このドキュメントでは、以前 NetRanger と呼ばれていた Cisco Secure Intrusion Detection System(IDS)バージョン 3.1 以前に関する FAQ を記載しています。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
A. Cisco Secure IDSの詳細については、製品マニュアルの全文を参照してください。
A. SensorおよびManagement Platformシグニチャを別々にアップグレードする必要があります。管理ソフトウェアはセンサーから署名を学習できないため、管理ソフトウェアも更新する必要があることに注意してください。各アプリケーションの最新のシグニチャ更新を、Cisco Secure Downloads(登録ユーザ専用)からダウンロードします。 同じ場所にある readme ファイルにアップグレード手順の説明が含まれています。
A. IDS署名のリストは、Cisco Secure Encyclopedia(登録ユーザ専用)を通じて入手できます。
A. UNIX IDSスタンドアロンセンサーおよびIDS管理ソフトウェアでは、ユーザーnetrangrとrootに対してデフォルトのパスワードは「attack」となります。su コマンドを発行して root ユーザになった場合、デフォルト パスワードは「attack」です。 Intrusion Detection System Module(IDSM)ブレードで、ユーザ名 ciscoids のデフォルト パスワードは「attack」です。
A.構成をアップロードするには、ローカルFTPサーバが必要です。
- ブレードの diag モードで次のコマンドを入力します。
report systemstatus siteuser dir - 「Continue generating the System Repor」と尋ねられた場合、続行するには y と入力します。
- プロンプトが表示されたら、指定されたユーザの FTP パスワードを入力します。プロセスが完了すると、プロセスが失敗したか、またはファイルが送信されたかを伝えるメッセージを受信します。
A.インストール/更新のログは、次の場所にあります。
Director のインストール ログは /var/adm/nrInstall.log にあります。
センサー サービス パック更新のログは /usr/nr/sp-update/ にあります。
シグニチャ更新のログは /usr/nr/sig-update/ にあります。
A. IDSはPIX 6.0以降でのみ使用できます。シグニチャは syslog メッセージ 400000 から 400051 までに含まれており、これらを Cisco Secure IDS シグニチャ メッセージといいます。各シグニチャの詳細については、「PIX システム ログ メッセージ」を参照してください。
A. Cisco Secure IDSに関する製品ニュースに関する電子メールアラートを受信するには、Cisco IDS Active Update Notificationsにサインアップしてください。
A.バージョン3.1より前では、Cisco Secure Policy Manager(CSPM)またはUNIX Directorを使用する管理オプションがあります。この 2 つの主な違いは、CSPM が Windows Server 上の独立したアプリケーションとして動作するのに対し、UNIX Director は UNIX Solaris サーバの HP OpenView 上で実行されることです。IDS 3.1 ではこれに加えて、PC にインストールされた IDS Event Viewer(IEV)を使用したり、バージョン 3.1 センサーに含まれる IDS Device Manager を使用して、センサーを管理することもできます。Device Manager は、センサーを設定した後、Secure Socket Layer(SSL)を使用してデフォルトで有効になります。
A. SDKソフトウェアは一般には利用できません。
A.バージョン4.0には、いくつかの新しい機能があります。最も顕著な新機能は Cisco IOS® に似たコマンドライン インターフェイス(CLI)です。
A. 3.xおよび4.0コードでの速度/デュプレックスのハード設定はサポートされておらず、機能要求に対するバグがあります(Cisco Bug ID CSCdy43054(登録ユーザ専用))。 この機能は、「インターフェイスの設定」で入手可能な 5.0 コードで使用できます。
A.お客様は、Cisco Secure Downloads(登録ユーザ専用)からバージョン3.1の更新ファイルをダウンロードすることができます。
A.お客様は、Cisco Secure Downloads(登録ユーザ専用)からバージョン3.0の更新ファイルをダウンロードすることができます。 サービスパックとシグニチャの更新がバージョン2.5でインストールされているのと同じ方法でソフトウェアの更新をインストールします。手順の詳細については、『Cisco IDS Sensor設定ノートバージョン3.0』を参照してください。
A. 3.0アップグレードファイルはCisco Secure Downloads(登録ユーザ専用)からダウンロードできます。ただし、このファイルは2.5より前のバージョンを更新できません。Product Upgrade Tool(登録ユーザ専用)からソフトウェアバージョン2.2 ~ 3.0に0にアップグレードしますこのCDの製品番号はIDS-SW-Uです。
注:アップグレード/リカバリCDを注文するには、有効なサポート契約が必要です。
A.サポートされているキーボードとモニターを使用していることを確認してください。一部のブランドおよびモデルは Cisco Secure IDS と互換性がなく、IDS センサーが正しくブートしません。ブランドの詳細については、「Cisco Secure IDS アプライアンスのブート障害」を参照してください。
A.これらのファイルには、ソフトウェアの更新または追加の特定のセットが含まれています。これらのファイルは、ここで説明する命名規則に従います。
IDS センサー アプライアンス ソフトウェアのサービス パック更新には、IDS センサー コア アプリケーション ソフトウェアの改善とバグ修正含まれています。たとえば、IDSk9-sp-3.0-5-S17.bin という名前のファイルには、ソフトウェア バージョン 3.0(5) の更新に加えて、シグニチャ セット番号 17 が含まれています。
