Cisco Security MARS インストレーション セットアップ ガイド Release 4.x
MARS アプライアンス の初期設定
MARS アプライアンスの初期設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

MARS アプライアンスの初期設定

初期設定のチェックリスト

コンソール接続の確立

コマンドラインでの基本的なネットワーク設定

システム管理アカウントのデフォルト パスワードの変更

eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定

eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定

アプライアンスのホスト名の指定

追加ルートの設定

スタティック ルートの追加

スタティック ルートの削除

タイム設定の指定

ケーブル接続の完了

MARS HTML インターフェイスを使用した設定の完了

アプライアンスのライセンス設定

ネットワーク設定の確認および更新

DNS 設定の指定

システム管理アカウントの E メール設定

TACACS/AAA ログイン プロンプトの設定

アプライアンスの最新ソフトウェアへの更新

次の作業

MARS アプライアンスの初期設定

初期設定が完了すると、MARS アプライアンスとネットワーク上の他の装置との通信が可能になり、レポーティング デバイスからのデータをモニタできるようになります。MARS アプライアンスの設定は、6 段階に分けて実行します。この章では、初期設定のチェックリストを示し、最初の 5 フェーズの設定を完了する手順について説明します。6 番めの最終フェーズの設定では、HTML インターフェイスを使用して、管理アカウントおよびユーザアカウントの設定、モニタ対象デバイスの指定、カスタム検査ルールおよびレポートの定義を行います。詳細については、『 User Guide for Cisco Security MARS Local Controller Version 4.1.x 』および『 User Guide for Cisco Security MARS Global Controller Version 4.1.x 』を参照してください。

この章で説明する内容は、次のとおりです。

「初期設定のチェックリスト」

「コンソール接続の確立」

「コマンドラインでの基本的なネットワーク設定」

「ケーブル接続の完了」

「MARS HTML インターフェイスを使用した設定の完了」

「アプライアンスの最新ソフトウェアへの更新」

「次の作業」

初期設定のチェックリスト

アプライアンスの初期設定には、いくつかの目的があります。

MARSに 2 つのユーザ インターフェイス(CLI [コマンドライン インターフェイス] およびHTML インターフェイス)を設定します。

アプライアンスのライセンスを設定します。

アプライアンスが、ネットワーク上でモニタおよび通信できるように準備します。

イベントの相互関係が適正に保持されるように、システムの時刻を設定します。

システムの管理アカウントが適正に設定されていることを確認します。

アプライアンスが、最新のソフトウェア バージョンを実行していることを確認します。

次のチェックリストに、MARS アプライアンスの初期設定に必要な作業を示します。各作業には、いくつかの手順が含まれていることがあります。作業および手順は、順序どおりに実行する必要があります。このチェックリストには、各作業を実行するための特定の手順の参照先が示されています。

 

 

作業

 

1. アプライアンスへのコンソール接続の確立

初期設定を行うには、CLI にアクセスするためにコンソール接続が必要です。この接続は、MARS アプライアンスの電源をオフにした状態で行う必要があります。コンソール接続には、3 種類の方法があります。

キーボードおよびモニタを使用した、アプライアンスへのコンソールの直接接続

端末エミュレーション パッケージを使用した、コンピュータとアプライアンスとの標準シリアル コンソール接続

端末エミュレーション パッケージを使用した、コンピュータとアプライアンスとのイーサネット コンソール接続

コンソール接続の完了後、アプライアンスに電源を投入する必要があります。

結果 :アプライアンスに電源が投入され、コンソール接続により、コマンドライン プロンプトが表示されます。

詳細の参照先:

「コンソール接続の確立」

 

2. コマンドラインでの設定:システム管理アカウントのデフォルトのパスワードおよびインターフェイスの設定

コマンドラインでの設定では、3 つの作業を行います。各作業は、アプライアンスのリブートにより区切られています。最初の作業には、3 ~ 4 つの手順が含まれます。

アプライアンスをネットワーク上で最適に運用するために、必要な情報を収集します。

アプライアンスにログインし、システム管理アカウント(pnadmin)のパスワードを変更します。

eth0 ネットワーク インターフェイスを設定し、そのインターフェイスのデフォルトのゲートウェイ、および IP アドレスとネットワーク マスクのペアを指定します。

(任意)eth1 ネットワーク インターフェイスを設定し、そのインターフェイスの IP アドレスおよびネットワーク マスクのペアを指定します。

各 MARS アプライアンスには、2 つのイーサネット インターフェイス(eth0 および eth1)があります。eth0 インターフェイスは、ネットワークからイベント データおよびログを収集するための専用インターフェイスです。eth1 インターフェイスは、Out-of-Band Management(OOBM;帯域外管理)ネットワークまたはコンソール接続での使用を前提としています。したがって、デフォルトのゲートウェイおよび IP アドレス/マスク値は、レポーティング デバイスのデータ ストリームをモニタするネットワーク接続用に設定し、eth0 インターフェイスに割り当てる必要があります。


) MARS アプライアンスでは、両方のインターフェイスを同じネットワーク上に設定することはできません。


結果 :システム管理アカウントで、デフォルトのパスワードが無効になり、アプライアンスのセキュリティが向上します。また、ネットワーク上での通信用に eth0 が設定されます。いずれかのインターフェイスの IP アドレス設定を変更すると、アプライアンスはリブートします。

詳細の参照先:

「コマンドラインでの基本的なネットワーク設定」

「システム管理アカウントのデフォルト パスワードの変更」

「eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」

(任意) 「eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」

 

3. コマンドラインでの設定

CLI 設定の 2 番めの作業では、アプライアンスのホスト名を設定します。ホスト名により、特定のログを収集するアプライアンスおよび検査ルールを起動するアプライアンスを識別します。Global Controllerを実行する環境では、固有の識別が重要になります。この作業には、次の手順が必要です。

システム管理アカウントおよび新しいパスワードを使用して、アプライアンスにログインします。

アプライアンスのホスト名を設定します。

結果 :アプライアンスにホスト名が設定されます。アプライアンスがリブートします。

詳細の参照先:

「アプライアンスのホスト名の指定」

 

4. コマンドラインでの設定

CLI での初期設定の 3 番めにあたる最後の作業では、イベントの相互関係の整合性を確保し、ネットワーク接続を完了するための設定を指定し、ネットワーク上の他のホストからのアプライアンスへのアクセスを許可します。この作業を完了すると、ネットワーク上の任意のホストから、コンソール以外の接続を使用してアプライアンスに接続し、設定を行うことができます。この作業には、次の手順が必要です。

システム管理アカウントおよび新しいパスワードを使用して、アプライアンスにログインします。

追加のスタティック ルートを設定します。

クロックを設定します。

NTP サーバを設定します。

DNS ドメイン名を設定します。

アプライアンスを(Cat 5 ケーブルを使用して)ネットワークに接続します。

結果 :ネットワーク接続が完了します。アプライアンスに到達できる任意のホストから、Secure Shell(SSH)クライアントを使用して CLI インターフェイスにアクセスできます。また、HTML インターフェイスにログインして、初期設定を完了できます。

詳細の参照先:

「タイム設定の指定」

「追加ルートの設定」

「ケーブル接続の完了」

 

5. HTML インターフェイスを使用した初期設定の完了

MARS アプライアンスへのケーブル接続が完了したら、必要なネットワーク接続設定を定義し、追加のデフォルト ルートを指定して、HTML インターフェイスでの設定作業を開始できます。MARS アプライアンスを設定する前に、ブラウザの設定を確認してください( Web ブラウザ クライアントの要件を参照)。

この作業では、次の設定を行います。

アプライアンスのライセンス

ゾーン指定(Global Controllerのみ)

E メール サーバの指定

DNS アドレス

システム管理アカウント(pnadmin)の E メール アドレス

TACACS/AAA ログイン プロンプト設定

結果 :アプライアンスのネットワーク上での通信が設定され、イベントの相互関係が適切に保持され、モニタ対象の E メール アドレスにシステム E メールを送信できるようになります。

詳細の参照先:

「MARS HTML インターフェイスを使用した設定の完了」

「アプライアンスのライセンス設定」

「ネットワーク設定の確認および更新」

「DNS 設定の指定」

「システム管理アカウントの E メール設定」

「TACACS/AAA ログイン プロンプトの設定」

 

6. 最新ソフトウェア バージョンへのアプライアンスのアップグレード

ソフトウェアのバージョンは、シグニチャ、システム検査ルール、機能、およびバグ修正のレベルに影響します。セキュリティ ソリューションでは、MARS アプライアンス上で最新のソフトウェアを保持することが重要になります。この作業には、アップグレード戦略の準備および方法の選択と、現行バージョンと最新バージョンの判別、およびソフトウェアのすべての中間バージョンのダウンロードと適用が含まれます。

結果 :アプライアンスは、最新のソフトウェア バージョンを実行します。

詳細の参照先:

「アプライアンス ソフトウェアのアップグレードのチェックリスト」

コンソール接続の確立

MARS アプライアンスの初期設定を実行するには、最初にコンソール接続を確立する必要があります。初回のコンソール接続には 3 つの方法があり、初期設定の完了後は 4 つの方法で接続できます。コンソールには、システム管理アカウント(pnadmin)およびこのアカウントに関連付けられたデフォルトのパスワード(pnadmin)を使用して、ログインする必要があります。

初回のコンソール接続には、次の 3 つの方法があります。

直接コンソール接続 ― キーボードおよびモニタをアプライアンスに直接接続します。この方法は、3 つのコンソール接続方法のなかでコンソールのフィードバックが最も多く、端末エミュレータまたは SSH クライアントなどの他のソフトウェアを必要としません。

シリアル コンソール接続 ― アプライアンスに電源を投入する前に、適切なケーブルを使用して、コンピュータをシリアル ポートに接続します。シリアル ポートの位置については、「ハードウェアの概要」に記載されているご使用のアプライアンス モデルに対応する背面図を参照してください。端末エミュレーション通信ソフトウェア(Hyper Terminal など)の値を、次のように設定します。

ボー = 19200

データビット = 8

パリティ = なし

ストップビット = 1

フロー制御 = なし

イーサネット コンソール接続 ― アプライアンスに電源を投入する前に、Cat 5 クロス ケーブルを使用してコンピュータを eth1 インターフェイスに接続し、コンピュータのローカル TCP/IP を 192.168.0.0 ネットワーク上に設定します。eth0 および eth1 に割り当てられているデフォルトのアドレス 192.168.0.100 および 192.168.0.101 以外の IP アドレスを選択してください。eth1 ポートは、イーサネット コンソールなどの管理接続用として予約されています。eth1 ポートの位置については、「ハードウェアの概要」に記載されているご使用のアプライアンス モデルに対応する背面図を参照してください。端末エミュレーション通信ソフトウェア(Hyper Terminal など)の値を、次のように設定します。

ボー = 19200

データビット = 8

パリティ = なし

ストップビット = 1

フロー制御 = なし


ヒント eth1 をHTML インターフェイスのアクセス用インターフェイスとして設定すると、HTML インターフェイスのパフォーマンスを向上できます。デフォルトのゲートウェイを定義できるのは eth0 だけなので、eth1 には、管理トラフィックが適切にルーティングされるようにスタティック ルートを定義する必要があるからです。


SSH コンソール接続 ― 「初期設定のチェックリスト」に記載されている初期設定が完了したら、ネットワーク上の任意のホストから、SSH クライアントを使用してアプライアンスに接続できます。唯一の条件は、ホストがネットワーク トラフィックをアプライアンスにルーティングできることです。SSH クライアントには、次の値を設定します。

ホスト名 = 初期設定で eth0 に割り当てたホスト名または IP アドレス

ユーザ名 = pnadmin

ポート = 22

端末 = vt100

MARS アプライアンスへのコンソール接続を確立する手順は、次のとおりです。


ステップ 1 直接、シリアル、またはイーサネットのコンソール接続方法の 1 つを選択し、各方法の説明に従って設定します。

ステップ 2 MARS アプライアンスおよびコンソールの電源をオンにし、必要な場合には、コンソール上で端末エミュレーション通信ソフトウェアを起動します。

ログイン プロンプトが表示されます。

ステップ 3 ユーザ名として pnadmin を入力し、アカウントに割り当てたパスワードを入力します。

デフォルトのパスワードは、pnadmin です。


) アプライアンスへの初回のログイン時に、アカウントに割り当てるパスワードを変更できるプロンプトが表示されます。ここでパスワードを変更した場合には、「システム管理アカウントのデフォルト パスワードの変更」の作業を省略できます。


[pnadmin]$ プロンプトが表示されます。これで、初期設定を実行できます。


 

コマンドラインでの基本的なネットワーク設定

アプライアンスの初回起動時およびイメージを変更した場合には、MARS アプライアンスを設定する必要があります。アプライアンスの設定を開始する前に、次の情報を確認してください。

アプライアンスのネットワーク ホスト名

管理ユーザ名とパスワード

MARS アプライアンスに割り当てる IP アドレス、ネットマスク、およびゲートウェイ アドレス

アプライアンスが(HTML インターフェイスに設定された)ホスト名を解決するために使用する 1 つまたは複数の DNS サーバの IP アドレス

NTP 同期化を使用するかどうかの決定、使用する場合には NTP サーバのアドレス

アプライアンスに適用する時刻、日付、およびタイムゾーン

MARS アプライアンスを設定するには、次の作業を行います。

「システム管理アカウントのデフォルト パスワードの変更」

「eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」

(任意)「eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」

「アプライアンスのホスト名の指定」

「タイム設定の指定」

「追加ルートの設定」

システム管理アカウントのデフォルト パスワードの変更

セキュリティを確保するには、デフォルトのパスワードを変更する必要があります。MARSアプライアンスには、推測不能なパスワードを使用することを推奨します。


) コンソール接続によるアプライアンスへの初回のログイン時に、パスワード変更のプロンプトが表示されます。変更するパスワードは、システム管理アカウント pnadmin のパスワードです。


pnadmin アカウントに関連付けられたパスワードを変更する手順は、次のとおりです。


ステップ 1 「コンソール接続の確立」を参照して、MARS アプライアンスへのコンソール接続を確立します。


) MARS アプライアンスをまだ設定していない場合(新規またはイメージ変更後の初回の起動時)、ソフトウェアのバージョンを含むシステム情報が表示されます。


ステップ 2 システム管理アカウントおよびパスワード(pnadmin/pnadmin)を使用して、ログインします。

[pnadmin]$ プロンプトが表示されます。

ステップ 3 [pnadmin]$ プロンプトの上部に、次の情報が表示されていることを確認します。

Last login: Mon May 2 10:22:34 2005 from <host_address>
 
CS MARS - Mitigation and Response System
 
? for list of commands
 
[pnadmin]$
 

ステップ 4 [pnadmin]$ プロンプトに、 passwd を入力します。


) システムの初回起動時には、設定されていません。システムを設定するには、pnadmin としてログインします。


New password: プロンプトが表示されます。

ステップ 5 New password: プロンプトに、新しいパスワードを入力します。

パスワードは、大文字と小文字が区別されます。64 文字までの英数字および特殊文字(!、@、# など)を入力できます。ただし、パスワードに、スペース、単一引用符、二重引用符、またはカッコを含めることはできません。

Retype new password: プロンプトが表示されます。

ステップ 6 Retype new password: プロンプトに、新しいパスワードを再入力します。

[pnadmin]$ プロンプトが表示されます。


 

eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定

HTML インターフェイスまたは SSH クライアントを使用してアプライアンスに接続し、アプライアンスを管理するには、ネットワーク上の他のホストがアプライアンスに到達できるように設定する必要があります。

インターフェイスの設定を開始する前に、eth0 がネットワークに 接続していない ことを確認します。


ステップ 1 「コンソール接続の確立」を参照して、MARS アプライアンスへのコンソール接続を確立します。

ステップ 2 システム管理アカウントおよび「システム管理アカウントのデフォルト パスワードの変更」で指定した新しいパスワードを使用して、ログインします。

[pnadmin]$ プロンプトが表示されます。

ステップ 3 [pnadmin]$ プロンプトに、 gateway <gateway_address> を入力します。 gateway_address に、eth0 を接続するネットワークのデフォルト ゲートウェイの IP アドレスを指定します。

ステップ 4 [pnadmin]$ に、 ifconfig eth0 <ip_address> <net_mask> を入力します。 ip_address にアプライアンスの IP アドレス、 net_mask に IP アドレスのネットマスク値を指定します。

コンソールに、次のメッセージが表示されます。

IP addresses change will cause the system to reboot.
Do you want to proceed?
 

ステップ 5 ネットワーク設定を受け入れて、アプライアンスをリブートするには、 yes を入力します。

コンソールに、次のメッセージが表示されます。

Broadcast message from root (pts/0) <DATE>...
The system is going down for reboot NOW !!
 

) アプライアンスがリブートし、再びログインできるようになるまで、数分かかることがあります。



 

eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定

管理インターフェイスとして eth1(SSH またはHTML インターフェイス)を使用する場合には、ネットワーク上の他のホストから到達できるように、このインターフェイスを設定する必要があります。また、eth1 からトラフィックを正しくルーティングにするために、スタティック ルートを定義する必要があります。インターフェイス単位でスタティック ルートを定義する手順については、「追加ルートの設定」を参照してください。

インターフェイスの設定を開始する前に、eth1 がネットワークに 接続していない ことを確認します。

IP アドレスおよびデフォルト ゲートウェイを指定する手順は、次のとおりです。


ステップ 1 「コンソール接続の確立」を参照して、MARS アプライアンスへのコンソール接続を確立します。

ステップ 2 システム管理アカウントおよび「システム管理アカウントのデフォルト パスワードの変更」で指定した新しいパスワードを使用して、ログインします。

[pnadmin]$ プロンプトが表示されます。

ステップ 3 [pnadmin]$ プロンプトに、 ifconfig eth1 <ip_address> <net_mask> を入力します。 ip_address にアプライアンスの IP アドレス、 net_mask に IP アドレスのネットマスク値を指定します。

コンソールに、次のメッセージが表示されます。

IP addresses change will cause the system to reboot.
Do you want to proceed?
 

ステップ 4 ネットワーク設定を受け入れて、アプライアンスをリブートするには、 yes を入力します。

コンソールに、次のメッセージが表示されます。

Broadcast message from root (pts/0) <DATE>...
The system is going down for reboot NOW !!

) アプライアンスがリブートし、再びログインできるようになるまで、数分かかることがあります。



 

アプライアンスのホスト名の指定

基本接続設定の完了後、アプライアンスのホスト名を指定する必要があります。この作業には、コンソール接続を使用する必要があります。

ホスト名を指定する手順は、次のとおりです。


ステップ 1 「コンソール接続の確立」を参照して、MARS アプライアンスへのコンソール接続を確立します。

ステップ 2 システム管理アカウントおよび「システム管理アカウントのデフォルト パスワードの変更」で指定した新しいパスワードを使用して、ログインします。

[pnadmin]$ プロンプトが表示されます。

ステップ 3 [pnadmin]$ プロンプトに、 hostname < name > を入力します。 name に、アプライアンスのホスト名を指定します。


ヒント ホスト名には、15 文字までの英数字を使用できますが、スペースを含めることはできません。


コンソールに、次のメッセージが表示されます。

Hostname change will cause the system to reboot.
Do you want to proceed?
 

ステップ 4 新しいホスト名を受け入れて、アプライアンスをリブートするには、 yes を入力します。

コンソールに、次のメッセージが表示されます。

Broadcast message from root (pts/0) <DATE>...
The system is going down for reboot NOW !!

) アプライアンスがリブートし、再びログインできるようになるまで、数分かかることがあります。



 

追加ルートの設定

MARSが、デフォルト ゲートウェイ経由で特定の装置またはリソース(インターネットなど)にアクセスできない場合には、これらのリソースに到達できるスタティック ルートを追加する必要があります。スタティック ルートは、サブネットまたはホストに対して定義できます。スタティック ルートの追加または削除は、CLI から route コマンドを使用して実行する必要があります。詳細については、「コマンド リファレンス」を参照してください。


注意 ゲートウェイの IP アドレスを定義または変更する場合には、route コマンドを使用しないでください(変更は持続しません)。代わりに、gateway コマンドを使用します。

ルーティング テーブルを編集するには、「コンソール接続の確立」を参照して、MARS アプライアンスへのコンソール接続を確立する必要があります。次に、ルーティング テーブルのスタティック ルートを追加または削除する例を示します。

スタティック ルートの追加

このコマンドは、MARSのルーティング テーブルを永続的に変更します。

ゲートウェイ 10.1.1.1 を使用して、 eth0 からネットワーク 192.168.x.x へのルートを追加するには、次のコマンドを入力します。

route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.1.1.1 dev eth0
 

ゲートウェイ 10.1.1.1 を使用して、 eth0 からホスト 192.168.0.101 へのルートを追加するには、次のコマンドを入力します。

route add -host 192.168.0.101 gw 10.1.1.1 dev eth0
 

スタティック ルートの削除

サブネット 192.168.0.0/16 へのルートを削除するには、次のコマンドを入力します。

route del -net 192.168.0.0 netmask 255.255.0.0
 

ホスト 192.168.0.101 へのルートを削除するには、次のコマンドを入力します。

route del -host 192.168.0.101
 

タイム設定の指定


警告 Local Controllerにより起動されたルールをGlobal Controllerに適切に伝播するには、Global Controllerおよび各Local Controllerに NTP を設定する必要があります。NTP 設定の詳細については、「ntp」を参照してください。


基本接続設定の完了後、アプライアンスの時刻、日付、およびタイムゾーンを指定する必要があります。この作業には、コンソール接続を使用する必要があります。手順は、次のとおりです。


ステップ 1 アプライアンスの CLI にアクセスします。

ステップ 2 timezone set を入力し、アプライアンスに適用するタイムゾーンを指定します。

このコマンドを入力すると、大陸/国/地域に基づいて、または POSIX TZ 形式を使用して、適切なタイムゾーンを選択できるメニュー システムが表示されます。Global Controller/Local Controllerの階層を設定する場合、各Local Controllerに、モニタ対象のレポーティング デバイスと同じタイムゾーンを設定する必要があります。また、Global ControllerおよびすべてのLocal Controllerに、同じ世界標準時(UTS または GMI)を設定する必要があります。

ステップ 3 指定したタイムゾーンに基づいて、現在の時刻と日付を設定するには、次のいずれかを実行します。

次のように、NTP サーバを識別します。

a. ntp server を入力し、サーバを識別します。

b. ntp sync を入力し、サーバと同期化します。

次のように、アプライアンスの日付と時刻を手動で指定します。

a. date を入力し、 mm/dd/yyyy 形式で日付を指定します。

b. time を入力し、 hh:mm:ss 形式で時刻を指定します。

ステップ 4 reboot を入力してアプライアンスをリブートし、変更した時刻/日付設定を使用して、すべてのプロセスを再初期化します。


 

ケーブル接続の完了

eth0 または eth1 にコンソール接続している場合、この段階でコンソールを切断し、クロス ケーブルを使用してアプライアンスをネットワークに接続する必要があります。ただし、イーサネット以外のコンソール接続を使用している場合には、「MARS HTML インターフェイスを使用した設定の完了」の作業を継続できます。

MARS HTML インターフェイスを使用した設定の完了

MARSがレポーティング デバイスをモニタするように設定する前に、HTML インターフェイスを使用して、アプライアンスにいくつかの基本情報を設定する必要があります。この設定には、アプライアンス ライセンスの有効化、E メール ドメインの更新、E メール ゲートウェイの識別、DNS アドレスの指定、管理通知用の E メール アカウントの指定などが含まれます。この設定の完了後、アプライアンスを最新のソフトウェア バージョンに更新できます。ここでは、次の作業を行います。

「アプライアンスのライセンス設定」

「ネットワーク設定の確認および更新」

「DNS 設定の指定」

「システム管理アカウントの E メール設定」

「TACACS/AAA ログイン プロンプトの設定」

アプライアンスのライセンス設定


) Global Controllerに適用するライセンス キーは、モニタ対象のLocal Controllerには伝播されません。各MARS アプライアンスには、独自のライセンス キーがあります。


作業を始める前に

MARS アプライアンスを設定する前に、ブラウザの設定を確認します( Web ブラウザ クライアントの要件を参照)。

アプライアンスを稼働するために必要なライセンス キーがあることを確認します。

Web ブラウザ クライアントを実行しているコンピュータから、アプライアンスにアクセスできることを確認します。

HTML インターフェイスで必要な設定作業を行う手順は、次のとおりです。


ステップ 1 アプライアンスが起動していることを確認します。MARSの電源投入の方法は、「アプライアンスの電源投入」を参照してください。

ステップ 2 Web ブラウザを起動し、アドレス バーに次のいずれかの URL 構文を入力します。

https://< machine_name >/

https://< ip_address >/

machine_name は、「アプライアンスのホスト名の指定」で定義したアプライアンスの名前です。 ip_address は、「eth0 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」または「eth1 インターフェイスの IP アドレスおよびデフォルト ゲートウェイの指定」で設定した、接続先インターフェイス(eth0 または eth1)に割り当てたアドレスです。

続行する前に、セキュリティ証明書を受け入れるように要求されます。証明書を受け入れると、ログイン ページが表示されます。


) SSL は、シスコシステムズの自己署名証明書がある場合のみ使用できます。


図5-1 MARSログイン ページ

 

ステップ 3 ログイン ページが表示されたら、システム管理アカウント(pnadmin)、および「コンソール接続の確立」または「システム管理アカウントのデフォルト パスワードの変更」で定義したパスワードを入力します。

ステップ 4 pnadmin はローカル システム管理アカウントなので、Type リストから Local を選択し、 Login をクリックします。

Local および Global は、アプライアンスへのログインに使用したアカウントのタイプです。通常は、Local Controllerに定義されているアカウントを使用してログインするので、Type リストの Local オプションを選択します。Global Controllerに定義されているアカウントを使用してログインする場合には、Global を選択します。Global ControllerからLocal Controllerを管理する場合には、Global Controllerに定義した管理アカウントが、Local Controllerにプッシュダウンされます。


