ブロッキングについて
ARC は、攻撃しているホストとネットワークからのアクセスをブロックすることで、疑わしいイベントに対してネットワーク デバイスを管理します。ARC は、管理しているデバイスの IP アドレスをブロックします。他のマスター ブロッキング センサーを含め、管理しているすべてのデバイスに同じブロックを送信します。ARC は、ブロックの時間をモニタし、時間の経過後にブロックを削除します。
注意 ブロッキングは、マルチ モードの管理コンテキストでは FWSM でサポートされません。
(注) ARC は、7 秒以内に新しいブロックのアクション応答を完了します。ほとんどの場合は、より短い時間でアクション応答を完了します。このパフォーマンス目標を達成するために、センサーでのブロックの実行レートが高すぎたり、管理するブロッキング デバイスおよびインターフェイスが多すぎたりしないように設定してください。最大ブロック数は 250 以下にし、最大ブロッキング項目数は 10 以下にすることを推奨します。ブロッキング項目の最大数を計算するために、セキュリティ アプライアンスはブロッキング コンテキストあたり 1 つのブロッキング項目としてカウントします。ルータは、ブロッキング インターフェイス/方向あたり 1 つのブロッキング項目としてカウントします。Catalyst ソフトウェアを実行しているスイッチは、ブロッキング VLAN あたり 1 つのブロッキング項目としてカウントします。推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しなかったり、ブロックをまったく適用できなかったりすることがあります。
マルチ モードで設定されているセキュリティ アプライアンスでは、Cisco IPS は VLAN 情報をブロック要求に含めません。したがって、ブロックされる IP アドレスが各セキュリティ アプライアンスに対して正しいことを確認する必要があります。たとえば、センサーは、VLAN A に対して設定されているセキュリティ アプライアンス カスタマー コンテキストでパケットをモニタし、VLAN B に対して設定されている別のセキュリティ アプライアンス カスタマー コンテキストでブロッキングしている場合があります。VLAN A でブロックをトリガーするアドレスが、VLAN B 上の別のホストを参照している場合があります。
ブロックには次の 3 種類があります。
• ホスト ブロック:特定の IP アドレスからのすべてのトラフィックをブロックします。
• 接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。
同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックによって、接続ブロックからホスト ブロックにブロックが自動的に切り替えられます。
• ネットワーク ブロック:特定のネットワークからのトラフィックをすべてブロックします。
ホスト ブロックと接続ブロックは、手動で開始するか、シグニチャがトリガーされたときに自動的に開始できます。ネットワーク ブロックは手動でだけ開始できます。
(注) 接続ブロックとネットワーク ブロックは、セキュリティ アプライアンスではサポートされません。セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
注意 ブロッキングとセンサーのパケット ドロップ機能を混同しないでください。センサーでは、インライン モードのセンサーに対してパケットのインライン拒否、接続のインライン拒否、および攻撃者のインライン拒否のアクションが設定されている場合にパケットをドロップできます。
自動ブロックの場合は、特定のシグニチャのイベント アクションとして [Request Block Host] または [Request Block Connection] チェックボックスをオンにし、設定したイベント アクション オーバーライドにそれらを追加する必要があります。これにより、SensorApp はそのシグニチャがトリガーされたときに、ARC にブロック要求を送信します。ARC は SensorApp からブロック要求を受信すると、デバイス設定を更新し、ホストまたは接続をブロックします。
Cisco ルータおよび Catalyst 6500 シリーズ スイッチでは、ARC は ACL または VACL を適用してブロックを作成します。ACL および VACL は、インターフェイス方向または VLAN 上のデータ パケットの経路を許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可条件と拒否条件が含まれます。セキュリティ アプライアンスでは、ACL および VACL が使用されません。組み込みの shun および no shun コマンドが使用されます。
注意 ARC で作成された ACL を、人為的または他のシステムから絶対に変更しないでください。これらの ACL は一時的なものであり、常にセンサーによって新しい ACL が作成されています。可能な唯一の変更は、Pre-Block ACL および Post-Block ACL の変更です。
ARC がデバイスを管理するためには、次の情報が必要です。
• ログイン ユーザ ID(デバイスで AAA が設定されている場合)
• ログイン パスワード
• イネーブル パスワード(イネーブル特権のあるユーザは不要)
• 管理するインターフェイス(ethernet0、vlan100 など)
• 作成する ACL または VACL の先頭(Pre-Block ACL または VACL)または末尾(Post-Block ACL または VACL)で適用する既存の ACL または VACL 情報
これはセキュリティ アプライアンスには適用されません。セキュリティ アプライアンスではブロックに ACL が使用されないためです。
• デバイスとの通信に Telnet と SSH のどちらを使用しているか
• 絶対にブロックしない IP アドレス(ホストまたはホストの範囲)
• ブロックの継続時間。
(注) ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IDM、IME、および CLI では、Network Access Controller、nac、および network-access という名前で呼ばれています。
ヒント ARC のステータスをチェックするには、sensor#
に show statistics network-access と入力します。出力には、管理対象のデバイス、アクティブなブロックとレート制限、およびすべてのデバイスのステータスが表示されます。
(注) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。
詳細情報
• request-block-host または request-block-connection イベント アクションをシグニチャに追加する手順については、「シグニチャへのアクションの割り当て」を参照してください。
• 特定のリスク レーティングのアラートに request-block-host または request-block-connection イベント アクションを追加するオーバーライドの設定手順については、「イベント アクション オーバーライドの追加、編集、イネーブル化、およびディセーブル化」を参照してください。
• Pre-Block ACL および Post-Block ACL の詳細については、「センサーによるデバイスの管理方法」を参照してください。
レート制限について
ARC は、保護されているネットワーク内のトラフィックのレート制限を行います。レート制限により、センサーはネットワーク デバイス上の指定したトラフィック クラスのレートを制限できます。レート制限応答は、ホスト フラッド エンジンとネット フラッド エンジン、および TCP ハーフオープン SYN シグニチャに対してサポートされます。ARC では、Cisco IOS 12.3 以降を実行しているネットワーク デバイスにレート制限を設定できます。マスター ブロッキング センサーは、レート制限要求をブロッキング転送センサーに転送することもできます。
ヒント ARC のステータスをチェックするには、sensor#
に show statistics network-access と入力します。出力には、管理対象のデバイス、アクティブなブロックとレート制限、およびすべてのデバイスのステータスが表示されます。
レート制限を追加するには、次のものを指定します。
• すべてのレート制限の送信元アドレスと宛先アドレスのどちらかまたは両方
• TCP または UDP プロトコルを使用するレート制限の送信元ポートと宛先ポートのどちらかまたは両方
レート制限のシグニチャを調整することもできます。また、Request Rate Limit にアクションを設定し、それらのシグニチャの割合を設定する必要もあります。
(注) レート制限とブロッキングは、IPv6 トラフィックではサポートされていません。シグニチャにブロックまたはレート制限イベント アクションが設定され、IPv6 トラフィックによってトリガーされる場合、アラートは生成されますが、アクションは実行されません。
表 14-1 に、サポートされているレート制限のシグニチャとパラメータのリストを示します。
表 14-1 レート制限のシグニチャ
|
|
|
|
|
2152 |
ICMP Flood Host |
ICMP |
Yes |
echo-request |
2153 |
ICMP Smurf Attack |
ICMP |
Yes |
echo-reply |
4002 |
