Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
IPS モジュールの設定
IPS モジュールの設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IPS モジュールの設定

IPS モジュールに関する情報

IPS モジュールを ASA と連携させる方法

動作モード

仮想センサーの使用(ASA 5510 以降)

管理アクセスに関する情報

IPS モジュールのライセンス要件

ガイドラインと制限事項

デフォルト設定

IPS モジュールの設定

IPS モジュールのタスク フロー

管理アクセスの設定

管理インターフェイス ケーブルの接続

IPS モジュールの管理インターフェイスの設定(ASA 5505)

ASA からモジュールへのセッション接続

IPS モジュールでのセキュリティ ポリシーの設定

セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)

IPS モジュールへのトラフィックの誘導

IPS モジュールのモニタリング

IPS モジュールのトラブルシューティング

モジュールへのイメージのインストール

パスワードのトラブルシューティング

モジュールのリロードまたはリセット

モジュールのシャットダウン

IPS モジュールの設定例

IPS モジュールの機能履歴

IPS モジュールの設定

この章では、次のモジュール タイプ上で実行する IPS アプリケーションを設定する方法について説明します。

セキュリティ サービス カード(SSC)

セキュリティ サービス モジュール(SSM)

セキュリティ サービス プロセッサ(SSP)

ASA モデルごとにサポートされている IPS モジュールのリストについては、次の URL にある『 Cisco ASA Compatibility 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

この章は、次の項で構成されています。

「IPS モジュールに関する情報」

「IPS モジュールのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「IPS モジュールの設定」

「IPS モジュールのモニタリング」

「IPS モジュールのトラブルシューティング」

「IPS モジュールの設定例」

「IPS モジュールの機能履歴」

IPS モジュールに関する情報

IPS モジュールは、フル機能の予防的な侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前にこれらを阻止します。この項は、次の内容で構成されています。

「IPS モジュールを ASA と連携させる方法」

「動作モード」

「仮想センサーの使用(ASA 5510 以降)」

「管理アクセスに関する情報」

IPS モジュールを ASA と連携させる方法

IPS モジュールは ASA から個別のアプリケーションを実行します。IPS モジュールには、外部管理インターフェイスが含まれているため、IPS モジュールに直接接続することはできません。管理インターフェイスが含まれていない場合には、ASA インターフェイスを介して IPS モジュールに接続することができます。IPS モジュールのその他のインターフェイスが使用中のモデルで利用できる場合、それらのインターフェイスが ASA トラフィックにのみ使用されます。

トラフィックは、ファイアウォール検査を通過してから IPS モジュールへ転送されます。IPS インスペクションのトラフィックを識別する場合、ASA トラフィックは次のように ASA および IPS モジュールを通過します。 :この例は「インライン モード」の場合です。ASA でトラフィックのコピーを IPS モジュールに送信するだけの「無差別モード」については、 「動作モード」 を参照してください。

1. トラフィックはASAに入ります。

2. 着信 VPN トラフィックが復号化されます。

3. ファイアウォール ポリシーが適用されます。

4. バックプレーンを介して IPS モジュールにトラフィックが送信されます。

5. IPS モジュールはそのセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

6. 有効なトラフィックがバックプレーンを介して ASA に返送されます。IPS モジュールがセキュリティ ポリシーに従ってトラフィックをブロックすることがあり、そのトラフィックは渡されません。

7. 発信 VPN トラフィックが暗号化されます。

8. トラフィックが ASA から出ます。

図 58-1 は、IPS モジュールをインライン モードで実行している場合のトラフィック フローを示します。この例では、IPS モジュールが攻撃と見なしたトラフィックは、自動的にブロックされています。それ以外のトラフィックは、ASAを通って転送されます。

図 58-1 ASA での IPS モジュールのトラフィック フロー:インライン モード

 

動作モード

次のいずれかのモードを使用して、トラフィックを IPS モジュールに送信できます。

インライン モード:このモードでは、IPS モジュールをトラフィック フローに直接配置されます(図 58-1 を参照)。IPS インスペクション対象と認識されたトラフィックは、最初に IPS モジュールに渡されて検査を受けないと、ASA を通過することはできません。インスペクション対象と識別されたすべてのパケットは通過する前に分析されるため、このモードは最もセキュアです。また、IPS モジュールはパケット単位でブロッキング ポリシーを実装できます。ただし、このモードは、スループットに影響を与えることがあります。

無差別モード:このモードでは、トラフィックの重複ストリームが IPS モジュールに送信されます。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えません。インライン モードとは異なり、無差別モードでは、IPS モジュールがトラフィックをブロックできるのは、ASA にトラフィックの回避を指示するか、ASA 上の接続をリセットした場合だけです。また、IPS モジュールがトラフィックを分析している間、IPS モジュールがそのトラフィックを排除する前に少量のトラフィックが ASA を通過することがあります。 図 58-2 は、無差別モードでの IPS モジュールを示します。この例では、IPS モジュールは、脅威と見なしたトラフィックについての排除メッセージを ASA に送信します。

図 58-2 ASA での IPS モジュールのトラフィック フロー:無差別モード

 

仮想センサーの使用(ASA 5510 以降)

IPS ソフトウェアのバージョン 6.0 以降を実行している IPS モジュールでは、複数の仮想センサーを実行できます。つまり、IPS モジュールに複数のセキュリティ ポリシーを設定することができます。各 ASA セキュリティ コンテキストまたはシングル モードの ASA を 1 つまたは複数の仮想センサーに割り当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。仮想センターの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照してください。

図 58-3 では、1 つのセキュリティ コンテキストと 1 つの仮想センター(インライン モード)がペアになり、2 つのセキュリティ コンテキストが同じ仮想センサーを共有しています。

図 58-3 セキュリティ コンテキストと仮想センサー

 

図 58-4 では、シングル モードのASAが複数の仮想センサー(インライン モード)とペアになっています。定義されている各トラフィック フローは異なるセンサーに進みます。

図 58-4 複数の仮想センサーがあるシングル モードの ASA

 

管理アクセスに関する情報

次の方法を使用しえ、IPS アプリケーションを管理できます。

ASA からモジュールへのセッション接続:ASA に CLI アクセスが可能な場合は、バックプレーンを介してモジュールにセッション接続し、そのモジュール CLI にアクセスできます。「ASA からモジュールへのセッション接続」を参照してください。

ASDM または SSH を使用した IPS 管理インターフェイスへの接続 ASA で ASDM を起動すると、ASDM が SSC 管理インターフェイスに接続し、モジュール アプリケーションが設定されます。SSH の場合、モジュール管理インターフェイスでモジュール CLI に直接アクセスできます。(Telnet アクセスでは、モジュール アプリケーションで追加の設定が必要になります)。モジュール管理インターフェイスは、syslog メッセージの送信や、シグニチャ データベースの更新などのモジュール アプリケーションの更新に使用できます。「管理インターフェイス ケーブルの接続」を参照してください。

管理インターフェイスについては、次の情報を参照してください。

ASA 5510 以降:IPS 管理インターフェイスは、外部のギガビット イーサネット インターフェイスです。デフォルトのアドレスを使用できない場合(「デフォルト設定」を参照)、モジュールにセッション接続し、 setup コマンドを使用してモジュール CLI でパラメータを設定することにより、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。「ASA からモジュールへのセッション接続」を参照してください。

ASA 5505:ASA VLAN を使用して、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトの VLAN および IP アドレスを使用できない場合(「デフォルト設定」を参照)、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してネットワーク設定を変更します。

IPS モジュールのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

IPS モジュールの IPS アプリケーションは、署名のアップデートをサポートするために個別の Cisco Services for IPS ライセンスを必要とします。その他のすべてのアップデートは、ライセンスがなくても使用できます。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ASA 5505 はマルチ コンテキスト モードをサポートしないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

モデルのガイドライン

どのモデルがどのモジュールをサポートするかの詳細については、次の URL にある『 Cisco ASA Compatibility 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

ASA 5505 はマルチ コンテキスト モードをサポートしないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされません。

ASA 5505 の IPS モジュールは小規模オフィスでのインストール用に設計されていますが、ASA 5510 以降の IPS モジュールはより高度なパフォーマンス要件をサポートします。次の機能は、ASA 5505 でサポートされていません。

仮想センサー

異常検出

デフォルトの無効にした署名の非無効化

その他のガイドライン

モジュールにインストールされているソフトウェアのタイプの変更はできません。IPS モジュールを購入した場合は、後でそれに CSC ソフトウェアをインストールできません。

デフォルト設定

表 58-1 に、IPS モジュールのデフォルト設定値を示します。

 

表 58-1 デフォルトのネットワーク パラメータ

パラメータ
デフォルト

管理 VLAN(ASA 5505 専用)

VLAN 1

管理 IP アドレス

192.168.1.2/24

管理ホスト(ASA 5505 専用)

192.168.1.5 ~ 192.168.1.254

ゲートウェイ

192.168.1.1/24(デフォルトの ASA 管理 IP アドレス)

ユーザ名

cisco

パスワード

cisco


) ASAのデフォルトの管理 IP アドレスは 192.168.1.1/24 です。


IPS モジュールの設定

この項では、IPS モジュールを設定する方法について説明します。次の項目を取り上げます。

「IPS モジュールのタスク フロー」

「管理アクセスの設定」

「IPS モジュールでのセキュリティ ポリシーの設定」

「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」

「IPS モジュールへのトラフィックの誘導」

IPS モジュールのタスク フロー

IPS モジュールの設定は、トラフィックを IPS モジュールに送信するための IPS モジュールでの IPS セキュリティ ポリシーの設定、およびその後の ASA の設定を含むプロセスです。IPS モジュールを設定するには、次の手順に従います。


ステップ 1 次のようにして IPS モジュールへの管理アクセスを設定します。

ASA と IPS 管理インターフェイスをケーブル接続します。「管理インターフェイス ケーブルの接続」を参照してください。

(ASA 5505、オプション)デフォルトの管理 VLAN および IP アドレスを変更する必要がある場合には、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

(ASA 5510 以降、オプション)デフォルトの管理 IP アドレスを変更する必要がある場合、または 一般的な設定に IPS CLI にアクセスする場合には、「ASA からモジュールへのセッション接続」を参照してください。

ステップ 2 IPS モジュールでは、インスペクションと保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出時の対処を決定します。「IPS モジュールでのセキュリティ ポリシーの設定」を参照してください。

ステップ 3 (ASA 5510、オプション)マルチ コンテキスト モードの ASA で、各コンテキストに対してどの IPS 仮想センサーが使用可能かを指定します(仮想センサーを設定している場合)。「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照してください。

ステップ 4 ASA で、IPS モジュールに誘導するトラフィックを識別します。「IPS モジュールへのトラフィックの誘導」を参照してください。


 

管理アクセスの設定

この項では、管理用の IPS モジュールにアクセスする方法について説明します。次の項目を取り上げます。

「管理インターフェイス ケーブルの接続」

「IPS モジュールの管理インターフェイスの設定(ASA 5505)」

「ASA からモジュールへのセッション接続」

管理インターフェイス ケーブルの接続

インターフェイス ケーブルを ASA および IPS モジュール管理インターフェイスに接続します。次のガイドラインを参照してください。

ASA 5505:ASA 5505 には、専用の管理インターフェイスがありません。ASA VLAN を使用して、バックプレーンを介して内部 IP 管理アドレスにアクセスする必要があります。出荷時のデフォルト設定の場合、管理 PC をイーサネット 0/1 ~ 0/7 のいずれかに接続します。これらのポートは、IP アドレス 192.168.1.1/24 を使用して VLAN 1 に割り当てられます。内部 IPS 管理 IP アドレスは 192.168.1.2/24 です。デフォルト設定を使用しない場合、直接接続されたネットワークまたはリモート ネットワークから IPS 管理アドレスに接続できません。ローカル管理アクセスまたはリモート管理アクセスに対して適切に IPS ゲートウェイを設定するには、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

他のすべてのモデル:出荷時のデフォルト設定の場合、管理 PC、ASA 管理インターフェイス、および IPS 管理インターフェイスをネットワーク 192.168.1.0/24 に接続します。デフォルト設定を使用しない場合、外部管理インターフェイスは ASA インターフェイスとは見なされないため、直接接続されたネットワーク上に自動的には置かれません。ネットワークをケーブル接続する方法に応じて、モジュールの外部インターフェイスを ASA インターフェイスと同じネットワーク上に置くことも(スイッチを通じて)、別のネットワーク上に置くことも(ルータを通じて)できます。必要に応じて IPS ゲートウェイを変更してください。

図 58-5 は、ASA と IPS モジュールの両方で出荷時のデフォルト設定を使用した場合のケーブル接続および IP アドレスを示します(ASA 5505 と ASA 5585-X)。管理にデフォルト以外のネットワークを使用する場合は、ネットワークに応じてケーブル接続が異なる可能性があります。

図 58-5 IPS 管理インターフェイスのケーブル接続:出荷時のデフォルト設定

 

次の作業

(ASA 5505、オプション)管理インターフェイスの設定を変更します。「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

(ASA 5510 以降、オプション)IPS CLI を使用して管理インターフェイスの設定を変更します。「ASA からモジュールへのセッション接続」を参照してください。

IPS モジュールの管理インターフェイスの設定(ASA 5505)

ASA 5505 上での IPS モジュールには、外部インターフェイスがありません。VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトでは、VLAN 1 は IPS 管理アドレスでイネーブルになります。管理 VLAN として割り当てることができるのは 1 つの VLAN だけです。この項では、デフォルトを使用しない場合に管理 VLAN および IP アドレスを変更する方法について説明します。許可されたホスト、ゲートウェイを変更する方法についても説明します。デフォルトの詳細については、「デフォルト設定」を参照してください。


