Cisco Security Manager 4.1 ユーザ ガイド
IPS デバイス インターフェイスの管理
IPS デバイス インターフェイスの管理
発行日;2012/05/09 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IPS デバイス インターフェイスの管理

インターフェイスについて

インターフェイス モードについて

無差別モード

インライン インターフェイス モード

インライン VLAN ペア モード

VLAN グループ モード

VLAN グループの展開

インターフェイスの設定

IPS インターフェイス ポリシーについて

IPS インターフェイス設定のサマリーの表示

物理インターフェイスの設定

[Modify Physical Interface Map] ダイアログボックス

バイパス モードの設定

CDP モードの設定

インライン インターフェイス ペアの設定

インライン VLAN ペアの設定

VLAN グループの設定

IPS デバイス インターフェイスの管理

Cisco IOS IPS デバイスは通常のルータ インターフェイス ポリシーを使用して設定しますが、専用 IPS アプライアンスおよびサービス モジュールには、独自のインターフェイス設定があります。この章では、専用 IPS アプライアンスおよびサービス モジュール独自のインターフェイスを設定する方法について説明します。

この章は、次の内容で構成されています。

「インターフェイスについて」

「インターフェイス モードについて」

「インターフェイスの設定」

インターフェイスについて


ヒント この項では、IPS インターフェイスの概要について説明します。アプライアンスおよびサービス モジュールの各タイプに関する特定のインターフェイスの名前と位置、サポートされているロール、設定上の制限、ハードウェアに関する考慮事項など、詳細な説明については、Cisco.com で、ご使用の IPS ソフトウェア バージョンの『Installing and Using Cisco Intrusion Prevention System Device Manager』の「Configuring Interfaces」の章を参照してください。この情報は、IME ガイドおよび CLI ガイドでも提供されています。一般情報については、http://www.cisco.com/go/ips を参照してください。

センサーのインターフェイスは、インターフェイスの最大速度および物理的な場所に従って名前が付けられています。たとえば、GigabitEthernet2/1 は、1 ギガビットの最大速度をサポートし、下から 2 番めの拡張スロットの右から 2 番めのインターフェイスです。

インターフェイスには、次の 3 つのロールがあります。

コマンド/コントロール :コマンド/コントロール インターフェイスは、IP アドレスを持ち、センサーの設定に使用されます。このインターフェイスは、センサーからセキュリティ イベントとステータス イベントを受信し、センサーに統計情報を問い合わせます。

コマンド/コントロール インターフェイスは、常にイネーブルです。このインターフェイスは特定の物理インターフェイス(センサーのモデルによって異なる)に常時マッピングされています。コマンド/コントロール インターフェイスを検知インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。デバイス タイプ別のコマンド/コントロール インターフェイスのリストについては、上記の IPS マニュアルを参照してください。

検知 :検知インターフェイスは、セキュリティ違反に関してトラフィックを分析するために、センサーによって使用されます。センサーには、1 つ以上の検知インターフェイスがあり、その数はセンサーによって異なります。検知インターフェイスは、無差別モードで個別に動作させるか、またはペアにしてインライン インターフェイスを作成できます。無差別モードでは、パケットはセンサーを通過しません。センサーは、モニタ対象トラフィックのコピーを分析します。インライン モードでは、IPS はトラフィック フローに挿入され、トラフィックに直接影響を与えます。検知モードの詳細については、「インターフェイス モードについて」を参照してください。


) アプライアンスでは、すべての検知インターフェイスがデフォルトでディセーブルになっています。これらのインターフェイスを使用するには、イネーブルにする必要があります。モジュールでは、検知インターフェイスは常にイネーブルです。デバイス タイプ別の検知インターフェイスのリストについては、上記の IPS マニュアルを参照してください。


代替 TCP リセット :攻撃者のホストと攻撃のターゲット ホストとの間のネットワーク接続をリセットするために、TCP リセット パケットを送信するようにセンサーを設定できます。一部のインストールでは、インターフェイスが無差別モードで動作している場合、攻撃が検出された検知インターフェイスと同じインターフェイスでセンサーが TCP リセット パケットを送信できないことがあります。このような場合は、検知インターフェイスを代替 TCP リセット インターフェイスに関連付けることができます。これにより、無差別モードで動作している場合に通常は検知インターフェイスで送信されるすべての TCP リセットを、関連付けた代替 TCP リセット インターフェイスで送信できます。

検知インターフェイスが代替 TCP リセット インターフェイスに関連付けられている場合、その関連付けは、センサーが無差別モードに設定されている場合は適用されますが、検知インターフェイスがインライン モード(インターフェイスまたは VLAN ペア)に設定されている場合は無視されます。TCP リセットは、これらのモードの検知インターフェイスで常に送信されるためです。


) IDSM-2 を除いて、すべての検知インターフェイスは、別の検知インターフェイスの代替 TCP リセット インターフェイスとなることができます。IDSM-2 の代替 TCP リセット インターフェイスは、ハードウェアの制限があるために固定されています。ただし、(ルータまたは ASA デバイス上の)IPS モジュールに存在する検知インターフェイスは 1 つだけであるため、IPS モジュールでは代替 TCP リセット インターフェイスを指定できません。デバイス タイプ別の適格な代替 TCP リセット インターフェイスのリスト、および代替 TCP リセット インターフェイスを使用する状況の詳細については、上記の IPS マニュアルを参照してください。


インターフェイス モードについて

検知インターフェイスは、さまざまなモードで動作できます。インターフェイスに設定されたモードによって、検査できるトラフィックおよびイベントへの応答方法が決まります。