UDP Flood Host |
UDP |
Yes |
なし |
6901 |
Net Flood ICMP Reply |
ICMP |
No |
echo-reply |
6902 |
Net Flood ICMP Request |
ICMP |
No |
echo-request |
6903 |
Net Flood ICMP Any |
ICMP |
No |
なし |
6910 |
Net Flood UDP |
UDP |
No |
なし |
6920 |
Net Flood TCP |
TCP |
No |
なし |
3050 |
TCP HalfOpenSyn |
TCP |
No |
halfOpenSyn |
詳細情報
• ルータにレート制限を設定する手順については、「ブロッキングおよびレート制限デバイスの設定」を参照してください。
• センサーをマスター ブロッキング センサーとして設定する手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。
レート制限のサービス ポリシーについて
レート制限が設定されているインターフェイス/方向にサービス ポリシーを適用しないでください。適用した場合は、レート制限アクションが失敗します。レート制限を設定する前に、インターフェイス/方向にサービス ポリシーがないことを確認し、存在する場合には削除します。ARC では、ARC が以前に追加したものでないかぎり、既存のレート制限は削除されません。
レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、 acls および class-map エントリを使用してトラフィックが識別され、 policy-map および service-policy エントリを使用してトラフィックがポリシングされます。
ARC 設定の前に
注意 2 つのセンサーが同じデバイスでブロッキングまたはレート制限を制御することはできません。この状況が必要な場合は、一方のセンサーをマスター
ブロッキング センサーとして設定してデバイスを管理し、もう一方のセンサーでマスター ブロッキング センサーに要求を転送できます。
(注) マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のセキュリティ アプライアンスと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。
ブロックまたはレート制限のために ARC を設定する前に、次のことを確認します。
• ネットワーク トポロジを分析して、どのデバイスをどのセンサーによってブロックしなければならないか、どのアドレスを決してブロックしてはならないかを把握します。
• 各デバイスにログインするために必要なユーザ名、デバイスのパスワード、イネーブル パスワード、および接続タイプ(Telnet または SSH)の情報を収集します。
• デバイス上のインターフェイスの名前を把握します。
• 必要であれば、Pre-Block ACL または VACL および Post-Block ACL または VACL の名前を把握します。
• ブロックすべきインターフェイスとブロックしてはいけないインターフェイス、およびその方向(着信か、発信か)を理解します。誤ってネットワーク全体をシャットダウンすることは避けなければなりません。
詳細情報
マスター ブロッキング センサーを設定する手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。
サポートされるデバイス数
注意 推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しなかったり、ブロックをまったく適用できなかったりすることがあります。
デフォルトでは、ARC は任意の組み合わせで 250 までのデバイスをサポートします。次のデバイスで ARC によるブロッキングがサポートされています。
• Cisco IOS 11.2 以降(ACL)を使用する Cisco シリーズ ルータ
– Cisco 1600 シリーズ ルータ
– Cisco 1700 シリーズ ルータ
– Cisco 2500 シリーズ ルータ
– Cisco 2600 シリーズ ルータ
– Cisco 2800 シリーズ ルータ
– Cisco 3600 シリーズ ルータ
– Cisco 3800 シリーズ ルータ
– Cisco 7200 シリーズ ルータ
– Cisco 7500 シリーズ ルータ
• Catalyst 5000 スイッチ、RSM 搭載、IOS 11.2(9)P 以降(ACL)
• Catalyst 6500 スイッチおよび 7600 ルータ、IOS 12.1(13)E 以降(ACL)
• Catalyst 6500 スイッチおよび 7600 ルータ、Catalyst ソフトウェア バージョン 7.5(1) 以降(VACL)
– Supervisor Engine 1A(PFC 搭載)
– Supervisor Engine 1A(MSFC1 搭載)
– Supervisor Engine 1A(MFSC2 搭載)
– Supervisor Engine 2(MSFC2 搭載)
– Supervisor Engine 720(MSFC3 搭載)
(注) Supervisor Engine 上での VACL ブロッキング、および MSFC 上での ACL ブロッキングがサポートされます。
• PIX Firewall、バージョン 6.0 以降( shun コマンド)
– 501
– 506E
– 515E
– 525
– 535
• ASA、バージョン 7.0 以降( shun コマンド)
– ASA-5510
– ASA-5520
– ASA-5540
• FWSM 1.1 以降( shun コマンド)
ブロッキングを設定するには、ACL、VACLS、または shun コマンドのいずれかを使用します。ファイアウォールと ASA のすべてのモデルで shun コマンドがサポートされています。
次のデバイスで ARC によるレート制限がサポートされています。
• Cisco IOS 12.3 以降を使用する Cisco シリーズ ルータ
– Cisco 1700 シリーズ ルータ
– Cisco 2500 シリーズ ルータ
– Cisco 2600 シリーズ ルータ
– Cisco 2800 シリーズ ルータ
– Cisco 3600 シリーズ ルータ
– Cisco 3800 シリーズ ルータ
– Cisco 7200 シリーズ ルータ
– Cisco 7500 シリーズ ルータ
注意 ARC は、VIP を搭載した 7500 ルータ上でレート制限を実行できません。ARC でエラーが報告されますが、レート制限は実行できません。
ブロッキング プロパティの設定
デフォルトのブロッキング プロパティは変更できます。デフォルトのプロパティを使用することを推奨しますが、変更する必要がある場合は、次の手順を使用します。
• 「センサー自体のブロックの許可」
• 「ブロッキングのディセーブル」
• 「最大ブロック エントリ数の指定」
• 「ブロック時間の指定」
• 「ACL ロギングのイネーブル化」
• 「NVRAM への書き込みのイネーブル化」
• 「すべてのブロッキング イベントとエラーのロギング」
• 「ブロッキング インターフェイスの最大数の設定」
• 「絶対にブロックしないアドレスの設定」
センサー自体のブロックの許可
注意 センサーがそれ自体をブロックすることを許可すると、ブロッキング デバイスとの通信ができなくなる可能性があるため、推奨しません。センサーでそれ自体の IP アドレスをブロックするルールが作成されても、センサーからブロッキング デバイスへのアクセスが妨げられないことが確認された場合は、このオプションを設定できます。
サービス ネットワーク アクセス サブモードで allow-sensor-block {true | false} コマンドを使用して、センサーがそれ自体をブロックするように設定します。
センサーがそれ自体をブロックすることを許可するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 それ自体をブロックするセンサーを設定します。
sensor(config-net-gen)# allow-sensor-block true
デフォルトでは、この値は false です。
ステップ 5 設定を確認できます。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: true default: false
block-enable: true default: true
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 6 それ自体をブロックしないセンサーを設定します。
sensor(config-net-gen)# allow-sensor-block false
ステップ 7 設定を確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: true default: true
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ブロッキングのディセーブル
サービス ネットワーク アクセス サブモードで block-enable {true | false} コマンドを使用して、センサーでのブロッキングをイネーブルまたはディセーブルにします。デフォルトでは、センサーのブロッキングはイネーブルになっています。デバイスが ARC によって管理されていて、そのデバイスで何かを手動で設定する必要があるときは、まずブロッキングをディセーブルにする必要があります。ユーザと ARC の両方が同じデバイスで同時に変更を加える状況を回避する必要があります。デバイスや ARC がクラッシュする可能性があるためです。