) IPS モジュールではなく、ASA 5505 でこの設定を実行します。


前提条件

IPS VLAN および管理アドレスをデフォルトから変更する場合には、「インターフェイス コンフィギュレーションの開始(ASA 5505)」で説明する手順に従って適合する ASA VLAN およびスイッチ ポートも設定してください。

制限事項

ASDM を使用してアクセスする場合は、管理アドレス用に NAT を設定しないでください。ASDM の初期セットアップでは、実際のアドレスにアクセスする必要があります。初期セットアップ後(IPS でパスワードを設定した後)は、NAT を設定し、IPS モジュールにアクセスするときの変換アドレスを ASDM に提供できます。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface vlan number
 

hostname(config)# interface vlan 1

IPS 管理をディセーブルにする現在の管理 VLAN を指定します。デフォルトでは、これは VLAN 1 です。

ステップ 2

no allow-ssc-mgmt
 

hostname(config-if)# no allow-ssc-mgmt

別の VLAN についてイネーブルにできるように、古い VLAN の IPS 管理をディセーブルにします。

ステップ 3

interface vlan number
 

hostname(config)# interface vlan 20

新しい IPS 管理 VLAN として使用する VLAN を指定します。

ステップ 4

allow-ssc-mgmt
 

hostname(config-if)# allow-ssc-mgmt

このインターフェイスを IPS 管理インターフェイスとして設定します。

ステップ 5

hw-module module 1 ip ip_address netmask gateway
 

hostname# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1

IPS モジュールの管理 IP アドレスを設定します。このアドレスが ASA VLAN IP アドレスと同じサブネット上にあることを確認します。たとえば、ASA の VLAN に 10.1.1.1 を割り当てた場合、IPS 管理アドレスに対してそのネットワークの別のアドレス(10.1.1.2 など)を割り当てます。

直接接続された ASA ネットワーク上に管理ステーションがある場合は、ゲートウェイを、IPS 管理 VLAN に割り当てられている ASA IP アドレスに設定します。上記の例では、ゲートウェイを 10.1.1.1 に設定します。管理ステーションがリモート ネットワーク上にある場合は、ゲートウェイを、IPS 管理 VLAN のアップストリーム ルータのアドレスに設定します。

コマンドを使用して、この設定を IPS CLI から設定することもできます。

ステップ 6

hw-module module 1 allow-ip ip_address netmask
 

hostname# hw-module module 1 allow-ip 10.1.1.30 255.255.255.0

管理 IP アドレスにアクセスできるホストを設定します。

コマンドを使用して、この設定を IPS CLI から設定することもできます。

次の例では、VLAN 20 を IPS 管理 VLAN として設定します。この VLAN は管理トラフィックだけに制限されています。10.1.1.30 のホストだけが IPS 管理 IP アドレスにアクセスできます。VLAN 20 はスイッチ ポート Ethernet 0/0 に割り当てられます。ASA インターフェイス 10.1.1.1 上の ASDM に接続すると、ASDM は 10.1.1.2 上の IPS にアクセスします。

hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt
 
hostname(config-if)# interface vlan 20
hostname(config-if)# nameif inside
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# security-level 100
hostname(config-if)# allow-ssc-mgmt
hostname(config-if)# no shutdown
hostname(config-if)# management-only
 
hostname(config-if)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown
 

ASA からモジュールへのセッション接続

CLI を使用してモジュールの設定を開始するには、ASA からモジュールにセッション接続します。(ASA 5510 以降)ASDM ユーザの場合は、デフォルトの管理 IP アドレスを変更するときに、IPS CLI へのセッション接続が必要となることがあります。たとえば、IPS モジュールにセッション接続してから、 setup コマンドを実行して基本設定を変更します。ASA 5505 の場合、ASA からネットワーク設定を設定できます。「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

手順の詳細

 

コマンド
目的
session 1
 

hostname# session 1

 

Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.

