이 문서에서는 Analysis Engine의 기능과 Cisco IPS(Secure Intrusion Prevention System)에서 Cisco IME(IPS Manager Express)를 사용하여 가상 센서를 생성, 편집 및 삭제하는 방법에 대해 설명합니다. 또한 가상 센서에 인터페이스를 할당하는 방법에 대해서도 설명합니다.
참고: AIM-IPS 및 NME-IPS는 가상화를 지원하지 않습니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
소프트웨어 버전 6.0 이상을 실행하는 Cisco 4200 Series IPS 장치
Cisco IPS Manager Express(IME) 버전 6.1.1 이상
참고: IME를 사용하여 Cisco IPS 5.0 이상을 실행하는 센서 디바이스를 모니터링할 수 있지만, IME에서 제공되는 새로운 기능 중 일부는 Cisco IPS 6.1 이상을 실행하는 센서에서만 지원됩니다.
참고: Cisco IPS(Secure Intrusion Prevention System) 5.x는 기본 가상 센서 vs0만 지원합니다. 기본값 vs0 이외의 가상 센서는 IPS 6.x 이상에서 지원됩니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 컨피그레이션은 다음 센서와 함께 사용할 수도 있습니다.
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
AIP-SSM
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
Analysis Engine은 패킷 분석 및 경고 탐지를 수행합니다. 지정된 인터페이스를 통과하는 트래픽을 모니터링합니다. Analysis Engine에서 가상 센서를 생성합니다. 각 가상 센서는 인터페이스, 인라인 인터페이스 쌍, 인라인 VLAN 쌍, 연결된 VLAN 그룹 목록을 포함하는 고유한 이름을 갖습니다. 정의 순서 문제를 방지하기 위해 지정에서 충돌이나 중복이 허용되지 않습니다. 하나 이상의 가상 센서에서 패킷을 처리하지 않도록 인터페이스, 인라인 인터페이스 쌍, 인라인 VLAN 쌍 및 VLAN 그룹을 특정 가상 센서에 할당합니다. 또한 각 가상 센서는 특별히 이름이 지정된 시그니처 정의, 이벤트 동작 규칙 및 이상 징후 탐지 컨피그레이션과 연결됩니다. 어떤 가상 센서에도 할당되지 않은 인터페이스, 인라인 인터페이스 쌍, 인라인 VLAN 쌍 및 VLAN 그룹의 패킷은 인라인 바이패스 컨피그레이션을 기반으로 삭제됩니다.
센서는 하나 이상의 모니터링되는 데이터 스트림에서 데이터 입력을 수신할 수 있습니다. 이러한 모니터링되는 데이터 스트림은 물리적 인터페이스 포트 또는 가상 인터페이스 포트일 수 있습니다. 예를 들어 단일 센서는 방화벽 앞이나 방화벽 뒤나 방화벽 앞과 뒤에서 동시에 트래픽을 모니터링할 수 있습니다. 단일 센서가 하나 이상의 데이터 스트림을 모니터링할 수 있습니다. 이 경우 단일 센서 정책 또는 컨피그레이션이 모니터링되는 모든 데이터 스트림에 적용됩니다. 가상 센서는 컨피그레이션 정책 집합으로 정의된 데이터 모음입니다. 가상 센서는 인터페이스 구성 요소에 의해 정의된 패킷 집합에 적용됩니다. 가상 센서는 여러 세그먼트를 모니터링할 수 있으며 단일 물리적 센서 내에서 각 가상 센서에 대해 다른 정책 또는 컨피그레이션을 적용할 수 있습니다. 분석에서 모니터링되는 세그먼트마다 다른 정책을 설정할 수 있습니다. 동일한 정책 인스턴스(예: sig0, rules0 또는 ad0)를 다른 가상 센서에 적용할 수도 있습니다. 가상 센서에 인터페이스, 인라인 인터페이스 쌍, 인라인 VLAN 쌍 및 VLAN 그룹을 할당할 수 있습니다.
참고: Cisco IPS(Secure Intrusion Prevention System)는 4개 이상의 가상 센서를 지원하지 않습니다. 기본 가상 센서는 vs0입니다. 기본 가상 센서는 삭제할 수 없습니다. 인터페이스 목록, 이상 감지 작동 모드, 인라인 TCP 세션 추적 모드 및 가상 센서 설명은 기본 가상 센서에 대해 변경할 수 있는 유일한 구성 기능입니다. 시그니처 정의, 이벤트 작업 규칙 또는 이상 감지 정책은 변경할 수 없습니다.