(注) ブロッキングが動作するためには、ブロッキングを行うようにデバイスを設定する必要があります。
注意 メンテナンスのためにデバイス上でブロッキングをディセーブルにした場合は、メンテナンスの完了後に必ずイネーブルにしてください。そうしないと、ネットワークが本来ブロックされるはずの攻撃に対して脆弱になります。
(注) ブロッキングがディセーブルになっている間も ARC によってブロックの受信が続行され、アクティブ ブロックの時間が追跡されていますが、管理対象のデバイスに新しいブロックが適用されたり、ブロックが削除されたりはしません。ブロッキングが再びイネーブルにされた後、デバイス上のブロックが更新されます。
ブロッキングまたはレート制限をディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 センサーでブロッキングをディセーブルにします。
sensor(config-net-gen)# block-enable false
デフォルトでは、この値は true です。
ステップ 5 設定を確認できます。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: false default: true
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 6 センサーでブロッキングをイネーブルにします。
sensor(config-net-gen)# block-enable true
ステップ 7 設定がデフォルトに戻ったことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: true default: true
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• Cisco ルータを管理するようにセンサーを設定する手順については、「センサーで Cisco ルータを管理する設定」を参照してください。
• Cisco ルータおよびスイッチを管理するようにセンサーを設定する手順については、「Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定」を参照してください。
最大ブロック エントリ数の指定
最大ブロック エントリ数を設定するには、 block-max-entries コマンドをサービス ネットワーク アクセス サブモードで使用します。同時に維持されるブロック数を設定できます(1 から 65535 まで)。デフォルト値は 250 です。
注意 250 を超える最大ブロック エントリ数の設定は推奨しません。一部のデバイスでは、ACL または shun エントリの数をこれよりも多く設定すると問題が起きます。この数値を大きくする前に、各デバイスの制限について、それぞれのマニュアルを参照してください。
(注) ブロック数が最大ブロック エントリ数を超えることはありません。最大数に達すると、既存のブロックがタイムアウトするか削除されるまで新しいブロックは発生しません。
ブロック エントリの最大数を変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 ブロック エントリの最大数を変更します。
sensor(config-net-gen)# block-max-entries 100
ステップ 5 設定を確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: true <defaulted>
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 6 デフォルト値の 250 ブロックに戻すには、次のようにします。
sensor(config-net-gen)# default block-max-entries
ステップ 7 設定を確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
block-hosts (min: 0, max: 250, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ブロック時間の指定
自動ブロックの継続時間を変更するには、 global-block-timeout コマンドをサービス イベント アクセス規則サブモードで使用します。デフォルトは 30 分です。
(注) デフォルトのブロック時間の変更は、すべてのシグニチャに影響するシグニチャ パラメータを変更することによって行います。
(注) 手動ブロックの時間は、ブロックを要求したときに設定されます。
デフォルトのブロック時間を変更するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 イベント アクション規則サブモードを開始します。
sensor# configure terminal
sensor(config)# service event-action-rules rules0
ステップ 3 一般サブモードを開始します。
sensor(config-rul)# general
ステップ 4 ブロック時間を指定します。
sensor(config-rul-gen)# global-block-timeout 60
この値は、ブロック イベントの時間の長さを分単位で表します(0 から 10000000 まで)。
ステップ 5 設定を確認します。
sensor(config-rul-gen)# show settings
-----------------------------------------------
global-overrides-status: Enabled <defaulted>
global-filters-status: Enabled <defaulted>
global-summarization-status: Enabled <defaulted>
global-metaevent-status: Enabled <defaulted>
global-deny-timeout: 3600 <defaulted>
global-block-timeout: 60 default: 30
max-denied-attackers: 10000 <defaulted>
-----------------------------------------------
ステップ 6 イベント アクション規則サブモードを終了します。
sensor(config-rul-gen)# exit
ステップ 7 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
(注) シグニチャがアップデートされるまで、少し時間がかかります。
ACL ロギングのイネーブル化
ACL ロギングをイネーブルにするには、 enable-acl-logging {true | false} コマンドをサービス ネットワーク アクセス サブモードで使用します。これにより、ACL または VACL 内のブロック エントリに ARC によってログ パラメータが付加されます。これにより、デバイスはパケットがフィルタ処理されるときに syslog イベントを生成します。ACL ロギングのイネーブル化は、ルータとスイッチにのみ適用されます。デフォルトではディセーブルになっています。
ACL ロギングをイネーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 ACL ロギングをイネーブルにします。
sensor(config-net-gen)# enable-acl-logging true
ステップ 5 ACL ロギングがイネーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: true default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 6 false キーワードを使用して、ACL ロギングをディセーブルにします。
sensor(config-net-gen)# enable-acl-logging false
ステップ 7 ACL ロギングがディセーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス モードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
NVRAM への書き込みのイネーブル化
ARC の最初の接続時にルータが NVRAM に書き込むようにセンサーを設定するには、 enable-nvram-write {true | false} コマンドを使用します。enable-nvram-write をイネーブルにすると、ACL が更新されるたびに NVRAM に書き込まれます。デフォルトではディセーブルになっています。
NVRAM の書き込みをイネーブルにすると、ブロッキングに対するすべての変更が NVRAM に必ず書き込まれます。ルータがリブートされた場合でも、適切なブロックがアクティブになります。NVRAM の書き込みがディセーブルになっている場合、ルータのリブート後にブロッキングが行われない期間が短時間発生します。NVRAM 書き込みをイネーブルにしない場合、NVRAM の寿命が延び、新しいブロックの設定にかかる時間が短縮されます。
