IOS-IPS 初期設定

時々、IOS-IPSの設定方法について尋ねられることがありましたので

日本語版で IOS-IPS の初期設定手順を作成しました。

本日本語版のソースは以下になります。

※本編では極力最小限の設定を心がけている為、まったく同じ内容ではございません。

---

IOS-IPS Step-by-Step

http://www.cisco.com/en/US/prod/collateral/iosswrel/
ps6537/ps6586/ps6634/prod_white_paper0900
aecd805c4ea8.html

<作業の大まかな流れ>

Step 1: IOS IPS files に必要なファイルを Cisco サイトからダウンロード

Step 2: IOS IPS の作業場所(ディレクトリ)を作成(ルータのフラッシュ上になります)

Step 3: Signature を適用する際の鍵をルータに登録

Step 4: IOS IPS を有効化

Step 5: IOS IPS 用の signature を適用(ロード)する

※signature とは悪意のあるパケット特有の情報が格納されていてファイルとなります。

ルータはその情報をもとにどのパケットが悪いパケットかどうか判断します。

Step 1: IOS IPS files に必要なファイルを Cisco サイトからダウンロード

Step1-1: signature ファイルのダウンロード

以下のリンクより IOS-SXXX-CLI.pkg をダウンロードします。

このファイルは Step5 にて必要となります。

※ログインアカウントが必要となります。

---

Cisco IOS Intrusion Prevention System Feature Software

http://tools.cisco.com/support/downloads/go/Model.x?
mdfid=281442967&mdfLevel=Software%20Family&tree
Name=Security&modelName=Cisco%20IOS%20Intrusion
%20Prevention%20System%20Feature%20Software&tree
MdfId=268438162

Ste1-2: Step3 で必要となる key 情報(テキスト情報)を Cisco サイトからダウンロード

作業PC に以下のサイト内にあるテキスト情報を保存しておいてください。

---

realm-cisco.pub.key.txt

http://download-sj.cisco.com/cisco/ciscosecure/ids/
sigup/5.0/ios/realm-cisco.pub.key.txt

Step 2: IOS IPS の作業場所(ディレクトリ)を作成(ルータのフラッシュ上になります)

router# mkdir ips

### 確認 ###

router# dir

Directory of flash:/

6 drw- 0 Feb 14 2008 11:36:36 -08:00 ips    <--- ips ディレクトリーが確認できます。

Step 3: Signature を適用する際の鍵をルータに登録

signature をルータ上で展開する際にキーが必要となります。

そのキーは Step1-2 でダウンロードしたものとなりルータに登録する必要があります。

登録方法はいたって簡単で先ほどのテキストをコピーペーストするだけです。

以下はサイトにあったテキスト情報です。

---

crypto key pubkey-chain rsa

named-key realm-cisco.pub signature

  key-string

   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101

   00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

   17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

   B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

   5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

   FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

   50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36

   006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

   2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

   F3020301 0001

quit

exit

exit

---

上記の --- --- のあいだの行をコピーしてコンフィグレーションモードのコンソール上に

貼り付ければ終了です。

Router(config)#            <--- ここで貼り付けを選択

######コンソール上のではこのようになります。###################################

Router(config)# crypto key pubkey-chain rsa

Router(config-pubkey-chain)# named-key realm-cisco.pub signature

Translating "realm-cisco.pub"...domain server (255.255.255.255)

Router(config-pubkey-key)#  key-string

Enter a public key as a hexidecimal number ....

Router(config-pubkey)#$2A864886 F70D0101 01050003 82010F00 3082010A 02820101

Router(config-pubkey)#$D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

Router(config-pubkey)#$912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

Router(config-pubkey)#$085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

Router(config-pubkey)#$0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

Router(config-pubkey)#$994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

Router(config-pubkey)#$5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36

Router(config-pubkey)#$A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

Router(config-pubkey)#$80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

Router(config-pubkey)#   F3020301 0001

Router(config-pubkey)# quit

Router(config-pubkey-key)# exit

Router(config-pubkey-chain)# exit

Router(config)#

######################################################################

### 確認 ###

Router# show  crypto key pubkey-chain rsa

Codes: M - Manually configured, C - Extracted from certificate

Code Usage         IP-Address/VRF         Keyring          Name

M    Signing                              default          realm-cisco.pub   <--- 登録されている

Step 4: IOS IPS を有効化

Step4-1: IOS IPS ルール命名(IOS IPS をインタフェース上で設定する際に使用)

router(config)# ip ips name iosips

Step4-2: IOS IPS の作業場所を設定

Step2 で作成した IOS IPS のディレクトリーを設定する。

router(config)# ip ips config location flash:ips

Step4-3: ログの出力方法の設定

IOS IPS では SDEE と syslog のどちらかもしくは両方に IOS IPS のイベントを

出力することが可能です。

※SDEE はシスコのプロトコルで外部のサーバにイベントを送信する際にしようするものです。

router(config)#ip ips notify sdee

router(config)#ip ips notify log

※片方または両方のログを有効にすることが可能です。

Step4-4: signature の設定

sginature 内部には現在 3000 以上もの定義されております。

すべての定義を有効にした場合ルータ上のメモリーを使用しさらに CPU も使用する為

通信不安定またはルータ自体の不安定などの懸念点が考えられます。

※メモリー&CPU も有限のリソースなのですべて有効にすることは推奨されておりません。

その為、ある程度有効にする定義を絞らなくてはなりません。

定義の絞込みは以下のように設定します。

---

router(config)#ip ips signature-category

router(config-ips-category)# category all

router(config-ips-category-action)# retired true

router(config-ips-category-action)# exit

router(config-ips-category)# category ios_ips basic

router(config-ips-category-action)# retired false

router(config-ips-category-action)# exit

router(config-ips-category)# exit

Do you want to accept these changes? [confirm]y

router(config)#

上記の意味は category all ですべての定義に対して設定することを意味します。

そので retired true として一度すべての定義を無効にしています。

その後、category ios_ips basic で IOS IPS 用で基本的な定義郡に対して設定

をし、retired false として ios_ips basic に対して定義を有効にしています。

※ retired と enable 設定につきましては以下をご参照ください。

---

https://supportforums.cisco.com/docs/DOC-20936

Step4-5: IOS IPS をインタフェースで有効にする(方向設定ありin/out)

router(config)#interface GigabitEthernet 0/0

router(config-if)#ip ips iosips in

router(config-if)#ip ips iosips out

※ in のみでも設定可能ですがそのインタフェースの in 方向のパケットのみが検査対象となります。

Step 5: IOS IPS 用の signature を適用(ロード)する

router# copy ftp://cisco:cisco@192.168.1.1/IOS-S633-CLI.pkg idconf

Loading IOS-S633-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

以上で設定は終わりです。