가상화에는 다음과 같은 이점이 있습니다.
서로 다른 트래픽 집합에 다른 컨피그레이션을 적용할 수 있습니다.
하나의 센서로 IP 공간이 겹치는 두 개의 네트워크를 모니터링할 수 있습니다.
방화벽 또는 NAT 디바이스의 내부 및 외부에서 모두 모니터링할 수 있습니다.
가상화에는 다음과 같은 제한 사항이 있습니다.
비대칭 트래픽의 양쪽을 동일한 가상 센서에 할당해야 합니다.
VACL 캡처 또는 SPAN(프로미스큐어스 모니터링)의 사용은 VLAN 태그 지정과 일치하지 않으므로 VLAN 그룹에 문제가 발생합니다.
Cisco IOS 소프트웨어를 사용하는 경우 VACL 캡처 포트 또는 SPAN 대상이 트렁킹을 위해 구성된 경우에도 태그가 지정된 패킷을 항상 수신하지 않습니다.
MSFC를 사용할 때 학습된 경로의 빠른 경로 전환은 VACL 캡처 및 SPAN의 동작을 변경합니다.
영구 저장소가 제한되어 있습니다.
가상화에는 다음과 같은 트래픽 캡처 요구 사항이 있습니다.
가상 센서는 캡처 포트의 네이티브 VLAN에 있는 트래픽이 아닌 802.1q 헤더가 있는 트래픽을 수신해야 합니다.
센서는 동일한 가상 센서에서 동일한 VLAN 그룹에 있는 트래픽의 양방향을 지정된 센서에 모두 표시해야 합니다.
이 섹션에서는 가상 센서를 추가, 수정 및 삭제하는 정보를 제공합니다.
가상 센서를 생성하려면 서비스 분석 엔진 하위 모드에서 virtual-sensor name 명령을 실행합니다. 가상 센서에 정책(이상 징후 탐지, 이벤트 동작 규칙, 서명 정의)을 할당합니다. 그런 다음 가상 센서에 인터페이스(프로미스큐어스, 인라인 인터페이스 쌍, 인라인 VLAN 쌍, VLAN 그룹)를 할당합니다. 인라인 인터페이스 쌍 및 VLAN 쌍을 가상 센서에 할당하려면 먼저 구성해야 합니다. 다음 옵션이 적용됩니다.
anomaly-detection—이상 감지 매개변수.
anomaly-detection-name name—이상 감지 정책의 이름
operational-mode—이상 감지 모드(비활성, 학습, 탐지)
설명 - 가상 센서에 대한 설명
event-action-rules - 이벤트 작업 규칙 정책의 이름
inline-TCP-evasion-protection-mode - 트래픽 검사에 필요한 노멀라이저 모드 유형을 선택할 수 있습니다.
asymmetric - 양방향 트래픽 흐름의 한 방향만 볼 수 있습니다. 비대칭 모드 보호는 TCP 레이어에서 회피 보호를 완화합니다.
참고: 비대칭 모드에서는 센서가 상태를 흐름과 동기화하고 양방향을 모두 필요로 하지 않는 엔진에 대한 검사를 유지할 수 있습니다. 비대칭 모드는 전체 보호를 위해서는 트래픽의 양쪽을 확인해야 하므로 보안을 낮춥니다.
strict - 어떤 이유로든 패킷이 누락되면 누락된 패킷 이후의 모든 패킷이 처리되지 않습니다. 엄격한 우회 방지는 TCP 상태 및 시퀀스 추적을 완전히 시행합니다.
