Cisco Traffic Anomaly Detector Module コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG

認証の設定

ユーザが Detector モジュールにログインしようとしたとき、または（ enable コマンドを使用して）上位の特権レベルを要求したときに、Detector モジュールで使用する認証方式を設定することができます。Detector モジュールは、次の認証オプションを提供します。

• ローカル認証：ローカルに設定されたログイン名およびイネーブル パスワードを認証に使用する認証方式。この認証方式がデフォルトです。詳細については、「ローカル認証の設定」を参照してください。

• Terminal Access Controller Access Control System Plus（TACACS+）認証：1 つ以上の TACACS+ サーバを使用するリモート ユーザ認証方式。

（注） ユーザ認可を設定するには、まず TACACS+ サーバでユーザの認証を設定しておく必要があります。設定していない場合は、Detector モジュールにアクセスできない可能性があります（「認可の設定」を参照）。

一方または両方のユーザ認証方式を使用するように Detector モジュールを設定できます。TACACS+ 認証を使用するときに、複数の TACACS+ サーバを定義できます。複数の認証方式を定義すると、通信エラーによって最初の認証方式が失敗した場合にバックアップが提供されます。

Detector モジュールは、定義された各方式を、Detector モジュールで定義した順序で使用してユーザを認証します。定義済みの認証方式のリストを表示するには、 show running config コマンドを入力します。Detector モジュールは、リストの最初に表示されている方式を使用してユーザの認証を試みます。最初の認証方式が応答しない場合、Detector モジュールは、応答のある認証方式が見つかるまで、リストにある次の認証方式を順に選択していきます。

tacacs-server first-hit コマンドを使用して、Detector モジュールが最初の TACACS+ サーバからの応答を受信する際に実行するアクションを設定できます。first-hit オプション（デフォルト設定）をディセーブルにしていて、最初のサーバが認証を拒否した場合、Detector モジュールは、他の TACACS+ サーバを順にスキャンして、その認証を受け入れるサーバを検索します。定義されていない TACACS+ サーバが認証を受け入れた場合、または Guard がどのサーバとも通信できなかった場合は、ユーザ認証は失敗します。first-hit オプションをイネーブルにしている場合、Detector モジュールは、最初の TACACS+ サーバの認証応答（拒否または受け入れ）を最終決定として受け入れます。デフォルトでは、first-hit オプションはディセーブルになっています。 tacacs-server first-hit コマンドの詳細については、「TACACS+ 検索方式の設定」を参照してください。

（注） Detector モジュールが TACACS+ サーバと通信できない場合に、ローカル データベースをユーザ認証のフォールバックとして使用するように Detector モジュールを設定できます（「認証方式の設定」の項を参照）。

この項では、次のトピックについて取り上げます。

• 認証方式の設定

• ローカル認証の設定

認証方式の設定

Detector モジュールで使用する認証方式を設定するには、次の手順を実行します。

ステップ 1 TACACS+ 認証が必要な場合は、TACACS+ サーバ接続を設定します。詳細については、「TACACS+ サーバ アトリビュートの設定」を参照してください。

ステップ 2 設定モードで次のコマンドを入力し、認証方式を定義します。

表4-3 に、 aaa authentication コマンドのキーワードを示します。

認証方式を変更するには、このコマンドを再入力します。

次の例は、上位の特権レベルに入る際に認証を行うように設定する方法を示しています。最初の認証方式は TACACS+ に設定され、2 番目の認証方式はローカル ユーザ データベースに設定されています。

ローカル認証の設定

Detector モジュールには、管理者特権を持つユーザ名（ユーザ定義と呼ばれる）があらかじめ設定されています。このユーザ名を使用して新しいユーザを作成できます。ユーザ定義を使用すると、Detector モジュールのユーザ コミュニティをドメインに分割し、安全な管理アクセスのためにパスワードを割り当てることができます。

TACACS+ サーバを使用した CLI ユーザの認証をイネーブルにするには、「認証の設定」を参照してください。

この項では、次のトピックについて取り上げます。

• ユーザの追加

• 自分のパスワードの変更

• 他のユーザのパスワードの変更

• ローカル ユーザ データベースからのユーザの削除

ユーザの追加

Detector モジュールのローカル データベースにユーザを追加するには、設定モードで次のコマンドを使用します。

username username {admin | config | dynamic | show} [ password ]

表4-4 に、 username コマンドの引数とキーワードを示します。

次の例は、新しいユーザを設定し、パスワードを設定する方法を示しています。

ユーザはクリア テキストでパスワードを入力しますが、Detector モジュールの設定ファイルでは、パスワードが暗号化されて表示されます。次の例は、Detector モジュールの設定ファイル（running-config）を表示します。

上の例の encrypted キーワードは、パスワードが暗号化されていることを示しています。

Detector モジュール上に設定されているユーザのリストを表示するには、 show running-config コマンドまたは show detector コマンドを使用します。

現在 CLI にログインしているユーザのリストを表示するには、 show users コマンドを使用します。

自分のパスワードの変更

ユーザは、自分自身のパスワードを変更することができます。管理者は、自分自身のパスワードと、他のユーザのパスワードを変更できます（「他のユーザのパスワードの変更」を参照）。

自分自身のパスワードを変更するには、次の手順を実行します。

ステップ 1 グローバル モードで次のコマンドを入力します。

ステップ 2 現在のパスワードを入力します。新しいパスワードの入力を求めるプロンプトが表示されます。

ステップ 3 新しいパスワードを入力します。パスワードは、スペースを含まない、6 ～ 24 文字の英数字の文字列である必要があります。パスワードでは大文字と小文字が区別されます。確認のため新しいパスワードを再入力するよう求めるプロンプトが表示されます。

次の例は、自分のパスワードを変更する方法を示しています。

他のユーザのパスワードの変更

他のユーザのパスワードを変更するには、管理ユーザ特権を持っている必要があります。

他のユーザのパスワードを変更するには、次の手順を実行します。

ステップ 1 グローバル モードで次のコマンドを入力します。

username-password 引数は、変更対象のパスワードの持ち主のユーザです。

ステップ 2 新しいパスワードを入力します。

パスワードは、スペースを含まない、6 ～ 24 文字の英数字の文字列である必要があります。パスワードでは大文字と小文字が区別されます。確認のため新しいパスワードを再入力するよう求めるプロンプトが表示されます。

次の例では、管理者がユーザ Jose のパスワードを変更しています。

ローカル ユーザ データベースからのユーザの削除

ローカル ユーザ データベースからユーザを削除すると、そのローカル ユーザ データベースのみを使用して認証を行っている場合、関連付けられているユーザが Detector モジュールにアクセスできなくなります。

Detector モジュールのローカル ユーザ データベースからユーザを削除するには、no username username コマンドを使用します。

次の例は、ローカル ユーザ データベースからユーザを削除する方法を示しています。

認可の設定

システム管理者は、ユーザが使用できるサービスを制限することができます。認可をイネーブルにすると、Detector モジュールはユーザ プロファイルを確認します。ユーザ プロファイルは、ローカル ユーザ データベース内または TACACS+ セキュリティ サーバ上にあります。ユーザは、そのユーザのプロファイル内の情報で許可されている場合にのみ、要求したサービスへのアクセスを許可されます。

ユーザがコマンドを実行しようとするときに Detector モジュールで使用する認可方式を設定することができます。Detector モジュールでは、次の認可オプションが提供されています。

• TACACS+ 認可：1 つ以上の TACACS+ サーバを使用するリモート ユーザ認可方式。

次の 2 種類の TACACS+ 認可がサポートされています。

–EXEC 認可：ユーザが Detector モジュールにログインして認証されたときに、そのユーザの特権レベルを決定します。

–コマンド認可：ユーザがコマンドを入力すると、そのコマンドの許可を取得するために、TACACS+ サーバを調べます。

TACACS+ 認可では、コマンドごとにアクセス権を指定できます。

• ローカル認可：コマンド グループのアクセス コントロールにローカルで設定されたユーザ プロファイルを使用する認可方式。認可は、指定された特権レベルのすべてのコマンドに対して定義されます。この認可方式がデフォルトです。

Detector モジュールは、TACACS+ サーバへの通信に失敗した場合、ローカル認可を使用できます。

ユーザ認証方式を定義する順次認証リストを設定できます。順次認証リストには認証に使用する方式を 1 つ以上指定でき、最初の認証方式への通信が失敗した場合は、バックアップが提供されます。

Detector モジュールは、最初に一覧表示した方式を使用してユーザを認可します。その方式が応答しない場合、Detector モジュールは 2 番目の認可方式を選択します。認可方式が両方とも成功しなかった場合にのみ、認可は失敗します。

Detector モジュールが認証拒否を最終的なものと見なし、それ以上他の TACACS+ サーバやローカル ユーザ データベースを検索しないように設定するために、TACACS+ サーバ アトリビュートを設定できます。詳細については、「TACACS+ サーバ アトリビュートの設定」を参照してください。

この項では、次のトピックについて取り上げます。

• ローカル認可の設定

• 認可方式の設定

• TACACS+ サーバの設定例

• ゾーン名のタブ補完のディセーブル化

ローカル認可の設定

Detector の操作にアクセスできるかどうかは、ユーザの特権レベルによって決まります。システム管理者は、ユーザが使用できる操作を制限することができます。Detector モジュールは、ユーザのプロファイルをチェックして、ユーザのアクセス権を確認します。認可されると、ユーザは、そのユーザのプロファイル内の情報で許可されている場合にのみ、要求した操作へのアクセス権を付与されます。ユーザの特権レベルについては、 表3-1 を参照してください。