NVRAM への書き込みをイネーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 NVRAM への書き込みをイネーブルにします。
sensor(config-net-gen)# enable-nvram-write true
ステップ 5 NVRAM への書き込みがイネーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: true default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 6 NVRAM への書き込みをディセーブルにします。
sensor(config-net-gen)# enable-nvram-write false
ステップ 7 NVRAM への書き込みがディセーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
すべてのブロッキング イベントとエラーのロギング
ブロックを開始から終了まで追跡するイベントをログに記録するようにセンサーを設定するには、 log-all-block-events-and-errors {true | false} コマンドをサービス ネットワーク アクセス サブモードで使用します。たとえば、ブロックがデバイスに追加されるかデバイスから削除されると、イベントがログに記録されます。これらすべてのイベントおよびエラーをログに記録する必要はない可能性があります。 log-all-block-events-and-errors をディセーブルにすると、新しいイベントおよびエラーが抑制されます。デフォルトではイネーブルになっています。
ブロッキング イベントとエラーのロギングをディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス モードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 ブロッキング イベントとエラーのロギングをディセーブルにします。
sensor(config-net-gen)# log-all-block-events-and-errors false
ステップ 5 ロギングがディセーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: false default: true
enable-nvram-write: false default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 6 ブロッキング イベントとエラーのロギングをイネーブルにします。
sensor(config-net-gen)# log-all-block-events-and-errors true
ステップ 7 ロギングがイネーブルに設定されたことを確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true default: true
enable-nvram-write: false default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 8 ネットワーク アクセス モードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ブロッキング インターフェイスの最大数の設定
ブロックを実行するためのインターフェイスの最大数を設定するには、 max-interfaces コマンドを使用します。たとえば、PIX Firewall は 1 つのインターフェイスとしてカウントされます。1 つのインターフェイスを持つルータは 1 つとしてカウントされますが、2 つのインターフェイスを持つルータは 2 つとしてカウントされます。最大で、250 のブロッキング インターフェイスを 1 つのルータ、スイッチ、またはファイアウォール上に設定できます。最大 250 台の Catalyst 6K スイッチ、250 台のルータ、および 250 のファイアウォールを設定できます。
max-interfaces コマンドは、すべてのインターフェイスとデバイスの合計の制限を設定します。インターフェイスとデバイスの合計に対する制限のほかに、デバイス 1 つあたりに設定できるブロッキング インターフェイスの数にも固定的な制限があります。デバイスあたりの特定の上限を表示するには、ネットワーク アクセス モードで show settings コマンドを使用します。
ブロッキング インターフェイスの最大数を設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス モードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 インターフェイスの最大数を指定します。
sensor(config-net-gen)# max-interfaces 50
ステップ 5 インターフェースの最大数を確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true default: true
enable-nvram-write: false default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 50 default: 250
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
ステップ 6 設定をデフォルトの 250 に戻すには、次のようにします。
sensor(config-net-gen)# default max-interfaces
ステップ 7 デフォルト設定を確認します。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true default: true
enable-nvram-write: false default: false
enable-acl-logging: false default: false
allow-sensor-block: false <defaulted>
block-enable: true <defaulted>
block-max-entries: 250 <defaulted>
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
----------------------------------------------
ステップ 8 ネットワーク アクセス モードを終了します。
sensor(config-net-gen)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
絶対にブロックしないアドレスの設定
絶対にブロックしてはいけないホストおよびネットワークを設定するには、 never-block-hosts コマンドと never-block-networks コマンドをサービス ネットワーク アクセス サブモードで使用します。
次のオプションが適用されます。
• ip_address :絶対にブロックしてはいけないデバイスの IP アドレス。
• ip_address/netmask :絶対にブロックしてはいけないネットワークの IP アドレス。形式は、A.B.C.D/nn です。
信頼できるネットワーク デバイスによる通常の予期可能な動作が攻撃と見なされることも考えられるため、手動でも絶対にブロックしてはならないホストおよびネットワークをセンサーが識別するように調整する必要があります。そのようなデバイスは絶対にブロックしてはなりません。また、信頼できる内部のネットワークも絶対にブロックしてはなりません。
単一のホストを指定することも、ネットワーク全体を指定することもできます。
(注) never-block-hosts コマンドおよび never-block-networks コマンドは、Request Block Host イベント アクションおよび Request Block Connection イベント アクションにのみ適用されます。Deny Attacker Inline、Deny Connection Inline、Deny Packet Inline の各イベント アクションには適用されません。ブロック、拒否、またはドロップしないホストをフィルタで除外するには、イベント アクション規則を使用します。
ブロッキング デバイスによって絶対にブロックされないアドレスを設定するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 一般サブモードを開始します。
sensor(config-net)# general
ステップ 4 絶対にブロックされないアドレスを指定します。
• シングル ホスト
sensor(config-net-gen)# never-block-hosts 10.16.0.0
• ネットワーク
sensor(config-net-gen)# never-block-networks 10.0.0.0/8
ステップ 5 設定を確認できます。
sensor(config-net-gen)# show settings
-----------------------------------------------
log-all-block-events-and-errors: true <defaulted>
enable-nvram-write: false <defaulted>
enable-acl-logging: false <defaulted>
