仮想センサーの追加
注意 AIM IPS および NME IPS ではセンサーの仮想化はサポートされず、したがって、複数のポリシーはサポートされません。
(注) 4 つの仮想センサーを作成できます。
仮想センサーを作成するには、サービス分析エンジン サブモードで virtual-sensor name コマンドを使用します。仮想センサーにポリシー(異常検出、イベント アクション規則、およびシグニチャ定義)を割り当てます。次に、仮想センサーにインターフェイス(無差別、インライン インターフェイス ペア、インライン VLAN ペア、および VLAN グループ)を割り当てます。インライン インターフェイス ペアおよび VLAN ペアを設定してからでないと、それらを仮想センサーに割り当てることができません。
次のオプションが適用されます。
• anomaly-detection :次のような異常検出パラメータを指定します。
– anomaly-detection-name name :異常検出ポリシーの名前。
– operational-mode {inactive | learn | detect} :異常検出モード。
• description :仮想センサーの説明。
• event-action-rules :イベント アクション規則ポリシーの名前。
• inline-TCP-evasion-protection-mode :トラフィック検査に必要な次のノーマライザ モードのタイプを選択できます。
– asymmetric :双方向トラフィック フローのいずれかの方向だけを参照できます。[Asymmetric Mode Protection] を指定すると、TCP レイヤでの回避防止が緩和されます。
(注) Asymmetric モードの場合、センサーは状態をフローと同期し、双方向を必要としないエンジンの検査を継続します。完全な保護には双方向のトラフィックを確認する必要があるため、Asymmetric モードではセキュリティが低下します。
– strict :何らかの理由でパケットが失われた場合、失われたパケット以降のすべてのパケットが処理されなくなります。[Strict Evasion Protection] を指定すると、TCP ステートとシーケンスのトラッキングの完全な施行が提供されます。
(注) パケットの順序が正しくないか、またはパケットが失われていると、ノーマライザ エンジンのシグニチャ 1300 または 1330 が起動する場合があります。この処理によって状況の修正が試行されますが、結果として接続が拒否されることがあります。
• inline-TCP-session-tracking-mode :インライン トラフィック内の重複する TCP セッションを識別する高度な方式。デフォルトは virtual sensor で、ほとんどの場合これが最適です。
– virtual-sensor :仮想センサー内で同じセッション キー(AaBb)を持つすべてのパケットは、同じセッションに属します。
– interface-and-vlan :同じ VLAN(またはインライン VLAN ペア)内および同じインターフェイス上で同じセッション キー(AaBb)を持つすべてのパケットは、同じセッションに属します。同じキーを持ち、VLAN またはインターフェイスが異なるパケットは、独立して追跡されます。
– vlan-only :同じ VLAN(またはインライン VLAN ペア)内で同じセッション キー(AaBb)を持つすべてのパケットは、インターフェイスにかかわらず同じセッションに属します。同じキーを持ち、VLAN が異なるパケットは、独立して追跡されます。
• signature-definition :シグニチャ定義ポリシの名前。
• logical-interfaces :論理インターフェイス(インライン インターフェイス ペア)の名前。
• physical-interfaces :物理インターフェイス(無差別、インライン VLAN ペア、および VLAN グループ)の名前:
– subinterface-number :物理サブインターフェイス番号。subinterface-type が none の場合、値 0 はインターフェイス全体が無差別モードで割り当てられることを示します。
• no :エントリまたは選択項目を削除します。
仮想センサーを追加するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 サービス分析モードを開始します。
sensor# configure terminal
sensor(config)# service analysis-engine
ステップ 3 仮想センサーを追加します。
sensor(config-ana)# virtual-sensor vs1
ステップ 4 この仮想センサーの説明を追加します。
sensor(config-ana-vir)# description virtual sensor 1
ステップ 5 異常検出ポリシーと動作モードをこの仮想センサーに割り当てます。
sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# anomaly-detection-name ad1
sensor(config-ana-vir-ano)# operational-mode learn
ステップ 6 イベント アクション規則ポリシーをこの仮想センサーに割り当てます。
sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# event-action-rules rules1
ステップ 7 シグニチャ定義ポリシーをこの仮想センサーに割り当てます。
sensor(config-ana-vir)# signature-definition sig1
ステップ 8 インライン TCP セッション トラッキング モードを割り当てます。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
デフォルトは仮想センサー モードで、ほとんどの場合これが最適です。
ステップ 9 インライン TCP 回避保護モードを割り当てます。
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
デフォルトは strict モードで、ほとんどの場合これが最適です。
ステップ 10 使用可能なインターフェイスのリストを表示します。
sensor(config-ana-vir)# physical-interface ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet2/0 GigabitEthernet0/2 physical interface.