この項では、次のトピックについて取り上げます。

• パスワードを使用した特権レベルの割り当て

• ユーザ特権レベル間の移動

パスワードを使用した特権レベルの割り当て

管理者は、ユーザの特権レベルへのアクセスを制限するパスワードを設定できます。特権レベルおよびパスワードを指定したら、この特権レベルにアクセスする必要のあるユーザにそのパスワードを付与することができます。ユーザは、特権レベルのパスワードを知らないと、そのパスワードで保護されたレベルに移動することはできません。

ローカル パスワードを設定して特権レベルへのアクセスを制御するには、設定モードで次のコマンドを使用します。

enable password [level level ] [ password ]

表4-5 に、 enable password コマンドの引数とキーワードを示します。

次の例は、ユーザの特権レベル admin にパスワードを割り当てる方法を示しています。

ユーザ特権レベル間の移動

認可されたユーザは、ユーザ特権レベル間を移動することができます。

ユーザ特権レベル間を移動するには、次の手順を実行します。

ステップ 1 グローバル モードで次のコマンドを入力します。

level 引数には、ユーザの特権レベルを指定します。このレベルは、次のいずれかです。

• admin ：すべての操作にアクセスできる。

• config ：ユーザの定義、削除、および修正に関連する操作を除いて、すべての操作にアクセスできる。

• dynamic ：監視と診断、検出、およびラーニングに関する操作にアクセスできる。dynamic 特権を持つユーザは、フレックスコンテンツ フィルタおよび動的フィルタを設定することもできます。

• show ：監視操作と診断操作にアクセスできる。

デフォルトのレベルは admin です。

ステップ 2 特権レベルのパスワードを入力します。

次の例は、ユーザの特権レベル admin に切り替える方法を示しています。

show 特権レベル（ 表4-5 の説明を参照）に戻る場合は、 disable コマンドを使用します。

認可方式の設定

認可方式を設定するには、次の手順を実行します。

ステップ 1 TACACS+ 認可が必要な場合は、TACACS+ サーバ接続を設定します。詳細については、「TACACS+ サーバ アトリビュートの設定」を参照してください。

ステップ 2 設定モードで次のいずれかのコマンドを入力して、認可方式を定義します。

• aaa authorization exec tacacs+

• aaa authorization commands level tacacs+

認可方式のシーケンシャルなリストを設定できます。各方式について、 aaa authorization コマンドを入力します。認証方式を削除するには、このコマンドの no 形式を使用します。

表4-6 に、 aaa authorization コマンドの引数とキーワードを示します。

表4-6 aaa authorization コマンドの引数とキーワード

パラメータ	説明
exec	ユーザが EXEC シェルの実行を許可されているかどうかを判別するために認可が実行されます。Detector モジュールは、TACACS+ サーバに確認して、認証されたユーザの特権レベルを判別します。 注意 認可を設定する前に、TACACS+ サーバにそのユーザを設定しておく必要があります。設定しておかないと、Detector モジュールにアクセスできない可能性があります。
commands	指定された特権レベルのすべてのコマンドに対して認可が実行されます。複数の特権レベルの認可を設定するには、認可が必要な特権レベルごとにこのコマンドを使用します。
level	次のいずれかの特権レベルに対する認可です。 • admin ：すべての操作にアクセスできる。 • config ：ユーザの定義、削除、および修正に関連する操作を除いて、すべての操作にアクセスできる。 • dynamic ：監視と診断、検出、およびラーニングに関する操作にアクセスできます。dynamic 特権を持つユーザは、フレックスコンテンツ フィルタおよび動的フィルタを設定することもできます。
tacacs+	TACACS+ サーバでユーザのアクセス権を確認します。

Detector モジュールのパフォーマンスに影響する可能性があるため、 show 特権レベルコマンドに対する認可は設定しないことをお勧めします。

（注） コンソール セッションから入力したコマンドには、TACACS+ 認可は実行されません。

次の例は、config 特権レベルを必要とするコマンドの認可を設定する方法を示しています。最初の認可方式は TACACS+ に設定され、2 番目の認可方式はローカル ユーザ データベースに設定されています。

TACACS+ サーバの設定例

TACACS+ サーバのデータベースで、各コマンドの認可を指定することができます。

次の例は、ユーザ Zoe に対して、TACACS+ サーバ上で認可を設定する方法を示しています。

ゾーン名のタブ補完のディセーブル化

ゾーン名を入力するときのタブ補完機能をディセーブルにして、ゾーン設定へのアクセスを認可されたユーザのみに制限できます。この設定は、ゾーン名を指定するすべてのコマンドに適用されます。

グローバル モードまたは設定モードで zone コマンド、 no zone コマンド、 show zone コマンド、および deactivate コマンドなどのコマンドを入力しても、Detector モジュールはゾーン名の表示や補完を行わなくなります。ゾーン名を完全に入力する、ゾーン操作モードを変更する、またはゾーン統計情報を表示する必要があります。

ゾーン名のタブ補完をディセーブルにすると、Detector モジュールは tab-complete zone-list コマンドを TACACS+ サーバに送信します。認可されたユーザに対してゾーン名のタブ補完をイネーブルにするには、 tab-complete zone-list コマンドに対する認可を TACACS+ サーバ上で設定します。

