キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
486
閲覧回数
5
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee

 


 

はじめに

Correlation Policyの ルール違反を検知時に、FireSIGHTは IOS ルータ ソフトウェアに働きかけ、対象ホストのNull0インターフェイスへのルート追加が可能です。 Null0宛のパケットは破棄されますので、対象ホスト間の通信のブロックが可能です。

IOS ルータとの連携設定手順は、ASAソフトウェアとの連携設定手順と よく似ています。 その為、FireSIGHTの Correlation PolicyやInstanceの設定方法は以下を参考ください。

Firepower: Correlation Policyと ASAのSHUN機能の連携方法
https://supportforums.cisco.com/ja/document/12582436


本ドキュメントでは、IOS ルータと連携用の、FireSIGHTと IOSルータ側設定例、及び 動作確認方法について紹介します。

本ドキュメントは以下バージョンを用いて確認、検証しております。

 IOS Router  15.2(4)M6
 FirePOWER on ASA 5.4.0.3-37
 FireSIGHT 5.4.1.1 (build 33)

 


 

設定方法

FireSIGHT側 設定抜粋

IOSルータと連携するためには、Policies > Actions > Remediations の "Instances"をクリックし、以下のように、IOSルータ制御用のインスタンスを追加します



作成したRemediationを、Policies > Correration > Policy Management にて任意ポリシーを作成し、"Responses"に登録してください


 

IOS ルータ側 設定抜粋

Username/Password = cisco/ciscoの、privilege level 15のアクセスを許可します


hostname C892-01
 !
 username cisco privilege 15 password cisco
 enable password cisco
 !
 line vty 0 4
  login local
  privilege level 15
!




 

動作確認

試験端末から Correlation Policyに違反する通信を行います

Remediation-ASA-SHUN-31


FireSIGHTにて、Analysis > Correlation > Correlation Events より、検知と Policy実行を確認します


IOSルータにて、FireSIGHTからのVTYアクセス、及び "show ip route"コマンドで、対象ホストのNull0宛ルートの追加を確認します

C892-01#
Aug 17 12:50:00.055: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (xx.xx.xx.xx)
C892-01#
C892-01# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

      1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        1.0.0.0/8 is directly connected, GigabitEthernet0
L        1.176.100.151/32 is directly connected, GigabitEthernet0
      172.16.0.0/32 is subnetted, 1 subnets
S        172.16.0.1 is directly connected, Null0    <---- THIS


 

 

NULLルートの削除について

"show run | in Null"コマンドで設定状況を確認します

C892-01# show run | in Null
ip route 172.16.0.1 255.255.255.255 Null0


グローバルコンフィギュレーションモードから任意ルートを削除できます

C892-01# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
C892-01(config)# no ip route 172.16.0.1 255.255.255.255 Null0
C892-01(config)#
C892-01(config)# end
C892-01#
Aug 17 12:53:38.879: %SYS-5-CONFIG_I: Configured from console by cons
C892-01#
C892-01# sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       + - replicated route, % - next hop override

Gateway of last resort is not set

      1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        1.0.0.0/8 is directly connected, GigabitEthernet0
L        1.176.100.151/32 is directly connected, GigabitEthernet0


 

 

参考情報

FS 5.4.1: Configuring Correlation Policies and Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Correlation-Policies-Rules.html

FS 5.4.1: Configuring Remediations
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Remediations.html

FS 5.3.1: 相関ポリシーおよび相関ルールの設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Correlation-Policies-Rules.html?bid=0900e4b18404e36b

FS 5.3.1: 修復の設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Remediations.html?bid=0900e4b18404e36b

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします