• はじめに
• システム要件
• 構成図と設定概要
• 実機での確認

はじめに

本ドキュメントではCisco Secure Network AnalyticsのSMCにおいて、セキュリティイベントの"ICMP_Port_Unreach"を意図的に発生させる手順を紹介します。

システム要件

本ドキュメントでは Cisco Secure Network Analytics 7.4.1を使用して設定と動作を確認しています。バージョンにより設定方法や動作が異なる場合があります。ルータにはcsr1000vを使用し、サーバはLinuxベースのものを使用しています。

構成図と設定概要

以下のような構成で「サーバ#1」から「サーバ#2」の閉じているポートを指定してpingを打ちます。ルータを経由するため、NetFlowにFlowが記録され、その内容がフローコレクタに送信されます。管理コンソールでセキュリティイベント "ICMP_Port_Unreach"が検出されるためその内容を確認します。

実機での確認

(1)
"ICMP_Port_Unreach"を有効にするためデスクトップクライアントにログインします。その後、"Configuration"から"Host Policy Manager"を選択します。

(2)
"ICMP_Port_Unreach"の"Alarm Source"と"Alarm Target"にチェックをつけます。 その内容がフローコレクタに送信されます。管理コンソールでセキュリティイベント "ICMP_Port_Unreach"が検出されるためその内容を確認します。

(3)
"Apply"で適用した後に、"close"で閉じます。

(4)
192.168.10.58にCLIでログインし、「hping3 -2 192.168.30.3 -s 22222 -p 11111」を入力します。これは送信元ポート「22222」、宛先ポート「1111」に2秒間隔でpingを打つコマンドになります。「サーバ#2」の該当ポートは閉じているため、「"ICMP Port Unreachable"」が返ってきます。

(5)
管理コンソールにログインするとセキュリティイベント"ICMP_Port_Unreach"が発報していることが確認できます。

(6)
コンソール上で内容の詳細を確認することができます。