CiscoWorks VPN/Security Management Solution 2.3展開ガイド

はじめに

課題
ネットワーク管理における主な課題の1つは、変化し続けるネットワークのニーズに適応できる柔軟性を備えたソリューションを構築することです。ネットワークの利用目的にかかわらず、基本的なネットワーク管理機能を備えたアプリケーションを導入することには十分な意義がありますが、その際にネットワーク環境も考慮する必要があります。そのためには、目的に適ったネットワーク管理ツールを用意することが重要です。たとえば、QoSレベルの管理に焦点を当てたツールは、サーバファームのトポロジー管理には、必ずしも適切であるとは言えません。

ネットワークセキュリティの発展と強化
ネットワークを企業の戦略的資産として考えた場合、ネットワーク管理が企業の成功にとって重要な要因であることは明白です。eコマース、電子商取引、Voice over IP（VoIP）など、従来型データネットワークの商用利用が進化するにつれて、安全なネットワーク接続に対するニーズがますます高まっています。その結果、Virtual Private Network（VPN;仮想私設網）が普及し、ネットワークセキュリティに対する意識が急速に高まりつつあります。

本書の目的

本書では、CiscoWorks VPN/Security Management Solution（VMS）を効果的に展開する方法について説明します。取り上げる項目は、サーバ、インストール、およびOS（オペレーティングシステム）の要件、参照トポロジー、監視するメトリック、およびデバイス設定に関する考慮事項などです。本書では、クイックスタートガイドとユーザマニュアルの内容を補い、製品の内容とその利用目的、必要なサーバ台数、アプリケーションで管理できるデバイス、VMSサーバを強化する方法などといった疑問に対処します。これらの疑問に答える形で、さまざまなシスコのセキュリティテクノロジーの管理に関する基本的なベストプラクティスを提示します。

対象範囲外の事項
本書は、ユーザガイド（またはその他の製品マニュアル）の代わりとなるものではありません。また、本製品のさまざまな特徴や機能に関する詳細には触れていません。

対象読者
本書は、ネットワークセキュリティ、VPN、ファイアウォール、および侵入検知に関する知識をすでにお持ちで、これらの概念とツールの基本を理解されている読者を対象としています。本書では、VMSを最も効果的に実稼働環境に展開する方法について説明します。

VMS 2.3の概要

CiscoWorks VMSの機能
CiscoWorks VMSは、VPNおよびセキュリティ管理用の包括的なソリューションを提供する統合ツールセットです。VMSには、企業のVPN、ファイアウォール、ネットワークおよびホストベースのIntrusion Detection System（IDS;侵入検知システム）およびIntrusion Prevention System（IPS;侵入防御システム）の設定、監視、トラブルシューティングを行うための機能があります。VMSには、セキュリティ専用ハードウェアの展開、監視、および管理を支援する主要な機能が含まれています。また、運用管理サポート、ソフトウェア配布、設定アーカイブ、変更監査、シスコセキュリティインフラストラクチャの各種要素のログ管理といった機能もあります。VMSは、規模の大小を問わず、VPNおよびセキュリティ展開のニーズを満たすスケーラブルなソリューションです。

VMS 2.3のコンポーネント

CiscoWorks VMS 2.3は、柔軟な展開オプションに対応した、インストールしやすいソフトウェアコンポーネントで構成されています。表1は、VMSの各種モジュールとそれらの機能を示します。

表1 VMS 2.3のモジュール^*

VMSモジュールとバージョン	プラットフォーム	用途
Common Services 2.2	Windows Solaris	VMSコンポーネントとCiscoWorks Resource Manager Essentials（RME）に共通するソフトウェアおよびサービスを提供
CiscoView 5.5		CiscoViewには、物理的なデバイスシャーシのグラフィカル表示と基本的なステータス監視機能を装備
Management Center for Firewalls 1.3.3（FWMC）	Windows Solaris	Cisco PIX^®セキュリティアプライアンスとCisco Catalyst^®ファイアウォールサービスモジュールを設定
Auto Update Server 1.3（AUS）	Windows Solaris	設定、PIXOSファイルとPDMファイルのアップデートをサーバから取得
Management Center for VPN Routers 1.3.1（RouterMC）	Windows Solaris	Cisco IOS^®ルータとCisco Catalyst VPNサービスモジュール上でVPNとファイアウォールフィーチャセットを設定
Management Center for IDS Sensors 2.0（IDSMC）	Windows Solaris	ネットワークベースのIDSセンサーおよびCisco Catalyst IDSサービスモジュールの設定とアップデートを実行
Monitoring Center for Security 2.0.2（SECMON）	Windows Solaris	ネットワークおよびホストベースのIDSイベント、Cisco IOSソフトウェア、およびCisco PIXのSyslogを監視
Monitor Center for Performance 2.0.2	Windows Solaris	企業のネットワークセキュリティサービス（リモートアクセスVPN、サイト間VPN、ファイアウォール、Webサーバのロードバランシング、およびプロキシSSL）の健全性とパフォーマンスの監視とトラブルシューティングを実行
Management Center for Cisco Security Agent 4.5（CSA MC）注： 4.5はVMS 2.3のリリース後、間もなくCisco.comで入手できるようになります。VMS 2.3での公式のバージョンは4.0.3ですが、4.5はVMS 2.3バンドルのあと、すぐにリリースされる予定なので、このガイドでも取り扱うことにしました。	Windows	ホストベースのIPSを設定して、重要サーバを保護
Cisco Security Agent 4.5（CSA）	Windows Solaris Linux	保護対象のサーバにインストールするエージェント
Resource Manager Essentials 3.5（RME）	Windows Solaris	ソフトウェア配布、変更監査、Syslogなどの分析運用管理機能を提供

^* Cisco.comのSoftware Centerを参照して、新しいモジュールがVMSに追加されているかどうかを確認してください。
これらのコンポーネントは、コア資産管理アプリケーション、セキュリティ監視アプリケーション、およびセキュリティ設定アプリケーションの3つのカテゴリに分類されます。この項では、これらの製品カテゴリに関連する基本機能の一部について詳しく説明します。

基本ソフトウェア、共通コンポーネント、必須インストール

CiscoWorks Common Services

CiscoWorks Common Servicesには、Webサーバ、共通データベース、ポーリングエンジンなど、管理サーバの基本コンポーネントが含まれています。このソフトウェアを最初にインストールして、VMSバンドル内の管理センターツールを使用できる状態にします。Common Servicesは、CiscoWorksアプリケーションの「OS」に相当すると考えることができます。

コア資産管理アプリケーション

Resource Manager Essentials（RME）

RMEは、インベントリ、設定、変更監査、Syslogなど、日常のネットワーク管理を支援する基本的なネットワーク管理ツールです。また、RMEにはVPN管理機能が追加されました。これにより、ネットワーク管理者は、VPN環境固有のデバイス設定、ソフトウェアイメージ、およびSyslogレポートを作成することができます。
CiscoView（Common Services内に含まれるオプションインストール）

CiscoViewは、さまざまなシスコインターネットワーキング製品の動的ステータス、監視情報、および設定情報を表示するWebベースのデバイス管理アプリケーションです。CiscoViewには、デバイスシャーシの物理的状態が表示され、モジュールおよびポートが色分けされるので、ステータスを一目で把握することができます。監視機能では、パフォーマンスなどの統計情報が表示されます。また、設定機能では、デバイスにさまざまな変更を加えることができます。

セキュリティ監視アプリケーション

Monitoring Center for Security（SECMON）（またはSecurity Monitor）

SECMONは、IDSイベントに加え、各種シスコデバイスからのSyslogメッセージを監視します。その中には、ネットワークIDSセンサーアプライアンス、Cisco Catalyst 6500シリーズIDSモジュール、ルータのネットワークモジュール（NM-IDS）、Cisco IOSソフトウェアIDSメッセージ（ルータの新しいIPS IDS機能を含む）、Cisco PIXセキュリティアプライアンスのSyslogメッセージ、Catalyst 6500ファイアウォールサービスモジュールのSyslogメッセージ、CSAイベント、およびその他のSecurity Monitorサーバから着信するイベントが含まれます。
Monitoring Center for Performance（MCP）

MCPは、企業ネットワークのセキュリティサービスの健全性とパフォーマンスを監視し、トラブルシューティングを行うブラウザベースのツールです。Performance Monitorは、VPN Monitor 1.2アプリケーションの代わりに組み込まれました。サポート対象となるサービスタイプは、リモートアクセスVPN、サイト間VPN、ファイアウォール、Webサーバのロードバランシング、およびSSLアクセラレータです。

セキュリティ設定アプリケーション

Management Center for VPN Routers（Router MC）

Router MCは、Cisco IOS VPNルータ用のVPNおよびCisco IOSファイアウォールフィーチャセットの設定と展開のためのツールです。Router MCは、Webベースのアプリケーションで、Common Services上にインストールして使用します。
CiscoWorks Management Center for Firewalls（FWMC）

Firewall MC は、Cisco PIXセキュリティアプライアンスおよび Cisco Catalystスイッチファイアウォールサービスモジュール用に設計された包括的なファイアウォール/アクセスルールポリシー設定ツールです。新しいファイアウォールの設定を行えるだけでなく、既存のファイアウォールまたはコンフィギュレーションファイルから設定をインポートすることも可能です。また、Firewall MCには、設定およびステータスの変更を参照しながら、ネットワークに加えられた変更を制御できる強力なツールも用意されています。Firewall MCは、Webベースのアプリケーションで、Common Servicesの上にインストールして使用します。
CiscoWorks Auto Update Server Software（AUS）

AUSは、デバイスのコンフィギュレーションファイルとソフトウェアイメージ（ファイアウォールイメージとCisco PIX Device Manager [PDM]イメージ）の保存とアップグレードに使用されるツールです。ファイアウォールデバイスは定期的にAUSと通信を行い、設定とソフトウェアのアップデートを要求します。この仕組みにより、ファイアウォールデバイスはアクティブに最新状態が維持されます。特に、リモートのPIXセキュリティアプライアンスが動的アドレスを使用していたり、Network Address Translation（NAT;ネットワークアドレス変換）デバイスの背後にある場合、PIXセキュリティアプライアンスの展開規模の調整を行う際に便利です。AUSは、Webベースのアプリケーションで、Common Servicesの上にインストールして使用します。
Management Center for IDS Sensors（IDS MC）

IDS MCは、シスコのネットワークIDSセンサーアプライアンス、およびCatalystスイッチのCisco IDSサービスモジュール（IDSM）、CatalystスイッチルータのCisco IDSサービスモジュール（NM_ISD）、およびIPS IDS用に設計されたIDS設定および展開ツールです。IDS MCは、Webベースのアプリケーションで、Common Servicesの上にインストールして使用します。
Management Center for Cisco Security Agent（CSA MC）

CSA MCは、ホストベースIDSソリューション（CSA）用に設計された設定および展開ツールであり、IDS MCおよびSecurity Monitorの機能を補完します。CSA MCは、Webベースのアプリケーションで、Common Servicesの上にインストールして使用します。
Cisco Security Agent（CSA）

CSAは、OSに統合され、重要なサーバおよびホストを保護する、ホストIDS/IPSアプリケーションです。CSAは、カーネルへのシステムコールを代行受信して、攻撃を識別し、リソースへのアクセスと不正なトランザクションを防止することによって、ホストを保護します。

参照トポロジー

CiscoWorks VMSの最善な展開方法を説明するために、参照ネットワークトポロジー（図1）を使用して、VPNおよびネットワークセキュリティのさまざまな側面を示します。このトポロジーはお客様の環境と必ずしも一致しませんが、安全なネットワークの全体像としてとらえることができます。参照トポロジーを参考にして、お客様のトポロジーに最も適したコンポーネントを選択し、お客様の環境でVMSを展開する最善の方法を把握してください。

図1 参照セキュリティトポロジー

関係するインフラストラクチャ

企業ゲートウェイ ― Cisco IOSファイアウォールフィーチャセットを備えたCisco IOSルータです。このデバイスの主な目的は、ゲートウェイルーティングと最前線での基本的なファイアウォール機能を実行することです。
PIXセキュリティアプライアンス ― Cisco PIXセキュリティアプライアンスは、企業ネットワークに対して包括的なファイアウォール機能を提供します。これらのデバイスをネットワークのアクセスポイントに戦略的に配置することによって、企業ネットワークのリソースが保護されます。
Ciscoルータ ― シスコルータはサイト間VPNの終端ポイントとして機能します。ハブアンドスポーク型VPNトポロジーの場合、ハイエンドVPNルータはハブとして機能し、中小規模のルータはスポークとして機能します。
Cisco VPN 3000 ― Cisco VPN 3000シリーズコンセントレータは、スケーラブルなリモートアクセスVPN終端として機能します。このトポロジーでは、コンセントレータによって、さまざまなリモートアクセス環境、VPNクライアントソフトウェア、およびトンネリングプロトコル（IPSec、L2TP、PPTP）とのVPN接続が終端されます。
Cisco VPNリモートアクセスクライアントソフトウェア ― このソフトウェアによって、リモートアクセスユーザはVPN経由で企業ネットワークに接続できます。
ネットワークIDSセンサー ― このデバイスはネットワークセグメント上に配置されてトラフィックを受動的に「リスニング」し、一般的な攻撃シグニチャのデータベースと照合します。IDSのイベント情報は監視ステーションに転送されます。
シスコのホストベースIDS/IPSセキュリティエージェント ― このソフトウェアは重要なネットワークサーバ、およびホームオフィスのPCやモバイルノートPCに搭載され、個々のホストを侵入や攻撃から保護します。イベントは中央の監視コンソールに転送されます。
ネットワーク管理サブネット ― このサブネットは、ネットワーク管理サーバ専用のネットワークセグメントです。VMSのコンポーネントはこのサブネットに配置され、インフラストラクチャのさまざまな部分を管理します。VMSサーバは、すべてCSAによってセキュリティ保護されます。
DMZサーバ ― このサブネットは、一般からアクセス可能なネットワークサーバ専用のネットワークセグメントです。通常は、電子メール、Web、FTPサーバが含まれ、この場合は、CiscoWorks Auto Update Server Softwareも含まれます。DMZサーバはすべて、CSAによってセキュリティ保護されます。

次に、この参照トポロジーの中で、VMSによって管理されるインフラストラクチャの各要素について説明します。VMSに含まれるネットワーク管理アプリケーションでは、他のデバイス（Cisco Catalystスイッチなど）も管理することができますが、VMSで中心的に管理するコンポーネントは以下のとおりです。

企業本部
- このセクションには、ネットワーク管理サーバ、内部ファイアウォール、VPN終端ポイント（ハブルータとVPNコンセントレータの両方）、およびIDSセンサーが含まれます。ネットワークのDMZ部分へのアクセスは内部ファイアウォールによって制御されます。また、一般からアクセス可能なサーバも含まれています。
リモートアクセスサイト
- このトポロジー内のリモートアクセスサイトには、リモートのPIXセキュリティアプライアンス、リモートのCisco IOS VPNルータ、およびリモートのVPNクライアントが含まれます。これらのインフラストラクチャ部分は、リモートサイトでのVPN終端とファイアウォールアクセスポリシーに関連する処理を実行します。

VMSのOSサポートとシステム要件

VMSは、（1台または複数台の）ネットワーク管理サーバ上に常駐する一連のツールで構成されています。ここでは、VMSのコンポーネントを実行するために、あらかじめインストールする必要のあるソフトウェアについて説明します。最初に、OSのサポートについて説明します。VMSバンドルのほとんどのアプリケーションでサポートされているOSは、Windows 2000 ServerまたはAdvanced Serverです。表2および表3を参照してください。

表2 VMS 2.3のモジュールでサポートされているOS

VMSモジュール	Windowsのサポート	Solarisのサポート
Common Services	○	○
Management Center for Firewalls	○	○
Auto Update Server	○	○
Management Center for VPN Routers	○	○
Management Center for IDS Sensor	○	○
Monitoring Center for Security	○	○
Management Center for CSA	○
Resource Manager Essentials	○	○
Monitor Center for Performances	○	○

表3 VMSサーバの最小ハードウェアおよびOS要件

Windows
ハードウェア	IBM PC互換、1 GHz以上のPentium CPU搭載メモリ：1 GB ハードドライブ空き容量：9 GB^* CD-ROMドライブカラーモニタおよびビデオカード（16ビットカラー対応） 10/100BASE-T以上の速度のネットワーク接続
OS	Windows 2000 Server^ Windows Advanced Server^ Service Pack 4 ファイルシステム：NTFS 仮想メモリ：2 GB
Solaris
ハードウェア	Sun UltraSPARC 60MP、440 MHz以上のCPU搭載、または Sun UltraSPARC III（Sun Blade 2000 WorkstationまたはSun Fire 280R Server） CD-ROMドライブカラーモニタおよびビデオカード（16ビットカラー対応） 10/100BASE-T以上の速度のネットワーク接続
OS	Sun Solaris 2.8フルインストール必要なパッチ： 108528-13 108527-15

^* 実際に必要となるハードドライブの空き容量は、インストールするVMSコンポーネントの数、管理および監視するデバイスの数によって異なります。
^** アプリケーションモードのターミナルサービスは、VMS 2.3のインストール中はサーバにインストールできません。他のモードの場合はインストール時にサーバ上にあっても構いませんが、インストール中は無効にしておく必要があります。

注：ウィルススキャンが動作している場合は、その動作のためにインストールが長引くことがあります。インストール時間を短縮するためにウィルススキャンをオフにしておくことを推奨します。

サーバのサイズ
これらの要素に基づき、各構成で推奨されるサーバのサイズをより詳細に検討することが必要です。この仕様は個々のアプリケーションの最小要件であり、多くの環境要件はこれを超えている場合があります。原則として、パフォーマンスに多大な影響を与える基準を1つでも選択する必要がある場合は、RAMの容量を増やしてください。また、各アプリケーションの上限にも注意してください。前述した理論上の上限に近づいている場合は、VMSサーバの処理能力の増強を検討してください。たとえば、VMSアプリケーションを実行するためにP4 2.2 GHz CPUおよび4 GBのRAMを搭載したサーバを購入したとしても、無駄な投資にはなりません。一般的なガイドラインを表4に示します。

表4 VMS構成のサーバの（最小）推奨値

構成	小規模	中規模	大規模	超大規模
CPU	P4 1 GHz	P4 2.5 GHz	Xeon 2 GHz	Xeon×2または×4
RAM	1 GB	2 GB	2+ GB	2～8 GB RAM
仮想メモリ	2 GB	3 GB	4 GB	4 GB
ハードディスク容量	9 GB	20 GB	40 GB（SCSIハードドライブを使用）	40 GB（SCSI RAID 5を使用）

サーバの展開 ― 一般的なルール
アプリケーションの互換性に関しては、次のようなルールに従う必要があります。

Common Servicesは最初にインストールする必要があります。
他のアプリケーションは、すべてCommon Services上にインストールする必要があります。

これらの条件が満たされていれば、VMSはきわめて柔軟な展開が可能です。すべてのコンポーネントを1台のサーバにインストールして実行することも、コンポーネントをそれぞれ専用の個別サーバにインストールすることも可能です。ただし、こうした両極端の構成は一般に推奨できません。実際の展開方法は、以下のような複数の要因によって決定されます。

実際にどのアプリケーションが必要か。

VMSは機能の豊富な包括的管理ソリューションですが、必ずしもすべてのコンポーネントを使用する必要がない場合があります。まず確認すべきことは、実際にどのアプリケーションが必要なのかという点です。これを特定すれば、必要なモジュールのみを選択してインストールすることができます。図2は、複数の管理オプションを1台のサーバにインストールする場合のインストール順序を示します。

図2 VMSモジュールのインストール表（カッコ内のコンポーネントはオプション）

注：この表は基本的なガイドラインのみを示しています。VMSに含まれるすべてのツールおよび組み合わせを網羅しているわけではありません。インストールの順番に関連するツールのみが挙げられています。
- インストールオプション1：VPN管理では、監視コンポーネントはMonitoring Center for Performanceによって制御されます。監視機能が必要な場合は、MCPをインストールする必要があります。
- インストールオプション2：ファイアウォールの管理では、PIXセキュリティアプライアンスの設定およびソフトウェアの展開に自動アップデート機能を利用する場合にのみ、AUSが必要になります。
- インストールオプション3：ネットワークおよびホストベースのIDS管理では、他のセキュリティ情報管理アプリケーションを使用するのでない限り、すべてのコンポーネントのイベントを監視するには、Security Monitorが必要です。Security Monitorは、コンフィギュレーションサーバ以外の独立したサーバにインストールする方式が有効です。
各アプリケーションで何台のデバイスを管理するか。

いずれかのアプリケーションが理論上の上限に近づいている場合は（表5）、そのアプリケーションを専用のサーバ上で実行することを推奨します。多数のデバイスを管理する場合、リソースおよびタスクの配分という観点から見て、貴重なCPUリソースを他のアプリケーションと共有させない方が望ましいことは明白です。

たとえば、800台のPIXセキュリティアプライアンスを管理するFirewall MCがインストールされていて、ハブアンドスポーク型VPNを600のルータスポーク全体に展開する場合は、これらのアプリケーションをそれぞれの専用サーバに分離することを推奨します。
何人の管理者がこれらのアプリケーションを使用するか。

複数の管理者が存在する環境では、別のVMS展開オプションを検討することにも意義があります。VMSには目的の異なるアプリケーションが数多く含まれているため、それぞれのセキュリティ管理者が別々のアプリケーションを使用する場合もあります。このような場合は、各アプリケーションを専用サーバにインストールして分離することを推奨します。この方法を採用すると、設定ファイルの生成のように、大量のリソースを消費するタスクによって1つのアプリケーションがビジー状態になったときでも、他のアプリケーションのパフォーマンスはいっさい低下しません。
サーバを調達するうえで、どのようなコスト上の制約があるか。

VMSを使用する企業は複数のサーバを保有しているでしょうか（または調達することが可能でしょうか）。場合によっては、サーバ1台分の予算しか確保できないこともあります。そのような場合は、最小システム要件を上回るハイエンドサーバを購入されることを推奨します。これにより、パフォーマンスが向上するだけでなく、環境規模の成長にも対応できます。

サーバの台数
根本的には、可能な限り多くのサーバを使用して、アプリケーションを合理的に分散するのが最善の方法です。スケーラビリティ、リソース割り当て、タスク配分、拡張に備えた余裕といった観点からすると、管理不能な状態に陥らないかぎり、その数は多ければ多いほどよいと言えます。また、1台のサーバに複数のアプリケーションをインストールする場合は、各アプリケーションのハードウェア要件に十分な注意を払い、それに応じて調整する必要があることを念頭に置いてください。

次の項では、基本的な展開オプションについて説明し、多くのユーザに関係する一般的なガイドラインを示します（図3）。これらは単なる推奨事項であり、必ずしもこのとおりに VMS を展開する必要はありません。

図3 サーバの展開オプション

オプション1 ― サーバ1台での展開
ネットワークセキュリティ管理者が1人だけの小規模なセキュリティ環境では、1台のサーバでの展開を推奨します。この展開には、コストが安く、管理が容易であるという利点があります。

オプション2 ― サーバ2台（設定と監視）
この展開オプションでは、機能ごとにVMSアプリケーションを分割します。一方のサーバは監視専用で、もう一方のサーバは設定専用です。

サーバ1：監視

この展開オプションの1台めのサーバは監視専用です。MCPを使用してIPSec MIBの監視とファイアウォールのパフォーマンス監視を行う一方、Security Monitorを使用してPostOffice IDS、Remote Data Exchange Protocol（RDEP）IDS、CSA、PIX、およびCisco IOS Syslogメッセージのイベント表示を統合します。このサーバのアプリケーションは、次のとおりです。
- Common Services
- MCP
- Security Monitor
- CSA（VMSサーバの保護が目的）
サーバ2：設定とインベントリ

このセキュリティ管理サーバでは、設定を支援するすべてのVMSアプリケーションを組み合わせて使用します。VPNルータ、PIXセキュリティアプライアンス、IDS センサー、CSAなど、インフラストラクチャの種類を問わず、このサーバの主要目的は設定です。関連するアプリケーションは、次のとおりです。
- Common Services
- RME
- Firewall MC
- AUS^*
- Router MC
- IDS MC
- CSA MC

オプション3 ― サーバ3台（大部分の環境に推奨）
AUSサーバはリモートファイアウォールの管理を目的としているため、設定、OS、PDMのアップデートを確認するために多数のリモートデバイスがAUSに接続すると、大量のリソースが消費される可能性があります。AUS単独で1台のサーバを使用できるように、ネットワークのDMZにAUSを配置することを推奨します。