次の例は、すべての zone コマンドでゾーン名のタブ補完をディセーブルにする方法を示しています。

ゾーン名のタブ補完をイネーブルにするには、このコマンドの no 形式を使用します。

アカウンティングの設定

アカウンティング管理により、ユーザがアクセスしているサービスを追跡し、TACACS+ サーバに関するアカウンティング情報を保存することができます。課金、レポート、またはセキュリティ目的で、要求されたサービスのアカウンティングをイネーブルにできます。デフォルトでは、Detector モジュールでアカウンティング管理はディセーブルに設定されています。

アカウンティングを設定するには、次の手順を実行します。

ステップ 1 TACACS+ サーバ接続を設定します。詳細については、「TACACS+ サーバ アトリビュートの設定」を参照してください。

ステップ 2 設定モードで次のコマンドを入力して、アカウンティングを設定します。

表4-7 に、 aaa accounting commands コマンドのキーワードを示します。

複数の特権レベルのアカウンティングを設定するには、必要に応じて、特権レベルごとに aaa accounting コマンドを入力します。

アカウンティング管理は、config ユーザ特権レベルに対してのみイネーブルにすることをお勧めします。アカウンティング データの追跡および保存を行うと、Detector モジュールのパフォーマンスに影響を及ぼす可能性があります。

特権レベルのアカウンティング管理を削除するには、このコマンドの no 形式を使用します。

次の例は、TACACS+ サーバ上で config 特権レベルを必要とするコマンドのアカウンティングを設定する方法を示しています。

TACACS+ サーバ アトリビュートの設定

TACACS+ サーバで認証、認可、またはアカウンティングをイネーブルにするには、TACACS+ サーバ アトリビュートを設定する必要があります。

TACACS+ サーバのアトリビュートを設定するには、次の手順を実行します。

ステップ 1 tacacs-server host ip-address port port_number コマンドを入力して、TACACS+ サーバの IP アドレスを設定します。

詳細については、「TACACS+ サーバの IP アドレスの設定」を参照してください。

ステップ 2 tacacs-server key tacacs-key コマンドを入力して、Detector モジュールが TACACS+ サーバへのアクセスに使用する暗号鍵を設定します。

詳細については、「TACACS+ サーバの暗号鍵の設定」を参照してください。

ステップ 3 （オプション） tacacs-server first-hit コマンドを入力して、Detector モジュールが認証に使用する検索方式を設定します。

詳細については、「TACACS+ 検索方式の設定」を参照してください。

ステップ 4 （オプション） tacacs-server timeout timeout コマンドを入力して、TACACS+ サーバ接続のタイムアウトを設定します。

詳細については、「TACACS+ サーバの接続タイムアウトの設定」を参照してください。

ステップ 5 show tacacs statistics コマンドを入力して、TACACS+ サーバ接続の統計情報を表示します。

詳細については、「TACACS+ サーバの統計情報の表示」を参照してください。

Detector モジュールのユーザ特権レベルは、TACACS+ の特権番号に次のように対応しています。

• admin = 15

• config = 10

• dynamic = 5

• show = 0

この項では、次のトピックについて取り上げます。

• TACACS+ サーバの IP アドレスの設定

• TACACS+ サーバの暗号鍵の設定

• TACACS+ 検索方式の設定

• TACACS+ サーバの接続タイムアウトの設定

• TACACS+ サーバの統計情報の表示

TACACS+ サーバの IP アドレスの設定

Detector モジュールが TACACS+ サーバの一連のリストを認証、認可、およびアカウンティングに使用するように設定できます。Detector モジュールは、TACACS+ サーバ リストを使用してユーザを認証、認可、またはアカウンティング イベントを送信します。そのサーバが応答しない場合、Detector モジュールは 2 番目のサーバを選択します。リスト上のすべてのサーバが応答しなかった場合にのみ、認証または認可は失敗します。

または、Detector モジュールがリストの最初の TACACS+ サーバのみを使用してユーザを認証するように設定することもできます（詳細については、「TACACS+ 検索方式の設定」を参照）。

リストには、各 TACACS+ サーバの IP アドレスを定義する必要があります。最大 9 つの TACACS+ サーバを定義できます。

リストに TACACS+ サーバを追加し、IP アドレスを割り当てるには、設定モードで次のコマンドを使用します。

tacacs-server host ip-address [ port port_number ]

表4-8 に、 tacacs-server host コマンドの引数とキーワードを示します。

TACACS+ サーバは、入力した順序でリストに追加されます。リストには、最大 9 つのサーバを追加できます。

次の例は、TACACS+ サーバ リストにサーバを追加する方法を示しています。

TACACS+ サーバの暗号鍵の設定

TACACS+ サーバにアクセスするには、暗号鍵を設定する必要があります。暗号鍵は、TACACS+ サーバ上の暗号鍵と一致する必要があります。暗号鍵にスペースを含めることはできません。

