はじめに
Firewall や IPS の動作確認をする際、まずは ping(ICMP) による試験を行うことが多いと思います。この Topic では、FirePOWER の Intrusion Policy にて ICMP packet を検知し Intrusion Event を確認する方法についてご案内させて頂きます。
※ 本 topic で用いてる環境は ASA with FirePOWER(5.4.0.1-59)、FireSIGHT(5.4.0-763), Inline 構成となっております。
試験方法
1. Policies > Intrusion > Intrusion Policy に進み、使用する Policy の edit icon をクリックします。
2. Rules をクリックします。
3. Filter に icmp echo 等で検索し、SID 408 PROTOCOL-ICMP Echo Reply の右側にある矢印のアイコンをクリックします。
4. このシグネチャに該当するパケットを検知した時のアクションを設定します。今回は Drop and Generate Events にします。
5. Drop のアクションにしたため、矢印のアイコンが変更されていることを確認し、左上の Policy Information をクリックします。
6. Commit Changes をクリックし設定変更を保存します。
7. Policies > Access Control に進み、使用する Access Control Policy の edit icon をクリックします。
8. Default Action タブより、"1-6" で設定変更した Intrusion Policy を選択します。
9. Targets タブより、この Policy を適用するデバイスを選択し Save and Apply で適用します。
10. Task status より、適用が正常に完了したことを確認します。
11. Analysis > Intrusion > Events より試験前に何もイベントがないことを確認します。
12. Echo reply 通信を発生させると、SID 408 が検知されドロップされることが確認できます。
参考情報