はじめに
Correlation Policyの ルール違反を検知時に、FireSIGHTは IOS ルータ ソフトウェアに働きかけ、対象ホストのNull0インターフェイスへのルート追加が可能です。 Null0宛のパケットは破棄されますので、対象ホスト間の通信のブロックが可能です。
IOS ルータとの連携設定手順は、ASAソフトウェアとの連携設定手順と よく似ています。 その為、FireSIGHTの Correlation PolicyやInstanceの設定方法は以下を参考ください。
Firepower: Correlation Policyと ASAのSHUN機能の連携方法
https://supportforums.cisco.com/ja/document/12582436
本ドキュメントでは、IOS ルータと連携用の、FireSIGHTと IOSルータ側設定例、及び 動作確認方法について紹介します。
本ドキュメントは以下バージョンを用いて確認、検証しております。
IOS Router | 15.2(4)M6 |
FirePOWER on ASA | 5.4.0.3-37 |
FireSIGHT | 5.4.1.1 (build 33) |
設定方法
FireSIGHT側 設定抜粋
IOSルータと連携するためには、Policies > Actions > Remediations の "Instances"をクリックし、以下のように、IOSルータ制御用のインスタンスを追加します
作成したRemediationを、Policies > Correration > Policy Management にて任意ポリシーを作成し、"Responses"に登録してください
IOS ルータ側 設定抜粋
Username/Password = cisco/ciscoの、privilege level 15のアクセスを許可します
! hostname C892-01 ! username cisco privilege 15 password cisco enable password cisco ! line vty 0 4 login local privilege level 15 ! |
動作確認
試験端末から Correlation Policyに違反する通信を行います
FireSIGHTにて、Analysis > Correlation > Correlation Events より、検知と Policy実行を確認します
IOSルータにて、FireSIGHTからのVTYアクセス、及び "show ip route"コマンドで、対象ホストのNull0宛ルートの追加を確認します
C892-01#
Aug 17 12:50:00.055: %SYS-5-CONFIG_I: Configured from console by cisco on vty0 (xx.xx.xx.xx)
C892-01#
C892-01# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Gateway of last resort is not set
1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 1.0.0.0/8 is directly connected, GigabitEthernet0
L 1.176.100.151/32 is directly connected, GigabitEthernet0
172.16.0.0/32 is subnetted, 1 subnets
S 172.16.0.1 is directly connected, Null0 <---- THIS
NULLルートの削除について
"show run | in Null"コマンドで設定状況を確認します
C892-01# show run | in Null
ip route 172.16.0.1 255.255.255.255 Null0
グローバルコンフィギュレーションモードから任意ルートを削除できます
C892-01# conf t
Enter configuration commands, one per line. End with CNTL/Z.
C892-01(config)# no ip route 172.16.0.1 255.255.255.255 Null0
C892-01(config)#
C892-01(config)# end
C892-01#
Aug 17 12:53:38.879: %SYS-5-CONFIG_I: Configured from console by cons
C892-01#
C892-01# sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override
Gateway of last resort is not set
1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 1.0.0.0/8 is directly connected, GigabitEthernet0
L 1.176.100.151/32 is directly connected, GigabitEthernet0
参考情報
FS 5.4.1: Configuring Correlation Policies and Rules
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Correlation-Policies-Rules.html
FS 5.4.1: Configuring Remediations
http://www.cisco.com/c/en/us/td/docs/security/firesight/541/user-guide/FireSIGHT-System-UserGuide-v5401/Remediations.html
FS 5.3.1: 相関ポリシーおよび相関ルールの設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Correlation-Policies-Rules.html?bid=0900e4b18404e36b
FS 5.3.1: 修復の設定 (日本語)
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/FireSIGHTMGMTCenter/CG/001/Remediations.html?bid=0900e4b18404e36b