참고: 순서가 잘못된 패킷이나 누락된 패킷은 Normalizer 엔진 서명 1300 또는 1330 해고를 생성할 수 있으며, 이는 상황을 수정하려고 하지만 연결이 거부될 수 있습니다.
inline-TCP-session-tracking-mode - 인라인 트래픽에서 중복 TCP 세션을 식별할 수 있는 고급 방법입니다. 기본값은 가상 센서이며, 이는 거의 항상 최상의 선택입니다.
virtual-sensor —가상 센서 내에서 동일한 세션 키(AaBb)를 가진 모든 패킷이 동일한 세션에 속합니다.
interface-and-vlan - 동일한 VLAN(또는 인라인 VLAN 쌍)에 있는 동일한 세션 키(AaBb)와 동일한 인터페이스에 있는 모든 패킷이 동일한 세션에 속합니다. 키가 동일하지만 다른 VLAN 또는 인터페이스에 있는 패킷은 독립적으로 추적됩니다.
vlan-only - 동일한 VLAN(또는 인라인 VLAN 쌍)에 있는 동일한 세션 키(AaBb)를 사용하는 모든 패킷이 동일한 세션에 속합니다. 키가 동일하지만 VLAN이 다른 패킷은 독립적으로 추적됩니다.
signature-definition—서명 정의 정책의 이름
logical-interfaces - 논리적 인터페이스의 이름(인라인 인터페이스 쌍)
physical-interfaces—물리적 인터페이스의 이름(프로미스큐어스, 인라인 VLAN 쌍 및 VLAN 그룹)
subinterface-number - 물리적 하위 인터페이스 번호입니다. subinterface-type이 none이면 값 0은 전체 인터페이스가 무차별 모드에서 할당됨을 나타냅니다.
no - 항목 또는 선택을 제거합니다.
가상 센서를 추가하려면 다음 단계를 완료하십시오.
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
서비스 분석 모드를 시작합니다.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
가상 센서를 추가합니다.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
이 가상 센서에 대한 설명을 추가합니다.
sensor(config-ana-vir)# description virtual sensor 2
이 가상 센서에 이상 감지 정책 및 작동 모드를 할당합니다.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn
이 가상 센서에 이벤트 동작 규칙 정책을 할당합니다.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1
이 가상 센서에 서명 정의 정책을 할당합니다.
sensor(config-ana-vir)# signature-definition sig1
인라인 TCP 세션 추적 모드를 할당합니다.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
기본값은 가상 센서 모드이며, 이는 거의 항상 가장 적합한 옵션입니다.
인라인 TCP 회피 보호 모드를 할당합니다.
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
기본값은 엄격 모드이며, 이는 거의 항상 선택하는 가장 좋은 옵션입니다.
사용 가능한 인터페이스 목록을 표시합니다.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
이 가상 센서에 추가할 프로미스큐어스 모드 인터페이스를 할당합니다.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
이 가상 센서에 할당할 모든 프로미스큐어스 인터페이스에 대해 이 단계를 반복합니다.
이 가상 센서에 추가할 인라인 인터페이스 쌍을 할당합니다.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
이미 인터페이스를 페어링해야 합니다.
아래와 같이 이 가상 센서에 추가할 인라인 VLAN 쌍 또는 그룹의 하위 인터페이스를 할당합니다.
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
이미 모든 인터페이스를 VLAN 쌍 또는 그룹으로 분할해야 합니다.
가상 센서 설정을 확인합니다.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
분석 엔진 모드를 종료합니다.
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Enter를 눌러 변경 사항을 적용하거나 no를 입력하여 취소합니다.
이렇게 하면 Cisco IPS(Secure Intrusion Prevention System)에 가상 센서를 추가하는 프로세스가 완료됩니다. 가상 센서를 더 추가하려면 동일한 절차를 완료합니다.
참고: Cisco IPS(Secure Intrusion Prevention System)는 4개 이상의 가상 센서를 지원하지 않습니다. 기본 가상 센서는 vs0입니다.
Cisco IPS Manager Express를 사용하여 Cisco IPS(Secure Intrusion Prevention System)에서 가상 센서를 구성하려면 다음 단계를 완료하십시오.
Configuration > SFO-Sensor> Policies > IPS Policies를 선택합니다. 그런 다음 스크린샷과 같이 Add virtual sensor(가상 센서 추가)를 클릭합니다.
가상 센서(이 예에서는 vs2)의 이름을 지정하고 제공된 공간의 가상 센서에 설명을 추가합니다. 또한 이 가상 센서에 추가할 프로미스큐어스 모드 인터페이스를 할당합니다. 기가비트 이더넷 0/2는 여기에서 선택됩니다. 이제 스크린 샷에 표시된 대로 시그니처 정의, Event Action Rule, Anomaly Detection 및 Advanced options 섹션에 세부사항을 제공합니다.