ここでは、次の内容について説明します。

「無差別モード」

「インライン インターフェイス モード」

「インライン VLAN ペア モード」

「VLAN グループ モード」

無差別モード

無差別モードでは、パケットはセンサーを通過しません。センサーは、実際に転送されるパケットではなく、モニタ対象のトラフィックのコピーを分析します。無差別モードで運用する利点は、転送されるトラフィックでパケットのフローにセンサーが影響を与えないことです。ただし、無差別モードで運用するときは、アトミック アタック(シングル パケット攻撃)などの特定のタイプの攻撃の場合に、悪意のあるトラフィックがターゲットに到達することをセンサーで阻止できないという短所があります。無差別モードのセンサー デバイスによって実行される応答アクションはイベント後の応答であるため、多くの場合、攻撃に対応するために、ルータやファイアウォールなど、他のネットワーキング デバイスによるサポートが必要となります。このような応答アクションは一部の攻撃を防ぐことはできますが、アトミック アタックでは、無差別モードベースのセンサーが管理対象デバイス(ファイアウォール、スイッチ、ルータなど)に ACL 修正を適用する前に、シングル パケットがターゲット システムに到達する可能性があります。

デフォルトでは、すべての検知インターフェイスは無差別モードです。インターフェイスをインライン インターフェイス モードから無差別モードに変更するには、変更対象のインターフェイスを含むすべてのインライン インターフェイスを削除し、インターフェイス設定からそのインターフェイスのすべてのインライン VLAN ペアのサブインターフェイスを削除します。

関連項目

「インターフェイスについて」

「物理インターフェイスの設定」

インライン インターフェイス モード

インライン インターフェイス ペア モードで運用する場合は、IPS が直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。遅延が加わるため、パケット転送速度は遅くなります。その結果、センサーは、悪意のあるトラフィックがターゲットに到達する前にそのトラフィックをドロップして攻撃を阻止できるため、保護サービスが提供されます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。この詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、停止またはブロックすることができます。

インライン インターフェイス ペア モードでは、パケットはセンサーのペアの 1 つめのインターフェイスを経由して入り、ペアの 2 つめのインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されないかぎり、ペアの 2 つめのインターフェイスに送信されます。

注:

ペアになっているインターフェイスが同じスイッチに接続されている場合は、それらのインターフェイスをスイッチ上で 2 つのアクセス ポートとして設定し、それぞれが異なる VLAN アクセスを持つようにする必要があります。このようにしないと、トラフィックはインライン インターフェイスを通過しません。

ルータおよび ASA デバイスの IPS モジュールは、検知インターフェイスが 1 つしかない場合でも、インラインで動作するように設定できます。

関連項目

「インターフェイスについて」

「インライン インターフェイス ペアの設定」

インライン VLAN ペア モード

物理インターフェイス上で、VLAN をペアで関連付けることができます。これは、インライン VLAN ペア モードと呼ばれます。ペアの一方の VLAN で受信されたパケットは、分析後にペアのもう一方の VLAN に転送されます。

インライン VLAN ペア モードは、アクティブ検知モードです。このモードでは、検知インターフェイスが 802.1q トランク ポートとして動作し、センサーがトランク上の VLAN のペア間の VLAN ブリッジングを実行します。センサーは、ペアごとに各 VLAN 上で受信するトラフィックを検査し、そのパケットをペアのもう一方の VLAN に転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。IPS センサーは、各検知インターフェイス上で最大 255 個の VLAN ペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの 802.1q ヘッダー内の VLAN ID フィールドを、センサーがパケットを転送する出力 VLAN の ID に置き換えます。センサーは、インライン VLAN ペアに割り当てられていないすべての VLAN で受信したすべてのパケットをドロップします。

注:

インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。

インライン VLAN ペアは、ルータまたは ASA デバイスの IPS モジュールではサポートされていません。

関連項目

「インターフェイスについて」

「インライン VLAN ペアの設定」

VLAN グループ モード

各物理インターフェイスまたはインライン インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。複数の仮想センサーを設定している場合、各仮想センサーは、これらのインターフェイスの 1 つまたは複数をモニタできます。これにより、複数のポリシーを同じセンサーに適用できます。この利点は、わずかなインターフェイスしかないセンサーを多くのインターフェイスがあるかのように使用できる点にあります。


) インライン VLAN ペアに含まれている物理インターフェイスは、VLAN グループに分けることはできません。


VLAN グループ サブインターフェイスによって、物理インターフェイスまたはインライン インターフェイスと VLAN セットが関連付けられます。VLAN を複数の VLAN グループ サブインターフェイスのメンバにすることはできません。各 VLAN グループ サブインターフェイスは、1 ~ 255 の数値で識別されます。サブインターフェイス 0 は、仮想化されていない物理インターフェイスまたは論理インターフェイス全体を表すために使用される予約済みのサブインターフェイス番号です サブインターフェイス 0 を作成、削除、または変更することはできません。また、サブインターフェイス 0 に関する統計情報は報告されません。

VLAN グループを作成すると、次のように無差別またはインラインに設定されます。

無差別 VLAN グループ:物理インターフェイスで VLAN グループを設定する場合、その VLAN グループは、「無差別モード」で説明しているように無差別になります。

インライン VLAN グループ:インライン インターフェイス ペア(論理インターフェイス)で VLAN グループを設定する場合、VLAN グループは、「インライン インターフェイス モード」で説明しているようにインラインになります。

したがって、VLAN グループは、選択した VLAN にインターフェイスの動作を制限することにより、無差別モード インターフェイスまたはインライン インターフェイスの動作を強化します。VLAN グループを物理インターフェイスまたはインライン インターフェイスに割り当てると、そのインターフェイスは単なる無差別またはインライン インターフェイス ペアではなくなり、インライン VLAN グループに対してだけ使用できるようになります。

未割り当て VLAN グループは、別の VLAN グループに明示的に割り当てられていないすべての VLAN を含んでいる状態で維持されます。未割り当て VLAN グループ内の VLAN を直接指定することはできません。別の VLAN グループ サブインターフェイスに VLAN が追加されたり、または別の VLAN グループ サブインターフェイスから VLAN が削除されたりすると、未割り当て VLAN グループは更新されます。

通常、802.1q トランクのネイティブ VLAN 内のパケットには、そのパケットが属する VLAN 番号を示す 802.1q カプセル化ヘッダーがありません。各物理インターフェイスには、デフォルトの VLAN 変数が関連付けられており、この変数をネイティブ VLAN の VLAN 番号または 0 に設定する必要があります。値 0 は、ネイティブ VLAN が不明であるか、またはネイティブ VLAN の指定の有無は関係ないことを示しています。デフォルトの VLAN 設定が 0 の場合は、次の処理が行われます。

802.1q カプセル化のないパケットによってトリガーされたアラートには、VLAN 値 0 が報告されます。

802.1q カプセル化のないトラフィックは未割り当て VLAN グループに関連付けられ、ネイティブ VLAN として他の VLAN グループに割り当てることができません。


) スイッチのポートは、アクセス ポートまたはトランク ポートとして設定できます。アクセス ポートでは、すべてのトラフィックは、アクセス VLAN と呼ばれる 1 つの VLAN 内にあります。トランク ポートでは、ポートで複数の VLAN を伝送することができ、各パケットには VLAN ID を含む 802.1q ヘッダーと呼ばれる特別なヘッダーが付加されます。このヘッダーは、一般に VLAN タグと呼ばれます。ただし、トランク ポートには、ネイティブ VLAN と呼ばれる特別な VLAN があります。ネイティブ VLAN 内のパケットには、802.1q ヘッダーは付加されていません。IDSM-2 は、ネイティブでないすべてのトラフィックの 802.1q ヘッダーを読み取り、そのパケットの VLAN ID を判断することができます。ただし、IDSM-2 は、スイッチ設定内のポートのネイティブ VLAN としてどの VLAN が設定されているかはわからないため、ネイティブ パケットを受信する VLAN も認識できません。したがって、どの VLAN が該当のポートのネイティブ VLAN であるかを IDSM-2 に通知する必要があります。IDSM-2 は、タグが付いていないパケットを、ネイティブ VLAN ID のタグが付いたパケットとして処理します。


関連項目

「VLAN グループの展開」

「インターフェイスについて」

「VLAN グループの設定」

VLAN グループの展開

インライン ペアの VLAN グループは、VLAN ID を変換しません。したがって、論理インターフェイスで VLAN グループを使用するには、2 つのスイッチ間にインライン ペア インターフェイスが存在する必要があります。アプライアンスの場合、2 つのペアを同じスイッチに接続し、それらをアクセス ポートにして、2 つのポートに対して別々にアクセス VLAN を設定できます。この設定では、センサーは 2 つの VLAN 間を接続します。これは、2 つのポートはそれぞれアクセス モードであり、1 つの VLAN だけを伝送するためです。この場合、2 つのポートは異なる VLAN に存在する必要があります。センサーはこれら 2 つの VLAN をブリッジし、2 つの VLAN 間を流れるすべてのトラフィックをモニタします。IDSM-2 の 2 つのデータ ポートは常に同じスイッチに接続されているため、IDSM-2 はこの方法でも動作します。

2 つのスイッチ間にアプライアンスを接続することもできます。2 つの方法があります。第 1 の方法では、2 つのポートがアクセス ポートとして設定されるため、1 つの VLAN を伝送できます。この方法では、センサーは 2 つのスイッチ間で 1 つの VLAN をブリッジします。

第 2 の方法では、2 つのポートはトランク ポートとして設定されるため、複数の VLAN を伝送できます。この設定では、センサーは 2 つのスイッチ間で複数の VLAN をブリッジします。複数の VLAN がインライン インターフェイス ペアで伝送されるため、VLAN をグループに分けることができ、各グループを仮想センサーに割り当てることができます。第 2 の方法は、IDSM-2 には適用されません。IDSM-2 はこの方法では接続できないためです。

関連項目

「インターフェイスについて」

「VLAN グループ モード」

「VLAN グループの設定」

インターフェイスの設定

IPS アプライアンスおよびサービス モジュールのインターフェイス ポリシーを使用して、デバイスのインターフェイス設定値を設定します。ここでは、さまざまなタイプの設定値を設定する方法について説明します。これらの項は、標準のルータ インターフェイス ポリシーを使用する Cisco IOS IPS デバイスには該当しません。

「IPS インターフェイス ポリシーについて」

「物理インターフェイスの設定」

「バイパス モードの設定」

「CDP モードの設定」

「インライン インターフェイス ペアの設定」

「インライン VLAN ペアの設定」

「VLAN グループの設定」

「IPS インターフェイス設定のサマリーの表示」

IPS インターフェイス ポリシーについて

IPS インターフェイス ポリシーを使用して、IPS アプライアンスおよびサービス モジュールで、物理インターフェイス、インライン ペア、VLAN ペア、および VLAN グループを設定できます。このポリシーは、Cisco IOS IPS デバイスには適用されません。

無差別モード、インライン ペア モード、インライン VLAN ペア モード、無差別 VLAN グループ、またはインライン VLAN グループで動作するように、単一の物理インターフェイスを設定できますが、これらのモードを組み合わせてインターフェイスを設定することはできません。


ヒント ポリシーの内容は、デバイス タイプおよび IPS ソフトウェア バージョンによって異なります。たとえば、一部のデバイスには、物理インターフェイスのタブだけが表示されるため、別のタイプの設定を作成することはできません。次に説明するタブまたはオプションが、設定するポリシーで表示されない場合、そのデバイスには適用されません。

ナビゲーション パス

(デバイス ビューだけ)ポリシー セレクタから [IPS] > [Interfaces] を選択します。

関連項目

「インターフェイスについて」

「インターフェイス モードについて」

「Security Manager にすでに存在するデバイス上のポリシーの検出」

フィールド リファレンス

 

表 33-1 IPS インターフェイス ポリシー

要素
説明

[Physical Interfaces] タブ

デバイスで使用可能な物理インターフェイス。ここに表示されているインターフェイスだけを編集できます(デバイスを選択し、[Edit Row] ボタンをクリックします)。デバイス上でインベントリ検出を実行して、物理インターフェイスの正しいリストを取得する必要があります。たとえば、インターフェイス カードをデバイスに追加している場合があります。

このタブに表示されるカラムは、各インターフェイスの設定を示し、「[Modify Physical Interface Map] ダイアログボックス」で説明されています。[Administrative State] カラムは、インターフェイスがイネーブルであるかどうか([Yes] または [No])を示していることに注意してください。インターフェイスを動作させるには、インターフェイスをイネーブルにする必要があります。

詳細については、「物理インターフェイスの設定」を参照してください。

[Inline Pairs] タブ

「インライン インターフェイス モード」で説明しているように、インライン モード処理を可能にするインライン インターフェイス ペア。この表には、ペアの名前、それぞれのインターフェイス、および説明(ある場合)が示されます。詳細については、「インライン インターフェイス ペアの設定」を参照してください。

ペアを追加するには、[Add Row] ボタンをクリックし、[Add Interface Pair] ダイアログボックスに入力します。

ペアを編集するには、そのペアを選択して [Edit Row] ボタンをクリックします。

ペアを削除するには、そのペアを選択して [Delete Row] ボタンをクリックします。

[VLAN Pairs] タブ

「インライン VLAN ペア モード」で説明しているように、各物理インターフェイスの VLAN ペア。この表には、インターフェイスおよびサブインターフェイス、ペアになっている 2 つの VLAN、および説明(ある場合)を示します。詳細については、「インライン VLAN ペアの設定」を参照してください。

ペアを追加するには、[Add Row] ボタンをクリックし、[Add VLAN Pair] ダイアログボックスに入力します。

ペアを編集するには、そのペアを選択して [Edit Row] ボタンをクリックします。

ペアを削除するには、そのペアを選択して [Delete Row] ボタンをクリックします。

[VLAN Groups] タブ

「VLAN グループ モード」で説明しているように、物理インターフェイスまたはインライン ペアに定義されている VLAN グループ。この表には、インターフェイスまたはペアの名前、VLAN グループ(空白の場合は、未割り当てのすべての VLAN を意味します)、および説明(ある場合)を示します。詳細については、「VLAN グループの設定」を参照してください。

グループを追加するには、[Add Row] ボタンをクリックし、[Add VLAN Group] ダイアログボックスに入力します。

グループを編集するには、そのグループを選択して [Edit Row] ボタンをクリックします。

グループを削除するには、そのグループを選択して [Delete Row] ボタンをクリックします。

[Summary] タブ

検知インターフェイスをどのように設定したか(無差別モードに設定したインターフェイス、インライン ペアとして設定したインターフェイス、およびインライン VLAN ペアとして設定したインターフェイス)のサマリー。

詳細については、「IPS インターフェイス設定のサマリーの表示」を参照してください。

[Bypass Mode]

デバイスのバイパス モード。このモードによって、センサー プロセスがアップグレードのために一時的に停止した場合や、センサー モニタリング プロセスが失敗した場合に、センサーがインライン モード トラフィックを処理する方法が決定されます。これは、デバイス上のすべてのインライン モードに適用されるグローバル設定です。必要なオプションを選択します。各オプションがインライン トラフィックに与える影響の詳細については、「バイパス モードの設定」を参照してください。

[Off (Always inspect inline traffic)]:バイパス モードをディセーブルにします。トラフィックは常に検査され、センサーのモニタリング プロセスがダウンした場合は、トラフィックが通過しなくなります。

[On (Never inspect inline traffic)]:トラフィックは、分析エンジンをバイパスし、検査されません。

[Auto (Bypass inspection when analysis engine is stopped)]:センサーのモニタリング プロセスがダウンしている場合を除き、トラフィックは検査されます。モニタリング プロセスがダウンした場合、トラフィックは引き続きセンサーを通過しますが検査されません。これがデフォルトです。Auto モードは、センサーのアップグレード時に役立ちます。センサーのアップグレード中でもトラフィック フローが確保されるからです。

[CDP Mode]

Cisco Discovery Protocol(CDP)パケットの処理方法。CDP 設定は、デバイス上のすべてのインターフェイスにグローバルに適用されます。ただし、効果があるのはインライン インターフェイス(インライン インターフェイスとインライン VLAN ペア)だけです。詳細については、「CDP モードの設定」を参照してください。次のうち、適切なオプションを選択します。

[Forward CDP packets]:CDP パケットがセンサーを通過できるようにします。

[Drop CDP packets]:センサーがすべての CDP パケットをドロップし、それらのパケットがセンサーを通過できないようにします。これがデフォルト設定です。

IPS インターフェイス設定のサマリーの表示

インターフェイス ポリシーの [Summary] タブには、検知インターフェイスを設定した方法(無差別モードに設定したインターフェイス、インライン ペアとして設定したインターフェイス、インライン VLAN ペアとして設定したインターフェイス、インライン VLAN グループ、および無差別 VLAN グループ)のサマリーが含まれています。この表の内容は、インターフェイス設定を変更すると、変わります。

無差別モード、インライン ペア モード、またはインライン VLAN ペア モードで動作するように、単一の物理インターフェイスを設定できますが、これらのモードを組み合わせてインターフェイスを設定することはできません。


ヒント すべてのサービス モジュールにサマリーのタブがあるわけではありません。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Interfaces] を選択します。[Summary] タブをクリックします。

関連項目

「インターフェイスについて」

「IPS インターフェイス ポリシーについて」

「物理インターフェイスの設定」

「バイパス モードの設定」

「CDP モードの設定」

「インライン インターフェイス ペアの設定」

「インライン VLAN ペアの設定」

「VLAN グループの設定」

フィールド リファレンス

 

表 33-2 [IPS Interface Summary] タブ

要素
説明

[Name]

インターフェイスの名前。

この名前は、無差別インターフェイスの FastEthernet または GigabitEthernet です。インライン インターフェイスの場合、この名前はペアに割り当てた名前になります。

[Subinterface Number]

インライン VLAN ペアまたは VLAN グループのサブインターフェイス番号です。1 ~ 255 のサブインターフェイス番号を指定できます。

[Inline Interface Name]

インライン インターフェイス ペアの名前。

[Mode]

インターフェイスのモード:無差別、インライン、無差別 VLAN グループ、またはインライン VLAN グループおよび VLAN ペアが存在するかどうか。インターフェイス モードの詳細については、「インターフェイス モードについて」を参照してください。

[VLAN A]

[VLAN B]

VLAN ペアの 1 番めの VLAN および 2 番めの VLAN の VLAN ID。1 ~ 4095 の VLAN 番号を指定できます。

[VLAN Range]

VLAN グループに属している VLAN ID の範囲(100 ~ 200 など)。

未割り当てのすべての VLAN に適用するように VLAN グループが設定されている場合、このフィールドは空になります。

物理インターフェイスの設定

IPS インターフェイス ポリシーの [Physical Interfaces] タブには、使用しているセンサー上の既存の物理インターフェイスおよび関連付けられている設定が表示されます。このポリシーの物理インターフェイスは追加または削除できません。代わりに、ポリシー検出を使用して、デバイスからインターフェイスの最新リストを取得する必要があります。したがって、(一部のアプライアンスで使用可能な)インターフェイス カードを追加または削除した場合、「Security Manager にすでに存在するデバイス上のポリシーの検出」で説明しているように、デバイスを再検出する必要があります。

トラフィックをモニタするようにセンサーを設定するには、この手順を使用してインターフェイスをイネーブルにする必要があります。 setup コマンドを使用して(IPS でコマンドライン インターフェイスを使用して)センサーを初期化したときに、インターフェイスまたはインライン ペアを仮想センサーに割り当て、インターフェイスまたはインライン ペアをイネーブルにしています。インターフェイス設定を変更する必要がある場合は、[Physical Interfaces] タブで変更できます。インターフェイスを仮想センサーに割り当てるには、[Virtual Sensors] ポリシーを選択し、必要に応じて仮想センサーを追加または編集します。


ヒント 各物理インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。詳細については、「VLAN グループの設定」を参照してください。

関連項目

「インターフェイスについて」

「仮想センサーの定義」

「仮想センサーのポリシーの編集」

「仮想センサーへのインターフェイスの割り当て」

「バイパス モードの設定」

「CDP モードの設定」

「インライン インターフェイス ペアの設定」


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] を選択し、[Physical Interfaces] タブをクリックします(必要な場合)。

ステップ 2 設定を変更するインターフェイスを選択し、[Edit Row] ボタンをクリックします。[Modify Physical Interface Map] ダイアログボックスが表示されます。

ステップ 3 必要な設定変更を行い、[OK] をクリックします。よく変更される設定を次に示します。すべてのオプションについては、「[Modify Physical Interface Map] ダイアログボックス」を参照してください。

[Enabled]:インターフェイスがイネーブルであるかどうか([Yes] または [No])。インターフェイスを動作させるには、[Yes] を選択します。このオプションの値は、[Physical Interfaces] タブの [Administrative State] カラムに表示されます。

[Default VLAN]:インターフェイスが割り当てられている VLAN。

[Specify Interface for TCP Reset]:「インターフェイスについて」で説明しているように、代替 TCP リセット インターフェイスを割り当てるには、このオプションを選択してから、[interface-name] リストから代替インターフェイスを選択します。


 

[Modify Physical Interface Map] ダイアログボックス

[Modify Physical Interface Map] ダイアログボックスを使用して、IPS センサーの物理インターフェイスの設定を変更します。手順については、「物理インターフェイスの設定」を参照してください。

ナビゲーション パス

(デバイス ビュー)ポリシー セレクタから [Interfaces] を選択します。[Physical Interfaces] タブで、インターフェイスを選択し、[Edit Row] ボタンをクリックします。

関連項目

「インターフェイスについて」

「IPS インターフェイス ポリシーについて」

フィールド リファレンス

 

表 33-3 [Modify Physical Interface Map] ダイアログボックス

要素
説明

[Name]

