Management Center for IDS Sensors 1.2/Monitoring Center for Security 1.2 インストレーション ガイド
Cisco Intrusion Detection System バージョン 3.x ソフト ウェアが動作する IDS Sensor のブートストラップ
Cisco Intrusion Detection System バージョン 3.x ソフトウェアが動作する IDS Sensor のブートストラップ
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Intrusion Detection System バージョン 3.x ソフトウェアが動作する IDS Sensor のブートストラップ

IDS 3.x Sensor をいつブートストラップするかの判断

Sensor 設定用ワークシート

既存の IDS 3.x Sensor のブートストラップ

新しい IDS 3.x Sensor のブートストラップ

IDS 3.x Sensor のネットワーク接続の確認

Cisco Intrusion Detection System バージョン 3.x ソフトウェアが動作する IDS Sensor のブートストラップ

IDS MC を使用して Cisco Intrusion Detection System (IDS)バージョン 3.x ソフトウェアが動作する IDS Sensor を管理する場合、CiscoWorks Server が Sensor と通信できるようにセンサーをブートストラップすることが必要なことがあります。実行するブートストラップ手順は、Sensor をネットワークに追加するか、Sensor がすでに動作しているネットワーク上に CiscoWorks Server をインストールするかによって異なります。

新しい IDS 3.x Sensor を接続して初期設定をするには、Sensor をアセンブルし、モニタとキーボードまたはラップリンク ケーブルとコンソールを接続する必要があります。次に、「新しい IDS 3.x Sensor のブートストラップ」の手順を実施します。

次の例は、既存の IDS 3.x Sensor をブートストラップする必要があるかどうかを判断するために使用します。

CiscoWorks Server を新しい CiscoWorks Server と交換する。この場合、新しい CiscoWorks Server が、従来の CiscoWorks Server と同じ通信パラメータ(IP アドレス、ホスト ID、組織 ID など)を使用する限り、ブートストラップする必要はありません。

既存のネットワークに新しい CiscoWorks Server を追加し、ネットワーク上ですでに動作している Sensor を管理する。この場合、Sensor をブートストラップする必要があります。「既存の IDS 3.x Sensor のブートストラップ」を参照してください。

次の項では、ネットワーク上で Sensor をブートストラップするための前提条件について説明します。Sensor をブートストラップして、IDS MC が Sensor と通信できるようにし、IDS MC に管理者特権を与える必要があります。

IDS 3.x Sensor をいつブートストラップするかの判断

新しい IDS 3.x Sensor は、常にブートストラップする必要があります。ネットワーク上に既存の Sensor がある場合は、 nrconns コマンドを使用して CiscoWorks Server と Sensor との間に通信が確立されていることを確認します。


) 次の手順を実施するには、サーバ上に Security Monitor がインストールされている必要があります。


nrconns コマンドを使用して Sensor 上で通信が確立されていることを確認するには、次の手順に従います。


ステップ 1 user netrangr として Sensor にログインします。

ステップ 2 more /usr/nr/var/errors.* と入力して NetRanger エラー ログ ファイルをスキャンします。

ステップ 3 nrstatus と入力して実行中のサービスのリストを表示します。

サービス loggerd、sapd、postofficed、および fileXferd が動作している必要があります。

ステップ 4 nrconns と入力して Sensor の接続ステータスを表示します。

Sensor 上に CiscoWorks Server が設定されていない場合、 nrconns コマンドの出力に、次のように通信障害が表示されます。

<Director_Host_Name>.<Director_Org_Name> Connection 1: <Director_IP_Address> 45000 1 [SynSent] sto:5000 syn NOT rcvd!

Sensor 上で通信が確立されている場合は、 nrconns コマンドによって次のように表示されます。

<Director_Host_Name>.<Director_Org_Name> Connection 1: <Director_IP_Address> 45000 1 [Established]

nrconns コマンドが通信障害を示す場合は、Sensor をブートストラップする必要があります。詳細については、「既存の IDS 3.x Sensor のブートストラップ」を参照してください。


 

Sensor 設定用ワークシート

このワークシートには、お使いの IDS 3.x Sensor とネットワークに関する質問が用意されています。対応する欄に、それぞれの質問に対する回答を書き込んでください。 sysconfig-sensor セットアップ コマンドの手順を実施後、ワークシートに書き込んだ値を参照すると、パラメータの指定に役立ちます。


) Sensor 設定値は、大文字と小文字を区別します。


メニューやパラメータの参照
質問
回答

[1]

Sensor の IP アドレス

[2]

Sensor のネットマスク

[3]

Sensor のホスト名

[4]

Sensor がある LAN 上のデフォルト ルータの IP アドレス

[5]

Sensor に Telnet、FTP、および TFTP 経由でアクセスするホストとネットワーク(CiscoWorks Server など)の IP アドレス

[6]

次の通信パラメータの値

Sensor Host ID :Sensor を一意に識別する数値。値の範囲は、1 ~ 65535 です。

Sensor Organization ID :Sensor の集合を一意に識別する数値。値の範囲は、1 ~ 65535 です。

Sensor Host Name :ホスト ID に関連付けられた論理名(IP ホスト名ではありません)。小文字だけを使用することをお勧めします。

Sensor Organization Name :Sensor の組織 ID に関連付けられた論理名。小文字だけを使用することをお勧めします。

CiscoWorks Server IP Address :CiscoWorks Server の IP アドレス。

CiscoWorks Server Host ID :CiscoWorks Server を一意に識別する数値。この値は CiscoWorks Server のインストール時に指定した値に一致する必要があります。