GigabitEthernet2/1 GigabitEthernet0/3 physical interface.
sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ?
ステップ 11 この仮想センサーに追加する無差別モード インターフェイスを割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/3
この仮想センサーに割り当てるすべての無差別インターフェイスについて、ステップ 10 を繰り返します。
ステップ 12 この仮想センサーに追加するインライン インターフェイス ペアを割り当てます。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
すでにインターフェイスのペアの作成が済んでいる必要があります。
ステップ 13 この仮想センサーに追加するインライン VLAN ペアまたはグループのサブインターフェイスを割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
すでにインターフェイスの VLAN ペアまたはグループへの分割が済んでいる必要があります。
ステップ 14 仮想センサーの設定を確認します。
sensor(config-ana-vir)# show settings
-----------------------------------------------
description: virtual sensor 1 default:
signature-definition: sig1 default: sig0
event-action-rules: rules1 default: rules0
-----------------------------------------------
anomaly-detection-name: ad1 default: ad0
operational-mode: learn default: detect
-----------------------------------------------
physical-interface (min: 0, max: 999999999, current: 2)
-----------------------------------------------
subinterface-number: 0 <defaulted>
-----------------------------------------------
inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor
-----------------------------------------------
logical-interface (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 15 分析エンジン モードを終了します。
sensor(config-ana-vir)# exit
ステップ 16 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• AIP SSM に仮想センサーを作成する手順については、「AIP SSM 用の仮想センサーの作成」を参照してください。
• 異常検出ポリシーの作成と設定の詳細については、「異常検出ポリシーの操作」を参照してください。
• イベント アクション規則ポリシーの作成と設定の詳細については、「イベント アクション規則ポリシーの使用」を参照してください。
• シグニチャ定義ポリシーの作成と設定の詳細については、「シグニチャ定義ポリシーの操作」を参照してください。
• インライン インターフェイスのペアを作成する手順については、「インライン インターフェイス ペアの設定」を参照してください。この仮想センサーに割り当てるすべてのインライン インターフェイスについて、ステップ 11 を繰り返します。
• インライン VLAN のペアとグループを作成する手順については、「インライン VLAN ペアの設定」および「VLAN グループの設定」を参照してください。この仮想センサーに割り当てるすべてのインライン VLAN ペアまたは VLAN グループについて、ステップ 12 を繰り返します。
仮想センサーの編集と削除
注意 AIM IPS および NME IPS ではセンサーの仮想化はサポートされず、したがって、複数のポリシーはサポートされません。
仮想センサーの次のパラメータを編集できます。
• シグニチャ定義ポリシー
• イベント アクション規則ポリシー
• 異常検出ポリシー
• 異常検出動作モード
• インライン TCP セッション トラッキング モード
• 説明
• インターフェイスの割り当て
仮想センサーを編集または削除するには、次の手順に従ってください。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 分析エンジン モードを開始します。
sensor# configure terminal
sensor(config)# service analysis-engine
ステップ 3 仮想センサー vs1 を編集します。
sensor(config-ana)# virtual-sensor vs1
ステップ 4 この仮想センサーの説明を編集します。
sensor(config-ana-vir)# description virtual sensor A
ステップ 5 この仮想センサーに割り当てられている異常検出ポリシーと動作モードを変更します。
sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# anomaly-detection-name ad0
sensor(config-ana-vir-ano)# operational-mode learn
ステップ 6 この仮想センサーに割り当てられているイベント アクション規則ポリシーを変更します。
sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# event-action-rules rules0
ステップ 7 この仮想センサーに割り当てられているシグニチャ定義ポリシーを変更します。
sensor(config-ana-vir)# signature-definition sig0
ステップ 8 インライン TCP セッション トラッキング モードを変更します。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
デフォルトは仮想センサー モードで、ほとんどの場合これが最適です。
ステップ 9 使用可能なインターフェイスのリストを表示します。
sensor(config-ana-vir)# physical-interface ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet2/0 GigabitEthernet0/2 physical interface.
