Cisco Guard コンフィギュレーション ガイド Software Version 6.1
メンテナンス タスクの実行
メンテナンス タスクの実行
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

メンテナンス タスクの実行

ファイル サーバの設定

設定のエクスポート

設定のインポートとアップデート

ファイルの自動エクスポート

のリロード

のリブートおよびゾーンの非アクティブ化

のシャットダウン

のソフトウェア バージョンのアップグレード

Common Firmware Environment をアップグレードする場合の新しいフラッシュ バージョンの焼き付け

忘失パスワードの復旧

工場出荷時のデフォルト設定へのリセット

メンテナンス タスクの実行

この章では、Cisco Guard(Guard)の一般的なケアや保守用の作業を行う方法について説明します。この章は、次の項で構成されています。

ファイル サーバの設定

設定のエクスポート

設定のインポートとアップデート

ファイルの自動エクスポート

Guard のリロード

Guard のリブートおよびゾーンの非アクティブ化

Guard のシャットダウン

Guard のソフトウェア バージョンのアップグレード

Common Firmware Environment をアップグレードする場合の新しいフラッシュ バージョンの焼き付け

忘失パスワードの復旧

工場出荷時のデフォルト設定へのリセット

ファイル サーバの設定

Guard と他のサーバの間でファイルをインポートおよびエクスポートするために、ネットワーク サーバを Guard に定義できます。Guard で、IP アドレス、通信方式、ログイン詳細などのネットワーク サーバ アトリビュートを定義するネットワーク サーバ プロファイルを作成できます。ネットワーク サーバ プロファイルを作成すると、ファイルをインポートまたはエクスポートするときに、サーバ名だけを指定すればよいようになります。

ネットワーク サーバを設定したら、次に export コマンドまたは import コマンドを設定する必要があります。たとえば、 export reports コマンドを使用すると、Guard が攻撃レポートをネットワーク サーバにエクスポートするように設定できます。

ネットワーク サーバを設定するには、設定モードで次のいずれかのコマンドを使用します。

file-server file-server-name description ftp server remote-path login password

file-server file-server-name description [ sftp | scp ] server remote-path login

表13-1 に、 file-server コマンドの引数とキーワードを示します。

 

表13-1 file-server コマンドの引数とキーワード

パラメータ
説明

file-server-name

ネットワーク サーバの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

description

ネットワーク サーバを説明する文字列。英数字文字列の長さは最大 80 文字です。式にスペースを使用する場合は、式を引用符(" ")で囲みます。

ftp

File Transfer Protocol(FTP; ファイル転送プロトコル)を指定します。

sftp

Secure File Transfer Protocol(SFTP; セキュア ファイル転送プロトコル)を指定します。

scp

Secure Copy Protocol(SCP)を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

remote-path

ファイルの保存先ディレクトリまたはファイルをインポートするディレクトリの完全パス。

login

ネットワーク サーバのログイン名。

password

ネットワーク サーバのパスワード。このオプションは FTP サーバに対してだけ有効です。Guard は公開鍵を使用して SFTP および SCP を使用するネットワーク サーバを認証します。


) SFTP および SCP は、セキュアな通信を行うために Secure Shell(SSH; セキュア シェル)を使用するので、Guard が SFTP 通信および SCP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、IP アドレス 10.0.0.191 を使用して FTP サーバを定義する方法を示しています。

user@GUARD-conf# file-server CorpFTP-Server “Corp’s primary FTP server” ftp 10.0.0.191 /root/ConfigFiles <user> <password>
 

ネットワーク サーバを削除するには、設定モードで no file-server [ file-server-name | *] コマンドを使用します。

ネットワーク サーバのリストを表示するには、グローバル モードまたは設定モードで show file-servers コマンドを使用します。

設定のエクスポート

Guard の設定ファイルまたはゾーン設定ファイル(running-config)をネットワーク サーバにエクスポートできます。これによって、次のことができます。

