ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
IPS モジュールの設定
IPS モジュールの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/08/17 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

IPS モジュールの設定

IPS モジュールに関する情報

IPS モジュールを ASA と連携させる方法

動作モード

仮想センサーの使用(ASA 5510 以降)

管理アクセスに関する情報

IPS モジュールのライセンス要件

ガイドラインと制限事項

デフォルト設定

IPS モジュールの設定

IPS モジュールのタスク フロー

管理アクセスの設定

管理インターフェイス ケーブルの接続

IPS モジュールの管理インターフェイスの設定(ASA 5505)

ASA からモジュールへのセッション接続

IPS モジュールでのセキュリティ ポリシーの設定

セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)

IPS モジュールへのトラフィックの誘導

IPS モジュールのトラブルシューティング

モジュールへのイメージのインストール

ソフトウェア モジュール イメージのアンインストール

パスワードのトラブルシューティング

モジュールのリロードまたはリセット

モジュールのシャットダウン

IPS モジュールの機能履歴

IPS モジュールの設定

この章では、ASA で実行される IPS モジュールを設定する方法について説明します。IPS モジュールは、ご使用の ASA モデルに応じて、物理モジュールである場合とソフトウェア モジュールである場合があります。ASA モデルごとにサポートされている IPS モジュールのリストについては、次の URL にある『 Cisco ASA Compatibility Matrix 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

この章は、次の項で構成されています。

「IPS モジュールに関する情報」

「IPS モジュールのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「IPS モジュールの設定」

「IPS モジュールのトラブルシューティング」

「IPS モジュールの機能履歴」

IPS モジュールに関する情報

IPS モジュールは、フル機能の予防的な侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前にこれらを阻止します。この項は、次の内容で構成されています。

「IPS モジュールを ASA と連携させる方法」

「動作モード」

「仮想センサーの使用(ASA 5510 以降)」

「管理アクセスに関する情報」

IPS モジュールを ASA と連携させる方法

IPS モジュールは ASA から個別のアプリケーションを実行します。IPS モジュールに外部管理インターフェイスが搭載されている場合は、IPS モジュールに直接接続することができます。管理インターフェイスが搭載されていない場合は、ASA インターフェイスを介して IPS モジュールに接続できます。お使いのモデルで、IPS モジュールのその他のインターフェイスを利用できる場合、それらのインターフェイスは ASA トラフィックのみに使用されます。

トラフィックは、ファイアウォール検査を通過してから IPS モジュールへ転送されます。ASA で IPS インスペクションのトラフィックを識別する場合、トラフィックは次のように ASA および IPS モジュールを通過します。 :この例は「インライン モード」の場合です。ASA でトラフィックのコピーを IPS モジュールに送信するだけの「無差別モード」については、 「動作モード」 を参照してください。

1. トラフィックはASAに入ります。

2. 着信 VPN トラフィックが復号化されます。

3. ファイアウォール ポリシーが適用されます。

4. トラフィックが IPS モジュールに送信されます。

5. IPS モジュールはセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

6. 有効なトラフィックが ASA に返送されます。IPS モジュールは、セキュリティ ポリシーに従ってトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。

7. 発信 VPN トラフィックが暗号化されます。

8. トラフィックが ASA から出ます。

図 62-1 は、IPS モジュールをインライン モードで実行している場合のトラフィック フローを示します。この例では、IPS モジュールが攻撃と見なしたトラフィックは、自動的にブロックされています。それ以外のトラフィックは、ASAを通って転送されます。

図 62-1 ASA での IPS モジュールのトラフィック フロー:インライン モード

 

動作モード

次のいずれかのモードを使用して、トラフィックを IPS モジュールに送信できます。

インライン モード:このモードでは、IPS モジュールをトラフィック フローに直接配置されます(図 62-1 を参照)。IPS インスペクション対象と認識されたトラフィックは、最初に IPS モジュールに渡されて検査を受けないと、ASA を通過することはできません。インスペクション対象と識別されたすべてのパケットは通過する前に分析されるため、このモードは最もセキュアです。また、IPS モジュールはパケット単位でブロッキング ポリシーを実装できます。ただし、このモードは、スループットに影響を与えることがあります。

無差別モード:このモードでは、トラフィックの重複ストリームが IPS モジュールに送信されます。このモードは安全性では劣りますが、トラフィックのスループットにほとんど影響を与えません。インライン モードとは異なり、無差別モードでは、IPS モジュールがトラフィックをブロックできるのは、ASA にトラフィックの排除を指示するか、ASA 上の接続をリセットした場合だけです。また、IPS モジュールがトラフィックを分析している間、IPS モジュールがそのトラフィックを排除する前に少量のトラフィックが ASA を通過することがあります。図 62-2 は、無差別モードでの IPS モジュールを示します。この例では、IPS モジュールは、脅威と見なしたトラフィックについての排除メッセージを ASA に送信します。

図 62-2 ASA での IPS モジュールのトラフィック フロー:無差別モード

 

仮想センサーの使用(ASA 5510 以降)

IPS ソフトウェアのバージョン 6.0 以降を実行している IPS モジュールでは、複数の仮想センサーを実行できます。つまり、IPS モジュールに複数のセキュリティ ポリシーを設定することができます。各 ASA セキュリティ コンテキストまたはシングル モードの ASA を 1 つまたは複数の仮想センサーに割り当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。仮想センターの詳細(サポートされている最大センサー数など)については、IPS のマニュアルを参照してください。

図 62-3 では、1 つのセキュリティ コンテキストと 1 つの仮想センター(インライン モード)がペアになり、2 つのセキュリティ コンテキストが同じ仮想センサーを共有しています。

図 62-3 セキュリティ コンテキストと仮想センサー

 

図 62-4 では、シングル モードのASAが複数の仮想センサー(インライン モード)とペアになっています。定義されている各トラフィック フローは異なるセンサーに進みます。

図 62-4 複数の仮想センサーがあるシングル モードの ASA

 

管理アクセスに関する情報

次の方法を使用して、IPS アプリケーションを管理できます。

ASA からモジュールへのセッション接続:ASA に CLI アクセスが可能な場合は、モジュールにセッション接続し、そのモジュール CLI にアクセスできます。「ASA からモジュールへのセッション接続」を参照してください。

ASDM または SSH を使用した IPS 管理インターフェイスへの接続 ASA で ASDM を起動すると、ASDM が SSC 管理インターフェイスに接続し、モジュール アプリケーションが設定されます。SSH の場合、モジュール管理インターフェイスでモジュール CLI に直接アクセスできます。(Telnet アクセスでは、モジュール アプリケーションで追加の設定が必要になります)。モジュール管理インターフェイスは、syslog メッセージの送信や、シグニチャ データベースの更新などのモジュール アプリケーションの更新に使用できます。「管理インターフェイス ケーブルの接続」を参照してください。

管理インターフェイスについては、次の情報を参照してください。

ASA 5510、ASA 5520、ASA 5540、ASA 5580、ASA 5585-X:IPS 管理インターフェイスは、独立した外部ギガビット イーサネット インターフェイスです。デフォルトのアドレスを使用できない場合(「デフォルト設定」を参照)、モジュールにセッション接続し、 setup コマンドを使用してモジュール CLI でパラメータを設定することにより、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。「ASA からモジュールへのセッション接続」を参照してください。IPS 管理 IP アドレスは、ASA と同じネットワーク上にある場合(スイッチによる接続)と、ASA とは別のネットワーク上にある場合(ルータによる接続)があります。別のネットワークを使用する場合は、IPS ゲートウェイを適切に設定するようにしてください。

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X:これらのモデルは、ソフトウェア モジュールとして IPS モジュールを実行します。IPS 管理インターフェイスは、Management 0/0 インターフェイスを ASA と共有します。個別の MAC アドレスおよび IP アドレスは、ASA および IPS モジュールでサポートされています。IPS IP アドレスのコンフィギュレーションを IPS オペレーティング システム内で(CLI または ASDM を使用して)実行する必要があります。ただし、物理特性(インターフェイスのイネーブル化など)は ASA で設定されています。デフォルトのアドレスを使用できない場合(「デフォルト設定」を参照)、モジュールにセッション接続し、 setup コマンドを使用してモジュール CLI でパラメータを設定することにより、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。「ASA からモジュールへのセッション接続」を参照してください。

ASA 5505:ASA VLAN を使用して、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトの VLAN および IP アドレスを使用できない場合(「デフォルト設定」を参照)、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してネットワーク設定を変更します。

IPS モジュールのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X

IPS モジュールのライセンス1

他のすべてのモデル

基本ライセンス

1.フェールオーバー ペアの場合、両方の装置に IPS モジュール ライセンスが必要です。

IPS モジュールは、署名のアップデートをサポートするために個別の Cisco Services for IPS ライセンスを必要とします。その他のすべてのアップデートは、ライセンスがなくても使用できます。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ASA 5505 はマルチ コンテキスト モードをサポートしないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

モデルのガイドライン

どのモデルがどのモジュールをサポートするかの詳細については、次の URL にある『 Cisco ASA Compatibility Matrix 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

ASA 5505 はマルチ コンテキスト モードをサポートしないため、仮想センサーなどのマルチ コンテキスト機能は AIP SSC ではサポートされません。

ASA 5505 の IPS モジュールは小規模オフィスでのインストール用に設計されていますが、ASA 5510 以降の IPS モジュールはより高度なパフォーマンス要件をサポートします。次の機能は、ASA 5505 でサポートされていません。

仮想センサー

異常検出

デフォルトの無効にした署名の非無効化

その他のガイドライン

モジュールにインストールされているソフトウェアのタイプの変更はできません。IPS モジュールを購入した場合は、後でそれに CSC ソフトウェアをインストールできません。

デフォルト設定

表 62-1 に、IPS モジュールのデフォルト設定値を示します。

 

表 62-1 デフォルトのネットワーク パラメータ

パラメータ
デフォルト

管理 VLAN(ASA 5505 専用)

VLAN 1

管理 IP アドレス

192.168.1.2/24

管理ホスト(ASA 5505 専用)

192.168.1.5 ~ 192.168.1.254

ゲートウェイ

192.168.1.1/24(デフォルトの ASA 管理 IP アドレス)

ユーザ名

cisco

パスワード

cisco


) ASAのデフォルトの管理 IP アドレスは 192.168.1.1/24 です。


IPS モジュールの設定

この項では、IPS モジュールを設定する方法について説明します。次の項目を取り上げます。

「IPS モジュールのタスク フロー」

「管理アクセスの設定」

「IPS モジュールでのセキュリティ ポリシーの設定」

「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」

「IPS モジュールへのトラフィックの誘導」

IPS モジュールのタスク フロー

IPS モジュールの設定は、トラフィックを IPS モジュールに送信するための IPS モジュールでの IPS セキュリティ ポリシーの設定、およびその後の ASA の設定を含むプロセスです。IPS モジュールを設定するには、次の手順に従います。


ステップ 1 次のようにして IPS モジュールへの管理アクセスを設定します。

ASA と IPS 管理インターフェイスをケーブル接続します。「管理インターフェイス ケーブルの接続」を参照してください。

(ASA 5505、オプション)デフォルトの管理 VLAN および IP アドレスを変更する必要がある場合には、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

(ASA 5510 以降、オプション)デフォルトの管理 IP アドレスを変更する必要がある場合、または 一般的な設定に IPS CLI にアクセスする場合には、「ASA からモジュールへのセッション接続」を参照してください。

ステップ 2 IPS モジュールでは、インスペクションと保護ポリシーを設定することにより、トラフィックの検査方法と侵入検出時の対処を決定します。「IPS モジュールでのセキュリティ ポリシーの設定」を参照してください。

ステップ 3 (ASA 5510、オプション)マルチ コンテキスト モードの ASA で、各コンテキストに対してどの IPS 仮想センサーが使用可能かを指定します(仮想センサーを設定している場合)。「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照してください。

ステップ 4 ASA で、IPS モジュールに誘導するトラフィックを識別します。「IPS モジュールへのトラフィックの誘導」を参照してください。


 

管理アクセスの設定

この項では、管理用の IPS モジュールにアクセスする方法について説明します。次の項目を取り上げます。

「管理インターフェイス ケーブルの接続」

「IPS モジュールの管理インターフェイスの設定(ASA 5505)」

「ASA からモジュールへのセッション接続」

管理インターフェイス ケーブルの接続

管理 PC を ASA および IPS モジュール管理インターフェイスに接続します。

ガイドライン

管理にデフォルト以外のネットワークを使用する場合は、ネットワークに応じてケーブル接続が異なる可能性があります。

「管理アクセスに関する情報」を参照してください。

手順の詳細

ASA 5505

ASA 5505 には専用の管理インターフェイスがありません。内部 IP 管理アドレスにアクセスするには、バックプレーン経由で ASA VLAN を使用する必要があります。出荷時のデフォルト設定の場合、管理 PC を(VLAN 1 に割り当てられている)Ethernet 0/1 ~ 0/7 のいずれかのポートに接続します。

 

ASA 5512-X ~ ASA 5555-X(ソフトウェア モジュール)

これらのモデルは、IPS モジュールをソフトウェア モジュールとして実行し、IPS 管理インターフェイスは Management 0/0 インターフェイスを ASA と共有します。

 

ASA 5510、ASA 5520、ASA 5540、ASA 5580、ASA 5585-X(物理モジュール)

ASA Management 0/0 インターフェイスおよび IPS Management 1/0 インターフェイスに接続します。

 

次の作業

(ASA 5505、オプション)管理インターフェイスの設定を変更します。「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

(ASA 5510 以降、オプション)IPS CLI を使用して管理インターフェイスの設定を変更します。「ASA からモジュールへのセッション接続」を参照してください。

IPS モジュールの管理インターフェイスの設定(ASA 5505)

ASA 5505 上での IPS モジュールには、外部インターフェイスがありません。VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトでは、VLAN 1 は IPS 管理アドレスでイネーブルになります。管理 VLAN として割り当てることができるのは 1 つの VLAN だけです。この項では、デフォルトを使用しない場合に管理 VLAN および IP アドレスを変更する方法について説明します。許可されたホスト、ゲートウェイを変更する方法についても説明します。デフォルトの詳細については、「デフォルト設定」を参照してください。


) IPS モジュールではなく、ASA 5505 でこの設定を実行します。


前提条件

IPS VLAN および管理アドレスをデフォルトから変更する場合には、「インターフェイス コンフィギュレーションの開始(ASA 5505)」で説明する手順に従って適合する ASA VLAN およびスイッチ ポートも設定してください。

制約事項

ASDM を使用してアクセスする場合は、管理アドレス用に NAT を設定しないでください。ASDM の初期セットアップでは、実際のアドレスにアクセスする必要があります。初期セットアップ後(IPS でパスワードを設定した後)は、NAT を設定し、IPS モジュールにアクセスするときの変換アドレスを ASDM に提供できます。

手順の詳細


ステップ 1 IPS モジュールを初めて設定する場合は、ASDM のメイン ウィンドウで [Configuration] > [Device Setup] > [SSC Setup] を選択します。


) IPS モジュールの設定完了前に [IPS] タブをクリックすると、[Stop] ダイアログボックスが表示されます。ASDM で [SSC Setup] ペインを再度表示するには、[OK] をクリックします。GUI のいずれかの部分にアクセスするには、まず [SSC Setup] ペインに含まれる設定を定義する必要があります。


ステップ 2 [Management Interface] 領域で、デフォルト設定を受け入れるか、次の手順に従ってデフォルト設定を変更します。

a. ドロップダウン リストからインターフェイス VLAN を選択します。

この設定により、この VLAN を使用して IPS モジュールを管理できます。


) 次の設定が ASA のコンフィギュレーションではなく、IPS モジュール アプリケーションのコンフィギュレーションに書き込まれます。


b. IP アドレスを入力します。このアドレスが ASA VLAN IP アドレスと同じサブネット上にあることを確認します。たとえば、10.1.1.1 を ASA の VLAN に割り当てた場合は、そのネットワーク上の別のアドレス(10.1.1.2 など)を IPS 管理アドレスに割り当てます。

c. ドロップダウン リストからサブネット マスクを選択します。

d. デフォルト ゲートウェイ IP アドレスを入力します。

管理ステーションが、直接接続されている ASA ネットワーク上にある場合は、ゲートウェイを、IPS 管理 VLAN に割り当てられた ASA IP アドレスに設定します。管理ステーションがリモート ネットワーク上にある場合は、ゲートウェイを、IPS 管理 VLAN のアップストリーム ルータのアドレスに設定します。

ステップ 3 [Management Access List] 領域で、デフォルト設定を受け入れるか、次の手順に従ってデフォルト設定を変更します。


) 次の設定が ASA のコンフィギュレーションではなく、IPS モジュール アプリケーションのコンフィギュレーションに書き込まれます。


a. ホスト ネットワークの IP アドレスを入力します。

b. ドロップダウン リストからサブネット マスクを選択します。

c. [Add] をクリックして、[Allowed Hosts/Networks] リストにこれらの設定を追加します。


) [Add] をクリックしたら、[Apply] をクリックして直前に定義した管理設定を保存してください。これらの設定を削除するには、次の下位手順に進みます。それ以外の場合は、ステップ 4 に進みます。


d. これらの設定を削除するには、ASDM のメイン ウィンドウで [IPS] タブをクリックします。[Configuration] > [IPS] > [Sensor Setup] > [Allowed Hosts/Networks] を選択します。削除するホストまたはネットワークをリストから選択し、[Delete] をクリックします。新しい管理設定を追加するには、既存のペインで [Add] をクリックするか、[Configuration] > [Device Setup] > [SSC Setup] を選択して [SSC Setup] ペインに戻ります。

ステップ 4 [IPS Password] エリアで、次の手順を実行します。


) 次の設定が ASA のコンフィギュレーションではなく、IPS モジュール アプリケーションのコンフィギュレーションに書き込まれます。


a. パスワードを入力します。デフォルトのパスワードは cisco です。

b. 新しいパスワードを入力し、変更を確認します。

ステップ 5 [Apply] をクリックし、実行コンフィギュレーションの設定を保存します。

[SSC Setup completed] ダイアログボックスは、初期設定後にだけ表示されます。

ステップ 6 SSC アプリケーション設定を完了し、ASDM に直接 [Configuration] > [IPS] > [Sensor Setup] > [Startup Wizard] 画面に移動させるには、次のいずれかの操作を実行します。

ナビゲーション ペインで、[IPS] ボタンをクリックします。

[Configure the IPS SSC module] リンクをクリックします。


) 後から IPS モジュール コンフィギュレーション設定を変更するには、[IPS] タブをクリックします。



 

ASA からモジュールへのセッション接続

CLI を使用してモジュールの設定を開始するには、ASA からモジュールにセッション接続します。モジュールへの Telnet セッションを確立できます。ソフトウェア モジュールの場合は、仮想コンソール セッションを確立できます。コンソール セッションは、コントロール プレーンがダウンし、Telnet セッションを確立できない場合に便利です。

(ASA 5510 以降)ASDM ユーザの場合は、デフォルトの管理 IP アドレスを変更するときに、IPS CLI へのセッション接続が必要となることがあります。たとえば、IPS モジュールにセッション接続し、次に setup コマンドを実行して、基本設定を変更します。ASA 5505 の場合、ASA からネットワーク設定を実行できます。「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

手順の詳細

 

コマンド
目的

物理モジュール(ASA 5585-X など)の場合:

session 1
 

ソフトウェア モジュール(ASA 5545-X など)の場合:

session ips
 
 

hostname# session 1

 

Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.

 

sensor login: cisco

Password: cisco

Telnet を使用してモジュールにアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は cisco 、デフォルトのパスワードは cisco です。

(注) 初めてモジュールにログインしたときに、デフォルトのパスワードの変更を要求するプロンプトが表示されます。パスワードは 8 文字以上で、辞書に載っていない単語にする必要があります。

ソフトウェア モジュールの場合:

session ips console
 

hostname# session ips console

 

Establishing console session with slot 1

Opening console session with module ips.

Connected to module ips. Escape character sequence is 'CTRL-SHIFT-6 then x'.

 

sensor login: cisco

Password: cisco

モジュール コンソールにアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は cisco 、デフォルトのパスワードは cisco です。

IPS モジュールでのセキュリティ ポリシーの設定

この項では、IPS モジュール アプリケーションを設定する方法について説明します。

手順の詳細


ステップ 1 ASA の管理 IP アドレスを使用して、ASDM に接続します。「ASDM の起動」を参照してください。

ステップ 2 ASDM から IPS Device Manager(IDM)にアクセスするには、[Configuration] > [IPS] をクリックします。

ユーザ名とパスワードのほか、IPS モジュールの IP アドレスまたはホスト名の入力を要求されます。

 

ASA 5505 では、初めて IDM アクセスする場合は、「IPS モジュールの管理インターフェイスの設定(ASA 5505)」を参照してください。

ステップ 3 IP アドレス、ポート、ユーザ名、およびパスワードを入力します。お使いのローカル PC にログイン情報を保存するには、[Save IPS login information on local host] チェックボックスをオンにします。デフォルトの IP アドレスは 192.168.1.2 です。デフォルトのユーザ名およびパスワードは、cisco と cisco です。

IDM にアクセスするためのパスワードがわからない場合は、ASDM を使用してパスワードをリセットできます。詳細については、「パスワードのトラブルシューティング」を参照してください。

ステップ 4 [Continue] をクリックします。

[Startup Wizard] ペインが表示されます。

 


) IPS モジュールで 5.x 以前のバージョンが実行されている場合、ASDM に IDM へのリンクが表示されます。


ステップ 5 [Launch Startup Wizard] をクリックします プロンプトに従って画面を完了します。詳細については、IDM オンライン ヘルプを参照してください。

 

(ASA 5510 以降)IPS バージョン 6.0 以降で仮想センサーを設定する場合、いずれかのセンサーをデフォルトとして指定します。ASA 5500 シリーズ ASA のコンフィギュレーションで仮想センサー名を指定しない場合は、デフォルト センサーが使用されます。


 

次の作業

マルチ コンテキスト モードのASAの場合は、「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照してください。

シングル コンテキスト モードのASAの場合は、「IPS モジュールへのトラフィックの誘導」を参照してください。

セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)

ASAがマルチ コンテキスト モードにある場合、1 つまたは複数の IPS 仮想センサーを各コンテキストに割り当てることができます。このようにすると、トラフィックを IPS モジュールに送信するようにコンテキストを設定するときに、そのコンテキストに割り当てられているセンサーを指定できます。そのコンテキストに割り当てられていないセンサーを指定することはできません。コンテキストにセンサーを割り当てない場合は、IPS モジュールに設定されているデフォルト センサーが使用されます。同じセンサーを複数のコンテキストに割り当てることができます。


) 仮想センサーを使用するためにマルチ コンテキスト モードを開始する必要はありません。シングル モードでトラフィック フローごとに異なるセンサーを使用できます。


前提条件

コンテキストの設定の詳細については、「マルチ コンテキストの設定」を参照してください。

手順の詳細

 


ステップ 1 [ASDM Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Context Management] > [Security Contexts] ペインで、設定するコンテキストを選択し、[Edit] をクリックします。

[Edit Context] ダイアログボックスが表示されます。コンテキストの設定の詳細については、「マルチ コンテキストの設定」を参照してください。

ステップ 3 [IPS Sensor Allocation] 領域で、[Add] をクリックします。

[IPS Sensor Selection] ダイアログボックスが表示されます。

ステップ 4 [Sensor Name] ドロップダウン リストで、IPS モジュールに設定されているセンサーの中からセンサー名を選択します。

ステップ 5 (任意)センサーにマッピング名を割り当てるには、[Mapped Sensor Name] フィールドに値を入力します。

このセンサー名は、コンテキスト内で実際のセンサー名の代わりに使用できます。マッピング名を指定しない場合、センサー名がコンテキスト内で使用されます。セキュリティのために、コンテキストで使用されているセンサーをコンテキスト管理者に知らせない場合があります。または、コンテキスト コンフィギュレーションを一般化する場合もあります。たとえば、すべてのコンテキストで「sensor1」と「sensor2」という名前のセンサーを使用する場合、コンテキスト A の sensor1 と sensor2 には「highsec」センサーと「lowsec」センサーをマップできますが、コンテキスト B の sensor1 と sensor2 には「medsec」センサーと「lowsec」センサーをマップします。

ステップ 6 [OK] をクリックして [Edit Context] ダイアログボックスに戻ります。

ステップ 7 (任意)1 つのセンサーをこのコンテキストのデフォルト センサーとして設定するには、[Default Sensor] ドロップダウン リストからセンサー名を選択します。

コンテキスト コンフィギュレーション内に IPS を設定するときにセンサー名を指定しない場合、コンテキストはデフォルト センサーを使用します。コンテキストごとに設定できるデフォルト センサーは 1 つのみです。デフォルトとしてセンサーを指定せず、コンテキスト コンフィギュレーションにセンサー名が含まれていない場合、IPS モジュールでトラフィックはデフォルト センサーを使用します。

ステップ 8 この手順をセキュリティ コンテキストごとに繰り返します。

ステップ 9 IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「IPS モジュールへのトラフィックの誘導」で説明されています)。


 

次の作業

IPS セキュリティ ポリシーを設定するには各コンテキストに切り替えます(「IPS モジュールへのトラフィックの誘導」で説明されています)。

IPS モジュールへのトラフィックの誘導

この項では、ASA から IPS モジュールに誘導するトラフィックを識別します。

前提条件

マルチ コンテキスト モードでは、各コンテキスト実行スペースでこれらの手順を実行します。コンテキストを変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細

 


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。

 

ステップ 2 [Add] > [Add Service Policy Rule] を選択します。[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。

ステップ 3 [Service Policy] ダイアログボックスを完了してから、必要に応じて [Traffic Classification Criteria] を完了します。これらの画面の詳細については、ASDM オンライン ヘルプを参照してください。

ステップ 4 [Next] をクリックして [Add Service Policy Rule Wizard - Rule Actions] ダイアログボックスを表示します。

ステップ 5 [Intrusion Prevention] タブをクリックします。

 

ステップ 6 [Enable IPS for this traffic flow] チェックボックスをオンにします。

ステップ 7 [Mode] 領域で、[Inline Mode] または [Promiscuous Mode] をクリックします。

ステップ 8 [If IPS Card Fails] 領域で、[Permit traffic] または [Close traffic] をクリックします。[Close traffic] オプションを選択すると、ASA は IPS モジュールが使用できない場合にすべてのトラフィックをブロックします。[Permit traffic] オプションを選択すると、ASA は IPS モジュールが使用できない場合に、すべてのトラフィックの通過を検査なしで許可します。[IPS Sensor Selection] 領域の詳細については、ASDM オンライン ヘルプを参照してください。