GigabitEthernet2/1 GigabitEthernet0/3 physical interface.
sensor(config-ana-vir)# physical-interface
sensor(config-ana-vir)# logical-interface ?
ステップ 10 この仮想センサーに割り当てられている無差別モード インターフェイスを変更します。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
ステップ 11 この仮想センサーに割り当てられているインライン インターフェイス ペアを変更します。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
すでにインターフェイスのペアの作成が済んでいる必要があります。
ステップ 12 この仮想センサーに割り当てられているインライン VLAN ペアまたはグループを使用するサブインターフェイスを変更します。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
すでにインターフェイスの VLAN ペアまたはグループへの分割が済んでいる必要があります。
ステップ 13 編集した仮想センサーの設定を確認します。
ssensor(config-ana-vir)# show settings
-----------------------------------------------
description: virtual sensor 1 default:
signature-definition: sig1 default: sig0
event-action-rules: rules1 default: rules0
-----------------------------------------------
anomaly-detection-name: ad1 default: ad0
operational-mode: learn default: detect
-----------------------------------------------
physical-interface (min: 0, max: 999999999, current: 2)
-----------------------------------------------
subinterface-number: 0 <defaulted>
-----------------------------------------------
inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor
-----------------------------------------------
logical-interface (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 14 仮想センサーを削除するには、次のようにします。
sensor(config-ana-vir)# exit
sensor(config-ana)# no virtual-sensor vs1
ステップ 15 削除した仮想センサーを確認します。
sensor(config-ana)# show settings
-----------------------------------------------
-----------------------------------------------
max-open-iplog-files: 20 <defaulted>
-----------------------------------------------
-----------------------------------------------
virtual-sensor (min: 1, max: 255, current: 2)
-----------------------------------------------
-----------------------------------------------
description: default virtual sensor <defaulted>
signature-definition: sig0 <protected>
event-action-rules: rules0 <protected>
-----------------------------------------------
anomaly-detection-name: ad0 <protected>
operational-mode: detect <defaulted>
-----------------------------------------------
physical-interface (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
logical-interface (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
デフォルトの仮想センサー vs0 のみが存在します。
ステップ 16 分析エンジン モードを終了します。
ステップ 17 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• 異常検出ポリシーの作成と設定の詳細については、「異常検出ポリシーの操作」を参照してください。
• イベント アクション規則ポリシーの作成と設定の詳細については、「イベント アクション規則ポリシーの使用」を参照してください。
• シグニチャ定義ポリシーの作成と設定の詳細については、「シグニチャ定義ポリシーの操作」を参照してください。
• インライン インターフェイスのペアを作成する手順については、「インライン インターフェイス ペアの設定」を参照してください。この仮想センサーに割り当てるすべてのインライン インターフェイスについて、ステップ 11 を繰り返します。
• インライン VLAN のペアとグループを作成する手順については、「インライン VLAN ペアの設定」および「VLAN グループの設定」を参照してください。この仮想センサーに割り当てるすべてのインライン VLAN ペアまたは VLAN グループについて、ステップ 12 を繰り返します。