IP : Cisco IOS と NX-OS ソフトウェア

Cisco Services for IPS on IOS

Cisco Services for IPS on IOS
発行日;2012/01/21 | 英語版ドキュメント(2012/01/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco Services for IPS on IOS

機能情報の検索

内容

Cisco Services for IPS on IOS の前提条件

Cisco Services for IPS on IOS の制約事項

Cisco Services for IPS on IOS に関する情報

Cisco Services for IPS サービス契約

Cisco IOS IPS サブスクリプション ライセンスの詳細

Cisco IOS IPS シグニチャ パッケージ

IPS サブスクリプション ライセンスの検証

Cisco IOS ライセンシングのインストールと管理

Cisco Services for IPS on IOS の使用方法

IPS ライセンスのステータスの表示

手順の概要

Cisco Services for IPS on IOS の設定例

有効なライセンスの詳細の表示:例

期限切れライセンスの詳細の表示:例

アンインストールされたライセンスの詳細の表示:例

参考資料

関連ドキュメント

規格

MIB

RFC

シスコのテクニカル サポート

Cisco Services for IPS on IOS の機能情報

Cisco Services for IPS on IOS

 

 

Cisco Services for IPS on IOS 機能では、IOS Intrusion Prevention System(IPS; 侵入防御システム)が有効な場合に、所定の日付を過ぎているシグニチャをロードする前に IPS の有効なサブスクリプション ライセンスが存在することが確認されます。新しいシグニチャをロードするには、Cisco Services for IPS 契約を購入または更新する必要があります。そうしないと新たな攻撃の検出や防御が行われず、この機能の意味がなくなります。

この機能は、米国シスコシステムズ社によって配布され、IOS Integrated Services Routers(ISR; サービス統合型ルータ)へロードするシグニチャ パッケージに、ライセンス チェック機能を追加します。IOS IPS を ISR でイネーブルにすると、シグニチャが検出されて内容が確認されます。シグニチャ パッケージはシグニチャ チームによって作成され、www.cisco.com で配布されます。シグニチャ パッケージを ISR にロードすると、IPS シグニチャをロードできる有効なサブスクリプション ライセンスの有無がチェックされます。パッケージに含まれるシグニチャ リリースの日付が、サブスクリプション ライセンスの有効期限に対してチェックされ、有効期限前にリリースされたシグニチャはすべてロードされます。有効期限後にリリースされたシグニチャはロードされません。

機能情報の検索

ご使用のソフトウェア リリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。機能に関する最新の情報と警告を確認するには、ご使用のプラットフォームおよびソフトウェア リリースのリリース ノートを参照してください。このモジュールで説明している機能に関する情報と、各機能をサポートしているリリースのリストを確認するには、「Cisco Services for IPS on IOS の機能情報」を参照してください。

プラットフォームのサポートおよび Cisco IOS と Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。

Cisco Services for IPS on IOS の前提条件

ユーザは、対象のルータに対し、CON-SU1-C2811-SEC など契約上の適切な Stock Keeping Unit(SKU)単位で、Cisco Services for IPS サービス契約を購入する必要があります。

対象のルータで新しいシグニチャをロードできるようにするには、IPS シグニチャ サブスクリプション ライセンス ファイルをロードする必要があります。SKU の購入後、IPS 関連のライセンス ファイルを、www.cisco.com/go/license の「Licenses not requiring a PAK」リンクからダウンロードできます。

IOS IPS 機能を実行するようにルータを設定する必要がありますが、ルータの種類にかかわらず、IOS IPS の設定および実行に契約の購入やライセンスは必要ありません。

Cisco Services for IPS on IOS の制約事項

「Shared Support」契約にご加入のサービス プロバイダーおよびパートナーを除いて、Cisco Services for IPS on IOS は smartNet(ハードウェアおよびソフトウェア)サポート契約に付属したサービスです。

契約のご購入とは関係なく、サブスクリプション ライセンスは 87x、720x、および 7301 ルータで動作しません。

Cisco Services for IPS on IOS に関する情報

Cisco Services for IPS on IOS を使用する前に、次の概念を理解する必要があります。

「Cisco Services for IPS サービス契約」

「Cisco IOS IPS サブスクリプション ライセンスの詳細」

「Cisco IOS IPS シグニチャ パッケージ」

「IPS サブスクリプション ライセンスの検証」

「Cisco IOS ライセンシングのインストールと管理」

Cisco Services for IPS サービス契約

Cisco Services for IPS は smartNet サービスに IPS シグニチャ更新サブスクリプションが加わったサービス契約であり、契約対象のルータに対し、一意の IPS サブスクリプション ライセンス ファイルが作成されます。

Cisco Services for IPS の詳細については、『Cisco Services for IPS』を参照してください。

Cisco IOS IPS サブスクリプション ライセンスの詳細

Cisco IOS IPS サブスクリプション ライセンスは、特定の日付以降にリリースされたシグニチャをルータへロードできるようにするライセンスです。IPS 機能をオンにしたり、CCO から IPS シグニチャ パッケージをダウンロードしたりするライセンスではありません。

Cisco CA では、ルータの Product ID(PID; 製品 ID)と Serial Number(SN; シリアル番号)に基づいてライセンス ファイルを作成するため、Cisco Services for IPS サービス契約を購入する必要があります。PID と SN の組み合せ(Universal Device Identifier [UDI] とも呼ばれます)ごとに、60 日間のトライアル ライセンスを 1 回作成できます。

Cisco IOS IPS シグニチャ パッケージ

Cisco IOS IPS シグニチャ パッケージは、シグニチャを使用してトラフィックをスキャンするため、IOS IPS 機能をルータへ設定するデータ ファイルです。このファイルは、シスコのシグニチャ チームが管理するスクリプトを使用してパッケージ化されています。IOS IPS シグニチャ データ ファイルは CCO に掲載されており、次の場所からダウンロードできます。

http://tools.cisco.com/support/downloads/go/Model.x?mdfid=281442967&mdfLevel=Software%20Family&treeName=Security&modelName=Cisco%20IOS%20Intrusion%20Prevention%20System%20Feature%20Software&treeMdfId=268438162

このシグニチャ ファイルをダウンロードして、ルータにロードできます。このシグニチャ パッケージを CCO からダウンロードしてルータへコピーするのに、ライセンスは必要ありません。ただし、特定の日付以降にリリースされたシグニチャをルータのテーブルへロード(コンパイル)してトラフィックをスキャンするには、有効な ios_ips_update ライセンス ファイルが必要です。

IPS サブスクリプション ライセンスの検証

Cisco IOS Software Licensing(CSL)は、Cisco IOS ソフトウェアを実行するルータのライセンスを検証するフレームワークです。IOS IPS は、ライセンス ファイルが有効かどうかと、最新のシグニチャ アップデートをロードする権限がルータにあるかどうかを、CSL に照会して判断する必要があります。

ライセンスが有効な場合は、新しいシグニチャをロードできます。ライセンスが無効または使用できない場合、シグニチャはロードされません。ライセンスが期限切れの場合は、期限が切れる前に作成されたシグニチャ アップデートだけをロードできます。

Cisco IOS ライセンシングのインストールと管理

IOS ライセンシングのインストールと管理については、「関連ドキュメント」を参照してください。

Cisco Services for IPS on IOS の使用方法

このセクションでは、次のタスクについて説明します。

「IPS ライセンスのステータスの表示」

IPS ライセンスのステータスの表示

次のタスクを実行して、ライセンスのステータスを表示します。show ip ips license コマンドを使用して、IPS ライセンスの情報を表示します。この情報には、現在ロードされているシグニチャのライセンス有効期限とバージョンの日付、最後にロードされたシグニチャ パッケージの最新バージョンの日付が含まれています。ライセンスがまだ有効な場合は、現在ロードされているシグニチャのバージョンと最後にロードされたシグニチャ パッケージが同じになります。

手順の概要

1. enable

2. show ip ips {all | configuration | interfaces | license | name name | sessions [detail] [vrf vrf-name] | signatures [detail] | statistics [reset] [vrf vrf-name]}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show ip ips {all | configuration | interfaces | license | name name | sessions [detail] [vrf vrf-name] | signatures [detail] | statistics [reset] [vrf vrf-name]}

 

