Cisco Intrusion Prevention System Manager Express コンフィギュレーション ガイド for IPS 7.1
センサーのセットアップ
センサーのセットアップ
発行日;2012/04/23 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

センサーのセットアップ

初期化について

ネットワークの設定

[Network] ペイン

[Network] ペインのフィールド定義

ネットワークの設定

許可されたホストおよびネットワークの設定

[Allowed Hosts/Networks] ペイン

[Allowed Hosts/Network] ペインと、[Add Allowed Host] および [Edit Allowed Host] ダイアログボックスのフィールド定義

許可されたホストおよびネットワークの設定

時刻の設定

[Time] ペイン

[Time] ペインのフィールド定義

[Configure Summertime] ダイアログボックスのフィールド定義

センサー上の時刻の設定

時刻源とセンサー

IPS モジュールのシステム クロックと親デバイスのシステム クロックの同期

センサーが NTP サーバと同期していることを確認する

センサーの時刻の修正

NTP の設定

Cisco ルータを NTP サーバにする設定

センサーで NTP 時刻源を使用するための設定

システム クロックの手動設定

イベントのクリア

認証およびユーザの設定

AAA RADIUS をサポートしていないセンサーの [Authentication] ペイン

AAA RADIUS をサポートしているセンサーの [Authentication] ペイン

[Add User] および [Edit User] ダイアログボックスのフィールド定義

ユーザ ロールについて

サービス アカウントについて

サービス アカウントおよび RADIUS 認証

ユーザの追加、編集、削除と、AAA RADIUS をサポートしていないセンサーのアカウント作成

ユーザの追加、編集、削除と、AAA RADIUS をサポートしているセンサーのアカウント作成

ユーザ アカウントのロック解除

センサーのセットアップ


) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、センサーのセットアップについて説明します。内容は次のとおりです。

「初期化について」

「ネットワークの設定」

「許可されたホストおよびネットワークの設定」

「時刻の設定」

「認証およびユーザの設定」

初期化について

センサーをネットワークに設置したら、 setup コマンドを使用してセンサーを初期化し、ネットワーク経由でセンサーが通信できるようにする必要があります。 setup コマンドを使用してセンサーを初期化するまでは、IME の設定を行うことはできません。

setup コマンドを使用して、ホスト名、IP インターフェイス、アクセス コントロール リスト、グローバル相関サーバ、時間設定など、センサーの基本的な設定を行います。その後、続けて CLI の高度な設定を使用し、Telnet のイネーブル化、Web サーバの設定、仮想センサーとインターフェイスの割り当てとイネーブル化を実行できます。また、IME の Startup Wizard を使用することもできます。

センサーを初期化すると、[Sensor Setup] で他のネットワーク パラメータの必要な変更および設定ができます。

詳細情報

センサーの高度な設定を行うには、先にセンサーを初期化する必要があります。その後、IME で [Configuration] > sensor_name > [Sensor Setup] を選択します。 setup コマンドを使用してセンサーを初期化する手順については、「センサーの基本的なセットアップ」を参照してください。

ネットワークの設定

ここでは、ネットワークの設定の変更方法について説明します。内容は次のとおりです。

「[Network] ペイン」

「[Network] ペインのフィールド定義」

「ネットワークの設定」

[Network] ペイン


ネットワークを設定するには、管理者である必要があります。


setup コマンドを使用してセンサーを初期化すると、[Network] ペインにネットワークおよび通信のパラメータ値が表示されます。これらのパラメータ値は、必要に応じて [Network] ペインで変更できます。

[Network] ペインのフィールド定義


) AIP SSC-5 は、グローバル相関機能をサポートしていません。



) IPS 6.1 および 6.2 は、グローバル相関機能をサポートしていません。


[Network] ペインには、次のフィールドが表示されます。

[Network Settings]:センサーのネットワーク パラメータをイネーブルにします。

[Hostname]:センサーの名前。ホスト名は 1 ~ 64 文字の文字列で、^[A-Za-z0-9_/-]+$ に一致するパターンです。デフォルトは sensor です。ホスト名にスペースが含まれているか、または英数字が 64 文字を超えていると、エラー メッセージが表示されます。

[IP Address]:センサーの IP アドレス。デフォルトは 192.168.1.2 です。

[Network Mask]:IP アドレスに対応するマスク。デフォルトは 255.255.255.0 です。

[Default Route]:デフォルトのゲートウェイ アドレス。デフォルトは 192.168.1.1 です。

[DNS/Proxy Settings]:グローバル相関をサポートするために、HTTP プロキシ サーバまたは DNS サーバのいずれかを設定します。

[HTTP Proxy Server]:プロキシ サーバの IP アドレスを入力します。ネットワークでプロキシを使用する場合、グローバル相関のアップデートをダウンロードするためのプロキシ サーバが必要になる場合があります。

[HTTP Proxy Port]:プロキシ サーバのポート番号を入力します。

[DNS Primary]:プライマリ DNS サーバの IP アドレスを入力します。

[DNS Secondary]:セカンダリ DNS サーバの IP アドレスを入力します。

[DNS Tertiary]:ターシャリ DNS サーバの IP アドレスを入力します。

DNS サーバを使用している場合は、グローバル相関のアップデートに正常に到達できる DNS サーバを少なくとも 1 つ設定する必要があります。他の DNS サーバをバックアップ サーバとして設定することもできます。DNS クエリは、リストの先頭にあるサーバに送信されます。このサーバに到達できない場合、DNS クエリは次に設定されている DNS サーバに送信されます。


注意 グローバル相関が機能するには、DNS サーバまたは HTTP プロキシ サーバのいずれかが常に設定されている必要があります。


注意 DNS 解決は、グローバル相関のアップデート サーバにアクセスする場合にだけサポートされます。

HTTP、FTP、Telnet、CLI、および他のオプション

[Web Server Port]:Web サーバが使用する TCP ポート。デフォルトは 443(HTTPS の場合)です。


) 1 ~ 65535 以外の値を入力すると、エラー メッセージが表示されます。


[Enable TLS/SSL on HTTP]:Web サーバの TLS と SSL をイネーブルにします。デフォルトはイネーブルです。


) TLS と SSL はイネーブルにしておくことを強く推奨します。


[FTP Timeout]:センサーと FTP サーバの通信中にタイムアウトになるまで FTP クライアントが待機する時間(秒単位)を設定します。有効な値の範囲は 1 ~ 86400 秒です。デフォルト値は 300 秒です。

[Enable Telnet]:Telnet によるセンサーへのリモート アクセスをイネーブルまたはディセーブルにします。


) Telnet はセキュアなアクセス サービスではないため、デフォルトでは無効になっています。


[Allow Password Recovery]:パスワード リカバリをイネーブルにします。デフォルトはイネーブルです。

詳細情報

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

ネットワークの設定


注意 グローバル相関機能が動作するには、有効なセンサーのライセンスが必要です。グローバル相関機能の統計情報については引き続き設定および表示できますが、グローバル相関データベースはクリアされ、更新は試行されなくなります。有効なライセンスをインストールすると、グローバル相関機能が再アクティブ化されます。


) IPS 6.1 および 6.2 は、グローバル相関機能をサポートしていません。



) AIP SSC-5 は、グローバル相関機能をサポートしていません。


ネットワークを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。

ステップ 3 センサーのホスト名を編集するには、[Hostname] フィールドに新しい名前を入力します。

ステップ 4 センサーの IP アドレスを変更するには、[IP Address] フィールドに新しいアドレスを入力します。

ステップ 5 ネットワーク マスクを変更するには、[Network Mask] フィールドに新しいマスクを入力します。

ステップ 6 デフォルトのゲートウェイを変更するには、[Default Route] フィールドに新しいアドレスを入力します。

ステップ 7 グローバル相関をサポートするために、HTTP プロキシ サーバまたは少なくとも 1 つの DNS サーバを設定するには、[HTTP Proxy Server] フィールドに HTTP プロキシ サーバの IP アドレスを入力して [HTTP Proxy Port] フィールドにポート番号を入力するか、または [DNS Primary] フィールドに DNS サーバの IP アドレスを入力します。

DNS サーバを使用している場合は、グローバル相関のアップデートに正常に到達できる DNS サーバを少なくとも 1 つ設定する必要があります。他の DNS サーバをバックアップ サーバとして設定することもできます。DNS クエリは、リストの先頭にあるサーバに送信されます。このサーバに到達できない場合、DNS クエリは次に設定されている DNS サーバに送信されます。


注意 グローバル相関が機能するには、DNS サーバまたは HTTP プロキシ サーバのいずれかが常に設定されている必要があります。


注意 DNS 解決は、グローバル相関のアップデート サーバにアクセスする場合にだけサポートされます。

ステップ 8 Web サーバのポートを変更するには、[Web Server Port] フィールドに新しいポート番号を入力します。


) Web サーバ ポートを変更した場合は、IME への接続時にブラウザの URL アドレスでそのポートを指定する必要があります。使用する形式は https://sensor_ip_address:sensor_ip_address(たとえば、https://10.1.9.201:1040)です。


ステップ 9 TLS/SSL をイネーブルまたはディセーブルにするには、[Enable TLS/SSL on HTTP] チェックボックスをオンまたはオフにします。


) TLS/SSL は有効にしておくことを強くお勧めします。



TLS と SSL は、Web ブラウザと Web サーバ間の暗号化通信を可能にするプロトコルです。TLS/SSL をイネーブルにした場合、https://sensor_ip_address を使用して IME に接続します。TLS/SSL がディセーブルの場合は、http://sensor_ip_address:port_number を使用して、IME に接続します。


ステップ 10 FTP タイムアウトの時間を変更するには、[FTP Timeout] フィールドに新しい時間を入力します。デフォルト値は 300 秒です。

ステップ 11 リモート アクセスをイネーブルまたはディセーブルにするには、[Enable Telnet] チェックボックスをオンまたはオフにします。


) Telnet はセキュアなアクセス サービスではないため、デフォルトでは無効になっています。ただし、センサー上でセキュアなサービスである SSH が常時実行されています。


ステップ 12 パスワード リカバリを許可するには、[Allow Password Recovery] チェックボックスをオンにします。


) パスワード リカバリはイネーブルにしておくことを強く推奨します。パスワード リカバリをディセーブルにすると、パスワードに問題がある場合に、アクセスのためのセンサー イメージを再作成する必要があります。



ヒント 変更を元に戻すには、[Reset] をクリックします。

ステップ 13 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。


) ネットワーク設定を変更すると、センサーへの接続が中断し、新しいアドレスでの再接続が必要になることがあります。



 

詳細情報

グローバル相関の詳細については、「グローバル相関の設定」を参照してください。

さまざまなセンサーにおけるパスワード リカバリの手順については、「パスワードの回復」を参照してください。

許可されたホストおよびネットワークの設定

ここでは、許可されたホストおよびネットワークをシステムに追加する方法について説明します。内容は次のとおりです。

「[Allowed Hosts/Networks] ペイン」

「[Allowed Hosts/Network] ペインと、[Add Allowed Host] および [Edit Allowed Host] ダイアログボックスのフィールド定義」

「許可されたホストおよびネットワークの設定」

[Allowed Hosts/Networks] ペイン


許可されたホストおよびネットワークを設定するには、管理者である必要があります。


setup コマンドを使用してセンサーを初期化すると、許可されたホストのパラメータ値が [Allowed Hosts/Networks] ペインに表示されます。これらのパラメータ値は、必要に応じて [Allowed Hosts/Networks] ペインで変更できます。[Allowed Hosts/Networks] ペインを使用して、センサーへのアクセスが許可されたホストまたはネットワークを指定します。デフォルトでは、リストには何もエントリがないため、ホストを追加するまで許可されたホストはありません。


) 許可されたホストのリストに、ASDM、IDM、IME、Cisco Security Manager などの管理ホスト、および Cisco Security MARS などのモニタリング ホストを追加する必要があります。追加しないと、センサーと通信できません。



注意 許可ホストを追加、編集、または削除するときは、センサーのリモート管理に使用する IP アドレスを削除しないように注意してください。

[Allowed Hosts/Network] ペインと、[Add Allowed Host] および [Edit Allowed Host] ダイアログボックスのフィールド定義

[Allowed Hosts/Network] ペインと、[Add Allowed Host] および [Edit Allowed Host] ダイアログボックスには、次のフィールドが表示されます。

[IP Address]:センサーへのアクセスが許可されたホストの IP アドレス。

[Network Mask]:ホストの IP アドレスに対応するマスク。

許可されたホストおよびネットワークの設定

センサーへのアクセスが許可されたホストとネットワークを指定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > s ensor_name > [Sensor Setup] > [Allowed Hosts/Networks] を選択し、[Add] をクリックしてホストまたはネットワークをリストに追加します。許可されたホストは最大 512 台追加できます。

ステップ 3 [IP Address] フィールドに、ホストまたはネットワークの IP アドレスを入力します。入力した IP アドレスが既存のリストのエントリに含まれている場合、エラー メッセージが表示されます。

ステップ 4 ホストまたはネットワークのネットワーク マスクを [Network Mask] フィールドに入力するか、またはドロップダウン リストからネットワーク マスクを選択します。IME では、IP アドレスがホストであるかネットワークであるかに関係なく、必ずネットマスクを指定する必要があります。ネットマスクを指定しないと、「 Network Mask is not valid 」というエラーが表示されます。また、ネットワーク マスクが IP アドレスと一致しない場合も、エラー メッセージが表示されます。


ヒント 変更を破棄して [Add Allowed Host] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 5 [OK] をクリックします。新しいホストまたはネットワークが、[Allowed Hosts/Networks] ペインにあるリストに表示されます。

ステップ 6 リストにある既存のエントリを編集するには、エントリを選択して [Edit] をクリックします。

ステップ 7 [IP Address] フィールドで、ホストまたはネットワークの IP アドレスを編集します。

ステップ 8 [Network Mask] フィールドで、ホストまたはネットワークのネットワーク マスクを編集します。


ヒント 変更を破棄して [Edit Allowed Host] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。編集されたホストまたはネットワークが、[Allowed Hosts/Networks] ペインのリストに表示されます。

ステップ 10 リストからホストまたはネットワークを削除するには、そのホストまたはネットワークを選択し、[Delete] をクリックします。削除されたホストは、[Allowed Hosts/Networks] ペインのリストに表示されなくなります。


注意 ホストを削除すると、それ以降そのホストからのネットワーク接続はすべて拒否されます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 11 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。


 

時刻の設定

ここでは、時刻源とセンサーについて説明します。内容は次のとおりです。

「[Time] ペイン」

「[Time] ペインのフィールド定義」

「[Configure Summertime] ダイアログボックスのフィールド定義」

「センサー上の時刻の設定」

「時刻源とセンサー」

「IPS モジュールのシステム クロックと親デバイスのシステム クロックの同期」

「センサーの時刻の修正」

「NTP の設定」

「システム クロックの手動設定」

「イベントのクリア」

[Time] ペイン


時刻を設定するには、管理者である必要があります。


[Time] ペインを使用して、センサーのローカルな日付、時刻、時間帯、サマータイム(DST)を設定し、センサーが時刻源に NTP サーバを使用するかどうかを設定します。


) センサーの時刻源として NTP サーバを使用する方法を推奨します。


[Time] ペインのフィールド定義

[Time] ペインには、次のフィールドが表示されます。

[Sensor Local Date]:センサー上の現在の日付。デフォルトは 1970 年 1 月 1 日です。日付の値が月の範囲外の場合、エラー メッセージが表示されます。

[Sensor Local Time]:センサー上の現在の時刻(hh:mm:ss)。デフォルト値は 00:00:00 です。時間、分、または秒が範囲外の場合はエラー メッセージが表示されます。


) センサーが日付フィールドや時刻フィールドをサポートしていない場合、またはセンサー上で NTP を設定している場合、これらのフィールドはディセーブルになっています。


[Standard Time Zone]:時間帯の名前と UTC オフセットを設定します。

[Zone Name]:サマータイムが実施されていない場合のローカル時間帯。デフォルトは UTC です。37 個の事前に定義された時間帯のセットから選択するか、または一意の名前(24 文字)を作成できます。名前に使用できる文字のパターンは、^[A-Za-z0-9()+:,_/-]+$ です。

[UTC Offset]:ローカル時間帯のオフセット(分単位)。デフォルトは 0 です。事前に定義された時間帯を選択した場合、このフィールドには自動的に値が入力されます。


) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。


[NTP Server]:センサーが NTP サーバを時刻源として使用するように設定します。

[IP Address]:NTP サーバを使用してセンサー上の時刻を設定する場合の、NTP サーバの IP アドレス。

[Authenticated NTP]:認証された NTP を使用します。キーおよびキー ID が必要です。

[Key]:NTP MD5 キー タイプ。

[Key ID]:NTP サーバ上で認証に使用されるキーの ID(1 ~ 65535)。キー ID が範囲外の場合は、エラー メッセージが表示されます。

[Unauthenticated NTP]:NTP を使用しますが、認証を必要としないため、キーおよびキー ID は必要ありません。

[Summertime]:サマータイム設定をイネーブルにし、その設定をします。

[Enable Summertime]:ここをクリックすると、サマータイム モードがイネーブルになります。デフォルトはディセーブルです。

[Configure Summertime] ダイアログボックスのフィールド定義

[Configure Summertime] ダイアログボックスには、次のフィールドが表示されます。

[Summer Zone Name]:サマータイム時間帯の名前。デフォルトは UTC です。37 個の事前に定義された時間帯のセットから選択するか、または一意の名前(24 文字)を作成できます。名前に使用できる文字のパターンは、^[A-Za-z0-9()+:,_/-]+$ です。

[Offset]:サマータイム中に付加する時間数(分単位)。デフォルトは 60 です。事前に定義された時間帯を選択した場合、このフィールドには自動的に値が入力されます。


) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。


[Start Time]:サマータイム開始時刻の設定。値は hh:mm 形式です。時間または分が範囲外の場合はエラー メッセージが表示されます。

[End Time]:サマータイム終了時刻の設定。値は hh:mm 形式です。時間または分が範囲外の場合はエラー メッセージが表示されます。

[Summertime Duration]:サマータイム期間が毎年実施されるか、1 回だけの日付かを設定します。

[Recurring]:サマータイム期間は recurring(毎年実施される)モードです。

[Date]:サマータイム期間は、nonrecurring(毎年実施されない)モードです。

[Start]:開始の週、日、月の設定。

[End]:終了の週、日、月の設定。

センサー上の時刻の設定

センサー上の時刻を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Time] を選択します。

ステップ 3 [Sensor Local Date] で、ドロップダウン リストから現在の日付を選択します。日付とは、ローカル ホストの日付のことです。

ステップ 4 [Sensor Local Time] で、現在の時刻(hh:mm:ss)を入力します。時刻とは、ローカル ホストの時刻のことです。現在の時刻を表示する場合は、[Refresh] をクリックします。


注意 誤った時刻を指定すると、保存されているイベントに誤ったタイムスタンプが設定されます。この場合は、イベントをクリアする必要があります。


) NTP を設定済みの場合、モジュール上の日付や時刻は変更できません。


ステップ 5 [Standard Time Zone] で、時間帯およびオフセットを設定します。

a. [Zone Name] フィールドのドロップダウン リストから時間帯を選択するか、または作成済みの時間帯を入力します。これは、サマータイム時間が実施されていない場合に表示される時間帯です。

b. [UTC Offset] フィールドに、UTC のオフセットを分単位で入力します。事前に定義された時間帯名を選択した場合、このフィールドには自動的に値が入力されます。


) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。


ステップ 6 NTP 時刻同期を使用している場合は、[NTP Server] で次を入力します。

[IP Address] フィールドに NTP サーバの IP アドレスを入力します。

認証された NTP を使用している場合は、[Authenticated NTP] チェックボックスをオンにしてから、[Key] フィールドに NTP サーバのキーを入力し、[Key ID] フィールドに NTP サーバのキー ID を入力します。

認証されていない NTP を使用している場合は、[Unauthenticated NTP] チェックボックスをオンにします。


) NTP サーバを定義すれば、センサーの時間はその NTP サーバによって設定されます。CLI で clock set コマンドを実行するとエラーが発生しますが、時間帯のパラメータおよびサマータイムのパラメータは有効です。



) センサーの時刻源として NTP サーバを使用する方法を推奨します。


ステップ 7 サマータイムをイネーブルにするには、[Enable Summertime] チェックボックスをオンにします。

ステップ 8 [Configure Summertime] をクリックします。

ステップ 9 ドロップダウン リストから [Summer Zone Name] を選択するか、または作成済みのサマータイム名を入力します。これは、サマータイム時間が実施されている間に表示される時間帯名です。

ステップ 10 [Offset] フィールドに、サマータイム中に付加する時間数を分単位で入力します。事前に定義されたサマータイム時間帯名を選択した場合、このフィールドには自動的に値が入力されます。


) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。


ステップ 11 [Start Time] フィールドに、サマータイム設定に適用する時刻を入力します。

ステップ 12 [End Time] フィールドに、サマータイム設定から削除する時刻を入力します。

ステップ 13 [Summertime Duration] で、サマータイム設定が毎年指定された日付に発生する(recurring)か、または指定された日付で開始および終了する(date)かを選択します。

a. [Recurring]:ドロップダウン リストから開始時刻と終了時刻を選択します。デフォルトは 3 月の第 2 日曜日と 11 月の第 1 日曜日です。

b. [Date]:ドロップダウン リストから開始時刻と終了時刻を選択します。開始および終了時刻のデフォルトは、1 月 1 日です。


ヒント 変更を破棄して [Configure Summertime] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 14 [OK] をクリックします。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 15 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。

ステップ 16 時刻と日付の設定を変更した場合(ステップ 3 と 4)、[Apply Time to Sensor] をクリックして、変更した設定をセンサーに保存する必要があります。


 

時刻源とセンサー

センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。ここでは、センサーに時刻を設定するためのさまざまな方法を概説します。


) NTP サーバを使用することを推奨します。認証された NTP または認証されていない NTP を使用できます。認証された NTP には、NTP サーバの IP アドレス、キー ID、およびキー値が必要です。NTP は初期化中にセットアップできます。また、CLI、IDM、IME、または ASDM を介して NTP を設定することもできます。


アプライアンス

clock set コマンドを使用して、時刻を設定する。これがデフォルトです。

アプライアンスは、NTP 同期時刻源から時刻を取得するように設定できます。

IDSM2

IDSM2 は、自動的にそのクロックをスイッチ時刻と同期させることができる。これがデフォルトです。UTC 時刻は、スイッチと IDSM2 の間で同期が取られます。時間帯とサマータイム設定は、スイッチと IDSM2 の間で同期が取られません。


) スイッチと IDSM2 の両方で時間帯とサマータイム設定が行われていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイム設定が IDSM2 とスイッチとで一致していないと、IDSM2 の現地時間が不正確になります。


IDSM2 は、NTP 同期時刻源から時刻を取得するように設定できます。

AIM IPS および NME IPS

AIM IPS および NME IPS は、自動的にそのクロックを取り付け先(親ルータ)のルータ シャーシのクロックと同期させることができる。これがデフォルトです。UTC 時刻は、親ルータと AIM IPS および NME IPS の間で同期が取られます。時間帯とサマータイム設定は、親ルータと AIM IPS および NME IPS の間で同期が取られません。


) 親ルータと AIM IPS および NME IPS の両方で時間帯とサマータイム設定が行われていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が AIM IPS および NME IPS とルータとで一致していない場合、AIM IPS および NME IPS の現地時間は不正確になる可能性があります。


AIM IPS および NME IPS は、時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定できます。

ASA モジュール

ASA モジュールAIP SSM、AIP SSC-5、および IPS SSP)は、自動的にそのクロックを取り付け先の適応型セキュリティ アプライアンスのクロックと同期させることができる。これがデフォルトです。

ASA モジュールは、時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定できます。

詳細情報

IPS モジュールと親シャーシの同期の詳細については、「IPS モジュールのシステム クロックと親デバイスのシステム クロックの同期」を参照してください。

NTP の設定の詳細については、「NTP の設定」を参照してください。

IPS モジュールのシステム クロックと親デバイスのシステム クロックの同期

すべての IPS モジュール(AIM IPS、AIP SSM、AIP SSC-5、IDSM2、IPS SSP、および NME IPS)のシステム クロックは、モジュールの起動時に親シャーシのクロック(スイッチ、ルータ、またはセキュリティ アプライアンス)と同期します。また、親シャーシのクロックが設定された時間に同期します。モジュールのクロックと親シャーシのクロックは、時間の経過とともにずれが生じる傾向があります。誤差は、1 日で数秒になることがあります。この問題を回避するには、モジュールのクロックと親シャーシのクロックの両方が外部 NTP サーバと同期するようにします。モジュールまたは親シャーシのどちらかのクロックだけが NTP サーバと同期している場合、時間のずれが生じます。

センサーが NTP サーバと同期していることを確認する

Cisco IPS では、無効な NTP キー値または ID など、誤った NTP 設定をセンサーに適用することはできません。誤った設定を適用しようとすると、エラー メッセージが表示されます。NTP 設定を確認するには、 show statistics host コマンドを使用してセンサーの統計情報を収集します。NTP 統計情報セクションには、NTP サーバとセンサーの同期に関するフィードバックを含む NTP 統計情報が表示されます。

NTP 設定を確認するには、次の手順を実行します。


ステップ 1 センサーにログインします。

ステップ 2 ホスト統計情報を生成します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
11.22.33.44 CHU_AUDIO(1) 8 u 36 64 1 0.536 0.069 0.001
LOCAL(0) 73.78.73.84 5 l 35 64 1 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f014 yes yes ok reject reachable 1
2 10373 9014 yes yes none reject reachable 1
status = Not Synchronized
...

ステップ 3 数分後に再びホスト統計情報を生成します。

sensor# show statistics host
...
NTP Statistics
remote refid st t when poll reach delay offset jitter
*11.22.33.44 CHU_AUDIO(1) 8 u 22 64 377 0.518 37.975 33.465
LOCAL(0) 73.78.73.84 5 l 22 64 377 0.000 0.000 0.001
ind assID status conf reach auth condition last_event cnt
1 10372 f624 yes yes ok sys.peer reachable 2
2 10373 9024 yes yes none reject reachable 2
status = Synchronized
 

ステップ 4 ステータスが [Not Synchronized] のままの場合は、NTP サーバが正しく設定されていることを NTP サーバの管理者に確認してください。


 

センサーの時刻の修正

イベントには発生時の時刻がスタンプされるため、時刻を誤って設定した場合、保存されたイベントの時刻は不正確になります。イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ中に、時刻を 8:00 a.m. ではなく 8:00 p.m. に設定した場合、エラーを訂正すると、訂正された時刻がさかのぼって設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。

たとえば、初期セットアップ中にセンサーを中部時間に設定し、さらにサマータイムを有効にした場合、現地時間が 8:04 p.m. であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の 9:00 a.m. に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。この場合、時刻を 9:00 a.m. に変更すれば、時計は 09:01:33 CDT と表示されます。UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。

イベント レコードのタイムスタンプの整合性を維持するには、 clear events コマンドを使用して、古いイベントのイベント アーカイブを消去する必要があります。


) イベントは、個別には削除できません。


詳細情報

イベント ストアからイベントをクリアする手順については、「イベントのクリア」を参照してください。

NTP の設定

ここでは、Cisco ルータを NTP サーバとして設定する方法、および NTP サーバを時刻源として使用するようにセンサーを設定する方法について説明します。内容は次のとおりです。

「Cisco ルータを NTP サーバにする設定」

「センサーで NTP 時刻源を使用するための設定」

Cisco ルータを NTP サーバにする設定

センサーが NTP サーバを時刻源として使用するためには、センサーと NTP サーバの間に認証済みの接続が必要です。センサーがキーの暗号化のためにサポートしているのは、MD5 ハッシュ アルゴリズムのみです。Cisco ルータが NTP サーバとして動作するようにし、その内部クロックを時刻源として使用するには、次の手順を使用します。


注意 センサー NTP 機能は、NTP サーバとして動作する Cisco ルータと互換性があるように設計されています。センサーはその他の NTP サーバとともに動作しますが、テストやサポートはされていません。


) NTP サーバのキー ID とキー値を手元に用意してください。NTP サーバを時刻源として使用するようにセンサーを設定する際に、NTP サーバの IP アドレスと共に必要になります。


Cisco ルータが NTP サーバとして動作するように設定するには、次の手順を実行します。


ステップ 1 ルータにログインします。

ステップ 2 コンフィギュレーション モードを開始します。

router# configure terminal
 

ステップ 3 キー ID とキー値を作成します。

router(config)# ntp authentication-key key_ID md5 key_value
 

キー ID は、1 から 65535 までの数値です。キー値はテキスト(数字または文字)です。この値は後で暗号化されます。

router(config)# ntp authentication-key 100 md5 attack
 

) センサーがサポートするのは MD5 キーのみです。



) すでにルータにキーが存在する場合もあります。他のキーを確認するには、show running configuration コマンドを使用します。これらの値は、信頼できるキーとしてステップ 4 で使用されます。


ステップ 4 ステップ 3 で作成したキーを信頼できるキーとして指定(または既存のキーを使用)します。

router(config)# ntp trusted-key key_ID
 

信頼できるキーの ID は、ステップ 3 のキー ID と同じ数値です。

router(config)# ntp trusted-key 100
 

ステップ 5 センサーが通信するルータ上のインターフェイスを指定します。

router(config)# ntp source interface_name
 

router(config)# ntp source FastEthernet 1/0
 

ステップ 6 センサーに割り当てる NTP マスター ストラタム番号を指定します。

router(config)# ntp master stratum_number
 

router(config)# ntp master 6
 

NTP マスター ストラタム番号は、NTP 階層におけるサーバの相対的な位置を示します。1 から 15 までの番号を選択できます。どの番号を選択するかは、センサーに対して重要ではありません。


 

センサーで NTP 時刻源を使用するための設定

センサーには、安定した時刻源が必要です。NTP サーバを使用することを推奨します。センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を使用します。認証された NTP または認証されていない NTP を使用できます。


) 認証された NTP には、NTP サーバの IP アドレス、キー ID、およびキー値が必要です。



注意 センサー NTP 機能は、NTP サーバとして動作する Cisco ルータと互換性があるように設計されています。センサーはその他の NTP サーバとともに動作しますが、テストやサポートはされていません。

センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 サービス ホスト モードに入ります。

sensor(config)# service host
 

ステップ 4 認証されていない NTP を設定します。

a. NTP コンフィギュレーション モードを開始します。

sensor(config-hos)# ntp-option enabled-ntp-unauthenticated
 

b. NTP サーバの IP アドレスを指定します。

sensor(config-hos-ena)# ntp-server ip_address
 

c. 認証されていない NTP の設定を確認します。

sensor(config-hos-ena)# show settings
enabled-ntp-unauthenticated
-----------------------------------------------
ntp-server: 10.89.147.45
-----------------------------------------------
sensor(config-hos-ena)#
 

ステップ 5 認証された NTP を設定します。

a. NTP コンフィギュレーション モードを開始します。

sensor(config-hos)# ntp-option enable
 

b. NTP サーバの IP アドレスとキー ID を指定します。

sensor(config-hos-ena)# ntp-servers ip_address key-id key_ID
 

キー ID は、1 から 65535 までの数値です。これは、NTP サーバで設定済みのキー ID です。

sensor(config-hos-ena)# ntp-servers 10.16.0.0 key-id 100
 

c. NTP サーバのキー値を指定します。

sensor(config-hos-ena)# ntp-keys key_ID md5-key key_value
 

キー値はテキスト(数字または文字)です。これは、NTP サーバで設定済みのキー値です。

sensor(config-hos-ena)# ntp-keys 100 md5-key attack
 

d. NTP の設定を確認します。

sensor(config-hos-ena)# show settings
enabled
-----------------------------------------------
ntp-keys (min: 1, max: 1, current: 1)
-----------------------------------------------
key-id: 100
-----------------------------------------------
md5-key: attack
-----------------------------------------------
-----------------------------------------------
ntp-servers (min: 1, max: 1, current: 1)
-----------------------------------------------
ip-address: 10.16.0.0
key-id: 100
-----------------------------------------------
-----------------------------------------------
sensor(config-hos-ena)#
 

ステップ 6 NTP コンフィギュレーション モードを終了します。

sensor(config-hos-ena)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]
 

ステップ 7 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。


 

システム クロックの手動設定


) センサーが NTP クロック ソースなど有効な外部の時刻メカニズムと同期している場合、システム クロックを設定する必要はありません。


アプライアンスのクロックを手動で設定するには、 clock set hh:mm [:ss] month day year コマンドを使用します。他の時刻源を使用できない場合は、次のコマンドを使用してください。 clock set コマンドは、次のプラットフォームには適用されません。

AIM IPS

AIP SSC-5

AIP SSM

IDSM2

IPS SSP

NME IPS

アプライアンスに手動でクロックを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 クロックを手動で設定します。

sensor# clock set 13:21 Mar 29 2008
 

) 時刻形式は 24 時間です。



 

イベントのクリア

イベント ストアをクリアするには、 clear events コマンドを使用します。

イベント ストアからイベントをクリアするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 イベント ストアをクリアします。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? []:
 

ステップ 3 yes と入力してイベントをクリアします。


 

認証およびユーザの設定

ここでは、AAA RADIUS をサポートしているセンサーおよびサポートしていないセンサーのユーザ認証を設定する方法と、ユーザをシステムに追加する方法およびシステムから削除する方法について説明します。内容は次のとおりです。

「AAA RADIUS をサポートしていないセンサーの [Authentication] ペイン」

「AAA RADIUS をサポートしているセンサーの [Authentication] ペイン」

「[Add User] および [Edit User] ダイアログボックスのフィールド定義」

「ユーザ ロールについて」

「サービス アカウントについて」

「サービス アカウントおよび RADIUS 認証」

「ユーザの追加、編集、削除と、AAA RADIUS をサポートしていないセンサーのアカウント作成」

「ユーザの追加、編集、削除と、AAA RADIUS をサポートしているセンサーのアカウント作成」

「ユーザ アカウントのロック解除」

AAA RADIUS をサポートしていないセンサーの [Authentication] ペイン


) AAA RADIUS をサポートしているのは、IPS 7.0(4)E4 で動作するセンサーだけです。


IME では、一度に複数のユーザがログインできます。ローカル センサーでは、ユーザの作成および削除を行えます。一度に変更できるユーザ アカウントは 1 つだけです。各ユーザは、ユーザが何を変更でき何を変更できないかを制御するロールに関連付けられます。


ユーザを追加および編集するには、管理者である必要があります。


フィールド定義

[Authentication] ペインには、次のフィールドが表示されます。

[Username]:ユーザ名は、^[A-Za-z0-9()+:,_/-]+$ の形式で入力します。ユーザ名は、文字または数字で始まり、A ~ Z(大文字または小文字)、0 ~ 9 の数字、「-」および「_」を含み、長さが 1 ~ 64 文字であることが必要です。

[Role]:ユーザ ロール。値は、Administrator、Operator、Service、および Viewer です。デフォルトは Viewer です。


) サービス ロールが許可されるのは 1 ユーザだけです。


[Status]:現在のユーザ アカウントのステータス(active、expired、または locked)を表示します。

AAA RADIUS をサポートしているセンサーの [Authentication] ペイン


) IPS 7.0(4)E4 で動作するセンサーは AAA RADIUS をサポートしています。


[Authentication] ペインを使用して、センサーにログインできるユーザを設定します。一度に複数のユーザがログインできます。ローカル センサーでは、ユーザの作成および削除を行えます。一度に変更できるユーザ アカウントは 1 つだけです。各ユーザは、ユーザが何を変更でき何を変更できないかを制御するロールに関連付けられます。ユーザ パスワードに必要な要件は、[Passwords] ペインで設定します。

ローカル センサーでは、ユーザの作成および削除を行えます。一度に変更できるユーザ アカウントは 1 つだけです。各ユーザは、ユーザが何を変更でき何を変更できないかを制御するロールに関連付けられます。ユーザ パスワードに必要な要件は、 password コマンドで設定します。

ユーザは、ローカルまたは RADIUS サーバ経由のいずれかで AAA によって認証されます。ローカル認証は、デフォルトでイネーブルになっています。RADIUS 認証は、アクティブにする前に設定する必要があります。

RADIUS によって認証されるユーザ ロールを指定する必要があります。RADIUS サーバでユーザ ロールを設定するか、[Authentication] ペインでデフォルト ユーザ ロールを指定します。ユーザ名およびパスワードは、設定された RADIUS サーバへの認証要求の中に送信されます。サーバは、ログインが認証されるかどうかを決定し、応答します。


) センサーがデフォルト ユーザ ロールを使用するように設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message にない場合、CiscoSecure ACS サーバがユーザ名とパスワードを受け入れても、センサーは RADIUS 認証を拒否します。


プライマリ RADIUS サーバとセカンダリ RADIUS サーバを設定できます。プライマリ RADIUS サーバが応答しない場合は、セカンダリ RADIUS サーバがユーザを認証および許可します。

いずれの RADIUS サーバも応答しない場合は、センサーがローカル認証(ローカル フォールバック)を使用するように設定できます。この場合、センサーはローカルに設定されたユーザ アカウントに対して認証を行います。センサーは RADIUS サーバが使用できない場合にだけローカル認証を使用します。ユーザの認証要求が RADIUS サーバで拒否された場合、ローカル認証は使用されません。

コンソール ポートを介して接続するユーザを認証する方法を設定することもできます。これには、ローカル ユーザ アカウントを使用する方法、最初に RADIUS を使用(応答しない場合はローカル ユーザ アカウントを使用)する方法、または RADIUS だけを使用する方法があります。ローカル フォールバックをイネーブルにしている場合は、SSH および Telnet セッションが、ローカル アカウントとして認証を試みます。ローカル フォールバックをディセーブルにしている場合、SSH および Telnet セッションは失敗します。

[Authentication] ペインで RADIUS サーバを設定するには、IP アドレス、ポート、および RADIUS サーバの共有秘密が必要です。さらに、RADIUS サーバの NAS-ID か、NAS-ID なしで(または cisco-ips のデフォルト IPS NAS-ID で)クライアントを認証するように設定された RADIUS サーバのいずれかが必要です。

フィールド定義

[Authentication] ペインには、次のフィールドが表示されます。

[User Authentication]:ローカル認証または RADIUS サーバを使用する認証のいずれかを選択します。

[Local Authentication]:このセンサーにアクセスするユーザを指定します。

[Username]:ユーザのユーザ名。ユーザ名は、^[A-Za-z0-9()+:,_/-]+$ の形式で入力します。ユーザ名は、文字または数字で始まり、A ~ Z(大文字または小文字)、0 ~ 9 の数字、「-」および「_」を含み、長さが 1 ~ 64 文字であることが必要です。

[Role]:ユーザのロール。値は、Administrator、Operator、Service、および Viewer です。デフォルトは Viewer です。


) サービス ロールが許可されるのは 1 ユーザだけです。


[Status]:現在のユーザ アカウントのステータス(active、expired、または locked)を表示します。

[RADIUS Authentication]:認証方式に RADIUS を指定します。

[Network Access ID]:認証を要求するサービスを識別します。値には、すでに RADIUS サーバで設定されている NAS-ID、cisco-ips、NAS-ID 以外を指定できます。デフォルトは cisco-ips です。

[Default User Role]:RADIUS ユーザが引き継ぐセンサー上のデフォルト ユーザ ロールを割り当てます。デフォルト ロールの値は、Administrator、Operator、Viewer、および Unspecified です。サービス ロールはデフォルト ロールになりません。デフォルトは Unspecified です。

すべての RADIUS ユーザが引き継ぐセンサー上のデフォルト ユーザ ロールを設定しない場合は、ips-role=administrator、ips-role=operator、ips-role=viewer、ips-role=service、または ips-role=unspecified のいずれかのオプションを使用するグループまたはユーザのプロファイルで [Cisco IOS/PIX 6.x RADIUS Attributes] の [[009¥001] cisco-av-pair] を設定する必要があります。


) センサーがデフォルト ユーザ ロールを使用するように設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message にない場合、CiscoSecure ACS サーバがユーザ名とパスワードを受け入れても、センサーは RADIUS 認証を拒否します。


[Allow Local Authentication if all RADIUS Servers are Unresponsive]:このチェックボックスをオンにすると、RADIUS サーバが応答しない場合にローカル認証がデフォルトになります。デフォルトはイネーブルです。

[Primary RADIUS Server]:メインの RADIUS サーバを設定します。

[Server IP Address]:RADIUS サーバの IP アドレス。

[Authentication Port]:RADIUS サーバのポート。指定しない場合は、デフォルトの RADIUS ポートが使用されます。

[Timeout (seconds)]:RADIUS サーバからの応答がないとセンサーが判断するまで、センサーがサーバからの応答を待機する時間を秒単位で指定します。

[Shared Secret]:RADIUS サーバ上で設定される秘密値。RADIUS サーバの秘密値を取得して [Shared Secret] フィールドに入力する必要があります。