バックプレーンを経由してモジュールにアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は cisco、デフォルトのパスワードは cisco です。

(注) 初めてモジュールにログインしたときに、デフォルトのパスワードの変更を要求するプロンプトが表示されます。パスワードは 8 文字以上で、辞書に載っていない単語にする必要があります。

IPS モジュールでのセキュリティ ポリシーの設定

この項では、IPS モジュール アプリケーションを設定する方法について説明します。

手順の詳細


ステップ 1 次の方法のいずれかを使用して IPS モジュール CLI にアクセスします。

ASA から IPS モジュールにセッション接続します。「ASA からモジュールへのセッション接続」を参照してください。

SSH を使用して IPS 管理インターフェイスに接続します。デフォルトの管理 IP アドレスは 192.168.1.2 です。デフォルトのユーザ名は cisco、デフォルトのパスワードは cisco です。管理インターフェイスの詳細については、「管理インターフェイス ケーブルの接続」を参照してください。

ステップ 2 IPS モジュールの初期コンフィギュレーション用のセットアップ ユーティリティを実行するには、次のコマンドを入力します。

sensor# setup
 

基本設定を求めるプロンプトが表示されます。

ステップ 3 IPS のマニュアルに従って IPS セキュリティ ポリシーを設定します。

IPS に関連するすべてのマニュアルにアクセスするには、次の URL に移動します。 http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_documentation_roadmaps_list.html

ステップ 4 (ASA 5510 以降)仮想センサーを設定する場合、いずれかのセンサーをデフォルトとして指定します。ASA のコンフィギュレーションで仮想センサー名を指定しない場合は、デフォルト センサーが使用されます。

ステップ 5 IPS モジュールの設定が完了したら、次のコマンドを入力して IPS ソフトウェアを終了します。

sensor# exit
 

ASA から IPS モジュールにセッション接続した場合は、ASA のプロンプトに戻ります。


 

次の作業

マルチ コンテキスト モードのASAの場合は、「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照してください。

シングル コンテキスト モードのASAの場合は、「IPS モジュールへのトラフィックの誘導」を参照してください。

セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)

ASAがマルチ コンテキスト モードにある場合、1 つまたは複数の IPS 仮想センサーを各コンテキストに割り当てることができます。このようにすると、トラフィックを IPS モジュールに送信するようにコンテキストを設定するときに、そのコンテキストに割り当てられているセンサーを指定できます。そのコンテキストに割り当てられていないセンサーを指定することはできません。コンテキストにセンサーを割り当てない場合は、IPS モジュールに設定されているデフォルト センサーが使用されます。同じセンサーを複数のコンテキストに割り当てることができます。


) 仮想センサーを使用するためにマルチ コンテキスト モードを開始する必要はありません。シングル モードでトラフィック フローごとに異なるセンサーを使用できます。


前提条件

コンテキストの設定の詳細については、「マルチ コンテキストの設定」を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

context name

 

 

hostname(config)# context admin

hostname(config-ctx)#

設定するコンテキストを識別します。システム実行スペースにこのコマンドを入力します。

ステップ 2

allocate-ips sensor_name [ mapped_name ] [ default ]

 

 

hostname(config-ctx)# allocate-ips sensor1 highsec

コンテキストに割り当てるセンサーごとに、このコマンドを入力します。

sensor _name 引数は、IPS モジュールに設定されているセンサー名です。IPS モジュールに設定されているセンサーを表示するには、 allocate-ips ? と入力します。使用可能なすべてのセンサーが表示されます。 show ips コマンドを入力することもできます。システム実行スペースで show ips コマンドを入力すると、使用可能なすべてのセンサーが表示されます。このコマンドをコンテキストで入力すると、そのコンテキストにすでに割り当てられているセンサーが表示されます。IPS モジュールにまだ存在しないセンサー名を指定すると、エラーになりますが、 allocate-ips コマンドはそのまま入力されます。IPS モジュールに指定した名前のセンサーを作成するまで、コンテキストはセンサーがダウンしていると見なします。

mapped_name 引数を、実際のセンサー名の代わりにコンテキストで使用可能なセンサー名のエイリアスとして使用します。マッピング名を指定しない場合、センサー名がコンテキスト内で使用されます。セキュリティのために、コンテキストで使用されているセンサーをコンテキスト管理者に知らせない場合があります。または、コンテキスト コンフィギュレーションを一般化する場合もあります。たとえば、すべてのコンテキストで「sensor1」と「sensor2」という名前のセンサーを使用する場合、コンテキスト A の sensor1 と sensor2 には「highsec」センサーと「lowsec」センサーをマップできますが、コンテキスト B の sensor1 と sensor2 には「medsec」センサーと「lowsec」センサーをマップします。

default キーワードは、コンテキストごとに 1 つのセンサーをデフォルトのセンサーとして設定します。コンテキスト コンフィギュレーションでセンサー名を指定しない場合、コンテキストではこのデフォルト センサーが使用されます。コンテキストごとに設定できるデフォルト センサーは 1 つのみです。デフォルト センサーを変更する場合は、 no allocate-ips sensor_name コマンドを入力して現在のデフォルト センサーを削除してから、新しいデフォルト センサーを割り当てます。デフォルトとしてセンサーを指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、トラフィックでは IPS モジュールで指定されているようにデフォルト センサーを使用します。

ステップ 3

changeto context context_name

 

 

hostname# changeto context customer1

hostname/customer1#

「IPS モジュールへのトラフィックの誘導」での説明に従って、IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます。

次に、sensor1 と sensor2 をコンテキスト A に、sensor1 と sensor3 をコンテキスト B に割り当てる例を示します。いずれのコンテキストでもセンサー名を「ips1」と「ips2」にマッピングしています。コンテキスト A では、sensor1 はデフォルト センサーとして設定されていますが、コンテキスト B ではデフォルト センサーは設定されていないため、IPS モジュールで設定されているデフォルトが使用されます。

hostname(config-ctx)# context A
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1 default
hostname(config-ctx)# allocate-ips sensor2 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# allocate-ips sensor1 ips1
hostname(config-ctx)# allocate-ips sensor3 ips2
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 
hostname(config-ctx)# changeto context A
...

次の作業

IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「IPS モジュールへのトラフィックの誘導」で説明されています)。

IPS モジュールへのトラフィックの誘導

この項では、ASA から IPS モジュールに誘導するトラフィックを識別します。

前提条件

マルチ コンテキスト モードでは、各コンテキスト実行スペースでこれらの手順を実行します。コンテキストに変更するには、 changeto context context_name コマンドを入力します。

手順の詳細

 

 
コマンド
目的

ステップ 1

class-map name

 

 

hostname(config)# class-map ips_class

IPS モジュールに送信するトラフィックを特定するためのクラス マップを作成します。

IPS モジュールに複数のトラフィック クラスを送信する場合は、セキュリティ ポリシーで使用するための複数のクラス マップを作成できます。

ステップ 2

match parameter

 

 

hostname(config-cmap)# match access-list ips_traffic

クラス マップのトラフィックを指定します。詳細については、「トラフィックの特定(レイヤ 3/4 クラス マップ)」を参照してください。

ステップ 3

policy-map name

 

 

hostname(config)# policy-map ips_policy

クラス マップ トラフィックで実行するアクションを設定するポリシー マップを追加または編集します。

ステップ 4

class name

 

 

hostname(config-pmap)# class ips_class

ステップ 1 で作成したクラス マップを識別します。

ステップ 5

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

 

 

hostname(config-pmap-c)# ips promiscuous fail-close

トラフィックが IPS モジュールに送信されるように指定します。

inline キーワードと promiscuous キーワードは、IPS モジュールの動作モードを制御します。詳細については、「動作モード」を参照してください。

fail-close キーワードを指定すると、IPS モジュールが使用できない場合、ASA はすべてのトラフィックをブロックするように設定されます。

fail-open キーワードを指定すると、IPS モジュールが使用できない場合、ASA はすべてのトラフィックの通過をインスペクションなしで許可するように設定されます。

(ASA 5510 以降)仮想センサーを使用する場合、 sensor sensor_name 引数を使用してセンサー名を指定できます。使用可能なセンサー名を表示するには、 ips { inline | promiscuous } { fail-close | fail-open } sensor ? コマンドを入力します。使用可能なセンサーの一覧が表示されます。また、 show ips コマンドを使用することもできます。ASAでマルチ コンテキスト モードを使用する場合、コンテキストに割り当てたセンサーだけを指定できます(「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照)。コンテキストで設定する場合は、 mapped_name を使用します。センサー名を指定しないと、トラフィックはデフォルトのセンサーを使用します。マルチ コンテキスト モードでは、コンテキストのデフォルトのセンサーを指定できます。シングル モードの場合、またはマルチ モードでデフォルト センサーを指定しない場合、トラフィックでは IPS モジュールで設定されているデフォルト センサーが使用されます。IPS モジュールにまだ存在しない名前を入力すると、エラーになり、コマンドは拒否されます。

ステップ 6

(オプション)

class name2

 

 

hostname(config-pmap)# class ips_class2

 

IPS トラフィックに複数のクラス マップを作成した場合、ポリシーに対して別のクラスを指定できます。

ポリシー マップ内でのクラスの順番が重要であることの詳細については、「サービス ポリシー内の機能照合」を参照してください。トラフィックを同じアクション タイプの複数のクラス マップに一致させることはできません。そのため、ネットワーク A を sensorA に進ませ、それ以外のすべてのトラフィックを sensorB に進ませる場合、まずネットワーク A に対して class コマンドを入力してから、すべてのトラフィックに対して class コマンドを入力する必要があります。このようにしないと、ネットワーク A を含むすべてのトラフィックが最初の class コマンドに一致して、sensorB に送信されます。

