Cisco Secure Intrusion Detection System (バージョン3.1およびそれ以前) FAQ

概要

このドキュメントでは、以前 NetRanger と呼ばれていた Cisco Secure Intrusion Detection System（IDS）バージョン 3.1 以前に関する FAQ を記載しています。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

全般

Q. Cisco Secure IDSの追加情報はどこで入手できますか。

A. Cisco Secure IDSの詳細については、製品マニュアルの全文を参照してください。

Q. IDSシステム全体(IDS Sensor + IDS Management Software)のシグニチャを更新するにはどうすればよいのですか。

A. SensorおよびManagement Platformシグニチャを別々にアップグレードする必要があります。管理ソフトウェアはセンサーから署名を学習できないため、管理ソフトウェアも更新する必要があることに注意してください。各アプリケーションの最新のシグニチャ更新を、Cisco Secure Downloads（登録ユーザ専用）からダウンロードします。 同じ場所にある readme ファイルにアップグレード手順の説明が含まれています。

Q.シグニチャの完全なリストはどこで入手できますか。

A. IDS署名のリストは、Cisco Secure Encyclopedia(登録ユーザ専用)を通じて入手できます。

Q. UNIX IDSおよびスタンドアロンセンサーのユーザのデフォルトパスワードは何ですか。

A. UNIX IDSスタンドアロンセンサーおよびIDS管理ソフトウェアでは、ユーザーnetrangrとrootに対してデフォルトのパスワードは「attack」となります。su コマンドを発行して root ユーザになった場合、デフォルト パスワードは「attack」です。 Intrusion Detection System Module（IDSM）ブレードで、ユーザ名 ciscoids のデフォルト パスワードは「attack」です。

Q. Intrusion Detection System Module（IDSM；侵入検知システムモジュール）ブレードを入手して設定をダンプするにはどうすればよいのですか。

A.構成をアップロードするには、ローカルFTPサーバが必要です。

1. ブレードの diag モードで次のコマンドを入力します。

   report systemstatus site  
              
   user  
              dir  
             
    

2. 「Continue generating the System Repor」と尋ねられた場合、続行するには y と入力します。
3. プロンプトが表示されたら、指定されたユーザの FTP パスワードを入力します。プロセスが完了すると、プロセスが失敗したか、またはファイルが送信されたかを伝えるメッセージを受信します。

Q. IDSをインストールまたはアンインストールするとき、ログファイルはどこにありますか。

A.インストール/更新のログは、次の場所にあります。

• Director のインストール ログは /var/adm/nrInstall.log にあります。

• センサー サービス パック更新のログは /usr/nr/sp-update/ にあります。

• シグニチャ更新のログは /usr/nr/sig-update/ にあります。

Q. PIXでIDSに使用できるシグニチャは何ですか。

A. IDSはPIX 6.0以降でのみ使用できます。シグニチャは syslog メッセージ 400000 から 400051 までに含まれており、これらを Cisco Secure IDS シグニチャ メッセージといいます。各シグニチャの詳細については、「PIX システム ログ メッセージ」を参照してください。

Q.シグニチャアップデートがリリースされると通知を受け取ることはできますか。

A. Cisco Secure IDSに関する製品ニュースに関する電子メールアラートを受信するには、Cisco IDS Active Update Notificationsにサインアップしてください。

Q. IDS Sensorの管理にはどのアプリケーションを使用すべきですか。また、それらの違いは何ですか。

A.バージョン3.1より前では、Cisco Secure Policy Manager(CSPM)またはUNIX Directorを使用する管理オプションがあります。この 2 つの主な違いは、CSPM が Windows Server 上の独立したアプリケーションとして動作するのに対し、UNIX Director は UNIX Solaris サーバの HP OpenView 上で実行されることです。IDS 3.1 ではこれに加えて、PC にインストールされた IDS Event Viewer（IEV）を使用したり、バージョン 3.1 センサーに含まれる IDS Device Manager を使用して、センサーを管理することもできます。Device Manager は、センサーを設定した後、Secure Socket Layer（SSL）を使用してデフォルトで有効になります。

