Management Center for IDS Sensors 1.2/Monitoring Center for Security 1.2 インストレーション ガイド
Cisco Intrusion Detection System バージョン 4.x ソフト ウェアが動作する IDS Sensor の初期化
Cisco Intrusion Detection System バージョン 4.x ソフトウェアが動作する IDS Sensor の初期化
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Intrusion Detection System バージョン 4.x ソフトウェアが動作する IDS Sensor の初期化

Sensor の初期化

サービス アカウントの作成

IDS-4235 および IDS-4250 上での BIOS のアップグレード

Cisco Intrusion Detection System バージョン 4.x ソフトウェアが動作する IDS Sensor の初期化

この付録では、Cisco Intrusion Detection System (IDS)バージョン 4.x ソフトウェアが動作する IDS Sensor を初期化する方法について説明します。Sensor のインストールとセットアップの詳細については、『 Quick Start Guide for the Cisco Intrusion
Detection System Version 4.0
』および『 Quick Start Guide for the Cisco Intrusion
Detection System Version 4.1
』を参照してください。この付録には、次の項があります。

「Sensor の初期化」

「サービス アカウントの作成」

「IDS-4235 および IDS-4250 上での BIOS のアップグレード」

Sensor の初期化

Sensor をネットワークにインストールした後で、 setup コマンドを使用して Sensor の初期設定ができます。


) IDS-4235 または IDS-4250 を使用している場合は、バージョン 4.0 ソフトウェアをインストールする前に、BIOS のアップグレードを適用する必要があります。「IDS-4235 および IDS-4250 上での BIOS のアップグレード」を参照してください。



) サポート上の理由により、Sensor を初期化したら、サービス アカウントをセットアップする必要があります。「サービス アカウントの作成」を参照してください。


Sensor を初期設定するには、次の手順に従います。


ステップ 1 CLI にログインします。

a. コマンド プロンプトで session module_number コマンドを入力して、IDS モジュールのセッションに入ります。

b. シリアル接続またはモニタとキーボードを使用して、IDS アプライアンスにログインします。


デフォルトのユーザ名とパスワードは、両方とも「cisco」です。


ステップ 2 デフォルトのパスワードを変更するためのプロンプトが表示されます。


パスワードは 8 文字以上で、辞書にない推測しにくい文字列を使用してください。



注意 パスワードを忘れた場合、管理者特権を持つ別のユーザがいなければ、Sensor のイメージの再設定が必要になることがあります。他の管理者がログインできる場合は、パスワードを忘れたユーザに対して、新しいパスワードを割り当てることができます。あらかじめサービス アカウントを作成してある場合は、TAC にパスワードの作成を依頼できます。詳細については、「サービス アカウントの作成」を参照してください。

パスワードを変更すると、 sensor# プロンプトが表示されます。

ステップ 3 setup コマンドを入力します。

System Configuration Dialog が表示されます。


) System Configuration Dialog は対話型のダイアログです。デフォルト設定が表示されます。


ステップ 4 Space キーを押すと、次の質問が表示されます。

Continue with configuration dialog?[yes]:


) Space キーを押すと、1 ページずつ表示されます。


ステップ 5 yes と入力して、次に進みます。

ステップ 6 次の情報を入力します。

ホスト名

ホスト名は 256 文字以下の文字列で、大文字と小文字が区別されます。数字、「_」および「-」は有効ですが、空白は使用できません。デフォルトは sensor です。

IP アドレス

IP アドレスは 32 ビット アドレスで、X.X.X.X のように 4 オクテットごとにピリオドで区切られます。ここでは、X = 0 ~ 255 です。デフォルトは 10.1.9.201 です。

ネットマスク

ネットマスクは 32 ビット アドレスで、X.X.X.X のように 4 オクテットごとにピリオドで区切られます。ここでは、X = 0 ~ 255 です。デフォルトの Class C アドレスは 255.255.255.0 です。

デフォルト ゲートウェイ

デフォルト ゲートウェイは、アプライアンスのデフォルトのルータ IP アドレスです。デフォルトは 10.1.9.1 です。

Telnet サーバ ステータス

Telnet サービスはディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。

Web サーバ ポート

Web サーバ ポートは、Web サーバが使用する TCP ポート(1 ~ 65535)です。デフォルトは 443 です。


) Web サーバ ポートを変更する場合、IDS Device Manager に接続するときに、ブラウザの URL アドレスでポートを指定する必要があります。形式は、https://sensor ip address:port(たとえば、
https://10.1.9.201:1040)となります。


ステップ 7 yes と入力して、設定を保存します。

Use this configuration? [yes]: yes
Configuration Saved.
Warning: The node must be rebooted for the changes to go into effect

ステップ 8 no と入力して、この時点で Sensor がリブートしないようにします。

IP アドレス、ネットマスク、デフォルト ゲートウェイ、または Web ポートのいずれかを変更した場合は、リブートを求める次のプロンプトが表示されます。

Continue with reboot? [yes]: no
Warning: The changes will not go into effect until the node is rebooted.Please use the reset command to complete the configuration.

ステップ 9 ネットワーク アクセス リストを変更して、リモート アクセスを許可します。

a. コンフィギュレーション ターミナル モードに入ります。

sensor# configure terminal

b. ホスト コンフィギュレーション モードに入ります。

sensor(config)# service host

c. ネットワーク パラメータ コンフィギュレーション モードに入ります。

sensor(config-Host)# networkParams

d. 現在の設定を表示します。

sensor(config-Host-net)# show settings
networkParams
-----------------------------------------------
ipAddress: 10.1.9.201
netmask: 255.255.255.0 default: 255.255.255.0
defaultGateway: 10.1.9.1
hostname: sensor
telnetOption: disabled default: disabled
accessList (min: 0, max: 512, current: 1)
-----------------------------------------------
ipAddress: 10.0.0.0
netmask: 255.0.0.0 default: 255.255.255.255

e. アクセス リストから 10.0.0.0 ネットワークを削除します。

sensor(config-Host-net)# no accessList ipAddress 10.0.0.0 netmask 255.0.0.0

) アクセス リストには、デフォルトのネットワーク アドレス エントリ 10.0.0.0/255.0.0.0 が含まれています。このエントリを削除し、対象のネットワークに合せてアクセス リストを変更する必要があります。


f. 1 つのホストをアクセス リストに追加するには、次のコマンドを使用します。

sensor(config-Host-net)# accessList ipAddress 10.1.2.3

g. 1 つのネットワーク全体をアクセス リストに追加するには、次のコマンドを使用します。

sensor(config-Host-net)# accessList ipAddress 10.10.10.0 netmask 255.255.255.0

) IP アドレスが(ホスト アドレスではなく)ネットワーク アドレスの場合は、ネットマスクを入力します。


h. アクセス リストに追加するアドレスごとに、手順 f と g を繰り返します。

i. 変更の結果を表示します。

sensor(config-Host-net)# show settings
networkParams
-----------------------------------------------
ipAddress: 10.1.9.201
netmask: 255.255.255.0 default: 255.255.255.0
defaultGateway: 10.1.9.1
hostname: sensor
telnetOption: disabled default: disabled
accessList (min: 0, max: 512, current: 2)
-----------------------------------------------
ipAddress: 10.1.2.3
netmask: 255.255.255.255 <defaulted>
xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 xd1 -
ipAddress: 10.10.10.0
netmask: 255.255.255.0 default: 255.255.255.255

j. ネットワーク パラメータ コンフィギュレーション モードを終了します。

sensor(config-Host-net)# exit

ステップ 10 時刻を設定します。


注意 モジュールを使用するときは、(IDS モジュールが NTP を使用するように設定されている場合を除き)モジュールで時刻を設定する前に、Catalyst スーパーバイザ エンジンのクロックと時間帯が正しく設定されていることを確認します。モジュールは、現在の UTC 時刻をスーパーバイザ エンジンから取得し、IDS 設定に指定されている時間帯の設定を適用して現地時間を計算します。スーパーバイザ エンジンの時刻が誤っていると、モジュールの現地時間も不正確になります。

a. 時間パラメータ コンフィギュレーション モードに入ります。

sensor(config-Host)# timeParams

b. UTC との標準時間差を分で指定します(負の数は、グリニッジ子午線より西の時間帯を表します)。

sensor(config-Host-tim)# offset -360

c. 標準時間帯を指定します。

sensor(config-Host-tim)# standardTimeZoneName CST

d. サマータイム パラメータ コンフィギュレーション モードに入ります。

sensor(config-Host-tim)# summerTimeParams

e. 毎年同じ時期に繰り返されるサマータイム パラメータを指定します。

sensor(config-Host-tim-sum)# active-selection recurringParams

f. 繰り返しサマータイム パラメータ コンフィギュレーション モードに入ります。

sensor(config-Host-tim-sum)# recurringParams

g. サマータイムの時間帯名を指定します。

sensor(config-Host-tim-sum-rec)# summerTimeZoneName CDT

) デフォルトの繰り返しサマータイム パラメータは、米国の時間帯に合せてあります。デフォルト値は、開始時刻が 4 月の第 1 日曜の午前 2 時に、終了時刻が10 月の第 4 日曜の午前 2 時に設定されています。デフォルトのサマータイムの時差は 60 分です。


h. 時間パラメータ コンフィギュレーション モードを終了します。

sensor(config-Host-tim-sum-rec)# exit
sensor(config-Host-tim-sum)# exit
sensor(config-Host-tim)# exit

ステップ 11 コンフィギュレーション ホスト モードを終了します。

sensor(config-Host)# exit

ステップ 12 yes と入力して、変更を保存します。

ステップ 13 no と入力して、この時点で Sensor がリブートしないようにします。

Warning: The node must be rebooted for the changes to go into effect.
Continue with reboot?[yes]: no
Warning: The changes will not go into effect until the node is rebooted.Please use the reset command to complete the configuration.

