Cisco Intrusion Detection System アプライ アンスおよびモジュール インストレーション コンフィギュレーション ガイド
センサーの概要
センサーの概要
発行日;2012/02/05 | 英語版ドキュメント(2010/02/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

センサーの概要

アプライアンス

アプライアンスの概要

アプライアンスの動作

ネットワーク トポロジ

ネットワークへのアプライアンスの配置

導入に関する考慮事項

アプライアンスの制約事項

ターミナル サーバのセットアップ

モジュール

Cisco Intrusion Detection System Network Module

Cisco Catalyst 6500 シリーズ Intrusion Detection System Services Module

サポートされるセンサー

センサーでの時刻の設定

設置の準備

静電気防止対策を施した環境での作業

センサーの概要

この章では、センサーの概要、およびセンサーを設置するときに知っておくべき情報について説明します。このガイドでは、特に明記されていない限り、「センサー」という用語はすべてのモデルを指します。サポートしているセンサーとその型番全体のリストについては、「サポートされるセンサー」を参照してください。

この章は、次の内容で構成されています。

「アプライアンス」

「モジュール」

「サポートされるセンサー」

「センサーでの時刻の設定」

「設置の準備」

「静電気防止対策を施した環境での作業」

アプライアンス

ここでは、モジュールについて説明します。取り上げる事項は次のとおりです。

「アプライアンスの概要」

「アプライアンスの動作」

「ネットワーク トポロジ」

「ネットワークへのアプライアンスの配置」

「導入に関する考慮事項」

「アプライアンスの制約事項」

「ターミナル サーバのセットアップ」

アプライアンスの概要

アプライアンスは、高性能のプラグアンドプレイ デバイスです。アプライアンスは、ネットワークベースのリアルタイム侵入検知システムである Intrusion Detection System(IDS)のコンポーネントです。サポートしているアプライアンスのリストについては、「サポートされるセンサー」を参照してください。

アプライアンスは、Command Line Interface(CLI; コマンドライン インターフェイス)、IDS Device Manager、または Management Center for IDS Sensor を使用して設定できます。IDS マネージャのドキュメントを参照してください。Cisco.com にある IDS ドキュメントにアクセスするには、アプライアンスに付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

ネットワーク トラフィックを取り込み、分析すると同時に、認識したシグニチャに応答するようにアプライアンスを設定できます。これらの応答には、イベントのログ取得、イベントの IDS マネージャへの転送、TCP リセットの実行、IP ログの生成、アラート用トリガー パケットの取り込み、ルータの再設定などがあります。

アプライアンスは、ネットワークの重要な地点に設置された後、広範囲に渡る埋め込み型シグニチャ ライブラリに基づいて異常動作と悪用行為を探すことで、ネットワーク トラフィックの監視およびリアルタイム分析を実行します。システムが不正行為を検出した場合、アプライアンスは、特定の接続を終了し、攻撃中のホストを恒常的にブロックし、事故のログを取得し、IDS マネージャにアラートを送信します。他の正当な接続は、それとは無関係に中断されることなく動作し続けます。

アプライアンスは、Cisco ルータの syslog メッセージを監視および分析して、ネットワーク セキュリティ ポリシーに対する違反を検出、報告することもできます。

アプライアンスは、特定のデータ レートに対して最適化され、イーサネット構成、ファスト イーサネット構成、およびギガビット イーサネット構成にパッケージ化されます。スイッチド環境では、アプライアンスは、スイッチの Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)ポートまたは VLAN Access Control List(VACL; VLAN アクセス コントロール リスト)キャプチャ ポートに接続する必要があります。

アプライアンスの動作

ここでは、アプライアンスがどのようにネットワーク トラフィックをキャプチャするかを説明します。

各アプライアンスは、少なくとも 2 つのインターフェイスを備えています。一般的な取り付け方法では、1 つのインターフェイスが目的のネットワーク セグメントの監視(スニファ)を行い、もう 1 つのインターフェイス(コマンド/コントロール)が IDS マネージャなどのネットワーク デバイスと通信します。モニタリング インターフェイスは、混合モードです。つまり、IP アドレスを持たず、監視されているセグメント上では見えません。


) 4 ポートのファスト イーサネット NIC カードが追加された IDS-4235、IDS-4250、および IDS-4215 は、6 つのインターフェイスを備えています。2 ポートの XL カードが追加された IDS-4250 は、4 つのインターフェイスを備えています。SX カードが追加された IDS-4250 は、3 つのインターフェイスを備えています。


コマンド/コントロール インターフェイスは、常にイーサネットです。このインターフェイスには、IDS マネージャ ワークステーションまたはネットワーク デバイス(一般的には Cisco ルータ)と通信できる割り当て済み IP アドレスがあります。このインターフェイスはネットワーク上で認識できるので、データのプライバシーを保持するには、暗号化を使用する必要があります。コマンドライン インターフェイス(CLI )を保護するためにはSecure Shell(SSH;セキュア シェル)、IDS マネージャ ワークステーションを保護するためには Transaction Layer Security/Secure Sockets Layer(TLS/SSL)が使用されます。SSH および TLS と SSL は、いずれもマネージャ ワークステーション上において、デフォルトでイネーブルになっています。

攻撃に対応する場合、アプライアンスは次の処置を実行できます。

モニタリング インターフェイスを経由して TCP リセットを挿入する。


) TCP リセット アクションは、TCP ベースのサービスに関連するシグニチャ上のアクションとして選択したときだけ有効なアクションとなります。非 TCP ベースのサービス上のアクションとして選択した場合、アクションは起こりません。さらに、TCP プロトコルには限界があるため、TCP リセットが違法なセッションを必ず切断するという保証はありません。IDS-4250-XL では、TCP リセットは、TCP リセット インターフェイスを通して送信されます。


アプライアンスが管理するルータ上のアクセス コントロール リスト(ACL)を変更する。


) ACL が阻止する可能性があるのは、現在のトラフィックではなく、将来のトラフィックだけです。


IP セッション ログを生成する。

IP セッション ログは、不正な使用に関する情報の収集に使用されます。IP ログ ファイルは、アプライアンスの検索対象として設定したイベントが発生したときに書き込まれます。

アプライアンスはデータ パスに含まれないため、ネットワーク パフォーマンスに対する影響は無視できる大きさです。しかし、監視できるデータ速度には限界があります。

ネットワーク トポロジ

アプライアンスを展開し、設定する前に、使用しているネットワークについて次の事項を理解しておく必要があります。

ネットワークの規模と複雑さ

他のネットワーク(およびインターネット)との接続

ネットワーク トラフィックの量とタイプ

この知識があれば、アプライアンスの所要台数、各アプライアンスのハードウェア設定(たとえば、ネットワーク インターフェイス カードの規模とタイプ)、必要な IDS マネージャ数を判断するのに役立ちます。

アプライアンスは、指定されたネットワーク セグメント上のすべてのトラフィックを監視します。このことを前提に、保護しようとするネットワークへのすべての接続を考慮する必要があります。これらの接続は、図 1-1 に示すように 4 つのカテゴリ(場所)に分類されます。

図 1-1 ネットワーク接続の主なタイプ

 

1 つ目の場所では、アプライアンスは E-commerce ネットワーク(保護対象)とインターネットの間のトラフィックを監視するために配置されています。これは、境界線防御と呼ばれ、アプライアンスの最も一般的な展開です。この場所は、ファイアウォール プロテクションと共有でき、詳細については 「ネットワークへのアプライアンスの配置」で説明します。

2 つ目の場所では、アプライアンスはビジネス パートナーとのエクストラネット接続を監視します。ほとんどの企業ではこの種の接続の使用とセキュリティについてポリシーを定めていますが、パートナーのネットワークが適切に保護されている保証はありません。したがって、部外者がこの種の接続を通じて外部からネットワークに侵入する可能性があります。このようなエクストラネット接続には、ファイアウォールが設定されていることもあります。

3 つ目の場所では、アプライアンスはリモート アクセス サーバのネットワーク側を監視します。この接続は従業員専用の場合もありますが、外部からの攻撃に対して脆弱である可能性もあります。

4 つ目の場所では、アプライアンスはイントラネット接続を監視します。たとえば、ある部門の保護されているネットワークに多数の e- コマース サイトが含まれており、ここまでに説明したすべてのタイプのアクセスが必要だとします。別の部門のネットワークには会社固有の研究開発やその他のエンジニアリング情報が含まれており、追加的な保護が必要です。

アプライアンスの場所を決定するために、監視するネットワーク セグメントを決定します。各アプライアンスは、監視するセグメントに合わせて設定されたセキュリティ ポリシーを保持します。セキュリティ ポリシーは、組織全体に適用される標準的なものにすることも、各アプライアンスに固有のものにすることもできます。監視する特定のネットワーク セグメントにトラフィックが流れるように、ネットワーク トポロジを変更することも考慮してください。このプロセスを実行するときは、常にオペレーション上のトレードオフが発生します。得られる結果は、目的のネットワークを保護するために必要なアプライアンスの数の目安です。

ネットワークへのアプライアンスの配置

アプライアンスは、ファイアウォールの前にも背後にも配置できます。どちらの位置にも利点と欠点があります。

アプライアンスをファイアウォールの前に配置すると、すべての着信および発信ネットワーク トラフィックを監視できます。しかし、このように展開すると、アプライアンスはネットワーク内部のトラフィックを検出できません。ネットワーク サービスの脆弱性を突く内部の攻撃者は、外部に置かれたアプライアンスからは検出されないままです(図 1-2 を参照)。

図 1-2 ファイアウォールの前のアプライアンス

 

 

アプライアンスをファイアウォールの背後に配置すると、内部のトラフィックを検出できますが、ファイアウォールが拒否したポリシー違反は一切監視できません(図 1-3を参照)。

図 1-3 ファイアウォールの背後のアプライアンス

 

 

導入に関する考慮事項

アプライアンスが効果的にネットワークを保護できるようにルータとファイアウォールを設定するには、次を実行する必要があります。

使用可能であれば SSH サービスをイネーブルにし、そうでなければ Telnet をイネーブルにする。

アプライアンスのデバイス管理リストにルータを追加する(IDS マネージャを使用)。

次のトラフィックを許可するようにファイアウォールを設定する。

アプライアンスのコントロール インターフェイスからルータへの SSH または Telnet トラフィック

ルータからアプライアンスへの syslog(UDP ポート 514)トラフィック


) ルータでポリシー違反をキャプチャするためには、アプライアンスも syslog メッセージを受け入れるように設定されている必要があります。


アプライアンスと IDS メッセージ ワークステーションとの間にファイアウォールが置かれている場合、その間のすべての通信(TLS/SSL では TCP ポート 443、SSH ではポート 22)

本質的に、ファイアウォールはポリシー フィルタリングを適用するためのものです。アプライアンスは、Cisco ルータとファイアウォールの間のパケットをキャプチャし、不正行為を拒否するために Cisco ルータの ACL を動的にアップデートできます。


) Cisco ルータの代わりに PIX Firewall を管理するようにアプライアンスを設定することもできます。


アプライアンスの制約事項

アプライアンスの使い方と動作については、次の制約事項があります。

アプライアンスは、汎用のワークステーションではありません。

シスコシステムズは、Cisco IDS を実行せずにアプライアンスを使用することを禁止しています。

シスコシステムズは、アプライアンス内のハードウェアまたはソフトウェアを修正またはインストールすることは、Cisco IDS の正常な操作に含まれる場合を除き、禁止しています。

ターミナル サーバのセットアップ

ターミナル サーバは複数の低速非同期ポートを持つルータです。この複数のポートは、他のシリアル デバイスに接続されています。ターミナル サーバを使用して、アプライアンスを含むネットワーク機器をリモートで管理することができます。

RJ-45 接続またはヒドラ ケーブル アセンブリ接続を使用して Cisco ターミナル サーバをセットアップするには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ターミナル サーバに接続します。

IDS-4215、IPS-4240、および IPS-4255 の場合

RJ-45 接続の場合、180/ロールオーバー ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

その他すべてのアプライアンスでは、M.A.S.H. アダプタ(部品番号 29-4077-01)をアプライアンスの COM1 に接続して、次の操作を行います。

RJ-45 接続の場合、180/ ロールオーバー ケーブルを M.A.S.H. アダプタからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルを M.A.S.H. アダプタからターミナル サーバのポートに接続します。

ステップ 2 ターミナル サーバで、次のようにラインおよびポートを設定します。

a. イネーブル モードでは、次の設定を入力します。ここで、# は設定するポートの回線番号です。

config t
line #
login
transport input all
stopbits 1
flowcontrol hardware
speed 9600
exit
exit
wr mem

b. IDS-4215、IPS-4240、または IPS-4255 用にターミナル サーバを設定する場合は、ステップ 3 に進みます。

それ以外の場合は、サポートしている他のすべてのアプライアンスに対して、すべての出力をターミナル サーバに送ります。IDS CLI にログインして、次のコマンドを入力します。

sensor# configure terminal
sensor(config)# display-serial

出力は、シリアル ポートに送られます。 no display-serial コマンドを使用して、出力をキーボードとモニタにリダイレクトします。


) ターミナル サーバをセットアップし、IDS CLI の display-serial コマンドを使用して、アプライアンスからの出力すべてをシリアル ポートに送ることができます。このオプションを使用すると、ブート処理中でも、シリアル ポートに接続したコンソールにシステム メッセージを表示できます。このオプションを使用する場合、出力はすべて、シリアル ポートに送られ、ローカルのキーボードおよびモニタ接続はディセーブルにされます。しかし、BIOS メッセージと POST メッセージは、ローカルのキーボードおよびモニタ上に表示されます。



) IDS-4215、IPS-4240、および IPS-4255 には、1 つのコンソールしかありません。したがって、display-serial および no display-serial コマンドは、これらのプラットフォームには適用されません。


ステップ 3 アプライアンスへの不正アクセスを防ぐため、ターミナル セッションは確実に正しく終了してください。

ターミナル セッションが正しく終了されていない場合、つまり、セッションを開始したアプリケーションから exit(0) 信号が受信されていない場合、ターミナル セッションは開いたままです。ターミナル セッションが正しく終了していない場合、そのシリアル ポート上で開かれる次のセッションでは、認証が実行されません。


ヒント 接続を確立するために使用したアプリケーションを終了する前に、必ずセッションを終了してログイン プロンプトに戻ってください。



注意 誤って接続が切断されたり終了した場合は、接続を再確立し、正しく終了して、アプライアンスに対する不正なアクセスを防ぎます。


 

モジュール

ここでは、モジュールについて説明します。取り上げる事項は次のとおりです。

「Cisco Intrusion Detection System Network Module」

「Cisco Catalyst 6500 シリーズ Intrusion Detection System Services Module」

Cisco Intrusion Detection System Network Module

NM-CIDS(Cisco Intrusion Detection System Network Module)は、Cisco IDS の機能性を支社のルータに統合します。NM-CIDS を使用すると、必要な機能をすべて備えた IDS をリモートの支社に導入できます。NM-CIDS は、Cisco 2600、3600、および 3700 シリーズ ルータのネットワーク モジュール スロットの 1 つに取り付けることができます。NM-CIDS は、最大 45 Mbps のネットワーク トラフィックを監視できます。サポートしているルータのリストについては、「ソフトウェア要件およびハードウェア要件」を参照してください。1 つのルータでサポートされる NM-CIDS は 1 つだけです。図 1-4 支社環境におけるルータを示します。

図 1-4 支社ルータの NM-CIDS

 

NM-CIDS には内蔵 10/100 イーサネット ポートが 1 つあり、ルータのバックプレーンに接続されます。外部 10/100 ベース イーサネット ポートも 1 つあり、デバイス管理(他のルータや回避を実行する PIX Firewall の管理)および IDS マネージャによる NM-CIDS のコマンドとコントロールに使用されます。

NM-CIDS は、ルータと通信して、NM-CIDS の起動とシャットダウンに必要な制御情報や状態情報のやり取り、およびバージョン情報やステータス情報のやり取りを行います。NM-CIDS は、ルータ上の選択したインターフェイスから NM-CIDS 上の IDS インターフェイスに転送されたパケットを処理します。NM-CIDS は、取り込んだパケットを分析して、シグニチャと呼ばれる代表的な侵入行為のルール セットと比較します。取り込んだパケットがシグニチャ内の定義されている侵入パターンと一致したら、NM-CIDS は、攻撃をブロックするためにルータ上で ACL を変更するというアクション、および攻撃を起こしている TCP セッションを終了させるために TCP リセット パケットを発信者に送るというアクションのいずれかを実行します。

NM-CIDS は、取り込んだパケットを分析して悪意のある行為を識別するだけでなく、応答アクションとして設定できる IP セッションのログをシグニチャごとに取得することもできます。シグニチャが該当すると、指定した時間にセッション ログが TCPDump 形式で作成されます。Ethereal を使用してこれらのログを表示することも、IP セッションを TCP Replay などのツールを使用して再生することもできます。


) NM-CIDS は、侵入イベントが存在すると syslog サーバへの syslog メッセージの送信をサポートせず、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)もサポートしません。


NM-CIDS からのイベントは、CLI、または IDS Device Manager か Management Center for IDS Sensor いずれかの IDS マネージャを使用して、管理および取得できます。Cisco.com にある IDS ドキュメントへのアクセスについては、NM-CIDS に付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

IDS には、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しいタイムスタンプが必要です。タイムスタンプがないと、攻撃の後にログを正しく分析できません。NM-CIDS では、時刻を手動で設定できません。NM-CIDS は、取り付け先の Cisco ルータから時刻を取得します。ルータにはバッテリがないので、電源を切ると、設定した時刻を保持できません。ルータの電源投入またはリセットのたびにルータの時計を設定する必要があります。あるいは、ルータを設定して、NTP 時刻同期を使用することもできます。NTP 時刻同期を使用することを推奨します。NM-CIDS 自体、またはその取り付け先ルータのいずれかで、NTP 時刻同期を使用するように設定できます。詳細については、「センサーでの時刻の設定」を参照してください。

Cisco Catalyst 6500 シリーズ Intrusion Detection System Services Module

Cisco Catalyst 6500 シリーズの Intrusion Detection System Services Module(IDSM-2)は、Catalyst 6500 シリーズ スイッチで侵入検知を実行するスイッチング モジュールです。IDSM-2 は、CLI、IDS Device Manager、または Management Center for IDS Sensor を使用して設定できます。Cisco.com にある IDS ドキュメントへのアクセスについては、IDSM-2 に付属している『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

IDSM-2 は、ネットワーク センシングを実行しています。つまりパケットの取り込みと分析を通して、リアルタイムでネットワーク パケットの監視を行っています。IDSM-2 は、ネットワーク パケットを取り込み、再構成し、代表的な侵入行為を示す攻撃シグニチャとパケット データを比較します。ネットワーク トラフィックの IDSM-2 へのコピーは、スイッチのセキュリティ VACL に基づいて行われることも、スイッチの SPAN ポート機能を通して行われることもあります。これらの方法では、調査するスイッチ ポート、VLAN、またはトラフィック タイプに基づいて、IDSM-2 へのユーザ指定のトラフィックがルーティングされます(図 1-5を参照)。

図 1-5 IDSM-2 のブロック ダイアグラム

 

IDSM-2 は、ネットワーク パケットのデータ部分またはヘッダー部分を検査することで、悪用のパターンを探します。コンテンツベースの攻撃では、悪意のあるデータはパケットのペイロードに含まれている可能性があります。一方、コンテキストベースの攻撃では、パケットのヘッダーに悪意のあるデータが含まれている可能性があります。

攻撃の可能性を検出したときにアラートを生成するように IDSM-2 を設定できます。さらに、ソース VLAN に関する TCP リセットを送信し、IP ログを生成し、ファイアウォールまたは他の管理対象装置上でブロッキングを行う対抗策を開始するように IDSM-2 を設定できます。IDSM-2 が生成するアラートは、Catalyst 6500 シリーズのスイッチ バックプレーンを通して、IDS マネージャに生成されます。IDS マネージャでは、アラートがログに記録され、グラフィカル ユーザ インターフェイス上に表示されます。

サポートされるセンサー

表 1-1 に、このドキュメントで扱い、最新の Cisco IDS ソフトウェアでサポートされるセンサー(アプライアンスおよびモジュール)のリストを示します。


) 最新版の Cisco IDS ソフトウェアを入手する方法については、「Cisco IDS ソフトウェアの入手方法」を参照してください。



注意 サポートされていないセンサーに最新版の Cisco IDS ソフトウェア(バージョン 4.1)をインストールすると、予期せぬ結果が生じる可能性があります。サポートされていないプラットフォームにインストールしたソフトウェアは、サポートの対象外です。

 

表 1-1 サポートされるセンサー

モデル名
部品番号
オプションのインターフェイス
アプライアンス
 
 

IDS-4210

IDS-4210
IDS-4210-K9
IDS-4210-NFR

--
--
--

IDS-4215

IDS-4215-K9

IDS-4215-4FE-K9

IDS-4FE-INT=

--

IDS-4220

IDS-4220-E

--

IDS-4230

IDS-4230-FE

--

IDS-4235

IDS-4235-K9

IDS-4FE-INT=

IDS-4250

IDS-4250-TX-K9



IDS-4250-SX-K9

IDS-4250-XL-K9

IDS-4FE-INT=、IDS-4250-SX-INT=、IDS-XL-INT=

IDS-XL-INT=

--

IPS-4240

IPS-4240-K9

--

IPS-4255

IPS-4255-K9

--

ネットワーク モジュール
 
 

NM-CIDS

NM-CIDS-K9

--

サービス モジュール
 
 

IDSM-2

WS-SVC-IDSM2-K9

--


) IDS-4215-4FE-K9 は、IDS-4215-K9 にオプションの 4FE カード(IDS-4FE-INT=)を工場で取り付けたものです。


次の IDS アプライアンス モデルは旧モデルであり、このマニュアルではサポートしていません。

NRS-2E

NRS-2E-DM

NRS-2FE

NRS-2FE-DM

NRS-TR

NRS-TR-DM

NRS-SFDDI

NRS-SFDDI-DM

NRS-DFDDI

NRS-DFDDI-DM

IDS-4220-TR

IDS-4230-SFDDI

IDS-4230-DFDDI


WS-X6381 は IDSM ですが、旧モデルのため、このマニュアルではサポートしていません。



) IDS-4210 および IDS-4220-E で最新の IDS をサポートするには、メモリのアップグレードが必要です。詳細については、「メモリのアップグレード」を参照してください。


センサーでの時刻の設定

センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい GMT(グリニッジ標準時)と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。詳細については、「センサーの初期化」を参照してください。

センサーに時刻を設定する方法を要約して示します。

アプライアンスの場合

clock set コマンドを使用して、時刻を設定する。これがデフォルトの方法です。

clock set コマンドについては、『 Cisco Intrusion Detection System Command Reference Version 4.1 』を参照してください。

Network Time Protocol(NTP; ネットワーク タイム プロトコル)を使用する。

アプライアンスは、NTP 同期時刻源から時刻を取得するように設定できます。「Cisco ルータを NTP サーバにする設定」を参照してください。NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。初期化中に NTP をアプライアンスにセットアップすることも、後から NTP を設定することもできます。詳細については、「センサーが NTP サーバを時刻源として使用する設定」を参照してください。