allow-sensor-block: false default: false
block-enable: true default: true
block-max-entries: 100 default: 250
max-interfaces: 250 <defaulted>
master-blocking-sensors (min: 0, max: 100, current: 0)
-----------------------------------------------
-----------------------------------------------
never-block-hosts (min: 0, max: 250, current: 2)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
never-block-networks (min: 0, max: 250, current: 2)
-----------------------------------------------
-----------------------------------------------
ステップ 6 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen)# exit
ステップ 7 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
イベント アクション フィルタを設定する手順については、「イベント アクション フィルタの設定」を参照してください。
ユーザ プロファイルの設定
センサーによって管理されるその他のデバイスのユーザ プロファイルを設定するには、サービス ネットワーク アクセス サブモードで user-profiles profile_name コマンドを使用します。ユーザ プロファイルには、ユーザ ID、パスワード、およびイネーブル パスワードの情報が含まれます。たとえば、同じパスワードとユーザ名を共有するすべてのルータは、1 つのユーザ プロファイルで扱うことができます。
(注) デバイスへのログインにユーザ名やパスワードが必要ない場合は、それらの値を設定しないでください。
(注) ユーザ プロファイルは、ブロッキング デバイスを設定する前に作成する必要があります。
ユーザ プロファイルを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス モードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 ユーザ プロファイル名を作成します。
sensor(config-net)# user-profiles PROFILE1
ステップ 4 そのユーザ プロファイルのユーザ名を入力します。
sensor(config-net-use)# username username
ステップ 5 このユーザのパスワードを指定します。
sensor(config-net-use)# password
Enter password[]: ********
Re-enter password ********
ステップ 6 このユーザのイネーブル パスワードを指定します。
sensor(config-net-use)# enable-password
Enter enable-password[]: ********
Re-enter enable-password ********
ステップ 7 設定を確認できます。
sensor(config-net-use)# show settings
-----------------------------------------------
enable-password: <hidden>
username: jsmith default:
-----------------------------------------------
ステップ 8 ネットワーク アクセス サブモードを終了します。
sensor(config-net-use)# exit
ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ブロッキングおよびレート制限デバイスの設定
ここでは、ブロッキングまたはレート制限を行うためにセンサーで使用するデバイスの設定方法について説明します。次の項目について説明します。
• 「センサーによるデバイスの管理方法」
• 「センサーで Cisco ルータを管理する設定」
• 「Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定」
• 「センサーで Cisco ファイアウォールを管理する設定」
センサーによるデバイスの管理方法
(注) ACL は、レート制限デバイスには適用されません。
ARC は、Cisco のルータやスイッチを管理する場合、それらのデバイス上で ACL を使用します。ACL は、次のように作成されます。
1. センサー IP アドレス、またはセンサーの NAT アドレス(指定されている場合)がある permit 行
(注) センサーのブロックを許可している場合、この行は ACL に含まれません。
2. Pre-Block ACL(指定されている場合)
この ACL は、すでにデバイスに存在している必要があります。
(注) ARC は ACL 内の行を読み取り、それらの行を ACL の先頭にコピーします。
3. アクティブなブロックがある場合、そのブロック
4. 次のいずれか
– Post-Block ACL(指定されている場合)
この ACL は、すでにデバイスに存在している必要があります。
(注) ARC は ACL 内の行を読み取り、それらの行を ACL の末尾にコピーします。
(注) 一致しないすべてのパケットを許可する場合は、ACL の最後の行が permit ip any any となっていることを確認します。
– permit ip any any (Post-Block ACL を指定した場合は使用されません)
ARC は、デバイスの管理に 2 つの ACL を使用します。アクティブな ACL は一度に 1 つだけです。オフラインの ACL 名を使用して新しい ACL が作成され、それがインターフェイスに適用されます。次に ARC は、次のサイクルで逆のプロセスを実行します。
注意 ARC で作成された ACL を、人為的または他のシステムから絶対に変更しないでください。これらの ACL は一時的なものであり、常にセンサーによって新しい ACL が作成されています。可能な唯一の変更は、Pre-Block ACL および Post-Block ACL の変更です。
Pre-Block ACL または Post-Block ACL を修正する必要がある場合は、次の手順に従います。
1. センサーでブロッキングをディセーブルにします。
2. デバイスの設定に変更を加えます。
3. センサーでブロッキングを再びイネーブルにします。
ブロッキングが再びイネーブルされると、新しいデバイス設定がセンサーに読み取られます。
注意 1 つのセンサーで複数のデバイスを管理できますが、1 つのデバイスに対して複数のセンサーは使用できません。その場合は、マスター ブロッキング センサーを使用してください。
詳細情報
• ブロッキングをイネーブルにする手順については、「ブロッキング プロパティの設定」を参照してください。
• センサーをマスター ブロッキング センサーとして設定する手順については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。
ルータと ACL
(注) Pre-Block ACL と Post-Block ACL は、レート制限に適用されません。
Pre-Block ACL と Post-Block ACL は、ルータのコンフィギュレーション内に作成し、保存します。これらの ACL は名前付きまたは番号付きの拡張 IP ACL にする必要があります。ACL の作成の詳細については、ルータのマニュアルを参照してください。Pre-Block ACL と Post-Block ACL の各フィールドに、ルータにすでに設定されている ACL の名前を入力します。
Pre-Block ACL は、主にブロック対象外のものを許可するために使用されます。この ACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block ACL の許可の行である場合、ACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block ACL は、ブロックによって生じる拒否の行よりも優先されます。
Post-Block ACL は、同じインターフェイスまたは方向に対して、追加的にブロッキングまたは許可を行う場合に最適です。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合、その ACL を Post-Block ACL として使用できます。Post-Block ACL がない場合、センサーは新しい ACL の最後に permit ip any any を挿入します。
センサーが起動すると、2 つの ACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の ACL が作成されます。
• センサーの IP アドレスに対する permit 行
• Pre-Block ACL のすべての設定行のコピー
• センサーによってブロックされている各アドレスの deny 行
• Post-Block ACL のすべての設定行のコピー
