Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
IPS SSP のセットアップ
IPS SSP のセットアップ
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

IPS SSP のセットアップ

ネットワーク設定値の変更

ホスト名の変更

IP アドレス、ネットマスク、およびゲートウェイの変更

Telnet のイネーブル化とディセーブル化

アクセス リストの変更

FTP タイムアウトの変更

ログイン バナーの追加

グローバル相関用の DNS サーバとプロキシ サーバの設定

Web サーバ設定の変更

ユーザ パラメータの設定

ユーザの追加と削除

サービス アカウントの作成

パスワードの設定

ユーザ権限レベルの変更

ユーザ ステータスの表示

パスワード ポリシーの設定

アカウント ロッキングの設定

IPS SSP パスワードの回復

IPS SSP パスワードの回復

パスワード回復のディセーブル化

パスワード回復の状態の確認

パスワード回復のトラブルシューティング

時刻の設定

時刻源と IPS SSP

IPS SSP のクロックと適応型セキュリティ アプライアンスのクロックの同期化

IPS SSP 上の時刻の修正

IPS SSP 上の時刻の設定

システム クロックの表示

繰り返しサマータイム設定の設定

非繰り返しサマータイム設定の設定

時間帯設定の設定

NTP の設定

Cisco ルータを NTP サーバにする設定

センサーで NTP 時刻源を使用するための設定

SSH の設定

SSH について

SSH 既知ホスト リストへのホストの追加

SSH 認証公開キーの追加

新しい SSH サーバ キーの生成

TLS の設定

TLS について

TLS の信頼できるホストの追加

サーバ証明書の表示と生成

ライセンス キーのインストール

ライセンス キーについて

IPS 製品用のサービス プログラム

ライセンス キーの取得とインストール

IPS SSP のセットアップ


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、初期化情報の変更、ユーザの追加と削除、時刻の設定と NTP のセットアップ、サービス アカウントの作成、SSH と TLS の設定、ライセンス キーのインストールなど、IPS SSP のセットアップ手順について説明します。この章は、次のような構成になっています。

「ネットワーク設定値の変更」

「Web サーバ設定の変更」

「ユーザ パラメータの設定」

「IPS SSP パスワードの回復」

「時刻の設定」

「SSH の設定」

「TLS の設定」

「ライセンス キーのインストール」

ネットワーク設定値の変更


) これらの設定値のほとんどは、setup コマンドを使用して IPS SSP を初期化した際に設定済みです。詳細については、「IPS SSP の初期化」を参照してください。


IPS SSP を初期化した後、 setup コマンドで設定したネットワーク設定値を変更することが必要になる場合があります。ここでは、ネットワーク設定値を変更する方法について説明します。次のような構成になっています。

「ホスト名の変更」

「IP アドレス、ネットマスク、およびゲートウェイの変更」

「Telnet のイネーブル化とディセーブル化」

「アクセス リストの変更」

「FTP タイムアウトの変更」

「ログイン バナーの追加」

「グローバル相関用の DNS サーバとプロキシ サーバの設定」

ホスト名の変更

setup コマンドの実行を完了した後、サービス ホスト サブモードで host-name host_name コマンドを使用して、IPS SSP のホスト名を変更します。デフォルトは sensor です。


) 現在のセッションおよび他の既存のセッションの CLI プロンプトは、新しいホスト名に更新されません。それ以降の CLI ログイン セッションでは、プロンプトに新しいホスト名が反映されます。


IPS SSP ホスト名を変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 IPS SSP ホスト名を変更します。

ips-ssp(config-hos-net)# host-name ips-ssp
 

ステップ 4 新しいホスト名を確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.0 default:
192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 5 ホスト名をデフォルトの設定に戻すには、コマンドの default 形式を使用します。

ips-ssp(config-hos-net)# default host-name
 

ステップ 6 デフォルトのホスト名への変更を確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.0 default:
192.168.1.2/24,192.168.1.1
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 7 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

IP アドレス、ネットマスク、およびゲートウェイの変更

setup コマンドの実行を完了した後、サービス ホスト サブモードで host-ip ip_address/netmask,default_gateway コマンドを使用して IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更します。デフォルトは、192.168.1.2/24,192.168.1.1 です。

host-ip は、X.X.X.X/nn,Y.Y.Y.Y(IP アドレス/ネットマスク/ゲートウェイ)の形式になります。ここで、X.X.X.X は IPS SSP の IP アドレスを示し、ピリオドで区切られた 4 つのオクテットで記述される 32 ビット アドレスです(X = 0 ~ 255)。nn はネットマスクのビット数を示します。Y.Y.Y.Y はデフォルト ゲートウェイを示し、ピリオドで区切られた 4 つのオクテットで記述される 32 ビット アドレスです(Y = 0 ~ 255)。

IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 IP アドレス、ネットマスク、デフォルト ゲートウェイを変更します。

ips-ssp(config-hos-net)# host-ip 192.0.2.0/24 255.255.255.0
 

) デフォルト ゲートウェイは、IPS SSP の IP アドレスと同じサブネット内に存在する必要があります。存在しないと、IPS SSP からエラーが出力され、その設定変更は適用されません。


ステップ 4 新しい情報を確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24 255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
 

ステップ 5 この情報をデフォルトの設定に戻すには、コマンドの default 形式を使用します。

ips-ssp(config-hos-net)# default host-ip
 

ステップ 6 ホスト IP がデフォルトの 192.168.1.2/24,192.168.1.1 になっていることを確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.168.1.2/24,192.168.1.1 <defaulted>
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 7 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

Telnet のイネーブル化とディセーブル化

サービス ホスト サブモードで telnet-option {enabled | disabled} コマンドを使用して、IPS SSP へのリモート アクセス用に Telnet をイネーブルにします。デフォルトではディセーブルになっています。


注意 Telnet はセキュアなアクセス サービスではないため、デフォルトでは無効になっています。ただし、IPS SSP 上でセキュアなサービスである SSH が常時実行されています。

Telnet サービスをイネーブルまたはディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 Telnet サービスをイネーブルにします。

ips-ssp(config-hos-net)# telnet-option enabled
ips-ssp(config-hos-net)#
 

ステップ 4 Telnet がイネーブルに設定されたことを確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 5 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


) IPS SSP に Telnet 接続するには、Telnet をイネーブルにし、Telnet クライアントの接続を許可するアクセス リストを設定する必要があります。



 

詳細情報

アクセス リストの設定手順については、「アクセス リストの変更」を参照してください。

アクセス リストの変更

サービス ホスト サブモードで access-list ip_address/netmask コマンドを使用して、アクセス リスト(IPS SSP へのアクセスを許可されるホストおよびネットワークのリスト)を設定します。リストからエントリを削除するには、このコマンドの no 形式を使用します。デフォルトのアクセス リストは空です。

次のホストが、アクセス リストにエントリされている必要があります。

IPS SSP に Telnet 接続する必要のあるホスト。

IPS SSP との間で SSH を使用する必要のあるホスト。

Web ブラウザから IPS SSP にアクセスする必要のあるホスト(IDM や IME など)。

IPS SSP にアクセスする必要のある管理ステーション(CSM など)。

IPS SSP がマスター ブロッキング センサーの場合、ブロッキング転送センサーの IP アドレスがリストにエントリされている必要があります。

アクセス リストを修正するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 エントリをアクセス リストに追加します。単一ホストのネットマスクは 32 です。

ips-ssp(config-hos-net)# access-list 10.89.146.110/32
 

ステップ 4 アクセス リストに行った変更を確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.168.1.2/24,192.168.1.1 <defaulted>
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 2)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
network-address: 10.89.146.110/32
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
 

ステップ 5 エントリをアクセス リストから削除します。

ips-ssp(config-hos-net)# no access-list 10.89.146.110/32
 

ステップ 6 エントリが削除されていることを確認します。リスト内にホストが存在しなくなります。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.168.1.2/24,192.168.1.1 <defaulted>
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 7 値をデフォルトに戻します。

ips-ssp(config-hos-net)# default access-list
 

ステップ 8 値がデフォルトに戻っていることを確認します。リスト内にはホストもネットワークも存在しなくなっています。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 0)
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 9 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 10 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

FTP タイムアウトの変更

サービス ホスト サブモードで ftp-timeout コマンドを使用して、FTP タイムアウトの秒数を変更します。この秒数は、IPS SSP が FTP サーバと通信しているときに、FTP クライアントがタイムアウトするまでの待ち時間です。デフォルトは 300 秒です。


) FTP クライアントは、FTP サーバからアップデートやコンフィギュレーション ファイルをダウンロードする際に使用できます。


FTP タイムアウトを変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 FTP タイムアウトの秒数を変更します。

ips-ssp(config-hos-net)# ftp-timeout 500
 

ステップ 4 FTP タイムアウトの変更を確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 500 seconds default: 300
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 5 値をデフォルトに戻します。

ips-ssp(config-hos-net)# default ftp-timeout
 

ステップ 6 値がデフォルトに戻っていることを確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 7 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

ログイン バナーの追加

login-banner-text text_message コマンドを使用して、ユーザのログイン時に表示されるログイン バナーを追加します。デフォルトはありません。メッセージ内で新しい行を開始するときは、Ctrl キーを押した状態で V キーを押し、Enter を押します。

ログイン バナーを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 バナー ログイン テキストを追加します。

ips-ssp(config-hos-net)# login-banner-text This is the banner login text message.
 

