シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Correlation Policyと ASAのSHUN機能の連携方法

 


 

はじめに

Correlation Policyの ルール違反を検知時に、FireSIGHTは ASAソフトウェアに働きかけ、ASAでSHUN(対象ホストの通信のブロック)が可能です。

本ドキュメントでは、試験構成例を元に、その設定手順、及び動作確認方法について紹介します。

本ドキュメントは以下バージョンを用いて確認、検証しております。

 ASA software  9.3(3)1
 FirePOWER on ASA 5.4.0.3-37
 FireSIGHT 5.4.1.1 (build 33)

 



 

試験構成例

1.0.0.2宛のTelnetコネクション(TCP=23)が発生した場合に、FireSIGHTはそれを検知し、ASAの SHUNエントリに対象ホストを追加するようにします。 結果、ASAはそのホストからのパケットをブロックします。

通信検知時:


ブロック時:



 

設定方法

FireSIGHT側設定

Policies > Correlation > Rule Management から "Create Rule"をクリック


任意ルール名を付け、"Select the type of event for this rule"の プルダウンメニューから "a connection event occurs"を選択


以下画面に遷移するので、プルダウンメニューから "Responder IP"を選択。 なお、Connection Eventで設定可能な Syntax 詳細はコチラを参照


以下画面に遷移するので、任意の応答元のIPアドレスを入力。 本例の場合、"is" "1.0.0.2を 登録

Remediation-ASA-SHUN-14


条件を追加する場合、"Add condition"ボタンをクリック。 追加した条件は、AND もしくは OR条件でマッチングが可能。 本例の場合、AND条件で "Transport Protocol" "is" "tcp"と、"Responder Port / ICMP Code" "is" "23"を登録し、設定が問題ない事を確認したのち、"Save"ボタンをクリック

Remediation-ASA-SHUN-15


以下画面に遷移するので、次に Policies > Actions > Remediationsの "Instances"をクリック

Remediation-ASA-SHUN-16


以下画面に遷移するので、Select a module type のプルダウンメニューより "Cisco PIX Shun (v1.1)"を選択し、"Add"ボタンをクリック

Remediation-ASA-SHUN-17


以下画面に遷移するので、SHUNを実行するASAを登録し、Createをクリック。 本例では、ユーザ名・パスワードを cisco/ciscoで登録

Remediation-ASA-SHUN-18


以下画面に遷移するので、"Configured Remediations"の "Add a new remediation of type"より "Block Source"をクリックし、"Add"ボタンをクリック

Remediation-ASA-SHUN-19


以下画面に遷移するので、任意名称を付け、"Create"ボタンをクリック

Remediation-ASA-SHUN-20


Remediationの作成の成功を確認した後、Policies > Correration をクリック

Remediation-ASA-SHUN-21


以下画面に遷移するので、"Create Policy"ボタンをクリック


以下画面に遷移するので、任意Policy Nameを付け、"Add Rules"ボタンをクリック


Available Rulesのポップアップが開くので、先ほど作成したRuleをチェックし、"Add"ボタンをクリック


Policy Rulesに追加されるので、"Response"アイコンをクリック


以下画面に遷移するので、先ほど作成したRemediationを "Assigned Responses"に登録した後、"Update"ボタンをクリック


設定が問題無い事を確認し、"Save"ボタンをクリック


Policy Management画面に戻るので、作成したPolicyの "Activate"アイコンをクリックし有効化


 

ASA側設定

FireSIGHTからASAに、Username/Passwordでの SSHアクセスを許可する設定を行う。 設定例は以下を参照

ASA への SSH アクセスを有効にする
https://supportforums.cisco.com/ja/document/47076


SSHアクセス時に EXECモード権限を割り当てるために、以下コマンドを有効化すること

aaa authorization exec LOCAL auto-enable

 



 

動作確認

試験端末から 1.0.0.2宛のTelnetを実施


対向機器(1.0.0.2)にTelnetログイン可能だが、ASAでのブロック(SHUN)により、Telnetアプリケーションの操作が途中から不能となる

 

FireSIGHTにて、Analysis > Connections > Events より、対象コネクションの発生を確認


FireSIGHTにて、Analysis > Correlation > Correlation Events より、検知と Policy実行を確認


ASAにて、"show shun"コマンドと、"show shun statistics"コマンドで、SHUN処理状況の確認

ASA/pri/act# show shun
shun (inside) 172.16.0.1 0.0.0.0 0 0 0

ASA/pri/act# show shun statistics
inside=ON, cnt=9
outside=OFF, cnt=0
test=OFF, cnt=0
manage=OFF, cnt=0
DMZ=OFF, cnt=0

Shun 172.16.0.1 cnt=9, time=(0:09:54)


以下は、ASAの "show log"コマンド出力の抜粋。  FireSIGHTが SSH経由でASAにログインし、shunコマンドを実行。 その後、対象ホストからのパケットがブロックされている事がわかる

Aug 15 2015 22:56:44: %ASA-6-113012: AAA user authentication Successful : local database : user = cisco
Aug 15 2015 22:56:44: %ASA-6-113008: AAA transaction status ACCEPT : user = cisco
Aug 15 2015 22:56:44: %ASA-6-611101: User authentication succeeded: IP address: xx.xx.xx.xx, Uname: cisco
Aug 15 2015 22:56:44: %ASA-6-605005: Login permitted from xx.xx.xx.xx/53037 to outside:xx.xx.0.49/ssh for user "cisco"
Aug 15 2015 22:56:44: %ASA-4-401002: Shun added: 172.16.0.1 0.0.0.0 0 0
Aug 15 2015 22:56:44: %ASA-5-111008: User 'cisco' executed the 'shun 172.16.0.1' command.
Aug 15 2015 22:56:44: %ASA-6-315011: SSH session from xx.xx.xx.xx on interface outside for user "cisco" terminated normally
Aug 15 2015 22:56:47: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:48: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:49: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:50: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:52: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:54: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:56:57: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside
Aug 15 2015 22:57:03: %ASA-4-401004: Shunned packet: 172.16.0.1 ==> 1.0.0.2 on interface inside


 

 

SHUNコマンドについて

送信元IPアドレス毎に1つのSHUNコマンドを設定可能です。

"no shun <送信元IP>"コマンドで、指定送信元IPのSHUNコマンドの消去が可能です。

ASA/pri/act# show shun
shun (inside) 172.16.0.1 0.0.0.0 0 0 0
ASA/pri/act#
ASA/pri/act# no shun 172.16.0.1
ASA/pri/act# show shun
ASA/pri/act#


"clear shun"コマンドで、全てのshunコマンドと statisticsを消去が可能です。

ASA/pri/act# show shun
shun (inside) 172.16.0.1 0.0.0.0 0 0 0
ASA/pri/act#
ASA/pri/act# clear shun
ASA/pri/act# show shun
ASA/pri/act#



 

参考情報

FS 5.4.1: Configuring Correlation Policies and Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Correlation-Policies-Rules.html

FS 5.4.1: Configuring Remediations
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Remediations.html

FS 5.3.1: 相関ポリシーおよび相関ルールの設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Correlation-Policies-Rules.html?bid=0900e4b18404e36b

FS 5.3.1: 修復の設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Remediations.html?bid=0900e4b18404e36b

Cisco ASA Series Command Reference, S Commands - shun
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s15.html

Correlation Policyと IOS Routerのブロック機能との連携方法
https://supportforums.cisco.com/ja/document/12582891

バージョン履歴
改訂番号
2/2
最終更新:
‎09-01-2017 09:30 PM
更新者:
 
寄稿者: