Cisco Intrusion Detection System アプライ アンスおよびモジュール インストレーション コンフィギュレーション ガイド
CLI を使用したセンサーの設定
CLI を使用したセンサーの設定
発行日;2012/02/05 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

CLI を使用したセンサーの設定

センサーの初期設定タスク

センサーの初期化

センシング インターフェイスの割り当てとイネーブル化

センシング インターフェイス

サービス アカウントの作成

センサーへのログイン

パスワードの変更

ユーザの追加

ユーザの削除

信頼できるホストの追加

SSH 既知ホスト リストへの既知ホストの追加

センサーが NTP サーバを時刻源として使用する設定

Cisco ルータを NTP サーバにする設定

センサーの管理タスク

現在のバージョンおよび設定情報の表示

バックアップ コンフィギュレーション ファイルの作成と使用

イベントの表示およびクリア

アプライアンスのリブートまたは電源切断

技術サポート情報の表示

統計情報の表示とクリア

センサーの設定タスク

シグニチャの設定

アラーム チャネル システム変数の設定

アラーム チャネル イベント フィルタの設定

シグニチャ エンジン パラメータの表示

仮想センサー システム変数の設定

シグニチャ エンジンの調整

IP ロギング

特定の IP アドレスに関する手動での IP ロギング

特定のシグニチャに関する自動 IP ロギング

IP ロギングのディセーブル

表示する IP ログ ファイルのコピー

ブロッキングの設定

ブロッキングについて

ブロッキング設定の前に

サポートされているブロッキング デバイス

ブロッキング プロパティの設定

絶対にブロックしないアドレスの設定

論理デバイスの設定

ブロッキング デバイスの設定

センサーをマスター ブロッキング センサーにする設定

ブロックされているホストおよび接続のリストの取得

手動ブロッキングの設定方法とブロック解除の方法

NM-CIDS 設定タスク

ルータでの Cisco IDS インターフェイスの設定

Cisco IDS コンソール セッションの確立

session コマンドの使用

セッションの一時停止とルータへの戻り

開いているセッションの終了

Telnet の使用

NM-CIDS のリブート

パケット キャプチャの設定

Cisco IDS ソフトウェアのステータスのチェック

サポートされている Cisco IOS コマンド

IDSM-2 設定タスク

Catalyst 6500 シリーズ スイッチにおける IDSM-2 へのコマンド/コントロール アクセスの設定

Catalyst ソフトウェア

Cisco IOS ソフトウェア

IDS トラフィックのキャプチャ

SPAN を使用した IDS トラフィックのキャプチャ

IDS トラフィックをキャプチャするための VACLS の設定

mls ip ids コマンドによる IDS トラフィックのキャプチャ

その他のタスク

全メモリ テストのイネーブル

IDSM-2 のリセット

Catalyst ソフトウェアのコマンド

Cisco IOS ソフトウェアのコマンド

アプライアンスとモジュールのイメージの再作成

アプライアンスのイメージの再作成

アプリケーション パーティション イメージの復旧

リカバリ パーティション イメージのアップグレード

IDS-4215 システム イメージのインストール

IPS-4240 および IPS-4255 のシステム イメージのインストール

NM-CIDS アプリケーション パーティションのイメージの再作成

IDSM-2 のイメージの再作成

IDSM-2 のイメージの再作成

メンテナンス パーティションのイメージの再作成

CLI を使用したセンサーの設定

IDS バージョン 4.1 のコマンドライン インターフェイス(CLI)は、Telnet、SSH、およびシリアル インターフェイス接続を通じてセンサーにアクセスできるようにするためのユーザ インターフェイスです。

ここでは、CLI を使用した基本的な設定手順について説明します。センサーは、IDS マネージャを使用して設定することもできます。IDS Device Manager または Management Center for IDS Sensors を使用したセンサーの設定については、Cisco.com にあるドキュメントを参照してください。IDS ドキュメントへのアクセスについては、センサーに付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。


) すべての IDS センサーに適用される手順では、「センサー」という用語を使用します。特定のアプライアンスまたはモジュールに適用される手順では、そのことを手順の中で示します。


この章は、次の内容で構成されています。

「センサーの初期設定タスク」

「センサーの管理タスク」

「センサーの設定タスク」

「NM-CIDS 設定タスク」

「IDSM-2 設定タスク」

「アプライアンスとモジュールのイメージの再作成」

センサーの初期設定タスク

ここでは、センサーで侵入検知を設定する前に実行する必要がある設定タスクについて説明します。

ここでは、次の内容について説明します。

「センサーの初期化」

「センシング インターフェイスの割り当てとイネーブル化」

「センシング インターフェイス」

「サービス アカウントの作成」

「センサーへのログイン」

「パスワードの変更」

「ユーザの追加」

「ユーザの削除」

「信頼できるホストの追加」

「SSH 既知ホスト リストへの既知ホストの追加」

「センサーが NTP サーバを時刻源として使用する設定」

「Cisco ルータを NTP サーバにする設定」

センサーの初期化

ネットワークにセンサーをインストールしたら、 setup コマンドを使用して初期化する必要があります。


) IDS-4235 または IDS-4250 をご使用の場合は、BIOS のバージョンを確認してください。A04 よりも前のバージョンの場合は、バージョン 4.1 ソフトウェアをインストールする前に BIOS アップグレードを適用する必要があります。手順については、「BIOS のアップグレード」を参照してください。



) サポート上の理由から、センサーを初期化してからサービス アカウントを設定してください。手順については、「サービス アカウントの作成」を参照してください。



) センサーを初期化したら、インターフェイスを割り当てる必要があります。手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。


センサーを初期化するには、次の手順を実行します。


ステップ 1 CLI にログインします。

デフォルトのユーザ名とパスワードはどちらも cisco です。

a. IDSM-2 のセッションに入ります。

Catalyst ソフトウェアでは、次のように入力します。

Console> enable
Console> (enable) session module_number
 

Cisco IOS ソフトウェアでは、次のように入力します。

Router# session slot slot_number processor 1
 

b. 次のように入力して、NM-CIDS のセッションに入ります。

Router# service-module IDS-Sensor slot_number/port_number session
 

c. シリアル接続、またはモニタとキーボードを使用して、アプライアンスにログインします。


) IDS-4215、IPS-4240、または IPS-4255 では、モニタとキーボードは使用できません。


ステップ 2 デフォルトのパスワードを変更するように要求されます。

パスワードは最低 8 文字で、強力なパスワードにする必要があります。辞書にある単語は使用しないでください。


注意 パスワードを忘れた場合はセンサー イメージの再作成が必要なこともあります(「アプライアンスとモジュールのイメージの再作成」を参照)。ただし、管理者権限を持つ別のユーザがいる場合を除きます。別の管理者がログインして、パスワードを忘れたユーザに新しいパスワードを割り当てることができます。または、サービス アカウントを作成している場合には、TAC でパスワードを作成してもらうことができます。詳細については、「サービス アカウントの作成」を参照してください。

パスワードを変更すると、 sensor# プロンプトが表示されます。

ステップ 3 setup と入力してセンサーを初期化します。

System Configuration Dialog が表示されます。


) System Configuration Dialog は対話型のダイアログです。デフォルトの設定が表示されています。


--- System Configuration Dialog ---
 
At any point you may enter a question mark '?' for help.
User ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
 
 
Current Configuration:
 
 
networkParams
ipAddress 10.89.146.110
netmask 255.255.255.0
defaultGateway 10.89.146.254
hostname sensor
telnetOption disabled
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
exit
timeParams
summerTimeParams
active-selection none
exit
exit
service webServer
general
ports 443
exit
exit
 
 
Current time: Sat May 15 02:52:09 1993
 

ステップ 4 Space キーを押して次の質問を表示します。

Continue with configuration dialog?[yes]:

一度に 1 ページずつ表示するには Space キーを押します。一度に 1 行ずつ表示するには Enter キーを押します。

ステップ 5 yes と入力して続行します。

ステップ 6 ホスト名を指定します。

ホスト名は 256 文字までの文字列で、大文字と小文字が区別されます。数字、「_」、および「-」は使用できますが、スペースは受け付けられません。デフォルトは sensor です。

ステップ 7 IP アドレスを指定します。

IP アドレスは 32 ビットのアドレスで、ピリオドで区切られた 4 つのオクテット(ドット付き 10 進形式)で X.X.X.X のように記述されます。X は 0 から 255 までの数値です。デフォルトは 10.1.9.201 です。

ステップ 8 ネットマスクを指定します。

ネットマスクは 32 ビットのアドレスで、ピリオドで区切られた 4 つのオクテット(ドット付き 10 進形式)で X.X.X.X のように記述されます。X は 0 から 255 までの数値です。クラス C アドレスのデフォルトは 255.255.255.0 です。

ステップ 9 デフォルト ゲートウェイを指定します。

デフォルト ゲートウェイは、センサーのデフォルト ルータの IP アドレスです。デフォルトは 10.1.9.1 です。

ステップ 10 Telnet サーバのステータスを指定します。

Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。

ステップ 11 Web サーバ ポートを指定します。

Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。


) Web サーバ ポートを変更した場合は、IDS Device Manager への接続時にブラウザの URL アドレスでそのポートを指定する必要があります。指定する形式は https://センサーの IP アドレス:ポート(たとえば、https://10.1.9.201:1040)です。


ステップ 12 yes と入力してネットワーク アクセス リストを修正します。

a. Enter キーを押して Permit 行に進みます。

b. アクセス リストに追加するネットワークの IP アドレスおよびネットマスクを指定します。

IP アドレスがネットワーク アドレス(ホスト アドレスでなく)の場合は、ネットマスクを指定します。

c. アクセス リストに追加するネットワークの入力がすべて終わるまで、ステップ b を繰り返します。

ステップ 13 システム クロックの設定値を修正するには、 yes と入力します。

a. NTP を使用する場合は yes と入力します。

NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。これらがこの時点で存在しない場合は、後で NTP を設定できます。手順については、「センサーが NTP サーバを時刻源として使用する設定」を参照してください。

b. サマータイム設定を修正するには、 yes と入力します。


) サマータイムは、Daylight Savings Time(DST)とも呼ばれます。サマータイムを採用していない地域の場合は、ステップ h に進みます。


c. recurring(定期的)、date(日付)、または disable(ディセーブル)と入力して、サマータイムの設定方法を指定します。

デフォルトは recurring です。

d. recurring を選択した場合は、サマータイム設定の開始月を入力します。

デフォルトは apr です。

有効な値は jan、feb、mar、apr、may、jun、jul、aug、sep、oct、nov、および dec です。

e. サマータイム設定の開始週を指定します。

デフォルトは first です。

有効な値は first、second、third、fourth、fifth、および last です。

f. サマータイム設定の開始曜日を指定します。

デフォルトは sun です。

有効な値は sun、mon、tue、wed、thu、fri、および sat です。

g. サマータイム設定の開始時刻を指定します。

デフォルトは 02:00:00 です。


) デフォルトの定期的なサマータイム パラメータはアメリカ合衆国の時間帯用です。デフォルト値では、開始時刻が 4 月の第 1 日曜午前 2 時、終了時刻が 10 月の第 4 日曜日の午前 2 時 に指定されます。デフォルトのサマータイム オフセットは 60 分です。


h. サマータイム設定の終了月を指定します。

デフォルトは oct です。

有効な値は jan、feb、mar、apr、may、jun、jul、aug、sep、oct、nov、および dec です。

i. サマータイム設定の終了週を指定します。

デフォルトは last です。

有効な値は first、second、third、fourth、fifth、および last です。

j. サマータイム設定の終了曜日を指定します。

デフォルトは sun です。

有効な値は sun、mon、tue、wed、thu、fri、および sat です。

k. サマータイム設定の終了時刻を指定します。

デフォルトは 02:00:00 です。

l. DST ゾーンを指定します。

ゾーン名には 128 文字までの文字列を使用できます。

m. サマータイム オフセットを指定します。

デフォルトは 60 です。

世界標準時(UTC)からのサマータイム オフセットを分単位で指定します(負数は、グリニッジ子午線より西側の時間帯を示します)。

n. システムの時間帯を修正するには、 yes と入力します。

o. 標準時の時間帯名を指定します。

ゾーン名には 128 文字までの文字列を使用できます。

p. 標準時のオフセットを指定します。

デフォルトは 60 です。

設定した内容が次のオプションと共に表示されます。

[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
 

ステップ 14 2 を入力して設定を保存します。

Enter your selection[2]: 2
Configuration Saved.
 

ステップ 15 現在のシステム日付およびシステム時刻を変更します。


) このオプションは、モジュールでは利用できません。このモジュールは、設置されているルータまたはスイッチから時刻を取得します。


a. システムの日付と時刻を修正するには、 yes と入力します。

b. ローカル日付を指定します。

c. ローカル時刻を指定します。

ステップ 16 2 を入力して設定を保存します。

Enter your selection[2]: 2
Configuration Saved.
Warning: The node must be rebooted for the changes to go into effect.
Continue with reboot? [yes]:
 

ステップ 17 yes と入力してセンサーを再起動します。

ステップ 18 次のコマンドを入力して自己署名 X.509 証明書を表示します(TLS で必要です)。

sensor# show tls fingerprint
MD5: C1:9F:DE:2A:7D:D9:9A:EE:C9:19:76:D8:0F:96:8D:EC SHA1: DC:06:71:57:90:C7:2A:E4:6E:FE:22:78:B0:33:0F:5A:F2:4A:13:59
 

ステップ 19 証明書のフィンガープリントを書き留めます。

この情報は、Web ブラウザでこのセンサーに接続した際に証明書の信頼性を確認するために必要になります。

ステップ 20 最新のシグニチャ アップデートを適用します。

最新のソフトウェアを入手する方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。最新のソフトウェア アップデートを適用する方法は Readme に説明されています。

ステップ 21 インターフェイスを割り当てます。

手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。

これでセンサーの侵入検知設定を行う準備ができました。


 

センシング インターフェイスの割り当てとイネーブル化

インターフェイス グループは、センシング インターフェイスを 1 つの論理的な仮想センサーにグループ化する手段です。1 つの 0 というインターフェイス グループだけがサポートされています。センサーの設定によっては、センシング インターフェイスをインターフェイス グループ 0 に割り当ててインターフェイスをイネーブルにする必要があります。

次のガイドラインを参照してください。

Cisco IDS バージョン 4.1 に付属する新しいセンサーを購入した場合

センサーは、起動プロセス中に、使用可能なセンシング(モニタリング)インターフェイスを検出してインターフェイス グループ 0 に追加します。


) XL カードが存在する場合は、XL インターフェイスだけがインターフェイス グループ 0 に追加されます。XL カードが存在しない場合は、すべてのイーサネット 100/1000 インターフェイス(コマンド/コントロール インターフェイス以外)がインターフェイス グループ 0 に追加されます。


デフォルトでは、センサーが検出してインターフェイス グループ 0 に追加したすべてのインターフェイスはディセーブルになります。IDS CLI または他の IDS マネージャを使用して、適切なインターフェイスをイネーブルにする必要があります。


) インターフェイスをイネーブルにすると、その変更はただちに有効になります。センサーをリブートする必要はありません。


既存のセンサーを Cisco IDS バージョン 4.1 にアップグレードする場合

センサーは、起動時に使用可能なインターフェイスを検出しますが、既存のインターフェイス グループ 0 に修正は加えません。

IDS CLI または他の IDS マネージャを使用して、未割り当てのインターフェイスをインターフェイス グループ 0 に追加する必要があります。


) 別のタイプのインターフェイスを追加または削除すると(XL インターフェイスを追加し、イーサネット 100/1000 インターフェイスを削除するなど)、センサーはリブートします。



警告 コマンド/コントロール インターフェイスをセンシング インターフェイスとして使用している場合は、Cisco IDS 4.1 が最初に起動するときにエラーが通知されます。これは、コマンド/コントロール インターフェイスがインターフェイス グループ 0 にとって無効なインターフェイスであることをセンサーが検出するためです。IDS CLI または他の IDS マネージャを使用して、コマンド/コントロール インターフェイスをインターフェイス グループ 0 から削除し、有効なセンシング インターフェイスを追加する必要があります。


センシング インターフェイスを割り当ててイネーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 インターフェイス グループ 0 に対してインターフェイスの追加または削除を行うには、次の手順を実行します。

a. インターフェイス グループ 0 に関して、インターフェイス グループのコンフィギュレーション モードに入ります。

sensor(config)# interface group 0
 

b. インターフェイスを削除します。

sensor(config-ifg)# no sensing-interface name
 

name は、int0 などのセンシング インターフェイスの論理名です。

プラットフォームごとのインターフェイス名のリストについては、「センシング インターフェイス」を参照してください。

c. インターフェイスを追加します。

sensor(config-ifg)# sensing-interface name
 

たとえば、int0 と int3 をインターフェイス グループ 0 に追加するには、次のコマンドを入力します。

sensor(config-ifg)# sensing-interface int0,int3
 

) この例の、カンマの後にはスペースを入力しません。複数のインターフェイスを入力する場合、カンマと次のインターフェイス名の間にスペースを入力する必要はありません。


d. インターフェイス グループのコンフィギュレーション モードを終了します。

sensor(config-ifg)# exit
 

ステップ 4 インターフェイスをイネーブルまたはディセーブルにするには、次の手順を実行します。

a. インターフェイスに関して、センシング インターフェイスのコンフィギュレーション モードに入ります。

sensor(config)# interface sensing name
 

name は、int0 などのセンシング インターフェイスの論理名です。

b. インターフェイスをイネーブルにします。

sensor(config-ifs)# no shutdown
 

c. インターフェイスがイネーブルになったことを確認します。

sensor(config-ifs)# exit
sensor(config)# exit
sensor# show interface
 

d. インターフェイスをディセーブルにします。

sensor# configure terminal
sensor(config)# interface sensing name
sensor(config-ifs)# shutdown
 

e. センシング インターフェイスのコンフィギュレーション モードを終了します。

sensor(config-ifs)# exit
sensor(config)# exit
sensor#
 

) インターフェイス グループをイネーブルまたはディセーブルにすると、グループに含まれるすべてのセンシング インターフェイスがイネーブルまたはディセーブルになります。



 

センシング インターフェイス

表 10-1 に、各 IDS プラットフォームのセンシング インターフェイスを示します。

 

表 10-1 センシング インターフェイス

IDS プラットフォーム
センシング インターフェイス

IDS-4210

int0

IDS-4215

int0

IDS-4215-4FE

int0、int2、int3、int4、int5

IDS-4220 および IDS-4230

int0

IDS-4235

int0

IDS-4235-4FE

int0、int2、int3、int4、int5

IDS-4250

int0

IDS-4250-SX

int0、int2

IDS-4250-XL

int0、int2、int3

IDS-4250-4FE

int0、int2、int3、int4、int5

IDSM-2

int7 および int8

IPS-4240

int0、int1、int2、int3

IPS-4255

int0、int1、int2、int3

NM-CIDS

int1

サービス アカウントの作成

トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。


注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IDS サービスの特定のパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。

サービス アカウントを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 サービス アカウントのパラメータを選択します。

sensor(config)# privilege service
 

有効な username は、1 ~ 32 文字の英数字です。username にはアンダースコア(_)とダッシュ(-)も使用できます。

ステップ 4 入力を要求されたらパスワードを指定します。

このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。

Error: Only one service account allowed in UserAccount document
 

ステップ 5 コンフィギュレーション モードを終了します。

sensor(config)# exit
sensor#
 

サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。

************************ WARNING *********************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
******************************************************************
 


 

センサーへのログイン

センサーにログインするには、次の手順を実行します。


ステップ 1 次のいずれかを実行します。

a. SSH または Telnet を使用してアプライアンスに接続します。

ssh user@ip_address
 
telnet ip_address
 

b. SSH、Telnet、またはコンソールを使用して IDSM-2 にログインします。

Catalyst ソフトウェアの場合

ssh ip_address
session slot_number
 
telnet ip_address
session slot_number
 
Console>(enable) session slot_number
 

Cisco IOS ソフトウェアの場合

ssh ip_address
session slot_number processor 1
 
telnet ip_address
session slot_number processor 1
 
Router# session slot slot_number processor processor_number
 

c. SSH または Telnet を使用して NM-CIDS に接続します。

ssh ip_address
service-module IDS-Sensor slot_number/0 session
 
telnet ip_address
service-module IDS-Sensor slot_number/0 session
 

ステップ 2 ログイン プロンプトに対してユーザ名とパスワードを入力します。


デフォルトは cisco です。


login: cisco
Password: cisco
 

最初のログインでは、パスワードを変更するように要求されます。


 

パスワードの変更

password コマンドを使用すると、ローカル センサー上のパスワードをアップデートできます。このコマンドを使用して、既存のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットすることもできます。

パスワードを変更するには、次の手順を実行します。


ステップ 1 他のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットするには、次の手順を実行します。

a. 管理者権限を持つアカウントを使用して CLI にログインします。

b. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

c. 特定のユーザのパスワードを変更します。

sensor(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
 

) この例では、ユーザ「tester」のパスワードを変更します。


ステップ 2 自分のパスワードを変更するには、次の手順を実行します。

a. CLI にログインします。

b. コンフィギュレーション モードに入ります。

sensor# configure terminal
 

c. 自分のパスワードを変更します。

sensor(config)# password
Enter Old Login Password:************
Enter New Login Password: ************
Re-enter New Login Password: ************
 


 

ユーザの追加

新しいユーザの追加、権限レベル(administrator、operator、viewer)の設定、および新規ユーザのパスワードの設定を実行できます。ローカル システムでユーザを作成するには、 username コマンドを使用します。システムからユーザを削除するには、このコマンドの no 形式を使用します。

username コマンドは、ログインだけを目的としてユーザ名とパスワードの認証を行います。システムにログインしているユーザの削除に、このコマンドは使用できません。パスワードを指定しないと、入力を要求されます。既存のユーザのパスワードを変更するには、 password コマンドを使用します。既存のユーザの権限を変更するには、 privilege コマンドを使用します。


privilege コマンドを使用してユーザにサービス権限を与えることはできません。既存のユーザにサービス権限を与えるには、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成します。「サービス アカウントの作成」を参照してください。


ユーザを追加するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ユーザのパラメータを指定します。

sensor(config)# username username password password privilege administrator/operator/viewer
 

有効な username は、1 ~ 32 文字の英数字です。username にはアンダースコア(_)とダッシュ(-)も使用できます。

たとえば、ユーザ「tester」を権限レベル administrator とパスワード「testpassword」で追加するには、次のコマンドを入力します。

sensor(config)# username tester privilege administrator
Enter Login Password: *****
Re-enter Login Password: *****
 

) ユーザの権限レベルを指定しない場合、そのユーザにはデフォルトの viewer 権限が割り当てられます。


ステップ 4 ユーザが追加されたことを確認します。

a. コンフィギュレーション モードを終了します。

sensor(config)# exit
 

b. すべてのユーザのリストを確認します。

sensor# show users all
 

ユーザのリストが表示されます。


 

ユーザの削除

ユーザを削除して、センサーへのアクセスを防ぐことができます。

ユーザを削除するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ユーザを削除します。

sensor(config)# no username name
 

センサーからユーザ名が削除されます。

ステップ 4 ユーザが削除されたことを確認します。

a. コンフィギュレーション モードを終了します。

sensor(config)# exit
 

b. すべてのユーザのリストを確認します。

sensor# show users all
 

すべてのユーザ アカウントのリストが表示されます。削除したユーザは、リストに表示されていません。


 

信頼できるホストの追加

センサーへの接続を許可されたホスト(信頼できるホスト)を識別することができます。

信頼できるホストを追加するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 サービス ホスト モードに入ります。

sensor(config)# service host
 

ステップ 4 ネットワーク パラメータのコンフィギュレーション モードに入ります。

sensor(config-Host)# networkParams
 

ステップ 5 許可されるホストを指定します。

sensor(config-Host-net)# accessList ipAddress ip_address
 

信頼できるホストのリストに IP アドレスが含まれます。

ステップ 6 オプションで、ネットマスクを入力することにより信頼できるネットワークを指定することもできます。

sensor(config-Host-net)# accessList ipAddress ip_address netmask netmask
 

ステップ 7 ネットワーク パラメータのコンフィギュレーション モードを終了します。

sensor(config-Host-net)# exit
sensor(config-Host)# exit
 

変更を適用するかどうか尋ねられます。

Apply Changes?:[yes]:
 

ステップ 8 yes と入力して変更を適用します。

センサーで設定の変更処理が完了すると、 sensor(config)# というプロンプトが表示されます。


 

SSH 既知ホスト リストへの既知ホストの追加

センサーが SSH を通じて通信できるホストを認識できるようにするために、ホストを SSH 既知ホスト リストに追加する必要があります。このホストは、アップグレードやファイル コピーのためにセンサーが接続する必要のある SSH サーバと、Cisco ルータ、PIX Firewall、Catalyst スイッチなどのその他のホストです。

ホストを SSH 既知ホスト リストに追加するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 SSH 既知ホストを指定します。

sensor(config)# ssh host-key ip_address
 

たとえば、リモート ホスト 10.16.0.0 を SSH 既知ホスト リストに追加するには、次のコマンドを入力します。

sensor(config)# ssh host-key 10.16.0.0
 

MD5 フィンガープリントが表示されます。これを既知ホスト テーブルに追加するように要求されます。

Would you like to add this to the known hosts table for this host?[yes]
 

ステップ 4 yes と入力してフィンガープリントを既知ホスト リストに追加します。

ステップ 5 SSH 既知ホストのリストを表示するには、次のコマンドを入力します。

sensor# show ssh host-keys ip-address
 

次に示すような SSH 既知ホスト リスト情報が表示されます。

1024 35 139306213541835240385332922253968814685684523520064131997839905113640120217816869696708721704631322844292073851730565044879082670677554157937058485203995572114631296604552161309712601068614812749969593513740598331393154884988302302182922353335152653860589163651944997842874583627883277460138506084043415861927
 
MD5: 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B
 
Bubble Babble: xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
 

ステップ 6 いずれかのエントリを削除するには、次のコマンドを入力します。

sensor(config)# no ssh host-key ip_address
 

たとえば、SSH 既知ホストのリストからホスト 10.16.0.0 を削除するには、次のコマンドを入力します。

sensor(config-SshKnownHosts)# no ssh host-key 10.16.0.0
 

ホストが SSH 既知ホスト リストから削除されます。削除されたことを確認するには、次のコマンドを入力します。

sensor(config-SshKnownHosts)# show settings
 

次に示すような SSH 既知ホスト リスト情報が表示されます。

rsa1Keys (min: 0, max: 500, current: 0)
 

ステップ 7 SSH 既知ホストのサービス モードを終了します。

sensor(config-SshKnownHosts)# exit
 

変更を適用するかどうか尋ねられます。

Apply Changes:?[yes]:
 

ステップ 8 yes と入力して変更を適用します。

ステップ 9 コンフィギュレーション モードを終了します。

sensor(config)# exit
sensor#
 


 

センサーが NTP サーバを時刻源として使用する設定

センサーには、安定した時刻源が必要です。NTP サーバを使用することを推奨します。センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を使用します。


) NTP サーバの IP アドレス、NTP サーバのキー ID、および NTP サーバのキー値が必要です。詳細については、「Cisco ルータを NTP サーバにする設定」を参照してください。


センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 サービス ホスト モードに入ります。

sensor(config)# service host
 

ステップ 4 時刻コンフィギュレーション パラメータ モードに入ります。

sensor(config-Host)# timeParams
 

ステップ 5 NTP サーバの IP アドレスを入力します。

sensor(config-Host-tim)# ntp ipAddress ip_address
 

次の例を参考にしてください。

sensor(config-Host-tim)# ntp ipAddress 10.16.0.0
 

ステップ 6 NTP サーバのキー ID を入力します。

sensor(config-Host-tim-ntp)# keyId key_ID
 

キー ID は、1 から 65535 までの数値です。これは、NTP サーバで設定済みのキー ID です。「Cisco ルータを NTP サーバにする設定」のステップ 3 を参照してください。

次の例を参考にしてください。

sensor(config-Host-tim-ntp)# keyId 100
 

ステップ 7 NTP サーバのキー値を入力します。

sensor(config-Host-tim-ntp)# md5 key-value
 

キー値はテキスト(数字または文字)です。これは、NTP サーバで設定済みのキー値です。「Cisco ルータを NTP サーバにする設定」のステップ 3 を参照してください。

次の例を参考にしてください。

sensor(config-Host-tim-ntp)# keyValue attack
 

ステップ 8 NTP コンフィギュレーション モードを終了します。

sensor(config-Host-tim-ntp)# exit
sensor(config-Host-tim)# exit
sensor(config-Host)# exit
 

ステップ 9 yes と入力して変更を保存します。

Apply Changes:?[yes]
 


 

Cisco ルータを NTP サーバにする設定

センサーが NTP サーバを時刻源として使用するためには、センサーと NTP サーバの間に認証済みの接続が必要です。センサーがキーの暗号化のためにサポートしているのは、MD5 ハッシュ アルゴリズムのみです。Cisco ルータが NTP サーバとして動作するようにし、その内部クロックを時刻源として使用するには、次の手順を使用します。


) NTP サーバのキー ID とキー値を手元に用意してください。NTP サーバを時刻源として使用するようにセンサーを設定する際に、NTP サーバの IP アドレスと共に必要になります。この手順については、「センサーが NTP サーバを時刻源として使用する設定」を参照してください。


Cisco ルータが NTP サーバとして動作するように設定するには、次の手順を実行します。


ステップ 1 ルータにログインします。

ステップ 2 コンフィギュレーション モードに入ります。

router# configure terminal
 

ステップ 3 キー ID とキー値を作成します。

router(config)# ntp authentication-key key-ID md5 key-value
 

キー ID は、1 から 65535 までの数値です。キー値はテキスト(数字または文字)です。この値は後で暗号化されます。

次の例を参考にしてください。

router(config)# ntp authentication-key 100 attack
 

) センサーがサポートするのは MD5 キーのみです。



) すでにルータにキーが存在する場合もあります。他のキーを確認するには、show running configuration コマンドを使用します。これらの値は、信頼できる鍵としてステップ 4 で使用されます。


ステップ 4 ステップ 3 で作成したキーを信頼できる鍵として指定(または既存のキーを使用)します。

router(config)# ntp trusted-key key-ID
 

信頼できる鍵の ID は、ステップ 3 のキー ID と同じ数値です。次の例を参考にしてください。

router(config)# ntp trusted-key 100
 

ステップ 5 センサーが通信する相手側となる、ルータ上のインターフェイスを入力します。

router(config)# ntp source interface-name
 

次の例を参考にしてください。

router(config)# ntp source FastEthernet 1/0
 

ステップ 6 センサーに割り当てる NTP マスター ストラタム番号を入力します。

router(config)# ntp master stratum-number
 

次の例を参考にしてください。

router(config)# ntp master 6
 

NTP マスター ストラタム番号は、NTP 階層におけるサーバの相対的な位置を示します。1 から 15 までの番号を選択できます。どの番号を選択するかは、センサーに対して重要ではありません。


 

センサーの管理タスク

ここでは、センサーに関する管理タスクについて説明します。

ここでは、次の内容について説明します。

「現在のバージョンおよび設定情報の表示」

「バックアップ コンフィギュレーション ファイルの作成と使用」

「イベントの表示およびクリア」

「アプライアンスのリブートまたは電源切断」

「技術サポート情報の表示」

「統計情報の表示とクリア」

現在のバージョンおよび設定情報の表示

IDS ソフトウェアのバージョンとセンサーの設定を表示できます。インストールされているすべてのオペレーティング システム(OS)パッケージ、シグニチャ パッケージ、およびシステムで実行中の IDS プロセスのバージョン情報を表示するには、 show version コマンドを使用します。システム全体の設定を表示するには、 more current-config コマンドを使用します。

バージョンおよび設定を表示するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 バージョン情報を表示します。

sensor# show version
 

次の例では、アプライアンスおよび NM-CIDS のバージョン出力のサンプルを示します。

アプライアンスのバージョン出力の例

sensor# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(3)S61

 

OS Version 2.4.18-5smpbigphys

Platform: IDS-4235

Sensor up-time is 20 days.

Using 214319104 out of 921522176 bytes of available memory (23% usage)

Using 596M out of 15G bytes of available disk space (5% usage)

 

 

MainApp 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

AnalysisEngine 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Authentication 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

Logger 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

NetworkAccess 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

TransactionSource 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

WebServer 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500 Running

CLI 2003_Oct_10_11.16 (Release) 2003-10-10T11:01:13-0500

 

 

Upgrade History:

 

* IDS-K9-min-4.1-1-S47 12:00:00 UTC Thu Jun 30 2005

IDS-K9-sp-4.1-3-S61.rpm.pkg 14:14:55 UTC Fri Feb 20 2004

 

Recovery Partition Version 1.2 - 4.1(1)S47

 


--MORE-- というプロンプトが表示された場合、Space キーを押すと詳細な情報が表示され、Ctrl+C キーを押すと出力がキャンセルされ CLI プロンプトに戻ります。


NM-CIDS のバージョン出力の例

Router# show version

Application Partition:

 

Cisco Systems Intrusion Detection Sensor, Version 4.1(0.3)S42(0.3)

 

OS Version 2.4.18-5

Platform: NM-CIDS

Sensor up-time is 3 days.

Using 256172032 out of 260788224 bytes of available memory (98% usage)

Using 530M out of 17G bytes of available disk space (4% usage)

 

 

MainApp 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

AnalysisEngine 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

Authentication 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

Logger 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

NetworkAccess 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

TransactionSource 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

WebServer 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500 Running

CLI 2003_May_09_06.00 (Release) 2003-05-09T06:09:22-0500

 

 

Upgrade History:

 

No upgrades installed

 

ステップ 3 設定情報を表示します。


more current-config または show configuration コマンドを使用できます。


sensor# more current-config
 

設定情報(次と類似した)が表示されます。

sensor# more current-config
! ------------------------------
service Authentication
general
methods method Local
exit
exit
exit
! ------------------------------
service Host
networkParams
ipAddress 10.89.146.110
defaultGateway 10.89.146.254
hostname firesafe
telnetOption enabled
accessList ipAddress 10.0.0.0 netmask 255.0.0.0
accessList ipAddress 10.89.0.0 netmask 255.255.0.0
accessList ipAddress 10.16.0.0 netmask 255.255.0.0
accessList ipAddress 10.89.149.31 netmask 255.255.255.255
exit
optionalAutoUpgrade
active-selection none
exit
timeParams
timeParams
summerTimeParams
active-selection recurringParams
recurringParams
summerTimeZoneName CST
exit
exit
ntpServers ipAddress 10.89.147.99
keyId 2
keyValue test
exit
exit
exit
! ------------------------------
service Logger
masterControl
enable-debug false
exit
zoneControl zoneName Cid
severity debug
exit
zoneControl zoneName AuthenticationApp
severity warning
exit
zoneControl zoneName Cli
--MORE--
 


 

バックアップ コンフィギュレーション ファイルの作成と使用

設定を保護するために、現在の設定のバックアップを作成し、表示することによってそれが保存したい設定であることを確認できます。この設定を復元する必要があるときは、バックアップ コンフィギュレーション ファイルを現在の設定とマージするか、現在のコンフィギュレーション ファイルにバックアップ コンフィギュレーション ファイルを上書きします。

現在の設定をバックアップするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 現在の設定を保存します。

sensor# copy current-config backup-config
 

現在の設定がバックアップ ファイルに保存されます。

ステップ 3 バックアップ コンフィギュレーション ファイルを表示します。

sensor# more backup-config
 

バックアップ コンフィギュレーション ファイルが表示されます。

ステップ 4 バックアップの設定を現在の設定とマージすることも、現在の設定を上書きすることもできます。

バックアップの設定を現在の設定とマージする場合

sensor# copy backup-config current-config
 

バックアップの設定で現在の設定を上書きする場合

sensor# copy/erase backup-config current-config
 


 

イベントの表示およびクリア

show events コマンドを使用すると、ローカル イベント ログを表示できます。特定の時刻からの新規イベントまたはイベント、特定の重大度の新規イベントまたはイベントを表示できるとともに、すべてのイベントを削除できます。

show events コマンドは、要求された開始時間から、要求されたイベントの種類を表示します。開始時刻を入力しないと、現在の時刻に始まる、選択されたタイプのイベントが表示されます。イベントの種類が入力されない場合、すべてのイベントが表示されます。イベントは、ライブ フィードとして表示されます。Ctrl+C を押すと、ライブ フィードをキャンセルできます。


show events コマンドは、指定されたイベントが発生するまで待機します。その後、ユーザが Ctrl+C キーを押して終了するまでイベントの表示を続けます。


イベントを表示またはクリアするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 新しいイベントを表示します。

sensor# show events
 

正規表現 | include shunInfo を使用して、イベントの排除に関する情報(ソース アドレスなど)を表示します。

新しいイベントが発生すると、それが表示されます。

ステップ 3 特定の時間からのイベントを表示します。

sensor# show events hh:mm month day year
 

たとえば、 show events 14:00 September 2 2002 と入力すると、2002 年 9 月 2 日午後 2:00 以降の すべてのイベントを表示します。


) 時間は 24 時間形式で指定します。日付には、1 桁の数字を使用できます。


指定した時刻以降のイベントが表示されます。

ステップ 4 指定した時刻以降の、アラート レベルのイベントを表示します。

sensor# show events alert level hh:mm month day year
 

たとえば、 show events alert high 10:00 September 22 2002 では、2002 年 9 月 22 日、午前 10:00 以降に発生した重大度が高いイベントがすべて表示されます。

指定した時刻以降のイベントが表示されます。

ステップ 5 過去に開始されたイベントを表示します。

sensor# show events past hh:mm:ss
 

次の例では、30 秒前に開始されたすべてのイベントを表示します。

sensor# show events past 00:00:30
 

ステップ 6 イベント ストアからイベントを削除します。

sensor# clear events
Warning: Executing this command will remove all events currently stored in the event store.
Continue with clear? :
 

ステップ 7 EventStore からすべてのイベントをクリアするには、 yes と入力します。


 

アプライアンスのリブートまたは電源切断

reset コマンドを使用すると、アプライアンスで実行中のアプリケーションが停止し、アプライアンスがリブートされます。powerdown オプションを指定すると、可能であればアプライアンスは電源が切断され、それ以外の場合はアプリケーションの停止後に電源を切断できる状態になります。

シャットダウン(アプリケーションの停止)は、コマンドが実行されるとただちに開始されます。シャットダウンには多少時間がかかるため、引き続き CLI コマンドにアクセスできますが(アクセスは拒否されません)、このアクセスは警告なく終了する可能性があります。

モジュールごとの手順については、「NM-CIDS のリブート」および 「IDSM-2 のリセット」を参照してください。

アプライアンスをリブートまたは電源切断するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 すべてのアプライアンスを停止し、アプライアンスをリブートするには、次の手順を実行します。アプライアンスを電源切断する場合は、ステップ 3 に進みます。

a. アプライアンスをリセットします。

sensor# reset
 

警告が表示されます。

Warning: Executing this command will stop all applications and reboot the node. Continue with reset?:
 

b. yes と入力してリセットを続行します。

アプライアンスがリブートします。

ステップ 3 すべてのアプライアンスを停止し、電源切断するには、次の手順を実行します。

a. アプライアンスの電源を切断します。

sensor# reset powerdown
 

警告が表示されます。

Warning: Executing this command will stop all applications and reboot the node if possible. If the node cannot be powered off, it will be left in a state that is safe to manually power down. Continue with reset?:
 

b. yes と入力してリセットを続行します。

Broadcast message from root (Sat May 15 05:25:09 1993):
 
A system reboot has been requested. The reboot may not start for 90 seconds.
Request Succeeded.
sensor#
Broadcast message from root (Sat May 15 05:25:12 1993):
 
The system is going down for reboot NOW!
 

アプライアンスの電源スイッチをオフにするように要求されます。


 

技術サポート情報の表示

システム情報を画面に表示したり、TAC によるトラブルシューティングで使用するために特定の URL に送ることができます。

技術サポート情報を表示するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 show tech-support コマンドのオプション パラメータを確認します。

sensor# show tech-support ?
 

次のパラメータはオプションです。

page:一度に 1 ページの情報として出力を表示します。

password:出力にパスワードおよび他のセキュリティ情報を残します。

destination:HTML としてフォーマットし、このコマンドに続く宛先に送信する必要がある情報を示します。このパラメータを指定しない場合、出力は画面上に表示されます。

destination-url:HTML としてフォーマットする必要がある情報を示します。URL は、情報を送信する宛先を示します。

ステップ 3 画面上に出力を表示します。

sensor# show tech-support page
 

システム情報が画面上に一度に 1 ページずつ表示されます。次のページを表示するには Space キーを押します。プロンプトに戻るには、 Ctrl+C を押します。

ステップ 4 出力(HTML フォーマット)をファイルに送信するには、次の手順を実行します。

a. 次のコマンドを入力し、その後に有効な宛先を指定します。

sensor# show tech-support destination-url
 

次に示す種類の宛先を指定できます。

ftp: --File Transfer Protocol(FTP)ネットワーク サーバの宛先 URL です。このプレフィックスの構文は、 ftp:[[//username@location]/relativeDirectory]/filename または ftp:[[//username@location]//absoluteDirectory]/filename です。

scp: --Secure Copy Protocol(SCP)ネットワーク サーバの宛先 URL です。このプレフィックスの構文は、 scp:[[//username@]location]/relativeDirectory]/filename または scp:[[//username@]location]//absoluteDirectory]/filename です。

たとえば、技術サポート出力をファイル /absolute/reports/sensor1Report.html に送信するには、次のコマンドを入力します。

sensor# show tech support dest ftp://csidsuser@10.2.1.2//absolute/reports/sensor1Report.html

password: プロンプトが表示されます。

b. このユーザ アカウントのパスワードを入力します。

Generating report: メッセージが表示されます。


 

統計情報の表示とクリア

show statistics コマンドを使用して、関心のあるサービスの統計情報を表示することができます。clear オプションを使用すると、統計情報をクリアできます。

調査対象とするサービスの統計情報を表示およびクリアするには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 show statistics コマンドのオプション パラメータを確認します。

sensor# show statistics
Authentication Display authentication statistics
EventServer Display event server statistics
EventStore Display event store statistics
Host Display host statistics
Logger Display logger statistics
NetworkAccess Display network access controller statistics
TransactionServer Display transaction server statistics
TransactionSource Display transaction source statistics
WebServer Display web server statistics
 

) clear オプションは、Host または NetworkAccess 統計情報では使用できません。


ステップ 3 関心のあるサービスの統計情報を表示します。

sensor# show statistics {Authentication | EventServer | EventStore | Host | Logger | NetworkAccess | TransactionServer | TransactionSource | WebServer } [ clear ]
 

たとえば、ここに EventStore の統計情報があると仮定します。

sensor# show statistics EventStore
Event store statistics
General information about the event store
The current number of open subscriptions = 0
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the circular buffer has wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 7
Log transaction events = 118
Shun request events = 0
Error events, warning = 44
Error events, error = 0
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
 

ステップ 4 この統計情報をクリアします。


) clear オプションは、Host または NetworkAccess 統計情報では使用できません。


sensor# show statistics EventStore clear
Event store statistics
General information about the event store
The current number of open subscriptions = 0
The number of events lost by subscriptions and queries = 0
The number of queries issued = 0
The number of times the circular buffer has wrapped = 0
Number of events of each type currently stored
Debug events = 0
Status events = 7
Log transaction events = 119
Shun request events = 0
Error events, warning = 44
Error events, error = 0
Error events, fatal = 0
Alert events, informational = 0
Alert events, low = 0
Alert events, medium = 0
Alert events, high = 0
 

EventStore の統計情報をもう一度表示すると、カウンタはリセットされています。


 

センサーの設定タスク

ここでは、センサーの設定タスクについて説明します。

ここでは、次の内容について説明します。

「シグニチャの設定」

「IP ロギング」

「ブロッキングの設定」

シグニチャの設定

ここでは、センサーのシグニチャを設定する方法について説明します。

ここでは、次の内容について説明します。

「アラーム チャネル システム変数の設定」

「アラーム チャネル イベント フィルタの設定」

「シグニチャ エンジン パラメータの表示」

「仮想センサー システム変数の設定」

「シグニチャ エンジンの調整」

アラーム チャネル システム変数の設定

tune-alarm-channel コマンドを使用すると、アラーム集約プロセス用のシステム変数を設定できます。この設定におけるアイテムとメニューは、コンフィギュレーション ファイルの内容によって決まり、コマンド実行時に取得される設定に基づいて動的に構築されます。このモード、およびそのいずれかのサブモードで加えられた変更は、tune-alarm-channel モードを終了すると適用されます。

アラーム チャネル システム変数の値は変更できますが、変数の追加や削除はできません。また、変数の名前、タイプ、制約条件も変更できません。フィルタ内で変数を使用する場合は、入力した文字列が変数を表すことを示すために、変数の前にドル記号を使用する($SIG1 など)必要があります。

アラーム チャネル イベント フィルタを設定する際はシステム変数を使用します。同じ値を複数のフィルタで使用する場合は、変数を使用します。変数の値を変更すると、すべてのフィルタで変数がアップデートされます。これにより、アラーム フィルタを設定するときに何回も変数を変更する必要がなくなります。詳細については、「アラーム チャネル イベント フィルタの設定」を参照してください。

たとえば、エンジニアリング グループに割り当てられる IP アドレス スペースがあり、そのグループに Windows システムが存在せず、Windows 関連の攻撃を心配する必要がない場合、USER-ADDR1 をこのエンジニアリング グループの IP アドレス スペースとして設定できます。次に、この変数を Event Filters ページで使用して、USER-ADDR1 に対するすべての Windows 関連の攻撃を無視するフィルタを設定します。

アラーム チャネル システム変数を設定するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 アラーム チャネル コンフィギュレーション モードに入ります。

sensor(config)# service alarm-channel-configuration virtualAlarm
 

ステップ 4 アラーム チャネル調整サブモードに入ります。

sensor(config-acc)# tune-alarm-channel
 

ステップ 5 システム変数サブモードに入ります。

sensor(config-acc-virtualAlarm)# systemVariables
 

ステップ 6 現在のシステム変数の設定を確認します。

sensor(config-acc-virtualAlarm-sys)# show settings
 

アラーム チャネル システム変数のリストが表示されます。

ステップ 7 設定するシステム変数の名前を入力し、続けてその変数の有効な値を入力します。

たとえば、システム変数 SIG1 の値を 2001 ~ 2006 に設定するには、次のコマンドを入力します。

sensor(config-acc-virtualAlarm-sys)# SIG1 2001-2006
 

複数のシグニチャ範囲を入力するには、範囲の間にカンマ(スペースなし)を使用します。

ステップ 8 変更を確認します。

sensor(config-acc-virtualAlarm-sys)# show settings
 

システム変数の設定が表示されます。この例では、変数 SIG1 の設定が SIG1: 2001-2006 と表示されます。

ステップ 9 システム変数サブモードを終了します。

sensor(config-acc-virtualAlarm-sys)# exit
sensor(config-acc-virtualAlarm)# exit
Apply Changes?:[yes]:
 

ステップ 10 yes と入力して変更を適用します。

Processing config: というメッセージが表示されます。

ステップ 11 アラーム チャネル コンフィギュレーション モードを終了します。

sensor(config-acc)# exit
sensor(config)#
 


 

アラーム チャネル イベント フィルタの設定

tune-alarm-channel コマンドを使用すると、集約プロセス用のイベント フィルタを設定できます。この設定におけるアイテムとメニューは、コンフィギュレーション ファイルの内容によって決まり、コマンド実行時に取得される設定に基づいて動的に構築されます。このモード、およびそのいずれかのサブモードで加えられた変更は、tune-alarm-channel モードを終了すると適用されます。

指定したシグニチャについて、送信元アドレスと宛先アドレスに基づいたイベント フィルタを設定できます。定義したアラーム チャネル システム変数を使用して、フィルタに合わせてアドレスをグループ化できます。詳細については、「アラーム チャネル システム変数の設定」を参照してください。フィルタ内で変数を使用する場合は、入力した文字列が変数を表すことを示すために、変数の前にドル記号($)を使用する($SIG1 など)必要があります。

アラーム チャネル イベント フィルタを設定するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 アラーム チャネル コンフィギュレーション モードに入ります。

sensor(config)# service alarm-channel-configuration virtualAlarm
 

ステップ 4 アラーム チャネル調整サブモードに入ります。

sensor(config-acc)# tune-alarm-channel
 

ステップ 5 イベント フィルタ サブモードに入ります。

sensor(config-acc-virtualAlarm)# eventFilter
 

ステップ 6 次のコマンドを入力してフィルタを設定します。

sensor(config-acc-virtualAlarm-Eve)# Filters SIGID signature-id SubSig sub-id SourceAddrs ipaddress DestAddrs ipaddress Exception true | false
 

このコマンドには次のオプションを使用できます。

SIGID:このフィルタが適用されるイベントのシグニチャ ID。リスト(2001,2004)または範囲(2001-2004)のほか、すべてのシグニチャを表すアスタリスク(*)、定義済みの SIG 変数の 1 つを使用できます。変数を使用する場合は、変数の前にドル記号を置く($SIG1)必要があります。詳細については、「アラーム チャネル システム変数の設定」を参照してください。

SubSig:このフィルタが適用されるイベントのサブシグニチャ ID。

Exception:このフィルタが既存のフィルタに対する例外を示すことを指定します。デフォルトでは、exception の値は False に設定されており、このフィルタが他のフィルタに対する例外ではないことを示します。

SourceAddrs:このフィルタが適用されるイベントの送信元アドレス。DMZ 変数または USER-ADDR 変数を定義済みであれば、そのうちの 1 つを使用できます。変数を使用する場合は、変数の前にドル記号を置く($USER-ADDRS1)必要があります。詳細については、「アラーム チャネル システム変数の設定」を参照してください。

DestAddrs:このフィルタが適用されるイベントの宛先アドレス。DMZ 変数または USER-ADDR 変数を定義済みであれば、そのうちの 1 つを使用できます。変数を使用する場合は、変数の前にドル記号を置く($USER-ADDRS1)必要があります。詳細については、「アラーム チャネル システム変数の設定」を参照してください。

ステップ 7 変更を確認します。

sensor(config-acc-virtualAlarm-eve)# show settings
 

フィルタの設定が表示されます。

ステップ 8 イベント フィルタ サブモードを終了します。

sensor(config-acc-virtualAlarm-eve)# exit
sensor(config-acc-virtualAlarm)# exit
Apply Changes?:[yes]:
 

ステップ 9 yes と入力して変更を適用します。

Processing config: というメッセージが表示されます。

ステップ 10 アラーム チャネル コンフィギュレーション モードを終了します。

sensor(config-acc)# exit
sensor(cofig)#
 


 

シグニチャ エンジン パラメータの表示

個々のシグニチャ エンジンの設定を表示できます。

シグニチャ エンジンの設定を確認するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 サービス仮想センサー コンフィギュレーション モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 マイクロエンジン調整モードに入ります。

sensor(config-vsc)# tune-micro-engines
 

ステップ 5 シグニチャ エンジンのリストを表示します。

sensor(config-vsc-virtualSensor)# ?
 

すべてのシグニチャ エンジンのリストと、それぞれの説明が表示されます。

sensor(config-vsc-virtualSensor)# ?

ATOMIC.ARP Layer 2 ARP signatures.

ATOMIC.ICMP Simple ICMP alarms based on Type, Code,

Seq, Id

ATOMIC.IPOPTIONS Simple L3 Alarms based on Ip Options

ATOMIC.L3.IP Simple L3 IP Alarms.

ATOMIC.TCP Simple TCP packet alarms based on TCP

Flags, ports (both sides), and single

packet regex. Use SummaryKey to define

the address view for MinHits and

Summarize counting. For best

performance, use a StorageKey of xxxx.

ATOMIC.UDP Simple UDP packet alarms based on Port,

Direction and DataLength.

exit Exit service configuration mode

FLOOD.HOST.ICMP Icmp Floods directed at a single host

FLOOD.HOST.UDP UDP Floods directed at a single host

FLOOD.NET Multi-protocol floods directed at a

network segment. Ip Addresses are

wildcarded for this inspection.

FragmentReassembly Fragment Reassembly configuration tokens

IPLog Virtual Sensor IP log configuration

tokens

OTHER This engine is used to group generic

signatures so common parameters may be

changed. It defines an interface into

common signature parameters.

SERVICE.DNS DNS SERVICE Analysis Engine

SERVICE.FTP FTP service special decode alarms

SERVICE.GENERIC Custom service/payload decode and

analysis based on our quartet tuple

programming language. EXPERT use only.

SERVICE.HTTP HTTP protocol decode based string search

Engine. Includes anti-evasive URL

deobfuscation

SERVICE.IDENT Ident service (client and server)

alarms.

SERVICE.MSSQL Microsoft (R) SQL service inspection

engine

SERVICE.NTP Network Time Protocol based signature

engine

SERVICE.RPC RPC SERVICE analysis engine

SERVICE.SMB SMB Service decode inspection.

SERVICE.SMTP SMTP Protocol Inspection Engine

SERVICE.SNMP Inspects SNMP traffic

SERVICE.SSH SSH header decode signatures.

SERVICE.SYSLOG Engine to process syslogs,

show Display system settings and/or history

information

ShunEvent Shun Event configuration tokens

STATE.STRING.CISCOLOGIN Telnet based Cisco Login Inspection

Engine

STATE.STRING.LPRFORMATSTRING LPR Protocol Inspection Engine

StreamReassembly Stream Reassembly configuration tokens

STRING.ICMP Generic ICMP based string search Engine

STRING.TCP Generic TCP based string search Engine.

STRING.UDP Generic UDP based string search Engine

SWEEP.HOST.ICMP ICMP host sweeps from a single attacker

to many victims.

SWEEP.HOST.TCP TCP-based Host Sweeps from a single

attacker to multiple victims.

SWEEP.MULTI UDP and TCP combined port sweeps.

SWEEP.OTHER.TCP Odd sweeps/scans such as nmap

fingerprint scans.

SWEEP.PORT.TCP Detects port sweeps between two nodes.

SWEEP.PORT.UDP Detects UDP connections to multiple

destination ports between two nodes.

systemVariables User modifiable system variables

TRAFFIC.ICMP Identifies ICMP traffic irregularities.

TROJAN.BO2K BackOrifice BO2K trojan traffic

TROJAN.TFN2K TFN2K trojan/ddos traffic

TROJAN.UDP Detects BO/BO2K UDP trojan traffic.

 

ステップ 6 確認するエンジンの名前を入力します。

たとえば、Network Time Protocol(NTP; ネットワーク タイム プロトコル)を調べるエンジンの設定を確認する場合は、次のように入力します。

sensor(config-vsc-virtualSensor)# service.ntp
 

プロンプトは、現在のシグニチャ エンジンを示すように変化します。この例では、プロンプトは sensor(config-vsc-virtualSensor-SER)# となります。

ステップ 7 この特定のシグニチャ エンジン用のパラメータを確認します。

sensor(config-vsc-virtualSensor-SER)# show settings
SERVICE.NTP
-----------------------------------------------
version: 4.0 <protected>
signatures (min: 0, max: 1000, current: 1)
-----------------------------------------------
SIGID: 4056 <protected>
SubSig: 0 <protected>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: high <defaulted>
AlarmThrottle: FireOnce <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold:
ControlOpCode: 2 <defaulted>
Enabled: True <defaulted>
EventAction:
FlipAddr:
MaxInspectLength:
MaxSizeOfControlData: 468 <defaulted>
MaxTTL:
MinHits:
Mode: 6 <defaulted>
Protocol: UDP <defaulted>
ResetAfterIdle: 15 <defaulted>
SigComment:
SigName: NTPd readvar overflow <protected>
SigStringInfo:
SigVersion: S37 <defaulted>
StorageKey: AaBb <defaulted>
SummaryKey: AaBb <defaulted>
ThrottleInterval: 15 <defaulted>
WantFrag:
isInvalidDataPacket:
isNonNtpTraffic:
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
 

ステップ 8 Space キーを押して、すべての設定をページ単位で確認します。 Ctrl+C キーを押すと、プロンプトに戻ります。


 

仮想センサー システム変数の設定

システム変数の値は変更できますが、変数の追加や削除はできません。変数の名前やタイプも変更できません。サポートされる仮想センサーの数は 1 つだけです。したがって、仮想センサーは選択できません。

仮想センサー システム変数は、シグニチャを調整するときに参照されるデフォルト値を定義します。詳細については、「シグニチャ エンジンの調整」を参照してください。

仮想センサー システム変数を設定するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 仮想センサー コンフィギュレーション モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 マイクロエンジン調整サブモードに入ります。

sensor(config-vsc)# tune-micro-engines
 

ステップ 5 システム変数サブモードに入ります。

sensor(config-vsc-virtualSensor)# systemVariables
 

ステップ 6 現在のシステム変数の設定を確認します。

sensor(config-vsc-virtualSensor-sys)# show settings
systemVariables
-----------------------------------------------
WEBPORTS: 80,3128,8000,8010,8080,8888,24326 <defaulted>
Ports1:
Ports2:
Ports3:
Ports4:
Ports5:
Ports6:
Ports7:
Ports8:
Ports9:
IPReassembleMaxFrags: 10000 <defaulted>
-----------------------------------------------
 

ステップ 7 設定するシステム変数の名前を入力し、続けてその変数の有効な値を入力します。

たとえば、システムがキューイングするフラグメントの最大数をデフォルト値(10000)から 5000 に変更するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-sys)# IPReassembleMaxFrags 5000
 

) すべてのシステム変数のリストを確認するには、sensor(config-vsc-virtualSensor-sys)# プロンプトに対して疑問符(?)を入力します。


WEBPORTS:WEBPORTS は、Web サーバが実行されている定義済みのポートのセットです。この変数のデフォルト値には、ポート 80、3128、8000、8010、8080、8888、24326 が含まれます。この変数は、すべての Web サーバ シグニチャから参照されます。

Ports1、Ports2、Ports3、Ports4:特定のシグニチャに適用するポートのリストを設定できます。

ADDRS1、ADDRS2、ADDRS3、ADDRS4:この変数にアドレスのリストを設定しておくと、IP アドレスを使用できるすべての場所で、その変数を使用できます。

IPReassembleMaxFrags:システムがキューイングするフラグメントの総数を定義できます。定義できる数は 1,000 から 50,000 の間です。デフォルトは 10,000 です。

ステップ 8 変更を確認します。

sensor(config-vsc-virtualSensor-sys)# show settings
 

システム変数の設定が表示されます。この例では、IPReassembleMaxFrags 変数の設定が IPReassembleMaxFrags: 5000 default: 10000 と表示されます。

ステップ 9 いずれかの値をデフォルトの設定に戻すには、キーワード default を変数名の前に入力します。

たとえば、IPReassembleMaxFrags を 10000(デフォルト値)に戻すには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor)# default IPReassembleMaxFrags
 

IPReassembleMaxFrags の値がデフォルト値に戻り、IPReassembleMaxFrags の設定は IPReassembleMaxFrags: 10000 <defaulted> と表示されます。

ステップ 10 システム変数モードを終了します。

sensor(config-vsc-virtualSensor-sys)# exit
sensor(config-vsc-virtualSensor)# exit
Apply Changes?:[yes]:
 

ステップ 11 yes と入力して変更を適用します。

Processing config: というメッセージが表示されます。

ステップ 12 仮想センサー コンフィギュレーション モードを終了します。

sensor(config-vsc)# exit
sensor(config)#
 


 

シグニチャ エンジンの調整

シグニチャ エンジンのパラメータを調整するには、シグニチャ エンジンを確認するための手順(「シグニチャ エンジン パラメータの表示」を参照)に従います。調整するシグニチャ エンジンを選択し、そのモードに入ったら、変更するパラメータを選択できます。たとえば、Base64 エンコードされたアラート トリガー パケットをキャプチャする場合は、そのシグニチャの capturePacket パラメータを true に設定する必要があります。


) キャプチャしたパケットの表示の詳細については、IDS Event Viewer のドキュメントを参照してください。


tune-micro-engines コマンドを使用すると、標準のシグニチャを設定したり、センサーのマイクロエンジン用にカスタム シグニチャを作成できます。この設定におけるアイテムとメニューは、コンフィギュレーション ファイルの内容によって決まり、コマンド実行時に取得される設定に基づいて動的に構築されます。このモード、およびそのいずれかのサブモードで加えられた変更は、tune-micro-engines モードを終了するとシステムに適用されます。

シグニチャ エンジンのパラメータを調整するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 仮想センサー コンフィギュレーション モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 マイクロエンジン調整サブモードに入ります。

sensor(config-vsc)# tune-micro-engines
 

ステップ 5 調整するシグニチャ エンジンの名前を入力します。


) すべてのシグニチャ エンジンのリストを確認するには、sensor(config-vsc-virtualSensor)# プロンプトに対して疑問符(?)を入力します。


たとえば、単純な UDP パケット アラームを調整するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor)# ATOMIC.UDP
 

ステップ 6 シグニチャ設定を確認します。

sensor(config-vsc-virtualSensor-ATO)# show settings
 

シグニチャと設定の概要が表示されます。

sensor(config-vsc-virtualSensor-ATO)# show settings
ATOMIC.UDP
-----------------------------------------------
version: 4.0 <protected>
signatures (min: 0, max: 1000, current: 13)
-----------------------------------------------
SIGID: 9019 <protected>
SubSig: 0 <protected>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: informational <defaulted>
AlarmThrottle: FireOnce <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold: 100 <defaulted>
DstIpAddr:
DstIpMask:
DstPort: 2140 <defaulted>
Enabled: False <defaulted>
EventAction:
FlipAddr:
MaxInspectLength:
MaxTTL:
MinHits:
MinUDPLength:
Protocol: UDP <defaulted>
ResetAfterIdle: 15 <defaulted>
ShortUDPLength:
SigComment:
SigName: Back Door (UDP 2140) <protected>
SigStringInfo: UDP 2140 (backdoor) <defaulted>
SigVersion: S37 <defaulted>
SrcIpAddr:
SrcIpMask:
SrcPort:
StorageKey: xxxx <defaulted>
SummaryKey: AxBx <defaulted>
ThrottleInterval: 30 <defaulted>
WantFrag:
-----------------------------------------------
SIGID: 9020 <protected>
SubSig: 0 <protected>
AlarmDelayTimer:
AlarmInterval:
AlarmSeverity: informational <defaulted>
AlarmThrottle: FireOnce <defaulted>
AlarmTraits:
CapturePacket: False <defaulted>
ChokeThreshold: 100 <defaulted>
DstIpAddr:
DstIpMask:
DstPort: 47262 <defaulted>
Enabled: False <defaulted>
EventAction:
FlipAddr:
MaxInspectLength:
MaxTTL:
MinHits:
MinUDPLength:
Protocol: UDP <defaulted>
ResetAfterIdle: 15 <defaulted>
ShortUDPLength:
SigComment:
SigName: Back Door (UDP 47262) <protected>
SigStringInfo: UDP 47262 (backdoor) <defaulted>
SigVersion: S37 <defaulted>
SrcIpAddr:
SrcIpMask:
SrcPort:
StorageKey: xxxx <defaulted>
SummaryKey: AxBx <defaulted>
ThrottleInterval: 30 <defaulted>
WantFrag:
-----------------------------------------------
 

ステップ 7 このシグニチャ エンジンに関する設定のリストを順番に確認し、調整するシグニチャ ID を選択します。特定のシグニチャのパラメータを設定するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO)# signature SIGID signature ID
 

たとえば、シグニチャ ID 9019 を調整するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO)# signature sigID 9019
 

ステップ 8 プロンプトに対して ? を入力すると、設定可能なパラメータのリストが表示されます。

sensor (config-vsc-virtualSensor-ATO-sig)# ?
AlarmDelayTimer Number of seconds to delay further signature
inspection after an alarm.
AlarmInterval Special Handling for timed events. Use
AlarmInterval Y with MinHits X for X alarms
in Y second interval.
AlarmSeverity The severity of this alert reported in the
alarm.
AlarmThrottle Technique used to limit alarm firings. FireAll
sends all alarms. FireOnce sends the firstalarm
then deletes the inspector. Summarize sends an
IntervalSummary alarm. GlobalSummarize sends
a GlobalSummary alarm.
AlarmTraits User-defined traits further describing this
signature.
CapturePacket Set to True to include the offending packet in
the alarm.
ChokeThreshold Threshold value of alarms-per-interval to
auto-switch Alarm
Throttle modes If ChokeThreshold is defined the sensor will
automatically switch AlarmThrottle modes when
a large volume of alarms is seen in the
ThrottleInterval.
default Set the value back to the system default
setting
DstIpAddr IP address (or network) to match on the
IP packet's destination address. Must be used
with DstIpMask.
DstIpMask IP netmask used with DstIpAddr to match on the
IP packet's destination address. Must be used
with DstIpAddr.
DstPort A single Destination Port to match.
Enabled True to Enable the Sig. False to Disable
the Sig.
EventAction What action(s) to perform when the alarm is
fired.
exit Exit signatures configuration submode
FlipAddr True if address (and ports) Source and
Destination are swapped in the alarm message.
False for no swap (normal).
MaxInspectLength Maximum number of bytes to inspect.
MaxTTL Maximum number of seconds to inspect a
logical stream. The inspector is deleted after X
seconds of being active.
MinHits Minimum number of signature hits before the
alarm message is sent. This a limiter for
firing the alarm only after X times of seeing
the signature on the address key.
MinUDPLength Fire alarm when packet UDP LENGTH is less
than this.
Protocol Protocol of interest for this inspector.
ResetAfterIdle Number of seconds to wait to reset signature
counters after the host(s) were idle.
ShortUDPLength Fire alarm when IP Data length is less than
UDP Header Length
show Display system settings and/or history
information
SigComment USER NOTES - miscellaneous information about
this signature
SigStringInfo Extra information included in the alarm message.
SigVersion Signature update version of signature
SrcIpAddr IP address (or network) to match on the IP
packet's source address. Must be used with
SrcIpMask.
SrcIpMask IP netmask used with SrcIpAddr to match on
the IP packet's destination address. Must be
used with SrcIpAddr.
SrcPort A single Source Port to match.
StorageKey Type of Address Key used to store persistent
data.
SummaryKey The Storage Type on which to summarize this
signature.
ThrottleInterval Number of seconds defining an Alarm Throttle
interval. This is used with the AlarmThrottle
parameter to tune special alarm limiters.
WantFrag True if a fragment is desired. False if a
fragment is not desired. Any for either.
 

ステップ 9 設定するパラメータの名前を入力し、値を追加または変更します。

たとえば、シグニチャ ID 9019 の宛先ポートをデフォルトの 2140 から 2139 に変更するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO-sig)# dstport 2139
 

ステップ 10 変更を確認します。

sensor(config-vsc-virtualSensor-ATO-sig)# show settings
 

このシグニチャの設定が表示されます。この例では、宛先ポート パラメータの設定は DstPort: 2139 default: 2140 と表示されるはずです。

ステップ 11 いずれかの値をデフォルトの設定に戻すには、キーワード default をパラメータ名の前に入力します。

たとえば、宛先ポートを 2140(デフォルト値)に戻すには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO-sig)# default dstport
 

ポートの値がデフォルト値に戻り、宛先ポート パラメータの設定は DstPort: 2140 <defaulted> と表示されます。

ステップ 12 このシグニチャの調整モードを終了します。

sensor(config-vsc-virtualSensor-ATO-sig)# exit
sensor(config-vsc-virtualSensor-ATO)# exit
sensor(config-vsc-virtualSensor)# exit
Apply Changes?:[yes]:
 

ステップ 13 yes と入力して変更を適用します。

Processing config: というメッセージが表示されます。

ステップ 14 仮想センサー コンフィギュレーション モードを終了します。

sensor(config-vsc)# exit
sensor(config)#
 


 

IP ロギング

IP アドレスで指定したホストに関連するすべての IP トラフィックをキャプチャするように、手動でセンサーを設定できます。その IP アドレスで IP トラフィックをログに記録する時間(分単位)、パケットの数、バイト数などを指定できます。指定したパラメータが 1 つでも該当した時点で、センサーは IP トラフィックのロギングを停止します。

また、特定のシグニチャが起動するたびに、センサーが自動的に IP パケットをログに記録するようにすることもできます。センサーが IP トラフィックをログに記録する時間(デフォルトは 30 秒)や、ログに記録するパケット数、バイト数を指定できます。


) IP ロギングを有効にすると、システムのパフォーマンスに影響します。



) IP ログ ファイルを削除したり管理することはできません。no iplog コマンドでは、IP ログは削除されません。その IP ログへのパケットの記録が停止されるだけです。IP ログは、循環バッファに格納されます。循環バッファは、新しい IP ログによって古いログが上書きされるので、いっぱいになることがありません。


ここでは、次の内容について説明します。

「特定の IP アドレスに関する手動での IP ロギング」

「特定のシグニチャに関する自動 IP ロギング」

「IP ロギングのディセーブル」

「表示する IP ログ ファイルのコピー」

特定の IP アドレスに関する手動での IP ロギング

特定の IP アドレスに関する IP パケットを手動でログに記録できます。特定の IP アドレスに関する IP パケットのロギングを停止するには、「IP ロギングのディセーブル」を参照してください。IP パケットをシグニチャに関連したイベントとして自動的にログに記録するには、「特定のシグニチャに関する自動 IP ロギング」を参照してください。IP ログ ファイルをコピーおよび表示するには、「表示する IP ログ ファイルのコピー」を参照してください。

特定の IP アドレスに関するパケットを手動でログに記録するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 特定の IP アドレスに関する IP ログイングを開始します。

sensor# iplog group-id ip-address [duration minutes] [packets numPackets] [bytes numBytes]
 

) インターフェイス グループは、0 という 1 つだけが存在します。


minutes:ロギングを有効にする分単位の時間(0 ~ 60)。デフォルトは 10 分です。

numPackets:ログに記録する最大パケット数(0 ~ 4294967295)。デフォルトは 1000 です。

numBytes:ログに記録する最大バイト数(0 ~ 4294967295)。


) これらのパラメータはオプションなので、この 3 つすべてを指定しなくてもかまいません。しかし、複数のパラメータを指定した場合、センサーは最初のしきい値に到達するまでロギングを続行します。たとえば、時間を 5 分に設定し、パケット数を 1000 に設定すると、センサーは 1000 番目のパケットがキャプチャされると、2 分しか経過していなくてもロギングを停止します。


sensor# iplog 0 10.16.0.0 duration 5
Logging started for group 0, IP address 10.16.0.0, Log ID 137857506
Warning: IP Logging will affect system performance.
 

この例は、IP アドレス 10.16.0.0 との間で送受信されるすべての IP パケットを 5 分間ログに記録するセンサーを示します。


) 後で参照するときのために、ログ ID はメモしておいてください。


ステップ 3 iplog-status コマンドを実行して IP ログのステータスを監視します。

sensor# iplog-status
Log ID: 137857506
IP Address: 10.16.0.0
Group: 0
Status: added
Bytes Captured: 0
Packets Captured: 0
Log ID: 137857512
IP Address: 10.16.0.0
Group: 0
Status: completed
Start Time: 1070363599443768000
End Time: 1070363892909384000
Bytes Captured: 30650
Packets Captured: 263
Log ID: 137857513
IP Address: 10.16.0.0
Group: 0
Status: completed
Start Time: 1070438601052865000
End Time: 1070439201267043000
Bytes Captured: 5104
Packets Captured: 46
 


 

特定のシグニチャに関する自動 IP ロギング

IP ロギングをシグニチャの EventAction に対するイベントとして割り当てることにより、シグニチャが起動するたびにそのシグニチャに関する IP パケットがキャプチャされるようにすることができます。シグニチャに関する自動 IP ロギングをオフにするには、default キーワードを使用します(ステップ 8 を参照)。IP ログ ファイルをコピーおよび表示するには、「表示する IP ログ ファイルのコピー」を参照してください。

特定のシグニチャに関する IP パケットを自動的にログに記録するには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 仮想センサー コンフィギュレーション モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 マイクロエンジン調整サブモードに入ります。

sensor(config-vsc)# tune-micro-engines
 

ステップ 5 調整するシグニチャ エンジンの名前を入力します。


) すべてのシグニチャ エンジンのリストを確認するには、sensor(config-vsc-virtualSensor)# プロンプトに対して疑問符(?)を入力します。


たとえば、単純な UDP パケット アラームを調整するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor)# ATOMIC.UDP
 

ステップ 6 特定のシグニチャおよびサブシグニチャのパラメータを設定するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO)# signature SIGID signature ID SubSig SubSig ID
 

たとえば、シグニチャ ID 9019 を調整するには、次のコマンドを入力します。

sensor(config-vsc-virtualSensor-ATO)# signature sigID 9019 SubSig 0
 

ステップ 7 シグニチャ設定を確認します。

sensor(config-vsc-virtualSensor-ATO)# show settings
 

シグニチャと設定の概要が表示されます。

ステップ 8 ログに記録する EventAction パラメータを設定します。

sensor(config-vsc-virtualSensor-ATO-sig)# EventAction log
 

) ステップ 7 で、EventAction に対して他のアクションが設定されていることが確認された場合は、アクションの間に | を入力し log|shunHost のようにすることで、それらのアクションとログ アクションとを組み合わせることができます。| とアクションの間にはスペースを入れないでください。



) いずれかの値をデフォルトの設定に戻すには、キーワード default をパラメータ名の前に入力します。たとえば、シグニチャから IP ロギングを取り除くには、default EventAction というコマンドを入力します。


ステップ 9 変更を確認します。

sensor(config-vsc-virtualSensor-ATO-sig)# show settings
 

このシグニチャの設定が表示されます。この例では、EventAction パラメータに関する設定は EventAction: log と表示されます。

ステップ 10 このシグニチャの調整モードを終了します。

sensor(config-vsc-virtualSensor-ATO-sig)# exit
sensor(config-vsc-virtualSensor-ATO)# exit
sensor(config-vsc-virtualSensor)# exit
Apply Changes?:[yes]:
 

ステップ 11 yes と入力して変更を適用します。

Processing config: というメッセージが表示されます。

ステップ 12 仮想センサー コンフィギュレーション モードを終了します。

sensor(config-vsc)# exit
sensor(config)#
 

ステップ 13 シグニチャによって生成されたアラートを見つけ、そのアラートに関連付けられた IP ログの ID を見つけます。

ステップ 14 ステップ 1 から 15 を他のシグニチャおよびサブシグニチャについて繰り返します。


 

IP ロギングのディセーブル

1 つまたはすべての IP ロギング セッションをディセーブルにすることができます。

1 つまたはすべての IP ロギング セッションをディセーブルにするには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 特定の IP ロギング セッションをディセーブルにする場合

a. iplog-status コマンドを使用して、ディセーブルにするセッションのログ ID を見つけます。

sensor# iplog-status
Log ID: 137857512
IP Address: 10.16.0.0
Group: 0
Status: started
Start Time: 1070363599443768000
Bytes Captured: 30650
Packets Captured: 263
 

b. IP ログ セッションをディセーブルにします。

sensor# no iplog 137857512
 

ステップ 3 すべての IP ロギング セッションをディセーブルにする場合

sensor# no iplog
sensor#
 


 

表示する IP ログ ファイルのコピー

IP ログ ファイルを Ethereal や TCP Dump などのスニフィング ツールで表示するために、FTP または SCP サーバにコピーすることができます。

IP ログ ファイルを FTP または SCP サーバにコピーするには、次の手順を実行します。


ステップ 1 administrator または operator 権限を持つアカウントを使用して CLI にログインします。

ステップ 2 iplog-status コマンドを実行することによって IP ログ ステータスを監視し、コピーするログ ファイルのログ ID のステータスが completed になるまで待ちます。

sensor# iplog-status
Log ID: 137857506
IP Address: 10.16.0.0
Group: 0
Status: completed
Start Time: 1070363599443768000
End Time: 1070363892909384000
Bytes Captured: 30650
Packets Captured: 263
 

ステップ 3 IP ログを目的の FTP または SCP サーバにコピーします。

sensor# copy iplog 137857506 ftp://root@10.16.0.0/user/iplog1
Password: ******** Connected to 10.16.0.0 (10.16.0.0). 220 linux.machine.com FTP server (Version wu-2.6.0(1) Mon Feb 28 10:30 :36 EST 2000) ready. ftp> user (username) root 331 Password required for root. Password:230 User root logged in. ftp> 200 Type set to I. ftp> put iplog.8518.tmp iplog1 local: iplog.8518.tmp remote: iplog1 227 Entering Passive Mode (2,4,6,8,179,125) 150 Opening BINARY mode data connection for iplog1. 226 Transfer complete. 30650 bytes sent in 0.00246 secs (1.2e+04 Kbytes/sec) ftp>

ステップ 4 Ethereal や TCPDUMP などのスニフィング プログラムを使用して IP ログを開きます。

Ethereal の詳細については、 http://www.ethereal.com を参照してください。TCPDUMP の詳細については、 http://www.tcpdump.org/ を参照してください。


 

ブロッキングについて

センサー上のブロッキング アプリケーションである NAC は、ルータ、スイッチ、および PIX Firewall に対するブロックを開始および停止します。NAC は、管理対象のデバイス上で IP アドレスをブロックします。管理対象のすべてのデバイス(他のマスター ブロッキング センサーがあれば、それも含む)に同じブロックを送信します。NAC は、ブロック時間を監視し、決められた時間が経過するとブロックを削除します。

ブロッキングの詳細については、「NAC」を参照してください。

ブロックには 2 つのタイプがあります。

ホスト ブロック:特定の IP アドレスからのすべてのトラフィックをブロックします。

接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。


) 同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックが存在すると、自動的に接続ブロックからホスト ブロックに切り替えられます。


Cisco ルータおよび Catalyst 6500 シリーズ スイッチでは、NAC は ACL または VACL を適用してブロックを作成します。ACL および VACL は、データ パケットがインターフェイス ポートを通過することを許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可条件および拒否条件が含まれています。PIX Firewall は、ACL および VACL を使用しません。組み込みの shun / no shun コマンドが使用されます。

NAC がデバイスを管理するためには、次の条件が必要です。

ログイン ユーザ ID

ログイン パスワード

イネーブル パスワード(イネーブル特権のあるユーザは不要)

管理するインターフェイス(ethernet0、vlan100 など)

作成する ACL の最初(Pre-ACL)または最後(Post-ACL)で適用する既存の ACL 情報がある場合、その情報


) PIX Firewall ではブロックに ACL を使用しないため、これは PIX Firewall には適用されません。


デバイスとの通信に Telnet と SSH のどちらを使用しているか

絶対にブロックしない IP アドレス(ホストまたはホストの範囲)

ブロックの継続時間


ヒント NAC のステータスをチェックするには、sensor#show statistics networkAccess と入力します。出力には、管理対象のデバイス、アクティブなブロックがある場合はそのブロック、およびすべてのデバイスのステータスが表示されます。


ブロッキング設定の前に

まとめとして、ブロッキングを設定する前には次を理解していることを確認する必要があります。

ネットワーク トポロジを分析して、どのデバイスをどのセンサーによってブロックしなければならないか、どのアドレスは決してブロックしてはならないかを理解する必要があります。


注意 2 つのセンサーが同じデバイスに対するブロッキングを制御することはできません。

各デバイスにログインするために必要なユーザ名、デバイスのパスワード、モーダル パスワード、および接続タイプ(Telnet または SSH)の情報を収集する必要があります。

デバイス上のインターフェイスの名前を把握する必要があります。

必要に応じて pre-ACL および post-ACL の名前を把握する必要があります。

ブロックしなければならないインターフェイスと、ブロックしてはならないインターフェイスを知る必要があります。誤ってネットワーク全体をシャットダウンすることは避けなければなりません。

サポートされているブロッキング デバイス

NAC サービスは、任意の組み合わせで 250 までのデバイスをサポートします。NAC では、次のデバイスがサポートされます。

Cisco IOS 11.2 以降(ACL)を使用する Cisco シリーズ ルータ

Cisco 1600 シリーズ ルータ

Cisco 1700 シリーズ ルータ

Cisco 2500 シリーズ ルータ

Cisco 2600 シリーズ ルータ

Cisco 3600 シリーズ ルータ

Cisco 7200 シリーズ ルータ

Cisco 7500 シリーズ ルータ

Catalyst 5000 スイッチ、RSM/RSFC 搭載、IOS 11.2(9)P 以降(ACL)

Catalyst 6000 スイッチ、IOS 12.1(13)E 以降(ACL)

Catalyst 6000 スイッチ、Catalyst ソフトウェア バージョン 7.5(1) 以降(VACL)

Sup1A

Sup1A/PFC

Sup1A/MSFC1

Sup1A/MFSC2

Sup2/MSFC2(必須)

PIX Firewall、バージョン 6.0 以降( shun コマンド)

501

506E

515E

525

535(必須)

ブロッキングを設定するには、ACL、VACLS、または shun コマンドのいずれかを使用します。すべての PIX Firewall モデルは、 shun コマンドをサポートします。

ブロッキング プロパティの設定

CLI を使用して、デフォルトのブロッキング プロパティを変更できます。デフォルトのプロパティを使用することをお勧めしますが、変更する必要がある場合は、次の手順を使用します。

ここでは、次の内容について説明します。

「センサー自体のブロックの許可」

「ブロッキングのディセーブル」

「最大ブロック エントリ数の設定」

「ブロック時間の設定」

センサー自体のブロックの許可


注意 センサーがそれ自体をブロックすることを許可すると、ブロッキング デバイスとの通信ができなくなる可能性があるため、お勧めしません。センサーでそれ自体の IP アドレスをブロックするルールが作成されても、センサーからブロッキング デバイスへのアクセスが妨げられないことが確認された場合は、このオプションを設定できます。

センサーがそれ自体をブロックすることを許可するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 一般サブモードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 5 それ自体をブロックするセンサーを設定します。

sensor(config-NetworkAccess-gen)# allow-sensor-shun true
 

デフォルトでは、この値は false です。

ステップ 6 一般サブモードを終了します。

sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:?[yes]:
 

ステップ 7 yes と入力して変更を適用します。


) この処理を元に戻すには、ステップ 5 で true を false に変更して同じ手順を繰り返します。



 

ブロッキングのディセーブル

デフォルトでは、センサーのブロッキングはイネーブルになっています。デバイスが NAC によって管理されていて、手動で何かを設定する必要があるときは、まずブロッキングをディセーブルにする必要があります。ユーザと NAC の両方が同時に同じデバイスに対して変更を加える可能性があるという状況は、避ける必要があります。デバイスや NAC がクラッシュ可能性があるためです。

ブロッキングをディセーブルにするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 一般サブモードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 5 センサーのブロッキングをディセーブルにします。

sensor(config-NetworkAccess-gen)# shun-enable false
 

デフォルトでは、この値は true です。

ステップ 6 一般サブモードを終了します。

sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:?[yes]:
 

ステップ 7 yes と入力して変更を適用します。


) ブロッキングをイネーブルにするには、ステップ 5 で false を true に変更して同じ手順を繰り返します。



 

最大ブロック エントリ数の設定

同時に維持されるブロック数を設定できます(0 から 65,535 まで)。デフォルト値は 250 です。


注意 250 を超える最大ブロック エントリ数の設定は推奨しません。また、サポートの対象にもなりません。


) ブロック数が最大ブロック エントリ数を超えることはありません。最大数に達すると、既存のブロックがタイムアウトするか削除されるまで新しいブロックは発生しません。


最大ブロック エントリ数を変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 一般サブモードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 5 ブロック エントリの最大数を変更します。

sensor(config-NetworkAccess-gen)# shun-max-entries value
 

ステップ 6 一般サブモードを終了します。

sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:?[yes]:
 

ステップ 7 yes と入力して変更を適用します。


 

ブロック時間の設定

ブロックが継続する時間の長さを変更できます。デフォルト値は 30 分です。


) デフォルトのブロック時間の変更は、すべてのシグニチャに影響するシグニチャ パラメータを変更することによって行います。すべてのシグニチャに影響するため、変更の保存には多少時間がかかります。


デフォルトのブロック時間を変更するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 仮想センサー コンフィギュレーション モードに入ります。

sensor(config)# service virtual-sensor-configuration virtualSensor
 

ステップ 4 調整サブモードに入ります。

sensor(config-vsc)# tune
 

ステップ 5 shun イベント サブモードに入ります。

sensor(config-vsc-VirtualSensor)# shunevent
 

ステップ 6 shun 時間を設定します。

sensor(config-vsc-VirtualSensor-Shu)# shuntime value
 

value は、shun イベントの時間の長さを分単位で表します(0 から 4294967295 まで)。

ステップ 7 shun イベント サブモードを終了します。

sensor(config-vsc-VirtualSensor-Shu)# exit
sensor(config-vsc-VirtualSensor)# exit
Apply Changes:?[yes]:
 

ステップ 8 yes と入力して変更を適用します。


) シグニチャがアップデートされるまで、少し時間がかかります。



 

絶対にブロックしないアドレスの設定

信頼できるネットワーク デバイスによる通常の予期可能な動作が攻撃と見なされることも考えられるため、手動でも絶対にブロックしてはならないホストおよびネットワークをセンサーが識別するように調整する必要があります。そのようなデバイスは絶対にブロックしてはなりません。また、信頼できる内部のネットワークも絶対にブロックしてはなりません。

単一のホストを指定することも、ネットワーク全体を指定することもできます。

ネットマスクを指定すると、それがブロックされないネットワークのネットマスクになります。ネットマスクを指定しないと、指定した IP アドレスだけがブロックされません。

ブロッキング デバイスによってブロックされることがないアドレスを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 一般サブモードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 5 絶対にブロックされないアドレスを定義します。

単一のホストの場合

sensor(config-NetworkAccess-gen)# never-shun-hosts ip-address ip_address
 

ネットワーク全体の場合

sensor(config-NetworkAccess-gen)# never-shun-networks ip-address ip_address netmask netmask
 

ステップ 6 一般サブモードを終了します。

sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:?[yes]:
 

ステップ 7 yes と入力して変更を適用します。


 

論理デバイスの設定

センサーが管理する他のハードウェアに対しては、論理デバイスを設定する必要があります。論理デバイスには、ユーザ ID、パスワード、およびイネーブル パスワードの情報が含まれます。たとえば、同じパスワードとユーザ名を共有するすべてのルータは、1 つの論理デバイスとして扱うことができます。


注意 論理デバイスは、ブロッキング デバイスを設定する前に作成する必要があります。

論理デバイスを設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 論理デバイス名を作成します。

sensor(config-NetworkAccess)# shun-device-cfg name logical_device_name
 

ステップ 5 論理デバイスで使用するユーザ名を入力します。

sensor(config-NetworkAccess-shu)# username username
 

ユーザ名を指定しない場合は、 none と入力します。

ステップ 6 このユーザのパスワードを指定します。

sensor(config-NetworkAccess-shu)# password
Enter password[]: ****
Re-enter password
 

パスワードを指定しない場合は、 none と入力します。

ステップ 7 このユーザのイネーブル パスワードを指定します。

sensor(config-NetworkAccess-shu)# enable-password
Enter enable-password[]: ****
Re-enter enable-password
 

イネーブル パスワードを指定しない場合は、 none と入力します。

ステップ 8 shun デバイス設定サブモードを終了します。

sensor(config-NetworkAccess-shu)# exit
sensor(config-NetworkAccess)# exit
Apply Changes:?[yes]:
 

ステップ 9 yes と入力して変更を適用します。


 

ブロッキング デバイスの設定

NAC は、Cisco のルータやスイッチを管理する場合、それらのデバイス上で ACL を使用します。ACL は、次のように作成されます。

1. センサーの IP アドレス、または NAT アドレス(指定されている場合)を含む permit


) センサーのブロックを許可している場合、この行は ACL に含まれません。


2. PreShun ACL(指定されている場合)

この ACL は、すでにデバイスに存在している必要があります。

3. アクティブなブロックがある場合、そのブロック

4. 次のいずれか

PostShun ACL(指定されている場合)

この ACL は、すでにデバイスに存在している必要があります。


) ACL の最後の行が permit ip any any であることを確認してください。


permit ip any any (PostShun ACL を指定した場合は使用されません)

NAC は、デバイスの管理に 2 つの ACL を使用します。アクティブな ACL は一度に 1 つだけです。オフラインの ACL 名を使用して新しい ACL が作成され、それがインターフェイスに適用されます。次に NAC は、次のサイクルで逆のプロセスを実行します。


注意 1 つのセンサーで複数のデバイスを管理できますが、1 つのデバイスに対して複数のセンサーは使用できません。その場合は、マスター ブロッキング センサーを使用してください。詳細については、「センサーをマスター ブロッキング センサーにする設定」を参照してください。

ここでは、次の内容について説明します。

「センサーで Cisco ルータを管理する設定」

「センサーで Catalyst 6500 シリーズ スイッチを管理する設定」

「センサーで Cisco PIX Firewall を管理する設定」

センサーで Cisco ルータを管理する設定

センサーが Cisco ルータを管理するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 NAC によって制御されるルータの IP アドレスを設定します。

sensor(config-NetworkAccess)# router-devices ip-address ip_address
 

ステップ 5 「論理デバイスの設定」で作成した論理デバイス名を入力します。

sensor(config-NetworkAccess-rou)# shun-device-cfg logical_device_name
 

NAC は、入力された内容を受け付けます。論理デバイスが存在するかどうかのチェックは行いません。

ステップ 6 センサーへのアクセスに使用する方法を指定します。

sensor(config-NetworkAccess-rou)# communication telnet/ssh-des/ssh-3des
 

指定しないと、SSH 3DES が使用されます。


) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、NAC はデバイスに接続できません。


ステップ 7 センサーの NAT アドレスを指定します。

sensor(config-NetworkAccess-rou)# nat-address nat_address
 

) これによって ACL の 1 行目の IP アドレスがセンサーのアドレスから NAT のアドレスに変更されます。


ステップ 8 インターフェイスの方向を設定します。

sensor(config-NetworkAccess-rou-shu)# shun-interfaces direction in or out interface-name interface name you want ACL attached to
 

ステップ 9 preShun ACL の名前を追加します(オプション)。

sensor(config-NetworkAccess-rou-shu)# pre-acl-name pre_shun_acl_name
 

ステップ 10 postShun ACL の名前を追加します(オプション)。

sensor(config-NetworkAccess-rou-shu)# post-acl-name post_shun_acl_name
 

ステップ 11 shun インターフェイス サブモードを終了します。

sensor(config-NetworkAccess-rou-shu)# exit
sensor(config-NetworkAccess-rou)# exit
sensor(config-NetworkAccess)# exit
sensor(config)# exit
Apply Changes:?[yes]:
 

) 論理デバイス名が存在していな場合、エラーが返されます。


ステップ 12 yes と入力して変更を適用します。


 

センサーで Catalyst 6500 シリーズ スイッチを管理する設定

センサーが Catalyst 6500 シリーズ スイッチを管理するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 
Set the IP address for the router controlled by NAC:
sensor(config-NetworkAccess)# cat6k-devices ip-address ip_address
 

ステップ 4 「論理デバイスの設定」で作成した論理デバイス名を入力します。

sensor(config-NetworkAccess-cat)# shun-device-cfg logical_device_name
 

NAC は、入力された内容を受け付けます。論理デバイスが存在するかどうかのチェックは行いません。

ステップ 5 センサーへのアクセスに使用する方法を指定します。

sensor(config-NetworkAccess-cat)# communication telnet/ssh-des/ssh-3des
 

指定しないと、SSH 3DES が使用されます。


) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、NAC はデバイスに接続できません。


ステップ 6 センサーの NAT アドレスを指定します。

sensor(config-NetworkAccess-cat)# nat-address nat_address
 

) これによって ACL の 1 行目の IP アドレスがセンサーのアドレスから NAT のアドレスに変更されます。


ステップ 7 VLAN 番号を指定します。

sensor(config-NetworkAccess-cat)# shun-interfaces vlan vlan_number
 

ステップ 8 preShun ACL の名前を追加します(オプション)。

sensor(config-NetworkAccess-cat-shu)# pre-acl-name pre_shun_acl_name
 

ステップ 9 postShun ACL の名前を追加します(オプション)。

sensor(config-NetworkAccess-cat-shu)# post-acl-name post_shun_acl_name
 

ステップ 10 shun デバイス設定サブモードを終了します。

sensor(config-NetworkAccess-cat-shu)# exit
sensor(config-NetworkAccess-cat)# exit
sensor(config-NetworkAccess)# exit
sensor(config)# exit
Apply Changes:?[yes]:
 

) 論理デバイス名が存在していな場合、エラーが返されます。


ステップ 11 yes と入力して変更を適用します。


 

センサーで Cisco PIX Firewall を管理する設定

センサーが Cisco PIX Firewall を管理するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 NAC によって制御されるルータの IP アドレスを設定します。

sensor(config-NetworkAccess)# pix-devices ip-address ip_address
 

ステップ 5 「論理デバイスの設定」で作成した論理デバイス名を入力します。

sensor(config-NetworkAccess-pix)# shun-device-cfg logical_device_name
 

NAC は、入力された内容を受け付けます。論理デバイスが存在するかどうかのチェックは行いません。

ステップ 6 センサーへのアクセスに使用する方法を指定します。

sensor(config-NetworkAccess-pix)# communication telnet/ssh-des/ssh-3des
 

指定しないと、SSH 3DES が使用されます。


) DES または 3DES を使用している場合は、ssh host-key ip_address コマンドを使用してキーを受け入れないと、NAC はデバイスに接続できません。


ステップ 7 センサーの NAT アドレスを指定します。

sensor(config-NetworkAccess-pix)# nat-address nat_address
 

) これによって ACL の 1 行目の IP アドレスがセンサーのアドレスから NAT のアドレスに変更されます。


ステップ 8 shun デバイス設定サブモードを終了します。

sensor(config-NetworkAccess-pix)# exit
sensor(config-NetworkAccess)# exit
sensor(config)# exit
Apply Changes:?[yes]:
 

) 論理デバイス名が存在していな場合、エラーが返されます。


ステップ 9 yes と入力して変更を適用します。


 

センサーをマスター ブロッキング センサーにする設定

複数のセンサー(ブロッキング転送センサー)が、指定されたマスター ブロッキング センサー(MBS)にブロッキング要求を転送できます。MBS は、1 つまたは複数のデバイスを制御するデバイスです。MBS はセンサー上で実行される NAC で、1 つまたは複数の他のセンサーの代わりに、1 つまたは複数のデバイスに対するブロッキングを制御します。MBS 上の NAC は、他のセンサー上で実行されている NAC からの要求に応じて、デバイスに対するブロッキングを制御します。

ブロッキング転送センサーでは、MBS として働くリモート ホストを指定し、MBS では、許可されるホストの設定にブロッキング転送センサーを追加する必要があります。


) 通常、MBS はネットワーク デバイスを管理するように設定されます。ブロッキング転送センサーは、ネットワーク デバイスを管理するように設定することは可能ですが、通常はそのように設定されません。



注意 デバイス上のすべてのブロッキング インターフェイスを 1 つのセンサーで制御する必要があります。

センサー上の NAC がブロックを MBS に転送するように設定するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 ブロッキング転送センサーの NAC が MBS リモート ホストの TLS/SSL X.509 証明書を受け入れるように設定します(コンフィギュレーション モードを使用)。

sensor(config)# tls trusted-host ip-address MBS_ip_address
 

) 証明書のフィンガープリントに基づいて証明書を受け入れるように要求されます。センサーが提供するのは、自己署名証明書(認識された認証局の署名がある証明書ではなく)だけです。MBS ホスト センサーの証明書を確認するには、ホスト センサーにログインし、show tls fingerprint コマンドを入力して、ホスト証明書のフィンガープリントが一致することを確認します。


ステップ 4 NAC の接続先となるすべての MBS ホストの証明書を受け入れます。

ステップ 5 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 6 一般サブモードに入ります。

sensor(config-NetworkAccess)# general
 

ステップ 7 MBS エントリを追加します。

sensor(config-networkAccess-gen)# master-blocking-sensors mbs-ipaddress mbs_host_ip_address
 

ステップ 8 MBS ホスト上の管理アカウントのユーザ名を指定します。

sensor(config-networkAccess-gen-mas)# mbs-username username
 

ステップ 9 このユーザのパスワードを指定します。

sensor(config-networkAccess-gen-mas)# mbs-password
Enter mbs-password []: *****
Re-enter mbs-password []: *****
 

ステップ 10 ホストの HTTP 通信用のポート番号を指定します。

sensor(config-networkAccess-gen-mas)# mbs-port port_number
 

指定しない場合のデフォルトは 80/443 です。

ステップ 11 ホストが TLS/SSL を使用するかどうかのステータスを設定します。

sensor(config-networkAccess-gen-mas)# mbs-tls true/false
 

) 値を true に設定した場合は、tls trusted-host ip-address mbs_ip_address コマンドを使用する必要があります。


ステップ 12 マスター ブロッキング センサー サブモードを終了します。

sensor(config-NetworkAccess-gen-mas)# exit
sensor(config-NetworkAccess-gen)# exit
sensor(config-NetworkAccess)# exit
sensor(config)# exit
Apply Changes:?[yes]:
 

ステップ 13 yes と入力して変更を適用します。


 

ブロックされているホストおよび接続のリストの取得

ブロックされているホストおよび接続のリストを取得するには、NetworkAccess の show statistics コマンドを使用します。

ブロックされているホストおよび接続のリストを取得するには、次の手順を実行します。


ステップ 1 CLI にログインします。

ステップ 2 NAC の統計情報をチェックします。

sensor# show statistics networkAccess
Current Configuration
AllowSensorShun = false
ShunMaxEntries = 250
NetDevice
Type = Cisco
IP = 10.89.150.160
NATAddr = 0.0.0.0
Communications = telnet
ShunInterface
InterfaceName = ethernet1
InterfaceDirection = in
State
ShunEnable = true
NetDevice
IP = 10.89.150.160
AclSupport = uses Named ACLs
State = Active
ShunnedAddr
Host
IP = 10.16.0.0
ShunMinutes = 15
MinutesRemaining = 15
Host
IP = 192.168.16.0
ShunMinutes = 10
MinutesRemaining = 10
 

最後の 2 つの Host エントリは、ブロックされているホストと、そのブロックの長さを示します。


 

手動ブロッキングの設定方法とブロック解除の方法

すでにブロッキングを設定してある場合は、手動でホストをブロックできます。ブロックされているホストのリストを表示することもできます。


) CLI での手動ブロックは、実際に設定が変更されるので、永続的です。継続時間を指定した手動ブロックはできません。CLI によって作成されたブロックは、IDSM または IDS MC を使用して削除できません。手動ブロックは、CLI で削除する必要があります。



注意 手動ブロックは、仮に使用する場合でも、きわめて限定的に使用することをお勧めします。

手動でホストをブロックするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configuration terminal
 

ステップ 3 ネットワーク アクセス モードに入ります。

sensor(config)# service networkAccess
 

ステップ 4 一般モードに入ります。

sensor (config-NetworkAccess)# general
 

ステップ 5 ホスト IP アドレスに対する手動ブロックを開始します。

sensor (config-NetworkAccess-gen)# shun-hosts ip-address ip_address
 

) 手動ブロックは、CLI で終了させないかぎり継続します。


ステップ 6 手動ブロックを終了するには、次の手順を実行します。

sensor (config-NetworkAccess-gen)# no shun-hosts ip-address ip_address
 

ステップ 7 一般サブモードを終了します。

sensor (config-NetworkAccess-gen)# exit
sensor (config-NetworkAccess)# exit
sensor(config)# exit
sensor#
 


 

NM-CIDS 設定タスク

ここでは、NM-CIDS を設定し、それによってトラフィックを受信できるようにするために必要なタスクについて説明します。その後で、侵入検知を設定できます。

ここでは、次の内容について説明します。

「ルータでの Cisco IDS インターフェイスの設定」

「Cisco IDS コンソール セッションの確立」

「NM-CIDS のリブート」

「パケット キャプチャの設定」

「Cisco IDS ソフトウェアのステータスのチェック」

「サポートされている Cisco IOS コマンド」

ルータでの Cisco IDS インターフェイスの設定

NM-CIDS は、外部のコンソール ポートを持たないという点でスタンドアロン アプリケーションとは異なります。NM-CIDS コンソール アクセスは、ルータで service-module ids-module slot_number /0 session コマンドを発行したとき、または NM-CIDS スロットに対応するポート番号でルータに対する Telnet 接続を開始したときにイネーブルになります。外部コンソール ポートがないことは、初期ブート設定がルータを通じてのみ可能であることを意味します。

service-module ids-sensor slot_number / 0 session コマンドを発行すると、NM-CIDS との間にコンソール セッションが作成されます。このセッションで任意の IDS 設定コマンドを発行できます。セッションでの作業を完了し、IDS CLI を終了すると、Cisco IOS CLI に戻ります。

session コマンドを使用すると、ids-sensor インターフェイスの IP アドレスを使用して逆方向の Telnet 接続が開始されます。ids-sensor インターフェイスは、NM-CIDS とルータの間のインターフェイスです。 session コマンドを起動する前に、ids-sensor インターフェイスに IP アドレスを割り当てる必要があります。ルート可能な IP アドレスを割り当てると、IDS インターフェイス自体が攻撃を受けやすくなる可能性があります。この脆弱性に対する措置として、ids-sensor インターフェイスにループバック IP アドレスを割り当てます。

NM-CIDS インターフェイスを設定するには、次の手順を実行します。


ステップ 1 ルータの NM-CIDS スロット番号を確認します。

Router # show interfaces ids-sensor slot_number/0
 

show run コマンドを使用することもできます。「IDS-Sensor」およびスロット番号を見つけます。



) NM-CIDS には Cisco IOS によって「IDS-Sensor」という名前が与えられます。この例では、ポートが 1 つしかないため、1 はスロット番号で 0 はポート番号です。


ステップ 2 CEF スイッチング パスをイネーブルにします。

Router# configuration terminal
Router(config)# ip cef
Router(config)# exit
 

ステップ 3 ループバック インターフェイスを作成します。

Router# configure terminal
Router(config)# interface loopback 0
 

ステップ 4 ループバック インターフェイスに IP アドレスとネットマスクを割り当てます。

Router(config-if)# ip address 10.16.0.0 255.255.0.0
 

) NM-CIDS とのセッションを確立するためには、NM-CIDS の内部インターフェイスに IP アドレスを割り当てる必要があります。ルータ内の他のインターフェイスに割り当てられているネットワークと重複しないネットワークを選択してください。このアドレスを使用して NM-CIDS にアクセスすることはないので、「実際の」IP アドレスである必要はありません。


ステップ 5 アンナンバード ループバック インターフェイスを ids-sensor インターフェイスに割り当てます。この例ではスロット 1 を使用します。

Router(config)# interface ids-sensor 1/0
Router(config-if)# ip unnumbered loopback 0
 

ステップ 6 ポートをアクティブにします。

Router(config-if)# no shutdown
 

ステップ 7 コンフィギュレーション モードを終了します。

Router(config-if)# end
 

ステップ 8 設定を NVRAM に書き込みます。

Router# write memory
Building configuration
[OK]
 


 

Cisco IDS コンソール セッションの確立

ルータと NM-CIDS の間のセッションは、次の方法のいずれかを使用して確立および切断できます。

session コマンド

Ctrl+Shif+6 キーと x キー、および disconnect コマンド

Telnet

ここでは、次の内容について説明します。

「session コマンドの使用」

「セッションの一時停止とルータへの戻り」

「開いているセッションの終了」

「Telnet の使用」

session コマンドの使用

session コマンドを使用して、NM-CIDS(この例ではスロット 1)でセッションを確立します。

Router# service-module ids-sensor 1/0 session
 

Telnet セッションが開始されます。

Trying 10.16.0.0, 2033 ... Open
 

セッションの一時停止とルータへの戻り

セッションでの作業が終了したら、ルータに戻ってセッション(IDS アプリケーション)と監視対象のルータ インターフェイスの間の関連付けを確立する必要があります。

Telnet セッションで接続を切り替えるには、次の手順を実行します。


ステップ 1 Ctrl+Shift キーを押してから 6 キーを押します。すべてのキーを離してから、 x キーを押します。

このコマンドにより、セッション プロンプトからルータ プロンプトに、またはその逆に切り替わります。

ステップ 2 プロンプトで次のように入力します。

Router# disconnect
 

ステップ 3 次のように表示されたら、 Enter キーを押します。

Closing connection to 10.16.0.0 [confirm] <Enter>
 

) Telnet クライアントには多くの種類があります。クライアントによっては、Ctrl キーを押した状態で 6 キーを押してから x キーを押す必要があります。制御文字は、^^、CTRL-^、または ASCII 値 30(16 進数では 1E)で表されます。



注意 セッションを適切に終了しないと、残っているセッションを別のユーザが乗っ取ることが可能になります。Cisco IOS セッションを完全に終了するために、必ず Router# プロンプトで exit と入力してください。手順については、「開いているセッションの終了」を参照してください。


 

開いているセッションの終了

Telnet の disconnect コマンドを使用してセッションを終了しても、そのセッションは残ります。この開いている状態のセッションは、残った接続を利用しようとしている人間に悪用されるおそれがあります。

NM-CIDS との間の開いているセッションを閉じるには、次の手順を実行します。


ステップ 1 セッションを終了します。

sensor# exit
 

ステップ 2 NM-CIDS との間のセッションを一時停止し、閉じるには、 Ctrl+Shift キーを押してから 6 キーを押します。すべてのキーを離してから、 x キーを押します。

ステップ 3 ルータから接続解除します。

Router# disconnect
 

ステップ 4 Enter キーを押して接続解除を確認します。

Router# Closing connection to 10.16.0.0 [confirm] <Enter>
 

ステップ 5 セッションを終了します。

Router# exit
 


 

Telnet の使用

NM-CIDS スロットに対応するポート番号を使用して、ルータに直接 telnet で接続することもできます。「ルータでの Cisco IDS インターフェイスの設定」でループバック 0 インターフェイスを設定したときに確立したアドレスを使用します。

ポート番号は、「2001 + 32 x スロット番号」という式で決定されます。

たとえば、スロット 1 であればポート番号は 2033、スロット 2 の場合は 2065 などとなります。

Telnet を使用して、ポート 2033 へのセッションを起動します。

Router# telnet 10.16.0.0 2033

NM-CIDS のリブート

Cisco IOS では、NM-CIDS を制御するためのコマンドとして、 shutdown reload 、および reset が用意されています。

shutdown:オペレーティング システムをスムーズにシャットダウンします。

Router# service-module ids-sensor slot_number/0 shutdown
 

注意 NM-CIDS からハードディスク ドライブを取り外す際は、その前に必ず shutdown コマンドを実行します。実行しないと、データが失われたり、ハード ディスク ドライブが破損するおそれがあります。

reload:NM-CIDS 上のオペレーティング システムをスムーズに停止し、リブートします。

Router# service-module ids-sensor slot_number/0 reload
 

reset:NM-CIDS 上のハードウェアをリセットします。通常、このコマンドはシャットダウンから復旧するために使用します。

Router# service-module ids-sensor slot_number/0 reset
 

次の警告が表示されます。

Router# service-module ids-sensor 1/0 reset
Use reset only to recover from shutdown or failed state
Warning: May lose data on the hard disc!
Do you want to reset?[confirm]
 

注意 ハード ディスク ドライブのデータが失われるのは、NM-CIDS をシャットダウンせずに reset コマンドを実行した場合だけです。それ以外の状況では、安全に reset コマンドを使用できます。

パケット キャプチャの設定

パケットを監視するルータで、目的のインターフェイス(サブインターフェイスも含む)をイネーブルにする必要があります。監視するインターフェイスまたはサブインターフェイスは、いくつでも選択できます。選択したインターフェイス上で送受信されるパケットは、検査のために NM-CIDS に転送されます。インターフェイスをイネーブルにするかディセーブルにするかは、ルータの CLI(Cisco IOS)で設定します。

NM-CIDS でパケット キャプチャを設定するには、次の手順を実行します。


ステップ 1 インターフェイス設定を確認します。

Router# show run
 

ステップ 2 監視するインターフェイスまたはサブインターフェイスを、FastEthernet0/0 のような形式で識別します。


) 複数のインターフェイスまたはサブインターフェイスを監視対象として選択できますが、一度に編集できるのは 1 つだけです。


ステップ 3 コンフィギュレーション モードに入ります。

Router# configure terminal
 

ステップ 4 インターフェイスを指定します。

Router(config)# interface FastEthernet0/0
 

) トラフィックは、ルータのインターフェイスの 1 つから送られてきます。


ステップ 5 ネットワーク トラフィックを NM-CIDS にコピーするようにインターフェイスを設定します。

Router(config-if)# ids-service-module monitoring
 

) 監視をオフにするには、no ids-service-module monitoring コマンドを使用します。


ステップ 6 インターフェイス モードを終了します。

Router(config-if)# exit
 

ステップ 7 監視する各インターフェイスまたはサブインターフェイスについて、ステップ 3 から 6 を繰り返します。

ステップ 8 コンフィギュレーション モードを終了します。

Router(config)# exit
 

ステップ 9 NM-CIDS がネットワーク トラフィックを分析していることを確認します。

a. NM-CIDS の外部インターフェイスとの間で TFTP または SSH セッションを開きます。


) SSH では、既知のホストが必要です。手順については、「SSH 既知ホスト リストへの既知ホストの追加」を参照してください。


b. cisco としてログインします。

c. インターフェイス グループを表示します。

Router# show interface group 0
 

d. 出力で、センシング インターフェイスがダウンしていることが示されたら、ステップ 3 から 6 を繰り返します。

e. ステップ c で、カウンタが徐々に増えていくことを確認します。これは、NM-CIDS がネットワーク トラフィックを受信していることを示します。


 

Cisco IDS ソフトウェアのステータスのチェック

ルータで実行されている Cisco IDS ソフトウェアのステータスをチェックします。

Router# service-module ids-sensor slot_number/0 status
 

次のような出力が表示されます。

Router# service-module ids-sensor1/0 status
Service Module is Cisco IDS-Sensor1/0
Service Module supports session via TTY line 33
Service Module is in Steady state
Getting status from the Service Module, please wait..
Service Module Version information received,
Major ver = 1, Minor ver= 1
Cisco Systems Intrusion Detection System Network Module
Software version: 4.1(1)S42(0.3)
Model: NM-CIDS
Memory: 254676 KB
 

サポートされている Cisco IOS コマンド

NM-CIDS をサポートするために、次の Cisco IOS コマンドが追加されました。

service-module ids-sensor slot_number/0
 

スロット番号は変わることがありますが、ポートは常に 0 です。次のオプションを使用できます。

reload

reset

session

shutdown

status

NM-CIDS では、次の Cisco IOS コマンドがサポートされています。

特権モード EXEC

Router# service-module ids-sensor slot_number/ 0 reload

NM-CIDS にオペレーティング システムをリロードします。

Router# service-module ids-sensor slot_number/ 0 reset

NM-CIDS をハードウェア リセットします。

Router# service-module ids-sensor slot_number/ 0 session
Entering Console for IDS sensor Module in slot slot_number.

session コマンドを使用すると IDS コンソールにアクセスできます。

Router# service-module ids-sensor slot_number/ 0 shutdown

NM-CIDS で実行中の IDS アプリケーションをシャットダウンします。


注意 適切にシャットダウンせずに NM-CIDS を取り外すと、ハード ディスク ドライブが破損するおそれがあります。NM-CIDS アプリケーションが正常にシャットダウンすると、Cisco IOS は NM-CIDS が取り外し可能であるというメッセージを出力します。

Router# service-module ids-sensor slot_number/ 0 status

Cisco IDS ソフトウェアのステータスに関する情報を提供します。

インターフェイス設定モード

Router(config-if)# ids-service-module monitoring
 

指定されたインターフェイス(またはサブインターフェイス)で IDS による監視ができます。指定されたインターフェイス上のインバウンドとアウトバウンド両方のパケットが監視のために転送されます。

IDSM-2 設定タスク

IDSM-2 を設定するには、次のタスクを実行します。

1. IDSM-2 を初期化します。

setup コマンドを実行して IDSM-2 を初期化します。

詳細については、「センサーの初期化」を参照してください。

2. Catalyst 6500 シリーズ スイッチで、IDSM-2 へのコマンド/コントロール アクセスを設定します。

手順については、「Catalyst 6500 シリーズ スイッチにおける IDSM-2 へのコマンド/コントロール アクセスの設定」を参照してください。

3. インターフェイスを割り当てます。

手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。TCP リセット インターフェイスの詳細については、「TCP リセット インターフェイスの使用方法」を参照してください。

4. IDSM-2 がトラフィックを侵入検知分析のためにキャプチャするように設定します。

手順については、「IDS トラフィックのキャプチャ」を参照してください。

5. 信頼できるホストおよびユーザの追加、センサーが NTP を時刻源として使用する設定など、他の初期タスクを実行します。

詳細については、「センサーの初期設定タスク」を参照してください。

6. 侵入検知を設定します。

「センサーの設定タスク」および IDS マネージャのドキュメントを参照してください。ドキュメントの検索方法については、IDSM-2 に付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

7. IDSM-2 をスムーズに実行し続けるためのその他のタスクを実行します。

詳細については、「センサーの管理タスク」および「その他のタスク」を参照してください。

8. 新しいシグニチャ アップデートおよびサービス パックで IDS ソフトウェアをアップグレードします。

詳細については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

9. 必要に応じて、アプリケーション パーティションのイメージおよびメンテナンス パーティションのイメージを再作成します。

「IDSM-2 のイメージの再作成」を参照してください。

ここでは、次の内容について説明します。

「Catalyst 6500 シリーズ スイッチにおける IDSM-2 へのコマンド/コントロール アクセスの設定」

「IDS トラフィックのキャプチャ」

「その他のタスク」

Catalyst 6500 シリーズ スイッチにおける IDSM-2 へのコマンド/コントロール アクセスの設定

IDSM-2 を初期化したら、IDSM-2 にコマンド/コントロール アクセスできるように Catalyst 6500 シリーズ スイッチを設定する必要があります。

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

Catalyst 6500 シリーズ スイッチが IDSM-2 にコマンド/コントロール アクセスできるようにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Console> enable
 

ステップ 3 適切な VLAN にコマンド/コントロール ポートを指定します。

Console> (enable) set vlan command_and_control_vlan_number module_slot_number/command_and_control_port_number
 

Console> (enable) set vlan 147 8/2
 

ステップ 4 IDSM-2 とのセッションを確立することにより、接続されていることを確認します。

Console> session slot module_number
ping network_ip_address
 


 

Cisco IOS ソフトウェア

Catalyst 6500 シリーズ スイッチが IDSM-2 にコマンド/コントロール アクセスできるようにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 コンフィギュレーション モードに入ります。

Router# configure terminal
 

ステップ 3 適切な VLAN にコマンド/コントロール ポートを指定します。

Router (config)# intrusion-detection-module module_number management-port access-vlan vlan_number
 

Router (config)# intrusion-detection-module 5 management-port access-vlan 146
 

ステップ 4 IDSM-2 とのセッションを確立することにより、接続されていることを確認します。

Router# session slot module_number processor 1
ping network_ip_address
 


 

IDS トラフィックのキャプチャ

トラフィックは、侵入検知分析のために IDSM-2 上で SPAN、VACL キャプチャ、または mls ip ids コマンドを使用してキャプチャされます。ポート 1 は TCP リセット ポートとして使用され、ポート 2 はコマンド/コントロール ポート、ポート 7 および 8 はモニタリング ポートになります。モニタリング ポートの 1 つを SPAN または VACL モニタリング ポートとして設定できます。

ここでは、次の内容について説明します。

「SPAN を使用した IDS トラフィックのキャプチャ」

「IDS トラフィックをキャプチャするための VACLS の設定」

「mls ip ids コマンドによる IDS トラフィックのキャプチャ」

SPAN を使用した IDS トラフィックのキャプチャ

IDSM-2 では、イーサネットまたはファスト イーサネット SPAN ソース ポートからのイーサネット VLAN トラフィックを分析することも、イーサネット VLAN を SPAN ソースと指定することもできます。ここでは、SPAN を使用して IDS トラフィックをキャプチャする方法について説明します。

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

IDSM-2 で SPAN をイネーブルにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Console> enable
 

ステップ 3 ソース ポートから IDSM-2 への SPAN をイネーブルにします。

Console> (enable) set span [source_module/source_port] idsm_module/port_number [rx | tx | both] [filter vlans...]
 

) ソース トランク ポート上の特定の VLAN についてトラフィックを監視するには、filter キーワードと変数を使用します。


ステップ 4 VLAN から IDSM-2 への SPAN をイネーブルにします。

Console> (enable) set span [vlan] idsm_module/port_number [rx | tx | both]
 

ステップ 5 IDSM-2 へのすべての SPAN トラフィックをディセーブルにします。

Console> (enable) set span disable idsm_module/port_number
 

) SPAN の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



 

Cisco IOS ソフトウェア

IDSM-2 で SPAN をイネーブルにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 コンフィギュレーション モードに入ります。

Router# configure terminal
 

ステップ 3 モニタ セッションのソース インターフェイスおよび VLAN を設定します。

Router (config)# monitor session {session_number} {source {interface type slot_number/port_number} | {vlan vlan_ID}} [, | - | rx | tx | both]
 

ステップ 4 IDSM-2 のデータ ポートを SPAN の宛先として設定します。

Router (config)# monitor session {session_number} {destination intrusion-detection-module module_number data-port data_port_number
 

ステップ 5 モニタ セッションをディセーブルにする場合は、次のように設定します。

Router (config)# no monitor session session_number
 

ステップ 6 SPAN セッションをフィルタ処理して、特定の VLAN だけがスイッチ ポート トランクから認識できるようにします(オプション)。

Router (config)# monitor session {session_number} {filter {vlan_ID} [, | - ]}
 

ステップ 7 コンフィギュレーション モードを終了します。

Router (config)# exit
 

ステップ 8 現在のモニタ セッションを終了します。

Router # show monitor session session_number
 

) SPAN の詳細については、『Catalyst 6500 Series Cisco IOS Command Reference』を参照してください。



 

IDS トラフィックをキャプチャするための VACLS の設定

単一または複数の VLAN からのトラフィックを、IDS のために VACL がキャプチャするように設定できます。ここでは、IDS トラフィックをキャプチャするように VACL を設定する方法について説明します。

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

ポート 1 は TCP リセット ポートとして設定されます。ポート 7 および 8 はセンシング ポートであり、セキュリティ ACL キャプチャ ポートとして設定できます。デフォルトでは、ポート 7 および 8 はトランク ポートとして設定され、キャプチャ機能によってセキュリティ ACL が適用されているすべての VLAN にトランク接続されます。特定の VLAN からのトラフィックのみを監視する場合は、監視しない VLAN はクリアして、ポート 7 およびポート 8 にトランク接続されないようにする必要があります。

VLAN 上で IDS トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

console> enable
 

ステップ 3 VACL がトラフィックをキャプチャするように設定します。

console> (enable) set security acl ip acl name permit (...) capture
 

ステップ 4 VACL をコミットします。

console> (enable) commit security acl
 

ステップ 5 VACL を VLAN にマップします。

console> (enable) set security acl map acl name [vlans]
 

ステップ 6 IDSM-2 モニタリング ポート(ポート 7 および 8)を VACL キャプチャ リストに追加します。

console> (enable) set security acl capture module_number/port_number
 

次の例は、VLAN 上で IDS トラフィックをキャプチャする方法を示します。

Console> (enable) show security acl info all
set security acl ip webacl2
---------------------------------------------------
permit tcp any host 10.1.6.1 eq 21 capture
permit tcp host 10.1.6.1 eq 21 any capture
permit tcp any host 10.1.6.1 eq 80 capture
permit tcp any host 10.1.6.2 eq 80 capture
deny ip any host 10.1.6.1
deny ip any host 10.1.6.2
permit ip any any
 

) トランク ポートと ACL の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



 

Cisco IOS ソフトウェア

VLAN 上で IDS トラフィックをキャプチャするように VACL を設定するには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Router# configure terminal
 

ステップ 3 ACL を定義します。

Router (config)# ip access-list {standard | extended} acl_name
 
Create ACL entries through the permit and/or deny statements:
Router(config-ext-nacl)# ?
Ext Access List configuration commands:
 
default Set a command to its defaults
deny Specify packets to reject
dynamic Specify a DYNAMIC list of PERMITs or DENYs
evaluate Evaluate an access list
exit Exit from access-list configuration mode
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
Router(config-ext-nacl)# exit
 

ステップ 4 VLAN アクセス マップを定義します。

Router(config)# vlan access-map map_name [0-65535]
 

ステップ 5 VLAN アクセス マップ シーケンスで match 句を設定します。

Router (config-access-map)# match {ip address {1-199 | 1300-2699 | acl_name}
 

ステップ 6 VLAN アクセス マップ シーケンスで action 句を前の match 句に付随するように設定します。

Router(config-access-map)# action forward capture
 

ステップ 7 指定した VLAN に VLAN アクセス マップを適用します。

Router (config)# vlan filter map_name vlan-list vlan_list
 

ステップ 8 キャプチャ フラグの付いたトラフィックをキャプチャするように IDSM-2 データ ポートを設定します。

Router (config)# intrusion-detection module module_number data-port data_port_number capture allowed-vlan capture_vlans
 

ステップ 9 IDSM-2 でキャプチャ機能をイネーブルにします。

Router (config)# intrusion-detection module module_number data-port data_port_number capture
 

注意 IDSM-2 データ ポートを SPAN の宛先ポートとキャプチャ ポートの両方として設定しないでください。

次の例は、 show run コマンドの出力を示します。

Router# show run
intrusion-detection module 4 data-port 1 capture allowed-vlan 450,1002-1005
intrusion-detection module 4 data-port 1 capture
.
.
.
vlan access-map CAPTUREALL 10
match ip address MATCHALL
action forward capture
.
.
.
ip access-list extended MATCHALL
permit ip any any
 


