Cisco Security Manager 4.0 ユーザ ガイド
IPS 設定を開始する前に
IPS 設定を開始する前に
発行日;2012/02/02 | 英語版ドキュメント(2010/11/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

IPS 設定を開始する前に

IPS ネットワーク検知について

ネットワーク トラフィックのキャプチャ

センサーの適切な展開

IPS の調整

IPS 設定の概要

許可ホストの識別

SNMP の設定

全般的な SNMP 設定オプション

[SNMP Trap Configuration] タブ

[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

ユーザ アカウントとパスワードの要件の管理

IPS ユーザ ロールについて

管理対象と管理対象外の IPS パスワードについて

IPS パスワードの検出および展開方法について

IPS ユーザ アカウントの設定

[Add User Credentials]/[Edit User Credentials] ダイアログボックス

ユーザ パスワード要件の設定

NTP サーバの識別

DNS サーバの識別

HTTP プロキシ サーバの識別

外部製品インターフェイスの設定

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス

IPS ロギング ポリシーの設定

IPS 設定を開始する前に

Cisco Intrusion Prevention System(IPS; 侵入防御システム)センサーは、ネットワーク トラフィックの疑わしいアクティビティやアクティブなネットワーク攻撃のリアルタイム モニタリングを実行するネットワーク デバイスです。IPS センサーは、ネットワーク パケットとフローを分析して、その内容がネットワークに対する攻撃を示しているように見えるかどうかを判断します。

Cisco Security Manager を使用して、センサーを設定および管理できます。センサーには、専用のスタンドアロン ネットワーク アプライアンス、Catalyst 6500 スイッチ モジュール、サポートされる ASA デバイスまたはルータで実行されているサービス モジュール、および統合サービス ルータで実行されている IPS 対応 Cisco IOS ソフトウェア イメージがあります。サポートされる IPS デバイスおよびソフトウェア バージョンの完全なリストについては、このバージョンの製品の『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください。

この章は、次の内容で構成されています。

「IPS ネットワーク検知について」

「IPS 設定の概要」

「許可ホストの識別」

「SNMP の設定」

「ユーザ アカウントとパスワードの要件の管理」

「NTP サーバの識別」

「DNS サーバの識別」

「HTTP プロキシ サーバの識別」

「外部製品インターフェイスの設定」

「IPS ロギング ポリシーの設定」

IPS ネットワーク検知について

ネットワーク検知は、Cisco IPS センサー(アプライアンス、スイッチ モジュール、ネットワーク モジュール、および SSM)と Cisco IOS IPS デバイス(IPS 対応のイメージがある Cisco IOS ルータと Cisco ISR)で実行できます。これらの検知プラットフォームは、Cisco Intrusion Prevention System のコンポーネントであり、Cisco Security Manager を通じて管理および設定できます。これらの検知プラットフォームは、ネットワーク トラフィックをリアルタイムでモニタおよび分析します。この処理は、ネットワーク フローの検証に基づく異常と誤用の検索、広範な組み込みシグニチャ ライブラリ、および異常検出エンジンによって行われます。ただし、これらのプラットフォームは検出した侵入への対応方法が異なります。


ヒント Cisco IPS センサーと Cisco IOS IPS デバイスは、IPS デバイスまたは単純にセンサーと総称されることがあります。ただし、Cisco IOS IPS は、完全に専用の IPS ソフトウェアを実行せず、その設定に IPS デバイス固有のポリシーは含まれません。また、Cisco IOS IPS の方が、実行できる検知の量が限られています。ここでは、Cisco IOS IPS ではなく、IOS ルータにインストールされているサービス モジュールなどの専用 IPS デバイスの使用に焦点を当てます。Cisco IOS IPS に焦点を当てた説明については、Cisco.com の『Intrusion Prevention System (IPS) Cisco IOS Intrusion Prevention System Deployment Guide』および「IOS IPS ルータの設定」を参照してください。また、http://www.cisco.com/go/iosips も参照してください。


IPS デバイスは、不正なネットワーク アクティビティを検出すると、接続の終了、関連ホストの永続的なブロック、およびその他のアクションを実行できます。


) 使用可能なアプライアンスとサービス モジュール、デバイス インターフェイスの詳細など、IPS センサーのその他の概要情報については、『Installing Cisco Intrusion Prevention System Appliances and Modules』の「Introducing the Sensor」を参照してください。各 IPS リリース用のこれらのマニュアルのリストは、http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_installation_guides_list.html で入手できます。


ここでは、次の内容について説明します。

「ネットワーク トラフィックのキャプチャ」

「センサーの適切な展開」

「IPS の調整」

ネットワーク トラフィックのキャプチャ

センサーは、無差別モードまたはインライン モードで動作できます。次の図に、ネットワークを保護するためにインライン(IPS)モードと無差別(IDS)モードの両方で動作しているセンサーを組み合わせて展開する方法を示します。

図 26-1 包括的な IPS 展開ソリューション

 

コマンドおよび制御インターフェイスは常に Ethernet です。このインターフェイスには IP アドレスが割り当てられており、この IP アドレスによってマネージャ ワークステーションまたはネットワーク デバイス(シスコのスイッチ、ルータ、およびファイアウォール)と通信できます。このインターフェイスはネットワーク上で参照できるため、暗号化を使用してデータのプライバシーを維持する必要があります。CLI の保護には SSH が使用され、マネージャ ワークステーションの保護には TLS/SSL が使用されています。SSH および TLS/SSL は、マネージャ ワークステーションでデフォルトでイネーブルになります。

攻撃に対応する場合、センサーは次の処理を行うことができます。

検知インターフェイスを介して TCP リセットを挿入する。


) TCP リセット アクションは、TCP ベースのサービスに関連付けられているシグニチャでだけ選択する必要があります。TCP ベース以外のサービスでアクションとして選択した場合、アクションは実行されません。また、TCP プロトコルの制限により、TCP リセットでは攻撃セッションのティアダウンが保証されません。


センサーが管理するスイッチ、ルータ、およびファイアウォールの ACL を変更する。


) ACL は、現在のトラフィックではなく今後のトラフィックだけをブロックできます。


IP セッション ログ、セッション リプレイ、およびトリガー パケット表示を生成する。

IP セッション ログを使用して、不正な使用に関する情報を収集します。IP ログ ファイルは、アプライアンスで検索するように設定されているイベントが発生した場合に書き込まれます。

複数のパケット ドロップ アクションを実装して、ワームやウイルスを停止する。

センサーの適切な展開

センサーを展開および設定する前に、ネットワークについて次のことを理解する必要があります。

ネットワークの規模と複雑さ。

ネットワークと、インターネットなどの他のネットワークとの間の接続。

ネットワーク上のトラフィックの量とタイプ。

この知識は、必要なセンサーの数、各センサーのハードウェア設定(たとえば、ネットワーク インターフェイス カードのサイズとタイプ)、および必要なマネージャの数を判断するのに役立ちます。

IPS センサーは、常にファイアウォールや適応型セキュリティ アプライアンスなどの境界フィルタリング デバイスの背後に配置する必要があります。境界デバイスは、セキュリティ ポリシーに一致するようにトラフィックをフィルタリングして、許容されるトラフィックだけがネットワークに入れるようにします。適切な配置によって、アラートの数が大幅に削減され、セキュリティ違反の調査に使用できる対処可能データ量が増えます。IPS センサーをファイアウォールの前面のネットワークのエッジに配置した場合、センサーは、ネットワークの実装にとって重要な意味がない場合でも、すべての単一スキャンおよび攻撃の試行に対してアラートを生成します。(大規模なエンタープライズ環境では)実際にはクリティカルまたは対処可能でない数百、数千、または数百万のアラートが環境に生成されます。このタイプのデータの分析には、時間とコストがかかります。

IPS の調整

IPS を調整すると、表示されるアラートに、実際に対処可能な情報が反映されます。IPS を調整しないと、false positive とも呼ばれる良性のイベントが何千も生成されるため、ネットワーク上のセキュリティ調査またはフォレンジックが難しくなります。false positive はすべての IPS デバイスで副次的に発生しますが、Cisco IPS デバイスはステートフルで標準化されており、攻撃評価に脆弱性シグニチャを使用するため、Cisco IPS デバイスでは発生頻度がはるかに低くなります。Cisco IPS デバイスは、ハイリスクのイベントを識別するリスク レーティングと、リスク レーティングに基づいて IPS シグニチャ アクションを実施するための規則を展開できるポリシーベースの管理も提供します。

IPS センサーを調整する場合は、次のヒントに従います。

センサーは、ネットワーク上の境界フィルタリング デバイスの背後に配置する。

センサーを適切に配置すると、検査する必要のあるアラートの数を 1 日に数千単位で削減できます。

デフォルトのシグニチャを設定したままセンサーを展開する。

デフォルトのシグニチャ セットでは、非常に高いセキュリティ保護ポスチャが提供されます。シスコのシグニチャ チームは、センサーに非常に高い保護を与えるデフォルトのテストに多くの時間を費やしました。これらのデフォルトが失われたと思われる場合は、復元できます。

リスク レーティングが 90 を超えるパケットをドロップするようにイベント アクションのオーバーライドが設定されていることを確認する。

これはデフォルトであり、ハイリスク アラートが即時に停止されるようにします。

次のいずれかの方法で、脆弱性スキャナやロード バランサなどの特殊なソフトウェアが原因の false positive をフィルタで除外する。

スキャナおよびロード バランサの IP アドレスからのアラートを無視するようにセンサーを設定できる。

これらのアラートを許可するようにセンサーを設定し、イベント ビューアを使用して false positive をフィルタで除外できる。

情報アラートをフィルタリングする。

これらのプライオリティの低いイベント通知は、IPS で保護されているデバイスで別のデバイスが調査を行っていることを示している場合があります。これらの情報アラートの送信元 IP アドレスを調べて、送信元を判断します。

残りの対処可能なアラートを分析する。

アラートを調べる。

攻撃の送信元を突き止める。

宛先ホストを突き止める。

より多くの情報を提供するように IPS ポリシーを修正する。

IPS 設定の概要

さまざまなデバイスに侵入防御システムを設定できます。設定の観点からは、デバイスを 2 つのグループに分けることができます。1 つは、完全な IPS ソフトウェアを実行する専用のアプライアンスとサービス モジュール(ルータ、スイッチ、および ASA デバイス)です。もう 1 つは、Cisco IOS ソフトウェア 12.4(11)T およびそれ以降(Cisco IOS IPS)を実行する IPS 対応ルータです。

次の手順は、専用アプライアンスおよびサービス モジュールでの IPS 設定の概要です。Cisco IOS IPS デバイス(ルータにインストールされている IPS サービス モジュールを含みません)の場合は、「Cisco IOS IPS 設定の概要」を参照してください。


ステップ 1 デバイスを設置し、ネットワークに接続します。デバイスのソフトウェアをインストールし、基本的なデバイス設定を実行します。デバイス上で実行するすべてのサービスに必要なライセンスをインストールします。最初に実行する設定量は、Security Manager で設定する必要がある内容に影響します。

使用している IPS バージョンの『 Installing Cisco Intrusion Prevention System Appliances and Modules 』の手順に従います。

ステップ 2 デバイスを Security Manager デバイス インベントリに追加します(「デバイス インベントリへのデバイスの追加」を参照)。


ヒント モジュールがインストールされているデバイスを追加するときに、ルータおよび Catalyst スイッチ モジュールを検出できます。ASA デバイスの場合は、サービス モジュールを別途追加する必要があります。


ステップ 3 「インターフェイスの設定」の手順に従って、インターフェイスを設定します。デバイスが機能するためには、ネットワークに接続しているインターフェイスをイネーブルにする必要があります。

特定のタイプのサービス モジュールの場合は、追加のポリシーを設定します。

ルータにホスティングしているサービス モジュール:ルータに [IPS Module] インターフェイス設定ポリシーを設定します。詳細については、「Cisco IOS ルータでの IPS モジュール インターフェイス設定」を参照してください。

IDSM:[IDSM Settings] Catalyst プラットフォーム ポリシーを設定します。詳細については、「IDSM 設定」を参照してください。

ASA デバイス上の AIP SSM または SSC モジュール:ホスト ASA で [Platform] > [Service Policy Rules] > [IPS, QoS, and Connection Rules] ポリシーを設定して、検査する必要のあるトラフィックを指定します。詳細については、「AIP SSM/SSC について」および「[IPS, QoS, and Connection Rules] ページ」を参照してください。

ステップ 4 [Virtual Sensors] ポリシーを使用して、すべての IPS デバイスに対して存在するベース vs0 仮想センサーなどの仮想センサーにインターフェイスを割り当てます。仮想センサー設定および仮想センサーへのインターフェイスの割り当ての詳細については、「仮想センサーの定義」を参照してください。

デバイスでサポートされている場合は、必要に応じて、単一のデバイスが複数のセンサーのように動作するようにユーザ定義の仮想センサーを作成できます。ほとんどの IPS 設定は親デバイスで行いますが、シグニチャ、異常検出、およびイベント アクションについては、仮想センサーごとに固有の設定を設定できます。詳細については、「仮想センサーの設定」を参照してください。

ステップ 5 基本的なデバイス アクセス プラットフォーム ポリシーを設定します。これらのポリシーによって、だれがデバイスにログインできるかが決定されます。

[Allowed Hosts]:アクセスを許可されているホストのアドレス。Security Manager サーバが許可ホストとして含まれていることを確認します。そうしないと、Security Manager を使用してデバイスを設定できません。「許可ホストの識別」を参照してください。

[SNMP]:SNMP アプリケーションを使用してデバイスを管理する場合は、このポリシーを設定します。「SNMP の設定」を参照してください。

[Password Requirements]:ユーザ パスワードの許容される特性を定義できます。「ユーザ パスワード要件の設定」を参照してください。

[User Accounts]:デバイスに定義されているユーザ アカウント。「IPS ユーザ アカウントの設定」を参照してください。

ステップ 6 基本的なサーバ アクセス プラットフォーム ポリシーを設定します。これらのポリシーは、デバイスが接続できるサーバを識別します。

[External Product Interface]:Management Center for Cisco Security Agents を使用する場合は、このポリシーを設定して、センサーがアプリケーションからホスト ポスチャをダウンロードできるようにします。「外部製品インターフェイスの設定」を参照してください。

[NTP]:このポリシーは、ネットワーク タイム プロトコル サーバを使用してデバイス時間を制御する場合に設定します。「NTP サーバの識別」を参照してください。

[DNS]、[HTTP Proxy]:[DNS] ポリシーと [HTTP Proxy] ポリシーは、グローバル相関を設定する場合にだけ必要です。これらは、DNS 名を IP アドレスに解決できるサーバを特定します。[HTTP Proxy] ポリシーは、ネットワークでインターネット接続を行うためにプロキシを使用する必要がある場合に使用します。それ以外の場合は、[DNS] ポリシーを使用します。「DNS サーバの識別」または「HTTP プロキシ サーバの識別」を参照してください。

ステップ 7 デフォルト以外のロギングが必要な場合は、[Logging] ポリシーを設定します。「IPS ロギング ポリシーの設定」を参照してください。

ステップ 8 IPS シグニチャおよびイベント アクションを設定します。イベント アクション ポリシーの設定は、カスタムのシグニチャの作成よりも簡単であるため、特定のシグニチャを編集する前に、イベント アクション フィルタを使用して、シグニチャの動作を変更するように上書きしてみてください。詳細については、次の項を参照してください。

「イベント アクション規則の設定」

「シグニチャの設定」

ステップ 9 [Request Block] または [Request Rate Limit] イベント アクションのいずれかを使用する場合は、ブロッキングまたはレート制限ホストを設定します。「IPS のブロッキングおよびレート制限の設定」を参照してください。

ステップ 10 その他の必要な詳細 IPS サービスを設定します。次の項を参照してください。

「グローバル相関の設定」

「異常検出の設定」

ステップ 11 デバイスを次のように保守します。

必要に応じて、設定を更新および再配布します。

更新したシグニチャおよびエンジン パッケージを適用します。更新の確認、更新の適用、および定期的な自動更新の設定については、「IPS 更新の管理」を参照してください。

デバイス ライセンスを管理します。ライセンスの更新と再展開、またはライセンス更新の自動化を行うことができます。詳細については、次の項を参照してください。

「IPS ライセンス ファイルの更新」

「IPS ライセンス ファイルの再展開」

「IPS ライセンス ファイル更新の自動化」


 

許可ホストの識別

[Allowed Hosts] ポリシーを使用して、IPS センサーへのアクセス権を持つホストまたはネットワークを識別します。デフォルトでは、どのホストもセンサーへのアクセスを許可されないため、このポリシーにホストまたはネットワークを追加する必要があります。

具体的には、Security Manager サーバの IP アドレスまたはそのネットワーク アドレスを追加します。そうしないと、Security Manager はデバイスを設定できません。また、CS-MARS など、使用するその他すべての管理ホストのアドレスを追加します。


ヒント ホスト アドレスだけを追加した場合、デバイスへのアクセスにはそれらのワークステーションだけを使用できます。代わりに、ネットワーク アドレスを指定すると、特定の「安全な」ネットワークに接続しているすべてのホストにアクセスを許可できます。



ステップ 1 次のいずれかを実行して、[Allowed Hosts] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Allowed Hosts] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Allowed Hosts] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 次のいずれかを実行します。

エントリを追加するには、[Add Row] ボタンをクリックし、[Access List] ダイアログボックスに入力します。

最大 512 個のエントリを追加できます。

エントリを編集するには、エントリを選択し、[Edit Row] ボタンをクリックします。

エントリを削除するには、エントリを選択し、[Delete Row] ボタンをクリックします。

ステップ 3 エントリを追加または編集する場合は、[Add Access List]/[Modify Access List] ダイアログボックスにホストまたはネットワーク アドレスを指定し、[OK] をクリックします。次の形式を使用して、アドレスを入力できます。

ホスト アドレス:10.100.10.10 などの単純な IP アドレス。

ネットワーク アドレス:10.100.10.0/24 や 10.100.10.0/255.255.255.0 などのネットワーク アドレスおよびマスク。

ネットワーク/ホスト ポリシー オブジェクト:[Select] をクリックして既存のオブジェクトを選択するか、新しいオブジェクトを作成します。このポリシーでオブジェクトを使用するには、単一ネットワークまたは単一ホストの単一値が必要です。


 

SNMP の設定

SNMP は、ネットワーク デバイス間での管理情報の交換を容易にするアプリケーション レイヤ プロトコルです。SNMP を使用すると、ネットワーク管理者は、ネットワークのパフォーマンスを管理し、ネットワークの問題を検出および解決し、ネットワークの拡大に対する計画を策定できます。

SNMP は、単純な要求/応答プロトコルです。ネットワーク管理システムが要求を発行し、管理対象デバイスが応答を返します。この動作は、Get、GetNext、Set、Trap の 4 つのプロトコル操作のいずれかを使用して実装されます。

SNMP でモニタするためにセンサーを設定できます。SNMP は、ネットワーク管理ステーションがスイッチ、ルータ、センサーなどの多くのタイプのデバイスのヘルスとステータスをモニタするための標準的な方法を定義します。

SNMP トラップを送信するようにセンサーを設定できます。SNMP トラップを使用すると、エージェントは非送信請求 SNMP メッセージを使用して管理ステーションに重要なイベントを通知できます。

トラップで指示される通知には次の利点があります。マネージャが多数のデバイスを管理する必要があり、各デバイスに多数のオブジェクトがある場合に、すべてのデバイスのすべてのオブジェクトに情報をポーリングまたは要求することは非現実的です。ソリューションは、送信要求を行わずに、管理対象デバイス上のエージェントごとにマネージャに通知することです。イベントのトラップと呼ばれるメッセージを送信することで、この処理を行います。

イベントの受信後、マネージャはイベントを表示し、イベントに基づいてアクションを実行できます。たとえば、マネージャは、エージェントを直接ポーリングするか、他の関連デバイス エージェントをポーリングしてイベントの詳細情報を取得できます。


ヒント トラップで指示される通知により、無意味な SNMP 要求を排除することでネットワークとエージェントのリソースを大幅に節約できます。ただし、SNMP ポーリングを完全には排除できません。SNMP 要求は、検出とトポロジ変更に必要です。また、管理対象デバイス エージェントは、デバイスに致命的な停止が生じた場合にはトラップを送信できません。


この手順では、トラップの設定など、SNMP 管理ステーションでセンサーを管理できるように IPS センサーで SNMP を設定する方法を説明します。


ステップ 1 次のいずれかを実行して、[SNMP] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [General Configuration] タブで、少なくとも次のオプションを設定します。使用可能なすべてのオプションの詳細な説明については、「全般的な SNMP 設定オプション」を参照してください。

[Enable SNMP Gets/Sets]:このオプションを選択して、SNMP 管理ワークステーションが情報を取得(get)したり、IPS センサーの値を修正(set)したりできるようにします。このオプションをイネーブルにしない場合、管理ワークステーションはこのセンサーを管理できません。

[Read-Only Community String]:センサーへの読み取り専用アクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP get 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。このストリングによって、すべての SNMP get 要求にアクセスできます。

[Read-Write Community String]:センサーへの読み取り/書き込みアクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP set 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。また、このストリングは get 要求で使用することもできます。このストリングによって、すべての SNMP get 要求と set 要求にアクセスできます。

ステップ 3 SNMP トラップを設定する場合は、[SNMP Trap Configuration] タブをクリックし、少なくとも次のオプションを設定します。使用可能なすべてのオプションの詳細な説明については、「[SNMP Trap Configuration] タブ」を参照してください。

[Enable Notifications]:このオプションは、センサーが SNMP トラップを送信できるようにする場合に選択します。

[Trap Destinations]:トラップの宛先にする SNMP 管理ステーションを追加します。[Add Row](+)ボタンをクリックして新しい宛先を追加するか、宛先を選択し、[Edit Row](鉛筆)ボタンをクリックしてその設定を変更します。

トラップの宛先を追加または編集する場合は、入力したトラップ コミュニティ ストリングによって、[SNMP Trap Configuration] タブに入力したデフォルトのコミュニティ ストリングが上書きされます。コミュニティ ストリングは、この宛先に送信されたトラップに表示され、複数のエージェントから複数のタイプのトラップを受信する場合に役立ちます。たとえば、ルータまたはセンサーはトラップを送信でき、ルータまたはセンサーを明示的に識別する情報をコミュニティ ストリングに挿入した場合は、コミュニティ ストリングに基づいてトラップをフィルタリングできます。

宛先を削除するには、宛先を選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

ステップ 4 トラップの宛先を設定する場合は、目的のアラートに [Request SNMP Trap] アクションが含まれていることも確認する必要があります。このアクションの追加には、次のオプションがあります。