ステップ 7

(オプション)

ips { inline | promiscuous } { fail-close | fail-open } [ sensor { sensor_name | mapped_name }]

 

 

hostname(config-pmap-c)# ips promiscuous fail-close

トラフィックの 2 番目のクラスが IPS モジュールに送信されるように指定します。

これらの手順を繰り返して、必要なクラスの数だけ追加します。

ステップ 8

service-policy policymap_name {global | interface interface_name }

 

 

hostname(config)# service-policy tcp_bypass_policy outside

1 つまたは複数のインターフェイスでポリシー マップをアクティブにします。 global はポリシー マップをすべてのインターフェイスに適用し、 interface は 1 つのインターフェイスに適用します。グローバル ポリシーは 1 つしか適用できません。インターフェイスのグローバル ポリシーは、そのインターフェイスにサービス ポリシーを適用することで上書きできます。各インターフェイスには、ポリシー マップを 1 つだけ適用できます。

IPS モジュールのモニタリング

モジュールのステータスをチェックするには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show module

ステータスを表示します。

show module 1 details

ステータスの追加情報を表示します。

show module 1 recover

イメージをモジュールに転送するためのネットワーク パラメータを表示します。

次に、CSC SSM がインストールされている ASA での show module コマンドの出力例を示します。

hostname# show module
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5520 Adaptive Security Appliance ASA5520 JMX1241L05S
1 ASA 5500 Series Content Security Services Mo ASA-SSM-CSC-10 AF1234BQQL
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 CSC SSM Down 6.2.1599.0
 

次に、 show module details コマンドの出力例を示します。この出力は、CSC SSM がインストールされている ASA に関する追加情報を提供します。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 1.0
Serial Number: JAF10333331
Firmware version: 1.0(10)0
Software version: Trend Micro InterScan Security Module Version 6.2
App.name: Trend Micro InterScan Security Module
App.version: Version 6.2
Data plane Status: Up
Status: Up
HTTP Service: Up
Mail Service: Up
FTP Service: Up
Activated: Yes
Mgmt IP addr: 209.165.200.225
Mgmt web port: 8443
 

次に、 show module recover コマンドの出力例を示します。この出力には、CSC SSM がインストールされている ASA の回復の詳細が含まれます。

hostname# show module 1 recover
Module 1 recover parameters...
Boot Recovery Image: Yes
Image URL: tftp://10.21.18.1/ids-oldimg
Port IP Address: 209.165.200.230
Port Mask: 255.255.224.0
Gateway IP Address: 209.165.200.254
 

次に、 show module details コマンドの出力例を示します。この出力は、SSC がインストールされている ASA に関する追加情報を提供します。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Card-5
Hardware version: 0.1
Serial Number: JAB11370240
Firmware version: 1.0(14)3
Software version: 6.2(1)E2
MAC Address Range: 001d.45c2.e832 to 001d.45c2.e832
App.Name: IPS
App.Status: Up
App.Status Desc: Not Applicable
App.Version: 6.2(1)E2
Data plane Status: Up
Status: Up
Mgmt IP Addr: 209.165.201.29
Mgmt Network Mask: 255.255.224.0
Mgmt Gateway: 209.165.201.30
Mgmt Access List: 209.165.201.31/32
209.165.202.158/32
209.165.200.254/24
Mgmt Vlan: 20
 

IPS モジュールのトラブルシューティング

この項では、モジュールの回復またはトラブルシューティングに役立つ手順について説明します。次の項目を取り上げます。

「モジュールへのイメージのインストール」

「パスワードのトラブルシューティング」

「モジュールのリロードまたはリセット」

「モジュールのシャットダウン」

モジュールへのイメージのインストール

モジュールに障害が発生し、モジュール アプリケーション イメージを実行できない場合は、ASA CLI を使用して、アプリケーション イメージを TFTP サーバからモジュールに転送できます。ASAはモジュール ROMMON アプリケーションと通信し、イメージを転送できます。


) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。

モジュール ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。


前提条件

指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

hw-module module 1 recover configure
 

hostname# hw-module module 1 recover configure

Image URL [tftp://127.0.0.1/myimage]: tftp://10.1.1.1/ids-newimg

Port IP Address [127.0.0.2]: 10.1.2.10

Port Mask [255.255.255.254]: 255.255.255.0

Gateway IP Address [1.1.2.10]: 10.1.2.254

VLAN ID [0]: 100

TFTP サーバの URL、管理インターフェイス IP アドレスとネットマスク、ゲートウェイ アドレス、および VLAN ID(ASA 5505 のみ)を入力するように、プロンプトが表示されます。これらのネットワーク パラメータは ROMMON で設定されます。モジュール アプリケーション コンフィギュレーションで設定したネットワーク パラメータは ROMMON には使用できないため、ここで別個に設定する必要があります。