Router# show ip ips license

ライセンスの有効期限、ロードされているシグニチャのバージョンの日付、最後にロードされたシグニチャ パッケージの最新バージョンの日付など、ライセンスの詳細が表示されます。

Cisco Services for IPS on IOS の設定例

ここでは、次の設定例について説明します。

「有効なライセンスの詳細の表示:例」

「期限切れライセンスの詳細の表示:例」

「アンインストールされたライセンスの詳細の表示:例」

有効なライセンスの詳細の表示:例

次のタスクでは、有効なライセンスの詳細が表示されます。

Router# show ip ips license
 
IPS License Status Valid
Expiration Date: 2009-12-31
Signatures Loaded: 2009-06-25 S375
Signature Package: 2009-06-25 S375
 

ライセンスの有効期限(2009-12-31)、現在ロードされているシグニチャのバージョンの日付(2009-06-25 S375)、最後にロードされたシグニチャ パッケージのバージョンの日付(2009-06-25 S375)に注意してください。現在ロードされているシグニチャのバージョンの日付と、シグニチャ パッケージの最新バージョンの日付が同じであるため、このライセンスは有効です。また、シグニチャ パッケージの最新の日付(2009-06-25)が、ライセンスの有効期限(2009-12-31)よりも前になっています。

期限切れライセンスの詳細の表示:例

次の例は、期限切れのライセンスの詳細を示しています。

Router# show ip ips license
 
IPS License Status Expired
Expiration Date: 2009-12-31
Signatures Loaded: 2009-12-25 S393
Signature Package: 2010-03-10 S402
 

ライセンスの有効期限(2009-12-31)、現在ロードされているシグニチャのバージョンの日付(2009-12-25 S393)、最後にロードされたシグニチャ パッケージのバージョンの日付(2010-03-10 S402)に注意してください。現在ロードされているシグニチャのバージョンの日付が、シグニチャ パッケージの最新バージョンの日付と異なっているため、このライセンスは期限切れです。また、シグニチャ パッケージの最新の日付(2010-03-10)が、ライセンスの有効期限(2009-12-31)よりも後になっています。

アンインストールされたライセンスの詳細の表示:例

次の例は、アンインストールされたライセンスの詳細を示しています。

Router# show ip ips license
 
IPS License Status Not installed

参考資料

ここでは、Cisco Services for IPS on IOS 機能に関する参考資料について説明します。

関連ドキュメント

関連トピック
ドキュメントのタイトル

IOS ライセンスのインストール

『Cisco IOS Software Activation IOS Commands, Release 12.4(20)T』の「How to Use Cisco IOS Commands for Software Licensing」セクション

IOS ライセンスの管理

Cisco IOS Software Activation Overview

シスコの統合型ルータにおけるソフトウェア アクティベーション

Software Activation on Cisco Integrated Routers

Cisco License Manager アプリケーション

Cisco License Manager

IOS IPS の設定とシグニチャ ファイルのロード

IPS 5.x Signature Format Support and Usability Enhancements

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

CISCO-LICENSE-MGMT-MIB

選択したプラットフォーム、Cisco IOS リリース、フィーチャ セットの MIB の場所を検索してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトでは、ドキュメンテーションやツールなどのオンライン リソースを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てられます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト
( http://www.cisco.com/techsupport )の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次のURLからアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

Cisco Services for IPS on IOS の機能情報

表 1 に、この機能のリリース履歴を示します。

すべてのコマンドが、ご使用の Cisco IOS ソフトウェア リリースで使用できるとは限りません。特定コマンドのリリース情報については、コマンド リファレンスのドキュメンテーションを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS および Catalyst OS のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS ソフトウェア リリース群に含まれる特定の機能について、そのサポートが最初に導入されたリリースだけを示します。特に明記されている場合を除いて、該当する Cisco IOS ソフトウェア リリース群では、後続のリリースでもその機能がサポートされます。


 

表 1 Cisco Services for IPS on IOS の機能情報

機能名
リリース
機能情報

Cisco Services for IPS on IOS

15.0(1)M

Cisco Services for IPS on IOS 機能では、IOS IPS 機能がオンになっているルータへシグニチャがロードされた場合に、有効な IPS サブスクリプション ライセンスが存在することが確認されます。

導入または変更されたコマンド: show ip ips