IPS(Intrusion Prevention System) 5.1에는 1,000개 이상의 기본 시그니처가 포함되어 있습니다. 기본 제공 서명 목록에서 시그니처의 이름을 변경하거나 삭제할 수는 없지만, 시그니처를 사용 중지하여 센싱 엔진에서 제거할 수 있습니다. 나중에 사용 중단된 서명을 활성화할 수 있습니다. 그러나 이 프로세스에서는 센싱 엔진이 컨피그레이션을 재구축해야 하므로 시간이 걸리고 트래픽 처리가 지연될 수 있습니다. 여러 시그니처 매개변수를 조정할 때 내장 서명을 조정할 수 있습니다. 수정된 기본 제공 서명을 튜닝된 시그니처라고 합니다.
이 문서에서는 IDM(IPS Device Manager)을 사용하여 서명을 조정하기 위해 사용하는 단계를 설명합니다. IDM은 센서를 구성하고 관리할 수 있는 웹 기반 Java 애플리케이션입니다. IDM용 웹 서버는 센서에 상주합니다. Internet Explorer, Netscape 또는 Mozilla 웹 브라우저를 통해 액세스할 수 있습니다.
참고: 사용자 지정 서명이라고 하는 서명을 생성할 수 있습니다. 사용자 지정 서명 ID는 60000에서 시작합니다. UDP 연결의 문자열 일치, 네트워크 플러드 추적, 스캔 등 여러 가지 사항에 대해 구성할 수 있습니다. 각 시그니처는 모니터링되는 트래픽 유형에 맞게 특별히 설계된 시그니처 엔진을 사용하여 생성됩니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서의 정보는 Cisco Intrusion Prevention System Device Manager 5.x를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
특정 서명에 대한 네트워크 트래픽을 모니터링하도록 센서를 구성하려면 서명을 활성화해야 합니다. 기본적으로 가장 중요한 시그니처는 시그니처 업데이트를 설치할 때 활성화됩니다. 활성화된 시그니처와 일치하는 공격이 탐지되면 센서가 알림을 생성하며, 센서의 이벤트 저장소에 저장됩니다. 웹 기반 클라이언트에서 이벤트 저장소에서 알림뿐 아니라 다른 이벤트를 검색할 수 있습니다. 기본적으로 센서는 모든 정보 알림 이상을 기록합니다.
일부 시그니처에는 하위 서명이 있습니다. 즉, 서명은 하위 범주로 구분됩니다. 하위 서명을 구성할 때 하나의 하위 시그니처의 매개 변수에 대한 변경 사항은 해당 하위 서명에만 적용됩니다. 예를 들어, 서명 3050 하위 서명 1을 수정하고 심각도를 변경할 경우 심각도 변경은 하위 서명 1에만 적용되고 3050 2, 3050 3 및 3050 4에는 적용되지 않습니다.
+ 아이콘은 이 매개 변수에 사용할 수 있는 옵션이 더 많다는 것을 나타냅니다. 섹션을 확장하고 나머지 매개변수를 보려면 + 아이콘을 클릭합니다.
녹색 아이콘은 매개변수가 현재 기본값을 사용함을 나타냅니다. 녹색 아이콘을 클릭하여 빨간색으로 변경합니다. 그러면 값을 편집할 수 있도록 매개변수 필드가 활성화됩니다.
서명을 조정하려면 다음 단계를 완료하십시오.
관리자 또는 운영자 권한이 있는 계정을 사용하여 IDM에 로그인합니다.
Configuration > Signature Definition > Signature Configuration을 선택합니다.
Signature Configuration 창이 나타납니다.
서명을 찾으려면 Select By 목록에서 정렬 옵션을 선택합니다.
예를 들어, UDP 플러드 시그니처를 검색하는 경우 L2/L3/L4 Protocol, UDP Flood 순으로 선택합니다.
[서명 구성] 창이 새로 고쳐지고 정렬 기준과 일치하는 서명만 표시됩니다.
기존 서명을 조정하려면 서명을 선택하고 다음 단계를 완료합니다.
Edit(편집)를 클릭하여 Edit Signature(서명 편집) 대화 상자를 엽니다.
매개변수 값을 검토하고 조정하려는 매개변수의 값을 변경합니다.
참고: 둘 이상의 이벤트 작업을 선택하려면 Ctrl 키를 누릅니다.
Status(상태)에서 Yes(예)를 선택하여 서명을 활성화합니다.
참고: 센서가 시그니처에 의해 지정된 공격을 능동적으로 탐지하려면 시그니처를 활성화해야 합니다.
Status(상태)에서 이 서명이 폐기되었는지 여부를 지정합니다. No를 클릭하여 서명을 활성화합니다. 이렇게 하면 엔진에 서명이 배치됩니다.
참고: 센서가 시그니처에 의해 지정된 공격을 능동적으로 탐지하려면 시그니처를 활성화해야 합니다.
참고: 변경 사항을 취소하고 서명 편집 대화 상자를 닫으려면 취소를 클릭합니다.
확인을 클릭합니다.
편집된 서명이 목록에 나타나며 Type(유형)이 Tuned(조정)로 설정됩니다.
참고: 변경 사항을 취소하려면 재설정을 클릭합니다.
Apply(적용)를 클릭하여 변경 사항을 적용하고 수정된 컨피그레이션을 저장합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
07-Apr-2007 |
최초 릴리스 |