ステップ 4 バナー ログイン テキスト メッセージを確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: This is the banner login text message. default:
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 5 ログイン バナー テキストを削除するには、コマンドの no 形式を使用します。

ips-ssp(config-hos-net)# no login-banner-text
 

ステップ 6 ログイン テキストが削除されていることを確認します。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0
default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: default:
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 7 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 8 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

グローバル相関用の DNS サーバとプロキシ サーバの設定

ネットワーク設定サブモードで http-proxy dns-primary-server dns-secondary-server 、および dns-tertiary-server コマンドを使用して、グローバル相関機能をサポートするようにサーバを設定します。

グローバル相関をサポートするために、HTTP プロキシ サーバか DNS サーバを設定する必要があります。ネットワーク内でプロキシを使用している場合は、グローバル相関更新をダウンロードするためにプロキシ サーバが必要な場合があります。DNS サーバを使用している場合は、グローバル相関更新が成功するために、少なくとも 1 台の到達可能な DNS サーバを設定する必要があります。その他の DNS サーバは、バックアップ サーバとして設定できます。DNS クエリーは、リスト内の最初のサーバに送信されます。そのサーバが到達不能の場合、DNS クエリーは、設定されている次の DNS サーバに送信されます。


注意 グローバル相関が動作するには、DNS サーバまたは HTTP プロキシ サーバが常時設定されている必要があります。


注意 DNS 解決は、グローバル相関更新サーバにアクセスするためにのみサポートされます。

オプション

次のオプションが適用されます。

http-proxy {no-proxy | proxy-sensor} :HTTP プロキシ サーバを設定します。

address ip_address :HTTP プロキシ サーバの IP アドレスを指定します。

port port_number :HTTP プロキシ サーバのポート番号を指定します。

dns-primary-server {enabled | disabled} :DNS プライマリ サーバをイネーブルにします。

address ip_address :DNS プライマリ サーバの IP アドレスを指定します。

dns-secondary-server {enabled | disabled} :DNS セカンダリ サーバをイネーブルにします。

address ip_address :DNS セカンダリ サーバの IP アドレスを指定します。

dns-tertiary-server {enabled | disabled} :DNS ターシャリ サーバをイネーブルにします。

address ip_address :DNS ターシャリ サーバの IP アドレスを指定します。

グローバル相関をサポートするように DNS サーバとプロキシ サーバを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ネットワーク設定サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# network-settings
 

ステップ 3 グローバル相関をサポートするようにプロキシ サーバまたは DNS サーバをイネーブルにします。

a. プロキシ サーバをイネーブルにします。

ips-ssp(config-hos-net)# http-proxy proxy-server
ips-ssp(config-hos-net-pro)# address 10.10.10.1
ips-ssp(config-hos-net-pro)# port 65
ips-ssp(config-hos-net-pro)#
 

b. DNS サーバをイネーブルにします。

ips-ssp(config-hos-net)# dns-primary-server enabled
ips-ssp(config-hos-net-ena)# address 10.10.10.1
ips-ssp(config-hos-net-ena)#
 

ステップ 4 設定を確認できます。

ips-ssp(config-hos-net)# show settings
network-settings
-----------------------------------------------
host-ip: 192.0.2.0/24,255.255.255.0 default: 192.168.1.2/24,192.168.1.1
host-name: ips-ssp default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
dns-primary-server
-----------------------------------------------
enabled
-----------------------------------------------
address: 10.10.10.1
-----------------------------------------------
-----------------------------------------------
dns-secondary-server
-----------------------------------------------
disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
dns-tertiary-server
-----------------------------------------------
disabled
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
http-proxy
-----------------------------------------------
proxy-server
-----------------------------------------------
address: 10.10.10.1
port: 65
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-hos-net)#
 

ステップ 5 ネットワーク設定モードを終了します。

ips-ssp(config-hos-net)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 6 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

グローバル相関機能の詳細については、「グローバル相関の設定」を参照してください。

Web サーバ設定の変更

setup コマンドを実行した後は、Web サーバ ポート、TLS 暗号化を使用するかどうか、HTTP サーバ ヘッダー メッセージといった Web サーバ設定を変更できます。


) デフォルトの Web サーバ ポートは、TLS がイネーブルの場合は 443、TLS がディセーブルの場合は 80 です。


HTTP は、Web クライアントが Web サーバに要求を行う際に使用するプロトコルです。HTTP の仕様では、サーバは各応答において自身の識別情報を示す必要があります。攻撃者は、このプロトコル機能を悪用して偵察を行うことがあります。IPS Web サーバが自身の識別情報を示す際に不用意な応答を提供すると、攻撃者に IPS センサーの存在を知られるおそれがあります。

IPS センサーを装備していることを攻撃者に知られないようにすることを推奨します。特に Web サーバがインターネットからアクセス可能な場合は、情報を一切漏らさない内容に server-id を変更してください。

たとえば、ポートをファイアウォール越しに転送して、センサーをリモートでモニタできるようにする場合は、 server-id を設定する必要があります。

Web サーバ設定を変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 Web サーバ モードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service web-server
 

ステップ 3 ポート番号を変更します。

ips-ssp(config-web)# port 8080
 

ポート番号をデフォルトの 443 から 8080 に変更すると、次のメッセージが表示されます。

Warning: The web server’s listening port number has changed from 443 to 8080. This change will not take effect until the web server is re-started
 

ステップ 4 TLS をイネーブルまたはディセーブルにします。

ips-ssp(config-web)# enable-tls {true | false}
 

TLS をディセーブルにすると、次のメッセージが表示されます。

Warning: TLS protocol support has been disabled. This change will not take effect until the web server is re-started.
 

ステップ 5 HTTP サーバ ヘッダーを変更します。

ips-ssp(config-web)# server-id Nothing to see here. Move along.
 

ステップ 6 Web サーバの変更を確認します。

ips-ssp(config-web)# show settings
enable-tls: true default: true
port: 8001 default: 443
server-id: Nothing to see here. Move along. default: HTTP/1.1 compliant
ips-ssp(config-web)#
 

ステップ 7 デフォルトに戻すには、各コマンドの default 形式を使用します。

ips-ssp(config-web)# default port
ips-ssp(config-web)# default enable-tls
ips-ssp(config-web)# default server-id
 

ステップ 8 デフォルトに置き換えられていることを確認します。

ips-ssp(config-web)# show settings
enable-tls: true <defaulted>
port: 443 <defaulted>
server-id: HTTP/1.1 compliant <defaulted>
configurable-service (min: 0, max: 99, current: 1)
-----------------------------------------------
<protected entry>
service-name: rdep-event-server
-----------------------------------------------
enabled: true default: false
file-name: event-server <protected>
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-web)#
 

ステップ 9 Web サーバ サブモードを終了します。

ips-ssp(config-web)# exit
Apply Changes:?[yes]:
 

ステップ 10 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


) ポートを変更する場合または TLS 設定をイネーブルにする場合は、Web サーバで新しい設定が使用されるように IPS SSP をリセットする必要があります。



 

詳細情報

IPS SSP をリセットする手順については、「IPS SSP のリロード、シャットダウン、リセット、および復旧」を参照してください。

ユーザ パラメータの設定

ここでは、サービス アカウントの作成、ユーザの作成、パスワードの設定と回復、権限レベルの指定、およびユーザのリストの表示を行う方法について説明します。次のような構成になっています。

「ユーザの追加と削除」

「サービス アカウントの作成」

「パスワードの設定」

「ユーザ権限レベルの変更」

「ユーザ ステータスの表示」

「パスワード ポリシーの設定」

「アカウント ロッキングの設定」

ユーザの追加と削除

ローカル システムでユーザを作成するには、 username コマンドを使用します。新しいユーザの追加、権限レベル(administrator、operator、viewer)の設定、および新規ユーザのパスワードの設定を実行できます。システムからユーザを削除するには、このコマンドの no 形式を使用します。これにより、CLI と Web アクセスからユーザが削除されます。


注意 username コマンドは、ログインだけを目的としてユーザ名とパスワードの認証を行います。システムにログインしているユーザの削除に、このコマンドは使用できません。自分をシステムから削除するために、このコマンドは使用できません。

パスワードを指定しないと、入力を要求されます。既存のユーザのパスワードを変更するには、 password コマンドを使用します。既存のユーザの権限を変更するには、 privilege コマンドを使用します。

ユーザ名はパターン ^[A-Za-z0-9()+:,_/-]+$ に従います。つまり、ユーザ名は必ず英字または数字から始まり、A ~ Z の任意の英字(大文字または小文字)、0 ~ 9 の任意の数字、および - と _ からなる 1 ~ 64 の文字で構成します。パスワードは、センサー管理者によって設定された要件を満たす必要があります。

無効なパスワードを作成すると、次のエラー メッセージが表示されます。

Error: setEnableAuthenticationTokenStatus : The password is too short.

Error: setEnableAuthenticationTokenStatus : Failure setting the account's password: it does not contain enough DIFFERENT characters


privilege コマンドを使用してユーザにサービス権限を与えることはできません。既存のユーザにサービス権限を与えるには、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成します。


ユーザを追加および削除するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 ユーザのパラメータを指定します。

ips-ssp(config)# username username password password privilege administrator/operator/viewer
 

) ユーザ名はパターン ^[A-Za-z0-9()+:,_/-]+$ に従います。つまり、ユーザ名は必ず英字または数字から始まり、A ~ Z の任意の英字(大文字または小文字)、0 ~ 9 の任意の数字、および - と _ からなる 1 ~ 64 の文字で構成します。パスワードは、センサー管理者によって設定された要件を満たす必要があります。


たとえば、ユーザ「tester」を管理者権限レベルとパスワード「testpassword」で追加するには、次のコマンドを入力します。


) パスワードを平文で表示したくない場合は、パスワード プロンプトが表示されるのを待ちます。ユーザ名と権限を入力するときには、パスワードを入力しません。


ips-ssp(config)# username tester privilege administrator
Enter Login Password: ************
Re-enter Login Password: ************
ips-ssp(config)#
 

) ユーザの権限レベルを指定しない場合、そのユーザにはデフォルトのビューア(viewer)権限が割り当てられます。


ステップ 4 ユーザが追加されていることを確認します。ユーザのリストが表示されます。

ips-ssp(config)# exit
ips-ssp# show users all
CLI ID User Privilege
* 13491 cisco administrator
jsmith operator
jtaylor service
jroberts viewer
ips-ssp#
 

ステップ 5 ユーザを削除するには、コマンドの no 形式を使用します。

ips-ssp# configure terminal
ips-ssp(config)# no username jsmith
 

) このコマンドを使用して、システムから自分を削除することはできません。


ステップ 6 ユーザが削除されたことを確認します。ユーザ jsmith が削除されています。

ips-ssp(config)# exit
ips-ssp# show users all
CLI ID User Privilege
* 13491 cisco administrator
jtaylor service
jroberts viewer
ips-ssp#
 


 

詳細情報

サービス アカウントの作成手順については、「サービス アカウントの作成」を参照してください。

サービス アカウントの作成

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。

root ユーザのパスワードは、サービス アカウントが作成されたときにサービス アカウントのパスワードに同期化されます。root アクセス権限を取得するには、サービス アカウントでログインしてから、 su - root コマンドで root ユーザに切り替わる必要があります。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの適切なパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。


注意 サービス アカウントを作成するかどうかは、慎重に検討してください。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

サービス アカウントを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 サービス アカウントのパラメータを指定します。ユーザ名はパターン ^[A-Za-z0-9()+:,_/-]+$ に従います。つまり、ユーザ名は必ず英字または数字から始まり、A ~ Z の任意の英字(大文字または小文字)、0 ~ 9 の任意の数字、および - と _ からなる 1 ~ 64 の文字で構成します。

ips-ssp(config)# user username privilege service
 

ステップ 4 入力を要求されたらパスワードを指定します。パスワードは、センサー管理者によって設定された要件を満たす必要があります。この IPS SSP に対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。

Error: Only one service account may exist
 

ステップ 5 コンフィギュレーション モードを終了します。

ips-ssp(config)# exit
ips-ssp#
 

サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。

************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
 


 

パスワードの設定

password コマンドを使用して、ローカル センサー上のパスワードを更新します。このコマンドを使用して、既存のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットすることもできます。有効なパスワードの長さは 8 ~ 32 文字です。スペース以外のすべての文字を使用できます。

パスワードを変更するには、次の手順を実行します。


ステップ 1 他のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットするには、次の手順を実行します。

a. 管理者権限を持つアカウントを使用して CLI にログインします。

b. コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

c. 特定のユーザのパスワードを変更します。

ips-ssp(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
 

) この例では、ユーザ「tester」のパスワードを変更します。


ステップ 2 自分のパスワードを変更するには、次の手順を実行します。

a. CLI にログインします。

b. コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

c. 自分のパスワードを変更します。

ips-ssp(config)# password
Enter Old Login Password:************
Enter New Login Password: ************
Re-enter New Login Password: ************
 


 

ユーザ権限レベルの変更

privilege コマンドを使用して、ユーザの権限レベル(administrator、operator、viewer)を変更します。


privilege コマンドを使用してユーザにサービス権限を与えることはできません。既存のユーザにサービス権限を与えるには、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成します。サービス権限を持つことができるのは 1 人だけです。


ユーザの権限レベルを変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 ユーザ jsmith の現在の権限を確認します。

ips-ssp# show users all
CLI ID User Privilege
* 13491 cisco administrator
jsmith viewer
operator operator
service service
viewer viewer
ips-ssp#
 

ステップ 3 権限レベルをビューア(viewer)からオペレータ(operator)に変更します。

ips-ssp# configure terminal
ips-ssp(config)# privilege user jsmith operator
Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.
ips-ssp(config)#
 

ステップ 4 ユーザの権限が変更されていることを確認します。ユーザ jsmith の権限が viewer から operator に変更されています。

ips-ssp(config)# exit
ips-ssp# show users all
 
CLI ID User Privilege
* 13491 cisco administrator
jsmith operator
operator operator
service service
viewer viewer
ips-ssp#
 

ステップ 5 自分の現在の権限レベルを表示します。

ips-ssp# show privilege
Current privilege level is administrator
 


 

詳細情報

サービス アカウントの作成手順については、「サービス アカウントの作成」を参照してください。

ユーザ ステータスの表示

show users コマンドを使用して、センサーにログインしているすべてのユーザのユーザ名と権限に関する情報を表示します。また、ログイン ステータスに関係なくセンサー上のすべてのユーザ アカウントに関する情報も表示します。* により、現在のユーザが示されます。アカウントがロックされていると、そのユーザ名はカッコで囲まれます。ロックされているアカウントとは、ユーザが正しいパスワードの入力に、設定された試行回数を超えて失敗したことを意味します。


) すべての IPS プラットフォームで、同時に 10 個のログイン セッションを利用できます。


ユーザ情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 IPS SSP にログインしているユーザを確認します。

ips-ssp# show users
CLI ID User Privilege
* 13491 cisco administrator
ips-ssp#
 

ステップ 3 すべてのユーザを確認します。ユーザ jsmith のアカウントがロックされています。

ips-ssp# show users all
CLI ID User Privilege
* 13491 cisco administrator
5824 (jsmith) viewer
9802 tester operator
ips-ssp#
 

ステップ 4 jsmith のアカウントのロックを解除するには、パスワードをリセットします。

ips-ssp# configure terminal
ips-ssp(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
 


 

パスワード ポリシーの設定

センサー管理者として、パスワードの作成方法を設定できます。ユーザが作成したすべてのパスワードは、管理者がセットアップしたポリシーに従う必要があります。たとえば、10 文字以上 40 文字以下のパスワードで、少なくとも 2 つの大文字と 2 つの数字が含まれていなければならないというポリシーを設定できます。パスワード ポリシーが設定された後は、各ユーザ アカウントに設定されているすべてのパスワードがこのパスワード ポリシーに従う必要があります。

ログインの試行回数およびパスワードのサイズと最小文字数の要件を設定できます。パスワードの最小文字数は 8 です。パスワードを忘れた場合は、センサー プラットフォームに応じたさまざまな方法でパスワードを回復できます。


注意 パスワード ポリシーに文字セット(大文字や数字など)の最小数を含める場合、必要な文字セットの最小数の合計が最小パスワード サイズを超えることはできません。たとえば、最小パスワード サイズを 8 文字に設定し、パスワードに 5 文字以上の小文字と 5 文字以上の大文字を含めるように要求することはできません。

パスワード ポリシーをセットアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 パスワード強度の認証サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service authentication
ips-ssp(config-aut)# password-strength
 

ステップ 3 パスワードに含めなければならない、数字の最小文字数を設定します。範囲は 0 ~ 64 です。

ips-ssp(config-aut-pas)# digits-min 6
 

ステップ 4 パスワードに含めなければならない、英数字以外の印刷可能文字の最小文字数を設定します。範囲は 0 ~ 64 です。

ips-ssp(config-aut-pas)# other-min 3
 

ステップ 5 パスワードに含めなければならない、大文字の英字の最小文字数を設定します。範囲は 0 ~ 64 です。

ips-ssp(config-aut-pas)# uppercase-min 3
 

ステップ 6 パスワードに含めなければならない、小文字の英字の最小文字数を設定します。

ips-ssp(config-aut-pas)# lowercase-min 3
 

ステップ 7 アカウントごとに記憶される古いパスワードの数を設定します。新しいパスワードは、アカウントのこれらの古いパスワードのいずれとも一致することはできません。

ips-ssp(config-aut-pas)# number-old-passwords 3
 

ステップ 8 新しい設定を確認します。

ips-ssp(config-aut-pas)# show settings
password-strength
-----------------------------------------------
size: 8-64 <defaulted>
digits-min: 6 default: 0
uppercase-min: 3 default: 0
lowercase-min: 3 default: 0
other-min: 3 default: 0
number-old-passwords: 3 default: 0
-----------------------------------------------
ips-ssp(config-aut-pas)#
 


 

アカウント ロッキングの設定

認証サブモードで attemptLimit number コマンドを使用して、一定回数の試行失敗後にユーザがログインを試行できなくなるようにアカウントをロックします。デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。

アカウント ロッキングを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 サービス認証サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service authentication
 

ステップ 3 ユーザがアカウントにログインするために実行可能な試行回数を設定します。

ips-ssp(config-aut)# attemptLimit 3
 

ステップ 4 新しい設定を確認します。

ips-ssp(config-aut)# show settings
attemptLimit: 3 defaulted: 0
ips-ssp(config-aut)#
 

ステップ 5 値をシステムのデフォルト設定に戻します。

ips-ssp(config-aut)# default attemptLimit
 

ステップ 6 設定がデフォルトに戻っていることを確認します。

ips-ssp(config-aut)# show settings
attemptLimit: 0 <defaulted>
ips-ssp(config-aut)#
 

ステップ 7 アカウントがロックされているユーザがいるかどうかを確認します。ユーザ jsmith は、カッコで囲まれているので、アカウントがロックされています。


) attemptLimit が非ゼロの値になっている設定を適用すると、SSH サーバで変更が行われ、センサーとの接続に問題が発生する可能性があります。attemptLimit が非ゼロの場合、SSH サーバは、クライアントがチャレンジ/レスポンス認証をサポートすることを要求します。SSH クライアントが接続した後、パスワードが要求される前に問題が発生する場合は、チャレンジ/レスポンス認証をイネーブルにする必要があります。手順については、SSH クライアントのマニュアルを参照してください。


ips-ssp(config-aut)# exit
ips-ssp(config)# exit
ips-ssp# show users all
CLI ID User Privilege
* 1349 cisco administrator
5824 (jsmith) viewer
9802 tester operator
 

ステップ 8 jsmith のアカウントのロックを解除するには、パスワードをリセットします。

ips-ssp# configure terminal
ips-ssp(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
 


 

IPS SSP パスワードの回復

ここでは、IPS SSP のパスワードを回復する方法について説明します。次のような構成になっています。

「IPS SSP パスワードの回復」

「パスワード回復のディセーブル化」

「パスワード回復の状態の確認」

「パスワード回復のトラブルシューティング」

IPS SSP パスワードの回復


) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


CLI または ASDM を使用して IPS SSP のパスワードをデフォルト( cisco )にリセットできます。パスワードをリセットすると、IPS SSP がリブートします。リブート中は、IPS サービスを使用できません。

hw-module module slot_number password-reset コマンドを使用して、パスワードをデフォルトの cisco にリセットします。ASA 5500 シリーズ適応型セキュリティ アプライアンスは、ROMMON confreg ビットを 0x7 に設定してから、IPS SSP をリブートします。この ROMMON ビットにより、GRUB メニューがデフォルトでオプション 2( パスワードのリセット )になります。

指定したスロット内のモジュールに搭載されている IPS のバージョンがパスワード回復をサポートしていない場合、次のエラー メッセージが表示されます。

ERROR: the module in slot <n> does not support password recovery.
 

ASDM の使用

ASDM でパスワードをリセットするには、次の手順を実行します。


ステップ 1 ASDM メニュー バーから、[Tools] > [IPS Password Reset] を選択します。


) このオプションは、IPS モジュールがインストールされていなければ表示されません。


ステップ 2 [IPS Password Reset] 確認ダイアログボックスで、[OK] をクリックしてパスワードをデフォルト( cisco )にリセットします。ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットに失敗した場合は、ASA と IPS SSP に正しいソフトウェアが搭載されていることを確認してください。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。IPS SSP がリブートします。


 

パスワード回復のディセーブル化


注意 パスワード回復がディセーブルになっている IPS SSP 上でパスワード回復を試みた場合、プロセスはエラーも警告も出力せずに進行しますが、パスワードはリセットされません。パスワードを忘れたため IPS SSP にログインできない場合、パスワード回復がディセーブルに設定されていると、IPS SSP のイメージを再作成する必要があります。

パスワードの回復は、デフォルトでイネーブルです。CLI、IDM、または IME を使用してパスワード回復をディセーブルにできます。

CLI でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 ホスト モードを開始します。

ips-ssp(config)# service host
 

ステップ 4 パスワード回復をディセーブルにします。

ips-ssp(config-hos)# password-recovery disallowed
 


 

IDM または IME でパスワード回復をディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用し、IDM または IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。

ステップ 3 パスワード回復をディセーブルにするには、[Allow Password Recovery] チェックボックスをオフにします。


 

パスワード回復の状態の確認

show settings | include password コマンドを使用して、パスワード回復がイネーブルかどうかを確認します。

パスワード回復がイネーブルかどうかを確認するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 サービス ホスト サブモードを開始します。

ips-ssp# configure terminal
ips-ssp (config)# service host
ips-ssp (config-hos)#
 

ステップ 3 include キーワードを使用して、フィルタリングされた出力で設定を表示することにより、パスワード回復の状態を確認します。

ips-ssp(config-hos)# show settings | include password
password-recovery: allowed <defaulted>
ips-ssp(config-hos)#
 


 

パスワード回復のトラブルシューティング

パスワード回復のトラブルシューティングを行うときは、次の点に注意します。

ROMMON プロンプト、GRUB メニュー、スイッチ CLI、またはルータ CLI からは、センサー設定内でパスワード回復がディセーブルになっているかどうかを判別できません。パスワード回復を試みると、常に成功しているように見えます。ディセーブルになっていた場合、パスワードは cisco にリセットされません。この場合、センサーのイメージを再作成するしか方法はありません。

パスワード回復は、ホスト設定でディセーブルにできます。外部メカニズムを使用するプラットフォームの場合、コマンドを実行してパスワードをクリアすることができますが、IPS でパスワード回復がディセーブルになっていると、IPS は、パスワード回復が許可されていないことを検出し、外部からの要求を拒否します。

パスワード回復の状態を確認するには、 show settings | include password コマンドを使用します。

時刻の設定

ここでは、IPS SSP に信頼できる時刻源を用意することの重要性について説明します。次のような構成になっています。

「時刻源と IPS SSP」

「IPS SSP のクロックと適応型セキュリティ アプライアンスのクロックの同期化」

「IPS SSP 上の時刻の修正」

「IPS SSP 上の時刻の設定」

「NTP の設定」

時刻源と IPS SSP

IPS SSP には、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC と現地時間のタイムスタンプが必要です。正確なタイムスタンプがないと、攻撃の後でログを正しく分析できません。IPS SSP を初期化するとき、時間帯とサマータイム設定をセットアップします。IPS SSP 上の時刻を設定する方法は 2 つあります。

IPS SSP が、自身のクロックを、自身を搭載している適応型セキュリティ アプライアンスのクロックと自動的に同期します。これがデフォルトです。

時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように IPS SSP を設定できます。


) NTP サーバを使用することを推奨します。認証済みまたは未認証の NTP を使用できます。認証済みの NTP の場合、NTP サーバの IP アドレス、NTP サーバのキー ID、および NTP サーバのキー値が必要です。初期化時に NTP をセットアップすることも、CLI、IDM、IME、または ASDM を使用して NTP を設定することもできます。


IPS SSP のクロックと適応型セキュリティ アプライアンスのクロックの同期化

IPS SSP は、起動するたびに、および親シャーシ(適応型セキュリティ アプライアンス)のクロックが設定されるたびに、自身のシステム クロックを適応型セキュリティ アプライアンスのクロックに同期します。IPS SSP のクロックと適応型セキュリティ アプライアンスのクロックの間では、時間の経過とともに時刻がずれていく傾向があります。この差は、1 日で数秒になることがあります。この問題を回避するには、IPS SSP のクロックと適応型セキュリティ アプライアンスのクロックの両方を外部の NTP サーバに同期させます。IPS SSP のクロックのみ、あるいは適応型セキュリティ アプライアンス シャーシのクロックのみを NTP サーバに同期させた場合は、時刻のずれが発生します。

IPS SSP 上の時刻の修正

保存されているイベントには、その作成時刻がタイムスタンプとして記録されるため、時刻の設定に誤りがあると、それらのイベントに対しても誤った時刻が記録されます。イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ時に、8:00 a.m. と指定すべきところを誤って 8:00 p.m. と指定した場合、それを修正すると、修正後の時刻は現在よりさかのぼった時刻に設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。

たとえば、初期セットアップ中に IPS SSP を中部時間に設定し、さらにサマータイムをイネーブルにした場合、現地時間が 8:04 p.m. であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の 9:00 a.m. に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。この場合、時刻を 9:00 a.m. に変更すれば、時計は 09:01:33 CDT と表示されます。ただし、UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。

イベント レコードのタイムスタンプの整合性を確保するには、 clear events コマンドを使用して、古いイベントのイベント アーカイブをクリアする必要があります。


) イベントは、個別には削除できません。


IPS SSP 上の時刻の設定

ここでは、イベントにタイムスタンプが正しく付けられるように、IPS SSP 上の時刻を設定する方法について説明します。次のような構成になっています。

「システム クロックの表示」

「繰り返しサマータイム設定の設定」

「非繰り返しサマータイム設定の設定」

「時間帯設定の設定」

システム クロックの表示

show clock [ detail ] コマンドを使用して、システム クロックを表示します。 detail オプションを使用すると、クロック ソース(NTP またはシステム)と現在のサマータイム設定(設定されている場合)を表示できます。システム クロックは、時刻が信頼できる(正確であると信じられる)かどうかを示す信頼性フラグを保持しています。システム クロックがタイミング ソース(NTP など)によって設定されている場合は、このフラグが設定されます。

表 4-1 に、システム クロック フラグを示します。

 

表 4-1 システム クロック フラグ

記号
説明

*

時刻は信頼できません。

(空白)

時刻は信頼できます。

.

時刻は信頼できますが、NTP と同期していません。

システム クロックを表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 システム クロックを表示します。

ips-ssp# show clock
*19:04:52 UTC Thu Apr 03 2008
 

ステップ 3 システム クロックを詳細表示します。次の例は、IPS SSP が時刻を NTP から取得し、設定と同期化が行われていることを示しています。

ips-ssp# show clock detail
20:09:43 UTC Thu Apr 03 2008
Time source is NTP
Summer time starts 03:00:00 UTC Sun Mar 09 2008
Summer time stops 01:00:00 UTC Sun Nov 02 2008
 

次の例は、時刻源が設定されていないことを示しています。

ips-ssp# show clock detail
*20:09:43 UTC Thu Apr 03 2008
No time source
Summer time starts 03:00:00 UTC Sun Mar 09 2008
Summer time stops 01:00:00 UTC Sun Nov 02 2008
 


 

繰り返しサマータイム設定の設定


) サマータイムとは、日光節約時間を表す用語です。


summertime-option recurring コマンドを使用して、サマータイム設定に繰り返し切り替わるように IPS SSP を設定します。デフォルトは recurring です。

サマータイム設定に繰り返し切り替わるように IPS SSP を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 サマータイムの繰り返しサブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# summertime-option recurring
 

ステップ 3 サマータイムの開始のサブモードを開始します。

ips-ssp(config-hos-rec)# start-summertime
 

ステップ 4 サマータイムの開始のパラメータを設定します。

a. サマータイム設定を開始する週の曜日を入力します。

ips-ssp(config-hos-rec-sta)# day-of-week monday
 

b. サマータイム設定を開始する月を入力します。

ips-ssp(config-hos-rec-sta)# month april
 

c. サマータイム設定を開始する日の時刻を入力します。形式は hh:mm:ss です。

ips-ssp(config-hos-rec-sta)# time-of-day 12:00:00
 

d. サマータイム設定を開始する月の週を入力します。値は、first ~ fifth、あるいは last です。

ips-ssp(config-hos-rec-sta)# week-of-month first
 

e. 設定値を確認します。

ips-ssp(config-hos-rec-sta)# show settings
start-summertime
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
ips-ssp(config-hos-rec-sta)#
 

ステップ 5 サマータイムの終了のサブモードを開始します。

ips-ssp(config-hos-rec-sta)# exit
ips-ssp(config-hos-rec)# end-summertime
 

ステップ 6 サマータイムの終了のパラメータを設定します。

a. サマータイム設定を終了する週の曜日を入力します。

ips-ssp(config-hos-rec-end)# day-of-week friday
 

b. サマータイム設定を終了する月を入力します。

ips-ssp(config-hos-rec-end)# month october
 

c. サマータイム設定を終了する日の時刻を入力します。形式は hh:mm:ss です。

ips-ssp(config-hos-rec-end)# time-of-day 05:15:00
 

d. サマータイム設定を終了する月の週を入力します。値は、first ~ fifth、あるいは last です。

ips-ssp(config-hos-rec-end)# week-of-month last
 

e. 設定値を確認します。

ips-ssp(config-hos-rec-end)# show settings
end-summertime
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
ips-ssp(config-hos-rec-end)#
 

ステップ 7 サマータイム中に使用されるローカルの時間帯を指定します。

ips-ssp(config-hos-rec-end)# exit
ips-ssp(config-hos-rec)# summertime-zone-name CDT
 

ステップ 8 オフセットを指定します。

ips-ssp(config-hos-rec)# offset 60
 

ステップ 9 設定値を確認します。

ips-ssp(config-hos-rec)# show settings
recurring
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
start-summertime
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
end-summertime
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
-----------------------------------------------
 

ステップ 10 繰り返しサマータイム サブモードを終了します。

ips-ssp(config-hos-rec)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 11 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

非繰り返しサマータイム設定の設定


) サマータイムとは、日光節約時間を表す用語です。


summertime-option non-recurring コマンドを使用して、サマータイム設定に一度だけ切り替わるように IPS SSP を設定します。デフォルトは recurring です。

サマータイム設定に一度だけ切り替わるように IPS SSP を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 サマータイムの非繰り返しサブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# summertime-option non-recurring
 

ステップ 3 サマータイムの開始のサブモードを開始します。

ips-ssp(config-hos-non)# start-summertime
 

ステップ 4 サマータイムの開始のパラメータを設定します。

a. サマータイム設定を開始する日付を入力します。形式は yyyy-mm-dd です。

ips-ssp(config-hos-non-sta)# date 2004-05-15
 

b. サマータイム設定を開始する時刻を入力します。形式は hh:mm:ss です。

ips-ssp(config-hos-non-sta)# time 12:00:00
 

c. 設定値を確認します。

ips-ssp(config-hos-non-sta)# show settings
start-summertime
-----------------------------------------------
date: 2004-05-15
time: 12:00:00
-----------------------------------------------
ips-ssp(config-hos-non-sta)#
 

ステップ 5 サマータイムの終了のサブモードを開始します。

ips-ssp(config-hos-non-sta)# exit
ips-ssp(config-hos-non)# end-summertime
 

ステップ 6 サマータイムの終了のパラメータを設定します。

a. サマータイム設定を終了する日付を入力します。形式は yyyy-mm-dd です。

ips-ssp(config-hos-non-end)# date 2004-10-31
 

b. サマータイム設定を終了する時刻を入力します。形式は hh:mm:ss です。

ips-ssp(config-hos-non-end)# time 12:00:00
 

c. 設定値を確認します。

ips-ssp(config-hos-non-end)# show settings
end-summertime
-----------------------------------------------
date: 2004-10-31
time: 12:00:00
-----------------------------------------------
ips-ssp(config-hos-non-end)#
 

ステップ 7 サマータイム中に使用されるローカルの時間帯を指定します。

ips-ssp(config-hos-non-end)# exit
ips-ssp(config-hos-non)# summertime-zone-name CDT
 

ステップ 8 オフセットを指定します。

ips-ssp(config-hos-non)# offset 60
 

ステップ 9 設定値を確認します。

ips-ssp(config-hos-non)# show settings
non-recurring
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
start-summertime
-----------------------------------------------
date: 2004-05-15
time: 12:00:00
-----------------------------------------------
end-summertime
-----------------------------------------------
date: 2004-10-31
time: 12:00:00
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-hos-non)#
 

ステップ 10 非繰り返しサマータイム サブモードを終了します。

ips-ssp(config-hos-non)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 11 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

時間帯設定の設定

time-zone-settings コマンドを使用して、IPS SSP 上の時間帯設定を設定します(サマータイム設定の効果がないときに IPS SSP が表示する時間帯名、オフセットなど)。

IPS SSP 上の時間帯設定を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 時間帯設定サブモードを開始します。

ips-ssp# configure terminal
ips-ssp(config)# service host
ips-ssp(config-hos)# time-zone-settings
 

ステップ 3 サマータイム設定の効果がないときに常に表示される時間帯名を設定します。デフォルトは UTC です。

ips-ssp(config-hos-tim)# standard-time-zone-name CST
 

ステップ 4 オフセットを分単位で設定します。このオフセットは、現地時間を得るために UTC に加算される分数です。デフォルトは 0 です。

ips-ssp(config-hos-tim)# offset -360
 

ステップ 5 設定値を確認します。

ips-ssp(config-hos-tim)# show settings
time-zone-settings
-----------------------------------------------
offset: -360 minutes default: 0
standard-time-zone-name: CST default: UTC
-----------------------------------------------
ips-ssp(config-hos-tim)#
 

ステップ 6 時間帯設定サブモードを終了します。

ips-ssp(config-hos-tim)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 7 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

NTP の設定

ここでは、NTP サーバとして Cisco ルータを設定する方法と、時刻源として NTP サーバを使用するように IPS SSP を設定する方法について説明します。次のような構成になっています。

「Cisco ルータを NTP サーバにする設定」

「センサーで NTP 時刻源を使用するための設定」

Cisco ルータを NTP サーバにする設定

センサーが NTP サーバを時刻源として使用するためには、センサーと NTP サーバの間に認証済みの接続が必要です。センサーがキーの暗号化のためにサポートしているのは、MD5 ハッシュ アルゴリズムのみです。Cisco ルータが NTP サーバとして動作するようにし、その内部クロックを時刻源として使用するには、次の手順を使用します。


注意 センサーの NTP 機能は、NTP サーバとして動作している Cisco ルータと適合するように設計されています。センサーは、その他の NTP サーバと連携できる可能性もありますが、それに関するテストやサポートは行われていません。


) NTP サーバのキー ID とキー値を手元に用意してください。NTP サーバを時刻源として使用するようにセンサーを設定する際に、NTP サーバの IP アドレスと共に必要になります。


Cisco ルータが NTP サーバとして動作するように設定するには、次の手順を実行します。


ステップ 1 ルータにログインします。

ステップ 2 コンフィギュレーション モードを開始します。

router# configure terminal
 

ステップ 3 キー ID とキー値を作成します。キー ID は、1 から 65535 までの数値です。キー値はテキスト(数字または文字)です。後で暗号化されます。

router(config)# ntp authentication-key key_ID md5 key_value
 

router(config)# ntp authentication-key 100 md5 attack
 

) センサーがサポートするのは MD5 キーのみです。



) すでにルータにキーが存在する場合もあります。他のキーを確認するには、show running configuration コマンドを使用します。これらの値は、信頼できるキーとしてステップ 4 で使用されます。