物理インターフェイスの名前。

[Media Type]

物理インターフェイスのメディア タイプ。メディア タイプは、次のとおりです。

[TX]:銅線メディア。

[SX]:ファイバ メディア。

[XL]:ネットワーク アクセラレータ カード。

[Backplane interface]:モジュールを親シャーシのバックプレーンに接続する内部インターフェイス。

[Description]

インターフェイスの説明。

[Enabled]

インターフェイスがイネーブルであるかどうか([Yes] または [No])。

インターフェイスを動作させるには、[Yes] を選択する必要があります。インターフェイスの仮想センサーにインターフェイスを割り当てる必要もあります。[Virtual Sensors] ポリシーを使用します。

[Duplex]

インターフェイスのデュプレックス設定。デュプレックス設定は、次のとおりです。

[Auto]:インターフェイスを自動ネゴシエーション デュプレックスに設定します。

[Full]:インターフェイスを全二重に設定します。

[Half]:インターフェイスを半二重に設定します。

[Speed]

インターフェイスの速度設定。速度のオプションは、次のとおりです。

[Auto]:インターフェイスを自動ネゴシエーション速度に設定します。

[10 MB]:インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。

[100 MB]:インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。

[1 GB]:インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。

[10 GB]:インターフェイスを 10 GB に設定します(10 ギガビット インターフェイスの場合だけ)。

[Default VLAN]

ネイティブ トラフィックに関連付けられている VLAN ID、または 0(不明な場合や、どの VLAN であるかは関係ない場合)。

[Specify Interface for TCP Reset]

[interface-name]

代替インターフェイスが無差別モニタリングに使用され、シグニチャの起動によってリセット アクションがトリガーされた場合に、代替インターフェイスで TCP リセットを送信するかどうか。

このオプションを選択した場合は、[interface-name] リストから代替 TCP リセット インターフェイスを選択します。

代替 TCP リセットの詳細については、「インターフェイスについて」を参照してください。

バイパス モードの設定

インライン バイパスは、分析ツールとして、およびフェールオーバー保護メカニズムとして使用できます。通常は、センサーの分析エンジンがパケット分析を実行します。インライン バイパスがアクティブである場合、分析エンジンはバイパスされ、トラフィックは検査されることなく、インライン インターフェイスおよびインライン VLAN ペアを通過できます。インライン バイパスによって、センサー プロセスがアップグレードのために一時的に停止した場合や、センサー モニタリング プロセスが失敗した場合でも、パケットは引き続きセンサーを通過できます。オン、オフ、および自動という 3 つのモードがあります。デフォルトでは、バイパス モードは自動に設定されています。

使用するバイパス モードを決定する前に、次のことを考慮してください。

センサーをバイパス モードにすると、セキュリティ上の影響があります。バイパス モードをオンにすると、トラフィックはセンサーをバイパスし、検査されません。そのため、センサーは悪意のある攻撃を阻止できません。

インライン バイパス機能は、ソフトウェアで実行されるため、オペレーティング システムが稼動している場合にだけ動作します。センサーの電源がオフになっている場合、またはシャットダウンされている場合、インライン バイパスは動作しません。つまり、トラフィックはセンサーを通過しません。

センサーが、シグニチャまたはグローバル相関の更新を適用すると、バイパスがトリガーされる場合があります。バイパスがトリガーされるかどうかは、センサーのトラフィック負荷とシグニチャまたはグローバル相関更新のサイズによって決まります。バイパス モードをオフにすると、インライン センサーは更新の適用中にトラフィックの送信を停止します。

バイパス モードの設定を変更するには、次の手順を実行します。


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] ポリシーを選択します。

ステップ 2 ポリシーの一番下にある [Bypass Mode] フィールドで、目的のオプションを選択します。

[Off (Always inspect inline traffic)]:バイパス モードをディセーブルにします。

トラフィックは、検査のために、センサーを介して送信されます。センサーのモニタリング プロセスがダウンすると、トラフィックは通過しなくなります。これは、インライン トラフィックが常に検査されることを意味します。

[On (Never inspect inline traffic)]:トラフィックは、分析エンジンをバイパスし、検査されません。これは、インライン トラフィックが常に検査されないことを意味します。

[Auto (Bypass inspection when analysis engine is stopped)]:トラフィックは、センサーのモニタリング プロセスがダウンしている場合を除き、検査のためにセンサーを介して送信されます。これがデフォルトです。

センサーのモニタリング プロセスがダウンすると、センサーが再び動作するまで、トラフィックはセンサーをバイパスします。センサーは、動作を再開すると、トラフィックを検査します。Auto モードは、センサーのアップグレード時に役立ちます。センサーのアップグレード中でもトラフィック フローが確保されるからです。また、Auto モードによって、モニタリング プロセスが失敗した場合でも、トラフィックは引き続きセンサーを通過します。


 

CDP モードの設定

Cisco Discovery Protocol(CDP)パケットの転送をイネーブルまたはディセーブルするように、IPS センサーを設定できます。CDP 設定は、デバイス上のすべてのインターフェイスにグローバルに適用されます。ただし、効果があるのはインライン インターフェイス(インライン インターフェイスとインライン VLAN ペア)だけです。

Cisco Discovery Protocol は、メディアおよびプロトコルに依存しないデバイス検出プロトコルであり、すべてのシスコ製装置(ルータ、アクセス サーバ、ブリッジ、スイッチなど)上で動作します。CDP を使用することにより、デバイスはその存在を他のデバイスにアドバタイズし、同じ LAN 上または WAN のリモート サイト上の他のデバイスに関する情報を受信できます。CDP は、SNAP をサポートするすべてのメディア(LAN、フレーム リレー、ATM メディアなど)で稼動します。


ヒント CDP モード設定は、一部の IPS アプライアンスおよびサービス モジュールでは使用できません。[CDP Mode] フィールドがインターフェイス ポリシーに表示されない場合、それらの設定は、設定中のデバイスには適用されません。

デバイスで CDP モード設定を変更するには、次の手順を実行します。


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] ポリシーを選択します。

ステップ 2 ポリシーの一番下にある [CDP Mode] フィールドで、必要なオプションを選択します。

[Forward CDP packets]:CDP パケットがセンサーを通過できるようにします。

[Drop CDP packets]:センサーがすべての CDP パケットをドロップし、それらのパケットがセンサーを通過できないようにします。これがデフォルト設定です。


 

インライン インターフェイス ペアの設定

センサーでインライン モニタリングを実行できる場合は、センサーでインターフェイスのペアを設定できます。インライン ペアの詳細については、「インライン インターフェイス モード」を参照してください。


ヒント ルータおよび ASA デバイスの IPS モジュールでは、モニタリング用のインライン ペアは必要ありません。必要となるのは、物理インターフェイスを仮想センサーに追加することだけです。

関連項目

「インターフェイスについて」

「バイパス モードの設定」

「CDP モードの設定」

「物理インターフェイスの設定」

「VLAN グループの設定」

「仮想センサーの定義」

「仮想センサーのポリシーの編集」

「仮想センサーへのインターフェイスの割り当て」


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] を選択し、[Inline Pairs] タブをクリックします。

ステップ 2 次のいずれかを実行します。

ペアを追加するには、[Add Row] ボタンをクリックします。[Add Interface Pair] ダイアログボックスが開きます。

ペアを編集するには、そのペアを選択して [Edit Row] ボタンをクリックします。[Edit Interface Pair] ダイアログボックスが開きます。


ヒント ペアを選択し、[Delete Row] ボタンをクリックして削除することもできます。インライン VLAN グループが存在する場合は、インライン ペアを削除できません。最初にインライン VLAN グループを [VLAN Groups] タブから削除し、次にインライン ペアを削除します。


ステップ 3 [Add or Edit Inline Pairs] ダイアログボックスで、次のオプションを設定します。

[Inline Interface Name]:インライン ペアに付ける名前。この名前は、32 文字以下とする必要があります。使用できる文字は、英数字とアンダースコアです。この名前は、ペアを作成したあとには編集できません。

[Interface 1 and 2]:ペアの形成に使用する 2 つの物理インターフェイスを選択します。このリストには、[Physical Interfaces] タブで定義されたインターフェイスで、かつインライン ペア、VLAN ペア、または VLAN グループの一部になっていないインターフェイスだけが表示されます。

[Description]:ペアの説明(任意)。

ステップ 4 [OK] をクリックして変更を保存します。


 

インライン VLAN ペアの設定

IPS インターフェイス ポリシーの [VLAN Pairs] タブを使用して、物理インターフェイス用の VLAN ペアを設定します。このサマリー テーブルには、各物理インターフェイスの既存の VLAN ペアが表示されます。単一の物理インターフェイスに複数の VLAN ペアを作成できます。インライン VLAN ペア モードの詳細については、「インライン VLAN ペア モード」を参照してください。

ヒント

インターフェイスが、すでにインライン インターフェイス ペアの一部である場合は、そのインターフェイスの VLAN ペアは作成できません。インライン インターフェイス ペアの VLAN グループを作成します。

無差別モードで動作し、仮想センサーに割り当てられているインターフェイス用のインライン VLAN ペアを作成するには、最初にそのインターフェイスを仮想センサーから削除し([Virtual Sensors] ポリシーを使用)、次にインライン VLAN ペアを作成する必要があります。

インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。

使用しているセンサーが、インライン VLAN ペアをサポートしていない場合、[VLAN Pairs] ペインは表示されません。ルータおよび ASA デバイスの IPS モジュールは、インライン VLAN ペアをサポートしていません。

インライン VLAN ペアを使用する場合は、VLAN をホストしている、接続されているスイッチで UniDirectional Link Detection(UDLD; 単方向リンク検出)を設定する必要があります。UDLD を使用すると、スイッチがスパニング ツリー転送ループおよび単一方向リンクを回避するのに役立ちます。詳細については、『 Installing and Using Intrusion Prevention System Device Manager 』の「 Configuring UDLD 」を参照してください。

関連項目

「インターフェイスについて」

「バイパス モードの設定」

「CDP モードの設定」

「物理インターフェイスの設定」

「VLAN グループの設定」


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] を選択し、[VLAN Pairs] タブをクリックします。

ステップ 2 次のいずれかを実行します。

ペアを追加するには、[Add Row] ボタンをクリックします。[Add VLAN Pair] ダイアログボックスが開きます。

ペアを編集するには、そのペアを選択して [Edit Row] ボタンをクリックします。[Edit VLAN Pair] ダイアログボックスが開きます。


ヒント ペアを選択し、[Delete Row] ボタンをクリックして削除することもできます。インライン VLAN ペアは、仮想センサーに割り当てられている場合は削除できません。[Virtual Sensors] ポリシーを使用して最初に仮想センサーへの割り当てを削除してから、インライン VLAN ペアを削除します。


