます。詳細については、[プライマリブロッキングセンサー(Primary Blocking Sensors)] ダイアログボックス を参照してください。
-
通常、メインブロッキングセンサーはネットワークデバイスを管理するように設定します。ブロッキング転送センサーは、通常は他のネットワーク デバイスを管理するようには設定されていませんが、これを行うことは可能です。
-
1 つのセンサーだけがデバイス上のすべてのブロッキング インターフェイスを制御する必要があります。