センサーは新しい ACL を、指定したインターフェイスと方向に適用します。
(注) 新しい ACL がルータのインターフェイスまたは方向に適用されると、そのインターフェイスまたは方向に対する他の ACL が適用されなくなります。
センサーで Cisco ルータを管理する設定
センサーで Cisco ルータを管理し、ブロッキングとレート制限を行うように設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 ARC によって制御されるルータの IP アドレスを指定します。
sensor(config-net)# router-devices ip_address
ステップ 4 ユーザ プロファイルを設定したときに作成した論理デバイス名を入力します。
sensor(config-net-rou)# profile-name user_profile_name
ARC は、入力されたすべての内容を受け入れます。ユーザ プロファイルが存在するかどうかのチェックは行いません。
ステップ 5 センサーへのアクセスに使用する方法を指定します。
sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
指定しないと、SSH 3DES が使用されます。
(注) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、ARC はデバイスに接続できません。
ステップ 6 センサーの NAT アドレスを指定します。
sensor(config-net-rou)# nat-address nat_address
(注) これによって ACL の 1 行目の IP アドレスがセンサーのアドレスから NAT のアドレスに変更されます。これは、管理対象のデバイス上で設定された NAT アドレスではありません。これは、センサーと管理対象のデバイスの間にある中間デバイスによって変換された、センサーのアドレスです。
ステップ 7 ルータでブロッキングまたはレート制限、あるいはその両方を行うかどうかを指定します。
(注) デフォルトはブロッキングです。ルータでブロッキングのみを実行する場合、応答機能を設定する必要はありません。
a. レート制限のみ
sensor(config-net-rou)# response-capabilities rate-limit
b. ブロッキングとレート制限の両方
sensor(config-net-rou)# response-capabilities block|rate-limit
ステップ 8 インターフェイス名と方向を指定します。
sensor(config-net-rou)# block-interfaces interface_name {in | out}
注意 インターフェイスの名前は、インターフェイスの完全な名前、またはルータが
interface コマンドで認識する省略形にする必要があります。
ステップ 9 (任意)Pre-ACL 名を追加します(ブロッキングのみ)。
sensor(config-net-rou-blo)# pre-acl-name pre_acl_name
ステップ 10 (任意)Post-ACL 名を追加します(ブロッキングのみ)。
sensor(config-net-rou-blo)# post-acl-name post_acl_name
ステップ 11 設定を確認できます。
sensor(config-net-rou-blo)# exit
sensor(config-net-rou)# show settings
-----------------------------------------------
communication: ssh-3des default: ssh-3des
nat-address: 19.89.149.219 default: 0.0.0.0
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: GigabitEthernet0/1
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
response-capabilities: block|rate-limit default: block
-----------------------------------------------
ステップ 12 ネットワーク アクセス サブモードを終了します。
sensor(config-net-rou)# exit
ステップ 13 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• ユーザ プロファイルを設定する手順については、「ユーザ プロファイルの設定」を参照してください。
• 既知のホスト リストにデバイスを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。
スイッチと VACL
Cisco Catalyst ソフトウェアを実行している場合は、スイッチ自体の VACL を使用してブロックを行うように ARC を設定できます。また、Cisco IOS ソフトウェアを実行している場合は、MSFC またはスイッチ自体のルータ ACL を使用してブロックを行うように ARC を設定できます。VACL を使用するスイッチでレート制限を行う設定はできません。
Catalyst 6500 シリーズ スイッチ上にブロッキング インターフェイスを設定し、ブロックするトラフィックの VLAN を指定する必要があります。
Pre-Block VACL と Post-Block VACL は、スイッチのコンフィギュレーション内に作成し、保存します。これらの VACL は名前付きまたは番号付きの拡張 IP VACL にする必要があります。VACL の作成の詳細については、スイッチのマニュアルを参照してください。Pre-Block VACL と Post-Block VACL の各フィールドに、スイッチにすでに設定されている VACL の名前を入力します。
Pre-Block VACL は、主にセンサーでブロックしない対象を許可する場合に使用します。この VACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初の行が Pre-Block VACL の permit 行と一致する場合、パケットは、VACL であとに(自動ブロックからの)deny 行がある場合でも許可されます。Pre-Block VACL では、ブロックの結果の deny 行をオーバーライドできます。
Post-Block VACL は、同じ VLAN で追加のブロッキングまたは許可を行う場合に最適です。センサーが管理する VLAN に既存の VACL がある場合は、その既存の VACL を Post-Block VACL として使用できます。Post-Block VACL がない場合、センサーは新しい VACL の最後に permit ip any any を挿入します。
(注) IDSM2 では、新しい VACL の終わりに permit ip any any capture
が挿入されます。
センサーが起動すると、2 つの VACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の VACL が作成されます。
• センサーの IP アドレスに対する permit 行
• Pre-Block VACL のすべての設定行のコピー
• センサーによってブロックされている各アドレスの deny 行
• Post-Block VACL のすべての設定行のコピー
センサーは新しい VACL を、指定した VLAN に適用します。
(注) 新しい VACL がスイッチの VLAN に適用されると、その VLAN に対する他の VACL の適用はすべて削除されます。
詳細情報
ルータ ACL を使用してブロッキングを設定する手順については、「ブロッキングおよびレート制限デバイスの設定」を参照してください。
Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定
センサーで Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するよう設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 ARC によって制御されるルータの IP アドレスを指定します。
sensor(config-net)# cat6k-devices ip_address
ステップ 4 ユーザ プロファイルを設定したときに作成したユーザ プロファイル名を入力します。
sensor(config-net-cat)# profile-name user_profile_name
(注) ARC は、入力されたすべての内容を受け入れます。論理デバイスが存在するかどうかのチェックは行いません。
ステップ 5 センサーへのアクセスに使用する方法を指定します。
sensor(config-net-cat)# communication {telnet | ssh-des | ssh-3des}
指定しないと、SSH 3DES が使用されます。
(注) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、ARC はデバイスに接続できません。
ステップ 6 センサーの NAT アドレスを指定します。
sensor(config-net-cat)# nat-address nat_address
