シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Firepower: Correlation Policyと IOS Routerのブロック機能との連携方法

 


 

はじめに

Correlation Policyの ルール違反を検知時に、FireSIGHTは IOS ルータ ソフトウェアに働きかけ、対象ホストのNull0インターフェイスへのルート追加が可能です。 Null0宛のパケットは破棄されますので、対象ホスト間の通信のブロックが可能です。

IOS ルータとの連携設定手順は、ASAソフトウェアとの連携設定手順と よく似ています。 その為、FireSIGHTの Correlation PolicyやInstanceの設定方法は以下を参考ください。

Firepower: Correlation Policyと ASAのSHUN機能の連携方法
https://supportforums.cisco.com/ja/document/12582436


本ドキュメントでは、IOS ルータと連携用の、FireSIGHTと IOSルータ側設定例、及び 動作確認方法について紹介します。

本ドキュメントは以下バージョンを用いて確認、検証しております。

 IOS Router  15.2(4)M6
 FirePOWER on ASA 5.4.0.3-37
 FireSIGHT 5.4.1.1 (build 33)

 


 

設定方法

FireSIGHT側 設定抜粋

IOSルータと連携するためには、Policies > Actions > Remediations の "Instances"をクリックし、以下のように、IOSルータ制御用のインスタンスを追加します



作成したRemediationを、Policies > Correration > Policy Management にて任意ポリシーを作成し、"Responses"に登録してください


 

IOS ルータ側 設定抜粋

Username/Password = cisco/ciscoの、privilege level 15のアクセスを許可します


hostname C892-01
 !
 username cisco privilege 15 password cisco
 enable password cisco
 !
 line vty 0 4
  login local
  privilege level 15
!




 

動作確認

試験端末から Correlation Policyに違反する通信を行います

Remediation-ASA-SHUN-31


FireSIGHTにて、Analysis > Correlation > Correlation Events より、検知と Policy実行を確認します


IOSルータにて、FireSIGHTからのVTYアクセス、及び "show ip route"コマンドで、対象ホストのNull0宛ルートの追加を確認します

C892-01#
Aug 17 12:50:00.055: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (xx.xx.xx.xx)
C892-01#
C892-01# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

      1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        1.0.0.0/8 is directly connected, GigabitEthernet0
L        1.176.100.151/32 is directly connected, GigabitEthernet0
      172.16.0.0/32 is subnetted, 1 subnets
S        172.16.0.1 is directly connected, Null0    <---- THIS


 

 

NULLルートの削除について

"show run | in Null"コマンドで設定状況を確認します

C892-01# show run | in Null
ip route 172.16.0.1 255.255.255.255 Null0


グローバルコンフィギュレーションモードから任意ルートを削除できます

C892-01# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
C892-01(config)# no ip route 172.16.0.1 255.255.255.255 Null0
C892-01(config)#
C892-01(config)# end
C892-01#
Aug 17 12:53:38.879: %SYS-5-CONFIG_I: Configured from console by cons
C892-01#
C892-01# sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

      1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        1.0.0.0/8 is directly connected, GigabitEthernet0
L        1.176.100.151/32 is directly connected, GigabitEthernet0


 

 

参考情報

FS 5.4.1: Configuring Correlation Policies and Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Correlation-Policies-Rules.html

FS 5.4.1: Configuring Remediations
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Remediations.html

FS 5.3.1: 相関ポリシーおよび相関ルールの設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Correlation-Policies-Rules.html?bid=0900e4b18404e36b

FS 5.3.1: 修復の設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Remediations.html?bid=0900e4b18404e36b

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 06:51 PM
更新者:
 
寄稿者: