Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド v.8.0
AIP SSM および CSC SSM の管理
AIP SSM および CSC SSM の管理
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 20MB) | フィードバック

目次

AIP SSM および CSC SSM の管理

の管理

の概要

と適応型セキュリティ アプライアンスの連携のしくみ

動作モード

仮想センサーの使用

の手順の概要

へのセッション接続

でのセキュリティ ポリシーの設定

セキュリティ コンテキストへの仮想センサーの割り当て

へのトラフィックの誘導

の管理

について

の準備

スキャンするトラフィックの指定

を通過する接続の制限

へのトラフィックの誘導

ステータスのチェック

へのイメージの転送

AIP SSM および CSC SSM の管理

この章では、適用型セキュリティ アプライアンスにインストールされている AIP SSM または CSC SSM をサポートするように適応型セキュリティ アプライアンスを設定する方法について説明します。

ASA 5500 シリーズ適応型セキュリティ アプライアンス用 4GE SSM の詳細については、 「イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定」を参照してください。


) Cisco PIX 500 シリーズ セキュリティ アプライアンスは、SSM をサポートしていません。ASA 5510、ASA 5520、および ASA 5540 シリーズの各適応型セキュリティ アプライアンスは SSM をサポートしています。


この章は、次の項で構成されています。

「AIP SSM の管理」

「CSC SSM の管理」

「SSM ステータスのチェック」

「SSM へのイメージの転送」

AIP SSM の管理

この項は、次の内容で構成されています。

「AIP SSM の概要」

「AIP SSM へのセッション接続」

「AIP SSM でのセキュリティ ポリシーの設定」

「セキュリティ コンテキストへの仮想センサーの割り当て」

「AIP SSM へのトラフィックの誘導」

AIP SSM の概要

AIP SSM は、ASA 5500 シリーズ適応型セキュリティ アプライアンスにインストールできます。AIP SSM は、予防的なフル機能の侵入防御サービスを提供する高度な IPS ソフトウェアを実行し、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前に、これらを阻止します。この項は、次の内容で構成されています。

「AIP SSM と適応型セキュリティ アプライアンスの連携のしくみ」

「動作モード」

「仮想センサーの使用」

「AIP SSM の手順の概要」

AIP SSM と適応型セキュリティ アプライアンスの連携のしくみ

AIP SSM は、適応型セキュリティ アプライアンスとは異なるアプリケーションを実行します。ただし、そのアプリケーションは適応型セキュリティ アプライアンス トラフィック フローに統合されています。AIP SSM 自体には、管理インターフェイス以外の外部インターフェイスは含まれていません。適応型セキュリティ アプライアンス上で IPS 検査対象のトラフィックを確認すると、トラフィックは、適応型セキュリティ アプライアンスと AIP SSM を次のように流れます。

1. トラフィックが適応型セキュリティ アプライアンスに入ります。

2. ファイアウォール ポリシーが適用されます。

3. トラフィックがバックプレーン経由で AIP SSM に送信されます。

トラフィックのコピーだけを AIP SSM に送信する方法については、「動作モード」を参照してください。

4. AIP SSM はそのセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

5. 有効なトラフィックがバックプレーンを経由して適応型セキュリティ アプライアンスに戻されます。AIP SSM は、セキュリティ ポリシーに従って、一部のトラフィックをブロックし、ブロックされたトラフィックは渡されません。

6. VPN ポリシーが適用されます(設定されている場合)。

7. トラフィックは適応型セキュリティ アプライアンスから出ます。

図 23-1 は、AIP SSM がインライン モードで実行されているときのトラフィック フローを示しています。この例では、AIP SSM が攻撃と見なしたトラフィックは、自動的にブロックされています。それ以外のトラフィックはすべて、適応型セキュリティ アプライアンスを通って転送されます。

図 23-1 AIP SSM の適応型セキュリティ アプライアンスにおけるトラフィック フロー:インライン モード

 

動作モード

次のいずれかのモードを使用して、トラフィックを AIP SSM に送信できます。

インライン モード:このモードでは、AIP SSM はトラフィック フローに直接配置されます(図 23-1 を参照)。IPS 検査対象と認識されたトラフィックは、まず AIP SSM に渡されて検査を受けないと、適応型セキュリティ アプライアンスを通過することはできません。検査対象と認識されたすべてのパケットは通過する前に分析されるため、このモードは最もセキュアです。また、AIP SSM はパケット単位のブロック ポリシーを実装できます。ただし、このモードは、スループットに影響を与えることがあります。

無差別モード:このモードでは、トラフィックの重複ストリームが AIP SSM に送信されます。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えません。インライン モードとは異なり、無差別モードでは、AIP SSM は、適応型セキュリティ アプライアンスにトラフィックを排除するように指示するか、適応型セキュリティ アプライアンスの接続をリセットした場合だけトラフィックをブロックできます。また、AIP SSM がトラフィックを分析している間、AIP SSM が排除する前に少量のトラフィックが適応型セキュリティ アプライアンスを通過することがあります。図 23-2 は、無差別モードの AIP SSM を示しています。この例では、AIP SSM は、脅威と見なしたトラフィックについての排除メッセージをセキュリティ アプライアンスに送信します。

図 23-2 AIP SSM の適応型セキュリティ アプライアンスにおけるトラフィック フロー:無差別モード

 

仮想センサーの使用

IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行できます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキストまたはシングル モード セキュリティ アプライアンスを 1 つ以上の仮想センサーに割り当てたり、複数のセキュリティ コンテキストを同じ仮想センサーに割り当てたりすることができます。仮想センサーの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照してください。

図 23-3 では、1 つのセキュリティ コンテキストと 1 つの仮想センサー(インライン モード)がペアになり、2 つのセキュリティ コンテキストが同じ仮想センサーを共有しています。

図 23-3 セキュリティ コンテキストと仮想センサー

 

図 23-4 では、シングル モードのセキュリティ アプライアンスが複数の仮想センサー(インライン モード)とペアになっています。定義されている各トラフィック フローは異なるセンサーに進みます。

図 23-4 複数の仮想センサーがあるシングル モードのセキュリティ アプライアンス

 

AIP SSM の手順の概要

AIP SSM の設定は、AIP SSM のコンフィギュレーション、および ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションを含むプロセスです。

1. セキュリティ アプライアンスから AIP SSM へのセッションを接続します。「AIP SSM へのセッション接続」を参照してください。

2. AIP SSM では、検査と保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出時の対処を決定します。AIP SSM をマルチ センサー モードで実行する場合は、各仮想センサーに対して検査と保護ポリシーを設定します。「AIP SSM でのセキュリティ ポリシーの設定」を参照してください。

3. マルチ コンテキスト モードの ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、各コンテキストに対してどの IPS 仮想センサーが使用可能かを指定します(仮想センサーを設定している場合)。「セキュリティ コンテキストへの仮想センサーの割り当て」を参照してください。

4. ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、AIP SSM に誘導するトラフィックを特定します。「AIP SSM へのトラフィックの誘導」を参照してください。

AIP SSM へのセッション接続

AIP SSM の設定を開始するには、適応型セキュリティ アプライアンスから AIP SSM にセッションを接続します (あるいは、SSH または Telnet を使用して、AIP SSM 管理インターフェイスに直接接続することもできます)。

適応型セキュリティ アプライアンスから AIP SSM へのセッションを接続するには、次の手順を実行します。


ステップ 1 ASA 5500 シリーズ適応型セキュリティ アプライアンスから AIP SSM へのセッションを接続するには、次のコマンドを入力します。

hostname# session 1
 
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

ステップ 2 ユーザ名とパスワードを入力します。デフォルトのユーザ名とパスワードは「cisco」です。


) 初めて AIP SSM にログインしたときに、デフォルト パスワードの変更を要求するプロンプトが表示されます。パスワードは 8 文字以上で、辞書に載っていない単語にする必要があります。


login: cisco
Password:
Last login: Fri Sep 2 06:21:20 from xxx.xxx.xxx.xxx
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.
 
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
AIP SSM#

) 上記のライセンスの注意が表示された場合(一部のソフトウェア バージョンだけで表示されます)、AIP SSM でシグニチャ ファイルをアップグレードする必要がなければ、無視してかまいません。有効なライセンス キーがインストールされるまで、AIP SSM は現在のシグニチャ レベルで動作し続けます。ライセンス キーは後でインストールできます。ライセンス キーは、AIP SSM の現在の機能には影響を与えません。



 

AIP SSM でのセキュリティ ポリシーの設定

AIP SSM で、トラフィックの検査方法と侵入検出時の対処を決定する検査と保護ポリシーを設定するには、次の手順を実行します。セキュリティ アプライアンスから AIP SSM へのセッションを接続するには、「AIP SSM へのセッション接続」を参照してください。


ステップ 1 AIP SSM の初期コンフィギュレーション用のセットアップ ユーティリティを実行するには、次のコマンドを入力します。

sensor# setup
 

ステップ 2 IPS セキュリティ ポリシーを設定します。IPS バージョン 6.0 以降で仮想センサーを設定する場合は、センサーの 1 つをデフォルトとして指定します。ASA 5500 シリーズ適応型セキュリティ アプライアンスのコンフィギュレーションで仮想センサー名を指定しない場合は、デフォルト センサーが使用されます。

AIP SSM で実行される IPS ソフトウェアは、このマニュアルの対象ではないため、詳細なコンフィギュレーション情報については、次の URL を参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/tsd_products_support_series_home.html

ステップ 3 AIP SSM の設定が完了したら、次のコマンドを入力して IPS ソフトウェアを終了します。

sensor# exit
 

セキュリティ アプライアンスから AIP SSM へのセッションを接続した場合は、セキュリティ アプライアンスのプロンプトに戻ります。


 

セキュリティ コンテキストへの仮想センサーの割り当て

セキュリティ アプライアンスがマルチ コンテキスト モードにある場合、1 つ以上の IPS 仮想センサーを各コンテキストに割り当てることができます。このようにすると、トラフィックを AIP SSM に送信するようにコンテキストを設定するときに、そのコンテキストに割り当てられているセンサーを指定できます。そのコンテキストに割り当てられていないセンサーを指定することはできません。コンテキストにセンサーを割り当てない場合は、AIP SSM に設定されているデフォルト センサーが使用されます。複数のコンテキストに同じセンサーを割り当てることができます。


) 仮想センサーを使用するために、マルチ コンテキスト モードにする必要はありません。シングル モードで、トラフィック フローごとに異なるセンサーを使用できます。


1 つ以上のセンサーをセキュリティ コンテキストに割り当てるには、次の手順を実行します。


ステップ 1 コンテキスト コンフィギュレーション モードに入るには、システム実行スペースで次のコマンドを入力します。

hostname(config)# context name
hostname(config-ctx)#
 

コンテキストの設定の詳細については、「セキュリティ コンテキストの設定」を参照してください。

ステップ 2 コンテキストに仮想センサーを割り当てるには、次のコマンドを入力します。

hostname(config-ctx)# allocate-ips sensor_name [mapped_name] [default]
 

コンテキストに割り当てるセンサーごとに、このコマンドを入力します。

sensor _name 引数は、AIP SSM に設定されているセンサー名です。AIP SSM に設定されているセンサーを表示するには、 allocate-ips ? と入力します。使用可能なすべてのセンサーが一覧表示されます。 show ips コマンドを入力することもできます。システム実行スペースで、 show ips コマンドを入力すると、使用可能なすべてのセンサーが一覧表示されます。このコマンドをコンテキストで入力すると、そのコンテキストにすでに割り当て済みのセンサーが表示されます。AIP SSM にまだ存在しないセンサー名を指定すると、エラーになりますが、 allocate-ips コマンドはそのまま入力されます。AIP SSM に指定した名前のセンサーを作成するまで、コンテキストはセンサーがダウンしていると見なします。

mapped_name 引数を、実際のセンサー名の代わりにコンテキストで使用可能なセンサー名のエイリアスとして使用します。mapped name を指定しない場合、そのセンサー名がコンテキストで使用されます。セキュリティ保護上の目的から、コンテキストでどのセンサーが使用されているかをコンテキスト管理者に知られないようにすることができます。または、コンテキスト コンフィギュレーションをジェネリクス化することができます。たとえば、すべてのコンテキストで「sensor1」と「sensor2」という名前のセンサーを使用する場合、コンテキスト A の sensor1 と sensor2 には「highsec」センサーと「lowsec」センサーをマップできますが、コンテキスト B の sensor1 と sensor2 には「medsec」センサーと「lowsec」センサーをマップします。

default キーワードは、コンテキストごとに 1 つのセンサーをデフォルトのセンサーとして設定します。コンテキスト コンフィギュレーションでセンサー名を指定しない場合、コンテキストではこのデフォルト センサーが使用されます。デフォルト センサーは、コンテキストごとに 1 つだけ設定できます。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して、現在のデフォルト センサーを削除してから、新しいデフォルト センサーを割り当てます。センサーをデフォルトとして指定せず、コンテキスト コンフィギュレーションにはセンサー名が含まれていない場合、トラフィックでは AIP SSM のデフォルト センサーが使用されます。

ステップ 3 コンテキストごとにステップ 1ステップ 2 を繰り返します。

ステップ 4 コンテキスト IPS ポリシーを設定するには、次のコマンドを使用してコンテキスト実行スペースに切り替えます。

hostname(config-ctx)# changeto context context_name
 

context_name 引数は、設定するコンテキストの名前です。IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「AIP SSM へのトラフィックの誘導」 で説明されています)。


 

次の例では、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当てます。いずれのコンテキストでもセンサー名を「ips1」と「ips2」にマッピングしています。コンテキスト A では、sensor1 はデフォルト センサーとして設定されていますが、コンテキスト B ではデフォルト センサーは設定されていないため、AIP SSM で設定されているデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 
hostname(config-ctx)# changeto context A
...

AIP SSM へのトラフィックの誘導

適応型セキュリティ アプライアンスから AIP SSM に誘導するトラフィックを特定するには、次の手順を実行します。マルチ コンテキスト モードでは、各コンテキスト実行スペースでこれらの手順を実行します。


ステップ 1 AIP SSM で検査を行うトラフィックを特定するには、「通過トラフィック用のレイヤ 3/4 クラス マップの作成」 の説明に従って、 class-map コマンドを使用し、1 つ以上のクラス マップを追加します。

たとえば、次のコマンドを使用してすべてのトラフィックを照合できます。

hostname(config)# class-map IPS
hostname(config-cmap)# match any
 

特定のトラフィックを照合するため、アクセス リストと照合できます。

hostname(config)# access list IPS extended permit ip any 10.1.1.1 255.255.255.255
hostname(config)# class-map IPS
hostname(config-cmap)# match access-list IPS

 

ステップ 2 AIP SSM にトラフィックを誘導するアクションを設定するポリシー マップを追加または編集するには、次のコマンドを入力します。

hostname(config)# policy-map name
hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

class_map_nameステップ 1 で指定したクラス マップです。

次の例を参考にしてください。

hostname(config)# policy-map IPS
hostname(config-pmap)# class IPS
 

ステップ 3 AIP SSM にトラフィックを誘導するには、次のコマンドを入力します。

hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open} [sensor {sensor_name | mapped_name}]
 

inline キーワードと promiscuous キーワードは、AIP SSM の動作モードを制御します。詳細については、「動作モード」を参照してください。

fail-close キーワードは、AIP SSM が使用できない場合はすべてのトラフィックをブロックするように、適応型セキュリティ アプライアンスを設定します。

fail-open キーワードは、AIP SSM が使用できない場合はすべてのトラフィックを検査なしで通過させるように、適応型セキュリティ アプライアンスを設定します。

AIP SSM で仮想センサーを使用する場合は、 sensor sensor_name 引数を使用してセンサー名を指定できます。使用可能なセンサー名を表示するには、 ips ... sensor ? コマンドを入力します。使用可能なセンサーが一覧表示されます。 show ips コマンドを使用することもできます。セキュリティ アプライアンスでマルチ コンテキスト モードを使用する場合、コンテキストに割り当てたセンサーだけ指定できます(「セキュリティ コンテキストへの仮想センサーの割り当て」を参照)。コンテキストで設定されている場合は、 mapped_name を使用します。センサー名を指定しない場合、トラフィックではデフォルト センサーが使用されます。マルチ コンテキスト モードでは、デフォルト センサーをコンテキストに指定できます。シングル モードの場合、またはマルチ モードでデフォルト センサーを指定しない場合、トラフィックでは AIP SSM で設定されているデフォルト センサーが使用されます。AIP SSM にまだ存在しない名前を入力すると、エラーになり、コマンドは拒否されます。

ステップ 4 (オプション)他のトラフィック クラスを AIP SSM に誘導し、IPS ポリシーを設定するには、次のコマンドを入力します。

hostname(config-pmap-c)# class class_map_name2
hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open} [sensor sensor_name]
 

class_map_name2 引数は、IPS 検査を行う別のクラス マップの名前です。コマンド オプションの詳細については、ステップ 3 を参照してください。ポリシー マップ内でのクラスの順番が重要であることの詳細については、「レイヤ 3/4 ポリシー マップについて」を参照してください。トラフィックを同じアクション タイプの複数のクラス マップに一致させることはできません。そのため、ネットワーク A を sensorA に進ませ、それ以外のすべてのトラフィックを sensorB に進ませる場合、まずネットワーク A に対して class コマンドを入力してから、すべてのトラフィックに対して class コマンドを入力する必要があります。このようにしないと、ネットワーク A を含むすべてのトラフィックが最初の class コマンドに一致して、sensorB に送信されます。

ステップ 5 1 つ以上のインターフェイスでポリシー マップをアクティブにするには、次のコマンドを入力します。

hostname(config-pmap-c)# service-policy policy_map_name [global | interface interface_ID]
hostname
 

policy_map_name は、ステップ 2 で設定したポリシー マップです。すべてのインターフェイスでトラフィックにポリシー マップを適用するには、 global キーワードを使用します。特定のインターフェイスのトラフィックにポリシー マップを適用するには、 interface interface_ID オプションを使用します。ここで、 interface_ID は、 nameif コマンドでインターフェイスに割り当てられた名前です。

グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。


 

次の例では、すべての IP トラフィックが AIP SSM に無差別モードで誘導され、何らかの理由で AIP SSM カードに障害が発生した場合はすべての IP トラフィックがブロックされます。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックが AIP SSM にインライン モードで誘導され、何らかの理由で AIP SSM カードに障害が発生した場合は、すべてのトラフィックの通過が許可されます。my-ips-class トラフィックには sensor1 が使用され、my-ips-class2 トラフィックには sensor2 が使用されます。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
 

CSC SSM の管理

この項は、次の内容で構成されています。

「CSC SSM について」

「CSC SSM の準備」

「スキャンするトラフィックの指定」

「CSC SSM を通過する接続の制限」

「CSC SSM へのトラフィックの誘導」

CSC SSM について

ASA 5500 シリーズ適応型セキュリティ アプライアンスは、Content Security and Control ソフトウェアを実行する CSC SSM をサポートしています。CSC SSM は、ウイルス、スパイウェア、スパムなど、望ましくないトラフィックからの保護を提供します。これは、適応型セキュリティ アプライアンスが CSC SSM に送信するように設定した FTP、HTTP、POP3、および SMTP パケットをスキャンするによって実現されます。

図 23-5 は、次の条件を満たす適応型セキュリティ アプライアンスを通過するトラフィック フローを示しています。

CSC SSM がインストールされ、設定されている。

CSC SSM に誘導しスキャンするトラフィックを決定するサービス ポリシーがある。

この例では、クライアントは、Web サイトにアクセスするネットワーク ユーザ、FTP サーバからファイルをダウンロードするネットワーク ユーザ、または POP3 サーバからメールを取得するネットワーク ユーザです。SMTP スキャンは、適応型セキュリティ アプライアンスによって保護されている SMTP サーバに外部から送信されるトラフィックをスキャンするために、適応型セキュリティ アプライアンスを設定する必要がある点で異なります。


) CSC SSM は、適応型セキュリティ アプライアンスで FTP 検査がイネーブルになっている場合にだけ FTP ファイル転送をスキャンできます。FTP 検査はデフォルトでイネーブルになっています。


図 23-5 CSC SSM でスキャンされたトラフィックのフロー

CSC SSM のシステム セットアップとモニタリングには、ASDM を使用します。CSC SSM ソフトウェアのコンテンツ セキュリティ ポリシーの高度な設定を行うには、ASDM 内のリンクをクリックして、CSC SSM の Web ベースの GUI にアクセスします。CSC SSM GUI の使用方法については、『 Trend Micro InterScan for Cisco CSC SSM Administrator Guide 』を参照してください。


) ASDM と CSC SSM では、別個のパスワードが保持されます。それぞれのパスワードを同一にすることはできますが、これら 2 つのパスワードの 1 つを変更しても他のパスワードには影響を与えません。


ASDM を実行しているホストと適応型セキュリティ アプライアンスの間の接続は、適応型セキュリティ アプライアンスの管理ポートを通じて確立されます。CSC SSM GUI への接続は、SSM 管理ポートを通じて確立されます。これら 2 つの接続は、CSC SSM の管理に必要であるため、ASDM を実行しているホストは、適応型セキュリティ アプライアンスの管理ポートと SSM の管理ポートの両方の IP アドレスにアクセスできる必要があります。

図 23-6 は、専用の管理ネットワークに接続されている CSC SSM がある適応型セキュリティ アプライアンスを示しています。専用の管理ネットワークの使用は必須ではありませんが、使用することをお勧めします。特に重要な点は次のとおりです。

HTTP プロキシ サーバが内部ネットワークと管理ネットワークに接続されている。この HTTP プロキシ サーバにより、CSC SSM から Trend Micro アップデート サーバに接続できます。

適応型セキュリティ アプライアンスの管理ポートが、管理ネットワークに接続されている。適応型セキュリティ アプライアンス と CSC SSM の管理を許可するには、ASDM を実行しているホストが管理ネットワークと接続している必要があります。

管理ネットワークに、CSC SSM への電子メール通知に使用される SMTP サーバ、および CSC SSM がシステム ログ メッセージを送信できる syslog サーバが含まれている。

図 23-6 CSC SSM 管理ネットワークを備えた構成

CSC SSM は、ステートフル フェールオーバーをサポートできません。これは、CSC SSM は接続情報を保持しないため、ステートフル フェールオーバーで必要とされる情報をフェールオーバー装置に提供できないからです。CSC SSM がスキャンしている接続は、CSC SSM がインストールされているセキュリティ アプライアンスで障害が発生するとドロップされます。スタンバイの適応型セキュリティ アプライアンスがアクティブになると、スキャンされるトラフィックは CSC SSM に転送され、接続がリセットされます。

CSC SSM の準備

CSC SSM のセキュリティ上の利点を得るには、SSM のハードウェア インストールだけではなく、他にもいくつかの手順を実行する必要があります。ここでは、それらの手順の概要を示します。

適応型セキュリティ アプライアンスと CSC SSM を設定するには、次の手順を実行します。


ステップ 1 CSC SSM が Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスに事前インストールされていない場合は、インストールして、ネットワーク ケーブルを SSM の管理ポートに接続します。SSM のインストールおよび接続については、『 Cisco ASA 5500 Series Hardware Installation Guide 』を参照してください。

CSC SSM の管理ポートは、ご使用のネットワークに接続して、CSC SSM ソフトウェアの管理と自動アップデートを可能にする必要があります。また、CSC SSM は、電子メール通知とシステム ログ メッセージングに管理ポートを使用します。

ステップ 2 CSC SSM には、Product Authorization Key(PAK)が付属しています。PAK を使用して、次の URL で CSC SSM を登録します。

 

登録後、電子メールでアクティベーション キーが届きます。 ステップ 6 を完了するには、アクティベーション キーが必要です。

ステップ 3 ステップ 6 で必要な次の情報を収集します。

ステップ 2 を完了した後に受信したアクティベーション キー。

CSC SSM 管理ポートの IP アドレス、ネットマスク、およびゲートウェイ IP アドレス。


) CSC SSM 管理ポートの IP アドレスには、ASDM の実行に使用するホストからアクセスできる必要があります。CSC SSM 管理ポートと適応型セキュリティ アプライアンス管理インターフェイスの IP アドレスは、異なるサブネットに属していてもかまいません。


DNS サーバの IP アドレス。

HTTP プロキシ サーバ IP アドレス(セキュリティ ポリシーで、HTTP を使用したインターネット アクセスでプロキシ サーバを使用する必要がある場合にだけ必要)。

CSC SSM のドメイン名とホスト名。

電子メール通知に使用する電子メール アドレス、SMTP サーバの IP アドレス、およびポート番号。

CSC SSM の管理を許可されたホストまたはネットワークの IP アドレス。

CSC SSM 用のパスワード。

ステップ 4 Web ブラウザで、CSC SSM がインストールされている適応型セキュリティ アプライアンスの ASDM にアクセスします。


) ASDM に初めてアクセスする場合は、『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』の Startup Wizard の説明を参照してください。


ASDM アクセスをイネーブルにする方法の詳細については、「ASDM での HTTPS アクセスの許可」を参照してください。

ステップ 5 適応型セキュリティ アプライアンスの時刻設定を確認します。時刻設定が正確であることは、セキュリティ イベントのロギング、および CSC SSM ソフトウェアの自動アップデートにとって重要です。

時刻設定を手動で制御する場合は、時間帯を含む、クロック設定を確認します。[Configuration] > [Properties] > [Device Administration] > [Clock] を選択します。

NTP を使用している場合は、NTP コンフィギュレーションを確認します。[Configuration] > [Properties] > [Device Administration] > [NTP] を選択します。

ステップ 6 サポートされている Web ブラウザで ASDM GUI にアクセスし、[Home] ページの [Content Security] タブをクリックします。ASDM で、CSC Setup Wizard を実行します。CSC Setup Wizard にアクセスするには、[Configuration] > [Trend Micro Content Security] > [CSC Setup] > [Wizard Setup] > [Launch Setup Wizard] を選択します。CSC Setup Wizard が表示されます。CSC Setup Wizard については、[Help] ボタンをクリックしてください。


) ASDM に初めてアクセスする場合は、『Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide』の Startup Wizard の説明を参照してください。


ステップ 7 ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、CSC SSM に誘導するトラフィックを特定します(「CSC SSM へのトラフィックの誘導」を参照)。

ステップ 8 (オプション)CSC SSM GUI でデフォルトのコンテンツ セキュリティ ポリシーを確認します。デフォルトのコンテンツ セキュリティ ポリシーは、ほとんどの実装に適しています。それらのポリシーを修正する、または高度なコンフィギュレーション設定を入力する前に、『 Trend Micro InterScan for Cisco CSC SSM Administrator Guide 』をお読みください。

コンテンツ セキュリティ ポリシーを確認するには、CSC SSM GUI でイネーブルになっている機能を表示します。使用できる機能は、購入したライセンス レベルによって異なります。デフォルトでは、購入したライセンスに含まれているすべての機能がイネーブルになっています。

Base ライセンスの場合、デフォルトでイネーブルになっている機能は、SMTP ウイルス スキャン、POP3 ウイルス スキャン、コンテンツ フィルタリング、Web メール ウイルス スキャン、HTTP ファイル ブロッキング、FTP ウイルス スキャンとファイル ブロッキング、ロギング、および自動アップデートです。

Plus ライセンスの場合、デフォルトでイネーブルになっている追加機能は、SMTP アンチスパム、SMTP コンテンツ フィルタリング、POP3 アンチスパム、URL ブロッキング、および URL フィルタリングです。

CSC SSM GUI にアクセスするには、ASDM で、[Configuration] > [Trend Micro Content Security] を選択し、次に [Web]、[Mail]、[File Transfer]、または [Updates] のいずれかを選択します。これらのペインにある、単語「Configure」で始まるリンクをクリックすると、CSC SSM GUI が開きます。


 

スキャンするトラフィックの指定

CSC SSM は、接続要求パケットの宛先ポートが指定されたプロトコルの予約済みポートである場合にだけ、FTP、HTTP、POP3、および SMTP トラフィックをスキャンできます。CSC SSM がスキャンできる接続は、次の接続に限られます。

TCP ポート 21 に対して開かれた FTP 接続

TCP ポート 80 に対して開かれた HTTP 接続

TCP ポート 110 に対して開かれた POP3 接続

TCP ポート 25 に対して開かれた SMTP 接続

これらすべてのプロトコルのトラフィックをスキャンすることも、任意のプロトコルの組み合せをスキャンすることもできます。たとえば、ネットワーク ユーザが POP3 電子メールの受信を許可しない場合は、POP3 トラフィックを CSC SSM に誘導するように、適応型セキュリティ アプライアンスを設定しないでください。代わりに、このトラフィックをブロックします。

適応型セキュリティ アプライアンスと CSC SSM のパフォーマンスを最大化するには、CSC SSM でスキャンするトラフィックだけを CSC SSM に誘導します。信頼できる送信元と宛先間のトラフィックなど、スキャンする必要がないトラフィックまで誘導すると、ネットワークのパフォーマンスに悪影響を与える可能性があります。

CSC SSM でのトラフィック スキャンをイネーブルにするには、 csc コマンドを使用します。このコマンドは、サービス ポリシーに含める必要があります。サービス ポリシーはグローバルに適用することも、特定のインターフェイスに適用することもできるため、 csc コマンドは、グローバルにイネーブルにすることも、特定のインターフェイスに対してイネーブルにすることもできます。

csc コマンドをグローバル ポリシーに追加すると、適応型セキュリティ アプライアンスを通過する暗号化されていないすべての接続は CSC SSM によって確実にスキャンされます。ただし、この設定により、信頼できる送信元からのトラフィックが不必要にスキャンされることになる場合もあります。

csc コマンドをインターフェイス固有のサービス ポリシーでイネーブルにすると、双方向性を持つようになります。双方向性があるということは、適応型セキュリティ アプライアンスが新しい接続を開くとき、その接続の着信インターフェイスまたは発信インターフェイスのいずれかで csc コマンドがアクティブであり、ポリシーのクラス マップでスキャン対象のトラフィックが特定されていれば、適応型セキュリティ アプライアンスはこのトラフィックを CSC SSM に誘導することを意味します。

ただし、双方向性があるということは、特定のインターフェイスを通過するサポート対象のトラフィック タイプのいずれかを CSC SSM に誘導すると、信頼できる内部ネットワークからのトラフィックに対して不必要なスキャンを実行することになる可能性があります。たとえば、DMZ ネットワークの Web サーバから要求された URL とファイルは、内部ネットワークのホストに対してコンテンツ セキュリティ リスクをもたらす可能性は低いため、適応型セキュリティ アプライアンスでこのトラフィックを CSC SSM に誘導する必要はほとんどありません。

そのため、アクセス リストを使用して、CSC SSM サービス ポリシーのクラス マップで選択されたトラフィックをさらに制限することをお勧めします。特に、次の条件を満たすアクセス リストを使用することをお勧めします。

外部ネットワークへの HTTP 接続

適応型セキュリティ アプライアンスの内部のクライアントから、適応型セキュリティ アプライアンスの外部のサーバへの FTP 接続

セキュリティ アプライアンスの内部のクライアントから適応型セキュリティ アプライアンスの外部のサーバへの POP3 接続

内部メール サーバ宛ての着信 SMTP 接続

図 23-7 では、適応型セキュリティ アプライアンスが、内部ネットワークのクライアントから外部ネットワークへの HTTP、FTP、および POP3 接続要求、および外部ホストから DMZ ネットワーク上のメール サーバへの着信 SMTP 接続のトラフィックを CSC SSM に誘導するように設定されています。内部ネットワークから DMZ ネットワークの Web サーバへの HTTP 要求は、スキャンされません。

図 23-7 CSC SSM スキャンの一般的なネットワーク コンフィギュレーション

 

スキャンするトラフィックを特定するように適応型セキュリティ アプライアンスを設定する方法はさまざまです。そのうちの 1 つに、内部インターフェイスに 1 つ、外部インターフェイスに 1 つというように、2 つのサービス ポリシーを定義して、それぞれにスキャンするトラフィックと一致するアクセス リストを含める方法があります。次のアクセス リストは、内部インターフェイスに適用するポリシーで使用できます。

access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21
access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 eq 80
access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80
access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110
 

前述のとおり、 csc コマンドを特定のインターフェイスに適用するポリシーは、入力トラフィックと出力トラフィックの両方に対して有効です。ただし、csc_out アクセス リストの送信元ネットワークとして 192.168.10.0 を指定すると、内部インターフェイスに適用されたポリシーは、内部ネットワークのホストによって開始された接続だけと一致するようになります。アクセス リストの 2 番目の ACE では、 deny キーワードが含まれています。この ACE は、192.168.10.0 ネットワークから 192.168.20.0 ネットワークの TCP ポート 80 に送信されたトラフィックを適応型セキュリティ アプライアンスがブロックするということを意味するものではありません。その代わりに、ACE はトラフィックをポリシー マップによる照合から免除し、適応型セキュリティ アプライアンスがトラフィックを CSC SSM に送信できないようにします。

deny キーワードをアクセス リスト内で使用すると、信頼できる外部ホストとの接続をスキャンから免除できます。パフォーマンスを向上させるために、CSC SSM トラフィックがセキュリティ アプライアンスを通過してインターネットに到達する場合、CSC SSM 自体から生成されたトラフィックのスキャンを免除することをお勧めします。

たとえば、CSC SSM の負荷を軽減するために、既知の信頼できるサイトへの HTTP トラフィックを免除できます。このサイトの Web サーバの IP アドレスが 209.165.201.7 である場合、次の ACE を csc_out アクセス リストに追加すると、信頼できる外部 Web サーバと内部ホスト間の HTTP 接続を、CSC SSM によるスキャンから除外できます。

access-list csc_out deny tcp 192.168.10.0 255.255.255.0 209.165.201.7 255.255.255.255 eq 80

 

この例の 2 番目のポリシー(外部インターフェイスに適用される)は、次のアクセス リストを使用します。

access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25
 

このアクセス リストは、任意の外部ホストから DMZ ネットワークの任意のホストへの着信 SMTP 接続を照合します。したがって、外部インターフェイスに適用されるポリシーにより、着信 SMTP 電子メールは、確実に CSC SSM に誘導され、スキャンされます。ただし、このポリシーでは、内部ネットワークのホストから DMZ ネットワークのメール サーバへの SMTP 接続は照合しません。これは、SMTP 接続は外部インターフェイスを使用しないためです。

DMZ ネットワークの Web サーバが、外部ホストから HTTP 経由でアップロードされたファイルを受信する場合、次の ACE を csc_in アクセス リストに追加すると、CSC SSM を使用して Web サーバを感染したファイルから保護できます。

access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80
 

この項のアクセス リストを使用するサービス ポリシーのコンフィギュレーションについては、例 23-1 を参照してください。

CSC SSM を通過する接続の制限

適応型セキュリティ アプライアンスは、CSC SSM および CSC SSM がスキャンする接続の宛先が、必要以上の接続要求を受け入れないようにする、または必要以上の接続要求を受信しないようにすることができます。これは、初期接続または完全に確立された接続に対して行うことができます。class-map 制限と per-client 制限に含まれるすべてのクライアントに対する制限を指定することもできます。 set connection コマンドを使用すると、初期接続または完全に確立された接続に対する制限を設定できます。

class-map 制限と per-client 制限に含まれるすべてのクライアントに対する制限を指定することもできます。 per-client-embryonic-max パラメータと per-client-max パラメータは、個々のクライアントが開くことができる接続の最大数を制限します。クライアントが必要以上のネットワーク リソースを同時に使用している場合、これらのパラメータを使用して、適応型セキュリティ アプライアンスが各クライアントに許可する接続の数を制限できます。

DoS 攻撃の目的は、接続や接続要求を行い、主要ホストの容量を圧迫することでネットワークを中断することです。 set connection コマンドを使用して、DoS 攻撃を阻止できます。攻撃対象となる可能性があるホストがサポートできる per-client の最大値を設定すると、悪意のあるクライアントは保護されたネットワークのホストを圧迫できなくなります。

set connection コマンドを使用して、CSC SSM および CSC SSM がスキャンする接続の宛先を保護する方法については、「CSC SSM へのトラフィックの誘導」を参照してください。

CSC SSM へのトラフィックの誘導

適応型セキュリティ アプライアンスがトラフィックを CSC SSM に誘導するように設定するには、モジュラ ポリシー フレームワーク コマンドを使用します。トラフィックを CSC SSM に誘導するように適応型セキュリティ アプライアンスを設定する前に、「モジュラ ポリシー フレームワークの使用」を参照してください。モジュラ ポリシー フレームワーク の概念と一般的なコマンドについて説明されています。

適応型セキュリティ アプライアンスから CSC SSM に誘導するトラフィックを特定するには、次の手順を実行します。


ステップ 1 access-list extended コマンドを使用して、CSC SSM でスキャンするトラフィックと一致するアクセス リストを作成します。すべてのトラフィックと一致させるのに必要な数の ACE を作成します。たとえば、FTP、HTTP、POP3、および SMTP のトラフィックを指定する場合、4 つの ACE が必要です。スキャンするトラフィックを特定する方法については、「スキャンするトラフィックの指定」を参照してください。

ステップ 2 class-map コマンドを使用して、CSC SSM に誘導する必要があるトラフィックを特定するためのクラス マップを作成します。

hostname(config)# class-map class_map_name
hostname(config-cmap)#
 

class_map_name はトラフィック クラスの名前です。 class-map コマンドを入力すると、CLI がクラス マップ コンフィギュレーション モードに移行します。

ステップ 3 ステップ 1 で作成したアクセス リストとともに、 match access-list コマンドを使用してスキャンするトラフィックを特定します。

hostname(config-cmap)# match access-list acl-name
 

acl-name はアクセス リストの名前です。

ステップ 4 policy-map コマンドを使用して、CSC SSM へのトラフィックの送信に使用するポリシー マップを作成するか、既存のポリシー マップを修正します。

hostname(config-cmap)# policy-map policy_map_name
hostname(config-pmap)#
 

policy_map_name はポリシー マップの名前です。CLI はポリシー マップ コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 5 ステップ 2 で作成した、スキャンするトラフィックを特定するクラス マップを指定します。これを行うには、 class コマンドを次のように使用します。

hostname(config-pmap)# class class_map_name
hostname(config-pmap-c)#
 

class_map_name は、ステップ 2 で作成したクラス マップの名前です。CLI はポリシー マップ クラス コンフィギュレーション モードに移行し、それに応じてプロンプトが変化します。

ステップ 6 適応型セキュリティ アプライアンスが CSC SSM に誘導する同時接続の per-client 制限を適用する場合は、 set connection コマンドを次のように使用します。

hostname(config-pmap-c)# set connection per-client-max n
 

n は、適応型セキュリティ アプライアンス が許可するクライアントごとの最大同時接続数です。このコマンドは、1 台のクライアントが CSC SSM のサービスや SSM で保護されたサーバを必要以上に使用しないようにします。また、CSC SSM が保護する HTTP、FTP、POP3、または SMTP サーバに対する DoS 攻撃の試みも阻止します。

ステップ 7 csc コマンドを使用して、クラス マップで特定されたトラフィックを CSC SSM に送信されるトラフィックとして割り当てます。

hostname(config-pmap-c)# csc {fail-close | fail-open}
 

fail-close キーワードと fail-open キーワードは、CSC SSM が使用できない場合に、適応型セキュリティ アプライアンスがトラフィックを処理する方法を制御します。動作モードと障害時の動作の詳細については、「CSC SSM について」を参照してください。

ステップ 8 service-policy コマンドを使用して、ポリシー マップをグローバルに適用するか、特定のインターフェイスに適用します。

hostname(config-pmap-c)# service-policy policy_map_name [global | interface interface_ID]
 

policy_map_name は、ステップ 4 で設定したポリシー マップです。ポリシー マップをすべてのインターフェイスのトラフィックに適用するには、 global キーワードを使用します。ポリシー マップを特定のインターフェイスのトラフィックに適用するには、 interface interface_ID オプションを使用します。ここで、 interface_ID は、 nameif コマンドでインターフェイスに割り当てた名前です。

グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。

適応型セキュリティ アプライアンスが、指定したとおりにトラフィックを CSC SSM に誘導しはじめます。


 

例 23-1図 23-7 に示したネットワークに基づいており、2 つのサービス ポリシーの作成を示しています。

最初のポリシーの csc_out_policy は、内部インターフェイスに適用され、csc_out アクセス リストを使用して、FTP と POP3 に対するすべての発信要求が確実にスキャンされるようにします。csc_out アクセス リストにより、内部から外部インターフェイスのネットワークへの HTTP 接続がスキャンされることにもなりますが、このアクセス リストには、内部から DMZ ネットワーク上のサーバへの HTTP 接続を除外する deny ACE が含まれています。

2 番目のポリシーの csc_in_policy は、外部インターフェイスに適用され、csc_in アクセス リストを使用して、外部インターフェイスで発信され、DMZ ネットワークを宛先とする SMTP 要求と HTTP 要求が CSC SSM で確実にスキャンされるようにします。HTTP 要求をスキャンすることで、Web サーバは HTTP ファイルのアップロードから保護されます。

例 23-1 一般的な CSC SSM スキャン シナリオのサービス ポリシー

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 21

hostname(config)# access-list csc_out deny tcp 192.168.10.0 255.255.255.0 192.168.20.0 255.255.255.0 eq 80

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 80

hostname(config)# access-list csc_out permit tcp 192.168.10.0 255.255.255.0 any eq 110

 

hostname(config)# class-map csc_outbound_class

hostname(config-cmap)# match access-list csc_out

 

hostname(config-cmap)# policy-map csc_out_policy

hostname(config-pmap)# class csc_outbound_class

hostname(config-pmap-c)# csc fail-close

 

hostname(config-pmap-c)# service-policy csc_out_policy interface inside

 

hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 25

hostname(config)# access-list csc_in permit tcp any 192.168.20.0 255.255.255.0 eq 80

 

hostname(config)# class-map csc_inbound_class

hostname(config-cmap)# match access-list csc_in

 

hostname(config-cmap)# policy-map csc_in_policy

hostname(config-pmap)# class csc_inbound_class

hostname(config-pmap-c)# csc fail-close

 

hostname(config-pmap-c)# service-policy csc_in_policy interface outside

 


) FTP で転送されるファイルをスキャンするには、CSC SSM に対して FTP 検査がイネーブルになっている必要があります。FTP 検査はデフォルトでイネーブルになっています。


SSM ステータスのチェック

SSM のステータスをチェックするには、 show module コマンドを使用します。

次に、CSC SSM がインストールされている適応型セキュリティ アプライアンスでの show module コマンドの出力例を示します。[Status] フィールドに SSM の動作ステータスが示されます。正常に動作している SSM は、 show module コマンドの出力で、ステータスが「UP」と表示されます。適応型セキュリティ アプライアンスが、アプリケーション イメージを SSM に転送している間は、出力の [Status] フィールドには「Recover」と表示されます。各種ステータスの詳細については、『 Cisco Security Appliance Command Reference 』の show module コマンドの項を参照してください。

hostname# show module 1
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5520 Adaptive Security Appliance ASA5520 P3000000034
1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 0
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 000b.fcf8.c30d to 000b.fcf8.c311 1.0 1.0(10)0 7.1(0)1
1 000b.fcf8.012c to 000b.fcf8.012c 1.0 1.0(10)0 Trend Micro InterScan
Security Module Version 5.0
 
Mod SSM Application Name SSM Application Version
--- ------------------------------ --------------------------
1 Trend Micro InterScan Security Version 5.0
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
0 Up Sys Not Applicable
1 Up Up
 

コマンドの末尾の引数 1 は、SSM 専用のスロット番号です。スロット番号がわからない場合、省略すると、スロット 0(ゼロ)を占有すると見なされている適応型セキュリティ アプライアンスを含む、すべてのモジュールの情報が表示されます。

SSM の追加情報を表示するには、 details キーワードを使用します。

次に、CSC SSM がインストールされた適応型セキュリティ アプライアンスでの show module details コマンドの出力例を示します。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 1.0
Serial Number: 0
Firmware version: 1.0(10)0
Software version: Trend Micro InterScan Security Module Version 5.0
App. name: Trend Micro InterScan Security Module
App. version: Version 5.0
Data plane Status: Up
Status: Up
HTTP Service: Up
Mail Service: Up
FTP Service: Up
Activated: Yes
Mgmt IP addr: 10.23.62.92
Mgmt web port: 8443
 

SSM へのイメージの転送

AIP SSM や CSC SSM などのインテリジェント SSM の場合、アプリケーション イメージを TFTP サーバから SSM に転送できます。このプロセスでは、アップグレード イメージとメンテナンス イメージがサポートされています。


) SSM のアプリケーションをアップグレードする場合、SSM アプリケーションによってそのコンフィギュレーションのバックアップがサポートされる場合があります。SSM アプリケーションのコンフィギュレーションをバックアップしないと、イメージを SSM に転送したときに失われます。SSM によるバックアップのサポートの詳細については、その SSM のマニュアルを参照してください。


イメージをインテリジェント SSM に転送するには、次の手順を実行します。


ステップ 1 SSM のリカバリ コンフィギュレーションを作成または修正します。

a. SSM のリカバリ コンフィギュレーションが存在するかどうかを確認します。 show module コマンドとともに recover キーワードを使用します。

hostname# show module slot recover
 

slot は、SSM 専用のスロット番号です。

recover キーワードが有効でない場合、リカバリ コンフィギュレーションは存在しません。このキーワードは、SSM のリカバリ コンフィギュレーションが存在する場合だけに使用できます。


) 適応型セキュリティ アプライアンスがマルチ コンテキスト モードで動作している場合、configure キーワードは、システム コンテキストだけで使用できます。


SSM のリカバリ コンフィギュレーションが存在する場合は、適応型セキュリティ アプライアンスに表示されます。リカバリ コンフィギュレーションを調べて(特に [Image URL] フィールド)、正しいことを確認します。次に、スロット 1 の SSM の show module recover コマンドの出力例を示します。

hostname# show module 1 recover
Module 1 recover parameters. . .
Boot Recovery Image: Yes
Image URL: tftp://10.21.18.1/ids-oldimg
Port IP Address: 10.1.2.10
Port Mask: 255.255.255.0
Gateway IP Address: 10.1.2.254
 

b. リカバリ コンフィギュレーションを作成または修正するには、 hw-module module recover コマンドとともに configure キーワードを次のように使用します。

hostname# hw-module module slot recover configure
 

slot は、SSM 専用のスロット番号です。

必要に応じて、プロンプトへの応答を完了します。コンフィギュレーションを修正する場合は、 Enter キーを押して、以前の設定値を保持することができます。プロンプトの例を次に示します。これらのプロンプトの詳細については、『 Cisco Security Appliance Command Reference 』の hw-module module recover コマンドの項を参照してください。

Image URL [tftp://0.0.0.0/]:
Port IP Address [0.0.0.0]:
VLAN ID [0]:
Gateway IP Address [0.0.0.0]:
 

) 指定する TFTP サーバが、最大 60 MB ファイルを転送できることを確認してください。TFTP サーバが、SSM の管理ポートとして指定した IP アドレスに接続できることも確認してください。


プロンプトへの応答が完了すると、適応型セキュリティ アプライアンスは、検出したイメージを指定した URL の SSM に転送できるようになります。

ステップ 2 TFTP サーバから SSM にイメージを転送し、SSM を再起動するには、 hw-module module recover コマンドとともに boot キーワードを次のように使用します。

hostname# hw-module module slot recover boot
 

slot は、SSM 専用のスロット番号です。

ステップ 3 show module コマンドを使用して、イメージの転送と SSM の再起動プロセスの進捗を確認します。詳細については、「SSM ステータスのチェック」を参照してください。

適応型セキュリティ アプライアンスがイメージ転送と SSM の再起動を完了すると、新しく転送されたイメージが実行されます。


) SSM がコンフィギュレーションのバックアップをサポートしていて、SSM で実行しているアプリケーションのコンフィギュレーションを復元する場合の詳細については、その SSM のマニュアルを参照してください。