一般的に、シスコの侵入防御システム製品ラインは非常に幅広いです。 スタンドアロンIPS 42XXシリーズセンサー、6500モジュール-IDSM2、ASAモジュール-AIP-SSM、ルーターモジュール(ISR)-NME-IPS、ISRの「カード」-AIM-IPSが含まれます。 彼は、ISRベースのソフトウェアソリューションにtsiskaと同じイデオロギーを導入し、IOSに適切な機能を追加しようとしています。
侵入検知と侵入防止の全体的なイデオロギーは、署名の概念に基づいています。 署名は基本的に、単一のパケットまたはストリーム内の「不規則性」のパターンです。
典型的な偵察方法からネットワークワームに至るまで、さまざまな「不規則性」があります。 これらのテンプレートは、tsiskaプログラマーによって慎重に作成され、更新の形でユーザーに届きます。 つまり システムは本質的に事後対応型であり、費用がかかる継続的な更新に基づいています。 アップデートのライセンスは、ハードウェアの各部分に直接結び付けられています。 ライセンスがなくてもOSを変更できますが、署名の更新をロールアップすることはできません。
ルーターベースの侵入検知および防止システムの歴史。
最初の侵入検知システム(IDS)は、ファイアウォール機能セットを備えたIOS 12.2.8Tを搭載したルーターに実装されました。 それは26XXと36XXのルーターでした。 システムは、数十(最大105)の署名でした。 それらを無効にするか、すべてのトラフィックに対してジョブを設定することはできません。
このシステムはチームによってアクティブ化されました
IP監査名IDS攻撃アクション{アラーム、ドロップ、リセット}
IP監査名IDS情報アクション{アラーム、ドロップ、リセット}
int f0 / 0
IP監査IDS {in | out}
それはそれ自体のものでした。 柔軟な設定も、更新も、署名の内容の概念もありません。
次のステップは、別個の署名定義ファイルを実装することでした。 この特別なファイルはルーターにアップロードされ、設定で指摘され、すべての署名とそのパラメーターがそこに保存されました。 この設計は次のように構成されました。
ip ips sdf location flash:{256MB.sdf | 128MB.sdf | attack-drop.sdf}
ファイルは、ルーターのRAMの量に基づいて選択されます。 最大のファイルである256MB.sdfには1,500を超える署名が含まれており、最低256 MBのRAMが必要でした
ip ips name IPS
int f0 / 0
ip ips IPS {in | out}
IPSルールをインターフェイスにハングさせた後、tsiskはファイルからメモリに署名をロードし、コンソールとWeb-GUIの両方で署名を構成できるようにしました(ちなみに、セキュリティデバイスマネージャー、SDMと呼ばれるGUIは、IPSの設定に非常に便利です)
iOSの下位互換性(最大12.4.T(11))のために、組み込みの署名もありました。 外部ファイルを使用する場合は、無効にすることをお勧めしました
いいえip ips sdf builtin
sdfファイルをロードできない場合、またはIPSサブシステムに障害が発生した場合、トラフィックのブロックを要求できます
ip ips fail close
ただし、ここでの署名形式はIPSバージョン4センサーと同じであり、この形式ではトラフィックのより深い分析ができず、新しい巧妙な攻撃を遮断しました。 IPSセンサー自体が登場する頃には、新しい形式が登場しました。5では、攻撃の累積リスクパラメーター(リスク評価)を構成し、より注意を要する領域(目標値評価)などを作成できます。
したがって、バージョン12.4.T(11)から、古い形式はサポートされなくなり、署名4形式の更新は2008年8月に停止しました。
新しい形式に切り替えて、IPSを使用してネットワークを柔軟に保護するには、別のファイルをロードする必要があります
IOS-S ###-CLI.pkg
暗号化された現在の署名とそのパラメータを保存します。 番号###は絶えず増加しているため、更新は常にロードする必要があります。 ちなみに、これはコマンドによって自動的に行うことができます
ip ips自動更新
次に、ダウンロードしたファイルを復号化(またはデジタル署名を検証)するためにルーターにciscoキーをインストールする必要があります
これを行います:
暗号キーpubkey-chain rsa
名前付きキーレルムcisco.pub署名
キーストリング
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
やめる
これらのコマンドは単純にモードに移行できます
Ro(構成)#
コピーペースト。 キーはすべてのものです。
ルーターのフラッシュにIPSファイル用に別のフォルダーを作成することをお勧めします
Ro#mkdir flash:/ IPS
そこで、IOS-S ###-CLI.pkgというファイルをコピーする必要があります。また、作業に必要なファイルが保存されることも示します。
Ro(config)#ip ips config location flash:/ IPS /
ここで、これらの最も必要なファイルをそこにインストールします。 これはトリッキーなチームによって行われます。
Ro#copy flash:/ IPS / IOS-S ###-CLI.pkg idconf
この手順にはかなりの時間(数分)かかり、結果にはフラッシュで表示されます
21 0 2009年5月27日14:22:58 +04:00 IPS
22 8662169 2009年5月27日14:24:22 +04:00 IPS / IOS-S399-CLI.pkg
23 284871 2009年5月28日22:48:00 +04:00 IPS / ccmt-2811-sigdef-default.xml
24 255 2009年5月27日16:35:56 +04:00 IPS / ccmt-2811-sigdef-delta.xml
25 34761 2009年5月28日22:43:44 +04:00 IPS / ccmt-2811-sigdef-category.xml
26 304 2009年5月27日16:35:56 +04:00 IPS / ccmt-2811-seap-delta.xml
27 8509 2009年5月28日22:43:40 +04:00 IPS / ccmt-2811-sigdef-typedef.xml
28 491 2009年5月27日17:05:00 +04:00 IPS / ccmt-2811-seap-typedef.xml
これらのxmlファイルには、デフォルト設定、変更、ブロックオプションなどが含まれています。
ほぼすべて。 前に行ったように、ルールを作成し、それをインターフェースに掛けるだけです。
ip ips name IPS
int f0 / 0
ip ips IPS {in | out}
その後、署名がメモリに読み込まれ、デフォルトでオンになっている署名がすぐに動作を開始します。
多くの署名があり、多くのメモリとプロセッサを消費することを忘れないでください。したがって、次のことを強くお勧めします。
1.署名カテゴリをすべて無効にします
Ro(config)#ip ips signature-category
Ro(config-ips-category)#すべてのカテゴリ
Ro(config-ips-category-action)#廃止true
2. iOS用に設計されたカテゴリを基本バージョンに含めるには
Ro(config)#ip ips signature-category
Ro(config-ips-category)#カテゴリーios_ips basic
Ro(config-ips-category-action)#廃止されたfalse
Ro(config-ips-category-action)#有効true
構成は、(構成)モードに戻った後に更新されます#
3.さらに、メモリとプロセッサの負荷を監視して、他のカテゴリの署名を追加できます。 署名自体の構成は、モードのコンソールからも可能です。
ip ips signature-definition
SDMまたはより新しいWEB-GUIのいずれか-CCE(Cisco Configuration Expert)
シグネチャを設定するためのパラメーターとメカニズムは、センサーの設定に可能な限り近いため、AIP-SSM、42XX、またはIDMS2センサーの設定経験がある場合は、安全に業務を開始できます。 そのような経験がない場合は、署名の設定について読むことをお勧めします。 または、IPS 6.0コースを受講してください:)