サーバの暗号アクセス鍵を設定するには、設定モードで次のコマンドを使用します。

tacacs-server key tacacs-key

引数 tacacs-key は、最大 100 文字の英数字の文字列です。

（注） 定義できる暗号鍵は 1 つだけです。複数の TACACS+ サーバを使用する場合、Detector モジュールは、同じ鍵を使用して、すべての TACACS+ サーバとの通信を暗号化します。

暗号化機能をディセーブルにするには、次のコマンドを使用します。

no tacacs-server key

次の例は、TACACS+ サーバの暗号鍵を MyKey に設定する方法を示しています。

TACACS+ 検索方式の設定

設定モードで tacacs-server first-hit コマンドを使用すると、認証拒否を最終的なものと見なし、他の TACACS+ サーバをそれ以上検索しないように、Detector モジュールを設定できます。Detector モジュールは、サーバ リストの最初の TACACS+ サーバだけを使用してユーザ認証を実行します。最初の TACACS+ サーバが応答しない場合、Detector モジュールはリストにある次のサーバを選択します。Detector モジュールは、ユーザ認証に対して最初に受け取る承認または拒否を最終決定と見なし、他の TACACS+ サーバを使用したそのユーザ認証の試行を停止します。

定義されている TACACS+ サーバの順次検索を継続して、ユーザ認証を受け入れるサーバを見つけるように Detector モジュールを設定するには、設定モードで no tacacs-server first-hit コマンドを使用します。この方式が、first-hit 動作のデフォルト設定です。すべての定義済み TACACS+ サーバがユーザ認証を拒否した場合や、Detector モジュールがどのサーバとも通信できない場合は、ユーザ認証が失敗します。

次の例は、Detector モジュールがリスト内の最初の TACACS+ サーバのみを使用してユーザ認証をするように、TACACS+ 検索方式を設定する方法を示しています。

TACACS+ サーバの接続タイムアウトの設定

Detector モジュールが TACACS+ サーバからの応答を待つ時間を設定できます。タイムアウトが終了すると、Detector モジュールは次の TACACS+ サーバ（そのようなサーバが設定されている場合）との接続を確立しようとするか、ローカルの AAA にフォールバックします（フォールバックが設定されている場合）。フォールバックの方式が設定されていない場合、認証と認可は失敗します。

（注） すべての TACACS+ サーバとの通信に同じサーバ タイムアウトが使用されます。

TACACS+ サーバの接続タイムアウトを設定するには、設定モードで次のコマンドを使用します。

tacacs-server timeout timeout

timeout 引数には、Detector モジュールが TACACS+ サーバの応答を待つ時間を秒単位で指定します。デフォルトのタイムアウトは 0 です。

次の例は、TACACS+ サーバの接続タイムアウトを 600 秒に設定する方法を示しています。

ヒント ネットワークに問題がある場合や、TACACS+ サーバの応答が遅いためにタイムアウトが繰り返し発生する場合は、タイムアウトの値を大きくすることができます。

TACACS+ サーバの統計情報の表示

設定モードで show tacacs statistics コマンドを使用して、定義した TACACS+ サーバの統計情報を表示できます。

TACACS+ の統計情報をクリアするには、設定モードで clear tacacs statistics コマンドを使用します。

表4-9 に、 show tacacs statistics コマンド出力のフィールドを示します。

SSL 通信チャネル パラメータの設定

次のように Detector モジュールが Guard と相互に通信する必要がある場合は、Detector モジュールと Guard の間に SSL 通信チャネルを設定します。

• Detector モジュールがトラフィック異常を検出したときに Guard をアクティブにする。

• Guard とゾーン設定を同期化する。

• Guard をポーリングして、ゾーンに対する攻撃が終了したことを確認する。Detector モジュールで検出およびラーニング プロセスをイネーブルにした場合、Detector モジュールは、ゾーンに対する攻撃を検出すると、ラーニング プロセス（しきい値調整）を停止します。Detector モジュールは、攻撃を軽減するためにアクティブにした Guard をポーリングし、攻撃がいつ終了したかを確認します。その時点で、Detector モジュールは自動的にラーニング プロセスを再開します。

• Guard との通信を監視し、リモート処理（Guard によるゾーン保護のアクティブ化など）が失敗した場合に通知する。

SSL 通信チャネルとは、認証とデータの暗号化を組み合せることにより安全な接続を提供するもので、デジタル証明書、秘密鍵と公開鍵の交換ペア、および Diffie-Hellman 鍵合意パラメータによって高度なセキュリティを実現します。SSL は、指定された受信者のみがデータを解読できるようにデータを暗号化します。

Guard および Detector モジュールはそれぞれ、デジタル証明書を使用して、通信チャネル経由で通信を試みるデバイスを認証します。SSL 証明書にある Guard と Detector モジュールの ID は、デバイスの IP アドレスに関連付けられます。安全な接続を確保するために、Detector モジュールは秘密鍵と公開鍵のペアを生成し、公開鍵をリモート Guard リストに定義されている Guard に配布します。

