Cisco Traffic Anomaly Detector コンフィギュレーション ガイド Software Release 6.1
メンテナンス タスクの実行
メンテナンス タスクの実行
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

メンテナンス タスクの実行

ファイル サーバの設定

設定のエクスポート

設定のインポートとアップデート

ファイルの自動エクスポート

のリロード

のリブートおよびゾーンの非アクティブ化

のシャットダウン

のソフトウェア バージョンのアップグレード

新しいフラッシュ バージョンの焼き付け

忘失パスワードの復旧

工場出荷時のデフォルト設定へのリセット

メンテナンス タスクの実行

この章では、Cisco Traffic Anomaly Detector(Detector)の一般的なケアや保守用の作業を行う方法について説明します。

この章では、Detector の関連製品である Cisco Guard(Guard)についても言及します。Guard は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃検出および軽減デバイスです。トラフィックが通過するときにゾーン トラフィックをクリーンにして、攻撃トラフィックをドロップし、正当なトラフィックをネットワークに注入します。Detector は、ゾーンが攻撃を受けていると判断した時点で、Guard の攻撃軽減サービスをアクティブにできます。また、Detector は Guard とゾーン設定を同期させることができます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ファイル サーバの設定

設定のエクスポート

設定のインポートとアップデート

ファイルの自動エクスポート

Detector のリロード

Detector のリブートおよびゾーンの非アクティブ化

Detector のシャットダウン

Detector のソフトウェア バージョンのアップグレード

忘失パスワードの復旧

工場出荷時のデフォルト設定へのリセット

ファイル サーバの設定

ネットワーク サーバを Detector 上で定義し、Detector とそのサーバとの間でファイルをインポートおよびエクスポートすることができます。Detector では、ネットワーク サーバ プロファイルを作成し、このプロファイルに IP アドレス、通信方式、およびログインの詳細などのネットワーク サーバ アトリビュートを定義することができます。ネットワーク サーバ プロファイルを作成すると、サーバ名を指定するだけでファイルのインポートやエクスポートができます。

ネットワーク サーバを設定したら、次に export コマンドまたは import コマンドを設定する必要があります。たとえば、 export reports コマンドを使用すると、Detector が攻撃レポートをネットワーク サーバにエクスポートするように設定できます。

ネットワーク サーバを設定するには、設定モードで次のいずれかのコマンドを使用します。

file-server file-server-name description ftp server remote-path login password

file-server file-server-name description [ sftp | scp ] server remote-path login

表12-1 に、 file-server コマンドの引数とキーワードを示します。

 

表12-1 file-server コマンドの引数とキーワード

パラメータ
説明

file-server-name

ネットワーク サーバの名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。

description

ネットワーク サーバを説明する文字列。文字列は最大 80 文字の英数字です。式にスペースを使用する場合は、式を引用符(" ")で囲みます。

ftp

File Transfer Protocol(FTP; ファイル転送プロトコル)を指定します。

sftp

Secure File Transfer Protocol(SFTP; セキュア ファイル転送プロトコル)を指定します。

scp

Secure Copy Protocol(SCP)を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

remote-path

ファイルの保存先ディレクトリまたはファイルをインポートするディレクトリの完全パス。

login

ネットワーク サーバのログイン名。

password

ネットワーク サーバのパスワード。

このオプションは FTP サーバに対してだけ有効です。Detector は公開鍵を使用して SFTP および SCP を使用するネットワーク サーバを認証します。


) SFTP および Secure Copy Protocol(SCP)は、安全な通信を行うために Secure Shell(SSH; セキュア シェル)を使用するので、Detector が SFTP 通信および SCP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、IP アドレス 10.0.0.191 を使用して FTP サーバを定義する方法を示しています。

user@DETECTOR-conf# file-server CorpFTP-Server “Corp’s primary FTP server” ftp 10.0.0.191 /root/ConfigFiles <user> <password>
 

ネットワーク サーバを削除するには、設定モードで no file-server [ file-server-name | *] コマンドを使用します。

ネットワーク サーバのリストを表示するには、グローバル モードまたは設定モードで show file-servers コマンドを使用します。

設定のエクスポート

Detector の設定ファイルまたはゾーン設定ファイル(running-config)をネットワーク サーバにエクスポートできます。Detector またはゾーンの設定ファイルをリモート サーバにエクスポートすることで、次を実行できます。

Detector の設定パラメータを別の Detector に実装する。

Detector の設定をバックアップする。

Detector の設定ファイルをエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy [ zone zone-name ] running-config ftp server full-file-name [ login [ password ]]

copy [ zone z one-name ] running-config { sftp | scp } server full-file-name login

copy [ zone zone-name ] running-config file-server-name dest-file-name

ゾーンの設定のうち、Guard にゾーンを設定するために必要な部分をエクスポートするには、 copy guard-running-config コマンドを使用します。詳細については、「ネットワーク サーバへのゾーン設定の手動エクスポート」を参照してください。

表12-2 に、 copy running-config コマンドの引数とキーワードを示します。

 

表12-2 copy running-config コマンドの引数とキーワード

パラメータ
説明

zone zone-name

(オプション)ゾーン名を指定します。ゾーン名を指定すると、Detector はゾーン設定ファイルをエクスポートします。デフォルトでは、Detector の設定ファイルがエクスポートされます。

running-config

Detector のすべての設定、または指定されたゾーンの設定をエクスポートします。

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

(オプション)サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Detector によってパスワードを要求されます。

file-server-name

設定ファイルをエクスポートするネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります(「ファイル サーバの設定」を参照)。

dest-file-name

リモート サーバ上の設定ファイルの名前。Detector は、 file-server コマンドを使用してネットワーク サーバに対して定義したディレクトリの宛先ファイル名を使用してネットワーク サーバ上に設定ファイルを保存します。


) SFTP または SCP を使用するネットワーク サーバを設定する場合は、Detector が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector が使用する鍵を設定していない場合、Detector はパスワードの入力を求めます。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、Detector の設定ファイルを FTP サーバにエクスポートする方法を示しています。

user@DETECTOR# copy running-config ftp 10.0.0.191 run-conf.txt <user> <password>
 

次の例は、Detector 設定ファイルをネットワーク サーバにエクスポートする方法を示しています。

user@DETECTOR# copy running-config CorpFTP Configuration-12-11-05

設定のインポートとアップデート

Detector またはゾーンの設定ファイルを FTP サーバからインポートし、新しく転送されたファイルに応じて Detector を再設定できます。設定をインポートするには、次のいずれかのタスクを行います。

Detector の既存の設定ファイルに基づいて Detector を設定する。

Detector の設定を復元する。

ゾーンの設定は、Detector の設定の一部です。 copy ftp running-config コマンドを使用して、両方のタイプの設定ファイルを Detector にコピーし、それに応じて Detector を再設定します。


) 既存の設定を新しい設定で置き換えます。新しい設定を有効にするには、Detector をリロードする必要があります。


すべてのゾーンを非アクティブにしてからインポート プロセスを開始することをお勧めします。Detector は、ゾーン設定をインポートする前にゾーンを非アクティブにします。

Detector の設定ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを使用します。

copy ftp running-config server full-file-name [ login [ password ]]

copy { sftp | scp } running-config server full-file-name login

copy file-server-name running-config source-file-name

表12-3 に、 copy running-config コマンドの引数を示します。

 

表12-3 copy running-config コマンドの引数

パラメータ
説明

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

ネットワーク サーバの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.10.2)。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリでファイルを検索します。

login

(オプション)サーバのログイン名。 login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Detector によってパスワードを要求されます。

file-server-name

ネットワーク サーバの名前。 file-server コマンドを使用してネットワーク サーバを設定する必要があります(「ファイル サーバの設定」を参照)。

source-file-name

インポートするファイルの名前。Detector は、 file-server コマンドを使用して、ネットワーク サーバとして定義したパスにファイルの名前を追加します。


) SFTP または SCP を使用するネットワーク サーバを設定する場合は、Detector が SFTP 通信および SCP 通信で使用する SSH 鍵を設定する必要があります。sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector が使用する鍵を設定していない場合、Detector はパスワードの入力を求めます。詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。


次の例は、Detector 設定ファイルを FTP サーバからインポートする方法について示しています。

user@DETECTOR# copy ftp running-config 10.0.0.191 /root/backup/conf/scannet-conf <user> <password>
 

次の例は、Detector の設定ファイルをネットワーク サーバからインポートする方法について示しています。

user@DETECTOR# copy CorpFTP running-config scannet-conf

ファイルの自動エクスポート

Detector が次のファイルをネットワーク サーバへ自動的にエクスポートするように設定できます。

パケットダンプ キャプチャ ファイル:Detector は、キャプチャ バッファのサイズが 50 MB に到達するか、または 10 分が経過すると、パケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの自動エクスポート」を参照してください。

攻撃レポート:ゾーンに対する攻撃が終了すると、Detector から任意のゾーンのレポートがエクスポートされます。詳細については、「攻撃レポートの自動エクスポート」を参照してください。

ゾーン設定:ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、Detector はゾーンの設定ファイルをエクスポートします。詳細については、「ネットワーク サーバへのゾーン設定の自動エクスポート」を参照してください。

Detector はパケットダンプ キャプチャ ファイルと攻撃レポートを Extensible Markup Language(XML)形式でエクスポートします。ソフトウェア バージョンには、XML スキーマを記述した xsd ファイルが付属しています。xsd ファイルは www.cisco.com からダウンロードできます。

ファイルをネットワークサーバへ自動的にエクスポートするには、次の手順を実行します。


ステップ 1 ファイルをエクスポートできるネットワーク サーバを定義します。

詳細については、「ファイル サーバの設定」を参照してください。

ステップ 2 次のコマンドを入力することにより、Detector がファイルを自動的にエクスポートするように設定します。

export {packet-dump | reports | sync-config} file-server-name
 

表12-4 に、 export コマンドの引数とキーワードを示します。

 

表12-4 export コマンドの引数とキーワード

パラメータ
説明

packet-dump

パケットダンプ バッファの内容がローカル ファイルに保存されるたびに、パケットダンプ キャプチャ ファイルをエクスポートします。Detector は、「gzip」(GNU zip)プログラムで圧縮、符号化したパケットダンプ キャプチャ ファイルを PCAP 形式でエクスポートし、記録されたデータを説明する XML 形式のファイルを添付します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。パケットダンプ キャプチャ ファイルの詳細については、「ネットワーク トラフィックの監視と攻撃シグニチャの抽出」を参照してください。

reports

攻撃が終了したら、攻撃レポートを XML 形式でエクスポートします。ゾーンへの攻撃が終了すると、Detector はいずれかのゾーンのレポートをエクスポートします。XML スキーマについては、このバージョンに付属の ExportedReports.xsd ファイルを参照してください。詳細については、「攻撃レポートのエクスポート」を参照してください。

sync-config

ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、ゾーン設定をエクスポートします。その設定を Guard にインポートし、Guard をアクティブにしてゾーンを保護できます。

Detector がネットワーク サーバにゾーン設定を自動的にエクスポートできるようにするには、Detector のデフォルトのリモート サーバ リストまたはゾーンのリモート サーバ リストにそのサーバを設定する必要があります。詳細については、「ネットワーク サーバへのゾーン設定の自動エクスポート」を参照してください。

file-server-name

ファイルを保存できるネットワーク サーバの名前。ネットワーク サーバは、 file-server コマンドを使用して設定します(「ファイル サーバの設定」を参照)。


 

次の例は、IP アドレス 10.0.0.191 を使用して FTP サーバを定義し、攻撃の最後でそのサーバへ自動的にレポートを XML 形式でエクスポートするように Detector を設定する方法を示しています。

user@DETECTOR-conf# file-server CorpFTP-Server “Corp’s primary FTP server” ftp 10.0.0.191 /root/ConfigFiles <user> <password>
user@DETECTOR-conf# export reports CorpFTP-Server
 

ネットワーク サーバへのファイルの自動エクスポートをディセーブルにするには、このコマンドの no 形式を使用します。

Detector がゾーン設定をエクスポートする先のネットワーク サーバのデフォルト リストを表示するには、設定モードで show sync-config file-servers コマンドを使用します。