 

mls ip ids コマンドによる IDS トラフィックのキャプチャ

ここでは、 mls ip ids コマンドを使用して IDS トラフィックをキャプチャする方法について説明します。

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

Cisco IOS Firewall を Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)で実行している場合、VACL を使用して IDSM-2 のトラフィックをキャプチャすることはできません。これは、Cisco IOS Firewall 用の IP 検査規則を適用済みの VLAN には、VACL を適用できないためです。しかし、 mls ip ids コマンドを使用することにより、キャプチャするパケットを指定することはできます。ACL で許可されたパケットがキャプチャされます。ACL によって拒否されたパケットはキャプチャされません。permit/deny パラメータは、パケットが宛先ポートに転送されるかどうかには影響しません。ルータ インターフェイスに着信するパケットは、IDS ACL と照合されて、キャプチャするかどうかが決定されます。 mls ip ids コマンドは、スーパーバイザ設定ではなく MSFC 設定の一部として適用されます。 mls ip ids コマンドは、着信トラフィックのみをキャプチャします。接続の両方向についてキャプチャを行うためには、クライアント側のルータ インターフェイスとサーバ側のルータ インターフェイスの両方で mls ip ids コマンドを使用する必要があります。

mls ip ids コマンドを使用して IDS トラフィックをキャプチャするには、次の手順を実行します。


ステップ 1 MSFC にログインします。

ステップ 2 特権モードに入ります。

Router> enable
 

ステップ 3 コンフィギュレーション モードに入ります。

Router# configure terminal
 

ステップ 4 キャプチャするパケットを指定するように ACL を設定します。

Router(config)# ip access-list extended word
 

ステップ 5 キャプチャするパケットが伝送されるインターフェイスを選択します。

Router(config)# interface interface_name
 

ステップ 6 ステップ 4 で作成した ACL をステップ 5 で選択したインターフェイスに適用します。

Router(config-if)# mls ip ids word
 

ステップ 7 スーパーバイザ エンジンにログインします。

ステップ 8 特権モードに入ります。

Console> enable
 

ステップ 9 スーパーバイザ エンジンで、IDSM-2 モニタリング ポート(ポート 7 および 8)を VACL キャプチャ リストに追加します。

Console> (enable) set security acl capture idsm_module/port_number
 

注意 mls ip ids コマンドによってマークされたすべてのパケットを IDSM-2 がキャプチャするためには、IDSM-2 のポート 7 および 8 が、これらのパケットのルーティング先となるすべての VLAN のメンバーであることが必要です。


 

Cisco IOS ソフトウェア

ポートをスイッチ ポートではなくルータ インターフェイスとして使用している場合は、VACL の適用先となる VLAN が存在しません。

mls ip ids コマンドを使用することにより、キャプチャするパケットを指定することはできます。ACL で許可されたパケットがキャプチャされます。ACL によって拒否されたパケットはキャプチャされません。permit/deny パラメータは、パケットが宛先ポートに転送されるかどうかには影響しません。ルータ インターフェイスに着信するパケットは、IDS ACL と照合されて、キャプチャするかどうかが決定されます。

mls ip ids コマンドを使用して IDS トラフィックをキャプチャするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Router> enable
 

ステップ 3 コンフィギュレーション モードに入ります。

Router# configure terminal
 

ステップ 4 キャプチャするパケットを指定するように ACL を設定します。

Router(config)# ip access-list extended word
 

ステップ 5 キャプチャするパケットが伝送されるインターフェイスを選択します。

Router(config)# interface interface_name
 

ステップ 6 ステップ 4 で作成した ACL をステップ 5 で選択したインターフェイスに適用します。

Router(config-if)# mls ip ids word
Enable the capture function on the IDSM-2 data ports so that packets with the capture bit set are received by the interface:
Router(config)# intrusion-detection module 4 data-port 1 capture
Router(config)# intrusion-detection module 4 data-port 2 capture
 

注意 mls ip ids コマンドによってマークされたすべてのパケットを IDSM-2 がキャプチャするためには、IDSM-2 のデータ ポート 1 および 2 が、これらのパケットのルーティング先となるすべての VLAN のメンバーであることが必要です。


 

その他のタスク

ここでは、IDSM-2 をリセットする手順と、Catalyst および Cisco IOS ソフトウェアのコマンドのリストを示します。


) Catalyst および Cisco IOS ソフトウェアのコマンドの詳細については、Cisco.com にあるコマンド リファレンスを参照してください。ドキュメントの検索方法については、IDSM-2 に付属している『Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide』を参照してください。


ここでは、次の内容について説明します。

「全メモリ テストのイネーブル」

「IDSM-2 のリセット」

「Cisco IOS ソフトウェアのコマンド」

全メモリ テストのイネーブル

IDSM-2 を初めてブートすると、デフォルトで部分メモリ テストが実行されます。Catalyst ソフトウェアおよび Cisco IOS ソフトウェアでは、全メモリ テストをイネーブルにできます。

ここでは、次の内容について説明します。

「メモリとブート時間」

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

メモリとブート時間

表 10-2 に、メモリと、長いメモリ テスト時のおよそのブート時間を示します。

 

表 10-2 メモリとブート時間

メモリ サイズ
ブート時間

256 MB

1.5 分

512 MB

3 分

1 GB

6 分

1.5 GB

9 分

2 GB

12 分

Catalyst ソフトウェア

set boot device bootseq module_number mem-test-full コマンドを使用すると、全メモリ テストをイネーブルにすることができます。長いメモリ テストは、約 12 分かかります。

全メモリ テストをイネーブルにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 次のコマンドを入力します。

Console> set boot device cf:1 4
mem-test-full
Console> show boot device 4
 

set boot device コマンドには、 cf:1 または hdd:1 を指定できます。

次の出力が表示されます。

Device BOOT variable = cf:1
FAST BOOT Enabled
 

ステップ 3 IDSM-2 をリセットします。

手順については、「IDSM-2 のリセット」を参照してください。

全メモリ テストが実行されます。


) 全メモリ テストは、部分メモリ テストよりも完了までに時間がかかります。



 

Cisco IOS ソフトウェア

set boot device bootseq module_number mem-test-full コマンドを使用すると、全メモリ テストをイネーブルにすることができます。長いメモリ テストは、約 12 分かかります。

全メモリ テストをイネーブルにするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 次のコマンドを入力します。

Router# set boot device cf:1 4 mem-test-full
Router# show boot device 4
 

set boot device コマンドには、 cf:1 または hdd:1 を指定できます。

ステップ 3 次の出力が表示されます。

Device BOOT variable = cf:1
FAST BOOT Enabled
 

ステップ 4 IDSM-2 をリセットします。

手順については、「IDSM-2 のリセット」を参照してください。

全メモリ テストが実行されます。


) 全メモリ テストは、部分メモリ テストよりも完了までに時間がかかります。



 

IDSM-2 のリセット

何らかの理由により、SSH、Telnet、またはスイッチの session コマンドによって IDSM-2 と通信できないときは、スイッチのコンソールから IDSM-2 をリセットする必要があります。リセット プロセスには数分かかります。ここでは、IDSM-2 のリセット方法について説明します。

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

CLI から IDSM-2 をリセットするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Console> enable
 

ステップ 3 IDSM-2 をアプリケーション パーティションまたはメンテナンス パーティションにリセットします。

Console> (enable) reset module_number [hdd:1/cf:1]
 

) アプリケーション パーティション(hdd:1、デフォルト)もメンテナンス パーティション(cf:1)も指定しないと、ブート デバイス変数が使用されます。


次の例は、 reset コマンドの出力を示します。

Console> (enable) reset 3
2003 Feb 01 00:18:23 %SYS-5-MOD_RESET: Module 3 reset from console//
Resetting module 3... This may take several minutes.
2003 Feb 01 00:20:03 %SYS-5-MOD_OK: Module 3 is online.
Console> (enable)
 

注意 IDSM-2 を先にシャットダウンしないでスイッチ シャーシから取り外した場合、またはシャーシの電源が切れた場合は、IDSM-2 を複数回リセットしなければならないことがあります。リセット操作を 3 回繰り返しても IDSM-2 が反応しない場合は、メンテナンス パーティションをブートし、アプリケーション パーティションの復元手順を実行してください。手順については、「IDSM-2 のイメージの再作成」を参照してください。


 

Cisco IOS ソフトウェア


リセット プロセスには数分かかります。


CLI から IDSM-2 をリセットするには、次の手順を実行します。


ステップ 1 コンソールにログインします。

ステップ 2 特権モードに入ります。

Router# configure terminal
 

ステップ 3 IDSM-2 をリセットします。

Router# hw-module module module_number reset [hdd:1/cf:1]
 

次の例は、 reset コマンドの出力を示します。

Router# hw-module module 8 reset
Device BOOT variable for reset =
Warning: Device list is not verified.
Proceed with reload of module? [confirm]
% reset issued for module 8
 


 

Catalyst ソフトウェアのコマンド

ここでは、Catalyst ソフトウェアでサポートされているコマンドおよびサポートされていないコマンドを示します。詳細については、Cisco.com にある Catalyst 6500 シリーズのコマンド リファレンスを参照してください。

ここでは、次の内容について説明します。

「サポートされているスーパーバイザ エンジン コマンド」

「サポートされていないスーパーバイザ エンジン コマンド」

サポートされているスーパーバイザ エンジン コマンド

IDSM-2 は、次のスーパーバイザ エンジン CLI コマンドもサポートしています。これらの詳細については、Catalyst 6500 シリーズのコマンド リファレンスで説明されています。

clear config module_number

指定した IDSM-2 に関連付けられているスーパーバイザ エンジンの設定をクリアします。

clear log module_number

指定した IDSM-2 のエラー ログのすべてのエントリを削除します。

session slot_number

スイッチ コンソールから IDSM-2 のコンソールにログインします。

set module コマンド(次に示す以外のすべての set module コマンドはエラー メッセージを返します)

set module name module_number

モジュールの名前を設定します。

set module power module_number up | down

指定した IDSM-2 への電源をイネーブルまたはディセーブルにします。

set port name module_number

指定した IDSM-2 ポートの名前を設定します。

set span

ポート 1 を SPAN の宛先ポートとして設定します。IDSM-2 のポート 1 は SPAN の送信元ポートとしては使用できません。

set trunk

トランク ポートを設定します。

set vlan

VLAN キャプチャ ポートを設定します。

show config

スーパーバイザ エンジンの NVRAM 設定を表示します。

show log

指定した IDSM-2 のエラー ログを表示します。

show mac module_number

指定した IDSM-2 の MAC カウンタを表示します。

show module module_number

IDSM-2 が取り付けられていると、Module-Type の下に「Intrusion Detection System Module」と表示します。

show port module_number

指定した IDSM-2 のポート ステータスを表示します。

show port capabilities [module | module_number]

モジュールおよびポートの機能を表示します。

show test

SPAN ポート(ポート 1)と管理ポート(ポート 2)の両方の診断テスト、および BIOS と CMOS のブート結果からレポートされたエラーを表示します。

サポートされていないスーパーバイザ エンジン コマンド

次のスーパーバイザ エンジン CLI コマンドは、IDSM-2 ではサポートされていません。

set module {enable|disable} module_number

set port broadcast

set port channel

set port cops

set port disable

set port enable

set port flowcontrol

set port gmrp

set port gvrp

set port host

set port inlinepower

set port jumbo

set port membership

set port negotiation

set port protocol

set port qos

set port rsvp

set port security

set port speed

set port trap

set protocolfilter

set rgmp

set snmp

set spantree

set udld

set vtp

Cisco IOS ソフトウェアのコマンド

ここでは、IDSM-2 がサポートしている Cisco IOS ソフトウェアのコマンドを示します。これらのコマンドは、モードに基づいてグループ化されています。

Cisco IOS ソフトウェアのコマンドの詳細については、Cisco.com にあるコマンド リファレンスを参照してください。ドキュメントの検索方法については、IDSM-2 に付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

ここでは、次の内容について説明します。

「EXEC コマンド」

「設定コマンド」

EXEC コマンド

次のコマンドは、すべて EXEC モードで実行されます。

clock read-calendar

クロックの時刻をカレンダーの時刻にアップデートします。

clock set time date

現在の日付と時刻を設定します。

clock update-calendar

カレンダーの時刻をクロックの時刻にアップデートします。

hw-module module slot_number reset

ブート デバイス変数で指定されたパーティションに IDSM-2 をリセットします。ブート デバイス変数が設定されていない場合、IDSM-2 はデフォルトでアプリケーション パーティションにリセットされます。ブート デバイス変数の現在の設定を表示するには、 show boot device module module_number コマンドを使用します。

hw-module module slot_number reset cf:1

モジュールをメンテナンス パーティションにリセットします。

hw-module module slot_number shutdown

モジュールを安全にシャーシから取り外せるようにシャットダウンします。

reload

スイッチ全体をリロードします。

session slot slot_number processor processor_number

スイッチ コンソールから IDSM-2 のコンソールにログインします。

show intrusion-detection module module_number data-port data_port_number state

指定した IDSM-2 データ ポートの状態を表示します。

show intrusion-detection module module_number data-port data_port_number traffic

IDSM-2 データ ポートのトラフィック統計情報を表示します。

show intrusion-detection module module_number management-port state

IDSM-2 管理ポートの状態を表示します。

show intrusion-detection module module_number management-port traffic

IDSM-2 管理ポートのトラフィック統計情報を表示します。

show ip access-lists

現在のアクセス リストを表示します。

show module

インストールされているモジュールと、そのバージョンおよび状態を表示します。

show running-config

現在実行中の設定を表示します。

show startup-config

保存されている設定を表示します。

show vlan access-map

現在のすべての VLAN アクセス マップを表示します。

設定コマンド

次の設定コマンドは、すべてグローバル コンフィギュレーション モード、インターフェイス コンフィギュレーション モード、または VACL コンフィギュレーション サブモードで実行できます。

グローバル コンフィギュレーション モード

clock calendar valid

起動時に、現在のカレンダー時刻をスイッチの時刻として設定します。

clock summer-time zone recurring

スイッチがサマータイム設定を使用するように設定します。

clock timezone zone offset

スイッチ/IDSM-2 のタイムゾーンを設定します。

intrusion-detection module module_number management-port access-vlan access_vlan_number

IDSM-2 コマンド/コントロール ポートのアクセス VLAN を設定します。

intrusion-detection module module_number data-port data_port_number capture allowed-vlan allowed_capture_vlan(s)

VACL キャプチャを行う VLAN を設定します。

intrusion-detection module module_number data-port data_port_number capture

指定した IDSM-2 データ ポートの VACL キャプチャをイネーブルにします。

ip access-list extended word

VACL マップで使用するアクセス リストを作成します。

monitor session session { destination { interface interface interface-number } [ , | -] { vlan vlan-id }}

SPAN セッションの宛先を設定します。

monitor session session { source { interface interface interface-number } | { vlan vlan-id }} [ , | - | rx | tx | both ]

SPAN セッションの送信元を設定します。

no power enable module slot_number

IDSM-2 をシャットダウンし、電源を停止します。

power enable module slot_number

IDSM-2 の電源がオンになっていなければ、オンにします。

vlan access-map map_name_sequence

VACL マップを作成します。

vlan filter map_name vlan-list vlans

VACL マップを VLAN にマップします。

インターフェイス コンフィギュレーション モード

switchport

インターフェイスをスイッチ ポートとして設定します。

switchport access vlan vlan

インターフェイスのアクセス VLAN を設定します。

switchport capture

インターフェイスをキャプチャ ポートとして設定します。

switchport mode access

インターフェイスをアクセス ポートとして設定します。

switchport mode trunk

インターフェイスをトランク ポートとして設定します。

switchport trunk allowed vlan vlans

許可された VLAN をトランク用に設定します。

switchport trunk encapsulation dot1q

dot1q をカプセル化されたタイプとして設定します。

switchport trunk native vlan vlan

ネイティブ VLAN をトランク ポート用に設定します。

VACL コンフィギュレーション サブモード

action forward capture

一致したパケットをキャプチャするように指定します。

match ip address { 1-199 | 1300-2699 | acl_name }

VACL 内でのフィルタ処理を指定します。

アプライアンスとモジュールのイメージの再作成

ここでは、センサーのイメージを再作成するための手順を説明します。センサーのイメージを再作成すると、すべてのアカウントは削除され、デフォルトの cisco アカウントはデフォルト パスワード「cisco」を使用するようにリセットされます。イメージを再作成した場合は、再度センサーを初期化する必要があります。手順については、「センサーの初期化」を参照してください。

初期化したセンサーは、最新のシグニチャ アップデートとサービス パックでアップグレードする必要があります。手順については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

また、インターフェイスの再割り当ても必要です。手順については、「センシング インターフェイスの割り当てとイネーブル化」を参照してください。

ここでは、次の内容について説明します。

「アプライアンスのイメージの再作成」

「NM-CIDS アプリケーション パーティションのイメージの再作成」

「IDSM-2 のイメージの再作成」

アプライアンスのイメージの再作成

recover コマンドを使用すると、リカバリ パーティションでブートし、自動的にアプライアンス上のアプリケーション パーティションにイメージが再作成されます。 upgrade コマンドを使用すると、リカバリ パーティション イメージがダウンロードおよびインストールされ、リカバリ パーティションのイメージが再作成されます。また、ROMMON を使用してシステム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、システム イメージを IDS-4215、IPS-4240、IPS-4255 にインストールできます。システム イメージをインストールすると、リカバリ パーティションとアプリケーション パーティションの両方のイメージが再作成されます。

ここでは、次の内容について説明します。

「アプリケーション パーティション イメージの復旧」

「リカバリ パーティション イメージのアップグレード」

「IDS-4215 システム イメージのインストール」

「IPS-4240 および IPS-4255 のシステム イメージのインストール」

アプリケーション パーティション イメージの復旧

アプライアンスのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。 recover application-partition コマンドを使用することにより、リカバリ パーティション内にある工場出荷時のイメージを再インストールできます。


) アプリケーション パーティション イメージを復旧する前にリカバリ パーティションを最新のバージョンにアップグレードしてある場合は、その最新のソフトウェア イメージをインストールできます。リカバリ パーティションを最新バージョンにアップグレードする手順については、「リカバリ パーティション イメージのアップグレード」を参照してください。



) また、リカバリ/アップグレード CD を使用して、リカバリ パーティションとアプリケーション パーティションの両方を再インストールすることもできます。手順については、「アプライアンスでのリカバリ/アップグレード CD の使用」を参照してください。


アプリケーション パーティション イメージを復旧するには、次の手順を実行します。


ステップ 1 センサー CLI にログインします。

ステップ 2 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 3 アプリケーション パーティション イメージを復旧します。

sensor(config)# recover application-partition
 

先に進むかどうか尋ねられます。

All configuration changes except for the network settings will be reset to default. Continue with recovery?
 

ステップ 4 yes と入力して続行します。

リカバリ パーティション内の工場出荷時のイメージを使用して、アプリケーション パーティションのイメージが再作成されます。次に、 setup コマンドによってアプライアンスを初期化する必要があります。手順については、「センサーの初期化」を参照してください。


) IP アドレス、ネットマスク、アクセス リスト、タイムゾーン、およびオフセットが保存され、イメージが再作成されたアプリケーション パーティションに適用されます。recover application-partition コマンドをリモートで実行した場合は、デフォルトのユーザ名とパスワード(cisco/cisco)を使用してセンサーに SSH で接続して、setup コマンドによって再度センサーを初期化します。



) CLI にアクセスして recover application-partition コマンドを実行することができない場合は、センサーをリブートし、起動プロセス中にオプションを選択できます。これにより、リカバリ パーティションでブートして、アプリケーション パーティションのイメージを再作成できます。



 

リカバリ パーティション イメージのアップグレード

リカバリ パーティション上のイメージを最新バージョンでアップグレードして、アプライアンス上のアプリケーション パーティションを復旧する必要があるときに備えておくことができます。

リカバリ パーティション イメージをアップグレードするには、次の手順を実行します。


ステップ 1 Cisco.com の Software Center からリカバリ パーティション イメージ ファイルを取得して、SCP または FTP サーバにコピーします。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 2 センサー CLI にログインします。

ステップ 3 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 4 リカバリ パーティションをアップグレードします。

sensor(config)# upgrade
scp://user@server_ipaddress//upgrade_path/recovery_partition_file
 

リカバリ パーティション イメージのファイル名は、次のような形式です。

IDS-42XX-K9-r-1.1-a-4.0-1-S37.tar.pkg

ステップ 5 SCP または FTP サーバのパスワードを入力します。

リカバリ パーティション イメージ ファイルのダウンロードが完了すると、アップグレードに進むかどうか尋ねられます。

Warning: Executing this command will reimage the recovery partition. The system may be rebooted to complete the upgrade.
Continue with upgrade?
 

