Cisco Intrusion Detection System Device Manager および Event Viewer インストレーション ユーザ ガイド
IDS Device Manager 管理タスク
IDS Device Manager 管理タスク
発行日;2012/02/07 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

IDS Device Manager 管理タスク

診断情報の表示

システム情報の表示

サービス パックとシグニチャ アップデートの適用

IP ロギングの設定

ホストの手動ブロック

ネットワークの手動ブロック

センサーのリセットおよび電源切断

診断情報の表示

トラブルシューティング用に、センサーの診断情報を取得できます。


) 診断の実行には数分間かかります。


診断を実行するには、次の手順を実行します。


ステップ 1 [Administration] > [Support] > [Diagnostics] を選択します。

[Diagnostics] ページが表示されます。

ステップ 2 [Run Diagnostics] をクリックします。

次のメッセージと共に [Cancel Diagnostics Command] ページが表示されます。

Diagnostics are being generated. Please stand by.

[View Diagnostics Result] ページが表示されます。

ステップ 3 診断レポートを見るには、[View Results] をクリックします。

別のウィンドウで IDS 4.1 System Status Report が HTML 形式で表示されます。


) 次回 Diagnostics ページを開いた時には、[View Last Report] という異なるボタンが表示されるようになります。直近のレポートを見るには、[View Last Report] をクリックします。新しく実行すると、このレポートは削除されます。


ステップ 4 このレポートをファイルとして保存するには、ブラウザでこのレポートを表示し、[File] > [Save As] を選択します。


 

システム情報の表示

[System Information] ページには、次のような情報が表示されます。

TAC 接続情報

ソフトウェア バージョン

アプリケーションの状態

インターフェイス情報

リソース使用状況

システム情報を表示するには、次の手順を実行します。


ステップ 1 [Administration] > [Support] > [System Information] を選択します。

[System Information] ページが表示されます。

ステップ 2 Cisco Technical Support のウェブサイトにアクセスするには、次のリンクをクリックします。

http://www.cisco.com/en/US/support/index.html


 

サービス パックとシグニチャ アップデートの適用

[Update] ページでは、サービス パックとシグニチャのアップデートが直ちに適用されます。


センサーは、サービス パックとシグニチャのアップデートを Cisco.com からダウンロードできません。サービス パックとシグニチャのアップデートはご自分で Cisco.com から FTP サーバにダウンロードします。それらを FTP サーバからセンサーにダウンロードするよう設定します。


サポートされているサーバのリストについては、「サポートされる FTP サーバ」を参照してください。

サービス パックとシグニチャのアップデートをすぐに適用するには、次の手順を実行します。


ステップ 1 [Administration] > [Update] を選択します。

[Update] ページが表示されます。

ステップ 2 [URL] フィールドには、アップデートのある URL を入力します。

サポートされる URL タイプは、次のとおりです。

ftp::ファイル転送プロトコル ネットワーク サーバのソース URL です。

このプレフィクスの構文は、次のとおりです。

ftp:// username@location / relativeDirectory / filename

または

ftp:// username@location // absoluteDirectory / filename .

https::ウェブ サーバのソース URL です。

このプレフィクスの構文は、 https:// ユーザ名@ロケーション / ディレクトリ / ファイル名 です。


) HTTPS プロトコルを使用する前に、tls trusted-host コマンドを使用して TLS 信頼ホストを設定します。詳細な情報については、『Cisco Intrusion Detection System Command Reference Version 4.1』を参照してください。


scp::Secure Copy Protocol ネットワーク サーバのソース URL です。

このプレフィクスの構文は、次のとおりです。

scp:// username@]location / relativeDirectory / filename

または

scp:// username@location / absoluteDirectory / filename .

http::ウェブ サーバのソース URL です。

このプレフィクスの構文は、次のとおりです。

http:// username@location / directory / filename .

次の例は、FTP プロトコルを示しています。

ftp://user@ip_address/UPDATES/file_name.rpm.pkg

) アップデートをあらかじめ Cisco.com からダウンロードし、FTP サーバに保存しておく必要があります。Cisco.com からアップデートを入手する手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。


ステップ 3 [Password] フィールドには、特定の転送プロトコルのパスワードを入力します。


) 使用できる転送プロトコルは、FTP、HTTPS、SCP、HTTP です。



) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 4 アップデートを適用するには、[Apply to Sensor] をクリックします。


) このアップデートが適用されている間は、センサー アプリケーションが停止します。サービス パックを適用した場合には、インストーラがセンサーを自動的に再起動します。



) 定期的にアップデートを行うようにスケジュールする方法については、「自動アップデートの設定」を参照してください



 

IP ロギングの設定

IP アドレスで指定したホストに関連するすべての IP トラフィックを取り込むように、センサーを設定できます。

特定の IP アドレス に対するログ ファイルを生成するには、次の手順を実行します。


ステップ 1 [Administration] > [IP Logging] を選択します。

その IP の [Logging Configuration] ページが表示されます。

ステップ 2 ログを生成する IP トラフィックのホストを追加するには、[Add] をクリックします。

[Adding] ページが表示されます。

ステップ 3 IP アドレス フィールドに、ログを生成する IP トラフィックのホストの IP アドレスを入力します。

ステップ 4 [Duration] フィールドに、センサーが IP トラフィックをログする期間を分単位で入力します(オプション)。

ステップ 5 [Number of Packets] フィールドに、センサーがカウントするパケット数を入力します(オプション)。

ステップ 6 [Number of Bytes] フィールドに、ログを生成するバイト数を入力します(オプション)。


) 期間、パケット数、バイト数のいずれかが限度に達した時点で、ログが閉じます。



) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 7 [Apply to Sensor] をクリックして、変更内容を保存します。

