이 문서에서는 Cisco IPS(Intrusion Prevention System)에서 CLI(Command Line Interface) 및 IDS IDM(Device Manager)을 사용하여 Event Action Filter로 서명을 튜닝하는 방법에 대해 설명합니다.
이 문서에서는 Cisco IPS가 설치되어 있고 제대로 작동한다고 가정합니다.
이 문서의 정보는 소프트웨어 버전 5.0 이상을 실행하는 Cisco 4200 Series IDS/IPS 디바이스를 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
이벤트 작업 필터는 순서가 지정된 목록으로 처리되며, 목록에서 필터를 위 또는 아래로 이동할 수 있습니다.
필터는 센서가 모든 동작을 수행하거나 전체 이벤트를 제거할 필요 없이 센서가 이벤트에 응답하여 특정 동작을 수행하도록 합니다. 필터는 이벤트에서 작업을 제거하여 작동합니다. 이벤트의 모든 작업을 제거하는 필터는 이벤트를 효과적으로 소비합니다.
참고: 스윕 서명을 필터링할 경우, 대상 주소는 필터링하지 않는 것이 좋습니다. 대상 주소가 여러 개인 경우 마지막 주소만 필터와 일치시키는 데 사용됩니다.
이벤트에서 특정 작업을 제거하거나 전체 이벤트를 삭제하고 센서에 의한 추가 처리를 방지하려면 이벤트 작업 필터를 구성할 수 있습니다. 필터에 대한 그룹 주소를 위해 정의한 이벤트 작업 변수를 사용할 수 있습니다. 이벤트 작업 변수를 구성하는 방법에 대한 절차는 이벤트 작업 변수 추가, 편집 및 삭제 섹션을 참조하십시오.
참고: 문자열이 아닌 변수를 사용함을 나타내려면 변수 앞에 달러 기호($)를 붙여야 합니다. 그렇지 않으면 Bad source and destination(잘못된 소스 및 대상) 오류가 표시됩니다.
이벤트 작업 필터를 구성하려면 다음 단계를 완료하십시오.
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
이벤트 작업 규칙 하위 모드를 시작합니다.
sensor#configure terminal sensor(config)#service event-action-rules rules1 sensor(config-eve)#
필터 이름을 생성합니다.
sensor(config-eve)#filters insert name1 begin
이벤트 작업 필터의 이름을 지정하려면 name1, name2 등을 사용합니다. 시작 사용 | 끝 | 비활성 | 전에 | 필터를 삽입할 위치를 지정하기 위한 after 키워드
이 필터의 값을 지정합니다.
서명 ID 범위 지정:
sensor(config-eve-fil)#signature-id-range 1000-1005
기본값은 900~65535입니다.
하위 서명 ID 범위를 지정합니다.
sensor(config-eve-fil)#subsignature-id-range 1-5
기본값은 0~255입니다.
공격자 주소 범위를 지정합니다.
sensor(config-eve-fil)#attacker-address-range 10.89.10.10-10.89.10.23
기본값은 0.0.0.0~255.255.255.255입니다.
피해자 주소 범위 지정:
sensor(config-eve-fil)#victim-address-range 192.56.10.1-192.56.10.255
기본값은 0.0.0.0~255.255.255.255입니다.
피해자 포트 범위 지정:
sensor(config-eve-fil)#victim-port-range 0-434
기본값은 0~65535입니다.
OS 관련성을 지정합니다.
sensor(config-eve-fil)#os-relevance relevant
기본값은 0~100입니다.
위험 등급 범위를 지정합니다.
sensor(config-eve-fil)#risk-rating-range 85-100
기본값은 0~100입니다.
제거할 작업을 지정합니다.
sensor(config-eve-fil)#actions-to-remove reset-tcp-connection
거부 작업을 필터링하는 경우 원하는 거부 작업의 백분율을 설정합니다.
sensor(config-eve-fil)#deny-attacker-percentage 90
기본값은 100입니다.
필터의 상태를 disabled 또는 enabled로 지정합니다.
sensor(config-eve-fil)#filter-item-status {enabled | disabled}
기본값은 enabled입니다.