ステップ 4 ステップ 3 で作成したキーを信頼できるキーとして指定(または既存のキーを使用)します。信頼できるキーの ID は、ステップ 3 のキー ID と同じ数値です。

router(config)# ntp trusted-key key_ID
 

router(config)# ntp trusted-key 100
 

ステップ 5 センサーが通信するルータ上のインターフェイスを指定します。

router(config)# ntp source interface_name
 

router(config)# ntp source FastEthernet 1/0
 

ステップ 6 センサーに割り当てる NTP マスター ストラタム番号を指定します。NTP マスター ストラタム番号は、NTP 階層におけるサーバの相対的な位置を示します。1 から 15 までの番号を選択できます。どの番号を選択するかは、センサーに対して重要ではありません。

router(config)# ntp master stratum_number
 

router(config)# ntp master 6
 


 

センサーで NTP 時刻源を使用するための設定

センサーには、安定した時刻源が必要です。NTP サーバを使用することを推奨します。センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を使用します。認証済みまたは未認証の NTP を使用できます。


) 認証済みの NTP の場合、NTP サーバの IP アドレス、NTP サーバのキー ID、および NTP サーバのキー値が必要です。



注意 センサーの NTP 機能は、NTP サーバとして動作している Cisco ルータと適合するように設計されています。センサーは、その他の NTP サーバと連携できる可能性もありますが、それに関するテストやサポートは行われていません。

センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 サービス ホスト モードを開始します。

ips-ssp(config)# service host
 

ステップ 4 未認証の NTP を設定します。

a. NTP コンフィギュレーション モードを開始します。

ips-ssp(config-hos)# ntp-option enabled-ntp-unauthenticated
 

b. NTP サーバの IP アドレスを指定します。

ips-ssp(config-hos-ena)# ntp-server ip_address
 

c. 未認証の NTP の設定を確認します。

ips-ssp(config-hos-ena)# show settings
enabled-ntp-unauthenticated
-----------------------------------------------
ntp-server: 10.89.147.45
-----------------------------------------------
ips-ssp(config-hos-ena)#
 

ステップ 5 認証済みの NTP を設定します。

a. NTP コンフィギュレーション モードを開始します。

ips-ssp(config-hos)# ntp-option enable
 

b. NTP サーバの IP アドレスとキー ID を指定します。キー ID は、1 から 65535 までの数値です。これは、NTP サーバで設定済みのキー ID です。

ips-ssp(config-hos-ena)# ntp-servers ip_address key-id key_ID
 

ips-ssp(config-hos-ena)# ntp-servers 10.16.0.0 key-id 100
 

c. キー値の NTP サーバを指定します。キー値はテキスト(数字または文字)です。これは、NTP サーバで設定済みのキー値です。

ips-ssp(config-hos-ena)# ntp-keys key_ID md5-key key_value
 

ips-ssp(config-hos-ena)# ntp-keys 100 md5-key attack
 

d. NTP の設定を確認します。

ips-ssp(config-hos-ena)# show settings
enabled
-----------------------------------------------
ntp-keys (min: 1, max: 1, current: 1)
-----------------------------------------------
key-id: 100
-----------------------------------------------
md5-key: attack
-----------------------------------------------
-----------------------------------------------
ntp-servers (min: 1, max: 1, current: 1)
-----------------------------------------------
ip-address: 10.16.0.0
key-id: 100
-----------------------------------------------
-----------------------------------------------
ips-ssp(config-hos-ena)#
 

ステップ 6 NTP コンフィギュレーション モードを終了します。

ips-ssp(config-hos-ena)# exit
ips-ssp(config-hos)# exit
Apply Changes:?[yes]
 

ステップ 7 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

SSH の設定

ここでは、IPS SSP 上の SSH について説明します。次のような構成になっています。

「SSH について」

「SSH 既知ホスト リストへのホストの追加」

「SSH 認証公開キーの追加」

「新しい SSH サーバ キーの生成」

SSH について

SSH は、セキュアでないチャネル上に強力な認証とセキュアな通信を実現します。SSH は、センサーへの接続を暗号化するとともに、正しいセンサーに接続していることを検証できるようにキーを提供します。また、SSH は、センサーがブロッキングのために接続する他のデバイスへの認証済みかつ暗号化されたアクセスも提供します。

SSH は、次の一方または両方を使用してホストまたはネットワークを認証します。

パスワード

ユーザ RSA 公開キー

SSH は、次の攻撃を防ぎます。

IP スプーフィング:リモート ホストが、別の信頼できるホストから発信したかのように偽装したパケットを送信します。


) SSH は、外部へのルータになりすますことのできるローカル ネットワーク上のスプーファさえも防ぎます。


IP 送信元ルーティング:ホストが、別の信頼できるホストから発信したかのように IP パケットを偽装します。

DNS スプーフィング:攻撃者がネーム サーバ レコードを偽造します。

中継ホストによる平文のパスワードおよびその他のデータの傍受。

中継ホストの管理者によるデータの改ざん。

X 認証データの傍受と X11 サーバへの偽装接続をベースとした攻撃。


) SSH は、パスワードを平文で送信することはありません。


SSH 既知ホスト リストへのホストの追加

センサーが SSH を通じて通信できるホストを認識できるようにするために、ホストを SSH 既知ホスト リストに追加する必要があります。このホストは、アップグレードやファイル コピーのためにセンサーが接続する必要のある SSH サーバと、センサーがブロッキングのために接続する Cisco ルータ、PIX Firewall、Catalyst スイッチなどのその他のホストです。

ssh host-key ip-address [ key-modulus-length public-exponent public-modulus ] コマンドを使用して、既知ホスト リストにエントリを追加します。係数、指数、および長さの値がわからない場合は、システムが、要求された IP アドレスの MD5 フィンガープリントと Bubble Babble を表示します。その後、キーをリストに追加するように選択できます。


注意 ssh host-key ip-address コマンドを使用した場合、指定した IP アドレスにある SSH サーバに接続して、必要なキーがネットワーク経由で取得されます。指定したホストは、コマンドを発行するときにアクセス可能な状態でなければなりません。ホストが到達不能な場合は、フル形式のコマンド(ssh host-key ip-address [key-modulus-length public-exponent public-modulus])を使用して、攻撃者のキーを受け入れてしまうことを防ぐために表示されたキーのフィンガープリントを確認する必要があります。


) IP アドレスのキーを修正するには、エントリを削除し、再作成する必要があります。エントリを削除するには、コマンドの no 形式を使用します。


ホストを SSH 既知ホスト リストに追加するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

ips-ssp# configure terminal
 

ステップ 3 エントリを既知ホスト リストに追加します。MD5 フィンガープリントが表示されます。既知ホスト リストに追加するかどうかを確認するプロンプトが表示されます。

ips-ssp(config)# ssh host-key 10.16.0.0
MD5 fingerprint is F3:10:3E:BA:1E:AB:88:F8:F5:56:D3:A6:63:42:1C:11
Bubble Babble is xucis-hehon-kizog-nedeg-zunom-kolyn-syzec-zasyk-symuf-rykum-sexyx
Would you like to add this to the known hosts table for this host?[yes]
 

コマンドを発行したときにホストがアクセス不能な状態になっていると、次のメッセージが表示されます。

Error: getHostSshKey : socket connect failed [4,111]
 

ステップ 4 yes を入力して、フィンガープリントを既知ホスト リストに追加します。

ステップ 5 ホストが追加されたことを確認します。

ips-ssp(config)# exit
ips-ssp# show ssh host-keys
10.89.146.110
 

ステップ 6 特定の IP アドレスのキーを表示します。

ips-ssp# show ssh host-keys 10.16.0.0
1024 35 139306213541835240385332922253968814685684523520114131997839905113640120217816869696708721704631322844292073851730565044879082670677554157937058485203995572114631296604552161309712601068614812749969593513740598331393154884988302302182922353335152653860589163651944997842874583627883277460138506084043415861927
MD5: 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B
Bubble Babble: xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
ips-ssp#
 

ステップ 7 エントリを削除します。

ips-ssp(config)# no ssh host-key 10.16.0.0
 

ステップ 8 ホストが削除されたことを確認します。IP アドレスがリストに表示されなくなります。

ips-ssp(config)# exit
ips-ssp# show ssh host-keys
 


 

SSH 認証公開キーの追加

ssh authorized-key コマンドを使用して、RSA 認証によるローカル SSH サーバへのログインが許可されるクライアント用の公開キーを定義します。認証キーを修正するには、エントリを削除し、再作成する必要があります。エントリを削除するには、コマンドの no 形式を使用します。ユーザは、自分のキーの作成と削除しかできません。

オプション

次のオプションが適用されます。

id :認証キーを一意に識別する 1 ~ 256 文字の文字列。数字、「_」、および「-」を使用できますが、スペースと「?」は使用できません。

key-modulus-length :511 ~ 2048 の範囲内の ASCII 10 進数。

public-exponent :3 ~ 2^32 の範囲内の ASCII 10 進数。

public-modulus :(2^(key-modulus-length - 1)) < x < (2^(key-modulus-length)) となる ASCII 10 進数 x

センサーにログインできるユーザごとに、認証公開キーのリストが存在します。対応する RSA 秘密キーのいずれかにアクセスできる SSH クライアントは、パスワードを入力しなくてもユーザとしてセンサーにログインできます。

公開キーの定義には、秘密キーを保存するクライアントで RSA キー生成ツールを使用します。その後、生成された公開キーを一連の 3 つの数字(係数の長さ、公開指数、公開係数)で表示し、それらの数字を ssh authorized-key コマンドのパラメータとして入力します。


