Cisco Traffic Anomaly Detector コンフィギュレーション ガイド (Software Release 5.0)
メンテナンス タスクの実行
メンテナンス タスクの実行
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

メンテナンス タスクの実行

設定のエクスポート

設定のインポートとアップデート

ディスク スペースの管理

ログとレポートの履歴の設定

のリロード

のリブート

の電源オフ

のバージョンのアップグレード

新しいフラッシュ バージョンの焼き付け

忘失パスワードの復旧

工場出荷時のデフォルトへの設定のリセット

メンテナンス タスクの実行

この章では、Cisco Traffic Anomaly Detector(Detector)の一般的なケアや保守用の作業を行う方法について説明します。この章には、次の項があります。

設定のエクスポート

設定のインポートとアップデート

ディスク スペースの管理

Detector のリロード

Detector のリブート

Detector の電源オフ

Detector のバージョンのアップグレード

忘失パスワードの復旧

設定のエクスポート

Detector の設定ファイルを FTP サーバまたは SFTP サーバにエクスポートできます。Detector またはゾーンの設定ファイル(running-config)をリモート サーバにエクスポートすると、次のことが可能になります。

Detector の設定パラメータを別の Detector に実装する。

Detector の設定をバックアップする。

Detector の設定ファイルをエクスポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy [zone zone-name] running-config ftp server full-file-name [ login [ password ]]

copy [zone zone-name] running-config sftp server full-file-name login

copy [zone zone-name] guard-running-config ftp server full-file-name [ login [ password ]]

copy [zone zone-name] guard-running-config sftp server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 10-1 で、 copy running-config ftp コマンドの引数について説明します。

 

表 10-1 copy running-config ftp コマンドの引数

パラメータ
説明
zone-name

(オプション)ゾーン名。ゾーンの設定ファイルをエクスポートします。 デフォルトでは、Detector の 設定 ファイルがエクスポートされます。

running-config

Detector の完全な設定または指定したゾーンの設定をエクスポートします。

guard-running-config

ゾーンの設定のうち、Guard にゾーンを設定するために必要な部分だけをエクスポートします。

ftp

設定を FTP サーバにエクスポートします。

sftp

設定を SFTP サーバにエクスポートします。

server

サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例を参考にしてください。

user@DETECTOR# copy running-config ftp 10.0.0.191 run-conf.txt <user> <password>

設定のインポートとアップデート

Detector またはゾーンの設定ファイルを FTP サーバからインポートし、新しく転送されたファイルに応じて Detector を再設定できます。次の目的で設定をインポートします。

Detector の既存の設定ファイルに基づいて Detector を設定する。

Detector の設定を復元する。

ゾーンの設定は、Detector の設定の一部です。 copy ftp running-config コマンドは、両方のタイプの設定ファイルを Detector にコピーし、それに応じて Detector を再設定するために使用します。


) 既存の設定が新しい設定で上書きされます。新しい設定を有効にするには、Detector をリロードする必要があります。


すべてのゾーンを非アクティブにしてからインポート プロセスを開始することをお勧めします。Detector は、ゾーン設定をインポートする前にゾーンを非アクティブにします。

Detector の設定ファイルをインポートするには、グローバル モードで次のいずれかのコマンドを入力します。

copy ftp running-config server full-file-name [ login [ password ]]

copy sftp running-config server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 10-2 で、 copy ftp running-config コマンドの引数について説明します。

 

表 10-2 copy ftp running-config コマンドの引数

パラメータ
説明
zone-name

(オプション)ゾーン名。ゾーンの設定ファイルをエクスポートします。 デフォルトでは、Detector の 設定 ファイルがエクスポートされます。

ftp

設定を FTP サーバからインポートします。

sftp

設定を SFTP サーバからインポートします。

server

サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリでファイルを検索します。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

次の例を参考にしてください。

user@DETECTOR# copy ftp running-config 10.0.0.191 scannet-conf <user> <password>
 

ディスク スペースの管理

Detector は、アクティビティ ログおよびゾーン攻撃レポートを保持します。ディスクの使用率が 75% を超えている場合、または Detector に多数のゾーン(500 を超える)が定義されている場合は、ファイル履歴パラメータの値を小さくすることをお勧めします。使用されているディスク スペースがディスクの最大キャパシティの約 80% に達すると、Detector は syslog に警告メッセージを入力します。このような場合は、次のいずれかを行うことができます。

1. Detector またはゾーンのログを FTP サーバにエクスポートする:「ログ ファイルのエクスポート」を参照

Detector のレポート リストを FTP サーバにエクスポートする:「攻撃レポートのエクスポート」を参照

ゾーン攻撃レポートを FTP サーバにエクスポートする:「攻撃レポートのエクスポート」を参照

2. ログ ファイルをクリアする:「ログ ファイルのクリア」を参照

3. ログ ファイルおよび攻撃レポートの履歴サイズを小さくする:「ログとレポートの履歴の設定」を参照

Detector のレコードを FTP サーバに定期的に格納してから、ログをクリアすることをお勧めします。


) ディスク使用率がディスクの最大キャパシティの 80% に達すると、Detector は情報を消去して、ディスク使用率を約 75% に減らします。


ディスク使用率を表示するには、次のコマンドを入力します。

show disk-usage

次の例を参考にしてください。

user@DETECTOR# show disk-usage
2%

ログとレポートの履歴の設定

Detector が Detector とゾーンの両方のログおよび攻撃レポートを記録しておく期間を設定できます。

レポートおよびログの履歴を設定するには、次のコマンドを入力します。

history { logs | reports } days [ enforce-now ]

表 10-3 で、 history コマンドの引数とキーワードについて説明します。

 

表 10-3 history コマンドの引数とキーワード

パラメータ
説明
logs

Detector およびゾーンのログの履歴パラメータを設定します。

reports

ゾーン攻撃レポートの履歴パラメータを設定します。

days

履歴期間。ログの履歴期間は 1 ~ 7 日です。レポートの履歴期間は 1 ~ 60 日です。

デフォルトの履歴期間は、ログの場合 7 日、レポートの場合 30 日です。

enforce-now

(オプション)記録されたログおよびレポートの履歴キャパシティを、現在のコマンド パラメータにすぐに適合させます(必要に応じてログおよびレポートを消去します)。

履歴を短い期間に設定した場合は、ログ ファイルおよびレポート ファイルのサイズを小さくして、新しく設定したサイズに合せます。次のいずれかを行うことができます。

enforce-now オプションを使用する。

または

後で、新しく設定したサイズに合うように、格納されているログおよびレポートを消去するため、 disk-clean コマンドを使用する。

Detector のリロード

reload コマンドを使用すると、マシンをリブートすることなく Detector の設定をリロードできます。

次の変更内容を反映するには、Detector をリロードする必要があります。

Detector と Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバの同期

shutdown コマンドを使用した、物理インターフェイスの非アクティブ化またはアクティブ化

no shutdown コマンドを使用した、giga0 インターフェイスのイネーブル化

新しいフラッシュの組み込み

Detector のリブート

Detector をリブートするには、次のコマンドを入力します。

reboot

Detector のデフォルトの動作では、リブート プロセスの前にアクティブになっていたゾーンがもう一度アクティブになります。

デフォルトの動作を変更して、Detector がすべてのゾーンを非アクティブ動作状態でロードするようにするには、設定モードで次のコマンドを入力します。

no boot reactivate-zones


注意 ゾーンのラーニング フェーズは、リブート後に再起動されます。

Detector の電源オフ

完全なシャットダウンにより、Detector は重要な情報を保存することができます。

Detector の電源をオフにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力します。

poweroff
 

ステップ 2 コマンド プロンプトで yes と入力し、プロセスを確認します。

ステップ 3 Detector の ON/OFF ボタンを押して、Detector の電源を切ります。緑色の電源 LED が消えます。


注意 poweroff コマンドを発行せずに OFF ボタンを押すと、重大なデータの損失につながる恐れがあります。


 

Detector のバージョンのアップグレード

管理者は、Detector のソフトウェア バージョンをアップグレードできます。
Detector のソフトウェア バージョンをアップグレードするには、次の手順を実行します。


ステップ 1 アップグレード プロセスを開始する前に、 copy running-config コマンドを使用して、Detector の設定をバックアップします。詳細については、「設定のエクスポート」を参照してください。

ステップ 2 Detector ソフトウェアのアップデートされたバージョンを FTP サーバまたは
SFTP サーバからダウンロードします。グローバル モードで、次のいずれかのコマンドを入力します。

copy ftp new-version server full-file-name [ login [ password ]]

copy sftp new-version server full-file-name login


copy reports コマンドを入力する前に、Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。


表 10-4 で、 copy ftp new-version コマンドの引数について説明します。

 

表 10-4 copy ftp new-version コマンドの引数

パラメータ
説明

ftp

FTP サーバからバージョン ファイルをダウンロードします。

sftp

SFTP サーバからバージョン ファイルをダウンロードします。

server

サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリからファイルをコピーします。

login

サーバのログイン名。

login 引数は、FTP サーバを定義するときは省略可能です。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、入力するよう Detector から要求されます。

ステップ 3 ダウンロードしたバージョンをインストールします。次のコマンドを入力します。

install new-version
 

install new-version コマンドを発行すると、ラーニング プロセスと検出プロセスが非アクティブになります。


注意 バージョンをアップグレードしている間は、Detector に安定して電源が供給されるようにし、かつ Detector を動作させないようにする必要があります。アップグレード プロセスが完了すると、Detector は次のメッセージを表示します。
Press Enter to close this CLI session.