Stop on match 매개 변수를 지정합니다.
sensor(config-eve-fil)#stop-on-match {true | false}
True로 설정하면 이 항목이 일치하면 센서가 필터 처리를 중지합니다. False는 이 항목이 일치하더라도 필터를 계속 처리하도록 센서에 알립니다.
이 필터를 설명하기 위해 사용할 코멘트를 추가합니다.
sensor(config-eve-fil)#user-comment NEW FILTER
필터의 설정을 확인합니다.
sensor(config-eve-fil)#show settings NAME: name1 ----------------------------------------------- signature-id-range: 1000-10005 default: 900-65535 subsignature-id-range: 1-5 default: 0-255 attacker-address-range: 10.89.10.10-10.89.10.23 default: 0.0.0.0-255.255.255.255 victim-address-range: 192.56.10.1-192.56.10.255 default: 0.0.0.0-255.255.255.255 attacker-port-range: 0-65535 <defaulted> victim-port-range: 1-343 default: 0-65535 risk-rating-range: 85-100 default: 0-100 actions-to-remove: reset-tcp-connection default: deny-attacker-percentage: 90 default: 100 filter-item-status: Enabled default: Enabled stop-on-match: True default: False user-comment: NEW FILTER default: os-relevance: relevant default: relevant|not-relevant|unknown ------------------------------------------------ senor(config-eve-fil)#
기존 필터를 수정하려면
sensor(config-eve)#filters edit name1
매개변수를 편집하고 자세한 내용은 4a~4l단계를 참조하십시오.
필터 목록에서 필터를 위 또는 아래로 이동하려면 다음을 수행합니다.
sensor(config-eve-fil)#exit sensor(config-eve)#filters move name5 before name1
필터를 이동했는지 확인합니다.
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- filters (min: 0, max: 4096, current: 5 - 4 active, 1 inactive) ----------------------------------------------- ACTIVE list-contents ----------------------------------------------- NAME: name5 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- NAME: name2 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
필터를 비활성 목록으로 이동하려면
sensor(config-eve)#filters move name1 inactive
필터가 비활성 목록으로 이동했는지 확인합니다.
sensor(config-eve-fil)#exit sensor(config-eve)#show settings ----------------------------------------------- INACTIVE list-contents ----------------------------------------------- ----------------------------------------------- NAME: name1 ----------------------------------------------- signature-id-range: 900-65535 <defaulted> subsignature-id-range: 0-255 <defaulted> attacker-address-range: 0.0.0.0-255.255.255.255 <defaulted> victim-address-range: 0.0.0.0-255.255.255.255 <defaulted> attacker-port-range: 0-65535 <defaulted> victim-port-range: 0-65535 <defaulted> risk-rating-range: 0-100 <defaulted> actions-to-remove: <defaulted> filter-item-status: Enabled <defaulted> stop-on-match: False <defaulted> user-comment: <defaulted> ----------------------------------------------- ----------------------------------------------- sensor(config-eve)#
이벤트 작업 규칙 하위 모드 끝내기:
sensor(config-eve)#exit Apply Changes:?[yes]:
변경 사항을 적용하려면 Enter를 누르고 취소하려면 no를 입력합니다.
이벤트 작업 필터를 추가, 수정, 삭제, 활성화, 비활성화 및 이동하려면 다음 단계를 완료하십시오.
관리자 또는 운영자 권한이 있는 계정으로 IDM에 로그인합니다.
소프트웨어 버전이 6.x인 경우 Configuration > Policies > Event Action Rules > rules0 > Event Action Filters를 선택합니다. 소프트웨어 버전 5.x의 경우 Configuration(컨피그레이션) > Event Action Rules(이벤트 작업 규칙) > Event Action Filters(이벤트 작업 필터)를 선택합니다.
Event Action Filters(이벤트 작업 필터) 탭이 표시된 대로 나타납니다.
이벤트 작업 필터를 추가하려면 Add를 클릭합니다.
Add Event Action Filter 대화 상자가 나타납니다.
Name 필드에 이벤트 작업 필터의 이름1을 입력합니다.
기본 이름이 제공되지만 좀 더 의미 있는 이름으로 변경할 수 있습니다.
이벤트 필터링에 적용할 수 있도록 목록에 이 필터를 추가하려면 Active 필드에서 Yes 라디오 버튼을 클릭합니다.