Q. Software Development Kit(SDK)ソフトウェアはどこで入手できますか。

A. SDKソフトウェアは一般には利用できません。

IDS センサー

Q. Sensorバージョン3.xと4.xの違いは何ですか。

A.バージョン4.0には、いくつかの新しい機能があります。最も顕著な新機能は Cisco IOS® に似たコマンドライン インターフェイス（CLI）です。

Q. IDSのインターフェイス速度をハードコードするにはどうすればよいのですか。

A. 3.xおよび4.0コードでの速度/デュプレックスのハード設定はサポートされておらず、機能要求に対するバグがあります(Cisco Bug ID CSCdy43054(登録ユーザ専用))。 この機能は、「インターフェイスの設定」で入手可能な 5.0 コードで使用できます。

Q. Sensorソフトウェアをバージョン3.0から3.1にアップグレードするにはどうすればよいのですか。

A.お客様は、Cisco Secure Downloads（登録ユーザ専用）からバージョン3.1の更新ファイルをダウンロードすることができます。

Q. Sensorソフトウェアをバージョン2.5から3.0にアップグレードするにはどうすればよいのですか。

A.お客様は、Cisco Secure Downloads（登録ユーザ専用）からバージョン3.0の更新ファイルをダウンロードすることができます。 サービスパックとシグニチャの更新がバージョン2.5でインストールされているのと同じ方法でソフトウェアの更新をインストールします。手順の詳細については、『Cisco IDS Sensor設定ノートバージョン3.0』を参照してください。

Q. Sensorソフトウェアをバージョン2.2から3.0にアップグレードするにはどうすればよいのですか。

A. 3.0アップグレードファイルはCisco Secure Downloads(登録ユーザ専用)からダウンロードできます。ただし、このファイルは2.5より前のバージョンを更新できません。Product Upgrade Tool(登録ユーザ専用)からソフトウェアバージョン2.2 ～ 3.0に0にアップグレードしますこのCDの製品番号はIDS-SW-Uです。

注：アップグレード/リカバリCDを注文するには、有効なサポート契約が必要です。

Q.センサーにキーボードとモニタを取り付けましたが、正常に起動しません。どうすればよいでしょうか。

A.サポートされているキーボードとモニターを使用していることを確認してください。一部のブランドおよびモデルは Cisco Secure IDS と互換性がなく、IDS センサーが正しくブートしません。ブランドの詳細については、「Cisco Secure IDS アプライアンスのブート障害」を参照してください。

Q. Cisco Secure DownloadsのIDSセクションには、2種類のアップデートファイル（サービスパックとシグニチャ）が表示されます。 これらの違いは何ですか。

A.これらのファイルには、ソフトウェアの更新または追加の特定のセットが含まれています。これらのファイルは、ここで説明する命名規則に従います。

• IDS センサー アプライアンス ソフトウェアのサービス パック更新には、IDS センサー コア アプリケーション ソフトウェアの改善とバグ修正含まれています。たとえば、IDSk9-sp-3.0-5-S17.bin という名前のファイルには、ソフトウェア バージョン 3.0(5) の更新に加えて、シグニチャ セット番号 17 が含まれています。

• シグニチャ更新ファイルにはシグニチャ（攻撃フィンガープリント）の更新のみが含まれます。 たとえば、IDSk9-sig-3.0-5-S18.bin という名前のファイルには、3.0(5) センサー ソフトウェア用のシグニチャ セット番号 18 が含まれています。

お客様はこれらのファイルを Cisco Secure Downloads（登録ユーザ専用）サイトからダウンロードできます。

Q.ルータを回避するようにセンサーが正しく設定されているかどうかを確認するにはどうすればよいのですか。

A.ユーザーnetrangrとしてセンサーにログインし、次のコマンドを実行します。

nrgetbulk  
         
          
           
            
             
            
           
          
        

「<IP_address> Active」のような応答を受信します。これは、攻撃のブロックに使用されている回避デバイスの IP アドレスを示しています。この出力は、コマンド構文と期待される応答の例を示しています：

netrangr@sensor:/usr/nr
>nrgetbulk 10003 38 1000 1 NetDeviceStatus
10.48.66.68 Active
Success