ステップ 9 (ASA 5510 以降)[IPS Sensor to use] ドロップダウン リストから、仮想センサー名を選択します。

仮想センサーを使用する場合は、このオプションを使用してセンサー名を指定できます。ASAでマルチ コンテキスト モードを使用する場合、コンテキストに割り当てたセンサーだけを指定できます(「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照)。センサー名を指定しないと、トラフィックはデフォルトのセンサーを使用します。マルチ コンテキスト モードでは、コンテキストのデフォルトのセンサーを指定できます。シングルモードの場合、またはマルチモードでデフォルト センサーを指定しない場合、トラフィックでは IPS モジュールで設定されているデフォルト センサーが使用されます。

ステップ 10 [OK]、続いて [Apply] をクリックします。

ステップ 11 この手順を繰り返して、追加のトラフィック フローを必要に応じて設定します。


 

IPS モジュールのトラブルシューティング

この項では、モジュールの回復またはトラブルシューティングに役立つ手順について説明します。次の項目を取り上げます。

「モジュールへのイメージのインストール」

「ソフトウェア モジュール イメージのアンインストール」

「パスワードのトラブルシューティング」

「モジュールのリロードまたはリセット」

「モジュールのシャットダウン」

モジュールへのイメージのインストール

モジュールに障害が発生し、モジュール アプリケーション イメージを実行できない場合は、TFTP サーバから(物理モジュールの場合)、またはローカル ディスクから(ソフトウェア モジュールの場合)、モジュールに新しいイメージを再インストールできます。


) モジュール ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。


前提条件

物理モジュール:指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。


) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。


ソフトウェア モジュール:この手順を完了する前に、イメージを ASA 内部フラッシュ(disk0)にコピーします。詳細については、 を参照してください。


) IPS ソフトウェアを disk0 にダウンロードする前に、フラッシュ メモリに少なくとも 50% の空きがあることを確認してください。IPS をインストールすると、IPS によって内部フラッシュ メモリの 50% がファイル システム用に予約されます。


手順の詳細

 

 
コマンド
目的

ステップ 1

物理モジュール(ASA 5585-X など)の場合:

hw-module module 1 recover configure
 

ソフトウェア モジュール(ASA 5545-X など)の場合:

sw-module module ips recover configure image disk0: file_path

 

hostname# hw-module module 1 recover configure

Image URL [tftp://127.0.0.1/myimage]: tftp://10.1.1.1/ids-newimg

Port IP Address [127.0.0.2]: 10.1.2.10

Port Mask [255.255.255.254]: 255.255.255.0

Gateway IP Address [1.1.2.10]: 10.1.2.254

VLAN ID [0]: 100

新しいイメージの場所を指定します。

物理モジュールの場合:このコマンドにより、TFTP サーバの URL、管理インターフェイスの IP アドレスとネットマスク、ゲートウェイ アドレス、および VLAN ID(ASA 5505 のみ)を求められます。これらのネットワーク パラメータは ROMMON で設定されます。モジュール アプリケーション コンフィギュレーションで設定したネットワーク パラメータは ROMMON には使用できないため、ここで別個に設定する必要があります。

ソフトウェア モジュールの場合:ローカル ディスク上のイメージの場所を指定します。

show module { 1 | ips } recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。

マルチ コンテキスト モードでは、システム実行スペースでこのコマンドを入力します。

ステップ 2

物理モジュールの場合:

hw-module module 1 recover boot
 

ソフトウェア モジュールの場合:

sw-module module ips recover boot
 

hostname# hw-module module 1 recover boot

TFTP サーバからモジュールにイメージを転送し、モジュールを再起動します。

ステップ 3

物理モジュールの場合:

show module 1 details
 

ソフトウェア モジュールの場合:

show module ips details
 

hostname# show module 1 details

イメージ転送の進捗とモジュールの再起動プロセスを確認します。

出力の [Status] フィールドは、モジュールの動作ステータスを示します。モジュールの動作ステータスは、通常は「Up」と表示されます。ASA はアプリケーション イメージをモジュールに転送しますが、出力の [Status] フィールドには [Recover] と表示されます。ASA がイメージの転送を完了し、モジュールを再起動すると、新たに転送されたイメージが実行されます。

ソフトウェア モジュール イメージのアンインストール

ソフトウェア モジュール イメージと関連するコンフィギュレーションをアンインストールするには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

sw-module module ips uninstall

 

hostname# sw-module module ips uninstall

Module ips will be uninstalled. This will completely remove the

disk image associated with the sw-module including any configuration

that existed within it.

