- このマニュアルについて
- ASDM の概要
- プリファレンスの定義および コンフィギュレーション、診断、 ファイル管理ツールの使用
- 始める前に
- スタートアップ ウィザードの使用
- インターフェイスの設定
- マルチモードのインターフェイスの 設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポート および VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバとユーザ アカウントの 設定
- 管理アクセスの設定
- 高可用性
- ロギングの設定
- ダイナミック ルーティングおよび スタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの 概要
- アクセス ルールの設定
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル 検査の設定
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN ウィザード
- IKE
- 一般的な VPN 設定
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security の モニタリング
- フェールオーバーのモニタリング
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能の ライセンスと仕様
- 認可と認証のための外部サーバの設定
- 索引
Cisco ASDM ユーザ ガイド Version 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: IPS の設定
IPS の設定
この章では、セキュリティ アプライアンスにインストールされている AIP SSM を使用できるように適応型セキュリティ アプライアンスを設定する方法について説明します。
(注) Cisco PIX 500 シリーズ セキュリティ アプライアンスは SSM をサポートしていません。
•
「IDM での AIP SSM セキュリティ ポリシーの設定」
AIP SSM の概要
AIP SSM は、ASA 5500 シリーズ適応型セキュリティ アプライアンスにインストールできます。 AIP SSM は高度な IPS ソフトウェアを実行して全機能を備えた予防型の侵入防護サービスを提供し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックをネットワークに影響を与える前に阻止します。ここでは、次の項目について説明します。
• 「AIP SSM と適応型セキュリティ アプライアンスの連携動作」
• 「動作モード」
AIP SSM と適応型セキュリティ アプライアンスの連携動作
AIP SSM は、適応型セキュリティ アプライアンスとは別のアプリケーションを実行します。 ただし、そのアプリケーションは適応型セキュリティ アプライアンスのトラフィック フローに統合されます。 AIP SSM 自体には、管理インターフェイス以外に外部インターフェイスは含まれていません。 適応型セキュリティ アプライアンスで IPS 検査対象のトラフィックを識別すると、トラフィック フローは適応型セキュリティ アプライアンスと AIP SSM を次のように通過します。
1. トラフィックが適応型セキュリティ アプライアンスに入ります。
3. トラフィックは、バックプレーンを経由して AIP SSM に送信されます。
トラフィックのコピーのみを AIP SSM に送信する方法の詳細については、「動作モード」を参照してください。
4. AIP SSM は、セキュリティ ポリシーをトラフィックに適用し、該当するアクションを実行します。
5. 有効なトラフィックは、バックプレーン経由で再び適応型セキュリティ アプライアンスに送信されます。AIP SSM は、そのセキュリティ ポリシーに従って一部のトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。
6. VPN ポリシーが適用されます(設定されている場合)。
7. トラフィックが適応型セキュリティ アプライアンスを出ます。
図39-1 に、インライン モードで AIP SSM を実行するときのトラフィックを示します。 この例では、AIP SSM は、攻撃と特定したトラフィックを自動的にブロックします。 その他すべてのトラフィックは、セキュリティ アプライアンスを経由して転送されます。
図39-1 AIP SSM 適応型セキュリティ アプライアンスのトラフィック フロー:インライン モード
動作モード
次のいずれかのモードを使用して、トラフィックを AIP SSM に送信できます。
• インライン モード:このモードでは、AIP SSM がトラフィック フロー内に直接置かれます(図39-1 を参照)。 IPS 検査対象として識別されたトラフィックが、続けて適応型セキュリティ アプライアンスを通過するためには、まず、AIP SSM を通過して検査に合格する必要があります。 検査対象として識別されたすべてのパケットは分析されてから通過を許可されるため、このモードはきわめてセキュアなモードです。 また、AIP SSM は、パケット単位でブロッキング ポリシーを実装することもできます。 ただし、このモードはスループットに影響を与える場合があります。
• 無差別モード:このモードでは、トラフィックのストリームを複製して AIP SSM に送信できます。 このモードでは、セキュリティは低下しますが、トラフィック スループットにはほとんど影響を与えません。 インライン モードとは異なり、無差別モードの AIP SSM がトラフィックをブロックするためには、適応型セキュリティ アプライアンスにトラフィックを除外するように指示するか、適応型セキュリティ アプライアンス上の接続をリセットする必要があります。 また、AIP SSM によるトラフィックの分析中、AIP SSM が除外できずに少量のトラフィックが適応型セキュリティ アプライアンスを通過してしまうことがあります。図39-2 に無差別モードの AIP SSM を示します。 この例では、AIP SSM が、脅威と特定したトラフィックについて、除外メッセージをセキュリティ アプライアンスに送信しています。
図39-2 AIP SSM 適応型セキュリティ アプライアンスのトラフィック フロー:無差別モード
仮想センサーの使用
IPS ソフトウェア バージョン 6.0 以降を実行している AIP SSM は、複数の仮想センサーを実行できます。これは、AIP SSM に複数のセキュリティ ポリシーを設定できるということです。 各コンテンツまたはシングルモードのセキュリティ アプライアンスを 1 つ以上の仮想センサーに割り当てることができます。または、複数のセキュリティ コンテキストを同一仮想センサーに割り当てることができます。 サポートされる最大センサー数を含む、仮想センサーの詳細については、IPS のマニュアルを参照してください。
図39-3 に、仮想センサーとセキュリティ コンテキストの 1 対 1 の組み合せ(インライン モード)と、同一仮想センサーを共有する 2 つのセキュリティ コンテキストを示します。
図39-4 に、シングルモードのセキュリティ アプライアンスと複数の仮想センサーの組み合せ(インライン モード)を示します。定義されたトラフィック フローはそれぞれ別のセンサーに流れます。
図39-4 シングルモードのセキュリティ アプライアンスと複数の仮想センサー
AIP SSM の手順の概要
AIP SSM を設定するプロセスには、AIP SSM の設定と ASA 5500 シリーズ適応型セキュリティ アプライアンスの設定が含まれます。
1. ASDM から IDM を起動します。「ASDM からの IDM へのアクセス」を参照してください。ASDM では、IDM を使用して AIP SSM を設定します。
2. IDM で、検査および保護ポリシーを設定します。このポリシーにより、トラフィックの検査方法と侵入が検出された場合の処理が決まります。 AIP SSM を複数センサー モードで実行する場合には、仮想センサーごとに検査および保護ポリシーを設定します。「IDM での AIP SSM セキュリティ ポリシーの設定」を参照してください。
3. マルチコンテキスト モードで ASA 5500 シリーズ適応型セキュリティ アプライアンスの ASDM を使用して、コンテキストごとに使用できる IPS 仮想センサーを指定します(仮想センサーが設定されている場合)。「セキュリティ コンテキストへの仮想センサーの割り当て」を参照してください。
4. ASA 5500 シリーズ適応型セキュリティ アプライアンスの ASDM を使用して、AIP SSM に誘導するトラフィックを識別します。「AIP SSM へのトラフィックの誘導」を参照してください。
ASDM からの IDM へのアクセス
ASDM では、IDM を使用して AIP SSM を設定します。AIP SSM で IPS バージョン 6.0 以降を実行している場合、ASDM は AIP SSM から IDM を取得して、IDM を ASDM インターフェイスの一部として表示します。IPS ソフトウェアがそれ以前のバージョンの場合、IDM は別のブラウザ ウィンドウで起動されます。
ASDM から IDM にアクセスするには、 Configuration > IPS をクリックします。
AIP SSM の IP アドレスまたはホスト名の入力を要求されます。
• AIP SSM で IPS バージョン 6.0 以降を実行している場合、ASDM は AIP SSM から IDM を取得して、IDM を ASDM インターフェイスの一部として表示します。AIP SSM のパスワードを入力して OK をクリックします。
• AIP SSM が以前のバージョンの IPS ソフトウェアを実行している場合、ASDM に IDM へのリンクが表示されます。リンクをクリックして、新しいブラウザ ウィンドウで IDM を起動します。IDM にアクセスするには、ユーザ名とパスワードを入力する必要があります。
IDM にアクセスするためのパスワードがわからない場合は、ASDM を使用してパスワードをリセットできます。詳細については、「AIP SSM パスワードのリセット」を参照してください。
IDM での AIP SSM セキュリティ ポリシーの設定
AIP SSM で、検査および保護ポリシーを設定します。このポリシーにより、トラフィックの検査方法と侵入が検出された場合の処理が決まります。 IPS バージョン 6.0 以降で仮想センサーを設定している場合、センサーのいずれかをデフォルトとして指定します。 ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションに仮想センサー名が指定されていない場合、デフォルト センサーが使用されます。
AIP SSM で実行される IPS ソフトウェアは、このマニュアルの対象範囲ではないため、詳細な設定情報は IDM オンライン ヘルプを参照してください。IDM オンライン ヘルプには、ASDM に表示される IDM ペインからアクセスできます。また、次の Web サイトにアクセスし、Cisco.com で IDM と IPS のマニュアルを参照することもできます。
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_installation_and_configuration_guides_list.html
セキュリティ コンテキストへの仮想センサーの割り当て