サーバ1：監視
- Common Services
- MCP
- Security Monitor
- CSA（保護用）
サーバ2：設定とインベントリ
- Common Services
- RME
- Firewall MC
- Router MC
- IDSMC
- CSA MC
サーバ3：自動アップデート
- Common Services
- AUS
- CSA（保護用）
^*AUSの主な目的は、設定とソフトウェアアップデートをリモートのPIXセキュリティアプライアンスに提供することです。そのため、通常はAUSを企業内のDMZに配置することが推奨されています。その場合は、AUS専用のサーバを使用することを推奨します。

オプション4 ― サーバ3台（セキュリティアプリケーション機能）（図3には含まれません）
第4の展開オプションでは、管理の対象となるセキュリティテクノロジー（またはインフラストラクチャ）ごとに、VMSアプリケーションを分割します。1 台めのサーバはVPNを処理し、通常はCisco IOSソフトウェアベースのVPNルータを扱います。2 台めのサーバには、Cisco PIXネットワークアプライアンスを管理するためのアプリケーションをインストールします。最後に、3 台めのサーバは、IDS（ネットワークベースIDS およびホストベースIDS）の管理と監視を行うための専用サーバになります。

サーバ1：VPN
- Common Services
- RME
- MCP
- Router MC
- CSA（保護用）
サーバ2：ファイアウォール
- Common Services
- Firewall MC
- AUS
- CSA（保護用）
サーバ3：IDS
- Common Services
- IDS MC
- Security Monitor
- CSA MC

オプション5 ― サーバ4台（管理機能をさらに細分化）（図3には含まれません）
機能をより細分化してスケーラビリティを向上させるには、展開をさらに分割することを推奨します。このオプションの最も重要な特徴は、AUSをネットワークの異なるサブネット内に配置するため、AUSに専用サーバを使用することです。

サーバ1：設定
- Common Services
- Firewall MC
- Router MC
- IDS MC
- CSA MC
サーバ2：インベントリ
- Common Services
- RME
- CSA（保護用）
サーバ3：監視
- Common Services
- MCP
- Security Monitor
- CSA（保護用）
サーバ4：リモート管理（DMZに配置）
- Common Services
- AUS
- CSA（保護用）
これらは単なる推奨事項です。使用可能な組み合わせおよび展開オプションは非常に多いため、それぞれ個別に検討する必要があります。また、VMSに含まれるすべてのアプリケーションを使用する必要がないケースも多数あります。

規模および展開に関する考慮事項

VMSバンドルのソフトウェア要件だけでなく、ハードウェア要件についても考慮する必要があります。また、このソリューションに含まれる各種アプリケーションの展開方法を決定することも重要な課題です。インストール可能なソフトウェアアプリケーションが11種類あるため、展開するアプリケーションの組み合わせは数多く存在します。

最小要件も重要な考慮事項ですが、推奨されるシステムの仕様はネットワークおよび構成の規模によって異なります。この項では、小規模、中規模、および大規模な構成について検討します。最初に考慮する必要がある事項はスケーラビリティ、つまり小規模、中規模、大規模の各構成に対応するデバイスの数です（表6～8を参照）。

規模
スケーラビリティの基準は、VMS内の各アプリケーションによって異なります。表5は、アプリケーションごとに理論上の最大値を示しています。

表5 VMSアプリケーションの理論上の上限

VMSモジュール	スケーラビリティメトリック（テストされた最大値*）
IDS MC	IDSセンサーまたはIOS IPS×300
Security Monitor	50イベント/秒**（バーストでは500イベント/秒）
Firewall MC	PIXセキュリティアプライアンスおよびFWSM×1000（501などの単純な構成の場合、300を超えるデバイスには、同時に作成または展開しないことを推奨します。中程度の複雑さの構成である場合はパフォーマンスが低下するので、展開するデバイス数を少なくすることを推奨します）
AUS	PIXセキュリティアプライアンス×1000
Router MC	ルータ×1000
CSA MC	CSA×100.000
RME	5000台分のデバイスのインベントリ、1000台分のデバイスのアベイラビリティ
MCP	デバイス×1000（1000台のルータと4000のトンネルでポーリングサイクルは25分です。ルータ/トンネル比が減少すると、ポーリングサイクルも減少します。PIXが1000台の場合は25分のポーリングサイクルが必要であり、デバイスの数が減少するとポーリングサイクルも減少します。ポーリングサイクルは、MCPですべてのデバイスのポーリングにかかる時間です）

^* これらの理論上の上限は、各ツールを実際に使用してテストされた上限です。これらの数値は、適度なパフォーマンスおよびユーザ側の操作性を確保するためのガイドラインとして提示されています。これらの基準を超えることは可能ですが、推奨しません。

^** 毎秒500を超えるセキュリティイベントの数が長時間にわたって発生する場合は、より多くのイベントを処理できるパートナーベンダー製の監視用製品の導入を検討することを推奨します。