ゾーンのリモート サーバ リストを表示するには、ゾーン設定モードで show sync-config file-servers コマンドを使用します。

Detector のリロード

reload コマンドを使用すると、マシンをリブートすることなく Detector の設定を再ロードできます。

次の変更内容を反映するには、Detector をリロードする必要があります。

Detector と NTP サーバの同期

shutdown コマンドを使用した、物理インターフェイスの非アクティブ化またはアクティブ化

no shutdown コマンドを使用した、giga0 インターフェイスのイネーブル化

新しいフラッシュの組み込み

Detector のリブートおよびゾーンの非アクティブ化

Detector をリブートするには、グローバル モードで次のコマンドを入力します。

reboot

デフォルトでは、Detector はリブート プロセスの前にアクティブだったゾーンを再度アクティブにします。

デフォルトの動作を変更して、Detector がすべてのゾーンを非アクティブ動作状態でロードするようにするには、設定モードで次のコマンドを入力します。

no boot reactivate-zones


注意 ゾーンのラーニング フェーズは、リブート後に再起動されます。

Detector のシャットダウン

完全なシャットダウンにより、Detector は重要な情報を保存することができます。

Detector をシャットダウンするには、次の手順を実行します。


ステップ 1 次のコマンドを入力します。

poweroff
 

ステップ 2 コマンド プロンプトで yes と入力し、プロセスを確認します。

ステップ 3 Detector の電源制御ボタンを押して、電源を切ります。

緑色の電源 LED が消えます。


注意 poweroff コマンドを入力せずに電源制御ボタンを押すと、重大なデータの損失につながるおそれがあります。


 

Detector のソフトウェア バージョンのアップグレード

Detector のソフトウェア バージョンをアップグレードするには、次の手順を実行します。


ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して、Detector の設定をバックアップします。バックアップすることにより既存の設定を保存できるため、必要な場合は、設定を現在の状態に迅速に復元できます。

詳細については、「設定のエクスポート」を参照してください。

ステップ 2 保存するファイルをエクスポートします。次のファイルをエクスポートできます。

copy reports コマンドまたは copy zone zone-name reports コマンドを使用して、保存する攻撃レポートをエクスポートします。詳細については、「すべてのゾーンの攻撃レポートのエクスポート」および 「ゾーン レポートのエクスポート」を参照してください。

copy log コマンドを使用して、保存するログをエクスポートします。詳細については、「ログ ファイルのエクスポート」を参照してください。

copy zone zone-name packet-dump captures コマンドを使用して、保存するパケットダンプ キャプチャ ファイルをエクスポートします。詳細については、「パケットダンプ キャプチャ ファイルの手動エクスポート」を参照してください。

ステップ 3 最新のソフトウェア リリースにアップグレードするには、 www.cisco.com でソフトウェア イメージを確認します。

FTP、SFTP または SCP でアクセスできるディレクトリにソフトウェア イメージをコピーします。

ステップ 4 グローバル モードで次のいずれかのコマンドを入力して、ネットワーク サーバから Detector ソフトウェアにソフトウェア バージョンをコピーします。

copy ftp new-version server full-file-name [ login [ password ]]

copy { sftp | scp } new-version server full-file-name login

SFTP および SCP は安全な通信を SSH に依存しているので、 sftp オプションまたは scp オプションを使用して copy コマンドを入力する前に Detector が使用する鍵を設定していない場合、Detector はパスワードの入力を求めます。Detector が安全な通信のために使用する鍵を設定する方法の詳細については、「SFTP 接続および SCP 接続用の鍵の設定」を参照してください。

表12-5 に、 copy new-version コマンドの引数とキーワードを示します。

 

表12-5 copy new-version コマンドの引数

パラメータ
説明

ftp

FTP を指定します。

sftp

SFTP を指定します。

scp

SCP を指定します。

server

サーバの IP アドレス。

full-file-name

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。

login

(オプション)サーバのログイン名。 login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Detector によってパスワードを要求されます。

ステップ 5 次のコマンドを入力して、ダウンロードしたバージョンをインストールします。

install new-version
 

install new-version コマンドを入力すると、ラーニング プロセスと検出プロセスが非アクティブになります。


注意 バージョンをアップグレードしている間は、Detector に安定して電源が供給されるようにし、かつ Detector を動作させないようにする必要があります。アップグレード プロセスが完了したら、Detector は「Press Enter to close this CLI session.」というメッセージを表示します。上記の制限に対応できない場合、アップグレードが失敗し、Detector にアクセスできなくなる可能性があります。

ステップ 6 show version コマンドを入力して、Detector との新しいセッションを確立し、ソフトウェア バージョンを確認します。


 

次の例は、新しいソフトウェア バージョン ファイルを Detector にコピーして、ソフトウェア バージョンをアップグレードする方法を示しています。

user@DETECTOR# copy ftp new-version 10.0.0.191 /home/Versions/R3.i386.rpm user <password>
FTP in progress...
user@DETECTOR# install new-version
.
.
.
Press Enter to close this CLI session.