) 初回のログイン時は、最初のキャッシングおよびコンパイルが実行されるので、パフォーマンスは多少遅くなります。


MARSのライセンス キーが設定されていない場合、キーの入力を要求する License Key ダイアログが表示されます。

図5-2 License Key リンクのクリック

 

ステップ 5 ライセンス キーを入力するためのリンクをクリックします。

ライセンス キーは、アプライアンスのシャーシ上のラベルに記載されています。キーの表示位置については、「ハードウェアの概要」の図を参照してください。MARS アプライアンスをアクティブにして使用するには、ライセンス キーを入力する必要があります。

License Key ページが表示されます。

 

ステップ 6 25 文字のキーを入力して、 Submit をクリックします。

ライセンス許諾契約が表示されます。

ステップ 7 End User License Agreement を読み、Agree をクリックして、契約内容に同意します。


 

ネットワーク設定の確認および更新

アプライアンスの設定を完了するには、HTML インターフェイスだけで設定できる基本設定情報を入力する必要があります。具体的には、ネットワーク ゾーン(Global Controllerの場合)を指定し、アプライアンスが E メール通知の配信に使用する E メール ゲートウェイ情報を入力します。

必要な情報を設定する手順は、次のとおりです。


ステップ 1 Admin > System Setup > Configuration Information の順に選択します。

Device Configuration ページが表示されます。

図5-3 設定情報の入力(Global Controller の場合)

 

ステップ 2 次の情報が正しいことを確認します。

Name

このアプライアンスのホスト名です。この値は、アプライアンスのホスト名として使用されるほか、HTML インターフェイスにより、トポロジー、インシデント、ルール、クエリー、およびレポートの名前として使用されます。


) MARSのホスト名には、スペースを入れることはできません。15 文字までの英数字を指定できます。


Interface Name

MARSのネットワーク インターフェイスは、eth0 および eth1 の 2 つです。詳細については、「ハードウェアの概要」を参照してください。

IP Address

各インターフェイスの IP アドレスです。各インターフェイスは、異なるサブネット上に存在する必要があります。

Net Mask

eth0 および eth1 のネットワーク マスクです。

Default Gateway

eth0 インターフェイスのデフォルト ゲートウェイの IP アドレスです。


) このページで、アプライアンスの名前、IP アドレス、またはネットマスク情報を変更した場合、Update をクリックすると、アプライアンスはリブートします。


ステップ 3 (Global Controllerのみ)Zone フィールドに、Global Controllerが置かれている地域または仮想のゾーン名を入力します。1 つのゾーンで 1 台のLocal Controllerを運用できます。

ステップ 4 Mail Gateway の IP:Port フィールドに、E メール ゲートウェイが待ち受ける IP アドレスおよびポートを入力します。IP アドレスを入力します。または DNS が解決されている場合には、ゲートウェイ名を使用できます。アプライアンスは、E メール ゲートウェイを使用して E メール通知を送信します。ポート番号は、SMTP の場合、通常 25 です。

ステップ 5 Mail Gateway の E メール ドメイン名のフィールドに、E メール通知を発信するドメイン名を入力します。

この値は、 companyname.com などの完全修飾ドメイン名です。

アプライアンスからルール通知が送信されると、sender:notifier. < hostname >@< e-mail_domain > からメッセージが配信されます。 hostname は、アプライアンスのホスト名、 e-mail_domain は、このフィールドに指定したドメイン名です。

アプライアンスからレポート通知が送信されると、
sender:< type >.scheduler.< hostname >@< e-mail_domain > からメッセージが配信されます。 type は、(レポートがグローバルまたはローカルのどちらのレベルで定義されているかに応じて)local または global になります。 hostname は、アプアライアンスのホスト名、 e-mail_domain は、このフィールドで指定したドメイン名です。

ステップ 6 Submit をクリックして、変更を保存します。


 

DNS 設定の指定

アプライアンス上のローカル TCP/IP スタックは、ネットワーク上のすべてのホストと同様に DNS サービスを使用します。また、MARSは、学習するイベントについて、DNS を使用して IP アドレスをホスト名に変換します。このマッピングにより、ホスト名または IP アドレスを使用してイベントを学習できます。

アプライアンスに DNS 設定を指定する手順は、次のとおりです。


ステップ 1 Admin > System Setup > Configuration Information の順に選択します。

ステップ 2 Device Config グループから DNS Config グループまでスクロール ダウンします。

図5-4 DNS 情報

 

