IOS-IPS 初期設定
時々、IOS-IPSの設定方法について尋ねられることがありましたので
日本語版で IOS-IPS の初期設定手順を作成しました。
本日本語版のソースは以下になります。
※本編では極力最小限の設定を心がけている為、まったく同じ内容ではございません。
---
IOS-IPS Step-by-Step
http://www.cisco.com/en/US/prod/collateral/iosswrel/
ps6537/ps6586/ps6634/prod_white_paper0900
aecd805c4ea8.html
<作業の大まかな流れ>
Step 1: IOS IPS files に必要なファイルを Cisco サイトからダウンロード
Step 2: IOS IPS の作業場所(ディレクトリ)を作成(ルータのフラッシュ上になります)
Step 3: Signature を適用する際の鍵をルータに登録
Step 4: IOS IPS を有効化
Step 5: IOS IPS 用の signature を適用(ロード)する
※signature とは悪意のあるパケット特有の情報が格納されていてファイルとなります。
ルータはその情報をもとにどのパケットが悪いパケットかどうか判断します。
Step 1: IOS IPS files に必要なファイルを Cisco サイトからダウンロード
Step1-1: signature ファイルのダウンロード
以下のリンクより IOS-SXXX-CLI.pkg をダウンロードします。
このファイルは Step5 にて必要となります。
※ログインアカウントが必要となります。
---
Cisco IOS Intrusion Prevention System Feature Software
http://tools.cisco.com/support/downloads/go/Model.x?
mdfid=281442967&mdfLevel=Software%20Family&tree
Name=Security&modelName=Cisco%20IOS%20Intrusion
%20Prevention%20System%20Feature%20Software&tree
MdfId=268438162
Ste1-2: Step3 で必要となる key 情報(テキスト情報)を Cisco サイトからダウンロード
作業PC に以下のサイト内にあるテキスト情報を保存しておいてください。
---
realm-cisco.pub.key.txt
http://download-sj.cisco.com/cisco/ciscosecure/ids/
sigup/5.0/ios/realm-cisco.pub.key.txt
Step 2: IOS IPS の作業場所(ディレクトリ)を作成(ルータのフラッシュ上になります)
router# mkdir ips
### 確認 ###
router# dir
Directory of flash:/
6 drw- 0 Feb 14 2008 11:36:36 -08:00 ips <--- ips ディレクトリーが確認できます。
Step 3: Signature を適用する際の鍵をルータに登録
signature をルータ上で展開する際にキーが必要となります。
そのキーは Step1-2 でダウンロードしたものとなりルータに登録する必要があります。
登録方法はいたって簡単で先ほどのテキストをコピーペーストするだけです。
以下はサイトにあったテキスト情報です。
---
crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
exit
exit
---
上記の --- --- のあいだの行をコピーしてコンフィグレーションモードのコンソール上に
貼り付ければ終了です。
Router(config)# <--- ここで貼り付けを選択
######コンソール上のではこのようになります。###################################
Router(config)# crypto key pubkey-chain rsa
Router(config-pubkey-chain)# named-key realm-cisco.pub signature
Translating "realm-cisco.pub"...domain server (255.255.255.255)
Router(config-pubkey-key)# key-string
Enter a public key as a hexidecimal number ....
Router(config-pubkey)#$2A864886 F70D0101 01050003 82010F00 3082010A 02820101
Router(config-pubkey)#$D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
Router(config-pubkey)#$912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
Router(config-pubkey)#$085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
Router(config-pubkey)#$0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
Router(config-pubkey)#$994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
Router(config-pubkey)#$5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
Router(config-pubkey)#$A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
Router(config-pubkey)#$80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
Router(config-pubkey)# F3020301 0001
Router(config-pubkey)# quit
Router(config-pubkey-key)# exit
Router(config-pubkey-chain)# exit
Router(config)#
######################################################################
### 確認 ###
Router# show crypto key pubkey-chain rsa
Codes: M - Manually configured, C - Extracted from certificate
Code Usage IP-Address/VRF Keyring Name
M Signing default realm-cisco.pub <--- 登録されている
Step 4: IOS IPS を有効化
Step4-1: IOS IPS ルール命名(IOS IPS をインタフェース上で設定する際に使用)
router(config)# ip ips name iosips
Step4-2: IOS IPS の作業場所を設定
Step2 で作成した IOS IPS のディレクトリーを設定する。
router(config)# ip ips config location flash:ips
Step4-3: ログの出力方法の設定
IOS IPS では SDEE と syslog のどちらかもしくは両方に IOS IPS のイベントを
出力することが可能です。
※SDEE はシスコのプロトコルで外部のサーバにイベントを送信する際にしようするものです。
router(config)#ip ips notify sdee
router(config)#ip ips notify log
※片方または両方のログを有効にすることが可能です。
Step4-4: signature の設定
sginature 内部には現在 3000 以上もの定義されております。
すべての定義を有効にした場合ルータ上のメモリーを使用しさらに CPU も使用する為
通信不安定またはルータ自体の不安定などの懸念点が考えられます。
※メモリー&CPU も有限のリソースなのですべて有効にすることは推奨されておりません。
その為、ある程度有効にする定義を絞らなくてはなりません。
定義の絞込みは以下のように設定します。
---
router(config)#ip ips signature-category
router(config-ips-category)# category all
router(config-ips-category-action)# retired true
router(config-ips-category-action)# exit
router(config-ips-category)# category ios_ips basic
router(config-ips-category-action)# retired false
router(config-ips-category-action)# exit
router(config-ips-category)# exit
Do you want to accept these changes? [confirm]y
router(config)#
上記の意味は category all ですべての定義に対して設定することを意味します。
そので retired true として一度すべての定義を無効にしています。
その後、category ios_ips basic で IOS IPS 用で基本的な定義郡に対して設定
をし、retired false として ios_ips basic に対して定義を有効にしています。
※ retired と enable 設定につきましては以下をご参照ください。
---
https://supportforums.cisco.com/docs/DOC-20936
Step4-5: IOS IPS をインタフェースで有効にする(方向設定ありin/out)
router(config)#interface GigabitEthernet 0/0
router(config-if)#ip ips iosips in
router(config-if)#ip ips iosips out
※ in のみでも設定可能ですがそのインタフェースの in 方向のパケットのみが検査対象となります。
Step 5: IOS IPS 用の signature を適用(ロード)する
router# copy ftp://cisco:cisco@192.168.1.1/IOS-S633-CLI.pkg idconf
Loading IOS-S633-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
以上で設定は終わりです。