ステップ 3 [Add VLAN Pairs]/[Edit VLAN Pairs] ダイアログボックスで、次のオプションを設定します。

[Physical Interfaces]:VLAN ペアを作成する物理インターフェイスを選択します。このリストには、[Physical Interfaces] タブで定義され、かつインライン インターフェイス ペアまたは VLAN グループの一部となっていないインターフェイスだけが含まれています。ただし、単一のインターフェイス上で複数の VLAN ペアを作成できます。

[Subinterface Number]:サブインターフェイスとして割り当てる番号を入力します。この番号は、インターフェイスで一意である必要があります。つまり、選択した物理インターフェイス上の別の VLAN ペアにまだ割り当てられていない必要があります。1 ~ 255 のサブインターフェイス番号を指定できます。

[Description]:ペアの説明(任意)。

[VLAN A, B]:ペアとして結合する 2 つの VLAN の番号。VLAN 番号は、1 ~ 4095 の値です。異なる番号を入力する必要があります。また、選択した物理インターフェイス上の別の VLAN ペアの番号と同じ番号は使用できません。

ステップ 4 [OK] をクリックして変更を保存します。


 

VLAN グループの設定

IPS インターフェイス ポリシーの [VLAN Groups] タブを使用して、物理インターフェイスおよびインライン インターフェイス ペア(論理インターフェイス)の VLAN グループを設定します。サマリー テーブルには、既存の VLAN グループが表示されます。単一の物理インターフェイスまたはインライン インターフェイス ペア上に複数の VLAN グループを作成できます。VLAN グループ モードの詳細については、「VLAN グループ モード」を参照してください。

VLAN グループは、インターフェイスに存在する VLAN ID のグループで構成されています。各 VLAN グループは、少なくとも 1 つの VLAN ID で構成されています。インターフェイス(論理または物理)ごとに最大 255 の VLAN グループを設定できます。各グループには、任意の数の VLAN ID を含めることができます。

VLAN ID を VLAN グループに割り当てたあとに、その VLAN グループを仮想センサーに割り当てて、動作できるようにする必要があります。単一グループは、1 つの仮想センサーだけに割り当てることができます。[Virtual Sensors] ポリシーを使用して、割り当てを行います。


) VLAN グループは、IPS 6.0 以降でだけサポートされています。すべての IPS アプライアンスまたはサービス モジュールで VLAN グループがサポートされているわけではありません。[VLAN Groups] タブが [Interfaces] ポリシーに表示されない場合、設定しているそのデバイスではこの機能がサポートされていません。


関連項目

「インターフェイスについて」

「バイパス モードの設定」

「CDP モードの設定」

「物理インターフェイスの設定」

「仮想センサーの定義」

「仮想センサーのポリシーの編集」

「仮想センサーへのインターフェイスの割り当て」


ステップ 1 (デバイス ビュー)ポリシー セレクタから [Interfaces] を選択し、次に [VLAN Groups] タブをクリックします。

この表には、グループが定義されているインターフェイス、サブインターフェイス番号、説明(ある場合)、グループに割り当てられている VLAN を含む、既存の VLAN グループが示されます。VLAN のセルが空白の場合、そのグループはインターフェイス上のすべての未割り当て VLAN 用に定義されています。

ステップ 2 次のいずれかを実行します。

ペアを追加するには、[Add Row] ボタンをクリックします。[Add VLAN Group] ダイアログボックスが開きます。

ペアを編集するには、そのペアを選択して [Edit Row] ボタンをクリックします。[Edit VLAN Group] ダイアログボックスが開きます。


ヒント グループを選択し、[Delete Row] ボタンをクリックして削除することもできます。VLAN グループは、仮想センサーに割り当てられている場合は削除できません。[Virtual Sensors] ポリシーを使用して最初に仮想センサーへの割り当てを削除してから、VLAN グループを削除します。


ステップ 3 [Add VLAN Group] または [Edit VLAN Group] ダイアログボックスで、次のオプションを設定します。

[Physical and Logical Interfaces]:VLAN グループを作成する物理インターフェイスまたはインライン インターフェイス ペアを選択します。このリストには、インライン VLAN ペアがまだ定義されておらず、ペアになっていない物理インターフェイス([Physical Interfaces] タブで定義)や、[Inline Pairs] タブで定義されているインライン インターフェイス ペアだけが表示されます。単一のインターフェイス上で複数の VLAN グループを作成できます。次の点を考慮してください。

物理インターフェイスを選択した場合は、無差別 VLAN グループを作成します。

論理インターフェイスを選択した場合は、インライン VLAN グループを作成します。

[Subinterface Number]:サブインターフェイスとして割り当てる番号を入力します。この番号は、インターフェイスで一意である必要があります。つまり、選択したインターフェイス上の別の VLAN グループにまだ割り当てられていない必要があります。1 ~ 255 のサブインターフェイス番号を指定できます。

[Description]:グループの説明(任意)。

[VLAN assignment]:次のいずれかのオプションを選択します。

[All Unassigned VLAN IDs]:このグループには、他の VLAN グループに割り当てられていないすべての VLAN が含まれています。これはデフォルトのオプションです。

[Range of free VLAN IDs]:このグループには、特定の VLAN が含まれています。[Range] ボックスで、複数の単一 VLAN ID または範囲の任意の組み合わせ(ID の先頭と末尾をハイフンで区切ります)を入力し、複数のエントリをカンマで区切ります。たとえば、10, 12-25, 33-49 のように入力します。VLAN 番号は、1 ~ 4095 の値です。

この VLAN ID には、選択したインターフェイスの別の VLAN グループの VLAN ID は使用できません。また、VLAN は、接続されているスイッチで設定する必要があります。そうしないと、検査するトラフィックが存在しないことになります。

ステップ 4 [OK] をクリックして変更を保存します。