필터를 활성화하려면 Enabled 필드에서 Yes 라디오 버튼을 클릭합니다.
참고: 또한 Event Action Filters(이벤트 작업 필터) 탭에서 Use Event Action Filters(이벤트 작업 필터 사용) 확인란을 선택해야 합니다. 또는 Add Event Action Filter(이벤트 작업 필터 추가) 대화 상자에서 Yes(예) 확인란을 선택했는지에 관계없이 이벤트 작업 필터가 활성화되지 않습니다.
Signature ID(서명 ID) 필드에 이 필터를 적용해야 하는 모든 서명의 서명 ID를 입력합니다.
목록(예: 1000, 1005) 또는 범위(예: 1000-1005)를 사용하거나 Event Variables 탭에서 SIG 변수를 정의한 경우 SIG 변수 중 하나를 사용할 수 있습니다. 변수 앞에 $를 추가합니다.
SubSignature ID 필드에 이 필터를 적용할 하위 서명의 하위 서명 ID를 입력합니다. 예: 1-5.
Attacker Address 필드에 소스 호스트의 IP 주소를 입력합니다.
Event Variables 탭에서 정의한 변수 중 하나를 사용할 수 있습니다. 변수 앞에 $를 추가합니다. 주소 범위를 입력할 수도 있습니다(예: 10.89.10.10-10.89.10.23). 기본값은 0.0.0.0-255.255.255.255입니다.
공격자 포트 필드에 공격자가 위반 패킷을 전송하기 위해 사용한 포트 번호를 입력합니다.
피해자 주소 필드에 수신자 호스트의 IP 주소를 입력합니다.
Event Variables 탭에서 정의한 변수 중 하나를 사용할 수 있습니다. 변수 앞에 $를 추가합니다. 주소 범위를 입력할 수도 있습니다(예: 192.56.10.1-192.56.10.255). 기본값은 0.0.0.0-255.255.255.255입니다.
위반 패킷을 수신하기 위해 피해자 호스트가 사용하는 포트 번호를 피해자 포트 필드에 입력합니다. 예: 0-434.
Risk Rating(위험 등급) 필드에 이 필터의 RR 범위를 입력합니다. 예: 85-100.
이벤트에 대한 RR이 지정한 범위 내에 있으면 이 필터의 기준에 따라 이벤트가 처리됩니다.
Actions to Subtract(뺄 작업) 드롭다운 목록에서 이 필터가 이벤트에서 제거할 작업을 선택합니다. 예를 들어, Reset TCP connection(TCP 연결 재설정)을 선택합니다.
팁: 목록에서 둘 이상의 이벤트 작업을 선택하려면 Ctrl 키를 누릅니다.
OS Relevance(OS 관련성) 드롭다운 목록에서 경고문이 피해자에 대해 식별된 OS와 관련이 있는지 여부를 선택합니다. 예를 들어, 관련을 선택합니다.
거부 공격자 기능을 거부하려면 Deny Percentage 필드에 패킷의 백분율을 입력합니다. 예를 들어, 90.
기본값은 100%입니다.
Stop on Match 필드에서 다음 라디오 버튼 중 하나를 선택합니다.
Yes(예) - 이 특정 필터의 작업이 제거된 후 Event Action Filters(이벤트 작업 필터) 구성 요소가 처리를 중지하도록 하려는 경우
남아 있는 필터는 처리되지 않으므로 이벤트에서 추가 작업을 제거할 수 없습니다.
아니요 - 추가 필터를 계속 처리하려는 경우
이 필터의 목적 또는 특정 방법으로 이 필터를 구성한 이유와 같이 이 필터와 함께 저장할 코멘트를 Comments 필드에 입력합니다. 예: NEW FILTER.
팁: Cancel(취소)을 클릭하여 변경 사항을 취소하고 Add Event Action Filter(이벤트 작업 필터 추가) 대화 상자를 닫습니다.
OK(확인)를 클릭합니다.
새로운 이벤트 작업 필터가 Event Action Filters(이벤트 작업 필터) 탭의 목록에 나타납니다(그림 참조).
표시된 대로 Use Event Action Overrides 확인란을 선택합니다.