CiscoWorks Server Host Name :CiscoWorks Server のホスト ID に関連付けられた論理名。この値は CiscoWorks Server のインストール時に指定した値に一致する必要があります。

[7]

この Sensor の日付、時刻および時間帯

[8]

ユーザ root および netrangr の新しいパスワード

セキュリティ上、このワークシートにはパスワードを記録しないでください。

[9]

IPSec についての次の値

デフォルトの着信設定の Security Parameter Index(SPI)。

カスタム キーを使用する場合は、着信設定と発信設定についての次の値

暗号鍵

認証鍵

既存の IDS 3.x Sensor のブートストラップ

新しい CiscoWorks Server を、IDS 3.x Sensor が動作している既存のネットワーク上にインストールする場合、Sensor をブートストラップする必要があります。ブートストラップ タスクが完了すると、CiscoWorks Server は Sensor と通信できます。

ネットワーク上で動作している Sensor をブートストラップするには、次の手順に従います。


ステップ 1 user root として Sensor にログインします。

ステップ 2 コマンド プロンプトで sysconfig-sensor と入力します。

次の IDS Sensor Initial Configuration Utility メニューが表示されます。

IDS Sensor Initial Configuration Utility

Choose a value to configure one of the following parameters:

1-IP Address

2-IP Netmask

3-IP Hostname

4-Default Route

5-Network Access Control

6-Communications Infrastructure

7-System Date, Time and Time Zone

8-Passwords

9-Secure Communications

x-Exit

ステップ 3 6 - Communications Infrastructure を選択します。次に、ホスト ID、組織 ID、および「Director」の IP アドレスを新しい CiscoWorks Server の値に変更します。「Sensor 設定用ワークシート」に記入した値を使用して、Sensor のパラメータを設定します。

IDS Sensor Initial Configuration Utility メニューの詳細については、現行バージョンの『 Cisco Secure Intrusion Detection System Sensor Configuration Note 』を参照してください。


 

新しい IDS 3.x Sensor のブートストラップ

IDS バージョン 3.x Sensor をネットワークに追加する場合、CiscoWorks Server が Sensor と通信できるように Sensor をブートストラップする必要があります。

新しい Sensor をブートストラップするには、次の手順に従います。


ステップ 1 user root として Sensor にログインします。

ステップ 2 コマンド プロンプトで sysconfig-sensor と入力します。

次の IDS Sensor Initial Configuration Utility メニューが表示されます。

IDS Sensor Initial Configuration Utility

Choose a value to configure one of the following parameters:

1-IP Address

2-IP Netmask

3-IP Hostname

4-Default Route

5-Network Access Control

6-Communications Infrastructure

7-System Date, Time and Time Zone

8-Passwords

9-Secure Communications

x-Exit

ステップ 3 Sensor を設定するには、各番号を選択して情報を適切に入力します。「Sensor 設定用ワークシート」に記入した値を使用して、Sensor のパラメータを設定します。


) それぞれの値は、IDS Sensor Initial Configuration Utility メニューで設定する必要があります。Sensor のパラメータにはデフォルト値を持つパラメータもあります。ただし、デフォルト値が環境に適していないことがあります。特定のパラメータは Sensor ごとに一意である必要があります。このため、ネットワーク上の複数の Sensor に対してデフォルト値を使用すると、エラーが発生する場合があります。したがって、特定の展開用に適切になるように、各パラメータを設定することをお勧めします。


ステップ 4 システムのリブートが必要になるパラメータを変更した場合、Sensor がリブートします。

IDS Sensor Initial Configuration Utility メニューの詳細については、現行バージョンの『 Cisco Secure Intrusion Detection System Sensor Configuration Note 』を参照してください。


 

IDS 3.x Sensor のネットワーク接続の確認

CiscoWorks Server から Sensor にアクセスできない場合は、ネットワーク接続をテストします。このタスクはいつでも実行でき、Sensor がネットワーク上で動作していて、CiscoWorks Server が Sensor と通信できることを確認できます。

次のタスクでは、Sensor のネットワーク接続をテストする手順の概要を説明します。このテストでは、Sensor がネットワークに接続されていることを確認します。Sensor が到達可能であると、ブートストラップが可能であること、および、
Sensor を管理する CiscoWorks Server から到達可能であることを確認できます。

Sensor の接続をテストするには、次の手順に従います。


ステップ 1 コマンド プロンプトを開きます。

ステップ 2 CiscoWorks Server が Sensor に ping できることを確認するには、コマンド プロンプトで ping と入力し、後に空白を 1 つあけてから、CiscoWorks Server がコマンド配布用に接続する制御インターフェイスの IP アドレスを入力します。

ping に成功した場合、CiscoWorks Server は ping した IP アドレスから応答を受信します。ステップ 3 に進みます。ping に失敗した場合、要求タイムアウト メッセージが表示されます。ステップ 4 に進みます。

ステップ 3 ping に成功した場合、CiscoWorks Server からネットワーク上の別のデバイスに Telnet 接続を試みます。

ステップ 4 ping に失敗した場合、次のテストを実行します。

a. Sensor がダウンしていないことを確認します。

b. Sensor と CiscoWorks Server が、ネットワークに物理的に接続されていることを確認します。

c. 既存のセキュリティ ポリシーが Sensor への Telnet アクセスを拒否していないことを確認します。

コマンド配布のための接続が確認できない場合は、Sensor をブートストラップして、Sensor が CiscoWorks Server からコマンドを受信可能にするための基本設定が存在することを確認する必要があります。