ここで、[Ip Logging Configuration] ページに新しい [Log ID] が表示されます。


) センサーがロギングを開始し、ログ ファイルが生成されます。このファイルは、[Monitoring] > [IP Logs] を選択して表示できます。詳細については、「IP ログのダウンロード」を参照してください。


ステップ 8 IP トラフィックのロギングを停止するには、ログ ID の隣にあるチェックボックスを選択し、[Stop] をクリックします。


) センサーが IP ロギングに割り当てられた領域を使い果たすと、IP ログは上書きされます。



 

ホストの手動ブロック

ブロッキングを設定してある場合は(「ブロッキングの設定」を参照)、ホストを手動でブロックできます。[Host Manual Blocks] ページから、ブロックするホストとその期間を設定できます。また、ブロックされているホストの一覧を表示できます。

ホストの手動ブロックを設定するには、次の手順を実行します。


ステップ 1 [Administration] > [Manual Blocking] > [Host Manual Blocks] を選択します。

[Host Manual Blocks] ページが表示されます。

ステップ 2 [Add] をクリックして、ブロックするホストを追加します。

[Adding] ページが表示されます。

ステップ 3 [Source Address] フィールドに、ブロックするホストの IP アドレスを入力します。

ステップ 4 [Source Port] フィールドに、ブロックするホストのポートを入力します(オプション)。

ステップ 5 [Destination Address] フィールドに、宛先アドレスを入力します(オプション)。

ステップ 6 [Protocol] リスト ボックスから、オプションを 1 つ選択します(オプション)。

なし

tcp

udp

ステップ 7 指定の発信元 IP アドレス、宛先 IP アドレス、宛先ポート、またはプロトコルをもつ接続だけをブロックするには、[Connection Shun] チェックボックスをオンにします(オプション)。


) [Connection Shun] チェックボックスを選択した場合、攻撃側ホストは、他のホストや保護されているホストの他のサービスに接続できるようになります。宛先ポートとプロトコルが指定されていない場合、攻撃側ホストは保護されているホストにはパケットを送れませんが、ネットワーク上のその他のホストにはアクセスできます。


ステップ 8 [Timeout] フィールドに、ブロックする時間間隔を分単位で入力します。


) 永続的にブロックする場合には、-1 を入力します。



) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 9 [Apply to Sensor] をクリックして、変更内容を保存します。

[Host Manual Blocks] ページには、ブロック中のホストと残り時間が表示されます。

ステップ 10 特定のブロックに対する経過時間を知りたい場合には、確認したいホストの隣にあるチェックボックスを選択し、[Refresh] をクリックします。ページが更新され、残りのブロック時間が表示されます。

ステップ 11 ブロックを削除するには、ブロックを停止したいホストの隣にあるチェックボックスを選択し、[Delete] をクリックします。

これで、そのホストは、ブロックされているホストの一覧に表示されなくなります。


 

ネットワークの手動ブロック

ブロッキングを設定してある場合は(「ブロッキングの設定」を参照)、ネットワークを手動でブロックできます。[Network Manual Blocks] ページから、ブロックするネットワークとその期間を設定できます。また、ブロックされているネットワークの一覧を表示できます。

ネットワークの手動ブロックを設定するには、次の手順を実行します。


ステップ 1 [Administration] > [Manual Blocking] > [Network Manual Blocks] を選択します。

[Network Manual Blocks] ページが表示されます。

ステップ 2 [Add] をクリックして、ブロックするネットワークを追加します

[Adding] ページが表示されます。

ステップ 3 [IP Address] フィールドに、ブロックするネットワークの IP アドレスを入力します。

ステップ 4 [Netmask] フィールドに、ブロックするネットワークのネットマスクを入力します。

ステップ 5 [Timeout] フィールドに、ブロックする時間間隔を分単位で入力します。


) 永続的にブロックする場合には、-1 を入力します。



) フォームをリセットする場合は、[Reset] をクリックします。


ステップ 6 [Apply to Sensor] をクリックして、変更内容を保存します。

[Network Manual Blocks] ページには、ブロック中のネットワークと残り時間が表示されます。

ステップ 7 特定のブロックに対する経過時間を知りたい場合には、確認したいネットワークの隣にあるチェックボックスを選択し、[Refresh] をクリックします。ページが更新され、残りのブロック時間が表示されます。

ステップ 8 ブロックを削除するには、ブロックを停止したいネットワークの隣にあるチェックボックスを選択し、[Delete] をクリックします。

これで、そのネットワークは、ブロックされているネットワークの一覧に表示されなくなります。


 

センサーのリセットおよび電源切断

[System Control] ページから、センサーをリセットあるいは安全に電源を切断できる状態にできます。リセットは、センサーを安全にシャットダウンしてから、センサーを再起動します。電源切断は、センサーをシャットダウンし、装置を切断できる安全な状態にします。

センサーをリセットあるいは電源切断するには、次の手順を実行します。


ステップ 1 [Administration] > [System Control] を選択します。

[System Control] ページが表示されます。

ステップ 2 リスト ボックスから、次のオプションのいずれかを選択します。

[Reset]:IDS アプリケーションとセンサーをシャットダウンし、その後再起動します。リブート後に、ログインする必要があります。


) CLI にログインしているユーザに対して、IDS アプリケーションとセンサーがシャットダウンするという通知が表示されてから、30 秒後にシャットダウンされます。


[Power Down]:IDS アプリケーションをシャットダウンしてから、センサーを安全に電源を切断できる状態にします。


) CLI にログインしているユーザに対して、IDS アプリケーションとセンサーがシャットダウンするという通知が表示されてから、30 秒後にシャットダウンされます。