Guard の設定パラメータを別の Guard に実装する。

Guard の設定をバックアップする。

Guard の設定ファイルをエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy [ zone zone-name ] running-config ftp server full-file-name [ login [ password ]]

copy [ zone zone-name ] running-config { sftp | scp } server full-file-name login

copy [ zone zone-name ] running-config file-server-name dest-file-name

表13-2 に、 copy running-config ftp コマンドの引数とキーワードを示します。

 

表13-2 copy running-config ftp コマンドの引数とキーワード

パラメータ
説明

zone zone-name

(オプション)ゾーン名を指定します。ゾーン名を指定すると、Guard はゾーン設定ファイルをエクスポートします。デフォルトでは、Guard の設定ファイルがエクスポートされます。

running-config

Guard のすべての設定、または指定されたゾーンの設定をエクスポートします。

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

(オプション)サーバのログイン名。 login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。

file-server-name

設定ファイルをエクスポートするネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります(「ファイル サーバの設定」を参照)。

dest-file-name

リモート サーバ上の設定ファイルの名前。Guard は、 file-server コマンドを使用してネットワーク サーバに対して定義したディレクトリの宛先ファイル名を使用してネットワーク サーバ上に設定ファイルを保存します。


) SFTP または SCP を使用するネットワーク サーバを設定する場合は、Guard が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵を設定していない場合、Guard はパスワードの入力を要求します。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、Guard の設定ファイルを FTP サーバにエクスポートする方法を示しています。

user@GUARD# copy running-config ftp 10.0.0.191 run-conf.txt <user> <password>
 

次の例は、Guard 設定ファイルをネットワーク サーバにエクスポートする方法を示しています。

user@GUARD# copy running-config CorpFTP Configuration-12-11-05

設定のインポートとアップデート

Guard またはゾーンの設定ファイルを FTP サーバからインポートし、新しく転送されたファイルに応じて Guard を再設定できます。設定をインポートするには、次のいずれかのタスクを行います。

Guard の既存の設定ファイルに基づいて Guard を設定する。

Guard の設定を復元する。

ゾーンの設定は、Guard の設定の一部です。 copy ftp running-config コマンドを使用して、両方のタイプの設定ファイルを Guard にコピーし、それに応じて Guard を再設定します。


) 既存の設定を新しい設定で置き換えます。新しい設定を有効にするには、Guard をリロードする必要があります。


すべてのゾーンを非アクティブにしてからインポート プロセスを開始することをお勧めします。Guard では、ゾーン設定をインポートする前に、ゾーンが非アクティブになります。

Guard では、古いバージョンの自己保護設定はデフォルトで無視されます。自己保護設定を古い設定で上書きしないでください。古い設定は現在の設定と互換性がない場合があります。

Guard の設定ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを使用します。

copy ftp running-config server full-file-name [ login [ password ]]

copy { sftp | scp } running-config server full-file-name login

copy file-server-name running-config source-file-name

表13-3 に、 copy ftp running-config コマンドの引数を示します。

 

表13-3 copy ftp running-config コマンドの引数

パラメータ
説明

sftp

SFTP を指定します。

scp

SCP を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリでファイルを検索します。

login

(オプション)サーバのログイン名。 login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります(「ファイル サーバの設定」を参照)。

source-file-name

インポートするファイルの名前。Guard は、 file-server コマンドを使用して、ネットワーク サーバに対して定義したパスにファイルの名前を追加します。


) SFTP または SCP を使用するネットワーク サーバを設定する場合は、Guard が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵を設定していない場合、Guard はパスワードの入力を要求します。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、Guard 設定ファイルを FTP サーバからインポートする方法について示しています。

user@GUARD# copy ftp running-config 10.0.0.191 /root/backup/conf/scannet-conf <user> <password>
 

次の例は、Guard の設定ファイルをネットワーク サーバからインポートする方法について示しています。

user@GUARD# copy CorpFTP running-config scannet-conf
 

古いバージョンからエクスポートされた設定をインポートすると、Guard では次のメッセージが表示されます。

WARNING: The configuration file includes a self-protection definition that is incompatible with the current version and will be ignored.
Continue? [yes|no]
 