) NTP 同期時刻源を使用する方法を推奨します。


IDSM-2 の場合

IDSM-2 は、自動的にその時計をスイッチ時刻と同期させることができる。これがデフォルトの方法です。


) GMT 時刻は、親ルータと IDSM-2 の間で同期が取られます。時間帯とサマータイム設定は、スイッチと IDSM-2 の間で同期が取られません。



注意 スイッチと IDSM-2 の両方で時間帯とサマータイム設定が行われていることを確認し、GMT 時刻設定が正しいことを確認します。時間帯やサマータイム設定が IDSM2 とスイッチとで一致していないと、IDSM2 の現地時間が不正確になります。

NTP を使用する。

IDSM-2 は、時刻を NTP 同期時刻源から取得するように設定できます。「Cisco ルータを NTP サーバにする設定」を参照してください。NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。初期化中に NTP を使用するように IDSM-2 を設定することも、後から NTP をセットアップすることもできます。詳細については、「センサーが NTP サーバを時刻源として使用する設定」を参照してください。


) NTP 同期時刻源を使用する方法を推奨します。


NM-CIDS の場合

NM-CIDS は、自動的にその時計を取り付け先(親ルータ)のルータ シャーシの時計と同期させることができる。これがデフォルトの方法です。


) GMT 時刻は、親ルータと NM-CIDS の間で同期が取られます。時間帯とサマータイム設定は、親ルータと NM-CIDS の間で同期が取られません。



注意 親ルータと NM-CIDS の両方で時間帯とサマータイム設定が行われていることを確認し、GMT 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が NM-CIDS とルータとで一致していないと、NM-CIDS の現地時間は不正確になります。

NTP を使用する。

NM-CIDS は、時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定できます。「Cisco ルータを NTP サーバにする設定」を参照してください。NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。初期化中に NTP を使用するように NM-CIDS を設定することも、後から NTP をセットアップすることもできます。詳細については、「センサーが NTP サーバを時刻源として使用する設定」を参照してください。


) NTP 同期時刻源を使用する方法を推奨します。


設置の準備

センサーを設置する準備をするには、次の手順を実行します。


ステップ 1 センサーに付属する『 Regulatory Compliance and Safety Information for the Cisco Intrusion Detection System 4200 Series Appliance Sensor 』で説明されている安全上の注意事項を確認してください。

ステップ 2 Cisco.com にある IDS ドキュメントの場所については、センサーに付属する『 Cisco Intrusion Detection System (IDS) Hardware and Software Version 4.1 Documentation Guide 』を参照してください。

ステップ 3 Cisco.com から『 Release Notes for the Cisco Intrusion Detection System Version 4.1 』を入手して、すべて読んでから取り付けに着手してください。

ステップ 4 センサーを開梱します。

ステップ 5 ESD 対策が施された環境にセンサーを置きます。

手順については、「静電気防止対策を施した環境での作業」を参照してください。

ステップ 6 センサーを安定した作業台に置きます。

ステップ 7 使用するセンサー モデルに関係する章を参照します。


 

静電気防止対策を施した環境での作業

ESD の影響を受けやすい部品の取り扱いは、接地された静電気防止用の作業台(静電気防止用のワークベンチや静電気を散逸させるマットなど)にある承認済みの静電気保護ステーションでのみ行います。

センサーのコンポーネントの取り外しと取り付けを行うには、次の手順を実行します。


ステップ 1 作業場所から静電気の発生源をすべて取り除きます。

ステップ 2 静電気防止用の作業台とリスト ストラップを使用します。


) アップグレード部品に一般に付属している使い捨て式のリスト ストラップは、一度しか使用しないことを前提に設計されています。


ステップ 3 リスト ストラップを手首と作業台のターミナルに装着します。使い捨て式のリスト ストラップを使用している場合は、リスト ストラップをシャーシの塗装されていない金属面に直接接続します。

 

ステップ 4 アース ケーブルとワニ口クリップを使用して、作業台をシャーシに接続します。


注意 コンポーネントの取り外し、取り付け、および修理を行うときは、必ず ESD 防止手順に従ってください。


) コンポーネントをアップグレードする場合は、取り付けの準備が完了するまでコンポーネントを ESD 対応パッケージから取り出さないでください。