シグニチャ更新ファイルにはシグニチャ(攻撃フィンガープリント)の更新のみが含まれます。 たとえば、IDSk9-sig-3.0-5-S18.bin という名前のファイルには、3.0(5) センサー ソフトウェア用のシグニチャ セット番号 18 が含まれています。
お客様はこれらのファイルを Cisco Secure Downloads(登録ユーザ専用)サイトからダウンロードできます。
A.ユーザーnetrangrとしてセンサーにログインし、次のコマンドを実行します。
nrgetbulk
「<IP_address> Active」のような応答を受信します。これは、攻撃のブロックに使用されている回避デバイスの IP アドレスを示しています。この出力は、コマンド構文と期待される応答の例を示しています:
netrangr@sensor:/usr/nr >nrgetbulk 10003 38 1000 1 NetDeviceStatus 10.48.66.68 Active Successまた、ルータにログインして who コマンドを発行することで、センサーにログインしているかどうか確認できます。
A.このエラーメッセージは、Sensorの/usr/nr/etc/routesファイルまたは/usr/nr/etc/hostsファイルに関する潜在的な問題を示しています。その.../routesファイルは、センサーとダイレクタ間のポストオフィス通信を定義します。その.../hostsファイルは、センサーとダイレクタの名前とIPアドレスを定義します。
また、ユーザ root としてログインし、sysconfig-sensor コマンドを実行して、IDS 通信インフラストラクチャ情報を再び入力することもできます。
A.この手順の詳細については、『表示するIPログファイルのコピー』を参照してください。
A. Configdは、2.2.xコードベースのセンサーとUNIXダイレクタの両方ですべてのコマンドを処理するデーモンです。2.5 および 3.0 コード ベースではこの機能が他のデーモンに吸収され、configd デーモンは存在しなくなりました。
A. Sensorの/usr/nr/etc/daemonsファイルを編集して、nr.packetdがデーモンリストにあることを確認します。それから、サービスを停止し、再起動します。
A.上の制御インターフェイスはiprb1:で、下のスニフィングインターフェイスはiprb0:です。
A. ifconfigコマンドでは制御インターフェイスだけが表示されます。他方のインターフェイス(スニフィング インターフェイス)もセンサーで使用されますが、ユーザには表示されないようになっています。このインターフェイスを確認する必要がある場合は、root としてログインし、ifconfig -a コマンドを発行してインターフェイス名を判別します。ifconfig <interface> plumb コマンドを発行して、特定のインターフェイスのステータスを確認します。
A.センサーのインターフェイス速度をハードコードする必要はなく、シスコテクニカルサポートではサポートされていません。スイッチが自動ネゴシエーション用に設定されると、インターフェイスは接続先のスイッチとの間で速度をネゴシエートします。ネットワークからセンサーへのトラフィックは単方向です(つまりセンサーは受信側)。 したがって、(スイッチ ポートが 100 M であると想定すると)100 半二重でネゴシエート済みとスイッチで表示されたら、一般的には十分です。
A.はいますが、Directorソフトウェアをバージョン2.2.3以降にアップグレードする必要があります。登録済みのお客様はこれらのファイルを Cisco Secure Downloads(登録ユーザ専用)からダウンロードできます。
A.コント/usr/nr/VERSIONコマンドを発行し、出力に含まれるバージョン番号を確認します。
注:ディレクタのnrversコマンドの出力には、ディレクタで実行されるデーモンのバージョンが示されますが、ディレクタソフトウェア自体のバージョンは示されません。
A.ユーザーnetrangrとしてログインして、スクリプト/usr/nr/bin/director/nrCollectInfoを実行して、/usr/nr/var/tmp/Report_For_Director.htmlという名前のファイルに構成情報を送信します。
A. IDS Directorがエラーでフラッディングされ、それらをすべて表示できない場合は、ファイルへのバッファを開始します。IDS デーモンを停止し、開いている OpenView マップをすべて終了して、ファイルを削除します。ファイル /usr/nr/var/nrDirmap.buffer.default を削除した後、IDS デーモンおよび OpenView マップを再起動します。
A. 2.2.2より前のIDSバージョンでは、OpenViewデータベースを消去するのが最も簡単です。データベースは /var/opt/OV/share/databases/openview にあります。次のステップを実行して、OpenView データベースを削除します。
- Ovstop コマンドを使用して、開いているすべての OpenView マップを閉じた後、nrstop コマンドを使用して IDS サービスを停止します。
- ユーザ root としてログインし、/usr/nr/bin/director/nrDeleteOVwDb を発行します。
- すべての「error.*」ファイルを /usr/nr/var ディレクトリの中から削除します(errors.configd など)。
- nrstart コマンドを使用してサービスを再起動した後、ovstart コマンドを使用して OpenView を再起動します。
注:Directorバージョン2.2.2では、データベース全体ではなく、OpenViewデータベースのIDS部分のみを削除できます。この手順は『IDS Director Configuration Guide』で説明されています。
A.このコマンドを実行します。
cp /usr/nr/etc/.lt/license-all.lic /usr/nr/etc/licensesユーザ netrangr がファイルを所有していることを確認して、IDS サービスを再起動します。