また、ルータにログインして who コマンドを発行することで、センサーにログインしているかどうか確認できます。

Q. nrconnsコマンドを発行すると、「value not set」というエラーメッセージが表示されます。。この問題を解決するには、どうすればよいですか。

A.このエラーメッセージは、Sensorの/usr/nr/etc/routesファイルまたは/usr/nr/etc/hostsファイルに関する潜在的な問題を示しています。その.../routesファイルは、センサーとダイレクタ間のポストオフィス通信を定義します。その.../hostsファイルは、センサーとダイレクタの名前とIPアドレスを定義します。

また、ユーザ root としてログインし、sysconfig-sensor コマンドを実行して、IDS 通信インフラストラクチャ情報を再び入力することもできます。

Q. FTPを使用してセンサーからログファイルをコピーし、他の場所に保存するにはどうすればよいのですか。

A.この手順の詳細については、『表示するIPログファイルのコピー』を参照してください。

Q. Sensorソフトウェアバージョン2.5および3.1のconfigdデーモンはどうなりましたか。

A. Configdは、2.2.xコードベースのセンサーとUNIXダイレクタの両方ですべてのコマンドを処理するデーモンです。2.5 および 3.0 コード ベースではこの機能が他のデーモンに吸収され、configd デーモンは存在しなくなりました。

Q. Sensorのシグニチャを更新すると、ERROR:Could not determine the type of NetRanger from daemons file.Unable to update.」 というエラー メッセージが表示されます。どう対処すればよいですか。

A. Sensorの/usr/nr/etc/daemonsファイルを編集して、nr.packetdがデーモンリストにあることを確認します。それから、サービスを停止し、再起動します。

Q. IDS 4210の制御インターフェイスはどれか、またスニフィングインターフェイスはどれか？

A.上の制御インターフェイスはiprb1:で、下のスニフィングインターフェイスはiprb0：です。

Q. Sensorでifconfig -aコマンドを発行すると、インターフェイスが1つだけ表示されるのはなぜですか。

A. ifconfigコマンドでは制御インターフェイスだけが表示されます。他方のインターフェイス（スニフィング インターフェイス）もセンサーで使用されますが、ユーザには表示されないようになっています。このインターフェイスを確認する必要がある場合は、root としてログインし、ifconfig -a コマンドを発行してインターフェイス名を判別します。ifconfig <interface> plumb コマンドを発行して、特定のインターフェイスのステータスを確認します。

Q.センサーのインターフェイス速度をハードコードするにはどうすればよいのですか。

A.センサーのインターフェイス速度をハードコードする必要はなく、シスコテクニカルサポートではサポートされていません。スイッチが自動ネゴシエーション用に設定されると、インターフェイスは接続先のスイッチとの間で速度をネゴシエートします。ネットワークからセンサーへのトラフィックは単方向です（つまりセンサーは受信側）。 したがって、（スイッチ ポートが 100 M であると想定すると）100 半二重でネゴシエート済みとスイッチで表示されたら、一般的には十分です。

UNIX Director

Q. 2.2.xバージョンのDirectorで新しい3.0センサーを使用できますか。

A.はいますが、Directorソフトウェアをバージョン2.2.3以降にアップグレードする必要があります。登録済みのお客様はこれらのファイルを Cisco Secure Downloads（登録ユーザ専用）からダウンロードできます。

Q.使用しているDirectorデーモンのバージョンを確認するにはどうすればよいのですか。

A.コント/usr/nr/VERSIONコマンドを発行し、出力に含まれるバージョン番号を確認します。

注：ディレクタのnrversコマンドの出力には、ディレクタで実行されるデーモンのバージョンが示されますが、ディレクタソフトウェア自体のバージョンは示されません。

Q. Directorで設定をダンプするにはどうすればよいのですか。

A.ユーザーnetrangrとしてログインして、スクリプト/usr/nr/bin/director/nrCollectInfoを実行して、/usr/nr/var/tmp/Report_For_Director.htmlという名前のファイルに構成情報を送信します。

