IOS-IPS: チューニングしたシグネチャ設定の、他機器への移行方法

Taisuke Nakamura · ‎2014-06-23

【イントロダクション】
本ドキュメントは、CiscoルータのIOS-IPS機能(IPS 5.x Signature Format)をご利用、かつシグネチャをチューニングしているお客様にて、保守交換等により別機器へのチューニングしたシグネチャ設定の移行方法を記述致します。

本ドキュメントは、Cisco892 (IOS Version=15.2(4)M6a)を元に作成しております。

本ドキュメントは、以下URLを元に作成しており、英語原文との間で内容の齟齬がある場合は、英語原文を優先します。及び、Signature Event Action Processing(SEAP)機能を利用のお客様においても、英語原文を確認してください。

Tuning, Deploying and Updating Cisco IOS IPS Signature Sets For Multiple-Device Deployments [原文]
http://www.cisco.com/c/en/us/products/collateral/security/ios-intrusion-prevention-system-ips/white_paper_c11_549300.html

Cisco IOS IPS 5.x Signature Format Support and Usability Enhancements [原文]
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_ios_ips/configuration/15-1mt/sec-ips5-sig-fs-ue.html

【オリジナル機器の、設定のバックアップ】
交換対象機(障害機など)から、予め以下のファイル/ログのバックアップを取得します。

1. IOS-IPSのシグネチャ関連の情報を持つ、flashの指定フォルダ下の、以下4つのファイル(-sig-delta, -sig-typedef, -sig-category, -sig-default)を、任意サーバにバックアップ
※ファイル拡張子は利用バージョンにより、.xml もしくは .xmz となりますが、利用IOSバージョンにより異なりますが、当ファイルの機能は同等です

[対象ファイル確認例]
IOS-IPS#sh flash | in iosips-sig-
12         723 Jun 23 2014 04:54:54 +00:00 ips/iosips-sig-delta.xmz
16       16625 Jun 23 2014 04:32:12 +00:00 ips/iosips-sig-typedef.xmz
17      134140 Jun 23 2014 04:32:20 +00:00 ips/iosips-sig-category.xmz
20     1467423 Jun 23 2014 04:33:00 +00:00 ips/iosips-sig-default.xmz

[バックアップコマンド例]
copy flash:ips/iosips-sig-delta.xmz tftp://192.168.200.1
copy flash:ips/iosips-sig-typedef.xmz tftp://192.168.200.1
copy flash:ips/iosips-sig-category.xmz tftp://192.168.200.1
copy flash:ips/iosips-sig-default.xmz tftp://192.168.200.1

[バックアップコマンド実行例]
IOS-IPS#copy flash:ips/iosips-sig-delta.xmz tftp://192.168.200.1
Address or name of remote host [192.168.200.1]?
Destination filename [iosips-sig-delta.xmz]?
!!
723 bytes copied in 0.088 secs (8216 bytes/sec)

2. 以下コマンド出力の取得 ※後ほど差分確認に利用します
--------------------------------------------------------
show run
show ip ips all
show ip ips signature count
show tech
show log
--------------------------------------------------------

【移行対象機器への、設定のリストア】
次に、移行対象機(良品など)のセットアップを行います。なお、事前に移行対象機(良品など)が以下状態であることを確認して下さい。
・IOSバージョンが同一である事
・Flash内に古いIPSのシグネチャ設定ファイル(.xml or .xmz)が残っている場合は削除しておく事

3. IPSシグネチャ用のフォルダを作成
--------------------------------------------------------
Router#mkdir flash:/ips
Create directory filename [ips]? <------ 空Enter
Created dir flash:/ips
--------------------------------------------------------

4. 上記で作成したフォルダを、シグネチャ情報を保存するディレクトリに指定
--------------------------------------------------------
Router#conf t
Router(config)#ip ips config location flash:/ips
--------------------------------------------------------