これらの数値の大半は、ソフトウェア自体に課せられた上限ではなく、ソフトウェアテストに基づく上限値です。たとえば、Router MCを使用している場合、1001台めのデバイスを追加することは可能ですが、サポートの観点からは推奨していません。

また、VMSに関して推奨されている最小限のハードウェアシステム仕様は、バンドルに含まれるアプリケーション1種類のみのテストおよびパフォーマンス統計に基づいて提示されていることに注意してください。たとえば、IDS MCを使用して300台のセンサー（理論上の最大数）を管理する場合、同じサーバ上で他のアプリケーションを使用することは推奨していません。複数のVMSアプリケーションを使用して多数のデバイスを管理する場合は、別々のサーバに分けてインストールすることを強く推奨します。

次に、リソースを大量に消費するバンドル内のアプリケーションについて検討します。構成は表6～8のように分類されます。

表6 小規模構成の基準（制限付きVMSライセンスモデルを反映）

VMSモジュール	スケーラビリティの基準（最大）
IDS MC	IDSセンサー×20
Security Monitor	20イベント/秒（常時）
Firewall MC	PIXセキュリティアプライアンス×20
AUS	PIXセキュリティアプライアンス×20
Router MC	ルータ×20
CSA MC	CSA×500
MCP	デバイス×40

表7 中規模構成の基準^*

VMSモジュール	スケーラビリティの基準（最大）
IDS MC	IDSセンサー×100
Security Monitor	30イベント/秒（常時）
Firewall MC	PIXセキュリティアプライアンス×100
AUS	PIXセキュリティアプライアンス×100
Router MC	ルータ×100
CSA MC	CSA×5000
MCP	デバイス×200

* この構成はVMSの既存ユーザの大部分に相当する設計です。

表8 大規模構成（スケーラビリティに関する理論上の最大基準を反映）

VMSモジュール	スケーラビリティメトリック（最大値）
IDS MC	IDSセンサー×300
Security Monitor	50イベント/秒（常時）
Firewall MC	PIXセキュリティアプライアンス×1000
AUS	PIXセキュリティアプライアンス×1000
Router MC	ルータ×1000
CSA MC	CSA×100.000
MCP	デバイス×1000

SecMonの規模
SecMonの最大レートは通常時は50イベント/秒で、バースト時（最大5分間）には500イベント/秒に達します。イベントのレートがこれを超えることが予想される場合は、他のベンダーまたはパートナー製の監視ツールの使用を検討することを推奨します。

これらの数字は厳密なものではなく、使用するサーバ、コンピュータのI/O速度、その他のパラメータによって変化する可能性があります。

IDSMCの規模
ルータの設定を作成または展開するときは、設定の作成にはルータあたり平均24秒、設定の展開にはルータあたり平均30秒かかることに留意してください。

FWMCの規模
コンフィギュレーションファイルの複雑度によって、Firewall MCがコンフィギュレーションファイルの作成と展開について、同時に効率よく管理できるデバイスの数が決まります。

Firewall MCは単純な設定のPIX 501の展開で、1000台のデバイスでのテストに成功していますが、複雑度が中程度のファイルになると、作成および展開時間が増大し、Firewall MCで効果的に管理できるデバイスの数が減少します。たとえば、単純な設定と複雑な設定を混在させて310台以下のデバイスに展開する場合、グローバル設定またはルールが変更されると、すべてのデバイスに直接展開するまで最大8時間かかります。

MCPの規模
MCPについては、推奨されるポーリングレートは30分です。展開が小規模の場合は時間を短くすることもできますが、デバイスが多数の場合はポーリング時間を30分以上に定義することを推奨します。たとえば、1000台のルータと4000のトンネルでは、25分のポーリングサイクルが必要です。ルータ/トンネル比が減少すると、ポーリングサイクルも減少します。

PIXが1000台の場合は25分のポーリングサイクルが必要であり、デバイスの数がそれより少なくなるとポーリングサイクルも減少します。

ポーリングサイクルは、MCP内の全デバイスのポーリングに要する時間です。

CSA MCの規模
CSA MCバージョン4.5では、リモートデータベース（データベースのクラスタ）を使用することが可能であり、10万エージェントまで拡張できます。

推奨される構成は、サポートされるエージェントの数に応じて、以下のようになります。

500エージェント以下：使用するエージェントが少数の場合は、同じシステムに搭載されているMicrosoft SQL Server Desktop Engineを使用してローカルデータベースをインストールすることを推奨します。
500～5000エージェント：この場合も、ローカルデータベースを使用できますが、最大2 GBまで拡張できるMicrosoft SQL Server 2000に切り替えることを推奨します。この場合は個別のライセンスが必要で、SQL ServerはCSA MCより先にインストールする必要があります。このケースでは、リモートデータベースを使用してパフォーマンスを向上させることも可能です。
5000～10000エージェント：エージェントが多数の場合は、リモートデータベースを使用することを推奨します。また、2台のサーバを使用し、一方を設定専用に、他方をポーリング専用にすることを推奨します。この場合、1台を設定用に、もう1台をポーリング用に使用できます。こうすれば、攻撃を受けた場合でもコンフィギュレーションサーバは隔離され、攻撃を緩和するための変更を高速展開できます。