ステップ 14 コンフィギュレーション ターミナル モードを終了します。

sensor(config)# exit

ステップ 15 クロックを設定します。

clock set hh:mm month day year

) この手順は、IDS モジュールには適用されません。手動でクロックを設定できるのは、IDS アプライアンスだけです。


ステップ 16 次のコマンドを入力して、自己署名 X.509 証明書(TLS によって必要とされる)を生成します。

sensor# tls generate-key
MD5 fingerprint is 47:B4:C9:36:B1:E7:D2:5E:D1:3E:F6:B7:83:F4:68:60
SHA1 fingerprint is 8B:26:BB:EB:04:D4:9F:27:02:0E:25:F7:BE:0E:91:4F:B8:0A:CF:7B

ステップ 17 証明書フィンガープリントをメモします。

この証明書フィンガープリントは、Web ブラウザでこの Sensor に接続するときに、証明書の認証を確認するために必要になります。

ステップ 18 Sensor をリブートします。

sensor# reset

ステップ 19 yes と入力して、Sensor のリブートに進みます。

Warning: Executing this command will stop all applications and reboot the node.
Continue with reset?: yes
Request Succeeded.


 

サービス アカウントの作成

サービス アカウントは、トラブルシューティング時に TAC が使用するために作成する必要があります。Sensor には複数のユーザがアクセスできますが、Sensor のサービス特権を持つことができるのは 1 人のユーザだけです。サービス アカウントは、サポート目的だけで使用します。


注意 TAC からの指示がない限り、サービス アカウントから Sensor に変更を加えないでください。サービス アカウントを使って Sensor を設定すると、その設定内容は TAC のサポートを受けられません。サービス アカウントを使ってオペレーティング システムにサービスを追加したり、追加サービスを実行したりした場合は、他の IDS サービスのパフォーマンスや機能に影響を与えるため、サポートの対象外となります。TAC では、別のサービスが追加された Sensor はサポートいたしません。

サービス アカウントを作成するには、次の手順に従います。


ステップ 1 CLI にログインします。

ステップ 2 コンフィギュレーション ターミナル モードに入ります。

sensor# configure terminal

ステップ 3 サービス アカウントを作成します。

sensor(config)# username user privilege service

ステップ 4 プロンプトが表示されたら、パスワードを入力します。

ステップ 5 コンフィギュレーション ターミナル モードを終了します。

sensor(config)# exit

サービス アカウントに入ると、次の警告が表示されます。

************************ WARNING ************************ UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be re-imaged to guarantee proper operation.
*********************************************************


 

IDS-4235 および IDS-4250 上での BIOS のアップグレード

バージョン 4.0 ソフトウェアをインストールする前に、IDS-4235 アプライアンスまたは IDS-4250 アプライアンス上の BIOS をアップグレードする必要があります。


注意 この BIOS のアップグレードは、IDS-4235 と IDS-4250 以外のアプライアンス モデルに適用しないでください。

IDS-4235 または IDS-4250 の BIOS アップグレード フロッピーディスクを作成してブートするには、次の手順に従います。


ステップ 1 BIOS_A04.exe を Windows システムにコピーします。

このファイルは、Cisco Intrusion Detection System 4.0 Upgrade/Recovery CD の /BIOS ディレクトリにあります。また Cisco.com からもダウンロードできます。
Cisco.com 上で IDS バージョン 4.0 のページにアクセスする手順については、
Release Notes for the Cisco Intrusion Detection System Version 4.0 』を参照してください。


) IDS のページからソフトウェアをダウンロードするには、暗号化アクセスできる Cisco.com アカウントが必要です。手順は、『Release Notes for the Cisco Intrusion Detection System Version 4.0』を参照してください。


ステップ 2 Windows システムに、空の 1.44 MB フロッピーディスクを挿入します。

ステップ 3 Windows システムで、ダウンロードした BIOS アップデート ファイル
BIOS_A04.exe をダブルクリックして BIOS アップデート ディスクを作成します。

ステップ 4 新しく作成した BIOS アップデート ディスクを IDS-4235 または IDS-4250 に挿入します。


警告 ステップ 5 では、アプライアンスの電源を切ったり、手動でリブートしたりしないでください。



注意 BIOS のアップグレードは、コンソール接続からはできません。アプライアンスにキーボードとモニタを接続し、モニタで出力を確認する必要があるためです。

ステップ 5 IDS アプライアンスをブートし、画面上の指示に従って操作します。

ステップ 6 アプライアンスがリブートする間に、アプライアンスから BIOS アップデート フロッピーディスクを取り出します。取り出さない場合は、BIOS のアップグレードが再度開始されます。