Guard と Detector モジュールの両方で SSL 通信パラメータを設定した後、2 つのデバイス間で通信チャネルを確立する必要があります。これは、Detector モジュールから行います。Guard への初期接続中、Detector モジュールは Guard 上のユーザ riverheadとの SSH 通信チャネルを確立し、その後これらのデバイスが通信チャネルのセキュリティ保護に必要な鍵と証明書を交換します。初期接続後、Detector モジュールは、Guard のアクティブ化、Guard のポーリング、またはゾーン設定の同期化が必要な場合に SSL 通信チャネルを確立します。

SSL 通信チャネルの片側でいずれか一方のデバイスを交換した場合、またはいずれか一方のデバイスの IP アドレスを変更した場合は、2 つのデバイスが相互の認証に成功するように、両方のデバイスで SSL 証明書を再生成する必要があります。

この項では、次のトピックについて取り上げます。

• SSL 通信チャネルのイネーブル化

• SSL 証明書の再生成

SSL 通信チャネルのイネーブル化

SSL 通信チャネルをイネーブルにするには、次の接続タイプを許可するように Detector モジュールおよび Guard モジュールを設定する必要があります。

• SSH：Detector モジュールは、SSH 通信チャネルを使用して Guard モジュールとの初期接続を確立し、鍵と証明書を交換します。

• SSL：初期接続後、Detector モジュールは SSL 通信チャネルを使用して、Guard モジュールとのすべての接続を確立します。

SSL 通信チャネルをイネーブルにするには、Detector モジュールおよび Guard モジュールの両方で次の手順を実行します。

ステップ 1 設定モードで permit ssh ip-address-general [ ip-mask ] を入力して、コンパニオン デバイスの IP アドレスによる SSH サービスへのアクセスを許可します。

ip-address-general 引数および ip-mask 引数には、コンパニオン デバイスの IP アドレスを指定します。

ステップ 2 設定モードで service internode-comm コマンドを入力して、通信チャネル サービスをイネーブルにします。

ステップ 3 設定モードで permit internode-comm ip-address-general [ ip-mask ] コマンドを入力して、コンパニオン デバイスの IP アドレスによる通信チャネル サービスへのアクセスを許可します。

ip-address-general 引数および ip-mask 引数には、コンパニオン デバイスの IP アドレスを指定します。

SSL 通信チャネルをイネーブルにするように Detector モジュールおよび Guard モジュールを設定した後、Guard と Detector の間で通信チャネルを確立できます。通信チャネルの確立については、「通信チャネルの確立」を参照してください。

SSL 証明書の再生成

SSL 証明書で Guard と Detector モジュールを識別する鍵は、デバイスの IP アドレスに関連付けられます。次の変更を行う場合、通信チャネルの両側で Guard と Detector モジュールの新しい SSL 証明書を再生成する必要があります。

• いずれか一方のデバイスの IP アドレスを変更する。

• いずれか一方のデバイスを交換する。

新しい SSL 証明書を再生成するプロセスには、両方のデバイスから現在の証明書を削除する作業が含まれます。

現在使用している SSL 証明書を表示するには、 show internode-comm certs コマンドを使用します。

SSL 証明書を再生成するには、次の手順を実行します。

ステップ 1 設定モードで次のコマンドを使用して、Guard の SSL 証明書を Detector モジュールから削除します。

cert-host-ip 引数には、Guard の IP アドレスを指定します。リモート Guard リストで定義するすべての Guard の SSL 証明書を削除するには、アスタリスク（*）を入力します。

次の例は、SSL 証明書を削除する方法を示しています。

ステップ 2 設定モードで次のコマンドを使用して、Detector モジュールの SSL 証明書を Guard から削除します。

cert-host-ip 引数には、Detector モジュールの IP アドレスを指定します。Guard との通信チャネルを確立しているすべての Detector モジュールの SSL 証明書を削除するには、アスタリスク（*）を入力します。

ステップ 3 Guard を交換する場合は、Detector モジュールから SSH ホスト鍵も削除する必要があります。設定モードで次のコマンドを使用して、Guard の SSH ホスト鍵を Detector モジュールから削除します。

ip-address-general 引数には、リモート デバイスの IP アドレスを指定します。

次の例は、Detector モジュールからホスト鍵を削除する方法を示しています。

ステップ 4 Detector モジュールから、Guard と Detector モジュールとの間に新しい SSL 通信チャネルを確立することにより、新しい SSL 証明書を再生成します。通信チャネルの確立については、「通信チャネルの確立」を参照してください。

SSH 通信チャネル パラメータの設定

トラフィック異常を検出したときに Detector モジュールが Guard をアクティブにすること以外に Detector モジュールと Guard が相互に通信する必要がない場合は、Detector モジュールと Guard の間の SSH 通信チャネルを設定します。SSH 通信チャネルでは、Detector モジュールが Guard に対して次のタスクを実行できません。