コンフィギュレーションを修正する場合は、入力を求められたときに Enter キーを押すことにより、以前の設定値を保持することができます。

show module 1 recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。

マルチ コンテキスト モードでは、システム実行スペースでこのコマンドを入力します。

ステップ 2

hw-module module 1 recover boot
 

hostname# hw-module module 1 recover boo t

TFTP サーバからモジュールにイメージを転送し、モジュールを再起動します。

ステップ 3

show module 1 details
 

hostname# show module 1 details

イメージ転送の進捗とモジュールの再起動プロセスを確認します。

出力の [Status] フィールドはモジュールの動作ステータスを示します。モジュールの動作ステータスは、通常は「Up」と表示されます。ASA はアプリケーション イメージをモジュールに転送しますが、出力の [Status] フィールドには [Recover] と表示されます。ASA がイメージの転送を完了し、モジュールを再起動すると、新たに転送されたイメージが実行されます。

パスワードのトラブルシューティング

モジュール パスワードをデフォルトにリセットできます。IPS の場合、パスワードのリセットは、モジュールで IPS バージョン 6.0 以降が実行されている場合にサポートされます。デフォルトのパスワードは cisco です。パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。

モジュールのパスワードをリセットすると、モジュールが再起動されます。モジュールのリブート中は、サービスを使用できません。

モジュールのパスワードをデフォルトの「cisco」にリセットするには、次の手順を実行します。

手順の詳細

 

コマンド
目的
hw-module module 1 password-reset
 

hostname# hw-module module 1 password-reset

モジュールのパスワードを cisco にリセットします。

モジュールのリロードまたはリセット

モジュールをリロードまたはリセットするには、ASA CLI で次のいずれかのコマンドを入力します。

手順の詳細

 

コマンド
目的
hw-module module 1 reload
 

hostname# hw-module module 1 reload

モジュール ソフトウェアをリロードします。

hw-module module 1 reset
 

hostname# hw-module module 1 reset

ハードウェアをリセットし、モジュールをリロードします。

モジュールのシャットダウン

ASA を再起動しても、モジュールは自動では再起動されません。モジュールをシャットダウンするには、ASA CLI で次の手順を実行します。

手順の詳細

 

コマンド
目的
hw-module module 1 shutdown
 

hostname# hw-module module 1 shutdown

モジュールをシャットダウンします。

IPS モジュールの設定例

次に、すべての IP トラフィックが IP モジュールに無差別モードで誘導され、何らかの理由で IP モジュール カードに障害が発生した場合にはすべての IP トラフィックをブロックする例を示します。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

次の例では、10.1.1.0 ネットワークと 10.2.1.0 ネットワーク宛てのすべての IP トラフィックが AIP SSM にインライン モードで誘導され、何らかの理由で AIP SSM に障害が発生した場合は、すべてのトラフィックの通過が許可されます。my-ips-class トラフィックにはセンサー 1 が使用され、my-ips-class2 トラフィックにはセンサー 2 が使用されます。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
 

IPS モジュールの機能履歴

表 58-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 58-2 IPS モジュールの機能履歴

機能名
プラットフォーム リリース
機能情報

AIP SSM

7.0(1)

ASA 5510、5520、および 5540 対応の AIP SSM のサポートが導入されました。

ips コマンドが導入されました。

 

仮想センサー(ASA 5510 以降)

8.0(2)

仮想センサーのサポートが導入されました。仮想センサーを使用すると IPS モジュールで複数のセキュリティ ポリシーを設定できます。

allocate-ips コマンドが導入されました。

 

ASA 5505 用 AIP SSC

8.2(1)

ASA 5505 対応の AIP SSC のサポートが導入されました。

allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip コマンドが導入されました。

 

ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポート

8.2(5)/
8.4(2)

ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポートが導入されました。IPS SSP をインストールできるのは、SSP のレベルが一致する場合だけです(たとえば、SSP-10 と IPS SSP-10)。

(注) ASA 5585 はバージョン 8.3 ではサポートされていません。

SSP-40 および SSP-60 対応のデュアル SSP のサポート

8.4(2)

SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は、個別の設定および管理で独立したデバイスとして機能します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。

(注) シャーシで 2 つの SSP を使用する場合、VPN がサポートされていません。ただし、VPN はディセーブルになっていません。

show module show inventory show environment の各コマンドが変更されました。