次のいずれかのオプションを入力します。

yes :古い自己保護設定を無視します。Guard は次のように動作します。

古い自己保護設定を無視し、インポートしない。

ゾーン、インターフェイス、サービス設定など、他の設定をすべてインポートする。

no :古い自己保護設定をインポートできます。Guard によって次のメッセージが表示されます。

You can abort the import process or import the old self-protection definition as-is.
WARNING: The self-protection definitions are incompatible with the current version.
Abort? [yes|no]
 

注意 自己保護設定を古い設定で上書きしないでください。古い設定は現在のソフトウェアの設定と互換性がない場合があります。

古い自己保護設定をインポートするには、 no を入力します。

インポート プロセスを中断するには、 yes を入力します。

ファイルの自動エクスポート

Guard が次のファイルをネットワーク サーバへ自動的にエクスポートするように設定できます。

パケットダンプ キャプチャ ファイル:Guard は、キャプチャ バッファのサイズが 50 MB に到達するか、または 10 分が経過すると、パケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの自動エクスポート」を参照してください。

攻撃レポート:ゾーンに対する攻撃が終了すると、Guard から任意のゾーンのレポートがエクスポートされます。詳細については、「攻撃レポートの自動エクスポート」を参照してください。

Guard はパケットダンプ キャプチャ ファイルと攻撃レポートを Extensible Markup Language(XML)形式でエクスポートします。ソフトウェア バージョンには、XML スキーマを記述した xsd ファイルが付属しています。xsd ファイルは www.cisco.com からダウンロードできます。

ファイルをネットワークサーバへ自動的にエクスポートするには、次の手順を実行します。


ステップ 1 ファイルをエクスポートできるネットワーク サーバを定義します。

詳細については、「ファイル サーバの設定」を参照してください。

ステップ 2 次のコマンドを入力することにより、Guard がファイルを自動的にエクスポートするように設定します。

export {packet-dump | reports} file-server-name
 

表13-4 に、 export コマンドの引数とキーワードを示します。

 

表13-4 export コマンドの引数とキーワード

パラメータ
説明

packet-dump

パケットダンプ バッファの内容がローカル ファイルに保存されるたびに、パケットダンプ キャプチャ ファイルをエクスポートします。Guard は、gzip(GNU zip)プログラムで圧縮および符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。パケットダンプ キャプチャ ファイルの詳細については、「ネットワーク トラフィックの監視と攻撃シグニチャの抽出」を参照してください。

reports

攻撃が終了したら、攻撃レポートを XML 形式でエクスポートします。ゾーンに対する攻撃が終了すると、Guard から任意のゾーンのレポートがエクスポートされます。XML スキーマについては、このバージョンに付属の ExportedReports.xsd ファイルを参照してください。詳細については、「攻撃レポートのエクスポート」を参照してください。

file-server-name

ファイルを保存できるネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります(「ファイル サーバの設定」を参照)。


 

次の例は、IP アドレス 10.0.0.191 を使用して FTP サーバを定義し、攻撃の最後でそのサーバへ自動的にレポートを XML 形式でエクスポートするように Guard を設定する方法を示しています。

user@GUARD-conf# file-server CorpFTP-Server “Corp’s primary FTP server” ftp 10.0.0.191 /root/ConfigFiles <user> <password>
user@GUARD-conf# export reports CorpFTP-Server
 

ネットワーク サーバへのファイルの自動エクスポートをディセーブルにするには、このコマンドの no 形式を使用します。

Guard のリロード

reload コマンドを使用すると、マシンをリブートすることなく Guard の設定をリロードできます。

次の変更内容を反映するには、Guard をリロードする必要があります。

Guard と Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバの同期

shutdown コマンドを使用した、物理インターフェイスの非アクティブ化またはアクティブ化

no shutdown コマンドを使用した、giga0 インターフェイスのイネーブル化

新しいフラッシュの組み込み

Guard のリブートおよびゾーンの非アクティブ化

Guard をリブートするには、グローバル モードで次のコマンドを入力します。

reboot

デフォルトでは、Guard はすべてのゾーンを非アクティブな動作状態でロードします。Guard では、リブート前のゾーンの動作状態に関係なく、リブート後のゾーンの保護やラーニング プロセスはイネーブルになりません。

