コマンドライン インターフェイスによる Cisco Intrusion Prevention System Sensor 5.1 の設定
センサーへのログイン
センサーへのログイン
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

センサーへのログイン

概要

サポートされるユーザ ロール

アプライアンスへのログイン

ターミナル サーバのセットアップ

IDSM-2 へのログイン

NM-CIDS へのログイン

AIP SSM へのログイン

センサーへのログイン

センサーへのログイン

この章では、センサーにログインする方法について説明します。この章は、次の項で構成されています。

「概要」

「サポートされるユーザ ロール」

「アプライアンスへのログイン」

「ターミナル サーバのセットアップ」

「IDSM-2 へのログイン」

「NM-CIDS へのログイン」

「AIP SSM へのログイン」

「センサーへのログイン」

概要

同時 CLI セッション数には、プラットフォームごとに制限があります。IDS-4210、IDS-4215、および NM-CIDS では、同時 CLI セッションは 3 つまでに制限されています。その他のプラットフォームは 10 の同時セッションを許容します。

サポートされるユーザ ロール

ユーザは、次の特権でログインできます。

管理者

オペレータ

ビューア

サービス

サービス ロールは、CLI への直接アクセス権を持ちません。サービス アカウント ユーザは、バッシュ シェルに直接ログインします。このアカウントは、サポートとトラブルシューティングにのみ使用します。不正な変更はサポートされません。不正に変更が行われた場合、適切な操作を保証するためセンサーのイメージを再作成する必要があります。サービス ロールを持つユーザは 1 人しか作成できません。

サービス アカウントにログインすると、次の警告が表示されます。

******************************** WARNING *****************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be re-imaged to guarantee proper operation.
**********************************************************************************

サービス ロールは、必要に応じて CLI をバイパスできる特殊なロールです。サービス アカウントを編集できるのは、管理者特権を持つユーザだけです。


アプライアンスへのログイン

アプライアンスには、コンソール ポートからログインするか、モニタとキーボードをセンサーに接続してログインすることができます。


) コンソールからセンサーを初期化(setup コマンドを実行)する必要があります。ネットワークが設定された後、SSH および Telnet が使用可能になります。手順については、「センサーへのログイン」を参照してください。


アプライアンスにログインするには、次の手順を実行します。


ステップ 1 アプライアンスにログインします。

コンソール ポートをセンサーに接続します。

手順については、 「ターミナル サーバのセットアップ」 を参照してください。

センサーにモニタとキーボードを接続します。

ステップ 2 ログイン プロンプトでユーザ名とパスワードを入力します。


デフォルトのユーザ名とパスワードは、どちらも cisco です。最初にアプライアンスにログインすると、これらを変更するように求められます。まず UNIX パスワードとして、cisco を入力します。次に、新規パスワードを 2 度入力する必要があります。


login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
ips-4240#
 


 

ターミナル サーバのセットアップ

ターミナル サーバは複数の低速非同期ポートを持つルータです。この複数のポートは、他のシリアル デバイスに接続されています。ターミナル サーバを使用して、アプライアンスを含むネットワーク機器をリモートで管理することができます。

RJ-45 接続またはヒドラ ケーブル アセンブリ接続を使用して Cisco ターミナル サーバをセットアップするには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ターミナル サーバに接続します。

IDS-4215、IPS-4240、および IPS-4255 の場合は、次の操作を行います。

RJ-45 接続の場合、180/ロールオーバー ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

その他のアプライアンスの場合は、すべて M.A.S.H. アダプタ(部品番号 29-4077-01)をアプライアンスの COM1 に接続して、次の操作を行います。

RJ-45 接続の場合、180/ロールオーバー ケーブルを M.A.S.H. アダプタからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルを M.A.S.H. アダプタからターミナル サーバのポートに接続します。

ステップ 2 次のようにターミナル サーバ上にラインおよびポートを設定します。

a. イネーブル モードでは、次の設定を入力します。ここで、# は設定するポートの回線番号です。

config t
line #
login
transport input all
stopbits 1
flowcontrol hardware
speed 9600
exit
exit
wr mem
 

b. IDS-4215、IPS-4240、または IPS-4255 用にターミナル サーバを設定する場合は、ステップ 3 に進みます。

それ以外の場合は、サポートしている他のすべてのアプライアンスに対して、すべての出力をターミナル サーバに送ります。CLI にログインして、次のコマンドを入力します。

sensor# configure terminal
sensor(config)# display-serial
 

出力は、シリアル ポートに送られます。 no display-serial コマンドを使用して、出力をキーボードとモニタにリダイレクトします。


) ターミナル サーバをセットアップし、display-serial コマンドを使用して、アプライアンスからの出力すべてをシリアル ポートに送ることができます。このオプションを使用すると、ブート処理中でも、シリアル ポートに接続したコンソールにシステム メッセージを表示できます。このオプションを使用する場合、出力はすべてシリアル ポートに送られ、ローカルのキーボードおよびモニタ接続はディセーブルにされます。ただし、BIOS メッセージと POST メッセージは、ローカルのキーボードおよびモニタ上に表示されます。手順については、「シリアル接続への出力の転送」を参照してください。



) IDS-4215、IPS-4240、および IPS-4255 には、コンソール ポートが 1 つしかありません。したがって、display-serial および no display-serial コマンドは、これらのプラットフォームには適用されません。