) 自分の SSH 認証キーのリストは自分で設定します。管理者は、センサー上の他のユーザの SSH 認証キーのリストを管理できません。



) SSH 認証キーでは、秘密キーが適切に保護されていれば、パスワードよりもセキュリティが向上します。ベスト プラクティスは、秘密キーをそれが使用されるのと同じホスト上で作成し、パス フレーズと一緒にローカル ファイル システム上に保管することです。パスワードまたはパス フレーズの入力要求を最小限に抑えるには、キー エージェントを使用します。


SSH キーの追加

現在のユーザの SSH 認証キー リストにキー エントリを追加するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 現在のユーザの認証キー リストにキーを追加します。

ips-ssp# configure terminal
ips-ssp(config)# ssh authorized-key system1 1023 37 66022272955660983338089706716372943357082868686000817201780243492180421420781303592082950910170135848052503999393211250314745276837862091118998665371608981314792208604473991134136964287068231936192814852186409455741630613878646833511583591040494021313695435339616344979349705016792583146548622146467421997057
ips-ssp(config)#
 

ステップ 3 キーが追加されたことを確認します。

ips-ssp(config)# exit
ips-ssp# show ssh authorized-keys
system1
ips-ssp#
 

ステップ 4 特定の ID のキーを表示します。

ips-ssp# show ssh authorized-keys system1
1023 37 660222729556609833380897067163729433570828686860008172017802434921804214
20781303592082950910170135848052503999393211250314745276837862091118998665371608
98131479220860447399113413696428706823193619281485218640945574163061387864683351
1583591040494021313695435339616344979349705016792583146548622146467421997057
ips-ssp#
 

ステップ 5 SSH 認証キーのリストからエントリを削除します。

ips-ssp# configure terminal
ips-ssp(config)# no ssh authorized-key system1
 

ステップ 6 エントリが削除されたことを確認します。キー system1 がリストに表示されなくなります。

ips-ssp(config)# exit
ips-ssp# show ssh authorized-keys
 

ステップ 7 前の ID を入力すると、エラー メッセージが表示されます。

ips-ssp# show ssh authorized-keys system1
Error: Requested id does not exist for the current user.
ips-ssp#
 


 

新しい SSH サーバ キーの生成

ssh generate-key コマンドを使用して、SSH サーバ ホスト キーを変更します。表示されるフィンガープリントは、リモート クライアントが SSH 1.5 を使用している場合、このセンサーとの今後の接続においてリモート SSH クライアントで表示されるものと一致します。

新しい SSH サーバ ホスト キーを生成するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 新しいサーバ ホスト キーを生成します。

ips-ssp# ssh generate-key
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
ips-ssp#
 

注意 これ以降は、既存のキーの代わりに新しいキーが使用されるため、引き続き正常に接続するためには、リモート システム上にある既知ホストのテーブルを新しいホスト キーで更新する必要があります。リモート システム上の既知ホスト テーブルは、ssh host-key コマンドを使用して更新できます。

ステップ 3 現在の SSH サーバ ホスト キーを表示します。

ips-ssp# show ssh server-key
1024 35 137196765426571419509124895787229630062726389801071715581921573847280637533000158590028798074385824867184332364758899959675370523879609376174812179228415215782949029183962207840731771645803509837259475421477212459797170806510716077556010753169312675023860474987441651041217710152766990480431898217878170000647
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
ips-ssp#
 


 

詳細情報

既知ホスト テーブルの更新手順については、「SSH 既知ホスト リストへのホストの追加」を参照してください。

TLS の設定

ここでは、センサー上の TLS について説明します。次のような構成になっています。

「TLS について」

「TLS の信頼できるホストの追加」

「サーバ証明書の表示と生成」

TLS について

Cisco IPS には、IDM を実行している Web サーバが含まれます。管理ステーションは、この Web サーバと接続します。ブロッキング転送センサーも、マスター ブロッキング センサーの Web サーバと接続します。セキュリティを提供するために、この Web サーバでは TLS と呼ばれる暗号化プロトコルが使用されます。このプロトコルは、SSL と密接な関係があります。Web ブラウザでは、 https:// ip_address で始まる URL が入力されると、それに対する応答として、TLS プロトコルまたは SSL プロトコルによりホストとの間で暗号化セッションのネゴシエーションが行われます。


注意 Web ブラウザは、初期状態では CA を信頼していないため、IDM が提示する証明書を最初のうちは拒否します。


IDM は、デフォルトで TLS と SSL の使用がイネーブルになっています。TLS と SSL を使用することを強く推奨します。


TLS による暗号化セッションのネゴシエーション プロセスは、クライアントとサーバとが協調して何度もデータのやり取りを行うことから、「ハンドシェイク」と呼ばれます。サーバからクライアントへ証明書が送信されると、クライアントでは、この証明書に対して、次の 3 つのテストが実行されます。

1. 証明書に記載されている発行元は信頼できるか。

各 Web ブラウザには、出荷される時点で、信頼されているサードパーティ CA のリストが組み込まれています。証明書に記載されている発行元が、ブラウザにより信頼されている CA のリストに含まれていれば、この最初のテストでは問題なしと判断されます。

2. その日の日付が、証明書の有効期間内にあるか。

それぞれの証明書には、有効期間を表す 2 つの日付が記載された Validity フィールドがあります。その日の日付がこの期間内に該当すれば、この 2 番目のテストでは問題なしと判断されます。

3. 証明書に記載されているサブジェクトの共通名が、URL ホスト名と一致するか。

URL ホスト名が、サブジェクトの共通名と比較されます。一致すれば、この 3 番目のテストでは問題なしと判断されます。

Web ブラウザから IDM に接続しようとすると、センサーは独自の証明書を発行しますが(センサーが自分自身の CA)、ブラウザにより信頼されている CA のリストにはそのセンサーが含まれていないため、返された証明書は無効と見なされます。

ブラウザにエラー メッセージが表示された場合の対処方法としては、次の 3 つの選択肢が考えられます。

サイトへの接続を即座に解除する。

その他の Web ブラウザ セッション用に証明書を受け入れる。

証明書に記載されている発行元を Web ブラウザの信頼 CA リストに追加して、有効期間が経過するまで証明書を信頼する。

最も簡単な方法は、発行元を永続的に信頼することです。ただし、発行元を追加する前に必ず、アウトオブバンド方式を使用して、証明書のフィンガープリントを検証します。これにより、センサーになりすました攻撃者による被害を回避できます。Web ブラウザに表示される証明書のフィンガープリントが、センサーのフィンガープリントと一致するかどうかを確認してください。


注意 センサーの組織名またはホスト名を変更した場合は、センサーの次回リブート時に新しい証明書が生成されます。Web ブラウザから IDM への次回接続時には、手動上書きダイアログボックスが表示されます。この場合は、Internet Explorer および Firefox で、証明書フィンガープリントの検証を再度実行する必要があります。

TLS の信頼できるホストの追加

状況によっては、センサーは、リモート Web サーバとの間に確立するセッションの保護に、TLS/SSL を使用する場合があります。これらのセッションを中間者攻撃から保護するために、リモート Web サーバの TLS 証明書の信頼を確立する必要があります。信頼できる各リモート ホストの TLS 証明書のコピーは、信頼できるホストのリストに保管されます。

tls trusted-host ip-address ip-address [ port port ] コマンドを使用して、信頼できるホストを信頼できるホストのリストに追加します。このコマンドにより、指定したホスト/ポートから TLS 証明書が取得され、そのフィンガープリントが表示されます。追加予定のホストから直接取得した情報を基に、そのフィンガープリントを受け入れることも拒否することもできます。デフォルトのポートは 443 です。

各証明書は、識別子フィールド( id )と一緒に保管されます。IP アドレスとデフォルト ポートの場合、識別子フィールドは ipaddress になります。IP アドレスと指定ポートの場合、識別子フィールドは ipaddress:port になります。


注意 指定した IP アドレスの TLS に接続して、必要なフィンガープリントがネットワーク経由で取得されます。指定したホストは、コマンドを発行するときにアクセス可能な状態でなければなりません。攻撃者の証明書を受け入れてしまうことがないように、別の方法を使用してそのフィンガープリントが正しいことを確認します。

信頼できるホストを信頼できるホストのリストに追加するには、次の手順を実行します。


ステップ 1 管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。

ステップ 2 信頼できるホストを追加します。MD5 と SHA1 のフィンガープリントが表示されます。信頼できるホストを追加するかどうかを確認するプロンプトが表示されます。

ips-ssp# configure terminal
ips-ssp(config)# tls trusted-host ip-address 10.16.0.0
Certificate MD5 fingerprint is 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
Certificate SHA1 fingerprint is B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:
47:02:F6:12
Would you like to add this to the trusted certificate table for this host?[yes]:
 

接続を確立できない場合、このトランザクションは失敗します。

ips-ssp(config)# tls trusted-host ip-address 10.89.146.110 port 8000
Error: getHostCertificate : socket connect failed [4,111]
 

ステップ 3 yes を入力して、フィンガープリントを受け入れます。ホストが TLS の信頼できるホストのリストに追加されています。コマンドが成功した場合、要求した証明書用に保管される証明書 ID が表示されます。

Certificate ID: 10.89.146.110 successfully added to the TLS trusted host table.
ips-ssp(config)#
 