• Guard とゾーン設定を同期化する。

• Guard をポーリングして、ゾーンに対する攻撃が終了したことを確認する。Detector モジュールで検出およびラーニング プロセスをイネーブルにした場合、Detector モジュールは、ゾーンに対する攻撃を検出すると、ラーニング プロセス（しきい値調整）を停止します。Detector モジュールは、Guard をポーリングできず、攻撃がいつ終了したかを確認できないため、攻撃が終了しても自動的にラーニング プロセスを再開できません。

• Guard との通信を監視し、リモート処理（Guard によるゾーン保護のアクティブ化など）が失敗した場合に通知する。

Detector モジュールがこれらのタスクを実行できるようにするには、SSL 通信チャネルを設定する必要があります（「SSL 通信チャネル パラメータの設定」を参照）。

安全な SSH 通信チャネルを確保するために、Detector モジュールは秘密 SSH 鍵と公開 SSH 鍵のペアを生成し、公開 SSH 鍵をリモート Guard リストにある Guard に配布します。

SSH 通信チャネルをイネーブルにした後、Detector モジュールと Guard の間で通信チャネルを確立する必要があります。これは、Detector モジュールから行います。

SSH 通信チャネルの片側で Guard を新しいものと交換した場合は、Detector モジュールが新しい Guard での認証に成功するように、Detector モジュールで SSH 秘密（ホスト）鍵および SSH 公開鍵を再生成する必要があります。

この項では、次のトピックについて取り上げます。

• SSH 通信チャネルのイネーブル化

• SSH 通信チャネル鍵の再生成

SSH 通信チャネルのイネーブル化

Guard と Detector モジュールの間の SSH 通信チャネルをイネーブルにするには、Guard から設定モードで permit ssh コマンドを入力して、Detector モジュールの IP アドレスで SSH サービスへのアクセスを許可します。

Guard と Detector モジュールの間の SSL 通信チャネルをイネーブルにした後、Guard と Detector モジュールの間で通信チャネルを確立できます。通信チャネルの確立については、「通信チャネルの確立」を参照してください。

SSH 通信チャネル鍵の再生成

Detector モジュールが SSH 通信チャネル経由で通信する Guard を新しいものと交換した場合は、次の手順を実行して、SSH 通信チャネル鍵を再生成する必要があります。

ステップ 1 Detector モジュール上で no host-keys ip-address-general 設定モード コマンドを入力して、SSH ホスト鍵を Detector モジュールから削除します。

ip-address-general 引数には、リモート デバイスの IP アドレスを指定します。

Detector モジュールにリストされているホスト鍵を表示するには、 show host-keys コマンドを使用します。

ステップ 2 次のいずれかの処理を実行して、リモート Guard で SSH 鍵を設定します。

• 新しい SSH 通信チャネルを Detector モジュールから確立します（「通信チャネルの確立」を参照）。

• Detector モジュールの公開鍵をリモート Guard に手動で追加します。Detector モジュールの公開 SSH 鍵をコピーし、Guard が保持している SSH 鍵のリストにペーストすることができます。

Detector モジュールの公開 SSH 鍵を表示するには、Detector モジュール上で show public-key コマンドを使用します。

Detector モジュールの公開 SSH 鍵を、Guard が保持している SSH 鍵のリストに追加するには、Guard 上で key add コマンドを使用します。

通信チャネルの確立

Detector モジュールが Guard と直接通信できるようにするため、Detector モジュールと Guard との間に SSH または SSL 通信チャネルを確立します。

（注） Detector モジュールと Guard の両方で通信チャネルをイネーブルにしてから、通信チャネルを確立する必要があります。通信チャネルのイネーブル化については、「SSL 通信チャネルのイネーブル化」または「SSH 通信チャネルのイネーブル化」を参照してください。

これら 2 つのデバイス間での初期接続中、Detector モジュールは通信チャネルの確保に必要な SSH 鍵と SSL 証明書を交換します。その後 Detector モジュールは接続を閉じ、Guard をアクティブにする、Guard とゾーン設定を同期させる（SSL 通信チャネルのみ）、または Guard にポーリングする（SSL 通信チャネルのみ）必要がある場合に、通信チャネルを確立します。

Detector モジュールから Guard への通信チャネルを確立するには、Detector モジュール上で次の手順を実行します。

ステップ 1 設定モードで次のコマンドを入力して、SSH 秘密および公開鍵ペアを生成します。

SSH の鍵ペアがすでに存在している場合は、次のメッセージが表示されます。

次のオプションのいずれかを入力して必要なオプションを選択します。

• y ：Detector モジュールは新しい SSH 鍵ペアを生成します。

• n ：Detector モジュールは新しい SSH 鍵ペアを生成しません。

ステップ 2 SSH 通信チャネルに必要な SSH 公開鍵だけをパブリッシュするか、または SSH 公開鍵をパブリッシュしてから、SSL 通信チャネルに必要な SSL 証明書を交換します。設定モードで、次のコマンドのいずれかを使用します。