(簡単な方法)イベント アクションのオーバーライドを作成して、指定したリスク レーティングのすべてのアラートに [Request SNMP Trap] アクションを追加する([IPS] > [Event Actions] > [Event Action Overrides] ポリシー)。たとえば、リスク レーティングが 85 ~ 100 のすべてのアラートに対するトラップを生成できます。イベント アクションのオーバーライドによって、各シグニチャを個別に編集することなくアクションを追加できます。詳細については、「イベント アクション オーバーライドの設定」を参照してください。

(正確な方法)[Signatures] ポリシー([IPS] > [Signatures] > [Signatures])を編集して、トラップ通知を送信するシグニチャに [Request SNMP Trap] アクションを追加する。トラップは、トラップを送信するように設定したシグニチャだけに送信されます。


) シグニチャの送信元がデフォルトの場合は、アクションを変更する前に送信元をローカル送信元に変更する必要があります。ただし、シグニチャ テーブルで [Action] セルを右クリックし、[Edit Actions] を選択してから、(他の目的のアクションとともに)[Request SNMP Trap] を選択し、[OK] をクリックした場合は、送信元が自動的にローカルに変更されます。


ステップ 5 SNMP 管理ステーションを [Allowed Hosts] ポリシーに追加します。管理ステーションは、センサーへのアクセスを許可されているホストである必要があります。「許可ホストの識別」を参照してください。


 

全般的な SNMP 設定オプション

[SNMP] ページの [General Configuration] タブを使用して、全般的な SNMP パラメータを設定し、IPS センサーに適用します。手順については、「SNMP の設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。[General Configuration] タブを選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。[General Configuration] タブを選択します。

フィールド リファレンス

 

表 26-1 [General Configuration] タブ、IPS センサーの [SNMP] ポリシー

要素
説明

[Enable SNMP Gets/Sets]

SNMP 管理ワークステーションで、IPS センサー上の情報の取得および値の修正(設定)をイネーブルにするかどうか。このオプションをイネーブルにしない場合、管理ワークステーションはこのセンサーを管理できません。センサーは SNMP 要求に応答しません。

[Read-Only Community String]

センサーへの読み取り専用アクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP get 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。このストリングによって、すべての SNMP get 要求にアクセスできます。このストリングを使用すると、センサーの識別に役立ちます。

[Read-Write Community String]

センサーへの読み取り/書き込みアクセスに必要なコミュニティ ストリング。管理ステーションからの SNMP set 要求は、センサーからの get 応答に対してこのストリングを提供する必要があります。また、このストリングは get 要求で使用することもできます。このストリングによって、すべての SNMP get 要求と set 要求にアクセスできます。このストリングを使用すると、センサーの識別に役立ちます。

[Sensor Contact]

このセンサーに責任を持つネットワーク管理者または担当者。

[Sensor Location]

建物の住所、名前、部屋番号など、センサーの物理的な場所。

[Sensor Agent Port]

センサーとの SNMP get/set 通信に使用するポート。デフォルトは 161 です。有効な範囲は 1 ~ 65535 です。

ポート リスト オブジェクトのポート番号または名前を入力します。または、[Select] をクリックしてリストからポート リスト オブジェクトを選択するか、新しいオブジェクトを作成します。ポート リスト オブジェクトでは、単一ポートが識別されます。

[SNMP Agent Protocol]

SNMP に使用しているプロトコル(UDP(デフォルト)または TCP)。SNMP 管理ステーションで使用するプロトコルを選択します。

[SNMP Trap Configuration] タブ

[SNMP] ページの [SNMP Trap Communication] タブを使用して、トラップを設定し、センサーに適用したり、トラップの送信先の受信者を識別したりします。手順については、「SNMP の設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択します。[SNMP Trap Configuration] タブを選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [SNMP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。[SNMP Trap Configuration] タブを選択します。

フィールド リファレンス

 

表 26-2 [SNMP Trap Configuration] タブ、IPS センサーの [SNMP] ポリシー

要素
説明

[Enable Notifications]

センサーで特定のタイプのイベントが発生するたびに、センサーでトラップの宛先にトラップ通知を送信できるようにするかどうか。このオプションを選択しない場合、センサーはトラップを送信しません。

も選択する必要があります。トラップは、トラップを送信するように設定したシグニチャだけに送信されます。

[Error Filter]

イベントの重大度(重大、エラー、または警告)に基づいて SNMP トラップを生成するイベントのタイプ。必要な重大度をすべて選択します。複数の値を選択するには、Ctrl を押しながらクリックします。

センサーは、選択した重大度のイベントの通知だけを送信します。

[Enable Detail Traps]

トラップにアラートのテキスト全体を含めるかどうか。このオプションを選択しない場合は、希薄モードが使用されます。希薄モードには、484 バイト未満のアラート テキストが含まれます。

[Default Trap Community String]

[Trap Destinations] テーブルでトラップの宛先に対して特定の文字列が設定されていない場合にトラップに使用されるコミュニティ ストリング。

ヒント すべてのトラップがコミュニティ ストリングを伝送します。デフォルトでは、宛先と同じコミュニティ ストリングを持つすべてのトラップが宛先で取得されます。その他すべてのトラップは、宛先によって廃棄されます。ただし、受け入れるトラップ文字列を判断するように宛先を設定できます。

[Trap Destinations] テーブル

トラップ通知の送信先の SNMP 管理ステーション。テーブルには、管理ステーションの IP アドレス、このセンサーからトラップに追加されるコミュニティ ストリング、およびトラップの送信先のポートが表示されます。

宛先を追加するには、[Add Row] ボタンをクリックし、[Add SNMP Trap Communication] ダイアログボックスに入力します(「[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス」を参照)。

宛先を編集するには、その宛先を選択して [Edit Row] ボタンをクリックし、変更を行います。

宛先を削除するには、その宛先を選択して [Delete Row] ボタンをクリックします。

[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

[Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックスを使用して、SNMP トラップの宛先を設定します。これらは、IPS センサーからトラップを受信する必要のある SNMP 管理ステーションです。

ナビゲーション パス

[IPS Platform] > [Device Admin] > [Device Access] > [SNMP] ポリシーに移動して [SNMP Trap Configuration] タブを選択し、[Trap Destinations] テーブルの下の [Add Row] ボタンをクリックするか、テーブルで宛先を選択して [Edit Row] ボタンをクリックします。詳細については、「[SNMP Trap Configuration] タブ」を参照してください。

フィールド リファレンス

 

表 26-3 [Add SNMP Trap Communication]/[Modify SNMP Trap Communication] ダイアログボックス

要素
説明

[IP Address]

トラップ通知を受信する必要のある SNMP 管理ステーションの IP アドレス。ネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力するか [Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトでは、単一のホスト IP アドレスを指定する必要があります。

[Trap Community String]

トラップのコミュニティ ストリング。トラップ文字列を入力しない場合は、[SNMP Trap Communication] タブで定義されたデフォルトのトラップ文字列が、この宛先に送信されるトラップに使用されます。

[Trap Port]

SNMP 管理ステーションがトラップの受信に使用するポート。ポート リスト オブジェクトのポート番号または名前を入力するか、[Select] をクリックしてリストからオブジェクトを選択します。または、新しいオブジェクトを作成します。ポート リスト オブジェクトでは、単一ポートが識別されます。

ユーザ アカウントとパスワードの要件の管理

IPS デバイスに対して、ユーザ アカウントとパスワード、および一般的なパスワード要件を設定できます。使用されるポリシーは、[Platform] > [Device Admin] > [Device Access] フォルダの [User Accounts] および [Password Requirements] ポリシーです。

Security Manager でユーザ アカウントを作成または編集する場合は、入力するパスワードが、[Password Requirements] ポリシーで定義した要件を満たしている必要があります。これにより、新しいパスワードがセキュリティ要件を満たすことが保証されます。


ヒント パスワード要件を変更し、いずれかのユーザ アカウントに変更を加えた場合は、Security Manager によって管理されているパスワードを持つすべてのユーザ アカウントで新しい要件が満たされる必要があります。その理由は、いずれか 1 つのアカウントを再設定する必要がある場合に、Security Manager によってすべての管理対象アカウントのパスワードが再設定されるためです。


[User Accounts] ポリシーでは、IPS デバイスのアカウントを集中管理できます。共有ポリシーを使用すると、すべての IPS デバイスに、同じパスワードを持つ同じアカウントが含まれるようになります。ただし、パスワードは暗号化されているため、Security Manager はデバイスに定義されている実際のパスワードを検出できません。Security Manager でパスワードを定義する場合にだけ、Security Manager によってアカウントのパスワードが管理されます。

ここでは、IPS ユーザ アカウント、および Security Manager の検出と展開の考慮事項について詳細に説明します。

「IPS ユーザ ロールについて」

「管理対象と管理対象外の IPS パスワードについて」

「IPS パスワードの検出および展開方法について」

「IPS ユーザ アカウントの設定」

「ユーザ パスワード要件の設定」

IPS ユーザ ロールについて

IPS ユーザ アカウントには 4 つのユーザ ロールがあります。

[Viewer]:ユーザは、デバイス設定とイベントを表示できますが、ユーザ パスワード以外の設定データは修正できません。

[Operator]:ユーザはすべてを表示でき、次のオプションを修正できます。

シグニチャの調整(プライオリティ、ディセーブル、またはイネーブル)。

仮想センサー定義。

管理対象ルータ。

ユーザ パスワード。

[Administrator]:ユーザはすべてを表示でき、次のオプションに加えて [Operators] で修正できるすべてのオプションを修正できます。

センサー アドレッシング設定。

設定または表示エージェントとしての接続を許可されるホストのリスト。

物理的な検知インターフェイスの割り当て。

物理インターフェイスの制御のイネーブル化またはディセーブル化。

ユーザとパスワードの追加および削除。

新しい SSH ホスト キーとサーバ証明書の生成。

[Service]:サービス権限を持つユーザはセンサーに 1 人だけ存在できます。サービス ユーザは、IDM または IME にログインできません。サービス ユーザは、CLI ではなく bash シェルにログインします。サービス ロールは、必要に応じて CLI をバイパスできる特殊なロールです。


) サービス アカウントの目的は、Cisco テクニカル サポートに、固有の異常な問題をトラブルシューティングするためのアクセス権を付与することです。通常のシステム設定とトラブルシューティングには不要です。サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。


管理対象と管理対象外の IPS パスワードについて

すべての IPS ローカル ユーザ アカウントにはパスワードがあります。これにより、デバイスへの安全なユーザ ログインが可能になります。これらのユーザ パスワードは、IPS デバイスで暗号化されます。このため、IPS デバイスを Security Manager インベントリに追加すると、Security Manager は実際のユーザ パスワードを読み取れません。

Security Manager はパスワードを読み取れないため、新規に検出されたユーザ アカウントのパスワードをデバイスに展開できません。ユーザ アカウントのパスワードが不明または使用不能な状態になることを防ぐために、Security Manager は検出されたユーザ アカウント パスワードを 管理対象外 としてマークします。パスワードのステータスは、[Is Password Managed?] 列([Platform] > [Device Admin] > [Device Access] > [User Accounts] ポリシー)で指定されます。

[No] と指定されている場合、このアカウントのパスワードは Security Manager で設定されません。このポリシーを展開する場合、Security Manager はこのユーザ アカウントのパスワードの設定を試みません。

[Yes] と指定されている場合、このアカウントのパスワードは Security Manager で設定または更新されています。このポリシーを展開する場合、Security Manager は、最後の展開後に変更されたパスワードだけでなく、すべての管理対象アカウントのパスワードを再設定します。

Security Manager は変更されていないパスワードも設定するため、すべての管理対象パスワードは [Password Requirements] ポリシーで定義されいているパスワード要件を満たす必要があります。

このため、管理対象と管理対象外のアカウント パスワードを混在させることができます。たとえば、集中管理されている共有ユーザ アカウントのセットを使用し、これらのアカウントのパスワードを Security Manager で管理できます。その他のアカウントはそれぞれ固有にできます。これらのアカウント パスワードを Security Manager で編集しない場合、ユーザはこれらのパスワードをデバイスで個別に管理できます。


ヒント ユーザ アカウントを Security Manager で管理しない場合は、[User Accounts] ポリシーが空であることを確認するか、ポリシーを割り当て解除します(ポリシーを右クリックし、[Unassign Policy] を選択します)。Security Manager は、ユーザ アカウントの設定を修正しません。


IPS パスワードの検出および展開方法について

ユーザ パスワードは IPS デバイスで暗号化されるため、Security Manager は、デバイスでポリシーを検出または設定を展開するときに、特に注意してこれらのパスワードを処理する必要があります。IPS デバイスでユーザ アカウントを検出または展開する場合、Security Manager は次の処理を行います。

[Discovery]:IPS デバイスをインベントリに追加する場合、またはインベントリでポリシーを再検出する場合に、Security Manager は、各ユーザ アカウントの現在のステータスを判断し、検出した各ユーザ名と関連ロールで [User Account] ポリシーを更新し、(「管理対象と管理対象外の IPS パスワードについて」で説明したように)ユーザ パスワードを管理対象外としてマークします。

アカウントのステータスは動的であり変化するため、Security Manager では表示できません。ただし、[Discovery Status] ウィンドウに、検出時のステータスが表示されます。アカウントには、次のステータスがあります。

[Active]:この状態は、アカウントが使用可能なことを示します。アクティブなアカウントは、認証トークンがアカウントに割り当てられている場合に、認証トークンを使用してアクセスできます。

[Expired]:この状態は、アカウントの認証トークンの期限が切れ、トークンが更新されるまでトークンを使用してアカウントにアクセスできないことを示します。

[Locked]:この状態は、非常に多くの認証試行に失敗したため、アカウントへのログインがディセーブルになっていることを示します。これらのアカウントのパスワードを更新する必要があります。

[Deployment]:ユーザ アカウントが [Expired] または [Locked] 状態にある場合に警告します。管理対象外のパスワードは、デバイスに展開されません。また、次の点に注意してください。

デバイス上のいずれかのユーザ アカウントに変更を加える場合は、管理対象パスワードを持つすべてのユーザ アカウントが再設定されます。[Password Requirements] ポリシーも変更した場合は、すべてのパスワードが新しいポリシーと比較され、新しい要件を満たす必要があります。

Security Manager のデバイスのプロパティで定義されているユーザ アカウントのパスワードを、デバイスの設定時に使用するように変更した場合は、正常な展開後に、Security Manager はデバイス プロパティのパスワードを新しいパスワードに更新します。パスワードを手動で更新する必要はありません。デバイスのプロパティを表示するには、[Tools] > [Device Properties] を選択します。

この動作では、[Tools] > [Security Manager Administration] > [Device Communication] ページの [Connect to Device Using] オプションに対して [Security Manager Device Credentials] を選択したことが想定されます。ログインしているユーザのクレデンシャルを展開に使用している場合は、正常な展開後に、展開全体が失敗としてマークされ、接続の再確立方法がメッセージで説明されます。「[Device Communication] ページ」を参照してください。

アウトオブバンド変更検出を使用する場合は、パスワードに対する変更が検出されません。ただし、ユーザ名とロールに対する変更は検出されます。アウトオブバンド変更検出の詳細については、「アウトオブバンド変更の検出および分析」を参照してください。