5. 事前にバックアップを取っていたルータ設定を復元
--------------------------------------------------------
Router(config)#
Router(config)#version 15.2
Router(config)#service timestamps debug datetime msec
Router(config)#service timestamps log datetime msec
Router(config)#no service password-encryption
Router(config)#!
Router(config)#hostname IOS-IPS
IOS-IPS(config)#!
IOS-IPS(config)#boot-start-marker
IOS-IPS(config)#boot system flash c890-universalk9-mz.152-4.M6a.bin
IOS-IPS(config)#boot-end-marker
   <snip>
IOS-IPS(config)#ip ips config location flash:ips retries 1
IOS-IPS(config)#ip ips notify SDEE
IOS-IPS(config)#ip ips name iosips
IOS-IPS(config)#!
IOS-IPS(config)#ip ips signature-category
IOS-IPS(config-ips-category)# category all
IOS-IPS(config-ips-category-action)#   retired true
IOS-IPS(config-ips-category-action)# category ios_ips advanced
IOS-IPS(config-ips-category-action)#   retired false
IOS-IPS(config-ips-category-action)#!
IOS-IPS(config-ips-category-action)#
IOS-IPS(config-ips-category-action)#exit
IOS-IPS(config-ips-category)#exit
Do you want to accept these changes? [confirm]   <------ 空Enter
IOS-IPS(config)#
   <snip>
IOS-IPS(config-red)#!
IOS-IPS(config-red)#crypto key pubkey-chain rsa
IOS-IPS(config-pubkey-chain)# named-key realm-cisco.pub signature
Translating "realm-cisco.pub"...domain server (64.xx.xx.xx) (171.xx.xx.xx)

IOS-IPS(config-pubkey-key)# key-string
Enter a public key as a hexidecimal number ....

IOS-IPS(config-pubkey)#$2A864886 F70D0101 01050003 82010F00 3082010A 02820101
IOS-IPS(config-pubkey)#$D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
IOS-IPS(config-pubkey)#$912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
IOS-IPS(config-pubkey)#$085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
IOS-IPS(config-pubkey)#$0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
IOS-IPS(config-pubkey)#$994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
IOS-IPS(config-pubkey)#$5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
IOS-IPS(config-pubkey)#$A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
IOS-IPS(config-pubkey)#$80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
IOS-IPS(config-pubkey)# F3020301 0001
IOS-IPS(config-pubkey)# quit
IOS-IPS(config-pubkey-key)#!
IOS-IPS(config-pubkey-key)#!
<snip>
IOS-IPS(config-line)#
IOS-IPS(config-line)#end
IOS-IPS#wr
Building configuration...

Jun 23 14:28:58.679: %SYS-5-CONFIG_I: Configured from console by console[OK]
IOS-IPS#
--------------------------------------------------------

6. IOS-IPS基本設定の再確認 ※カテゴリ Allが Retireである事を確認してください
--------------------------------------------------------
IOS-IPS#show ip ips all

IPS Signature File Configuration Status
    Configured Config Locations: flash:ips
    Last signature default load time: -none-
    Last signature delta load time: -none-
   <snip>
IPS Category CLI Configuration:
    Category all:
        Retire: True            ← Category Allが "Retire True"である事
    Category ios_ips advanced:
        Retire: False          ← Category IOS IPSが "Retire False"である事
--------------------------------------------------------

7. 事前にバックアップした、各シグネチャファイルをロードします
この際、typedef→category→default→delta の順にロードしてください

[対象ファイル]
iosips-sig-typedef.xmz (or .xml)
iosips-sig-category.xmz (or .xml)
iosips-sig-default.xmz (or .xml)
iosips-sig-delta.xmz (or .xml)

[コマンド例]
copy tftp://192.168.200.1/iosips-sig-typedef.xmz idconf
copy tftp://192.168.200.1/iosips-sig-category.xmz idconf
copy tftp://192.168.200.1/iosips-sig-default.xmz idconf
copy tftp://192.168.200.1/iosips-sig-delta.xmz idconf