ステップ 3 アプライアンスへの不正アクセスを防ぐため、ターミナル セッションが正常に閉じられていることを確認してください。

ターミナル セッションが正常に終了していない場合、つまり、セッションを開始したアプリケーションから exit(0) 信号を受信していない場合、ターミナル セッションは開いたままです。ターミナル セッションが正常に終了していない場合、そのシリアル ポート上で開かれる次のセッションでは、認証は実行されません。


注意 接続を確立するために使用したアプリケーションを終了する前に、常にセッションを終了してログイン プロンプトに戻ります。


注意 偶発的に接続が切れたり終了したりした場合は、接続を再確立し、正常に終了して、アプライアンスに対する不正なアクセスを防ぎます。


 

IDSM-2 へのログイン

スイッチから IDSM-2 にログインすることができます。


) スイッチからセンサーを初期化(setup コマンドを実行)する必要があります。ネットワークが設定された後、SSH および Telnet が使用可能になります。


IDSM-2 に対してセッションを開始するには、次の手順を実行します。


ステップ 1 次のように入力して、スイッチから IDSM-2 に対してセッションを開始します。

Catalyst ソフトウェアの場合

cat6k>(enable) session slot_number
 

Cisco IOS ソフトウェアの場合

switch# session slot_number processor 1
 

ステップ 2 ログイン プロンプトでユーザ名とパスワードを入力します。


) デフォルトのユーザ名とパスワードはどちらも cisco です。最初に IDSM-2 にログインすると、これらを変更するように求められます。まず UNIX パスワードとして、cisco を入力します。次に、新規パスワードを 2 度入力する必要があります。


login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
idsm-2#
 


 

NM-CIDS へのログイン

session コマンドを使用してルータ経由で NM-CIDS にアクセスするには、まず内部管理ポートに IP アドレスを割り当てる必要があります。これには、IDS インターフェイスに対して直接 IP アドレスを割り当てるか、番号を持たないループバック インターフェイスを割り当てます。NM-CIDS に対してセッションを開始する前に IP アドレスを設定しておかないと、エラー メッセージが表示されます。

IP アドレスの割り当て後は、ルータのコンソールから NM-CIDS にログインすることができます。


) ルータからセンサーを初期化(setup コマンドを実行)する必要があります。ネットワークが設定された後、SSH および Telnet が使用可能になります。


NM-CIDS に対してセッションを開始するには、次の手順を実行します。


ステップ 1 次の手順で管理ポートに IP アドレスを割り当てます。

a. IDS インターフェイスに直接 IP アドレスを割り当てます。

router(config)# interface IDS-Sensor1/0
router(config-if)# ip unnumbered Loopback0
router(config-if)# exit
 

b. 番号を持たないループバック インターフェイスを割り当てます。

router(config)# interface Loopback0
router(config-if)# ip address 1.2.3.4 255.255.255.255
router(config-if)# exit
 

ネットワーク内の他の場所で使用されていないものであれば、任意のアドレスを IP アドレスとして使用できます。

ステップ 2 ルータのコンソールから NM-CIDS に対してセッションを開始します。

service-module IDS-Sensor slot_number/0 session
 

ステップ 3 ログイン プロンプトでユーザ名とパスワードを入力します。


) デフォルトのユーザ名とパスワードはどちらも cisco です。最初に NM-CIDS にログインすると、これらを変更するように求められます。まず UNIX パスワードとして cisco を入力します。次に、新規パスワードを 2 度入力する必要があります。


login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
nm-cids#
 

ステップ 4 ルータに対してセッションを開始していた場合は、 Ctrl+Shift+6 キーを押してから x キーを押して、ルータのプロンプトに戻ります。


 

AIP SSM へのログイン

ASA から AIP SSM にログインすることができます。


) ASA からセンサーを初期化(setup コマンドを実行)する必要があります。ネットワークが設定された後、SSH および Telnet が使用可能になります。


ASA から AIP SSM にログインするには、次の手順を実行します。


ステップ 1 ASA にログインします。


) ASA がマルチモードで動作している場合は、change system コマンドを使用してシステム レベルのプロンプトに変更してから手順を続行してください。


ステップ 2 AIP SSM に対してセッションを開始します。

asa# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

60 秒以内にログインしないと、セッションがタイムアウトします。

ステップ 3 ログイン プロンプトでユーザ名とパスワードを入力します。


) デフォルトのユーザ名とパスワードはどちらも cisco です。最初に AIP SSM にログインすると、これらを変更するように求められます。まず UNIX パスワードとして cisco を入力します。次に、新規パスワードを 2 度入力する必要があります。


login: cisco
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
aip ssm#
 

ステップ 4 セッションから抜けて ASA プロンプトに戻るには、次のいずれかを実行します。

exit と入力します。

Ctrl+Shift+6 キーを押してから x キーを押します( CTRL^X と表現されます)。


 

センサーへのログイン

setup コマンドを使用してセンサーを初期化し、Telnet をイネーブルにしたら、SSH または Telnet を使用してセンサーにログインできます。


ステップ 1 SSH または Telnet を使用してネットワーク経由でセンサーにログインするには、次のコマンドを実行します。

ssh sensor_ip_address
telnet sensor_ip_address
 

ステップ 2 ログイン プロンプトでユーザ名とパスワードを入力します。

login: ******
Password: ******
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
sensor#