設定をプレビューする場合、IPS([Delta] > [User Passwords])を選択してユーザ アカウントに対する変更を表示できます。ただし、パスワードはマスクされています。詳細については、「設定のプレビュー」を参照してください。

設定をロールバックする場合、ユーザ アカウントはロールバックされません。ユーザ アカウントの現在のステータスと設定は変更されません。


ヒント IPS センサーは、SSH クライアントを介してデバイスにログインするときに、RSA 認証の公開キーを受け入れることができます。各ユーザには、認可されたキーのリストが関連付けられています。ユーザは、パスワードの代わりにこれらのキーを使用できます。Security Manager は、検出および展開時にこれらのキーを無視します。このため、キーが設定されている場合、Security Manager は設定を削除しません。


関連項目

「ポリシーの検出」

「Workflow 以外のモードでの設定の展開」

「Workflow モードでの設定の展開」

「設定のロールバックについて」

「IPS および IOS IPS のロールバックについて」

IPS ユーザ アカウントの設定

[User Accounts] ポリシーを使用して、IPS デバイスのローカル ユーザ アカウントを設定します。ユーザは、これらのアカウントを使用してデバイスにログインできます。新規ユーザの作成、ユーザ権限とパスワードの修正、およびユーザの削除を行うことができます。

ユーザ アカウント ポリシーには少なくとも次のアカウントが必要です。

cisco:「cisco」という名前のアカウントがデバイスに存在する必要があり、このアカウントは削除できません。

Security Manager が使用できる管理者アカウント:Security Manager は、設定するデバイスにログインできる必要があります。通常は、この目的のアカウントを作成します。ただし、設定を展開するユーザのユーザ アカウントを Security Manager で使用してデバイスにログインすることもできます。この設定は、[Tools] > [Security Manager Administration] > [Device Communication] ページの [Connect to Device Using] オプションを使用して行うことができます。「[Device Communication] ページ」を参照してください。

IPS ユーザ アカウントの設定は、見た目よりも複雑です。IPS ユーザ アカウントを設定する前に、次の項を参照してください。

「ユーザ アカウントとパスワードの要件の管理」

「IPS ユーザ ロールについて」

「管理対象と管理対象外の IPS パスワードについて」

「IPS パスワードの検出および展開方法について」

「ユーザ パスワード要件の設定」


ヒント Cisco IOS IPS デバイスでは、ルータに定義されているのと同じユーザ アカウントを使用します。この手順は、Cisco IOS IPS 設定には適用されません。


関連項目

「テーブルのフィルタリング」

「テーブル カラムおよびカラム見出しの機能」


ステップ 1 次のいずれかを実行して、[User Accounts] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [User Accounts] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Device Access] > [User Accounts] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ポリシーには、ユーザ名、ロール、(「管理対象と管理対象外の IPS パスワードについて」で説明したように)パスワードが Security Manager で管理されるかどうかなど、既存のユーザ アカウントが表示されます。

ステップ 2 次のいずれかを実行します。

ユーザ アカウントを追加するには、[Add Row](+)ボタンをクリックします。この操作によって [Add User] ダイアログボックスが開きます。アカウントの定義に必要な情報を入力します。設定の詳細については、「[Add User Credentials]/[Edit User Credentials] ダイアログボックス」を参照してください。

ユーザ アカウントを編集するには、そのアカウントを選択し、[Edit Row](鉛筆)ボタンをクリックして、[Edit User] ダイアログボックスに必要な変更を加えます。

ユーザ ロールをサービス ロールに、またはサービス ロールをユーザ ロールには変更できません。

ユーザ アカウントを削除するには、そのユーザ アカウントを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。cisco という名前のアカウントは削除できません。


ヒント すべてのパスワード変更は、[Password Requirements] ポリシーの要件を満たしている必要があります。要件ポリシーを変更した場合、すべての新規ユーザ アカウント、または編集したアカウントが、新規要件に対してテストされます。既存の編集していないユーザ アカウントのパスワードはテストされませんが、Security Manager は次の設定展開時にすべてのアカウントを展開するため、このポリシーで定義したユーザ アカウントを変更する場合は、既存のユーザ アカウントのパスワードもパスワード要件を満たしている必要があります。ポリシーを検証する場合は、パスワードの適合性がチェックされます。これは通常、データベースに変更を送信するときに行われます。詳細については、「IPS パスワードの検出および展開方法について」を参照してください。



 

[Add User Credentials]/[Edit User Credentials] ダイアログボックス

[Add User Credentials]/[Edit User Credentials] ダイアログボックスを使用して、IPS デバイスのユーザ アカウントを追加または編集します。

ナビゲーション パス

IPS プラットフォームの [User Accounts] ポリシーで、[Add Row](+)ボタンをクリックして新しいアカウントを作成するか、既存のアカウントを選択して [Edit Row](鉛筆)ボタンをクリックします。[User Accounts] ポリシーへのアクセス方法については、「IPS ユーザ アカウントの設定」を参照してください。

フィールド リファレンス

 

表 26-4 [Add User]/[Edit User] ダイアログボックス

要素
説明

[User Name]

アカウントのユーザ名。名前は 1 ~ 64 文字で、大文字と小文字、数字、および ( ) + : , _ / - ] + $ の特殊文字から構成できます。

アカウントを編集する場合、ユーザ名は変更できません。

[Password]

[Confirm]

このユーザ アカウントのパスワード。両方のフィールドにパスワードを入力します。

パスワードは、IPS デバイスの [Password Requirements] ポリシーに準拠する必要があります。「ユーザ パスワード要件の設定」を参照してください。

[Role]

このユーザのロール。これらのロールの説明については、「IPS ユーザ ロールについて」を参照してください。

ヒント ユーザ アカウントを編集する場合、サービス ロールは選択できません。サービス ロールに割り当てられているアカウントを編集する場合、ロールは変更できません。

ユーザ パスワード要件の設定

IPS プラットフォームの [Password Requirements] ポリシーを使用して、ローカル IPS デバイス ユーザ アカウントのパスワードの規則を設定します。ユーザが作成するすべてのセンサー パスワードは、このポリシーに定義されている要件に準拠する必要があります。IPS ソフトウェア バージョン 6.0 以上を実行しているセンサーのパスワード要件を設定できます。


ヒント ここで定義する要件によって、[User Accounts] ポリシーで許容できるパスワードと見なされるものが決定されます(「IPS ユーザ アカウントの設定」を参照)。このポリシーを変更した場合は、変更されていないユーザ アカウントにも適用できます。このポリシーに対する変更の展開の暗黙的な意味については、「IPS パスワードの検出および展開方法について」を参照してください。


IPS パスワード要件を設定するには、次のいずれかのポリシーを選択します。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Device Access] > [Password Requirements] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタで [IPS] > [Platform] > [Device Admin] > [Password Requirements] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

次の表で、設定できるパスワード要件オプションについて説明します。

 

表 26-5 [Password Requirements] ポリシー

要素
説明

[Attempt Limit]

過剰な失敗試行によりユーザ アカウントをロックする前にユーザがデバイスへのログイン試行を許可される回数。

デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。

[Size Range]

ユーザ パスワードに対して許可される最小と最大のサイズ。最小と最大をハイフンで区切ります。範囲は 6 ~ 64 文字です。デフォルトは 8-64 です。

ヒント いずれかの最小文字数オプションにゼロ以外の値を設定した場合、[Size Range] フィールドに入力する最小サイズは、それらの値の合計以上である必要があります。たとえば、最小パスワード サイズを 8 文字に設定し、パスワードに 5 文字以上の小文字と 5 文字以上の大文字を含めるように要求することはできません。