) サーバがクライアントの要求を認証し、クライアントがサーバの応答を認証するには、RADIUS サーバと IPS センサーに同じ秘密値を設定する必要があります。


[Secondary RADIUS Server (optional)]:セカンダリ RADIUS サーバを設定します(任意)。

[Enable a Secondary RADIUS Server]:バックアップ用の RADIUS サーバを設定します。

[Server IP Address]:RADIUS サーバの IP アドレス。

[Authentication Port]:RADIUS サーバのポート。指定しない場合は、デフォルトの RADIUS ポートが使用されます。

[Timeout (seconds)]:RADIUS サーバからの応答がないとセンサーが判断するまで、センサーがサーバからの応答を待機する時間を秒単位で指定します。

[Shared Secret]:RADIUS サーバ上で設定される秘密値。RADIUS サーバの秘密値を取得して [Shared Secret] フィールドに入力する必要があります。


) サーバがクライアントの要求を認証し、クライアントがサーバの応答を認証するには、RADIUS サーバと IPS センサーに同じ秘密値を設定する必要があります。


[Console Authentication]:コンソール ポートを介して接続するユーザを認証する方法を選択します。

[Local]:コンソール ポートを介して接続するユーザは、ローカル ユーザ アカウントを使用して認証されます。

[Local and RADIUS]:コンソール ポートを介して接続するユーザは、最初に RADIUS を使用して認証されます。RADIUS が失敗した場合は、ローカル認証が試行されます。これがデフォルトです。

[RADIUS]:コンソール ポートを介して接続するユーザは、RADIUS によって認証されます。[Allow Local Authentication if all Radius Servers are Unresponsive] をイネーブルにしている場合、ユーザはローカル ユーザ アカウントによって認証されます。

[Add User] および [Edit User] ダイアログボックスのフィールド定義

[Add User] および [Edit User] ダイアログボックスには、次のフィールドが表示されます。

[Username]:ユーザ名。ユーザ名は、^[A-Za-z0-9()+:,_/-]+$ の形式で入力します。ユーザ名は、文字または数字で始まり、A ~ Z(大文字または小文字)、0 ~ 9 の数字、「-」および「_」を含み、長さが 1 ~ 64 文字であることが必要です。

[User Role]:ユーザ ロール。有効な値は、Administrator、Operator、Service、および Viewer です。デフォルトは Viewer です。


) サービス ロールが許可されるのは 1 ユーザだけです。


[Password]:ユーザのパスワード。パスワードは、センサー管理者が設定した要件に従っている必要があります。

[Confirm Password]:確認のためにパスワードを再入力します。確認のために再入力したパスワードがユーザ パスワードと一致しない場合は、エラー メッセージが表示されます。

[Change the password to access the sensor]:ユーザのパスワードを変更します。これは [Edit User] ダイアログボックスでのみ利用できます。

ユーザ ロールについて

ユーザ ロールには、次の 4 つがあります。

ビューア(Viewer):設定およびイベントを表示できますが、自分のユーザ パスワード以外の設定データは修正できません。

オペレータ(Operator):すべてのデータを表示できるほか、次のオプションを修正できます。

シグニチャ チューニング(優先順位、無効/有効)

仮想センサーの定義

管理対象ルータ

自分のユーザ パスワード

管理者(Administrator):すべてのデータを表示できるほか、オペレータが修正できるすべてのオプションに加えて、次のオプションを修正できます。

センサーのアドレス設定

設定エージェントまたはビュー エージェントとして接続が許可されたホストのリスト

物理的な検知インターフェイスの割り当て。

物理インターフェイスの制御のイネーブル化またはディセーブル化。

ユーザとパスワードの追加および削除。

新しい SSH ホスト キーとサーバ証明書の生成

サービス(Service):サービス権限を持つユーザはセンサーに 1 人だけ存在できます。サービス ユーザは、IDM または IMEIME にログインできません。サービス ユーザは、CLI ではなく bash シェルにログインします。


サービス ロールは、必要に応じて CLI をバイパスできる特殊なロールです。許可されるサービス アカウントは 1 つだけです。トラブルシューティング用には、サービス ロールのアカウントのみを作成してください。管理者権限を持つユーザだけが、サービス アカウントを編集できます。


サービス アカウントにログインすると、次の警告が表示されます。

************************ WARNING *************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED.
This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be re-imaged to guarantee proper operation.
**********************************************************************************
 

注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

サービス アカウントについて

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。

サービス アカウントが作成されると、root ユーザのパスワードはサービス アカウントのパスワードに同期化されます。root でアクセスするには、サービス アカウントでログインしてから su - root コマンドを使用してユーザ root に切り替える必要があります。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの特定のパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。


注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。

サービス アカウントおよび RADIUS 認証

RADIUS 認証を使用し、サービス アカウントを作成および使用する場合は、センサー上と RADIUS サーバ上の両方にサービス アカウントを作成する必要があります。

センサー上のサービス アカウントにアクセスするには、ローカル認証を使用する必要があります。サービス アカウントは、ローカル アカウントとしてセンサー上に手動で作成する必要があります。その後、続けて RADIUS 認証を設定したら、ip-role=service に受諾メッセージを設定した RADIUS サーバ上でサービス アカウントを手動で設定する必要があります。

サービス アカウントにログインすると、センサーのアカウントと RADIUS サーバのアカウントの両方に対して認証されます。サービス アカウントには、シリアル コンソール ポートからアクセスするか、モニタおよびキーボード(センサーがサポートしている場合)から直接アクセスするか、または SSH や Telnet などのネットワーク接続からアクセスできますが、ログインにはローカル認証を使用する必要があります。

ユーザの追加、編集、削除と、AAA RADIUS をサポートしていないセンサーのアカウント作成

センサー上のユーザを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Authentication] を選択し、[Add] をクリックしてユーザを追加します。

ステップ 3 [Username] フィールドに、追加するユーザのユーザ名を入力します。

ステップ 4 [User Role] フィールドのドロップダウン リストから、次のいずれかのユーザ ロールを選択します。

管理者(Administrator)

オペレータ(Operator)

ビューア(Viewer)

サービス(Service)


) サービス ロールが許可されるのは 1 ユーザだけです。


ステップ 5 [Password] フィールドに、そのユーザの新しいパスワードを入力します。

ステップ 6 [Confirm Password] フィールドに、そのユーザの新しいパスワードを入力します。


ヒント 変更を破棄して [Add User] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 7 [OK] をクリックします。新しいユーザが、[Users] ペインのユーザ リストに表示されます。

ステップ 8 ユーザを編集するには、ユーザ リストにあるユーザを選択し、[Edit] をクリックします。

ステップ 9 [Username] フィールド、[User Role] フィールド、および [Password] フィールドで、必要な変更を行います。


ヒント 変更を破棄して [Edit User] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 10 [OK] をクリックします。編集されたユーザが、[Users] ペインのユーザ リストに表示されます。

ステップ 11 ユーザを削除するには、ユーザ リストにあるユーザを選択し、[Delete] をクリックします。削除されたユーザは、[Users] ペインのユーザ リストに表示されなくなります。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 12 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。


 

ユーザの追加、編集、削除と、AAA RADIUS をサポートしているセンサーのアカウント作成


注意 センサー上で RADIUS 認証を設定する前に、RADIUS サーバがすでに設定されていることを確認してください。IPS 7.0(4) は、CiscoSecure ACS 4.2 サーバでテスト済みです。RADIUS サーバのセットアップ方法については、RADIUS サーバのマニュアルを参照してください。


) センサー上で RADIUS 認証をイネーブルにしても、すでに確立している接続は切断されません。RADIUS 認証は、センサーに新しく接続するときだけ必要になります。既存の CLI、IDM、および IME では、RADIUS 認証の設定に先立ってログイン クレデンシャルによる接続が確立しています。これらの接続を切断するには、RADIUS の設定後にセンサーをリセットする必要があります。


センサー上のユーザを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して IME にログインします。

ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Authentication] を選択します。

ステップ 3 [User Authentication] の横にある [Local] または [RADIUS Server] オプション ボタンをクリックして、ユーザ認証のタイプを選択します。

ステップ 4 ローカル認証を設定するには、[Add] をクリックします。

ステップ 5 [Username] フィールドに、追加するユーザのユーザ名を入力します。

ステップ 6 [User Role] フィールドのドロップダウン リストから、次のいずれかのユーザ ロールを選択します。

管理者(Administrator)

オペレータ(Operator)

ビューア(Viewer)

サービス(Service)


) サービス ロールが許可されるのは 1 ユーザだけです。


ステップ 7 [Password] フィールドに、そのユーザの新しいパスワードを入力します。

ステップ 8 [Confirm Password] フィールドに、そのユーザの新しいパスワードを入力します。


ヒント 変更を破棄して [Add User] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 9 [OK] をクリックします。新しいユーザが、[Authentication] ペインのユーザ リストに表示されます。

ステップ 10 ユーザを編集するには、ユーザ リストにあるユーザを選択し、[Edit] をクリックします。

ステップ 11 [Username] フィールド、[User Role] フィールド、および [Password] フィールドで、必要な変更を行います。


ヒント 変更を破棄して [Edit User] ダイアログボックスを閉じるには、[Cancel] をクリックします。


ステップ 12 [OK] をクリックします。編集されたユーザが、[Authentication] ペインのユーザ リストに表示されます。

ステップ 13 ユーザを削除するには、ユーザ リストにあるユーザを選択し、[Delete] をクリックします。削除されたユーザは、[Authentication] ペインのユーザ リストに表示されなくなります。

ステップ 14 RADIUS 認証を設定するには、

a. [Network Access ID] フィールドに、NAS-ID を入力します。

NAS-ID は、認証しようとしているサービスのタイプをサーバに伝えるためにクライアントが送信する ID です。値には、すでに RADIUS サーバで設定されている NAS-ID、cisco-ips、NAS-ID 以外を指定できます。デフォルトは cisco-ips です。

b. デフォルト ユーザ ロールを設定します。[Default User Role] ドロップダウン メニューから、このユーザのユーザ ロールを選択します。センサー上にデフォルト ユーザ ロールが割り当てられます。これは、すべての RADIUS ユーザが引き継ぎます。値は、Administrator、Operator、Viewer、または Unspecified です。デフォルトは Unspecified です。


) サービスはデフォルト ロールになりません。


すべての RADIUS ユーザが引き継ぐセンサー上のデフォルト ユーザ ロールを設定しない場合は、次のいずれかのオプションを使用するグループまたはユーザのプロファイルで [Cisco IOS/PIX 6.x RADIUS Attributes] の [[009¥001] cisco-av-pair] を設定する必要があります。

ips-role=viewer

ips-role=operator

ips-role=administrator

ips-role=service

ips-role=unspecified


) センサーがデフォルト ユーザ ロールを使用するように設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message にない場合、CiscoSecure ACS サーバがユーザ名とパスワードを受け入れても、センサーは RADIUS 認証を拒否します。


c. RADIUS サーバが応答不能になった場合にローカル認証に切り替えるには、[Allow Local Authentication if all RADIUS Servers are Unresponsive] チェックボックスをオンにします。

d. [Server IP Address] フィールドに RADIUS サーバの IP アドレスを入力します。

e. [Authentication port] フィールドに RADIUS サーバのポートを入力します。

f. [Timeout (seconds)] フィールドに、RADIUS サーバからの応答を待機する時間を秒単位で入力します。

g. [Shared Secret] フィールドに、RADIUS サーバから取得した秘密値を入力します。共有秘密とは、セキュアな通信に参加するパーティにだけ知らされる小さなデータのことです。


) サーバがクライアントの要求を認証し、クライアントがサーバの応答を認証するには、RADIUS サーバと IPS センサーに同じ秘密値を設定する必要があります。


h. (任意)プライマリ RADIUS サーバが応答しない場合にセカンダリ RADIUS サーバをイネーブルにして認証を実行させるには、[Enable a Secondary RADIUS Server] チェックボックスをオンにします。

i. [Server IP Address] フィールドに、セカンダリ RADIUS サーバの IP アドレスを入力します。

j. [Authentication Port] フィールドに RADIUS サーバのポートを入力します。

k. [Timeout (seconds)] フィールドに、RADIUS サーバからの応答を待機する時間を秒単位で入力します。

l. [Shared Secret] フィールドに、この RADIUS サーバのために取得した秘密値を入力します。

m. [Console Authentication] ドロップダウン リストから、コンソール認証のタイプを選択します。[Local]、[Local and RADIUS]、または [RADIUS] が選択できます。


ヒント 変更を破棄するには、[Reset] をクリックします。

ステップ 15 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。


 

ユーザ アカウントのロック解除


) アカウント ロックを設定すると、ローカル認証だけでなく RADIUS 認証も影響を受けます。ローカルなログインまたは RADIUS アカウントへのログイン失敗が指定された試行回数に達すると、アカウントはセンサー上でローカルにロックされます。ローカル アカウントの場合は、パスワードをリセットするか、unlock user username コマンドを使用してアカウントのロックを解除します。RADIUS ユーザ アカウントの場合は、unlock user username コマンドを使用してアカウントのロックを解除する必要があります。


グローバル コンフィギュレーション モードで unlock user username コマンドを使用し、ログイン失敗が指定された試行回数に達してロックアウトされたユーザのアカウントのロックを解除します。


unlock コマンドは IPS 7.0(4)E4 以降だけでサポートされています。これよりも前のバージョンの IPS ソフトウェアでは動作しません。


アカウントのロック解除を設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 2 ロックされたアカウントを持つユーザを確認します。

sensor# show users all
CLI ID User Privilege
* 1349 cisco administrator
5824 (jsmith) viewer
9802 tester operator
 

jsmith というユーザ名がカッコで囲まれています。これはアカウントがロックされていることを示します。

ステップ 3 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
sensor(config)#
 

ステップ 4 アカウントのロックを解除します。

sensor(config)# unlock user jsmith
 

ステップ 5 新しい設定を確認します。

sensor# show users all
CLI ID User Privilege
* 1349 cisco administrator
5824 jsmith viewer
9802 tester operator
 

ユーザ名 jsmith を囲んでいたカッコが外れています。これはアカウントのロックが解除されたことを示します。