セキュリティ アプライアンスがマルチコンテキスト モードの場合、各コンテキストに 1 つ以上の IPS 仮想センサーを割り当てることができます。 割り当てると、AIP SSM にトラフィックを送信するためのコンテキストを設定するときに、コンテキストに割り当てられているセンサーは指定でき、コンテキストに割り当てられていないセンサーは指定できません。 コンテキストにセンサーを割り当てない場合、AIP SSM で設定されているデフォルト センサーが使用されます。 同じセンサーを複数のコンテキストに割り当てることができます。
(注) 仮想センサーを使うためにマルチコンテキスト モードである必要はありません。シングルモードで、複数のセンサーを複数のトラフィック フローに使用できます。
1 つ以上のセンサーをセキュリティ コンテキストに割り当てるには、次の手順を実行します。
ステップ 1 ASDM Device List ペインで、アクティブなデバイスの IP アドレスの下にある System をダブルクリックします。
ステップ 2 Context Management > Security Contexts ペインで、設定するコンテキストを選択し、 Edit を選択します。
Edit Context ダイアログボックスが表示されます。コンテキストの設定の詳細については、「セキュリティ コンテキストの設定」を参照してください。
ステップ 3 IPS Sensor Allocation 領域で、 Add をクリックします。
IPS Sensor Selection ダイアログボックスが表示されます。
ステップ 4 Sensor Name ドロップダウン リストで、AIP SSM に設定されている仮想センサーの中からセンサー名を選択します。
ステップ 5 (オプション)センサーにマッピング名を割り当てるには、Mapped Sensor Name フィールドに値を入力します。
このセンサー名は、コンテキスト内で実際のセンサー名の代わりに使用できます。 マッピングされる名を指定しない場合、コンテキスト内でセンサー名が使用されます。 セキュリティ上の理由から、コンテキストが使用しているセンサーをコンテキスト管理者に知られたくない場合があります。 または、コンテキスト コンフィギュレーションの汎用化が必要な場合もあります。 たとえば、すべてのコンテキストに「sensor1」および「sensor2」というセンサーを使用する場合、コンテキスト A の sensor1 および sensor2 には「highsec」センサーおよび「lowsec」センサーをマッピングし、一方でコンテキスト B の sensor1 および sensor2 には、「medsec」センサーおよび「lowsec」センサーをマッピングすることができます。
ステップ 6 OK をクリックして Edit Context ダイアログボックスに戻ります。
ステップ 7 (オプション)1 つのセンサーをこのコンテキストのデフォルト センサーとして設定するには、Default Sensor ドロップダウン リストからセンサー名を選択します。
コンテキスト コンフィギュレーション内に IPS を設定するときにセンサー名を指定しない場合、コンテキストはデフォルト センサーを使用します。 1 つのコンテキストに設定できるデフォルト センサーは 1 つだけです。 デフォルトとしてセンサーを指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、トラフィックは AIP SSM のデフォルト センサーを使用します。
ステップ 8 この手順をセキュリティ コンテキストごとに繰り返します。
ステップ 9 「AIP SSM へのトラフィックの誘導」の説明に従って、各コンテキストに変更して IPS セキュリティ ポリシーを設定します。
AIP SSM へのトラフィックの誘導
適応型セキュリティ アプライアンスから AIP SSM に誘導するトラフィックを識別するには、次の手順を実行します。マルチコンテキスト モードの場合は、この手順を各コンテキスト実行スペースで実行します。
この機能は、サービス ポリシー ルールを使用してイネーブルにします。 サービス ポリシー作成の詳細については、 第 23 章「サービス ポリシー ルールの設定」 を参照してください。
ステップ 1 ASDM Device List ペインで、アクティブなデバイスの IP アドレス > Contexts の下にあるコンテキスト名をクリックします。
ステップ 2 Configuration > Firewall > Service Policy Rules をクリックします。
ステップ 3 既存のルールを編集する、または新しいルールを作成するには、次の手順を実行します。
• 既存のルールの場合、ルールを選択して Edit をクリックします。
Edit Service Policy Rule ダイアログボックスが表示されます。
• 新しいルールの場合、 Add > Add Service Policy Rule を選択します。
Add Service Policy Rule Wizard - Service Policy ダイアログボックスが表示されます。 Service Policy ダイアログボックスおよび Traffic Classification Criteria ダイアログボックスで設定を完了します。詳細については、「通過トラフィックのサービス ポリシー ルールの追加」を参照してください。 Next をクリックして Add Service Policy Rule Wizard - Rule Actions ダイアログボックスを表示します。
ステップ 4 Intrusion Prevention タブをクリックします。
他のタブを使用し、この同じトラフィックに対して他の機能アクションを設定することもできます。