[Minimum Digit Characters]

パスワードに含まれる必要のある数字の最小数。

[Minimum Uppercase Characters]

パスワードに含まれる必要のある大文字の英字の最小数。

[Minimum Lowercase Characters]

パスワードに含まれる必要のある小文字の英字の最小数。

[Minimum Other Characters]

パスワードに含まれる必要のある英数字以外の印刷可能文字の最小数。

[Number of Historical Passwords]

各アカウントについてセンサーで記憶する過去のパスワードの数。新しいパスワードが記憶されているいずれかのパスワードと一致した場合は、アカウントのパスワードの変更試行に失敗します。0 を指定した場合、以前のパスワードは記憶されません。

NTP サーバの識別

[NTP] ポリシーを使用して、Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバを IPS デバイスのタイム ソースとして設定します。NTP を使用すると、ネットワーク デバイス間で時間が同期され、イベント分析に役立ちます。NTP は、IPS デバイスで時間を設定するための推奨される方法です。

Cisco IOS ルータを NTP サーバとして設定する方法など、センサーに時間を設定する方法の詳細については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface Version 7.0 』の「 Configuring Time 」を参照してください。


ヒント IPS ソフトウェアの更新に問題がある場合は、IPS センサーで時刻をチェックします。センサーの時刻が、関連付けられている証明書の時刻よりも進んでいる場合、証明書は拒否され、センサー ソフトウェアの更新が失敗します。



ステップ 1 次のいずれかを実行して、[NTP] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [NTP] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [NTP] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [NTP Server IP Address] フィールドに、NTP サーバの IP アドレスを入力します。サーバの単一のホスト アドレスを識別するネットワーク/ホスト オブジェクトの名前も入力できます。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成できます。

ステップ 3 NTP サーバに認証が不要な場合は、[Authenticated NTP] チェックボックスをオフにします。

NTP サーバに認証が必要な場合は、次のオプションを設定します。

[Authenticated NTP]:認証された接続をイネーブルにするには、このオプションを選択します。

[Key]、[Confirm]:NTP サーバのキー値。キーは、MD5 タイプのキー(数値または文字)です。これは、NTP サーバの設定に使用されたキーです。

[Key ID]:NTP サーバのキー ID 値。1 ~ 65535 の数値です。


ヒント キーとキー ID は NTP サーバで設定します。これらを NTP サーバ設定から取得する必要があります。



 

DNS サーバの識別

IPS 7.0+ センサーでグローバル相関を設定する場合、センサーはグローバル相関の更新をダウンロードするときに更新サーバに正常に接続するために、ドメイン名を解決できる必要があります。[DNS] ポリシーを使用して、センサーがドメイン名から IP アドレスへの解決に使用できる Domain Name System(DNS; ドメイン ネーム システム)サーバを識別します。


ヒント インターネット接続の確立時にネットワークに HTTP プロキシが必要な場合は、[DNS] ポリシーの代わりに [HTTP Proxy] ポリシーを設定します。「HTTP プロキシ サーバの識別」を参照してください。



) AIP-SSC-5 サービス モジュールでは、DNS サーバはサポートされません。



ステップ 1 次のいずれかを実行して、HTTP プロキシ ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [DNS] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [DNS] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Primary]、[Secondary]、および [Tertiary Address] フィールドで、最大 3 つの DNS サーバの IP アドレスを指定します。センサーでは、リストの順序でサーバが使用されます。1 つのサーバが応答しない場合は、次のサーバがアクセスされます。

サーバ アドレスを含むネットワーク/ホスト オブジェクトの IP アドレスまたは名前を入力できます。[Select] をクリックしてネットワーク/ホスト オブジェクトをリストから選択するか、または新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトでは、単一のホスト アドレスを指定する必要があります。


 

HTTP プロキシ サーバの識別

IPS 7.0+ センサーにグローバル相関を設定し、ネットワークでインターネットへの接続に HTTP プロキシを使用する必要がある場合は、[HTTP Proxy] ポリシーを設定して、IPS センサーで使用できるプロキシを識別する必要があります。グローバル相関の更新をダウンロードする場合、IPS センサーはこのプロキシを使用して更新サーバに接続します。プロキシは、DNS 名を解決できる必要があります。


ヒント HTTP プロキシを使用しない場合は、IPS センサーが更新サーバのアドレスを解決できるように DNS サーバを設定します。「DNS サーバの識別」を参照してください。



) AIP-SSC-5 サービス モジュールでは、HTTP プロキシ サーバはサポートされません。



ステップ 1 次のいずれかを実行して、HTTP プロキシ ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [HTTP Proxy] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [HTTP Proxy] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 次のオプションを設定します。

[Enable Proxy]:このオプションは、設定したプロキシ サーバを通じて接続するようにデバイスに通知する場合に選択します。

[IP Address]:プロキシ サーバの IP アドレス、またはサーバの IP アドレスを含むネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックしてネットワーク/ホスト オブジェクトをリストから選択するか、または新しいオブジェクトを作成します。ネットワーク/ホスト オブジェクトには、単一のホスト IP アドレスが含まれている必要があります。

[Port]:プロキシ サーバへの HTTP 接続に使用するポート番号を入力します。デフォルトは 80 です。


 

外部製品インターフェイスの設定

[External Product Interface] ポリシーを使用して、Security Manager が Management Center for Cisco Security Agents(CSA MC)と連携する方法を設定します。

一般に、外部製品インターフェイスは、外部セキュリティおよび管理製品から情報を受信して処理するように設計されています。これらの外部セキュリティおよび管理製品は、センサー設定情報を自動的に拡張するために使用できる情報を収集します。Management Center for Cisco Security Agents は、IPS と通信するように設定できる唯一の外部製品です。IPS デバイスごとに最大 2 つの Management Center for Cisco Security Agents サーバを設定できます。


ヒント Management Center for Cisco Security Agents は、アクティブな製品ではなくなりました。このポリシーは、このアプリケーションをまだ使用している場合にだけ設定します。詳細については、『Installing and Using Cisco Intrusion Prevention System Device Manager 6.0』の「About CSA MC」および http://www.cisco.com/en/US/products/sw/cscowork/ps5212/index.html を参照してください。


Management Center for Cisco Security Agents は、ネットワーク ホストでセキュリティ ポリシーを強制します。これには 2 つのコンポーネントがあります。

ネットワーク ホスト上に存在し、そのホストを保護するエージェント。

エージェントを管理するアプリケーションである管理コンソール。セキュリティ ポリシーの更新をエージェントにダウンロードし、エージェントから操作情報をアップロードします。

始める前に

Security Manager がセンサーに外部製品との通信を許可するように、外部製品を許可ホストとして追加します。詳細については、「許可ホストの識別」を参照してください。


ステップ 1 次のいずれかを実行して、[External Product Interface] ポリシーを開きます。

(デバイス ビュー)ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [External Product Interface] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Device Admin] > [Server Access] > [External Product Interface] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

[Management Center for Cisco Security Agents] タブには、外部アプリケーションの IP アドレス(またはネットワーク/ホスト オブジェクト)、URL、およびポート、ログインに使用されるユーザ名とパスワード、接続がイネーブルになっているかどうかなどの既存の定義が表示されます。インターフェイス タイプは常に [Extended SDEE] です。

ステップ 2 次のいずれかを実行します。

サーバを追加するには、[Add Row](+)ボタンをクリックします。この操作によって [External Product Interface] ダイアログボックスが開きます。サーバの識別に必要な情報を入力し、ポスチャ ACL を設定します。設定の詳細については、「[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス」を参照してください。

最大 2 台のサーバを追加できます。

サーバを編集するには、そのサーバを選択し、[Edit Row](鉛筆)ボタンをクリックして、[External Product Interface] ダイアログボックスに必要な変更を加えます。