ステップ 6 yes と入力してイメージの再作成を続行します。

リカバリ パーティションが新しいイメージでアップグレードされます。


 

IDS-4215 システム イメージのインストール

アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IDS-4215 のシステム イメージをインストールできます。


) 他の IDS アプライアンスは、システム イメージではなくリカバリ/アップグレード CD を使用します。



注意 システム イメージをインストールする前に、http://www.cisco.com/cgi-bin/tablebuild.pl/ids-firmware からダウンロードできるアップグレード ユーティリティ ファイル IDS-4215-bios-5.1.7-rom-1.4.bin を使用して、IDS-4215 の BIOS をバージョン 5.1.7 に、ROMMON をバージョン 1.4 にアップグレードする必要があります。

次の TFTP サーバを推奨します。

Windows の場合

Tftpd32 バージョン 2.0。次の場所から入手できます。

http://membres.lycos.fr/phjounin/P_tftpd32.htm

UNIX の場合

Tftp-hpa シリーズ。次の場所から入手できます。

http://www.kernel.org/pub/software/network/tftp/

システム イメージをインストールするには、次の手順を実行します。


) システム イメージをインストールすると、すべてのユーザ設定は失われます。システム イメージをインストールしてセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、センサーの起動時にリカバリ パーティションを選択して復旧を試みてください。手順については、「アプリケーション パーティション イメージの復旧」を参照してください。


IDS-4215 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IDS-4215 からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、IDS-4215-K9-sys-4.1-4-S91a.img ファイルをダウンロードします。

ファイルは、次の URL からダウンロードできます。

http://www.cisco.com/cgi-bin/tablebuild.pl/ids4-app-recovr

IDS-4215 イーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。

ステップ 2 アプライアンスを起動します。

ステップ 3 システムの起動中に、次のプロンプトに対して Ctrl+R キーを押します。

Evaluating Run Options...
 

) Ctrl+R キーは 5 秒以内に押してください。


コンソールに次のような情報が表示されます。

CISCO SYSTEMS IDS-4215
Embedded BIOS Version 5.1.7 05/12/03 10:18:14.84
Compiled by ciscouser
Evaluating Run Options ...
Cisco ROMMON (1.4) #0: Mon May 12 10:21:46 MDT 2003
Platform IDS-4215
0: i8255X @ PCI(bus:0 dev:13 irq:11)
1: i8255X @ PCI(bus:0 dev:14 irq:11)
 
Using 1: i82557 @ PCI(bus:0 dev:14 irq:11), MAC: 0000.c0ff.ee01
Use ? for help.
rommon>
 

ステップ 4 センサーで実行されている BIOS がバージョン 5.1.7 以降、ROMMON がバージョン 1.4 であることを確認します。

現在のバージョンは、ステップ 3 で示されたコンソール表示情報の中に示されています。

ステップ 5 TFTP のダウンロードに使用するインターフェイス ポート番号を選択します。


) 使用中のポートが rommon プロンプトの直前に示されます。この例では、Using 1: i82557 @ PCI(bus:0 dev:14 irq:11), MAC: 0000.c0ff.ee01 というテキストに示されているとおり、ポート 1(デフォルト ポート)が使用されています。


rommon> interface <port_number>
 

) ポート 0 および 1 は、シャーシの背面にラベルで表示されています。


ステップ 6 IDS-4125 上のローカル ポートの IP アドレスを設定します。

rommon> ip_address <ip_address>

) TFTP サーバにアクセスできるセンサーのローカル ネットワーク上の、使用されていない IP アドレスを選択します。


ステップ 7 TFTP サーバの IP アドレスを設定します。

rommon> server <ip_address>
 

ステップ 8 ゲートウェイの IP アドレスを設定します。

rommon> gateway <ip_address>
 

ステップ 9 次のいずれかのコマンドを使用して、ローカルの定義済みイーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping <ip_address>
rommon> ping server
 

ステップ 10 イメージのダウンロード元である TFTP ファイル サーバ上のパスとファイル名を定義します。

rommon> file <path/filename>
 

UNIX の場合

rommon> file /tftpboot/IDS-4215-K9-sys-4.1-4-S91a.img
 

Windows の場合

rommon> file C:¥<tftpboot_directory>¥IDS-4215-K9-sys-4.1-4-S91a.img
 

ステップ 11 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

) イメージの再作成プロセスの間、センサーは数回リブートします。アップデート プロセスの間はセンサーの電源を切らないでください。電源を切ると、アップグレードが破壊される場合があります。



 

IPS-4240 および IPS-4255 のシステム イメージのインストール

アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IDS-4240 および IPS-4255 のシステム イメージをインストールできます。


) 他の IDS アプライアンスは、システム イメージではなくリカバリ/アップグレード CD を使用します。


次の TFTP サーバを推奨します。

Windows の場合

Tftpd32 バージョン 2.0。次の場所から入手できます。

http://membres.lycos.fr/phjounin/P_tftpd32.htm

UNIX の場合

Tftp-hpa シリーズ。次の場所から入手できます。

http://www.kernel.org/pub/software/network/tftp/

システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IDS-4240 からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、IPS-4240-K9-sys-4.1-4-S91a.img ファイルをダウンロードします。

ファイルは、次の URL からダウンロードできます。

http://www.cisco.com/cgi-bin/tablebuild.pl/ids4-app-recovr

IDS-4240 イーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。

ステップ 2 アプライアンスを起動します。

ステップ 3 システムの起動中に、次のプロンプトに対して Break または ESC キーを押します。

Evaluating Run Options...
 

Break または ESC キーは 10 秒以内に押してください。


システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

コンソールに次のような情報が表示されます。

ROMMON Variable Settings:
ADDRESS=10.1.9.201
SERVER=10.1.8.1
GATEWAY=10.1.9.254
PORT=Management0/0
VLAN=untagged
IMAGE=IPS-4240-K9-sys-4.1-4-S91.img
CONFIG=
 

) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


変数の定義は次のとおりです。

Address:センサーのローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:センサーが使用するゲートウェイの IP アドレス

Port:センサーの管理に使用されるイーサネット インターフェイス ポート

VLAN:VLAN ID 番号(0 のままにしておきます)

Image:システム イメージ ファイルのパスとファイル名

ステップ 4 TFTP のダウンロードに使用するインターフェイス ポート番号を選択します。

rommon> interface <port_number>
 

ステップ 5 IDS-4240 上のローカル ポートの IP アドレスを指定します。

rommon> ip_address <ip_address>
 

) TFTP サーバにアクセスできるセンサーのローカル ネットワーク上の、使用されていない IP アドレスを選択します。


ステップ 6 TFTP サーバの IP アドレスを設定します。

rommon> server <ip_address>
 

ステップ 7 ゲートウェイの IP アドレスを設定します。

rommon> gateway <ip_address>
 

ステップ 8 set と入力し、 Enter キーを押してネットワーク設定を確認します。

ステップ 9 次のいずれかのコマンドを使用して、ローカルの定義済みイーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping <ip_address>
rommon> ping server
 

sync コマンドを使用すると、これらの設定を NVRAM に保存して、後からブート時に使用できます。保存しない場合は、ROMMON からイメージをブートするときは毎回この情報を入力しなければなりません。


ステップ 10 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

) イメージの再作成プロセスの間、センサーは数回リブートします。アップデート プロセスの間はセンサーの電源を切らないでください。電源を切ると、アップグレードが破壊される場合があります。


ネットワーク設定が正しければ、システムは指定された IMAGE をセンサーにダウンロードし、ブートします。必ず有効なセンサー イメージを使用してください。


 

NM-CIDS アプリケーション パーティションのイメージの再作成

ヘルパー イメージ ファイルを使用して、NM-CIDS 上のアプリケーション パーティションを置き換えます。ヘルパー イメージは、TFTP サーバを使用することによってネットワーク経由でブートします。

NM-CIDS アプリケーション パーティションのイメージを再作成するには、次の手順を実行します。


ステップ 1 Cisco.com 上のヘルパー イメージを取得します。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

a. ネットワーク上のローカル TFTP サーバを見つけます。

TFTP サーバの IP アドレスをメモします。これは、後からソフトウェア ファイルをコピーするときに必要になります。

b. IDS ヘルパー イメージ ファイルをローカル TFTP サーバに置きます。

c. ネットワーク上の SSH または TFTP サーバを見つけます。

この SSH または TFTP サーバの IP アドレスをメモします。これは、後からソフトウェア ファイルをコピーするときに必要になります。

d. ヘルパー イメージ ファイルを TFTP サーバの /tftpboot ディレクトリにコピーします。

# scp user@host:/path/NM-CIDS-K9-helper-1.0-1.bin /tftpboot
 

ヘルパー イメージ ファイルは、たとえば次のような名前です。 NM-CIDS-K9-helper-1.0-1.bin


) ほとんどの TFTP サーバは、ディレクトリ /tftpboot を TFTP クライアントに提供しています。


ステップ 2 NM-CIDS との間にセッションを確立します。

Router# service-module IDS-Sensor slot_number/0 session
 

ステップ 3 Shift+Ctrl+6 キーを押してから、x キー を押して、セッションを一時停止します。

router# プロンプトが表示されます。このプロンプトが表示されない場合は、 Ctrl+6 キーを押してから、x キー を押してみてください。

ステップ 4 NM-CIDS をリセットします。

Router# service-module IDS-Sensor slot_number/0 reset
 

reset コマンドを確認するように要求されます。

ステップ 5 Enter キーを押して確認します。

ステップ 6 Enter キーを押して、一時停止されていたセッションを復旧します。

ブートローダのバージョンが表示されてから、次のプロンプトが 15 秒間表示されます。

Please enter ’***’ to change boot configuration:
 

この 15 秒の間に *** を入力するか、デフォルトのブート デバイスが設定されていない場合は、ブートローダの CLI に入ります。

ステップ 7 NM-CIDS との間にセッションを確立します。

ServicesEngine boot-loader>
 

ステップ 8 ブートローダのネットワーク パラメータを設定します。


) ブートローダは 1 回設定するだけで済みます。


ServicesEngine boot-loader> config
TFTP server [10.1.2.5] > Gateway [10.1.2.254] > Default Helper-file [] >NM-CIDS-K9-helper-1.0-1.bin Ethernet interface [external] > Default Boot [none] >disk
 

1 行ごとに値の入力を要求されます。

a. IP アドレスを指定します。

この IP アドレスは、NM-CIDS の外部ファスト イーサネット ポートに適用されます。これは、ネットワーク上に実際に存在する IP アドレスでなければなりません。

b. サブネット マスクを指定します。

このネットマスクは、NM-CIDS の外部ファスト イーサネット ポートに適用されます。これは、ネットワーク上に実際に存在する IP アドレスでなければなりません。

c. TFTP サーバの IP アドレスを指定します。

d. ゲートウェイの IP アドレスを指定します。

e. デフォルトのヘルパー ファイルを指定します。

f. イーサネット インターフェイスを指定します。

イーサネット インターフェイスは、 external です。

g. デフォルトのブート デバイスを指定します。

デフォルトのブート デバイスは、 disk です。

ステップ 9 ヘルパー ファイルをブートします。

ServicesEngine boot-loader> boot helper
Probing...EEPRO100Found Intel EtherExpressPro100 at x00000000 ROM address 0x 00000000
Ethernet addr: 01:23:45:67:89:AB
Me: 10.1.2.3, Server: 10.1.2.5, Gateway: 10.1.2.254
Loading NM-CIDS-K9-helper-1.0-1.bin
 

) デフォルトのヘルパーとして設定したヘルパー イメージ以外のヘルパー イメージでブートする場合は、ここでその名前を入力します。たとえば、boot helper some_other_helper とします。



) ブートローダは、外部インターフェイスを有効化し、TFTP サーバ ホストを見つけます。これには多少の時間がかかります。TFTP のロード プロセス中にキーを押して、ブートローダの動作を変更することができます。p キーを押すと、ARP テーブルの出力が表示されます。上の例では Me となっているアドレス、Server アドレス、および Gateway アドレスの 3 つのエントリがあります。このプロセスに時間がかかりすぎていると考えられ、長時間にわたって何も変化がない場合は、ネットワークの設定または接続に問題が発生している可能性があります。


TFTP のロードが実際に開始されると、TFTP サーバからパケットが着信していることを示すために、回転する文字が表示されます。


) ヘルパー イメージのロードが完了すると、ブートローダは適切にダウンロードされているかどうかをチェックします。ヘルパーが適切に受信されていない場合、またはヘルパーにシスコの署名がない場合、ブートローダはそのヘルパーを実行しません。Image signature verified successfully. というメッセージは、ヘルパーが有効であることを示します。


ヘルパー ユーティリティが起動されます。

Cisco Systems, Inc.
Services engine helper utility for NM-CIDS
Version 1.0(1) [200305011547]
-----
Main menu
1 - Download application image and write to HDD
2 - Download bootloader and write to flash
3 - Display software version on HDD
4 - Display total RAM size
5 - Change file transfer method (currently secure shell)
Change file transfer method (currently secure shell)
r - Exit and reset Services Engine
h - Exit and shutdown Services Engine
Selection [1234rh]:
 

ステップ 10 転送方式を選択します。

a. SSH の場合は、ステップ 11 と 12 を実行します。

b. TFTP の場合は、ステップ 13 と 14 を実行します。

ステップ 11 SSH を転送方式として設定します。

a. 5 と入力します。

b. 1 と入力してセキュア シェルを変更します。

c. r と入力してメイン メニューに戻ります。

ステップ 12 ハードディスク ドライブのイメージを再作成します。

a. 1 と入力します。

b. セキュア シェル サーバのユーザ名を入力します。

c. セキュア シェル サーバの IP アドレスを入力します。

d. リカバリ イメージのフル パス名を入力します。

full pathname of recovery image: /path /NM-CIDS-K9-a-4.1-1-S42.bin
 

e. y と入力して続行します。

Ready to begin
Are you sure? y/n
 

次のメッセージが表示されます。

The authenticity of host 10.1.2.10 (10.1.2.10) can’t be established. RSA key fingerprint is 7b:90:3b:16:5f:a1:34:92:ff:94:54:19:82:dc:73:ba. Are you sure you want to continue connecting (yes/no)?

f. yes と入力します。

g. サーバのパスワードを指定します。

user@ip_address password
 
./
./ptable
.....
Disk restore was successful
The operation was successful.
Writing kernel signature to boot flash device
Read 174 bytes from vmlinuz-2.4.18-5-module.u64md5
bflash-write: After bfwrite The operation was successful
 

メイン メニューに戻り、 Selection [1234rh]: プロンプトが表示されます。ステップ 15 に進みます。

ステップ 13 TFTP を転送方式として設定します。

a. 5 と入力します。

b. 2 と入力して TFTP に変更します。

c. r と入力してメイン メニューに戻ります。

ステップ 14 ハードディスク ドライブのイメージを再作成します。

a. 1 と入力します。

b. TFTP サーバの IP アドレスを入力します。

c. リカバリ イメージのフル パス名を入力します。

full pathname of recovery image: /path /NM-CIDS-K9-a-4.1-1-S42.bin
 

d. y と入力して続行します。

Ready to begin
Are you sure? y/n
 

次のメッセージが表示されます。

The authenticity of host 10.1.2.10 (10.1.2.10) can’t be established.
RSA key fingerprint is 7b:90:3b:16:5f:a1:34:92:ff:94:54:19:82:dc:73:ba.
Are you sure you want to continue connecting (yes/no)?
 

e. yes と入力します。

ステップ 15 NM-CIDS をリブートします。

Selection [1234rh]: r
About to exit and reset Services Engine.
Are you sure? [y/N]
 

ステップ 16 y と入力してリブートします。

setup コマンドを使用して NM-CIDS を初期化する必要があります。「センサーの初期化」を参照してください。


 

IDSM-2 のイメージの再作成

アプリケーション パーティションが使用できなくなった場合は、メンテナンス パーティションからイメージを再作成することができます。IDSM-2 のアプリケーション パーティションのイメージを再作成したら、 setup コマンドを使用して IDSM-2 を初期化する必要があります。

手順については、「センサーの初期化」を参照してください。

新しいメンテナンス パーティション イメージ ファイルがある場合は、アプリケーション パーティションからメンテナンス パーティションのイメージを再作成できます。

ここでは、Catalyst ソフトウェアおよび Cisco IOS ソフトウェア環境で、アプリケーション パーティションおよびメンテナンス パーティションのイメージを再作成する方法について説明します。

ここでは、次の内容について説明します。

「IDSM-2 のイメージの再作成」

「メンテナンス パーティションのイメージの再作成」

IDSM-2 のイメージの再作成

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

アプリケーション パーティションのイメージを再作成するには、次の手順を実行します。


ステップ 1 Cisco.com の Software Center からアプリケーション パーティション ファイルを取得して、FTP サーバにコピーします。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM-2 をメンテナンス パーティションでブートします。

cat6k> (enable) reset module_number cf:1
 

ステップ 4 メンテナンス パーティションの CLI にログインします。

login: guest
Password: cisco
 

ステップ 5 アプリケーション パーティションのイメージを再作成します。

guest@hostname.localdomain# upgrade ftp://user@ftp server IP/directory path/image file
 

ステップ 6 FTP サーバのパスワードを指定します。

アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk. Do you want to proceed installing it [y|n]:
 

ステップ 7 y と入力して続行します。

アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 8 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 9 IDSM-2 をアプリケーション パーティションでリブートします。

cat6k> (enable) reset module_number hdd:1
 

ステップ 10 IDSM-2 のリブートが完了したら、ソフトウェアのバージョンをチェックします。

ステップ 11 アプリケーション パーティションの CLI にログインして、IDSM-2 を初期化します。

手順については、「センサーの初期化」を参照してください。


 

Cisco IOS ソフトウェア

アプリケーション パーティションのイメージを再作成するには、次の手順を実行します。


ステップ 1 Cisco.com の Software Center からアプリケーション パーティション ファイルを取得して、FTP サーバにコピーします。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM-2 をメンテナンス パーティションでブートします。

cat6k# hw-module module module_number reset cf:1
 

ステップ 4 メンテナンス パーティションの CLI との間にセッションを確立します。

cat6k# session slot slot_number processor 1
 

ステップ 5 メンテナンス パーティションの CLI にログインします。

login: guest
Password: cisco
 

ステップ 6 アプリケーション パーティションのイメージを再作成します。

guest@hostname.localdomain# upgrade ftp://user@ftp_server_IP_address/directory_path/image_file
--install

ステップ 7 FTP サーバのパスワードを指定します。

アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk.
Do you want to proceed installing it [y|n]:
 

ステップ 8 y と入力して続行します。

アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 9 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 10 IDSM-2 をアプリケーション パーティションでリブートします。

cat6k# hw-module module module_number reset hdd:1
 

ステップ 11 IDSM-2 がオンラインであり、ソフトウェアのバージョンが正しいことと、ステータスが ok であることを確認します。

cat6k# show module module_number
 
Session in to the IDSM-2 application partition CLI:
cat6k# session slot slot_number processor 1
 

ステップ 12 IDSM-2 を初期化します。

手順については、「センサーの初期化」を参照してください。


 

メンテナンス パーティションのイメージの再作成

ここでは、次の内容について説明します。

「Catalyst ソフトウェア」

「Cisco IOS ソフトウェア」

Catalyst ソフトウェア

メンテナンス パーティションのイメージを再作成するには、次の手順を実行します。


ステップ 1 Cisco.com の Software Center からメンテナンス パーティション ファイルを取得して、SCP または FTP サーバにコピーします。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 2 IDSM-2 の CLI にログインします。

ステップ 3 コンフィギュレーション モードに入ります。

sensor# configure terminal
 

ステップ 4 メンテナンス パーティションのイメージを再作成します。

sensor# upgrade ftp://user@ftp_server_IP_address/directory_path/image_file
 

続行するかどうか尋ねられます。

ステップ 5 y と入力して続行します。

メンテナンス パーティション ファイルがアップグレードされます。


 

Cisco IOS ソフトウェア

メンテナンス パーティションのイメージを再作成するには、次の手順を実行します。


ステップ 1 Cisco.com の Software Center からメンテナンス パーティション ファイルを取得して、SCP または FTP サーバにコピーします。

Cisco.com の Software Center にアクセスする方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 アプリケーション パーティションの CLI との間にセッションを確立します。

cat6k# session slot slot_number processor 1
 

ステップ 4 コンフィギュレーション モードに入ります。

cat6k# configure terminal
 

ステップ 5 メンテナンス パーティションのイメージを再作成します。

cat6k(config)# upgrade ftp://user@ftp_server_IP_address/directory_path/image_file
 

ステップ 6 FTP サーバのパスワードを指定します。

Password: ********
 

続行するかどうか尋ねられます。

Continue with upgrade? :
 

ステップ 7 yes と入力して続行します。