[コマンド実行例]
IOS-IPS#copy tftp://192.168.200.1/iosips-sig-typedef.xmz idconf
Loading iosips-sig-typedef.xmz from 192.168.200.1 (via FastEthernet8): !
[OK - 16625 bytes]

IOS-IPS#copy tftp://192.168.200.1/iosips-sig-category.xmz idconf
Loading iosips-sig-category.xmz from 192.168.200.1 (via FastEthernet8): !
[OK - 134140 bytes]

IOS-IPS#copy tftp://192.168.200.1/iosips-sig-default.xmz idconf
Loading iosips-sig-default.xmz from 192.168.200.1 (via FastEthernet8): !!!!!!
[OK - 1467423 bytes]

Jun 23 14:36:14.319: %IPS-5-PACKET_UNSCANNED: atomic-ip - fail open - packets passed unscanned
Jun 23 14:36:23.699: %IPS-6-ENGINE_BUILDS_STARTED: 23:36:23 JST Jun 23 2014
Jun 23 14:36:23.707: %IPS-6-ENGINE_BUILDING: atomic-ip - 513 signatures - 1 of 13 engines
Jun 23 14:36:30.167: %IPS-6-ENGINE_READY: atomic-ip - build time 6460 ms - packets for this engine will be scanned
Jun 23 14:36:30.167: %IPS-6-ENGINE_BUILDING: normalizer - 10 signatures - 2 of 13 engines
<snip>
Jun 23 14:36:50.223: %IPS-6-ENGINE_BUILDING: string-icmp - 3 signatures - 13 of 13 engines
Jun 23 14:36:50.223: %IPS-6-ENGINE_READY: string-icmp - build time 0 ms - packets for this engine will be scanned
Jun 23 14:36:50.223: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 26524 ms
IOS-IPS#
IOS-IPS#copy tftp://192.168.200.1/iosips-sig-delta.xmz idconf
Loading iosips-sig-delta.xmz from 192.168.200.1 (via FastEthernet8): !
[OK - 723 bytes]

Jun 23 14:39:18.891: %IPS-6-ENGINE_BUILDS_STARTED: 23:39:18 JST Jun 23 2014
Jun 23 14:39:19.123: %IPS-6-ENGINE_BUILDING: atomic-ip - 513 signatures - 1 of 13 engines
Jun 23 14:39:24.483: %IPS-5-PACKET_UNSCANNED: atomic-ip - fail open - packets passed unscanned
Jun 23 14:39:26.231: %IPS-6-ENGINE_READY: atomic-ip - build time 7108 ms - packets for this engine will be scanned
Jun 23 14:39:26.367: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 7476 ms

8. コマンド"show ip ips all"で、シグネチャが正常にコンパイル・適用されているかを確認
--------------------------------------------------------
IOS-IPS#show ip ips all

IPS Signature File Configuration Status
    Configured Config Locations: flash:ips
    Last signature default load time: 23:36:50 JST Jun 23 2014
    Last signature delta load time: 23:39:26 JST Jun 23 2014
--------------------------------------------------------

9. コマンド"show ip ips signature count"で、移行前（項番 2.で採取）と同数のシグネチャを認識している事を確認
--------------------------------------------------------
IOS-IPS#show ip ips signature count

Cisco SDF release version S806.0
    <snip>
Total Signatures: 6564
   Total Enabled Signatures: 1081 <------ 各カウントが同数である事を確認
   Total Retired Signatures: 6004
   Total Compiled Signatures: 560
   Total Obsoleted Signatures: 18
--------------------------------------------------------

10. GUI管理ツール(CCP等)で、チューニングしたシグネチャ設定が復元されている事を確認して下さい

【関連情報】
侵入防御システムでの 5.x 形式シグニチャの設定例
http://www.cisco.com/cisco/web/support/JP/111/1115/1115952_ios_ips_format_signatures-j.html

IOS-IPS 初期設定
https://supportforums.cisco.com/ja/document/98451