Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
AIM IPS の設定
AIM IPS の設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

AIM IPS の設定

AIM IPS の設定手順

インストールの検証とシリアル番号の確認

ハードウェア インターフェイス

AIMIPS およびルータでのインターフェイスの設定

AIMIPS インターフェイスの設定

NAT の利点

ARC および NAT

アンナンバード IP アドレス インターフェイスの使用

ルーティング可能な IP アドレス インターフェイスの使用

デフォルト IP アドレスと NAT の使用

ユーザ設定の IP アドレスと NAT の使用

ルータ インターフェイスでのモニタリングの設定

セッションの確立

セッションの開閉

AIMIPS のステータスの表示

ハートビート リセットのイネーブル化とディセーブル化

AIMIPS のリブート、リセット、およびシャットダウン

AIMIPS ステータス モニタリング

AIMIPS のリブート、リセット、およびシャットダウン

新しいコマンドと変更されたコマンド

interface ids-sensor

interface interface_name

service-module ids-sensor

service-module ids-bootmode

AIM IPS の設定


) すべての IPS プラットフォームで、許可される同時 CLI セッション数は 10 です。


この章では、AIM IPS を設定し、IPS トラフィックの受信を準備する方法について説明します。その後で、侵入検知を設定できます。この章は、次の内容で構成されています。

「AIM IPS の設定手順」

「インストールの検証とシリアル番号の確認」

「ハードウェア インターフェイス」

「AIM IPS およびルータでのインターフェイスの設定」

「セッションの確立」

「セッションの開閉」

「AIM IPS のステータスの表示」

「ハートビート リセットのイネーブル化とディセーブル化」

「AIM IPS のリブート、リセット、およびシャットダウン」

「新しいコマンドと変更されたコマンド」

AIM IPS の設定手順

AIM IPS を設定するには、次のタスクを実行します。

1. インターフェイスを設定します。

2. AIM IPS にログインします。

3. AIM IPS を初期化します。

setup コマンドを実行して AIM IPS を初期化します。

4. サービス アカウントを作成します。


注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用して新しいパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

5. ユーザの追加、信頼されるホストの追加など、その他の初期タスクを実行します。

6. 侵入防御を設定します。

7. グローバル相関を設定します。

8. AIM IPS をスムーズに実行し続けるための管理タスクを実行します。

9. 新しいシグニチャ アップデートおよびサービス パックで IPS ソフトウェアをアップグレードします。

10. 必要な場合はブート ヘルパーとブートローダのイメージを再作成します。

詳細情報

インターフェイスを設定する手順については、「AIM IPS およびルータでのインターフェイスの設定」を参照してください。

AIM IPS にログインする手順については、「セッションの確立」を参照してください。

AIM IPS で setup コマンドを実行する手順については、「AIM IPS の高度な設定」を参照してください。

サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。

センサーを設定する手順については、 「センサーのセットアップ」 を参照してください。

グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。

侵入防御を設定する手順については、「異常検出の設定」「イベント アクション規則の設定」「シグニチャの定義」、および 「Attack Response Controller でのブロッキングとレート制限の設定」 を参照してください。

グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。

センサーをスムーズに実行し続ける手順については、 「センサーの管理タスク」 を参照してください。

Cisco IPS ソフトウェアの入手の詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

AIM IPS のイメージを再作成する手順については、「AIM IPS システム イメージのインストール」を参照してください。

インストールの検証とシリアル番号の確認

AIM IPS のインストールを検証するには、特権 EXEC モードで show inventory コマンドを使用します。


) このコマンドを使用して、TAC とのトラブルシューティングで使用される AIM IPS のシリアル番号を調べることもできます。シリアル番号は、SN: FOC11372M9X のように PID 行に表示されます。


AIM IPS のインストールを検証するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 AIM IPS がルータ インベントリに含まれていることを確認します。

router# show inventory
NAME: "3825 chassis", DESCR: "3825 chassis"
PID: CISCO3825 , VID: V01 , SN: FTX1009C3KT
 
NAME: "Cisco Intrusion Prevention System AIM in AIM slot: 1", DESCR: "Cisco Intrusion Prevention"
PID: AIM IPS-K9 , VID: V01 , SN: FOC11372M9X
 
router#


 

ハードウェア インターフェイス

図 18-1 に、内部通信に使用されるルータ インターフェイスと AIM IPS インターフェイスを示します。ルータ インターフェイスは Cisco IOS CLI で設定し、AIM IPS インターフェイスは IPS CLI、IDM、IME、または CSM で設定できます。

図 18-1 AIM IPS インターフェイスとルータ インターフェイス

 

1

AIM IPSへのルータ インターフェイス(IDS-Sensor 0/1)
Cisco OS CLI を使用して、AIM IPS に接続するルータ インターフェイスの IP アドレスを設定します。このルータ IP アドレスは、AIM IPS で Cisco IPS を設定する場合にデフォルトのルータ IP アドレスとして使用されます。

2

ルータへの AIM IPS インターフェイス(GigabitEthernet0/1)
IPS CLI、IDM、IME、または CSM を使用して、コマンド/コントロール インターフェイスを設定します。

3

外部リンクへのルータ インターフェイス。


) AIM IPS を設定するには、2 つの IP アドレスが必要です。AIM IPS には、Cisco IPS CLI から設定するコマンド/コントロール IP アドレスがあります。また、AIM IPS への内部インターフェイス(IDS-Sensor 0/x)用の IP アドレスをルータに割り当てます。この IP アドレスはルータ自体に属しており、AIM IPS のコマンド/コントロール インターフェイスへのルーティング トラフィックに使用されます。これは AIM IPS コマンド/コントロール インターフェイスを設定する場合にデフォルトのルータ IP アドレスとして使用されます。


AIM IPS およびルータでのインターフェイスの設定

ここでは、AIM IPS とルータでインターフェイスを設定する方法について説明します。内容は次のとおりです。

「AIM IPS インターフェイスの設定」

「NAT の利点」

「ARC および NAT」

「アンナンバード IP アドレス インターフェイスの使用」

「ルーティング可能な IP アドレス インターフェイスの使用」

「デフォルト IP アドレスと NAT の使用」

「ユーザ設定の IP アドレスと NAT の使用」

「ルータ インターフェイスでのモニタリングの設定」

AIM IPS インターフェイスの設定

AIM IPS とルータでインターフェイスを設定するには、次の手順に従います。

1. 次のいずれかの方法を使用して、ルータで IPS コマンド/コントロール インターフェイスを設定し、AIM IPS の IP アドレス、マスク、ゲートウェイを設定します。

IDS-Sensor インターフェイスのアンナンバード IP アドレス


) IDS-Sensor インターフェイスのアンナンバード IP アドレスは、モジュールおよびルータのインターフェイスを設定するための推奨方法です。


ルーティング可能な IP アドレス

NAT によるデフォルトのモジュール IP アドレス

NAT によるユーザ設定の IP アドレス

2. モニタリング インターフェイスをイネーブルにし、無差別またはインラインのいずれであるかを指定し、インターフェイスに ACL を割り当て、モジュールに障害が発生した場合にルータでトラフィックを処理する方法を指定し、モニタリング ACL(任意)を作成します。

3. 設定を保存します。

詳細情報

IDS-Sensor インターフェイスでアンナンバード IP アドレスを設定する手順については、「アンナンバード IP アドレス インターフェイスの使用」を参照してください。

ルーティング可能な IP アドレスを設定する手順については、「ルーティング可能な IP アドレス インターフェイスの使用」を参照してください。

NAT によるデフォルト モジュール IP アドレスを設定する手順については、「デフォルト IP アドレスと NAT の使用」を参照してください。

NAT による IP アドレスを設定する手順については、「ユーザ設定の IP アドレスと NAT の使用」を参照してください。F

モニタリング インターフェイスをイネーブルにする手順については、「ルータ インターフェイスでのモニタリングの設定」を参照してください。

NAT の利点

NAT には次の利点があります。

内部ネットワークでプライベート IP アドレスを使用できます。プライベート IP アドレスは、インターネット上でルーティングできません。

NAT はローカル IP アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際の IP アドレスを取得できません。

NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。

詳細情報

ARC と NAT を連携させる方法については、「ARC および NAT」を参照してください。

NAT を使用するように AIM を設定する手順については、「デフォルト IP アドレスと NAT の使用」を参照してください。

ARC および NAT

NAT を使用して、AIM IPS への管理アクセスを確立する場合、AIM IPS の ARC は、AIM IPS の外部 IP アドレスを認識しません AIM IPS への管理アクセスが、AIM IPS が管理しているデバイスによって中断されないようにするには、ブロッキング デバイスを追加するたびに、AIM IPS の NAT アドレスを宣言する必要があります。

詳細情報

ARC の詳細については、「Attack Response Controller でのブロッキングとレート制限の設定」を参照してください。

ブロッキング デバイスを追加するたびに AIM IPS NAT アドレスを設定する手順については、次の手順を参照してください。

「センサーで Cisco ルータを管理する設定」

「Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定」

「センサーで Cisco ファイアウォールを管理する設定」

アンナンバード IP アドレス インターフェイスの使用


) IDS-Sensor インターフェイスのアンナンバード IP アドレスは、AIM IPS およびルータのインターフェイスを設定するための推奨方法です。


アンナンバード IP アドレス インターフェイスを使用してインターフェイスを設定するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/1
router#
 

ステップ 4 IDS-Sensor インターフェイスで ip unnumbered コマンドを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、外部接続を確立するルータ インターフェイスを指定します。

a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。

router# configure terminal
router(config)# interface ids-sensor 0/1
router(config-if)# no shutdown
 

b. 外部ルータ インターフェイスを指定します。

router(config-if)# ip unnumbered other_router_interface
router(config-if)# exit
router(config)#
 

) IDS-Sensor インターフェイスは 2 つのルータ インターフェイス(IDS-Sensor インターフェイスとその他の指定されたインターフェイス)の間で IP アドレスを共有します。



) センサーの IP アドレスと other_router_interface の IP アドレスは同じサブネット上に存在している必要があります。


c. AIM IPS の IP アドレスへのトラフィックを IDS-Sensor インターフェイスに送信するルートを入力します。

router(config)# ip route sensor_ip_address 255.255.255.255 ids-sensor 0/1
router(config)#
 

d. コンフィギュレーション モードを終了します。

router(config)# exit
router#
 

ステップ 5 IP アドレス、マスク、およびゲートウェイを設定します。


setup コマンドで AIM IPS を初期化することで、これらのパラメータを設定することもできます。



) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。


a. AIM IPS にセッション接続します。

router# service-module ids-sensor 0/1 session
Trying 192.168.1.2, 2322 ... Open
 
 
sensor login:
 

b. CLI にログインします。

c. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
sensor(config)#
 

d. サービス ホスト モードを開始します。

sensor(config)# service host
sensor(config-hos)#
 

e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。

sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip ip_address/mask,gateway
sensor(config-hos-net)#
 

) ゲートウェイは、ステップ 4b で設定した other_router_interface の IP アドレスにする必要があります。


f. ネットワーク設定モードを終了します。

sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。

h. AIM IPS との間のセッションを終了します。

ステップ 6 設定を NVRAM に書き込みます。

router# write memory
Building configuration
[OK]
 


 

詳細情報

setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。

ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。

ルーティング可能な IP アドレス インターフェイスの使用

ルーティング可能な IP アドレス インターフェイスを使用してインターフェイスを設定するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/1
router#
 

ステップ 4 IDS-Sensor インターフェイスで ip unnumbered コマンドを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、外部接続を確立するルータ インターフェイスを指定します。

a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。

router# configure terminal
router(config)# interface ids-sensor 0/1
router(config-if)# no shutdown
 

b. IDS-Sensor インターフェイスの IP アドレスを設定します。

router(config-if)# ip address 192.168.1.2 255.255.255.0
router(config0if)#
 

192.168.1.2(AIM IPS のデフォルト ゲートウェイのデフォルト IP アドレス)を使用します。インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。

c. AIM IPS の IP アドレスへのトラフィックを IDS-Sensor インターフェイスに送信するルートを入力します。

router(config)# ip route sensor_ip_address 255.255.255.255 ids-sensor 0/1
router(config)#
 

d. コンフィギュレーション モードを終了します。

router(config)# exit
router#
 

ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。


) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。


a. AIM IPS にセッション接続します。

router# service-module ids-sensor 0/1 session
Trying 192.168.1.2, 2322 ... Open
 
 
sensor login:
 

b. CLI にログインします。

c. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
sensor(config)#
 

d. サービス ホスト モードを開始します。

sensor(config)# service host
sensor(config-hos)#
 

e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。

sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip ip_address/mask,gateway
sensor(config-hos-net)#
 

f. ネットワーク設定モードを終了します。

sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。

h. AIM IPS との間のセッションを終了します。

ステップ 6 設定を NVRAM に書き込みます。

router# write memory
Building configuration
[OK]
 


 

詳細情報

setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。

ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。

デフォルト IP アドレスと NAT の使用

デフォルト IP アドレスと NAT を使用してインターフェイスを設定するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/1
router#
 

ステップ 4 デフォルトのセンサー IP アドレスを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、ルータで NAT を実行します。

a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。

router# configure terminal
router(config)# interface ids-sensor 0/1
router(config-if)# no shutdown
 

b. IDS-Sensor インターフェイスの IP アドレスを設定します(AIM IPS で設定したデフォルト ゲートウェイと一致している必要があります)。

router(config-if)# ip address 192.168.1.2 255.255.255.0
router(config0if)#
 

192.168.1.2(AIM IPS のデフォルト ゲートウェイのデフォルト IP アドレス)を使用します。インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。

c. AIM IPS の NAT アドレスを設定します(AIM IPS のデフォルト IP アドレスは 192.168.1.2 です)。

router(config-if)# ip nat inside
router(config-if)# exit
router(config)# interface router_nat_outside_interface
router(config-if)# ip nat outside
router(config-if)# exit
router(config)# ip nat inside source static 192.168.1.2 aim_external_ip_address
router(config-if)# exit
 

aim_external_ip_address の IP アドレスと router_nat_outside_interface の IP アドレスは同じサブネット上に存在している必要があります。AIM IPS の IP アドレスは別のサブネット上に存在している必要があります。


d. コンフィギュレーション モードを終了します。

router(config-if)# exit
router(config)# exit
router#
 

ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。


) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。


a. AIM IPS にセッション接続します。

router# service-module ids-sensor 0/1 session
Trying 192.168.1.2, 2322 ... Open
 
 
sensor login:
 

b. CLI にログインします。

c. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
sensor(config)#
 

d. サービス ホスト モードを開始します。

sensor(config)# service host
sensor(config-hos)#
 

e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。

sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip ip_address/mask,gateway
sensor(config-hos-net)#
 

f. ネットワーク設定モードを終了します。

sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。

h. AIM IPS との間のセッションを終了します。

ステップ 6 設定を NVRAM に書き込みます。

router# write memory
Building configuration
[OK]
 


 

詳細情報

AIM IPS 上で ARC と NAT を連携させる方法の詳細については、「ARC および NAT」を参照してください。

setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。

ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。

ユーザ設定の IP アドレスと NAT の使用

ユーザ設定の IP アドレスおよび NAT を使用してインターフェイスを設定するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/1
router#
 

ステップ 4 デフォルトのセンサー IP アドレスを使用してルータ上で IPS コマンドおよび制御インターフェイスを設定し、ルータで NAT を実行します。

a. IDS-Sensor インターフェイスがシャット ダウンしていないことを確認します。

router# configure terminal
router(config)# interface ids-sensor 0/1
router(config-if)# no shutdown
 

b. IDS-Sensor インターフェイスの IP アドレスを設定します。

router(config-if)# ip address user_configured_ip_address gateway
router(config0if)#
 

インターフェイスがこの IP アドレスになっていない場合は、AIM IPS にセッション接続できません。

c. AIM IPS 用の NAT アドレスを設定します。

router(config-if)# ip nat inside
router(config-if)# exit
router(config)# interface router_command_and_control_interface
router(config-if)# ip nat outside
router(config-if)# exit
router(config)# ip nat inside source static AIM_ip_address AIM_external_ip_address
router(config-if)# exit
 

d. コンフィギュレーション モードを終了します。

router(config-if)# exit
router(config)# exit
router#
 

ステップ 5 AIM IPS の IP アドレス、マスク、およびゲートウェイを設定します。


) AIM IPS の IP アドレスのデフォルトは 192.168.1.2/24,192.168.1.1 です。


a. AIM IPS にセッション接続します。

router# service-module ids-sensor 0/1 session
Trying 192.168.1.2, 2322 ... Open
 
 
sensor login:
 

b. CLI にログインします。

c. グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
sensor(config)#
 

d. サービス ホスト モードを開始します。

sensor(config)# service host
sensor(config-hos)#
 

e. コマンド、制御インターフェイス、およびゲートウェイを割り当てます。

sensor(config-hos)# network-settings
sensor(config-hos-net)# host-ip ip_address/mask,gateway
sensor(config-hos-net)#
 

f. ネットワーク設定モードを終了します。

sensor(config-hos-net)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

g. Enter を押して変更を適用するか、 no と入力して変更を破棄します。

h. ルータとの間のセッションを終了します。

ステップ 6 設定を NVRAM に書き込みます。

router# write memory
Building configuration
[OK]
 


 

詳細情報

AIM IPS 上で ARC と NAT を連携させる方法の詳細については、「ARC および NAT」を参照してください。

setup コマンドを使用して AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。

ルータから AIM IPS へのセッションの接続と終了の詳細については、「セッションの開閉」を参照してください。

ルータ インターフェイスでのモニタリングの設定


) AIM IPS 内部インターフェイスを仮想センサー(vs0)に追加し、トラフィックをモニタできるようにする必要があります。


モニタするルータ インターフェイスを設定するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 (任意)ルータのモニタリング アクセス リストを設定します。

router(config)# access-list 101 permit tcp any eq www any
 

標準アクセス リストを設定し、どの種類のトラフィックを検査するかのフィルタリングにそのリストを適用できます。ACL が一致すると、その ACL に対してトラフィックは検査されません。この例では、HTTP トラフィックの検査だけをバイパスします。 access-list コマンドのオプションの詳細については、『Cisco IOS Command Reference』を参照してください。

ステップ 4 インライン モードまたは無差別モードのいずれかでインターフェイスのモニタリングをイネーブルにし、アクセス リストを関連付けます。

router(config)# interface monitored_interface
router(config-if)# ids-service-module monitoring {inline | promiscuous} access-list 101
router(config-if)# exit
router(config)#
 

) インターフェイスにアクセス リストを関連付けることによって、AIM IPS に送信されるトラフィックがさらに制御されます。


ステップ 5 (インライン モードで)ルータのモジュール スロット番号を確認します。

router# show run | include ids-sensor
interface IDS-Sensor0/1
router#
 

ステップ 6 (インライン モードで)ルータが、モジュールの障害時にトラフィック検査を処理する方法を指定します。

router(config)# interface ids-sensor 0/1
router(config-if)# service-module {fail-close | fail-open}
router(config-if)#
 

デフォルトはフェールオープンです。


fail-close オプションでは、AIM IPS に障害が発生した場合に、ルータがトラフィックを通過させません。fail-open オプションでは、AIM IPS に障害が発生した場合に、ルータはトラフィックを通過させますが、IPS による検査は実行されません。


ステップ 7 コンフィギュレーション モードを終了します。

router(config-if)# exit
router(config)# exit
router#
 

ステップ 8 設定を NVRAM に書き込みます。

router# write memory
Building configuration
[OK]
 


 

詳細情報

AIM IPS 内部インターフェイスを仮想センサー(vs0)に追加する手順については、「AIM IPS の高度な設定」を参照してください。

無差別モードの詳細については、「無差別モードの設定」を参照してください。

インライン インターフェイス モードの詳細については、「インライン インターフェイス モードの設定」を参照してください。

セッションの確立

AIM IPS には外部コンソール ポートがないため、ルータで service-module ids-sensor slot / port session コマンドを発行するか、ルータへの Telnet 接続を、AIM IPS ポート番号に対応するスロット番号で開始すると、AIM IPS のコンソールにアクセスできるようになります。外部コンソール ポートがないことは、初期ブート設定がルータを通じてのみ可能であることを意味します。

service-module ids-sensor slot / port session コマンドを発行すると、AIM IPS との間にコンソール セッションが作成されます。このセッションで任意の IPS コンフィギュレーション コマンドを発行できます。セッションでの作業を完了し、IPS CLI を終了すると、Cisco IOS CLI に戻ります。

session コマンドを使用すると、IDS-Sensor インターフェイスの IP アドレスを使用して逆方向の Telnet 接続が開始されます。IDS-Sensor インターフェイスは、AIM IPS とルータの間のインターフェイスです。 session コマンドを起動する前に、IDS-Sensor インターフェイスに IP アドレスを割り当てる必要があります。ルーティング可能な IP アドレスを割り当てると、IDS-Sensor インターフェイス自体が攻撃に対して脆弱になることがあります。これは、AIM IPS がルーティング可能な IP アドレスによってネットワーク上に露出する(ルータの外部で AIM IPS と通信できる)ためです。この脆弱性に対応するには、IDS-Sensor インターフェイスにアンナンバード IP アドレスを割り当てます。これにより、AIM IPS IP アドレスは、ルータと AIM IPS の間でローカルにのみ使用され、AIM IPS との間にセッションを確立する目的のために分離されます。


) アプリケーション ソフトウェアをインストールするか、モジュールのイメージを再作成する前に、ブートローダを始動するセッションを開始します。ソフトウェアのインストール後、アプリケーションを始動するセッションを開始します。



注意 モジュールにセッション接続し、大量のコンソール転送を実行した場合、ホスト コンソール インターフェイス速度が 115200/bps 以上に設定されていない限り、文字トラフィックが失われることがあります。速度が 115200/bps に設定されていることを確認するには、show running config コマンドを使用します。

詳細情報

アンナンバード IP アドレスを設定する手順については、「アンナンバード IP アドレス インターフェイスの使用」を参照してください。

セッションの開閉


) ルータから AIM IPS を初期化する必要があります(setup コマンドを実行します)。ネットワークを設定すると、SSH と Telnet を使用できるようになります。


AIM IPS からモジュールとのセッションを確立するには、 service-module ids-sensor slot / port session コマンドを使用します。Ctrl キーと Shift キーを押した状態で 6 を押してから、x キーを押して、セッション プロンプトをルータ プロンプトに戻します。AIM IPS プロンプトからルータ プロンプトに戻ります。空白行で Enter を押して、セッション プロンプト(これもルータ プロンプト)に戻ります。ルータ コマンドの実行後にセッションに戻る場合にだけ、ルータとのセッションを一時停止する必要があります。AIM IPS セッションに戻る予定がない場合は、セッションを一時停止する代わりに、セッションを閉じる必要があります。

セッションを閉じる場合は、AIM IPS CLI から完全にログアウトします。新しいセッション接続では、ログインのためにユーザ名とパスワードが必要です。一時停止したセッションでは、CLI にログインしたままになります。 session コマンドで接続した場合は、ユーザ名とパスワードを入力せずに、同じ CLI に戻ることができます。


) Telnet クライアントには多くの種類があります。クライアントによっては、Ctrl キーを押した状態で 6 を押してから x キーを押す必要があります。制御文字は、^^、Ctrl-^、または ASCII 値 30(16 進数では 1E)で表されます。



注意 disconnect コマンドを使用してセッションを終了しても、そのセッションは残ります。この開いている状態のセッションは、残った接続を利用しようとしている人間に悪用されるおそれがあります。

AIM IPS とのセッションを開始および閉じるには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 AIM IPS のステータスをチェックし、動作していることを確認します。

router# service-module ids-sensor 0/1 status
Service Module is Cisco IDS-Sensor0/1
Service Module supports session via TTY line 322
Service Module is in Steady state
Getting status from the Service Module, please wait..
Cisco Systems Intrusion Prevention System Network Module
Software version: 6.2(1)E3
Model: AIM IPS
Memory: 443508 KB
Mgmt IP addr: 10.89.148.196
Mgmt web ports: 443
Mgmt TLS enabled: true
 
 
router#
 

ステップ 3 ルータから AIM IPS へのセッションを開きます。

router# service-module ids-sensor 0/1 session
Trying 10.89.148.196, 2322 ... Open
 

ステップ 4 モジュール セッションを終了または一時停止して、閉じます。

sensor# exit

 

) IPS CLI のサブモードを開始している場合は、すべてのサブモードを終了する必要があります。センサーのログイン プロンプトが表示されるまで、exit と入力します。



注意 セッションを適切に終了しないと、残っているセッションを別のユーザが乗っ取ることが可能になります。Cisco IOS セッションを完全に終了するには、必ず router# プロンプトで exit と入力してください。

AIM IPS との間のセッションを一時停止し、閉じるには、Ctrl キーと Shift キーを押した状態で 6 を押します。すべてのキーから指を離してから、x キーを押します。


) セッションでの作業が終了したら、ルータに戻ってセッション(IPS アプリケーション)とモニタ対象のルータ インターフェイスの間の関連付けを確立する必要があります。


ステップ 5 ルータから接続解除します。

router# disconnect
 

ステップ 6 Enter を押して接続解除を確認します。

router# Closing connection to 10.89.148.196 [confirm] <Enter>
 


 

詳細情報

AIM IPS を初期化する手順については、「AIM IPS の高度な設定」を参照してください。

AIM IPS のステータスの表示

AIM IPS のステータスと統計情報を表示するには、特権 EXEC モードで、 service-module ids-sensor slot/port status コマンドを使用します。

AIM IPS のステータスを表示するには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 AIM IPS のステータスを表示します。

router# service-module ids-sensor 0/1 status
Service Module is Cisco IDS-Sensor0/1
Service Module supports session via TTY line 322
Service Module is in Steady state
Service Module is in fail close
Cisco Systems Intrusion Prevention System Network Module
Software version: 7.0(4)E4
Model: AIM IPS
Memory: 443508 KB
Mgmt IP addr: 10.89.148.196
Mgmt web ports: 443
Mgmt TLS enabled: true
 
 
router#


 

ハートビート リセットのイネーブル化とディセーブル化

AIM IPS のハートビートをリセットするには、特権 EXEC モードで service-module ids-sensor slot/port heartbeat reset {enable | disable} コマンドを使用します。

AIM IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、AIM IPS ハートビートが失われることがあります。

AIM IPS ハートビートが失われた場合、ルータは、AIM IPS に fail-open または fail-close の設定オプションを適用し、AIM IPS へのトラフィックの送信を停止し、AIM IPS をエラー状態に設定します。ルータは AIM IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで AIM IPS をモニタします。


) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによるモジュールのリセットが防止されます。


AIM IPS のハートビートをリセットするには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 ハートビート リセットのステータスを確認します。

router# service-module ids-sensor 0/1 status
Service Module is Cisco IDS-Sensor 0/1
Service Module supports session via TTY line 194
Service Module heartbeat-reset is enabled
 
 

ステップ 4 AIM IPS でハートビートをディセーブルにするには、次のコマンドを実行します。

router# service-module ids-sensor 0/1 heartbeat-reset disable
 

ステップ 5 AIM IPS でハートビートを再びイネーブルにするには、次のコマンドを実行します。

router# service-module ids-sensor 0/1 heartbeat-reset enable
 


 

詳細情報

AIM IPS をアップグレードする手順については、「センサーのアップグレード」を参照してください。

AIM IPS システム イメージをインストールする手順については、「AIM IPS システム イメージのインストール」を参照してください

AIM IPS のリブート、リセット、およびシャットダウン

ここでは、AIM IPS をシャットダウンする場合と方法について説明します。次の項目について説明します。

「AIM IPS ステータス モニタリング」

「AIM IPS のリブート、リセット、およびシャットダウン」

AIM IPS ステータス モニタリング

AIM IPS は RBCP を使用して、そのステータスをモニタします。RBCP は、SensorApp ではなく、AIM IPS のメイン アプリケーションによってモニタされます。AIM IPS のメイン アプリケーションに障害が発生した場合、RBCP ハートビート応答は AIM IPS から返されません。ルータで、AIM IPS に障害が発生したと判断された場合、RBCP を通じて reload コマンドが発行され、AIM IPS で Linux カーネルがリブートされます。AIM IPS の修復を試みている間、ルータは設定したフェールオーバー処理によって決定されるモードで動作します。

SensorApp の処理は停止する場合がありますが、AIM IPS のメイン アプリケーションは、RBCP パケットの処理を続けます。この場合、AIM IPS に対して設定したバイパス設定に従って、IPS CLI、IDM、または IME により、パケットが処理されます。

次のような 2 つの状況で、AIM IPS はシャットダウンされます。

ハードウェアまたはソフトウェアのエラーにより障害が発生した場合。ルータは、RBCP ハートビートの損失を通じて、これを検出できます。

reload または shutdown コマンド。

詳細情報

SensorApp の詳細については、「SensorApp」を参照してください。

ソフトウェア バイパスの詳細については、「インライン バイパス モードの設定」を参照してください。

AIM IPS のリブート、リセット、およびシャットダウン

AIM IPS のリブート、リセット、およびシャットダウンを行うには、特権 EXEC モードで、 service-module ids-sensor slot/port [ reload | reset | shutdown ] コマンドを使用します。

AIM IPS のリブート、リセット、およびシャットダウンを行うには、次の手順に従います。


ステップ 1 ルータにログインします。

ステップ 2 ルータで特権 EXEC モードを開始します。

router> enable
 

ステップ 3 AIM IPS でオペレーティング システムを正常に停止し、リブートするには、次のコマンドを実行します。

router# service-module ids-sensor 0/1 reload
Do you want to proceed with the reload?[confirm]
 

ステップ 4 AIM IPS でハードウェアをリセットするには、次のコマンドを実行します。

router# service-module ids-sensor 0/1 reset
Use reset only to recover from shutdown or failed state
Warning: May lose data on the hard disc!
Do you want to reset?[confirm]
 

) AIM IPS には、永続的なストレージ デバイスとして機能するコンパクト フラッシュ デバイスが搭載されています(ハードディスク ドライブではありません)。



注意 データが失われるのは、AIM IPS をシャットダウンせずに reset コマンドを実行した場合だけです。それ以外の状況では、安全に reset コマンドを使用できます。

ステップ 5 AIM IPS で実行中のアプリケーションをシャットダウンするには、次のコマンドを実行します。

router# service-module ids-sensor 0/1 shutdown
Trying 10.10.10.1, 2129 ...Open
%SERVICEMODULE-5-SHUTDOWN2:Service module IDS-Sensor1/0 shutdown complete
 


 

新しいコマンドと変更されたコマンド


) その他の Cisco IOS ソフトウェア コマンドについては、Cisco.com(http://www.cisco.com/en/US/products/ps6441/index.html)の『Cisco IOS Release 12.4(20)T Command Reference』を参照してください。


ここでは、次の Cisco IOS の新しいコマンドと変更されたコマンド、および AIM IPS を設定するために使用する特定のコマンドについて説明します。次の項目について説明します。