ステップ 5 Enable IPS for this traffic flow チェックボックスをオンにします。
ステップ 6 Mode 領域で、 Inline Mode または Promiscuous Mode をクリックします。
詳細については、「動作モード」を参照してください。
ステップ 7 If IPS Card Fails 領域で、 Permit traffic または Close traffic をクリックします。
Close traffic オプションは、AIP SSM を使用できない場合はすべてのトラフィックをブロックするように適応型セキュリティ アプライアンスを設定します。
Permit traffic オプションは、AIP SSM が使用できない場合は検査を行わずにすべてのトラフィックの通過を許可するように適応型セキュリティ アプライアンスを設定します。
ステップ 8 (オプション)IPS Sensor to use ドロップダウン リストから、仮想センサー名を選択します。
AIP SSM で仮想センサーを使用する場合、このオプションを使用してセンサー名を指定できます。 セキュリティ アプライアンスでマルチコンテキスト モードを使用する場合、指定できるセンサーは、コンテキストに割り当てたものだけです(「セキュリティ コンテキストへの仮想センサーの割り当て」を参照)。 センサー名を指定しないと、トラフィックはデフォルト センサーを使用します。 マルチコンテキスト モードでは、コンテキストのデフォルト センサーを指定できます。 シングルモードの場合、またはマルチモードでデフォルト センサーを指定しない場合は、トラフィックは AIP SSM に設定されているデフォルト センサーを使用します。
Intrusion Prevention タブのフィールドの説明
• Enable IPS for this traffic flow:このトラフィック フローでの侵入防御をイネーブルまたはディセーブルにします。このチェックボックスをオンにすると、このウィンドウの他のパラメータがアクティブになります。
• Mode:侵入防御の動作モードを設定します。詳細については、「動作モード」を参照してください。
–Inline Mode:インライン モードを選択します。このモードでは、パケットが IPS に転送されます。パケットは、IPS の働きによりドロップされる場合があります。
–Promiscuous Mode:無差別モードを選択します。このモードでは、元のパケットの複製パケットに対して IPS が作動します。元のパケットがドロップされることはありません。
• If IPS card fails:AIP SSM が動作不能になった場合に実行するアクションを設定します。
–Permit traffic:AIP SSM の障害発生時にトラフィックを許可します。
–Close traffic:AIP SSM の障害発生時にトラフィックをブロックします。
• IPS Sensor Selection:トラフィック フローに使用する仮想センサーを選択します。詳細については、「仮想センサーの使用」を参照してください。
–IPS Sensor to Use:仮想センサー名を設定します。 AIP SSM で仮想センサーを使用する場合、このオプションを使用してセンサー名を指定できます。 セキュリティ アプライアンスでマルチコンテキスト モードを使用する場合、指定できるセンサーは、コンテキストに割り当てたものだけです(「セキュリティ コンテキストへの仮想センサーの割り当て」を参照)。 センサー名を指定しないと、トラフィックはデフォルト センサーを使用します。 マルチコンテキスト モードでは、コンテキストのデフォルト センサーを指定できます。 シングルモードの場合、またはマルチモードでデフォルト センサーを指定しない場合は、トラフィックは AIP SSM に設定されているデフォルト センサーを使用します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
AIP SSM パスワードのリセット
AIP SSM で IPS バージョン 6.0 以降を実行している場合、ASDM を使用して AIP SSM パスワードをデフォルト設定にリセットすることができます。デフォルトのパスワードは「cisco」(かぎカッコなし)です。パスワードをリセットしたら、IDM で一意のパスワードに変更する必要があります。ASDM から IDM にアクセスする方法については、「ASDM からの IDM へのアクセス」を参照してください。
AIP SSM パスワードをリセットすると、AIP SSM が再起動します。AIP SSM の再起動中、IPS サービスは使用できません。
AIP SSM パスワードをデフォルト設定にリセットするには、次の手順を実行します。
ステップ 1 ASDM メニューバーの Tools > IPS Password Reset を選択します。
(注) SSM がインストールされていないと、このオプションはメニューに表示されません。CSC SSM がインストールされている場合、このオプションは CSC Password Reset と表示されます。
IPS Password Reset confirmation ダイアログボックスが表示されます。
ステップ 2 OK をクリックして、AIP SSM パスワードをデフォルト設定にリセットします。
ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。パスワードがリセットされなかったときは、適応型セキュリティ アプライアンスでバージョン 7.2(2)以降のプラットフォーム ソフトウェアを使用していること、および AIP SSM で IPS バージョン 6.0 以降を使用していることを確認してください。
ステップ 3 Close をクリックしてダイアログボックスを閉じます。
フィードバック