• key publish remote-guard-address { ssh | ssl }

• key publish *

表4-10 に、 key publish コマンドの引数とキーワードを示します。

ステップ 3 man-in-the-middle 攻撃（2 者間で交わされるメッセージを攻撃者が傍受して変更することが可能な攻撃）を防ぐために、SSH2 ではホスト鍵を使用してリモート ホスト、つまり Guard の確実性が確認されます。Guard に対して初めて SSH 通信チャネルを確立したときは、Guard はその公開鍵を Detector モジュールに送信します。これが Detector モジュールから Guard に対して開始される最初の接続である場合は、次のメッセージが表示されます。

yes と入力します。

次のプロンプト行が表示されます。

ステップ 4 Guard でユーザ riverhead 用に設定されたパスワードを入力します。

次の例で、SSH 秘密および公開鍵ペアを生成する方法と、Detector モジュールと IP アドレスが 192.168.100.33 のリモート Guard との間で SSH 通信チャネルを確立する方法について説明します。

次の例では、リモート Guard リストに記載されている Guard モジュールとの通信チャネルを確立する方法について説明します。

Detector モジュール SSH 公開鍵を表示するには、 show public-key コマンドを使用します。

Detector モジュールにリストされているホスト鍵を表示するには、 show host-keys コマンドを使用します。

SSH 鍵の追加

ログイン名とパスワードを入力しない SSH 接続をイネーブルにするには、Detector モジュールの SSH 鍵リストにリモート接続の SSH 公開鍵を追加します。

設定モードで次のコマンドを入力します。

key add [ user-name ] {ssh-dsa | ssh-rsa} key-string comment

表4-11 に、 key add コマンドの引数とキーワードを示します。

次の例は、SSH RSA 鍵を追加する方法を示しています。

SSH 鍵の削除

リストから SSH 鍵を削除できます。SSH 鍵を削除すると、次に Detector モジュールと SSH セッションを確立するときには認証を受ける必要があります。

Detector モジュールから SSH 鍵を削除するには、設定モードで次のコマンドを使用します。

key remove [ user-name ] key-string

表4-12 に、 key remove コマンドの引数を示します。

次の例は、 key remove コマンドにカット アンド ペーストを行えるように、ユーザ鍵を表示する方法を示しています。

CLI からのログイン バナーの設定

login-banner コマンドを使用すると、単一または複数のメッセージ バナーを作成できます。複数のログイン バナーを入力した場合、新しいログイン バナーは、既存のログイン バナーの最後に新しい行として追加されます。

ログイン バナーを設定するには、設定モードで次のコマンドを使用します。

login-banner banner-str

banner-str 引数には、バナーのテキストを指定します。文字列の長さは最大 999 文字です。式にスペースを使用する場合は、式を引用符（" "）で囲みます。

ログイン バナーを表示するには、 show login-banner コマンドを使用します。

次の例は、ログイン バナーを設定して表示する方法を示しています。

ログイン バナーのインポート

グローバル モードまたは設定モードで次のいずれかのコマンドを入力して、ネットワーク サーバからテキスト ファイルをインポートし、既存のログイン バナーを差し替えることができます。

• copy ftp login-banner server full-file-name [ login [ password ]]

• copy { sftp | scp } login-banner server full-file-name login

インポートするファイル内の各行の最大長は、999 文字です。

SFTP および SCP はセキュアな通信を SSH に依存しているので、 sftp または scp オプションを使用して copy コマンドを入力する前に、Detector モジュールで使用する鍵を設定していない場合、Detector モジュールによってパスワードの入力が求められます。Detector モジュールがセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表4-15 に、 copy login-banner コマンドの引数とキーワードを示します。

次の例は、FTP サーバからログイン バナーをインポートする方法を示しています。

ログイン バナーの削除

ユーザ認証の前にメッセージを表示する必要がなくなった場合、ログイン バナーを削除できます。

ログイン バナーを削除するには、設定モードで no login-banner コマンドを使用します。

次の例は、ログイン バナーを削除する方法を示しています。

WBM ロゴのインポート

WBM で使用する新しいロゴをネットワーク サーバからインポートするには、グローバル モードまたは設定モードで次のコマンドを入力します。

• copy ftp wbm-logo server full-file-name [ login [ password ]]

• copy { sftp | scp } wbm-logo server full-file-name login

SFTP および SCP はセキュアな通信では SSH を使用するため、Detector モジュールは sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector モジュールが使用する鍵を設定しない場合、パスワードの入力を求めます。Detector モジュールがセキュアな通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表4-16 に、 copy wbm-logo コマンドの引数とキーワードを示します。

次の例は、FTP サーバから WBM ロゴ ファイルをインポートする方法を示しています。

WBM ロゴの削除

WBM ロゴを削除するには、設定モードで no wbm-logo コマンドを使用します。

次の例は、WBM ロゴを削除する方法を示しています。