新しいフラッシュ バージョンの焼き付け

現在の Common Firmware Environment(CFE)とソフトウェア リリースが適合していない場合にだけ、新しいフラッシュ バージョンを焼き付けることができます。不適合は、Detector ソフトウェアをアップデートするときに発生する場合があります。


) CFE と Detector のソフトウェア バージョンが適合している場合に新しいフラッシュを焼き付けようとすると、操作が失敗します。


CFE の不適合が検出された場合、 install new-version コマンド(X は古いフラッシュ バージョンを示し、Y は新しいフラッシュ バージョンを示す)を入力すると、Detector から次のメッセージが表示されます。「Bad CFE version (X).This version requires version Y.」


注意 新しいフラッシュ バージョンを焼き付けている間は、Detector に安定して電源が供給されるようにし、かつ Detector を動作させないようにする必要があります。上記の制限に対応できない場合、アップグレードは正常に終了せず、Detector にアクセスできなくなる可能性があります。

新しいフラッシュ バージョンを焼き付けるには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力します。

flash-burn
 

ステップ 2 Detector をリロードするには、次のコマンドを入力します。

reload
 

新しいフラッシュ バージョンを焼き付けた後、 reload コマンドを入力する必要があります。Detector は、 reload コマンドを実行した後でないと完全に機能しません。


 

次の例は、新しいフラッシュ バージョンを焼き付ける方法を示しています。

user@DETECTOR-conf# flash-burn
Please note: DON'T PRESS ANY KEY WHILE IN THE PROCESS!
. . .
Burned firmware successfully
SYSTEM IS NOT FULLY OPERATIONAL. Type 'reload' to restart the system

忘失パスワードの復旧

Detector は、ルート パスワードを使用してルート アクセスを制御します。ルート パスワードは暗号化されているため、新しいパスワードで置き換えることしかできません。

ルート パスワードを復旧するには、次の手順を実行します。


ステップ 1 Detector にキーボードとモニタを接続します。

ステップ 2 ログインして、 reboot コマンドを入力します。

ステップ 3 Detector の起動中、 Shift キーを押して、そのまま押し続けます。

Detector が次のプロンプトを表示します。

Lilo:
 

ステップ 4 次のコマンドを入力し、1 つのユーザ イメージをロードします。

Cisco 1
 

) 3.0.8 より前のバージョンを実行している場合は、Riverhead 1 と入力してください。実行しているバージョンがわからない場合は、Tab キーを押して、イメージのリストを表示してください。


ステップ 5 パスワード プロンプトで Enter キーを押して、ヌル パスワードを入力します。

Detector がルート プロンプトに入ります。

ステップ 6 ルートのパスワードを変更するには、 passwd コマンドを使用します。New password プロンプトで、新しいパスワードを入力します。「Retype new password」プロンプトで新しいパスワードを再度入力し、選択を確認します。

次の例は、ルート パスワードを変更する方法を示しています。

[root@DETECTOR root]# passwd
Changing password for user root.
New password: <new password typed in here>
Retype new password: <new password typed in here>
passwd: all authentication tokens updated successfully.
 

ステップ 7 通常の動作モードで reboot コマンドを使用して、Detector を再起動します。


 

工場出荷時のデフォルト設定へのリセット

Detector を工場出荷時のデフォルト設定にリセットし、新しい Detector として設定できます。工場出荷時のデフォルト設定へのリセットは、設定が複雑になった場合や、Detector をあるネットワークから別のネットワークに移動させる場合に、Detector に前から存在する不要な設定を削除するときに役立ちます。

工場出荷時のデフォルト設定にリセットする前に、 copy running-config コマンドを使用して、Detector の設定をバックアップする必要があります。「設定のエクスポート」を参照してください。

インバンド インターフェイス設定(eth0)は、Detector をリロードするまで使用できます。


注意 Detector の設定を工場出荷時のデフォルト設定にリセットして、コンソールに接続していないときに Detector をリロードした場合、Detector への接続は失われます。

Detector を工場出荷時のデフォルト設定にリセットするには、設定モードで次のコマンドを使用します。

clear config all

設定した変更内容は、リセットをした後に有効になります。

次の例は、Detector を工場出荷時のデフォルト設定にリセットする方法を示しています。

user@DETECTOR-conf# clear config all