ステップ 4 ホストが追加されたことを確認します。

ips-ssp(config)# exit
ips-ssp# show tls trusted-hosts
10.89.146.110
ips-ssp#
 

ステップ 5 特定のホストのフィンガープリントを表示します。

ips-ssp# show tls trusted-hosts 10.89.146.110
MD5: 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
SHA1: B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:47:02:F6:12
ips-ssp#
 

ステップ 6 信頼できるホストのリストからエントリを削除します。

ips-ssp# configure terminal
ips-ssp(config)# no tls trusted-host 10.89.146.110
 

ステップ 7 信頼できるホストのリストからエントリが削除されたことを確認します。IP アドレスがリストに表示されなくなります。

ips-ssp(config)# exit
ips-ssp# show tls trusted-hosts
No entries
 


 

サーバ証明書の表示と生成

TLS 証明書は、センサーの初回起動時に生成されます。 tls generate-key コマンドを使用して、新しいサーバ自己署名 X.509 証明書を生成します。


) 証明書には、センサーの IP アドレスが含まれています。センサーの IP アドレスを変更すると、センサーによって自動的に新しい証明書が生成されます。



注意 新しい証明書は、既存の証明書と置き換わります。したがって、以降の接続に失敗しないために、リモート システム上の信頼できるホストのリストを新しい証明書で更新する必要があります。リモート IPS センサー上の信頼できるホストのリストは、tls trusted-host コマンドを使用して更新できます。センサーがマスター ブロッキング センサーである場合は、マスター ブロッキング センサーにブロック要求を送信するリモート センサー上で、信頼できるホストのリストを更新する必要があります。

新しい TLS 証明書を生成するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 新しい証明書を生成します。

ips-ssp# tls generate-key
MD5 fingerprint is FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1 fingerprint is 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
ips-ssp#
 

ステップ 3 キーが生成されたことを確認します。

ips-ssp# show tls fingerprint
MD5: FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1: 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
ips-ssp#
 


 

詳細情報

リモート センサー上の信頼できるホストのリストを更新する手順については、「TLS の信頼できるホストの追加」を参照してください。

ライセンス キーのインストール

ここでは、IPS ライセンス キーとそのインストール方法について説明します。次のような構成になっています。

「ライセンス キーについて」

「IPS 製品用のサービス プログラム」

「ライセンス キーの取得とインストール」

ライセンス キーについて

ライセンス キーなしでもセンサーは動作しますが、シグニチャ アップデートの取得およびグローバル相関機能の使用にはライセンス キーが必要です。ライセンス キーを取得するには、次のものを用意する必要があります。

Cisco Service for IPS サービス契約:契約を購入するには、リセラー、シスコのサービスまたは製品の営業担当者にお問い合わせください。

IPS デバイスのシリアル番号:IPS デバイスのシリアル番号を IDM または IME で確認するには、IDM の場合は [Configuration] > [Sensor Management] > [Licensing] を選択し、IME の場合は [Configuration] > sensor_name > [Sensor Management] > [Licensing] を選択します。 または、CLI で show version コマンドを使用します。

有効な Cisco.com ユーザ名およびパスワード

試用ライセンス キーも利用できます。契約の問題により、センサーにライセンスを設定できない場合は、ライセンスの必要なシグニチャ アップデートをサポートする 60 日間の試用ライセンスを取得できます。

ライセンス キーは、Cisco.com ライセンス サーバから取得できます。取得したライセンス キーは、センサーに配信されます。あるいは、ローカル ファイルで提供されるライセンス キーでライセンス キーを更新することもできます。 http://www.cisco.com/go/license にアクセスし、[IPS Signature Subscription Service] をクリックしてライセンス キーを要求します。

次の場所でライセンス キーのステータスを確認できます。

[IDM Home] ウィンドウの [Health] タブ上の [Licensing] セクション

[IDM Licensing] ペイン([Configuration] > [Licensing])

[Licensing] タブ上の [Device Details] セクション内の [IME Home] ページ

CLI ログイン時のライセンス通知

IDM、IME、または CLI を開始するとき、ライセンス ステータスが必ず通知されます(ライセンス キーが試用かどうか、無効かどうか、有効期限切れかどうか)。ライセンス キーがない、無効、または期限切れの場合、IDM、IME、および CLI を引き続き使用できますが、シグニチャ アップデートをダウンロードすることはできません。

センサー上にすでに有効なライセンスがある場合は、[License] ペイン上の [Download] をクリックすることで、IDM または IME を実行しているコンピュータに自分のライセンス キーのコピーをダウンロードし、ローカル ファイルに保存できます。その後、紛失または破損したライセンスと置き換えることができます。あるいは、センサーのイメージを再作成した後にライセンスを再インストールできます。

IPS 製品用のサービス プログラム

ライセンス キーをダウンロードしたり、最新の IPS シグニチャ アップデートを取得したりするには、IPS 製品用の Cisco Services for IPS サービス契約が必要です。シスコと直接取り引きしている場合は、担当のアカウント マネージャまたはサービス アカウント マネージャに連絡して、Cisco Services for IPS サービス契約を購入します。シスコと直接取り引きしていない場合は、1 ティアまたは 2 ティア パートナーからサービス アカウントを購入できます。

次の IPS 製品を購入する場合は、Cisco Services for IPS サービス契約も購入する必要があります。

IPS 4240

IPS 4255

IPS 4260

IPS 4270-20

AIM IPS

IDSM2

NME IPS

IPS を搭載していない ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合は、SMARTnet 契約を購入する必要があります。


) SMARTnet は、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトの NBD ハードウェア交換を提供します。


IPS SSP を搭載して出荷される ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合、あるいは IPS SSP を購入して ASA 5500 シリーズ適応型セキュリティ アプライアンス製品に追加する場合は、Cisco Services for IPS サービス契約を購入する必要があります。


) Cisco Services for IPS は、IPS シグニチャ アップデート、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトの NBD ハードウェア交換を提供します。


たとえば、ASA 5585-X を購入した後、IPS の追加が必要になり、ASA-IPS10-K9 を購入する場合は、Cisco Services for IPS サービス契約の購入が必要になります。Cisco Services for IPS サービス契約を結んだ後は、製品シリアル番号を用意して、ライセンス キーを要求する必要があります。


注意 製品を RMA に出したことがある場合、シリアル番号は変更されています。その場合は、新しいシリアル番号用に新しいライセンス キーを取得する必要があります。

ライセンス キーの取得とインストール


) 新しいライセンス キーの上に古いライセンス キーをインストールすることはできません。


copy source-url license_file_name license-key コマンドを使用して、ライセンス キーをセンサーにコピーします。

オプション

次のオプションが適用されます。

source-url :コピー元ファイルの場所を指定します。URL またはキーワードを使用できます。

destination-url :コピー先ファイルの場所を指定します。URL またはキーワードを使用できます。

license-key :サブスクリプション ライセンス ファイルを指定します。

license_file_name :受け取るライセンス ファイルの名前を指定します。

コピー元およびコピー先 URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。

ftp::FTP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename

scp::SCP ネットワーク サーバの場合のコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) FTP または SCP プロトコルを使用する場合、パスワードの入力を求められます。SCP プロトコルを使用する場合は、リモート ホストを SSH 既知ホスト リストに追加する必要があります。


http::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[/[username@]location]/directory]/filename

https::Web サーバの場合のコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[/[username@]location]/directory]/filename


) HTTPS プロトコルを使用する場合は、リモート ホストが TLS の信頼できるホストである必要があります。


ライセンス キーのインストール

ライセンス キーをインストールするには、次の手順を実行します。


ステップ 1 www.cisco.com/go/license にアクセスしてライセンス キーを要求します。


) ライセンス キーを要求するには、有効な Cisco.com ユーザ名とパスワードに加え、Cisco Services for IPS サービス契約も必要です。


ステップ 2 必要なフィールドに入力します。Cisco IPS シグニチャ サブスクリプション サービス ライセンス キーは、指定した電子メール アドレスに電子メールで送信されます。


) ライセンス キーは、指定されたシリアル番号を持つ IPS デバイス上でしか動作しないため、正確なシリアル番号を用意する必要があります。


ステップ 3 Web サーバ、FTP サーバ、または SCP サーバが存在するシステムにライセンス キーを保存します。

ステップ 4 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 5 ライセンス キーをセンサーにコピーします。

ips-ssp# copy scp://user@192.0.2.1://tftpboot/dev.lic license-key
Password: *******
 

ステップ 6 センサーがライセンスされていることを確認します。

ips-ssp# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.1(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S518.0 2010-10-04
OS Version: 2.6.29.1
Platform: ASA5585-SSP-IPS20
Serial Number: ABC1234DEFG
Licensed, expires: 04-Oct-2011 UTC
Sensor up-time is 4:32.
Using 10378M out of 11899M bytes of available memory (87% usage)
system is using 25.1M out of 160.0M bytes of available disk space (16% usage)
application-data is using 65.4M out of 171.4M bytes of available disk space (40% usage)
boot is using 56.1M out of 71.7M bytes of available disk space (83% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96% usage)
 
 
MainApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
AnalysisEngine S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CollaborationApp S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500 Running
CLI S-SPYKER_2010_OCT_21_00_27_7_1_1 (Release) 2010-10-21
T00:29:47-0500
 
Upgrade History:
 
IPS-K9-7.1-1-E4 00:42:07 UTC Thu Oct 21 2010
 
Recovery Partition Version 1.1 - 7.1(1)E4
 
Host Certificate Valid from: 21-Oct-2010 to 21-Oct-2012
 
ips-ssp#