Advanced Options(고급 옵션)에서 TCP 세션 추적 모드 및 노멀라이저 모드에 대한 세부 정보를 제공합니다. 여기서 TCP 세션 추적 모드는 가상 센서이며 노멀라이저 모드는 엄격한 회피 방지 모드입니다.
확인을 클릭합니다.
새로 추가된 가상 센서 vs2가 가상 센서 목록에 표시됩니다. 새 가상 센서 컨피그레이션이 Cisco IPS(Secure Intrusion Prevention System)로 전송되도록 하려면 Apply를 클릭합니다.
가상 센서를 추가하는 컨피그레이션이 완료되었습니다.
가상 센서의 다음 매개변수를 편집할 수 있습니다.
서명 정의 정책
이벤트 작업 규칙 정책
이상 감지 정책
이상 감지 운영 모드
인라인 TCP 세션 추적 모드
설명
할당된 인터페이스
가상 센서를 수정하려면 다음 단계를 완료하십시오.
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
서비스 분석 모드를 시작합니다.
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)#
가상 센서 vs1.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)#
이 가상 센서의 설명을 편집합니다.
sensor(config-ana-vir)# description virtual sensor A
이 가상 센서에 할당된 이상 감지 정책 및 작동 모드를 변경합니다.
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn
이 가상 센서에 할당된 이벤트 동작 규칙 정책을 변경합니다.
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0
이 가상 센서에 할당된 서명 정의 정책을 변경합니다.
sensor(config-ana-vir)# signature-definition sig0
인라인 TCP 세션 추적 모드를 변경합니다.
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
기본값은 가상 센서 모드이며, 이는 거의 항상 가장 적합한 옵션입니다.
사용 가능한 인터페이스 목록을 표시합니다.
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ? <none available>
이 가상 센서에 할당된 프로미스큐어스 모드 인터페이스를 변경합니다.
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
이 가상 센서에 할당된 인라인 인터페이스 쌍을 변경합니다.
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
이미 인터페이스를 페어링해야 합니다.
이 가상 센서에 할당된 인라인 VLAN 쌍 또는 그룹으로 하위 인터페이스를 변경합니다.
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
이미 모든 인터페이스를 VLAN 쌍 또는 그룹으로 분할해야 합니다.
수정된 가상 센서 설정을 확인합니다.
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)#
분석 엔진 모드를 종료합니다.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Enter를 눌러 변경 사항을 적용하거나 no를 입력하여 취소합니다.
Cisco IPS Manager Express를 사용하여 Cisco IPS(Secure Intrusion Prevention System)에서 가상 센서를 수정하려면 다음 단계를 완료하십시오.
Configuration > SFO-Sensor> Policies > IPS Policies를 선택합니다.
편집할 가상 센서를 선택한 다음 스크린샷과 같이 Edit를 클릭합니다. 이 예에서 vs2는 편집할 가상 센서입니다.
Edit virtual sensor(가상 센서 수정) 창에서 시그니처 정의, Event Action Rule(이벤트 작업 규칙), Anomaly Detection(이상 감지) 및 Advanced(고급) 옵션 아래 있는 가상 센서의 매개변수를 변경합니다. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.
가상 센서를 수정하는 프로세스가 완료되었습니다.
가상 센서를 삭제하려면 다음 단계를 완료하십시오.
가상 센서를 삭제하려면 no virtual-sensor 명령을 실행합니다.
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2
삭제된 가상 센서를 확인합니다.
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#
기본 가상 센서 vs0만 있습니다.
분석 엔진 모드를 종료합니다.
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
Cisco IPS Manager Express를 사용하여 Cisco IPS(Secure Intrusion Prevention System)에서 가상 센서를 삭제하려면 다음 단계를 완료하십시오.
Configuration > SFO-Sensor> Policies > IPS Policies를 선택합니다.
삭제할 가상 센서를 선택한 다음 스크린샷과 같이 Delete(삭제)를 클릭합니다. 이 예에서 vs2는 삭제할 가상 센서입니다.
가상 센서를 삭제하는 프로세스가 완료되었습니다. 가상 센서 vs2가 삭제됩니다.
IME를 통해 IPS에 액세스하려고 하면 IPS Manager Express가 시작되지 않으며 다음 오류 메시지가 표시됩니다.
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
이 문제를 해결하려면 IME 워크스테이션 PC를 다시 로드하십시오.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
22-Dec-2009 |
최초 릴리스 |