A. nrConfigureがDirectorのdaemonsファイルにpacketdプロセスを見ているため、この問題が発生します(このプロセスは認識されません)。 nrConfigure が Director に対して(Sensor であるかのように)バージョンを問い合わせると、Director はセンサー バージョンを応答できません。
この問題を解決するには、次の手順を実行します:
- /usr/nr/etc/daemons ファイルを編集して nr.packetd、nr.sensord、および nr.managed のエントリを削除します(これらのプロセスはセンサーでのみ実行されるべきです)。
- nrstop コマンドを使用してサービスを停止し、nrstart コマンドを使用してサービスを再起動します。
- nrConfigure がシャットダウンされたことを確認します。
- Ovw コマンドを使用して OpenView を起動します。
- [Security] > [Advanced] > [nrConfigure DB] > [Delete] を選択して、破損した nrConfigure データベースを削除します。
- プロンプトが表示されたら、yes と入力して続行します。
- OpenView のメイン ウィンドウで、Director およびすべてのセンサーを強調表示します。
- [Security] > [Advanced] > [nrConfigure DB] > [Create] を選択し、マシンの現在の設定バージョンを使って新しい nrConfigure データベースを作成します。
A. UNIX DirectorでIDSアプリケーションを実行するユーザは、OpenViewで他のアプリケーションも実行できます。これは推奨されませんが、状況によっては避けることができません。問題は、すべての OpenView マップで nrdirmap がデフォルトで有効になることです。他のアプリケーションが OpenView で動作する場合には、これは望ましくありません。
UNIX Director で次の手順を実行して、nrdirmap を有効にするマップを選択できるように、デフォルトを変更してください。
- ユーザ netrangr としてログインします。
- cd $OV_REGISTRATION/C と入力します(OV_REGISTRATION は環境変数の一部です。通常のパスは /etc/opt/OV/share/registration/C です。)
- su root と入力します。
- nrdirmap ファイルを編集し、「Command」行を次の出力例のように変更します。
Command -Shared -Initial "nrdirmap"; !--- Changes to: Command -Shared -Initial "nrdirmap -d";- nrdirmap ファイルを保存します。
- OpenView を終了し、再起動します。今度は、ovw コマンドでマップが表示されたときに ps -ef | grep dirmapは、次のような出力を生成します。nrdirmap に -d スイッチを含めていることに注意してください。
>ps -ef | grep dirmap netrangr 7175 6820 0 09:50:47 pts/2 0:00 grep dirmap netrangr 7158 7152 0 09:50:21 ? 0:00 nrdirmap -dこれで、OpenView で作成される新しいマップでは、nrdirmap がデフォルトで有効にならなくなります。nrdirmap がインストールされたマップを作成するには、この手順で説明するように OpenView GUI から作成する必要があります。
- OpenView のメイン メニューから [Map] > [New] と選択し、新しいマップの名前を入力します。
- 設定可能なアプリケーションとして NetRanger/Director が表示されるはずです。[NetRanger/Director] を選択し、[Configure For this Map] をクリックします。
- 「Should nrdirmap be enabled for this map?」というオプションで、nrdirmapを有効にする場合は[True]を選択します。
- [Verify] を選択し、[OK] をクリックします。
A. Directorバージョン2.2.3では、1 ~ 5の範囲のみをサポートするように重大度レベルが変更されています。
A.現在、CSPMのバージョン2.3iはIDS Sensorを管理できるバージョンですが、CSPM 3.0は管理できません。CSPM を使用してセンサーおよび他のシスコ セキュア デバイス(PIX、ルータなど)を管理する場合は、2 つの別々の Windows サーバに 2 つの異なるバージョン(2.3i および 3.x)の CSPM をインストールする必要があります。それぞれのサーバを使用して、対応するデバイスを次のように管理できます:センサー用には CSPM 2.3i を使用し、PIX、ルータなどには CSPM 3.x を使用します。
A. IDSセンサを管理し、通信が動作するようにCSPMを設定する方法の詳細は、『CSPMでのCisco Secure IDSセンサーの設定』を参照してください。
A.チューニングには、シグニチャが起動するために必要な処理(スイープ内のホスト数など)を変更する必要があり、アクションや重大度の設定を意味するものではありません。
(どのバージョンの)CSPM も、アプライアンスのシグニチャを調整できません。シグニチャのアクションと重大度だけを設定できます。つまり、CSPM ではどの重大度とアクションをシグニチャに関連付けるかを設定できますが、シグニチャの起動条件は設定できません。センサーを調整するにはセンサーの SigWizMenu を使用する必要があります。SigWizMenu と CSPM は異なる部分の設定を行うため、両方を同じセンサーの設定に使用できます。
注:UNIX Directorバージョン2.2.3以降を使用する場合、nrConfigureユーティリティはSigWizMenuで設定するすべての設定を行うことができます。2.2.3 にアップグレードした後は、シグニチャを調整するために SigWizMenu ではなく nrConfigure を使用してください。