Q. HP OpenViewのディスプレイに多くのエラー（1,000以上の可能性があります）が表示されています。それらを削除しても、また表示されます。これは、なぜですか。

A. IDS Directorがエラーでフラッディングされ、それらをすべて表示できない場合は、ファイルへのバッファを開始します。IDS デーモンを停止し、開いている OpenView マップをすべて終了して、ファイルを削除します。ファイル /usr/nr/var/nrDirmap.buffer.default を削除した後、IDS デーモンおよび OpenView マップを再起動します。

Q. HP OpenViewマップにアラームを取り込むときに問題が発生しています。/usr/nr/var/errors.nrdirmap でエラーが発生し続けます。どうすればよいでしょうか。

A. 2.2.2より前のIDSバージョンでは、OpenViewデータベースを消去するのが最も簡単です。データベースは /var/opt/OV/share/databases/openview にあります。次のステップを実行して、OpenView データベースを削除します。

1. Ovstop コマンドを使用して、開いているすべての OpenView マップを閉じた後、nrstop コマンドを使用して IDS サービスを停止します。
2. ユーザ root としてログインし、/usr/nr/bin/director/nrDeleteOVwDb を発行します。
3. すべての「error.*」ファイルを /usr/nr/var ディレクトリの中から削除します（errors.configd など）。
4. nrstart コマンドを使用してサービスを再起動した後、ovstart コマンドを使用して OpenView を再起動します。

   注：Directorバージョン2.2.2では、データベース全体ではなく、OpenViewデータベースのIDS部分のみを削除できます。この手順は『IDS Director Configuration Guide』で説明されています。

Q. OpenViewマップでアラームを取得できません。Director の /usr/nr/var/errors.postofficed ファイルに、このマシンで nrdirmap を実行するライセンスがないというメッセージが表示されます。これはどのように解決すればよいですか。

A.このコマンドを実行します。

cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licenses

ユーザ netrangr がファイルを所有していることを確認して、IDS サービスを再起動します。

Q. nrConfigureユーティリティを実行してDirectorをダブルクリックすると、次のメッセージが表示されます。「Unable to find the type of the sensor for <director_name>.Please check that Postoffice and packetd are running」 どうすればよいでしょうか。

A. nrConfigureがDirectorのdaemonsファイルにpacketdプロセスを見ているため、この問題が発生します（このプロセスは認識されません）。 nrConfigure が Director に対して（Sensor であるかのように）バージョンを問い合わせると、Director はセンサー バージョンを応答できません。

この問題を解決するには、次の手順を実行します：

1. /usr/nr/etc/daemons ファイルを編集して nr.packetd、nr.sensord、および nr.managed のエントリを削除します（これらのプロセスはセンサーでのみ実行されるべきです）。
2. nrstop コマンドを使用してサービスを停止し、nrstart コマンドを使用してサービスを再起動します。
3. nrConfigure がシャットダウンされたことを確認します。
4. Ovw コマンドを使用して OpenView を起動します。
5. [Security] > [Advanced] > [nrConfigure DB] > [Delete] を選択して、破損した nrConfigure データベースを削除します。
6. プロンプトが表示されたら、yes と入力して続行します。
7. OpenView のメイン ウィンドウで、Director およびすべてのセンサーを強調表示します。
8. [Security] > [Advanced] > [nrConfigure DB] > [Create] を選択し、マシンの現在の設定バージョンを使って新しい nrConfigure データベースを作成します。

Q. OpenViewマップでnrdirmapアプリケーションがデフォルトで有効にならないようにするには、どうすればよいですか。

A. UNIX DirectorでIDSアプリケーションを実行するユーザは、OpenViewで他のアプリケーションも実行できます。これは推奨されませんが、状況によっては避けることができません。問題は、すべての OpenView マップで nrdirmap がデフォルトで有効になることです。他のアプリケーションが OpenView で動作する場合には、これは望ましくありません。