リブート プロセスの前にアクティブであったゾーンを Guard が自動的にアクティブにするには、設定モードで次のコマンドを入力します。

boot reactivate-zones


注意 ゾーンのラーニング フェーズは、リブート後に再起動されます。

Guard のシャットダウン

完全なシャットダウンにより、Guard は重要な情報を保存することができます。

Guard をシャットダウンするには、次の手順を実行します。


ステップ 1 次のコマンドを入力します。

poweroff
 

ステップ 2 コマンド プロンプトで yes と入力し、プロセスを確認します。

ステップ 3 Guard の電源制御ボタンを押して、電源を切ります。緑色の電源 LED が消えます。


注意 poweroff コマンドを入力せずに電源制御ボタンを押すと、重大なデータの損失につながる恐れがあります。


 

Guard のソフトウェア バージョンのアップグレード

Guard のソフトウェア バージョンをアップグレードするには、次の手順を実行します。


ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して、Guard の設定をバックアップします。バックアップすることにより既存の設定を保存できるため、必要な場合は、設定を現在の状態に迅速に復元できます。詳細については、「設定のエクスポート」を参照してください。

ステップ 2 保存するファイルをエクスポートします。次のファイルをエクスポートできます。

copy reports コマンドまたは copy zone zone-name reports コマンドを使用して、保存する攻撃レポートをエクスポートできます。詳細については、「すべてのゾーンの攻撃レポートのエクスポート」および 「ゾーン レポートのエクスポート」を参照してください。

copy log コマンドを使用して、保存するログをエクスポートします。詳細については、「ログ ファイルのネットワーク サーバへのコピー」を参照してください。

copy zone zone-name packet-dump captures コマンドを使用して、保存するパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの手動エクスポート」を参照してください。

ステップ 3 www.cisco.com でソフトウェア イメージを探し、FTP、SFTP、または SCP でアクセスできるリモート サーバにコピーして、最新のソフトウェア リリースにアップグレードします。

ステップ 4 グローバル モードで次のいずれかのコマンドを入力して、ネットワーク サーバから Guard ソフトウェアにリモート サーバのソフトウェア イメージをコピーします。

copy ftp new-version server full-file-name [ login [ password ]]

copy { scp | sftp } new-version server full-file-name login

表13-5 に、 copy new-version コマンドの引数を示します。

 

表13-5 copy new-version コマンドの引数

パラメータ
説明

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

サーバの IP アドレス。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。

login

サーバのログイン名。 login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Guard によってパスワードを要求されます。


) SFTP および SCP はセキュアな通信では SSH を使用するため、sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Guard が使用する鍵を設定していない場合、Guard はパスワードの入力を要求します。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


ステップ 5 次のコマンドを入力して、ダウンロードしたバージョンをインストールします。

install new-version
 

install new-version コマンドを入力すると、ラーニング プロセスと保護プロセスが非アクティブになります。


注意 アップグレード プロセスの間、Guard が「Press Enter to close this CLI session.」というメッセージを表示するまで、Guard に安定して電源が供給されるようにし、また Guard の操作を何も行わないようにしておく必要があります。上記の制限に対応できない場合、アップグレードが失敗したり、Guard にアクセスできなくなる可能性があります。

ステップ 6 show version コマンドを入力して、Guard との新しいセッションを確立し、ソフトウェア バージョンを確認します。


 

次の例は、新しいソフトウェア バージョン ファイルを Guard にコピーして、ソフトウェア バージョンをアップグレードする方法を示しています。

user@GUARD# copy ftp new-version 10.0.0.191 /home/Versions/R3.i386.rpm user <password>
FTP in progress...
user@GUARD# install new-version
.
.
.
Press Enter to close this CLI session.
 