「interface ids-sensor」

「interface interface_name」

「service-module ids-sensor」

「service-module ids-bootmode」

interface ids-sensor

IPS センサー インターフェイスを設定し、config-if モードを開始するには、config モードで interface ids-sensor コマンドを使用します。モジュールの障害時にルータでトラフィック検査を処理する方法を指定するには、config-if モードで service-module コマンドを使用します。デフォルトはフェール オープンです。

interface ids-sensor slot/port

ip {address | unnumbered }

service-module { fail-close | fail-open }

 
構文の説明

slot

AIM IPS のルータ シャーシ スロットの数。

/ port

AIM IPS のポート番号。

引数の間には、スラッシュ記号が必要です。

ids-sensor

AIM IPS の IPS インターフェイス。

ip address

インターフェイスの IP アドレスを設定します。

ip unnumbered

明示的な IP アドレスなしで、IP アドレス処理をイネーブルにします。

service-module fail-close

AIM IPS は、すべてのトラフィックをドロップします。

service-module fail-open

AIM IPS は、すべてのトラフィックを通過させますが、トラフィック検査は実行しません(デフォルト)


注意 ip コマンドに関連付けられている 57 のサブコマンドがありますが、このモジュールに対してサポートされているサブコマンドは、ip address と ip unnumbered の 2 つだけです。その他のサブコマンドのいずれかをイネーブルにすると、予期せぬ動作が発生することがあります。

 
デフォルト

デフォルト設定は fail-open です。

 
コマンド モード

Config

Config-if

 
コマンド履歴

リリース
変更内容

12.4(20)T

このコマンドが追加されました。

 
使用上のガイドライン

interface ids-sensor slot/port コマンドでは、config-if モードを開始し、IPS センサー スロットおよびポートを設定できます。AIM IPS で、スロットの値は 0 で、ポート番号値はルータにモジュールが取り付けられている物理的な場所を判定することによって指定されます。

次の例は、interface ids-sensor コマンドを使用して、スロット 0、ポート 1 で AIM IPS の config-if モードを開始する方法を示します。

router(config)# interface ids-sensor 0/1
router(config-if)#
 

次の例は、 ip unnumbered サブコマンドとともに interface ids-sensor コマンドを使用して、ルータ コマンドおよび制御インターフェイスを指定する方法を示しています。

router(config)# interface ids-sensor 0/1
router(config-if)# ip unnumbered router_command_and_control_interface
router(config-if)#
 

次の例は、ハードウェアの障害時に、すべてのトラフィックはモジュールを通過するが、トラフィック検査は実行しないように、service-module fail-open コマンドを使用して AIM IPS を設定する方法を示しています。

router(config)# interface ids-sensor 0/1
router(config-if)# service-module fail-open
router(config-if)#
 

 
関連コマンド

コマンド
説明

interface interface_name

モニタする必要があるインターフェイスを指定します。

interface interface_name

config-if モードを開始するには、無差別モードまたはインライン モードでモニタリング用にインターフェイスを設定し、インライン モニタリングに標準 ACL または拡張 ACL を適用し、config モードで interface interface_name コマンドを使用します。

interface interface_name

ids-service-module monitoring { promiscuous | inline} access-list number

 
構文の説明

interface_name

モニタされるルータ インターフェイスの名前。

ids-service-module

インターフェイスに IPS を設定します。

monitoring

AIM IPS がトラフィックを検査する方法を指定します。

promiscuous

AIM IPS が、無差別モードでトラフィックを検査するかどうかを指定します。

inline

AIM IPS が、インライン モードでトラフィックを検査するかどうかを指定します。

access-list

検査するインターフェイスに、番号付き ACL または拡張 ACL を適用していることを指定します。

number

ACL の番号。

 
デフォルト

なし

 
コマンド モード

Config

Config-if

 
コマンド履歴

リリース
変更内容

12.4(20)T

このコマンドが追加されました。

 
使用上のガイドライン

interface interface_name コマンドでは、config-if モードを開始し、インターフェイスに対してインライン モードまたは無差別モードで動作するようにルータを設定できます。

次の例は、interface コマンドを使用して config-if モードを開始し、ACL 101 を使用して GigabitEthernet0/0 のモニタリングを設定する方法を示しています。

router(config)# interface GigabitEthernet0/0
router(config-if)# ids-service-module monitoring inline access-list 101
router(config-if)#
 

 
関連コマンド

コマンド
説明

interface ids-sensor

IPS インターフェイスを設定します。

service-module ids-sensor


注意 ルータをリロードしたときに、AIM IPS もリロードされます。AIM IPS でデータの損失が生じないようにするには、reload コマンドを使用してルータをリブートする前に、shutdown コマンドを使用してモジュールを必ずシャットダウンしてください。

ハートビートが失われたときに、Cisco IOS software が AIM IPS をリブートすることを防ぎ、モジュールに対してリブート、リセット、コンソール アクセスのイネーブル化、シャットダウン、統計情報の表示、ステータスのモニタを実行するには、特権 EXEC モードで service-module ids-sensor コマンドを使用します。

service-module ids-sensor slot/port {heartbeat-reset [enable | disable] reload | reset | session | shutdown | status}