UNIX Director で次の手順を実行して、nrdirmap を有効にするマップを選択できるように、デフォルトを変更してください。

1. ユーザ netrangr としてログインします。
2. cd $OV_REGISTRATION/C と入力します（OV_REGISTRATION は環境変数の一部です。通常のパスは /etc/opt/OV/share/registration/C です。）
3. su root と入力します。
4. nrdirmap ファイルを編集し、「Command」行を次の出力例のように変更します。

   Command -Shared -Initial "nrdirmap"; 
   
   !--- Changes to:
   
   Command -Shared -Initial "nrdirmap -d";
   

5. nrdirmap ファイルを保存します。
6. OpenView を終了し、再起動します。今度は、ovw コマンドでマップが表示されたときに ps -ef | grep dirmapは、次のような出力を生成します。nrdirmap に -d スイッチを含めていることに注意してください。

   >ps -ef | grep dirmap
   netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap
   netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -d 

これで、OpenView で作成される新しいマップでは、nrdirmap がデフォルトで有効にならなくなります。nrdirmap がインストールされたマップを作成するには、この手順で説明するように OpenView GUI から作成する必要があります。

1. OpenView のメイン メニューから [Map] > [New] と選択し、新しいマップの名前を入力します。
2. 設定可能なアプリケーションとして NetRanger/Director が表示されるはずです。[NetRanger/Director] を選択し、[Configure For this Map] をクリックします。
3. 「Should nrdirmap be enabled for this map?」というオプションで、nrdirmapを有効にする場合は[True]を選択します。
4. [Verify] を選択し、[OK] をクリックします。

Q. Directorバージョン2.2.3にアップグレードしましたが、以前のバージョンではイベントの重大度を5より高いレベルに設定できませんでした。なぜでしょうか。

A. Directorバージョン2.2.3では、1 ～ 5の範囲のみをサポートするように重大度レベルが変更されています。

IDS Cisco Secure Policy Manager（CSPM）

Q. IDS Sensorの管理に使用するCSPMのバージョンを教えてください。

A.現在、CSPMのバージョン2.3iはIDS Sensorを管理できるバージョンですが、CSPM 3.0は管理できません。CSPM を使用してセンサーおよび他のシスコ セキュア デバイス（PIX、ルータなど）を管理する場合は、2 つの別々の Windows サーバに 2 つの異なるバージョン（2.3i および 3.x）の CSPM をインストールする必要があります。それぞれのサーバを使用して、対応するデバイスを次のように管理できます：センサー用には CSPM 2.3i を使用し、PIX、ルータなどには CSPM 3.x を使用します。

Q. IDSセンサーを管理し、通信が機能するようにCSPMを設定するにはどうすればよいのですか。

A. IDSセンサを管理し、通信が動作するようにCSPMを設定する方法の詳細は、『CSPMでのCisco Secure IDSセンサーの設定』を参照してください。

Q. CSPMでアプライアンスのシグニチャを調整できますか。

A.チューニングには、シグニチャが起動するために必要な処理（スイープ内のホスト数など）を変更する必要があり、アクションや重大度の設定を意味するものではありません。

（どのバージョンの）CSPM も、アプライアンスのシグニチャを調整できません。シグニチャのアクションと重大度だけを設定できます。つまり、CSPM ではどの重大度とアクションをシグニチャに関連付けるかを設定できますが、シグニチャの起動条件は設定できません。センサーを調整するにはセンサーの SigWizMenu を使用する必要があります。SigWizMenu と CSPM は異なる部分の設定を行うため、両方を同じセンサーの設定に使用できます。

注：UNIX Directorバージョン2.2.3以降を使用する場合、nrConfigureユーティリティはSigWizMenuで設定するすべての設定を行うことができます。2.2.3 にアップグレードした後は、シグニチャを調整するために SigWizMenu ではなく nrConfigure を使用してください。

関連情報

• Cisco 侵入防御システム製品のサポート
• Cisco Secure Intrusion Detection System に関する文書
• Cisco Secure Intrusion Detection System に関するフィールド通知
• テクニカル サポートとドキュメント – Cisco Systems