(注) これによって ACL の 1 行目の IP アドレスがセンサーの IP アドレスから NAT アドレスに変更されます。これは、管理対象のデバイス上で設定された NAT アドレスではありません。これは、センサーと管理対象のデバイスの間にある中間デバイスによって変換された、センサーのアドレスです。
ステップ 7 VLAN 番号を指定します。
sensor(config-net-cat)# block-vlans vlan_number
ステップ 8 (任意)Pre-VACL 名を追加します。
sensor(config-net-cat-blo)# pre-vacl-name pre_vacl_name
ステップ 9 (任意)Post-ACL 名を追加します。
sensor(config-net-cat-blo)# post-vacl-name post_vacl_name
ステップ 10 ネットワーク アクセス サブモードを終了します。
sensor(config-net-cat-blo)# exit
sensor(config-net-cat)# exit
ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• ユーザ プロファイルを設定する手順については、「ユーザ プロファイルの設定」を参照してください。
• 既知のホスト リストにデバイスを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。
センサーで Cisco ファイアウォールを管理する設定
センサーで Cisco ファイアウォールを管理するよう設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ネットワーク アクセス サブモードを開始します。
sensor# configure terminal
sensor(config)# service network-access
ステップ 3 ARC によって制御されるファイアウォールの IP アドレスを設定します。
sensor(config-net)# firewall-devices ip_address
ステップ 4 ユーザ プロファイルを設定したときに作成したユーザ プロファイル名を入力します。
sensor(config-net-fir)# profile-name user_profile_name
ARC は、入力されたすべての内容を受け入れます。論理デバイスが存在するかどうかのチェックは行いません。
ステップ 5 センサーへのアクセスに使用する方法を指定します。
sensor(config-net-fir)# communication {telnet | ssh-des | ssh-3des}
指定しないと、SSH 3DES が使用されます。
(注) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、ARC はデバイスに接続できません。
ステップ 6 センサーの NAT アドレスを指定します。
sensor(config-net-fir)# nat-address nat_address
(注) これによって ACL の 1 行目の IP アドレスがセンサーの IP アドレスから NAT アドレスに変更されます。これは、管理対象のデバイス上で設定された NAT アドレスではありません。これは、センサーと管理対象のデバイスの間にある中間デバイスによって変換された、センサーのアドレスです。
ステップ 7 ネットワーク アクセス サブモードを終了します。
sensor(config-net-fir)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• ユーザ プロファイルを設定する手順については、「ユーザ プロファイルの設定」を参照してください。
• 既知のホスト リストにデバイスを追加する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。
センサーをマスター ブロッキング センサーにする設定
注意 2 つのセンサーが同じデバイスでブロッキングまたはレート制限を制御することはできません。この状況が必要な場合は、一方のセンサーをマスター
ブロッキング センサーとして設定してデバイスを管理し、もう一方のセンサーでマスター ブロッキング センサーに要求を転送できます。
複数のセンサー(ブロッキング転送センサー)が、1 つ以上のデバイスを制御する、指定したマスター ブロッキング センサーに、ブロッキング要求を転送できます。マスター ブロッキング センサーは、他の 1 つ以上のセンサーに代わって 1 つ以上のデバイスでブロッキングを制御するセンサーで実行されている ARC です。マスター ブロッキング センサー上の ARC は、他のセンサー上で実行されている ARC からの要求に応じて、デバイスに対するブロッキングを制御します。マスター ブロッキング センサーは、レート制限を転送することもできます。
(注) マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のファイアウォールと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。
ブロッキング転送センサーで、マスター ブロッキング センサーとして機能するリモート ホストを識別します。マスター ブロッキング センサーでは、アクセス リストにブロッキング転送センサーを追加する必要があります。
マスター ブロッキング センサーが Web 接続に TLS を必要とする場合は、マスター ブロッキング センサー リモート ホストの X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定する必要があります。センサーでは TLS がデフォルトでイネーブルになりますが、このオプションは変更できます。
(注) 通常、マスター ブロッキング センサーはネットワーク デバイスを管理するように設定します。ブロッキング転送センサーは、通常は他のネットワーク デバイスを管理するようには設定されていませんが、これを行うことは可能です。
ブロッキングまたはレート制限用に設定したデバイスがない場合でも、ブロッキングまたはレート制限用に設定されているセンサーはブロッキングおよびレート制限の要求をマスター ブロッキング センサーに転送できます。ブロッキングまたはレート制限要求がイベント アクションとして設定されているシグニチャが起動した場合、センサーはブロック要求またはレート制限要求をマスター ブロッキング センサーに転送し、そのセンサーがブロックまたはレート制限を実行します。
注意 1 つのセンサーだけがデバイス上のすべてのブロッキング インターフェイスを制御する必要があります。
マスター ブロッキング センサーを設定するには、サービス ネットワーク アクセス サブモードで master-blocking-sensors mbs_ip_address コマンドを使用します。
次のオプションが適用されます。
• mbs_ip_address :ブロック要求転送用のセンサーの IP アドレス。
• password :ブロック要求転送用のセンサーのアカウント パスワード。
• port :ブロック要求転送用のセンサーのポート。
• tls {true | false }:リモート センサーが TLS を要求する場合は true、そうでない場合は false に設定します。
• username :ブロック要求転送用のセンサーのアカウント名。
ブロックをマスター ブロッキング センサーに転送するようにセンサー上の ARC を設定するには、次の手順に従います。
ステップ 1
マスター ブロッキング センサーとブロッキング転送センサーの両方に対して、管理者権限を持つアカウントを使用して、CLI にログインします。
ステップ 2 両方のセンサーでコンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 必要であれば、TLS を設定します。
a. マスター ブロッキング センサーで、TLS が必要かどうか、およびどのポート番号が使用されているかを確認します。
sensor(config)# service web-server
sensor(config-web)# show settings
enable-tls: true <defaulted>
server-id: HTTP/1.1 compliant <defaulted>
enable-tls
が true の場合は、ステップ b に進みます。
b. ブロッキング転送センサーで、マスター ブロッキング センサーの X.509 証明書を受け入れるように設定します。
sensor(config)# tls trusted-host ip-address mbs_ip_address port port_number
例
sensor(config)# tls trusted-host ip-address 10.0.0.0 port 8080
Certificate MD5 fingerprint is F4:4A:14:BA:84:F4:51:D0:A4:E2:15:38:7E:77:96:D8Certificate SHA1 fingerprint is 84:09:B6:85:C5:43:60:5B:37:1E:6D:31:6A:30:5F:7E:4D:4D:E8:B2
Would you like to add this to the trusted certificate table for this host?[yes]:
(注) 証明書のフィンガープリントに基づいて証明書を受け入れるように要求されます。センサーが提供するのは、自己署名証明書(認識された認証局の署名がある証明書ではなく)だけです。マスター ブロッキング センサーのホスト センサーの証明書を確認するには、ホスト センサーにログインし、show tls fingerprint コマンドを入力して、ホスト証明書のフィンガープリントが一致することを確認します。