 
構文の説明

slot

AIM IPS のルータ シャーシ スロットの数。

/ port

AIM IPS のポート番号。

引数の間には、スラッシュ記号が必要です。

heartbeat-reset

ハートビート リセットをイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。

(注) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによる AIM IPS のリセットが防止されます。

reload

AIM IPS のオペレーティング システムをスムーズに停止し、リブートします。

reset

AIM IPS のハードウェアをリセットします。通常、このコマンドはシャットダウンから復旧するために使用します。

session

ルータから AIM IPS へのコンソール アクセスをイネーブルにします。

shutdown

AIM IPS で実行中の IPS アプリケーションをシャットダウンします。

statistics

AIM IPS の統計情報を表示します。

status

IPS ソフトウェアのステータスに関する情報を提供します。

 
デフォルト

デフォルトは heartbeat-reset enabled です。

 
コマンド モード

特権 EXEC

 
コマンド履歴

リリース
変更内容

12.4(15)XY

このコマンドが追加されました。

12.4(20)T

このコマンドが追加されました。

 
使用上のガイドライン

AIM IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、AIM IPS ハートビートが失われることがあります。

AIM IPS ハートビートが失われた場合、ルータは、AIM IPS に fail-open または fail-close の設定オプションを適用し、AIM IPS へのトラフィックの送信を停止し、AIM IPS をエラー状態に設定します。ルータは、AIM IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで AIM IPS をモニタします。

確認プロンプトが表示されたら、Enter を押してアクションを確認するか、n キーを押してキャンセルします。

次の例は、スロット 0、ポート 1 で、AIM IPS のハートビートが失われた場合に、リセット アクションをディセーブルまたはイネーブルにする方法を示しています。

router# service-module ids-sensor 0/1 heartbeat-reset {disable | enable}
 

次の例は、AIM IPS でハートビートをイネーブルにする方法を示しています。

router# service-module ids-sensor 0/1 heartbeat-reset enable
 

次の例は、 service-module ids slot / port status コマンドを使用して、ハートビート リセットのステータスを表示する方法を示しています。

router# service-module ids-sensor 0/1 status
Service Module is Cisco IDS-Sensor 0/1
Service Module supports session via TTY line 194
Service Module heartbeat-reset is enabled
 

次の例は、AIM IPS でオペレーティング システムをスムーズに停止し、リブートする方法を示しています。

router# service-module ids-sensor 0/1 reload
 
Do you want to proceed with reload?[confirm]
 

次の例は、AIM IPS でハードウェアをリセットする方法を示しています。警告が表示されます。

router# service-module ids-sensor 0/1 reset
 
Use reset only to recover from shutdown or failed state
Warning: May lose data on the NVRAM, nonvolatile file system or unsaved configuration!
 
Do you want to reset?[confirm]
 

次の例は、AIM IPS オペレーティング システムへのコンソール アクセスをイネーブルにする方法を示しています。

router# service-module ids-sensor 0/1 session
 

次の例は、AIM IPS で実行中の IPS アプリケーションをシャットダウンする方法を示しています。

router# service-module ids-sensor 0/1 shutdown
 
Trying 10.10.10.1, 2129 ... Open
%SERVICEMODULE-5-SHUTDOWN2:Service module IDS-Sensor 0/1 shutdown complete
 

次の例は、IPS ソフトウェア統計情報を表示する方法を示しています。

router# service-module ids-sensor 0/1 statistics
Module Reset Statistics:
CLI reset count = 1
CLI reload count = 0
Registration request timeout reset count = 1
Error recovery timeout reset count = 1
Module registration count = 7
 
The last IOS initiated event was a cli reset at 20:18:36.038 UTC Tue Jan 16 2007
 

次の例は、AIM IPS の IPS ソフトウェアのステータスを表示する方法を示しています。

router# service-module ids-sensor 0/1 status
 
Service Module is Cisco IDS-Sensor0/1
Service Module supports session via TTY line 33
Service Module is in Steady state
Getting status from the Service Module, please wait...
Service Module Version information received, Major ver = 1, Minor ver= 1
 
Cisco Systems Intrusion Prevention System Network Module
Software version: 7.0(4)E4
Model: AIM IPS
Memory: 890996 KB
Mgmt IP addr: 10.1.9.201
Mgmt web ports: 443

Mgmt TLS enabled: true

 

 
関連コマンド

コマンド
説明

ids-service-module monitoring

特定のインターフェイスで IPS モニタリングをイネーブルにします。

service-module ids-bootmode

AIM IPS でフェールセーフ モードまたは通常ブート モードを開始するには、特権 EXEC モードで service-module ids-sensor bootmode コマンドを使用します。

service-module ids-sensor slot / port bootmode { failsafe | normal }

 
構文の説明

slot /

AIM IPS のルータ シャーシ スロットの数。 slot 引数と port 引数の間には、スラッシュ記号( / )が必要です。

port

AIM IPS のポート番号。

failsafe

AIM IPS でフェールセーフ ブート モードを開始します。

normal

AIM IPS で通常ブート モードを開始します。

 
デフォルト

なし

 
コマンド モード

特権 EXEC(#)

 
コマンド履歴

リリース
変更内容

12.4(15)XY

このコマンドが追加されました。

12.4(20)T

このコマンドが、Cisco IOS Release 12.4(20)T に統合されました。

 
使用上のガイドライン

確認プロンプトが表示されたら、Enter を押してアクションを確認するか、n キーを押してキャンセルします。

次の例は、スロット 0、ポート 1 で、AIM IPS のフェールセーフ ブート モードを開始する方法を示しています。

router# service-module ids-sensor 0/1 bootmode failsafe
 

次の例は、AIM IPS で通常ブート モードをイネーブルにする方法を示しています。

router# service-module ids-sensor 0/1 bootmode normal
 

 
関連コマンド

コマンド
説明

ids-service-module monitoring

特定のインターフェイスで IDS モニタリングをイネーブルにします。