この制約事項を守らなかった場合、アップグレードが失敗し、Detector にアクセスできなくなることがあります。

ステップ 4 Detector との新たなセッションを確立し、ソフトウェア バージョンを確認します。show version コマンドを使用します。


 

次の例を参考にしてください。

user@DETECTOR# copy ftp new-version 10.0.0.191 /home/Versions/R3.i386.rpm user <password>
FTP in progress...
user@DETECTOR# install new-version
.
.
.
Press Enter to close this CLI session.
 

新しいフラッシュ バージョンの焼き付け

現在の Common Firmware Environment(CFE)とソフトウェア バージョンが適合していない場合にだけ、新しいフラッシュ バージョンを焼き付けることができます。不適合は、Guard ソフトウェアをアップデートするときに発生する場合があります。

CFE の不適合が検出された場合、 install new-version コマンドを発行すると、Detector は次のメッセージを表示します(X は以前のフラッシュ バージョンを示し、Y は新しいフラッシュ バージョンを示します)。

Bad CFE version (X). This version requires version Y

注意 新しいフラッシュ バージョンを焼き付けている間は、Detector に安定して電源が供給されるようにし、かつ Detector を動作させないようにする必要があります。この制約事項を守らなかった場合、アップグレードが失敗し、Detector にアクセスできなくなることがあります。

新しいフラッシュ バージョンを焼き付けるには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力します。

flash-burn
 

CFE と Detector のソフトウェア バージョンが適合している場合に新しいフラッシュを焼き付けようとすると、操作が失敗します。

ステップ 2 Detector をリロードします。次のコマンドを入力します。

reload
 

新しいフラッシュ バージョンを焼き付けた後、reload コマンドを発行する必要があります。Guard は、reload コマンドを実行した後でないと完全に機能しません。


 

次の例を参考にしてください。

user@DETECTOR-conf# flash-burn
Please note: DON'T PRESS ANY KEY WHILE IN THE PROCESS!
. . .
Burned firmware successfully
SYSTEM IS NOT FULLY OPERATIONAL. Type 'reload' to restart the system
 

 

忘失パスワードの復旧

この項では、ルート ユーザのパスワードを復旧する方法について説明します。Detector は、このパスワードを使用してルート アクセスを制御します。ルート パスワードは暗号化されているため、新しいパスワードで置き換えることしかできません。

この手順を実行するには、Detector コンソールに接続する必要があります。

ルート パスワードを復旧するには、次の手順を実行します。


ステップ 1 Detector にキーボードとモニタを接続します。

ステップ 2 ログインし、reboot と入力します。

ステップ 3 Detector の起動中、Shift キーを押して、そのまま押し続けます。Detector が次のプロンプトを表示します。

Lilo:
 

ステップ 4 次のように入力し、1 つのユーザ イメージをロードします。

Cisco 1
 

) 3.0.8 より前のバージョンを実行している場合は、Riverhead 1 と入力してください。実行しているバージョンが分からない場合は、Tab キーを押して、イメージのリストを表示してください。


ステップ 5 パスワード プロンプトで Enter キーを押して、ヌル パスワードを入力します。

Detector がルート プロンプトに入ります。

ステップ 6 ルートのパスワードを変更するには、 passwd コマンドを使用します。 New
password
プロンプトで、新しいパスワードを入力します。 Retype new password プロンプトで新しいパスワードを再度入力し、選択を確認します。

次の例を参考にしてください。

[root@DETECTOR root]# passwd
Changing password for user root.
New password: <new password typed in here>
Retype new password: <new password typed in here>
passwd: all authentication tokens updated successfully.
 

ステップ 7 reboot コマンドを使用し、Detector を再起動して通常の動作モードに入ります。


 

工場出荷時のデフォルトへの設定のリセット

場合によっては、Detector の設定を工場出荷時のデフォルト設定に復元する必要があります。デフォルト設定への復元は、Detector に存在する不要な設定を削除する場合に役立ちます。たとえば、Detector が設定されていて、その設定が非常に複雑になった場合や、Detector を別のネットワークに移動する場合です。Detector を工場出荷時のデフォルトにリセットし、それを新しい Detector として設定できます。

工場出荷時のデフォルト設定にリセットする前に、 copy running-config コマンドを使用して、Detector の設定をバックアップすることをお勧めします。「設定のエクスポート」を参照してください。

インバンド インターフェイス設定(eth0)は、Detector をリロードするまで使用できます。

Detector を工場出荷時のデフォルト設定にリセットするには、設定モードで次のコマンドを入力します。

clear config all

設定した変更内容は、リセットをした後に有効になります。


注意 Detector の設定を工場出荷時のデフォルトにリセットした後、コンソールから接続していない状態で Detector をリロードすると、Detector への接続が失われます。

次の例を参考にしてください。

user@DETECTOR-conf# clear config all