ステップ 4 yes を入力して、マスター ブロッキング センサーからの証明書を受け入れます。
ステップ 5 ネットワーク アクセス モードを開始します。
sensor(config)# service network-access
ステップ 6 一般サブモードを開始します。
sensor(config-net)# general
ステップ 7 マスター ブロッキング センサーのエントリを追加します。
sensor(config-net-gen)# master-blocking-sensors mbs_ip_address
ステップ 8 マスター ブロッキング センサー ホスト上の管理アカウントのユーザ名を指定します。
sensor(config-net-gen-mas)# username username
ステップ 9 このユーザのパスワードを指定します。
sensor(config-net-gen-mas)# password
Re-enter mbs-password []: *****
sensor(config-net-gen-mas)#
ステップ 10 ホストの HTTP 通信用のポート番号を指定します。
sensor(config-net-gen-mas)# port port_number
指定しない場合のデフォルトは 80/443 です。
ステップ 11 ホストで TLS/SSL を使用するかどうかを指定します。
sensor(config-net-gen-mas)# tls {true | false}
sensor(config-net-gen-mas)
(注) 値を true に設定した場合は、tls trusted-host ip-address mbs_ip_address コマンドを使用する必要があります。
ステップ 12 ネットワーク アクセス サブモードを終了します。
sensor(config-net-gen-mas)# exit
sensor(config-net-gen)# exit
ステップ 13 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ステップ 14 マスター ブロッキング センサーで、ブロック転送センサーの IP アドレスをアクセス リストに追加します。
詳細情報
ブロッキング転送センサーの IP アドレスをアクセス リストに追加する手順については、「アクセス リストの変更」を参照してください。
ホスト ブロッキングの設定
(注) 接続ブロックとネットワーク ブロックは、セキュリティ アプライアンスではサポートされません。セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
ホストをブロックするには、特権 EXEC モードで block host ip-address [ timeout minutes ] コマンドを使用します。ホストでのブロックを削除するには、このコマンドの no 形式を使用します。ホスト ブロックを設定するには、事前にブロッキングを設定しておく必要があります。ブロックされているホストのリストを表示することもできます。
(注) ホスト ブロックの時間を設定しなかった場合、ブロックは永続的になります。
次のオプションが適用されます。
• ip-address :ブロックされるホストの IP アドレス。
• minutes :(任意)ホスト ブロックの期間(分単位)。有効な範囲は 0 ~ 70560 分です。
ホストをブロックするには、次の手順に従います。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。
ステップ 2 たとえば、ホスト ブロックを 15 分に設定します。
sensor# block host 10.2.3.1 timeout 15
ホスト ブロックは 15 分で終了します。
ステップ 3 ホスト ブロックを開始します。
sensor# block host 10.2.3.1
ホスト ブロックは、削除されるまで維持されます。
ステップ 4 ホスト ブロックを終了します。
sensor# no block host 10.2.3.1
ネットワーク ブロッキングの設定
(注) 接続ブロックとネットワーク ブロックは、セキュリティ アプライアンスではサポートされません。セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
ネットワークをブロックするには、 block network ip-address/netmask [ timeout minutes ] コマンドを特権 EXEC モードで使用します。ネットワーク上のブロックを削除するには、このコマンドの no 形式を使用します。ネットワーク ブロックを設定するには、事前にブロッキングを設定しておく必要があります。ブロックされているネットワークのリストを表示することもできます。
(注) ネットワーク ブロックの時間を設定しなかった場合、ブロックは永続的になります。
次のオプションが適用されます。
• ip-address/netmask : X.X.X.X/nn という形式のブロックされるネットワーク サブネット。ここで、 X.X.X.X はセンサーの IP アドレスを 32 ビット アドレスとして、ピリオド区切りの 4 つのオクテットで指定します。ただし、 X は 0 ~ 255 で、 nn はネットマスクのビット数(1032)を指定します。
• minutes :(任意)ネットワーク ブロックの期間(分単位)。有効な範囲は 0 ~ 70560 分です。
ネットワークをブロックするには、次の手順に従います。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。
ステップ 2 たとえば、ネットワーク ブロックを 15 分に設定します。
sensor# block network 10.0.0.0/8 timeout 15
ネットワーク ブロックは 15 分で終了します。
ステップ 3 ネットワーク ブロックを開始します。
sensor# block network 10.0.0.0/8
ネットワーク ブロックは、削除されるまで維持されます。
ステップ 4 ネットワーク ブロックを終了します。
sensor# no block network 10.0.0.0/8
接続ブロッキングの設定
(注) 接続ブロックとネットワーク ブロックは、セキュリティ アプライアンスではサポートされません。セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
2 つの IP アドレス間の接続をブロックするには、特権 EXEC モードで block connection source-ip-address destination-ip-address [ port port-number ] [ protocol type ] [ timeout minutes ] コマンドを使用します。接続ブロックを削除するには、このコマンドの no 形式を使用します。接続ブロックを設定するには、事前にブロッキングを設定しておく必要があります。ブロックされている接続のリストを表示することもできます。
(注) 接続ブロックの時間を設定しなかった場合、ブロックは永続的になります。
次のオプションが適用されます。
• source-ip-address :接続ブロックの送信元 IP アドレス。
• destination-ip-address :接続ブロックの宛先 IP アドレス。
• port-number :(任意)宛先ポート番号 有効な範囲は 0 ~ 65535 です。
• type :(任意)プロトコル タイプ。有効なタイプは、 tcp または udp です。
• minutes :(任意)接続ブロックの期間(分単位)。有効な範囲は 0 ~ 70560 分です。
接続をブロックするには、次の手順に従います。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。
ステップ 2 たとえば次のように、ポート、プロトコル、および時間を指定して、送信元 IP アドレスと宛先 IP アドレスの間に接続ブロックを設定します。
sensor# block connection 10.2.3.1 11.2.3.1 port 80 protocol tcp timeout 30
接続ブロックは 30 分で終了します。
ステップ 3 接続ブロックを開始します。
sensor# block connection 10.2.3.1 11.2.3.1
接続ブロックは、削除されるまで維持されます。
ステップ 4 接続ブロックを終了します。
sensor# no block connection 10.2.3.1
ブロックされているホストおよび接続のリストの取得
ブロックされたホストとブロックされた接続のリストを取得するには、 show statistics コマンドを使用します。
ブロックされているホストおよび接続のリストを取得するには、次の手順を実行します。
ステップ 1
CLI にログインします。
ステップ 2 ARC の統計情報をチェックします。
sensor# show statistics network-access
LogAllBlockEventsAndSensors = true
MaxDeviceInterfaces = 250
AclSupport = uses Named ACLs
Host
エントリは、ブロックされているホストと、そのブロックの長さを示しています。