ステップ 3 Primary、Secondary、および Tertiary の DNS アドレス フィールドに、必要な DNS アドレスを入力します。

ステップ 4 Search Domain フィールドに、ドメインを入力し、 Add をクリックします。

ステップ 5 Update をクリックして、変更を保存します。


 

システム管理アカウントの E メール設定

MARSには、システム管理者アカウント(pnadmin)の E メール アドレスを設定する必要があります。MARS アプライアンスは、この E メール アドレスを使用して、システム ステータスに関する重要な通知およびレポートを配信します。

システム管理アカウントの E メール アドレスを指定する手順は、次のとおりです。


ステップ 1 Management > User Management の順に選択します。

ステップ 2 Administrator(pnadmin)の横にあるチェックボックスを選択し、 Edit をクリックします。

結果 :User ページが表示されます。

 

ステップ 3 Email フィールドに、このアカウントに使用する E メールのエイリアスを入力します。

ステップ 4 必要に応じて、その他の情報を更新します。

ステップ 5 Submit をクリックします。


 

TACACS/AAA ログイン プロンプトの設定

デフォルトでは、MARSは、デフォルトのデバイス ログイン プロンプトを認識しています。レポーティング デバイスまたは脅威軽減デバイスに接続を試みると、MARSはログインの失敗を防ぐために、プロンプトを確認します。ただし、TACACS ベースの AAA サーバを使用してレポーティング デバイスおよび脅威軽減デバイスへの管理アクセスを管理する場合には、MARSが認識できるように、ユーザ名およびパスワードのログイン プロンプトを記述する必要があります。

ほとんどのサーバには、ネットワーク上へのデバイス情報の提供を防ぐために、カスタム プロンプトを作成できる機能があります。「security through obscurity(隠蔽によるセキュリティ)」と呼ばれるこの技術により、ハッカーおよび他のユーザに対して、ネットワーク装置に関する特定情報を隠すことができます。この技術には、デバイス タイプやオペレーティング システム バージョンなど、特定装置の脆弱性の判別に使用される情報の識別が困難になるという利点があります。カスタム プロンプトを使用すると、すべての装置が同様に表示されます。カスタム設定なので、自動装置認識ツールを使用しても、探索は困難になります。

TACACS/AAA プロンプトの設定を指定する手順は、次のとおりです。


ステップ 1 Admin > System Parameters > TACACS/AAA Server Prompts の順に選択します。

ステップ 2 Default Login Prompt フィールドに、レポーティング デバイスへのアクセス時にユーザ名の入力を要求するプロンプトの表示テキストを入力します。

ステップ 3 Default Password Prompt フィールドに、ユーザ名に関連付けられたパスワードの入力を要求するプロンプトの表示テキストを入力します。

ステップ 4 Submit をクリックして、変更を保存します。

指定した設定は、TACACS/AAA サーバによるプロンプトを認識するために、MARSによりグローバルに使用されます。TACACS/AAA サーバのプロンプトまたはデバイスのデフォルト プロンプトのどちらも認識できない場合、MARSはデバイスへの接続を試みず、エラー メッセージを生成します。


 

アプライアンスの最新ソフトウェアへの更新

初期設定の完了後、アプライアンスが使用可能なソフトウェアの最新バージョンを実行しているかどうかを確認する必要があります。ソフトウェアの更新手順の詳細については、「アプライアンス ソフトウェアのアップグレードのチェックリスト」を参照してください。

ソフトウェアの更新が完了したら、モニタ対象とするレポーティング デバイスを指定できます。「次の作業」を参照してください。

次の作業

このマニュアルに記載されている作業を正常に完了すると、MARS アプライアンスの設置および初期設定が終了します。次に、ブラウザおよび HTML インターフェイスを使用して、必要な STM サービスを提供できるように、MARS アプライアンスを完全に設定します。

この設定には、次の作業が含まれます。

追加の管理アカウントの定義

レポーティング デバイスおよび脅威軽減デバイスの識別

カスタム検査ルールの定義

カスタム レポートの定義

フォールス ポジティブの調整

モニタ対象デバイスの設定、検査ルールの作成、およびその他のパラメータの詳細については、使用するアプライアンスに応じて、次のマニュアルを参照してください。

User Guide for Cisco Security MARS Local Controller Version 4.1.x

User Guide for Cisco Security MARS Global Controller Version 4.1.x