サーバを削除するには、そのサーバを選択し、[Delete Row](ゴミ箱)ボタンをクリックします。


 

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

[Add External Product Interface]/[Edit External Product Interface] ダイアログボックスを使用して、Management Center for Cisco Security Agents(CSA MC)と IPS デバイスおよび関連ポスチャ ACL との間のインターフェイスを追加または修正します。

ナビゲーション パス

[External Product Interface] IPS プラットフォーム ポリシーで、[Add Row] をクリックするか、エントリを選択して [Edit Row] をクリックします。[External Product Interface] ポリシーを開く方法については、「外部製品インターフェイスの設定」を参照してください。

フィールド リファレンス

 

表 26-6 [Add External Product Interface]/[Edit External Product Interface] ダイアログボックス

要素
説明

[External Product's IP Address]

外部製品の IP アドレス、またはアドレスを含むネットワーク/ホスト ポリシー オブジェクト。IP アドレスまたはオブジェクト名を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

[Interface Type]

物理インターフェイス タイプを識別します。これは常に [Extended SDEE] です。

[Enable receipt of information]

外部製品からセンサーに情報を渡せるかどうか。

[SDEE URL]

IPS が SDEE 通信を使用して情報を取得するために使用する CSA MC 上の URL。IPS が通信している CSA MC のソフトウェア バージョンに基づいて、URL を次のように設定する必要があります。

CSA MC バージョン 5.0 の場合:/csamc50/sdee-server。

CSA MC バージョン 5.1 の場合:/csamc51/sdee-server。

CSA MC バージョン 5.2 以上の場合:/csamc/sdee-server(デフォルト値)。

[Port]

通信に使用されるポート、またはポートを識別するポート リスト オブジェクト。ポートまたはポート リスト名を入力します。または、[Select] をクリックしてリストからオブジェクトを選択するか、新しいオブジェクトを作成します。

[User name]

[Password]

外部製品にログインできるユーザ名とパスワード。

[Enable receipt of host postures]

CSA MC からのホスト ポスチャ情報の受信を許可するかどうか。このオプションをディセーブルにした場合、CSA MC から受信したホスト ポスチャ情報は削除されます。

[Allow unreachable hosts' postures]

CSA MC によって到達できないホストのホスト ポスチャ情報の受信を許可するかどうか。

CSA MC がホストのポスチャのどの IP アドレス上のホストにも接続を確立できない場合、ホストは到達不能です。このオプションは、IP アドレスが IPS センサーから参照可能でないポスチャ、またはネットワーク上で重複している可能性のあるポスチャのフィルタリングに役立ちます。このフィルタは、CSA MC が到達できないホストが IPS からも到達できないネットワーク、たとえば IPS と CSA MC が同じネットワーク セグメント上にある場合に最も多く適用されます。

[Posture ACL] テーブル

ポスチャ ACL とは、ネットワーク アドレス範囲です。その範囲に対してホスト ポスチャが許可または拒否されます。ポスチャ ACL を使用して、IPS で認識できない、またはネットワーク全体で重複している可能性がある IP アドレスを持つポスチャをフィルタリングします。

ポスチャ ACL を追加するには、[Add Row](+)ボタンをクリックします。この操作によって [Add Posture ACL] ダイアログボックスが開きます。ポスチャ ACL を設定する方法の詳細については、「[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス」を参照してください。

ポスチャ ACL を編集するには、そのポスチャ ACL を選択し、[Edit Row](鉛筆)ボタンをクリックします。

ポスチャ ACL を削除するには、そのポスチャ ACL を選択し、[Delete Row](ゴミ箱)ボタンをクリックします。

ACL のプライオリティを変更するには、その ACL を選択し、[Up] または [Down] ボタンをクリックします。ACL は順番に処理され、最初の一致に関連付けられているアクションが適用されます。

[Enable receipt of watch listed addresses]

CSA MC からのウォッチ リスト情報の受信を許可するかどうか。このオプションをディセーブルにした場合、CSA MC から受信したウォッチ リスト情報は削除されます。

[Manual Watch List RR increase]

手動ウォッチ リスト Risk Rating(RR; リスク レーティング)のパーセンテージ。デフォルトは 25 で、有効な範囲は 0 ~ 35 です。

[Session-based Watch List RR Increase]

セッション ベースのウォッチ リスト リスク レーティングのパーセンテージ。デフォルトは 25 で、有効な範囲は 0 ~ 35 です。

[Packed-based Watch List RR Increase]

パケット ベースのウォッチ リスト リスク レーティングのパーセンテージ。デフォルトは 10 で、有効な範囲は 0 ~ 35 です。

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックス

[Add Posture ACL]/[Modify Posture ACL] ダイアログボックスを使用して、Management Center for Security Agents のポスチャ ACL を設定します。ポスチャ ACL とは、ネットワーク アドレス範囲です。その範囲に対してホスト ポスチャが許可または拒否されます。ポスチャ ACL を使用して、IPS で認識できない、またはネットワーク全体で重複している可能性がある IP アドレスを持つポスチャをフィルタリングします。

次のフィールドを設定して、ポスチャ ACL を定義します。

[Network Address]:ホストまたはネットワークの IP アドレスまたはホスト、または IP アドレスを指定するネットワーク/ホスト オブジェクトの名前を入力します。[Select] をクリックしてリストからオブジェクトを選択するか、または新しいオブジェクトを作成できます。

[Action]:ホスト ポスチャがネットワーク アドレス上のホストで許可されるか拒否されるか。

ナビゲーション パス

[External Product Interface] ダイアログボックス(「[Add External Product Interface]/[Edit External Product Interface] ダイアログボックス」を参照)で、[Posture ACL] テーブルの下の [Add Row](+)ボタンをクリックするか、ポスチャ ACL を選択して [Edit Row](鉛筆)ボタンをクリックします。

IPS ロギング ポリシーの設定

IPS プラットフォームの [Logging] ポリシーを使用して、トラフィック フロー通知と分析エンジンのグローバル変数を設定します。これらの設定は、IPS センサーの一般操作に適用されます。

トラフィック フロー通知では、センサーのインターフェイス上のトラフィック フローを扱う必要があります。インターフェイス上のパケットのフローをモニタし、そのフローが指定した間隔中に変更(開始および停止)された場合に通知を送信するようにセンサーを設定できます。特定の通知間隔内に失われたパケットのしきい値を設定でき、ステータス イベントがレポートされる前のインターフェイス アイドル遅延も設定できます。

分析エンジンは、パケット分析とアラート検出を実行します。指定したインターフェイスを流れるトラフィックをモニタします。分析エンジンには、[Maximum Open IP Log Files] という 1 つのグローバル変数だけがあります。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Platform] > [Logging] を選択します。

(ポリシー ビュー)[IPS] > [Platform] > [Logging] を選択してから、既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 26-7 [IPS Logging] ページ

要素
説明
[Interface Notifications] タブ

[Missed Packets Threshold]

通知を受信する前に発生する必要のある欠落パケットの割合。デフォルトは 0 で、範囲は 0 ~ 100 です。

[Notification Interval]

欠落パケットのパーセンテージをチェックする時間の長さ(秒単位)。デフォルトは 30 で、有効な範囲は 5 ~ 3600 です。

[Interface Idle Threshold]

この時間が経過すると通知が生成される、インターフェイスがアイドルになってパケットを受信しない時間の長さ(秒単位)。デフォルトは 30 で、有効な範囲は 5 ~ 3600 です。

[Analysis Engine] タブ

[Maximum Open IP Log Files]

センサーで開くことのできる IP ログ ファイルの最大数。デフォルトは 20 で、範囲は 20 ~ 100 です。