 

Uninstall module <id>? [confirm]

ソフトウェア モジュール イメージと関連するコンフィギュレーションを永続的にアンインストールします。

パスワードのトラブルシューティング

モジュール パスワードをデフォルトにリセットできます。IPS の場合、パスワードのリセットは、モジュールで IPS バージョン 6.0 以降が実行されている場合にサポートされます。デフォルトのパスワードは cisco です。パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。

モジュールのパスワードをリセットすると、モジュールはリブートされます。モジュールのリブート中は、サービスを使用できません。

新しいパスワードで ASDM に接続できない場合は、ASDM を再起動して再度ログインしてみてください。新しいパスワードを定義した後に、それとは異なる既存のパスワードが ASDM にまだ残っている場合は、[File] > [Clear ASDM Password Cache] を選択してパスワード キャッシュをクリアし、ASDM を再起動して再度ログインしてみてください。

モジュールのパスワードをデフォルトの cisco にリセットするには、次の手順を実行します。

手順の詳細

 


ステップ 1 ASDM メニューバーの [Tools] > [IPS Password Reset] または [Tools] > [CSC Password Reset] を選択します。

[IPS/CSC Password Reset] 確認ダイアログボックスが表示されます。

ステップ 2 [OK] をクリックして、パスワードをデフォルト設定にリセットします。

ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。IPS の場合、パスワードがリセットされなかったときは、IPS モジュールで IPS バージョン 6.0 以降を使用していることを確認してください。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。


 

モジュールのリロードまたはリセット

モジュールをリロードまたはリセットするには、ASA CLI で次のいずれかのコマンドを入力します。

手順の詳細

 

コマンド
目的

物理モジュール(ASA 5585-X など)の場合:

hw-module module 1 reload
 

ソフトウェア モジュール(ASA 5545-X など)の場合:

sw-module module ips reload
 

hostname# hw-module module 1 reload

モジュール ソフトウェアをリロードします。

物理モジュールの場合:

hw-module module 1 reset
 

ソフトウェア モジュールの場合:

sw-module module ips reset
 

hostname# hw-module module 1 reset

リセットを実行し、モジュールをリロードします。

モジュールのシャットダウン

ASA を再起動しても、モジュールは自動的に再起動しません。モジュールをシャットダウンするには、ASA CLI で次の手順を実行します。

手順の詳細

 

コマンド
目的

物理モジュール(ASA 5585-X など)の場合:

hw-module module 1 shutdown
 

ソフトウェア モジュール(ASA 5545-X など)の場合:

sw-module module ips shutdown
 

hostname# hw-module module 1 shutdown

モジュールをシャットダウンします。

IPS モジュールの機能履歴

表 62-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 62-2 IPS モジュールの機能履歴

機能名
プラットフォーム リリース
機能情報

AIP SSM

7.0(1)

ASA 5510、5520、および 5540 対応の AIP SSM のサポートが導入されました。

次の画面が導入されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add/Edit Service Policy Rule] > [Intrusion Prevention]。

仮想センサー(ASA 5510 以降)

8.0(2)

仮想センサーのサポートが導入されました。仮想センサーを使用すると IPS モジュールで複数のセキュリティ ポリシーを設定できます。

次の画面が変更されました。[Context Management] > [Security Contexts] > [Edit Context]。

ASA 5505 用 AIP SSC

8.2(1)

ASA 5505 対応の AIP SSC のサポートが導入されました。

次の画面が導入されました。[Configuration] > [Device Setup] > [SSC Setup]。

ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポート

8.2(5)/
8.4(2)

ASA 5585-X 対応の IPS SSP-10、-20、-40、および -60 のサポートが導入されました。IPS SSP をインストールできるのは、SSP のレベルが一致する場合だけです(たとえば、SSP-10 と IPS SSP-10)。

(注) ASA 5585-X はバージョン 8.3 ではサポートされていません。

SSP-40 および SSP-60 対応のデュアル SSP のサポート

8.4(2)

SSP-40 および SSP-60 の場合、同じシャーシでレベルが同じ 2 つの SSP を使用できます。レベルが混在した SSP はサポートされていません(たとえば、SSP-40 と SSP-60 の組み合わせはサポートされていません)。各 SSP は、個別のコンフィギュレーションおよび管理を使用する独立したデバイスとして機能します。必要に応じて 2 つの SSP をフェールオーバー ペアとして使用できます。

(注) シャーシで 2 つの SSP を使用する場合、VPN はサポートされません。ただし、VPN はディセーブルになっていないことに注意してください。

変更された画面はありません。

ASA 5512-X ~ ASA 5555-X での IPS SSP のサポート

8.6(1)

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X での IPS SSP ソフトウェア モジュールのサポートが導入されました。

変更された画面はありません。