참고: Event Action Overrides(이벤트 작업 재정의) 탭에서 Use Event Action Overrides(이벤트 작업 재정의 사용) 확인란을 선택해야 합니다. 또는 Add Event Action Filter(이벤트 작업 필터 추가) 대화 상자에서 설정한 값에 관계없이 이벤트 작업 재정의가 활성화되지 않습니다.
목록에서 기존 이벤트 작업 필터를 선택하여 편집한 다음 Edit를 클릭합니다.
Edit Event Action Filter 대화 상자가 나타납니다.
변경할 필드의 값을 변경합니다.
필드를 완료하는 방법에 대한 자세한 내용은 4단계에서 18단계까지를 참조하십시오.
팁: Cancel(취소)을 클릭하여 변경 사항을 취소하고 Edit Event Action Filter(이벤트 작업 필터 편집) 대화 상자를 닫습니다.
OK(확인)를 클릭합니다.
이제 편집된 이벤트 작업 필터가 Event Action Filters(이벤트 작업 필터) 탭의 목록에 나타납니다.
Use Event Action Overrides(이벤트 작업 재정의 사용) 확인란을 선택합니다.
참고: Event Action Overrides(이벤트 작업 재정의) 탭에서 Use Event Action Overrides(이벤트 작업 재정의 사용) 확인란을 선택해야 합니다. 또는 Edit Event Action Filter(이벤트 작업 필터 편집) 대화 상자에서 설정한 값에 관계없이 이벤트 작업 재정의가 활성화되지 않습니다.
목록에서 삭제할 이벤트 작업 필터를 선택한 다음 Delete(삭제)를 클릭합니다.
Event Action Filters(이벤트 작업 필터) 탭의 목록에 이벤트 작업 필터가 더 이상 나타나지 않습니다.
이벤트 작업을 이동하려면 목록에서 위로 또는 아래로 필터링하고 선택한 다음 Move Up 또는 Move Down을 클릭합니다.
팁: 변경 사항을 제거하려면 Reset(재설정)을 클릭합니다.
Apply(적용)를 클릭하여 변경 사항을 적용하고 수정된 컨피그레이션을 저장합니다.
이벤트 변수를 추가, 수정 및 삭제하려면 다음 단계를 완료하십시오.
로그인. 예를 들어, 관리자 또는 운영자 권한이 있는 계정을 사용합니다.
소프트웨어 버전이 6.x인 경우 Configuration > Policies > Event Action Rules > rules0 > Event Variables를 선택합니다. 소프트웨어 버전 5.x의 경우 Configuration > Event Action Rules > Event Variables를 선택합니다.
Event Variables 탭이 나타납니다.
변수를 생성하려면 Add를 클릭합니다.
Add Variable 대화 상자가 나타납니다.
Name 필드에 이 변수의 이름을 입력합니다.
참고: 유효한 이름은 숫자나 문자만 포함할 수 있습니다. 하이픈(-) 또는 밑줄(_)을 사용할 수도 있습니다.
값 필드에 이 변수의 값을 입력합니다.
전체 IP 주소 또는 범위 또는 범위 집합을 지정합니다. 예를 들면 다음과 같습니다.
10.89.10.10-10.89.10.23
10.90.1.1
192.168.10.1-192.168.10.255
참고: 구분 기호로 쉼표를 사용할 수 있습니다. 쉼표 뒤에 공백이 없어야 합니다. 그렇지 않으면 검증 실패 오류 메시지가 표시됩니다.
팁: Cancel(취소)을 클릭하여 변경 사항을 취소하고 Add Event Variable(이벤트 변수 추가) 대화 상자를 닫습니다.
OK(확인)를 클릭합니다.
새 변수가 Event Variables 탭의 목록에 나타납니다.
목록에서 기존 변수를 선택하여 편집한 다음 Edit를 클릭합니다.
Edit Event Variable 대화 상자가 나타납니다.
값 필드에 값에 대한 변경 사항을 입력합니다.
OK(확인)를 클릭합니다.
이제 편집된 이벤트 변수가 Event Variables 탭의 목록에 나타납니다.
팁: 변경 사항을 제거하려면 Reset(재설정)을 선택합니다.
Apply(적용)를 클릭하여 변경 사항을 적용하고 수정된 컨피그레이션을 저장합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
16-May-2007 |
최초 릴리스 |