Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
Cisco IPS ソフトウェアの概要
Cisco IPS ソフトウェアの概要
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

Cisco IPS ソフトウェアの概要

IPS 7.1(1)E4 のファイル

Cisco IPS ソフトウェアの入手方法

IPS ソフトウェアのバージョン管理

IPS ソフトウェア リリースの例

アップグレードの注意事項と警告

IPS マニュアルへのアクセス

Cisco Security Intelligence Operations

Cisco.com からのライセンス キーの取得

ライセンスについて

IPS 製品用のサービス プログラム

IDM または IME を使用したライセンス キーの取得とインストール

CLI を使用したライセンス キーの取得とインストール

Cisco IPS ソフトウェアの概要


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、最新の Cisco IPS ソフトウェアの入手方法に関する情報を示します。次のような構成になっています。

「IPS 7.1(1)E4 のファイル」

「Cisco IPS ソフトウェアの入手方法」

「IPS ソフトウェアのバージョン管理」

「IPS ソフトウェア リリースの例」

「アップグレードの注意事項と警告」

「IPS マニュアルへのアクセス」

「Cisco Security Intelligence Operations」

「Cisco.com からのライセンス キーの取得」

IPS 7.1(1)E4 のファイル


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。


次のファイルは、Cisco IPS 7.1(1)E4 の一部です。

Readme

IPS-7-1-1-E4.readme.txt

システム イメージ ファイル

IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img

IPS-SSP_20-K9-sys-1.1-a-7.1-1-E4.img

IPS-SSP_40-K9-sys-1.1-a-7.1-1-E4.img

IPS-SSP_60-K9-sys-1.1-a-7.1-1-E4.img

リカバリ イメージ ファイル

IPS-SSP_10-K9-r-1.1-a-7.1-1-E4.pkg

IPS-SSP_20-K9-r-1.1-a-7.1-1-E4.pkg

IPS-SSP_40-K9-r-1.1-a-7.1-1-E4.pkg

IPS-SSP_60-K9-r-1.1-a-7.1-1-E4.pkg

Cisco IPS ソフトウェアの入手方法

メジャーおよびマイナー アップデート、サービス パック、シグニチャおよびシグニチャ エンジンのアップデート、システム ファイルおよびリカバリ ファイル、ファームウェア アップグレード、および Readme は、Cisco.com の Download Software サイトにあります。シグニチャのアップデートは、約 1 週間ごとに、また必要に応じて頻繁に Cisco.com に掲示されます。サービス パックは必要に応じて Cisco.com に掲示されます。メジャーおよびマイナー アップデートも定期的に掲示されます。最新の IPS ソフトウェアがないかどうか、定期的に Cisco.com を確認してください。

ソフトウェアをダウンロードする前に、暗号化アクセス用のアカウントが必要です。Download Software サイトから IPS ソフトウェアを初めてダウンロードするときに、このアカウントを設定します。最新のソフトウェア リリースに関する情報を受信するように IPS Alert Bulletins に申し込めます。


) ソフトウェアをダウンロードするには、Cisco.com にログインする必要があります。ソフトウェアのダウンロードには、有効な IPS メンテナンス契約と Cisco.com のパスワードが必要です。シグニチャ アップデートの適用にはセンサー ライセンスが必要です。


IPS ソフトウェアのダウンロード

Cisco.com のソフトウェアをダウンロードするには、次の手順を実行します。


ステップ 1 Cisco.com にログインします。

ステップ 2 [Support] ドロップダウン メニューから、[Download Software] を選択します。

ステップ 3 [Select a Software Product Category] で [Security Software] を選択します。

ステップ 4 [Intrusion Prevention System (IPS)] を選択します。

ステップ 5 ユーザ名とパスワードを入力します。

ステップ 6 [Download Software] ウィンドウで、[IPS Appliances] > [Cisco Intrusion Prevention System] を選択し、ダウンロードするバージョンをクリックします。


) ソフトウェアのダウンロードには、IPS サブスクリプション サービス ライセンスが必要です。


ステップ 7 必要なソフトウェア ファイルのタイプをクリックします。ウィンドウの右側のリストに使用可能なファイルが表示されます。ファイル名、ファイル サイズ、メモリおよびリリース日でソートできます。リリース ノートおよびその他の製品マニュアルにアクセスできます。

ステップ 8 ダウンロードするファイルをクリックします。ファイルの詳細が表示されます。

ステップ 9 ファイルが正しいことを確認して、[Download] をクリックします。

ステップ 10 [Agree] をクリックして、ソフトウェア ダウンロード規則に同意します。Cisco.com から初めてファイルをダウンロードする場合は、先に [Encryption Software Export Distribution Authorization] フォームに必要事項を入力する必要があります。

フォームに入力し、[Submit] をクリックします。

Cisco Systems Inc. Encryption Software Usage Handling and Distribution Policy が表示されます。

ポリシーを読み、[I Accept] をクリックします。

[Encryption Software Export/Distribution] フォームが表示されます。

すでに [Encryption Software Export Distribution Authorization] フォームに記入し、Cisco Systems Inc. Encryption Software Usage Handling and Distribution Policy を読んで承諾した場合、これらのフォームは表示されません。[File Download] ダイアログボックスが表示されます。

ステップ 11 ファイルを開くか、コンピュータに保存します。

ステップ 12 Readme またはこれらのリリース ノートの手順に従い、アップデートをインストールします。


 

詳細情報

ライセンス キーの取得およびインストールの手順については、「Cisco.com からのライセンス キーの取得」を参照してください。

IPS ファイルのバージョン管理方式の説明については、「IPS ソフトウェアのバージョン管理」を参照してください。

IPS ソフトウェアのバージョン管理

Cisco.com から IPS ソフトウェア イメージをダウンロードするときは、そのバージョン管理方式を理解して、ファイルがそれぞれ、ベース ファイル、累積ファイル、あるいは差分ファイルのどれであるかを知っておく必要があります。

メジャー アップデート

メジャー アップデートには、製品の新しい機能やアーキテクチャの変更などが含まれます。たとえば、Cisco IPS 7.1 ベース バージョンには、その前のメジャー リリース以降の内容(マイナー アップデート機能、サービス パックのフィックス、およびシグニチャ アップデート)すべて(廃止された機能を除く)に加えて、新しい変更が組み込まれます。メジャー アップデート 7.1(1) には、5.1(6) 以降が必要です。各メジャー アップデートには、対応するシステムおよびリカバリ パッケージがあります。


) 7.1(1) メジャー アップデートは、5.1(6) 以降のセンサーを7.1(1) にアップグレードするのに使用されます。すでに 7.1(1) がインストールされたセンサーに 7.1(1) を再インストールする場合は、メジャー アップデートではなくシステム イメージまたはリカバリ手順を使用します。


マイナー アップデート

マイナー アップデートは、メジャー バージョンに対する差分です。マイナー アップデートは、サービス パックのベース バージョンでもあります。7.1 の最初のマイナー アップデートは 7.2 です。マイナー アップデートは、製品のマイナーな拡張を行うためにリリースされます。マイナー アップデートには、前回のメジャー バージョン以降に発生したすべてのマイナー機能(廃止された機能を除く)、サービス パックのフィックス、シグニチャ アップデートに加えて、新しいマイナー機能のリリースが組み込まれます。前のメジャー バージョンまたはマイナー バージョンにマイナー アップデートをインストールできます(多くの場合、それ以前のバージョンでもインストールできます)。最新のマイナー バージョンにアップグレードする必要がある最小サポート バージョンは、マイナー アップデートに付属する Readme に示されています。各マイナー アップデートには、対応するシステムおよびリカバリ パッケージがあります。

サービス パック

サービス パックは、ベース バージョンのリリース後の累積です(マイナーまたはメジャー)。サービス パックは、障害フィックスのリリースとして使用され、新しい機能強化は行われません。サービス パックには、前回のベース バージョン(マイナーまたはメジャー)以降に発生したすべてのサービス パックのフィックスに加えて、新しい障害フィックスのリリースが組み込まれます。サービス パックには、マイナー バージョンが必要です。最新のサービス パックにアップグレードする必要がある最小サポート バージョンは、サービス パックに付属する Readme に示されています。サービス パックには最新のエンジン アップデートも含まれています。たとえば、サービス パック 7.1(3) がリリースされて、E4 が最新のエンジン レベルである場合、サービス パックは 7.1(3)E4 としてリリースされます。

パッチ リリース

パッチ リリースは、ソフトウェア リリース後にアップグレード バイナリで確認された障害に対処するために使用されます。これらの障害に対処する、次のメジャー アップデートやマイナー アップデート、またはサービス パックを待たずに、パッチが公開されることがあります。パッチは、関連するサービス パック レベルにそれ以前のすべてのパッチ リリースを含みます。パッチは、次の正式なメジャー アップデートやマイナー アップデート、またはサービス パックにまとめられます。

パッチ リリースをインストールする前に、最新のメジャー アップデートやマイナー アップデート、またはサービス パックをインストールする必要があります。たとえば、パッチ リリース 7.1(1p1) には 7.1(1) が必要です。


) 新しいパッチへのアップグレードに、古いパッチのアンインストールは必要ありません。たとえば、パッチ 7.1(1p1) から 7.1(1p2) へのアップグレードは、最初に 7.1(1p1) をアンインストールすることなく実行できます。


図 19-1 は、IPS ソフトウェア ファイルの各部分がメジャー アップデートとマイナー アップデート、サービス パック、およびパッチ リリースの何を表すかを図示したものです。

図 19-1 メジャー アップデートとマイナー アップデート、サービス パック、およびパッチ リリースに対応する IPS ソフトウェア ファイル名

 

シグニチャ アップデート

シグニチャ アップデートは、悪意のあるネットワーク アクティビティを認識するように設計された規則セットを含むパッケージ ファイルです。シグニチャ アップデートは、他のソフトウェア アップデートとは別にリリースされます。メジャー アップデートまたはマイナー アップデートがリリースされるたびに、少なくとも 6 ヵ月間は新しいバージョンおよび次に古いバージョンに、シグニチャ アップデートをインストールできます。シグニチャ アップデートは、必要なシグニチャ エンジンのバージョンによって異なります。このため、 req 指定子では、特定のシグニチャ アップデートのサポートに必要なシグニチャ エンジンを示します。

図 19-3 は、IPS ソフトウェア ファイルの各部分がシグニチャ アップデートの何を表すかを図示したものです。

図 19-2 シグニチャ アップデートに対応する IPS ソフトウェア ファイル名

 

シグニチャ エンジン アップデート

シグニチャ エンジン アップデートは、新しいシグニチャ アップデートをサポートするバイナリ コードを含む実行可能ファイルです。シグニチャ エンジン ファイルには特定のサービス パックが必要です。これは、 req 指定子でも指定されます。

図 19-3 は、IPS ソフトウェア ファイルの各部分がシグニチャ エンジン アップデートの何を表すかを図示したものです。

図 19-3 シグニチャ エンジン アップデートに対応する IPS ソフトウェア ファイル名

 

リカバリ イメージおよびシステム イメージのファイル

リカバリ イメージおよびシステム イメージのファイルには、インストーラと基盤アプリケーションで別個のバージョンが含まれています。インストーラのバージョンには、メジャー バージョン フィールドとマイナー バージョン フィールドが含まれています。メジャー バージョンは、イメージ インストーラへの大きな変更が 1 つあるたびに増加します。たとえば、.tar から rpm への切り替えやカーネルの変更などがあります。マイナー バージョンは、次のいずれかによって増加します。

インストーラへの小さな変更、たとえばユーザ プロンプトの追加などがあった場合。

イメージ ファイルを再パッケージしてインストーラの障害や問題に対処する必要がある場合、再パッケージはインストーラのマイナー バージョンを 1 つ増加させる必要があります。

図 19-4 は、IPS ソフトウェア ファイルの各部分がリカバリ イメージおよびシステム イメージ ファイルの何を表すかを図示したものです。

図 19-4 リカバリ イメージおよびシステム イメージのファイルに対応する IPS ソフトウェア ファイル名

 

IPS ソフトウェア リリースの例


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。


表 19-1 は、プラットフォームに依存しない Cisco IPS ソフトウェア リリースの例を示します。

 

表 19-1 プラットフォームに依存しないリリースの例

リリース
目標頻度
ID
バージョンの例
ファイル名の例

シグニチャ アップデート1

毎週

sig

S369

IPS-sig-S369-req-E4.pkg

シグニチャ エンジン アップデート2

必要に応じて

engine

E4

IPS-engine-E4-req-7.1-1.pkg

サービス パック3

半年ごと

または必要に応じて

--

7.1(3)

IPS-K9-7.1-3-E4.pkg

マイナー バージョン アップデート4

毎年

--

7.2(1)

IPS-K9-7.2-1-E4.pkg

(注) IPS-AIM-K9-7.2-1-E4.pkg は、AIM-IPS のマイナー バージョン アップデートです。IPS-NME-K-9-7.2-1-E4.pkg は、NME-IPS のマイナー バージョン アップデートです。

メジャー バージョン アップデート5

毎年

--

8.0(1)

IPS-K9-8.0-1-E4.pkg

パッチ リリース6

必要に応じて

patch

7.1(1p1)

IPS-K9-patch-7.1-1pl-E4.pkg

リカバリ パッケージ7

毎年または必要に応じて

r

1.1-7.1(1)

IPS-K9-r-1.1-a-7.1-1-E4.pkg

1.シグニチャ アップデートには、最新の累積 IPS シグニチャが含まれます。

2.シグニチャ エンジン アップデートは、以降のシグニチャ アップデートで新しいシグニチャによって使用される、新しいエンジンまたはエンジン パラメータを追加します。

3.サービス パックには、障害のフィックスが含まれます。

4.マイナー バージョンには、新しいマイナー バージョンの特性または機能、もしくはその両方が含まれます。

5.メジャー バージョンには、新しいメジャー バージョンの機能やアーキテクチャが含まれます。

6.パッチ リリースは暫定フィックスです。

7.同じ基盤アプリケーション イメージを含む新しいリカバリ パッケージをリリースする必要がある場合は、r 1.1 を r 1.2 に変更できます。たとえば、インストーラの障害フィックスがある場合、基盤アプリケーション バージョンがまだ 7.0(4) であっても、リカバリ パーティション イメージは r 1.2 になります。

表 19-2 に、プラットフォームに依存するソフトウェア リリースの例を示します。

 

表 19-2 プラットフォームに依存するリリースの例

リリース
目標頻度
ID
サポートされるプラットフォーム
ファイル名の例

システム イメージ8

毎年

sys

各センサー プラットフォームに対して個別のファイル

IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img

メンテナンス パーティション イメージ9

毎年

mp

IDSM2

c6svc-mp.2-1-2.bin.gz

ブートローダ

必要に応じて

bl

AIM IPS
NME IPS

pse_aim_x.y.z.bin
pse_nm_x.y.z.bin
(x、y、z はリリース番号)

ミニカーネル

必要に応じて

mini-kernel

AIM IPS
NME IPS

pse_mini_kernel_1.1.10.64.bz2

8.システム イメージには、センサー全体のイメージの再作成に使用される、リカバリとアプリケーションを組み合わせたイメージが含まれます。

9.メンテナンス パーティション イメージには、IDSM2 メンテナンス パーティションの完全なイメージが含まれます。ファイルは、IDSM2 アプリケーション パーティションからインストールされますが、IDSM2 アプリケーション パーティションには影響しません。

表 19-3 に、プラットフォーム固有名で使用されるプラットフォーム ID を示します。

 

表 19-3 プラットフォーム ID

センサー ファミリ
ID

IPS 4240 シリーズ

4240

IPS 4255 シリーズ

4255

IPS 4260 シリーズ

4260

IPS 4270-20 シリーズ

4270_20

Catalyst 6K 用 IDS モジュール

IDSM2

IPS ネットワーク モジュール

AIM
NME

適応型セキュリティ アプライアンスモジュール

SSC_5
SSM_10
SSM_20
SSM_40
SSP_10
SSP_20
SSP_40
SSP_60

詳細情報

Cisco.com でこれらのファイルにアクセスする方法については、 「Cisco IPS ソフトウェアの入手方法」 を参照してください。

アップグレードの注意事項と警告

次のアップグレードの注意事項と警告は、IPS SSP のアップグレードに適用されます。

IPS 7.1(1)E4 は、IPS SSP をインストールした ASA 5585-X 適応型セキュリティ アプライアンスだけに適用されます。

IPS 7.1(1)E4 をアンインストールできません。システム イメージ ファイルを使用して、センサーのイメージを再作成する必要があります。これによって、すべての設定が失われます。

Cisco.com からソフトウェア アップグレードを受信し、使用するには、センサーごとに有効な Cisco Service for IPS メンテナンス契約が必要です。

グローバル相関のヘルス ステータスは、デフォルトで赤に設定され、グローバル相関が正しくアップデートされると緑に変わります。グローバル相関の正常なアップデートには、DNS サーバまたは HTTP プロキシ サーバが必要です。グローバル相関のヘルス ステータスおよびセンサーの全体的なヘルス ステータスは、センサーで DNS または HTTP プロキシ サーバが設定されるまで赤になります。DNS または HTTP プロキシ サーバを使用できない環境にセンサーが配置されている場合、グローバル相関をディセーブルにし、グローバル相関ヘルス ステータスを除外するようにセンサー ヘルス ステータスを設定すると、赤色のグローバル相関ヘルスおよび全体センサー ヘルス ステータスに対処できます。

センサーにアップデートをインストールし、そのセンサーがリブート後に使用できなくなった場合は、センサーのイメージを再作成する必要があります。センサーのイメージを次の方法で再作成できます。

hw-module module 1 recover configure/boot コマンドを使用して、適応型セキュリティ アプライアンスからイメージを再作成します。

ROMMON を使用して、適応型セキュリティ アプライアンスからイメージを再作成します。


注意 センサーのシステム イメージをインストールすると、アカウントはすべて削除され、デフォルトのアカウントとパスワードが cisco にリセットされます。

詳細情報

Cisco.com のダウンロードにアクセスする手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IPS SSP のイメージを再作成するために hw-module module 1 recover configure/boot コマンドを使用する手順については、「hw-module コマンドを使用したシステム イメージのインストール」を参照してください。

IPS SSP のイメージを再作成するために ROMMON を使用する手順については、「ROMMON を使用したシステム イメージのインストール」を参照してください。

IPS マニュアルへのアクセス

IPS のマニュアルは次の URL にあります。

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/tsd_products_support_series_home.html

または、Cisco.comから IPS マニュアルへアクセスするには、次の手順を実行します。


ステップ 1 Cisco.com にログインします。

ステップ 2 [Support] をクリックします。

ステップ 3 [Support and Documentation] で、[Security] をクリックします。

ステップ 4 [Products] > [Security] > [Intrusion Prevention System (IPS)] > [IPS Appliances] > [Cisco IPS 4200 Series Sensors] をクリックします。

[Cisco IPS 4200 Series Sensors] ウィンドウが表示されます。

ステップ 5 次のカテゴリの 1 つをクリックして、Cisco IPS のマニュアルにアクセスします。

Download Software :Download Software サイトに移動します。


) ソフトウェア ダウンロード サイトにアクセスするには、Cisco.com にログインする必要があります。


Release and General Information :ドキュメント ロードマップとリリース ノートがあります。

Reference Guides :コマンド リファレンスとテクニカル リファレンスがあります。

Design :デザイン ガイドとデザイン テクニカル ノートがあります。

Install and Upgrade :ハードウェア インストレーション ガイドと規制ガイドがあります。

Configure :IPS CLI、IDM、および IME 用のコンフィギュレーション ガイドがあります。

Troubleshoot and Alerts :TAC テクニカル ノートとフィールド ノートがあります。


 

Cisco Security Intelligence Operations

Cisco.com の Cisco Security Intelligence Operations サイトは、現在の脆弱性とセキュリティの脅威に関するインテリジェンス レポートを提供しています。また、ネットワークを保護し、組織のリスクを減らすようにセキュリティ システムを展開するために役立つその他のセキュリティ項目についてもレポートしています。

最も効果的にネットワークの保護および管理を実行できるように、最新のセキュリティの脅威に注意する必要があります。Cisco Security Intelligence Operations には、日付、重大度、緊急度別に掲載されている上位 10 のインテリジェンス レポートがあり、また脅威に対応できる新しいシグニチャの有無も含まれています。

Cisco Security Intelligence Operations には、興味深いセキュリティの記事が記載された Security News セクションがあります。関連するセキュリティ ツールおよびリンクがあります。

Cisco Security Intelligence Operations には次の URL からアクセスできます。

http://tools.cisco.com/security/center/home.x

Cisco Security Intelligence Operations は、シグニチャ ID、タイプ、構造、および説明などの個別のシグニチャ情報のリポジトリでもあります。

セキュリティ アラートおよびシグニチャを次の URL で検索できます。

http://tools.cisco.com/security/center/search.x

Cisco.com からのライセンス キーの取得

ここでは、Cisco.com からライセンス キーを取得する方法、および CLI、IDM、または IME を使用してライセンス キーをインストールする方法について説明します。次のような構成になっています。

「ライセンスについて」

「IPS 製品用のサービス プログラム」

「IDM または IME を使用したライセンス キーの取得とインストール」

ライセンスについて

ライセンス キーなしでもセンサーは動作しますが、シグニチャ アップデートの取得およびグローバル相関機能の使用にはライセンス キーが必要です。ライセンス キーを取得するには、次のものを用意する必要があります。

Cisco Service for IPS サービス契約

契約を購入するには、リセラー、シスコのサービスまたは製品の営業担当者にお問い合わせください。

IPS デバイス シリアル番号

IPS デバイス シリアル番号を IDM または IME で確認するには、IDM で、[Configuration] > [Sensor Management] > [Licensing] を選択し、IME の場合は [Configuration] > sensor_name > [Sensor Management] > [Licensing] を選択します。 または、CLI で show version コマンドを使用します。

有効な Cisco.com ユーザ名およびパスワード

試用ライセンス キーも利用できます。契約の問題により、センサーにライセンスを設定できない場合は、ライセンスの必要なシグニチャ アップデートをサポートする 60 日間の試用ライセンスを取得できます。

ライセンス キーは、Cisco.com ライセンス サーバから取得できます。取得したライセンス キーは、センサーに配信されます。あるいは、ローカル ファイルで提供されるライセンス キーでライセンス キーを更新することもできます。 http://www.cisco.com/go/license にアクセスし、[IPS Signature Subscription Service] をクリックしてライセンス キーを要求します。

次の場所でライセンス キーのステータスを確認できます。

[IDM Home] ウィンドウの [Health] タブ上の [Licensing] セクション

[IDM Licensing] ペイン([Configuration] > [Licensing])

[Licensing] タブ上の [Device Details] セクション内の [IME Home] ページ

CLI ログイン時のライセンス通知

IDM、IME、または CLI を開始するとき、ライセンス ステータスが必ず通知されます(ライセンス キーが試用かどうか、無効かどうか、有効期限切れかどうか)。ライセンス キーがない、無効、または期限切れの場合、IDM、IME、および CLI を引き続き使用できますが、シグニチャ アップデートをダウンロードすることはできません。

センサー上にすでに有効なライセンスがある場合は、[License] ペイン上の [Download] をクリックすることで、IDM または IME を実行しているコンピュータに自分のライセンス キーのコピーをダウンロードし、ローカル ファイルに保存できます。その後、紛失または破損したライセンスと置き換えることができます。あるいは、センサーのイメージを再作成した後にライセンスを再インストールできます。

IPS 製品用のサービス プログラム

ライセンス キーをダウンロードしたり、最新の IPS シグニチャ アップデートを取得したりするには、IPS 製品用の Cisco Services for IPS サービス契約が必要です。シスコと直接取り引きしている場合は、担当のアカウント マネージャまたはサービス アカウント マネージャに連絡して、Cisco Services for IPS サービス契約を購入します。シスコと直接取り引きしていない場合は、1 ティアまたは 2 ティア パートナーからサービス アカウントを購入できます。

次の IPS 製品を購入する場合は、Cisco Services for IPS サービス契約も購入する必要があります。

IPS 4240

IPS 4255

IPS 4260

IPS 4270-20

AIM IPS

IDSM2

NME IPS

IPS を搭載していない ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合は、SMARTnet 契約を購入する必要があります。


) SMARTnet は、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトの NBD ハードウェア交換を提供します。


IPS SSP を搭載して出荷される ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合、あるいは IPS SSP を購入して ASA 5500 シリーズ適応型セキュリティ アプライアンス製品に追加する場合は、Cisco Services for IPS サービス契約を購入する必要があります。


) Cisco Services for IPS は、IPS シグニチャ アップデート、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトの NBD ハードウェア交換を提供します。


たとえば、ASA 5585-X を購入した後、IPS の追加が必要になり、ASA-IPS10-K9 を購入する場合は、Cisco Services for IPS サービス契約の購入が必要になります。Cisco Services for IPS サービス契約を結んだ後は、製品シリアル番号を用意して、ライセンス キーを要求する必要があります。


注意 製品を RMA に出したことがある場合、シリアル番号は変更されています。その場合は、新しいシリアル番号用に新しいライセンス キーを取得する必要があります。

IDM または IME を使用したライセンス キーの取得とインストール


) ライセンス キーを要求するには、有効な Cisco.com ユーザ名とパスワードに加え、Cisco Services for IPS サービス契約も必要です。


ライセンス キーを取得およびインストールするには、次の手順を実行してください。


ステップ 1 管理者権限を持つアカウントを使用して IDM または IME にログインします。

ステップ 2 IDM で [Configuration] > [Sensor Management] > [Licensing] を選択します。IME で [Configuration] > sensor_name > [Sensor Management] > [Licensing] を選択します。

[Licensing] ペインに現在のライセンスのステータスが表示されます。すでにライセンスをインストールしている場合は、必要に応じて [Download] をクリックしてライセンスを保存できます。

ステップ 3 次のいずれかを実行してライセンス キーを取得します。

[Cisco.com] オプション ボタンをクリックして、Cisco.com からライセンスを取得します。IDM または IME は、Cisco.com のライセンス サーバにアクセスし、サーバにシリアル番号を送信してライセンス キーを取得します。これがデフォルトの方式です。ステップ 4 に進みます。

[License File] オプション ボタンをクリックして、ライセンス ファイルを使用します。このオプションを使用するには、 www.cisco.com/go/license でライセンス キーを申請する必要があります。ライセンス キーは、電子メールで送信されてきます。IDM または IME がアクセスできるドライブにそのライセンス キーを保存します。このオプションは、ご使用のコンピュータが Cisco.com にアクセスできない場合に役立ちます。ステップ 7 に進みます。

ステップ 4 [Update License] をクリックし、[Licensing] ダイアログボックスで [Yes] をクリックして続行します。[Status] ダイアログボックスは、センサーが Cisco.com への接続を試行していることを示します。[Information] ダイアログボックスで、ライセンス キーがアップデートされたことを確認します。

ステップ 5 [OK] をクリックします。

ステップ 6 www.cisco.com/go/license にアクセスします。

ステップ 7 必要なフィールドに入力します。ライセンス キーは、指定した電子メール アドレスに送信されます。


注意 ライセンス キーは、指定されたシリアル番号を持つ IPS デバイス上でしか動作しないため、正確なシリアル番号を用意する必要があります。

ステップ 8 IDM または IME を実行中のクライアントがアクセスできるハードディスク ドライブまたはネットワーク ドライブにライセンス キーを保存します。

ステップ 9 IDM または IME にログインします。

ステップ 10 IDM で [Configuration] > [Sensor Management] > [Licensing] を選択します。IME で [Configuration] > sensor_name > [Sensor Management] > [Licensing] を選択します。

ステップ 11 [Update License] で、[License File] オプション ボタンをクリックします。

ステップ 12 [Local File Path] フィールドに、ライセンス ファイルへのパスを指定するか、[Browse Local] をクリックしてファイルを参照します。

ステップ 13 ライセンス ファイルを参照し、[Open] をクリックします。

ステップ 14 [Update License] をクリックします。


 

詳細情報

Cisco Services for IPS サービス契約の取得の詳細については、「IPS 製品用のサービス プログラム」を参照してください。

CLI を使用したライセンス キーの取得とインストール


) 新しいライセンス キーの上に古いライセンス キーをインストールすることはできません。


copy source-url license_file_name license-key コマンドを使用して、ライセンス キーをセンサーにコピーします。

オプション

次のオプションが適用されます。

source-url :コピー元のファイルの場所です。URL またはキーワードを使用できます。

destination-url :コピー先ファイルの場所です。URL またはキーワードを使用できます。

license-key :サブスクリプション ライセンス ファイルです。

license_file_name :受信するライセンス ファイルの名前です。

コピー元およびコピー先 URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。

ftp::FTP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename

scp::SCP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) FTP または SCP プロトコルを使用する場合、パスワードの入力を求められます。SCP プロトコルを使用する場合は、リモート ホストを SSH 既知ホスト リストに追加する必要があります。


http::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[/[username@]location]/directory]/filename

https::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[/[username@]location]/directory]/filename


) HTTPS プロトコルを使用する場合は、リモート ホストが TLS の信頼できるホストである必要があります。


ライセンス キーのインストール

ライセンス キーをインストールするには、次の手順を実行します。


ステップ 1 www.cisco.com/go/license にアクセスしてライセンス キーを要求します。


) ライセンス キーを要求するには、有効な Cisco.com ユーザ名とパスワードに加え、Cisco Services for IPS サービス契約も必要です。


ステップ 2 必要なフィールドに入力します。Cisco IPS シグニチャ サブスクリプション サービス ライセンス キーは、指定した電子メール アドレスに電子メールで送信されます。


) ライセンス キーは、指定されたシリアル番号を持つ IPS デバイス上でしか動作しないため、正確なシリアル番号を用意する必要があります。


ステップ 3 Web サーバ、FTP サーバ、または SCP サーバが存在するシステムにライセンス キーを保存します。

ステップ 4 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 5 ライセンス キーをセンサーにコピーします。

sensor# copy scp://user@10.89.147.3://tftpboot/dev.lic license-key
Password: *******
 

ステップ 6 センサーがライセンスされていることを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S518.0 2010-10-04
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Sensor up-time is 4:32.
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40%
usage)
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
 
sensor#
 
 


 

詳細情報

リモート ホストを SSH 既知ホスト リストに追加する手順については、 「SSH 既知ホスト リストへのホストの追加」 を参照してください。

リモート ホストを信頼できるホストのリストに追加する手順については、 「TLS の信頼できるホストの追加」 を参照してください。

Cisco Services for IPS サービス契約の取得の詳細については、「IPS 製品用のサービス プログラム」を参照してください。