) ソフトウェアのバージョンをアップグレードすると、Guard の自己保護設定が自動的にアップデートされます。自己保護設定を古い設定で上書きしないでください。古い設定は現在の設定と互換性がない場合があります。


Common Firmware Environment をアップグレードする場合の新しいフラッシュ バージョンの焼き付け

現在の Common Firmware Environment(CFE)とソフトウェア リリースが適合していない場合にだけ、新しいフラッシュ バージョンを焼き付けることができます。不適合は、Guard ソフトウェアをアップデートするときに発生する場合があります。

CFE の不適合が検出された場合、 install new-version コマンドを入力すると、Guard から次のメッセージが表示されます(X は古いフラッシュ バージョンを示し、Y は新しいフラッシュ バージョンを示す)。「Bad CFE version (X).This version requires version Y.」


注意 新しいフラッシュ バージョンを焼き付けている間は、Guard に安定して電源が供給されるようにし、かつ Guard を動作させないようにする必要があります。上記の制限に対応できない場合、アップグレードは正常に終了せず、Guard にアクセスできなくなる可能性があります。

新しいフラッシュ バージョンを焼き付けるには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力します。

flash-burn
 

CFE と Guard のソフトウェア バージョンが適合している場合に新しいフラッシュを焼き付けようとすると、操作が失敗します。

ステップ 2 Guard をリロードするには、次のコマンドを入力します。

reload
 

新しいフラッシュ バージョンを焼き付けた後、 reload コマンドを入力する必要があります。Guard は、 reload コマンドを実行した後でないと完全に機能しません。


 

次の例は、新しいフラッシュ バージョンを焼き付ける方法を示しています。

user@GUARD-conf# flash-burn
Please note: DON'T PRESS ANY KEY WHILE IN THE PROCESS!
. . .
Burned firmware successfully
SYSTEM IS NOT FULLY OPERATIONAL. Type 'reload' to restart the system

忘失パスワードの復旧

Guard は、ルート パスワードを使用してルート アクセスを制御します。ルート パスワードは暗号化されているため、新しいパスワードで置き換えることしかできません。

ルート パスワードを復旧するには、次の手順を実行します。


ステップ 1 Guard にキーボードとモニタを接続します。

ステップ 2 ログインして、 reboot コマンドを入力します。

ステップ 3 Guard の起動中、 Shift キーを押して、そのまま押し続けます。

Guard が次のプロンプトを表示します。

Lilo:
 

ステップ 4 次のコマンドを入力し、1 つのユーザ イメージをロードします。

Cisco 1
 

) 3.0.8 より前のバージョンを実行している場合は、Riverhead 1 と入力してください。実行しているバージョンがわからない場合は、Tab キーを押して、イメージのリストを表示してください。


ステップ 5 パスワード プロンプトで Enter キーを押して、ヌル パスワードを入力します。

Guard がルート プロンプトに入ります。

ステップ 6 ルートのパスワードを変更するには、 passwd コマンドを使用します。New password プロンプトで、新しいパスワードを入力します。「Retype new password」プロンプトで新しいパスワードを再度入力し、選択を確認します。

次の例は、ルート パスワードを変更する方法を示しています。

[root@GUARD root]# passwd
Changing password for user root.
New password: <new password typed in here>
Retype new password: <new password typed in here>
passwd: all authentication tokens updated successfully.
 

ステップ 7 通常の動作モードで reboot コマンドを使用して、Guard を再起動します。


 

工場出荷時のデフォルト設定へのリセット

Guard を工場出荷時のデフォルト設定にリセットして、新しい Guard として設定できます。Guard の望ましくない設定を削除するとき、設定が複雑になったとき、あるネットワークから別のネットワークに Guard を移動するときに、設定を工場出荷時のデフォルトにリセットすると便利です。

工場出荷時のデフォルト設定にリセットする前に、 copy running-config コマンドを使用して、Guard の設定をバックアップしてください。「設定のエクスポート」を参照してください。

Guard をリロードするまでは、インバンド インターフェイスの設定(eth0)を利用できます。


注意 Guard の設定を工場出荷時のデフォルト設定にリセットして、コンソール以外から接続しているときに Guard をリロードした場合、Guard への接続は失われます。

Guard を工場出荷時のデフォルト設定にリセットするには、設定モードで次のコマンドを使用します。

clear config all

設定した変更内容は、リセットをした後に有効になります。

次の例は、Guard を工場出荷時のデフォルト設定にリセットする方法を示しています。

user@GUARD-conf# clear config all