リモートデータベースのインストール方法の詳細については、『CSA MC installation guide』を参照してください。

図は、リモートデータベースを使用した場合のアーキテクチャを示しています。

図4 リモートデータベースをインストールした場合のCSA MCのアーキテクチャ

VMSサーバのセキュリティ保護
ハードウェアおよびソフトウェアの基本的要件について説明したので、ここでは、サーバ自体を管理するための設定方法について説明します。ホストのセキュリティ保護を確実にするには、セキュリティ上の原則として、システム内のすべてのコンポーネントに注意を払う必要があります。最新のパッチや修正プログラムなどを適用して、すべてのシステムを最新状態に保ってください。 VMS を使用する場合は、必ず Windows 2000 およびSolarisの最新パッチとホットフィックスを適用して、セキュリティを確保する必要があります。サーバを管理サーバ用としていつでも使用できるようにするための詳細チェックリストです。

Windows
- OSは専用のパーティションにインストールします。
- Primary Domain Controller（PDC）またはBackup Domain Controller（BDC）を使用している場合、VMSはインストールできません。
- 推測されにくいパスワードを使用します。
- ネットワーク共有は作成しないでください。
- 不要なアカウントは無効にします。
- レジストリのセキュリティを設定してください。
- ホットフィックスとセキュリティパッチをすべて適用します。
- 使用されていない不要なサービスは無効にします（Windowsで最低限実行する必要のあるサービスは、Domain Name System [DNS;ドメインネームシステム]クライアント、イベントログ、プラグアンドプレイ、保護ストレージ、およびセキュリティアカウントマネージャです。MicrosoftのInternet Information Server [IIS]はインストールしないでください）。
- TCP/IP以外のネットワークプロトコルはすべて無効にします。
- システムのセキュリティを定期的に監視します。
- サーバへの物理的接触を制限します。
- 可能な場合は、リモートアクセスまたは管理ツールをサーバにインストールしないでください。
- ウィルススキャンアプリケーションをサーバで定期的に実行します。
Solaris
- 推測されにくいパスワードを使用します。
- ネットワーク情報ソリューション（NIS/NIS+）とDNSサーバはインストールしないでください。
- サーバへの物理的接触を制限します。
- 不要なアカウントは無効にします。
CSAによるVMSサーバの保護（Windowsのみ）

WindowsベースのVMSサーバを使用する場合は、CSAなどのホストIDS/IPSソリューションを使用して、サーバをアクティブに保護することを推奨します。CSAは、動作ベースのホストIPSです。このソリューションは、悪意のあるアプリケーションや、想定外のアプリケーションがシステム内で実行されることを防止するだけでなく、バッファオーバーフローなどの攻撃も防ぐことができるため、インバウンドおよびアウトバウンドのネットワーク接続とサービスを制御するファイアウォールとして機能します。

VMSには、WindowsベースのVMSサーバを保護するために、3つのCSAが付属し、VMSサーバをロックするように設計されたデフォルトのグループポリシーが含まれています。これら3つのCSAは、VMS設定サーバ、VMS監視サーバ、およびVMS自動アップデートサーバの保護を目的としています。サーバを1台しか設置しない場合は、必要となるエージェントも1つだけになります。4 台以上のサーバを保護する必要がある場合は、シスコからCSAライセンスを追加購入する必要があります。

使用されるデフォルトのエージェントは、「CiscoWorks VMS System」と呼ばれ、次の5つのモジュールで構成されます（表9）。

表9 サーバを完全に保護するためのVMSサーバのデフォルトグループポリシー

ポリシー	説明
CiscoWorksベースセキュリティモジュール	CiscoWorksを実行するすべてのシステムに適用される基本ポリシー（5つのルールが付属）
CiscoWorks VMSモジュール	CiscoWorks VMS製品のコンポーネントを実行するサーバに適用されるモジュール（22のルールが付属）
CiscoWorks制限付きセキュリティモジュール	VMSバンドルだけを実行するシステムに適用されるモジュール（2つのルールが付属）
CiscoWorksアプリケーションクラシフィケーションモジュール	CiscoWorksアプリケーションを分類するモジュール（6つのルールが付属）
CiscoWorks CSA MC SQL Serverモジュール	CSA MCシステム上のSQL Serverに適用されるモジュール（3つのルールが付属）

ここでは、上記の3つのポリシーに関連付けられている38個すべてのルールについては説明しません。詳細については、『CSA MC User Guide』を参照してください。

VMSの適用

以上で、インストールの観点からのVMSコンポーネントの展開方法が明確になったので、次は機能の観点から、これらのアプリケーションを展開する方法について説明します。ここでは、次の3つの基本的な問いについて検討します。

各アプリケーションはどのような管理機能を備えているのか。
どのようなデバイスを管理できるのか。
どのタイプのサービスを有効にする必要があるのか。

最初の問いに答えるには、各製品の機能を詳しく検討する必要があります。検討して得られた情報により、VMSの各コンポーネントを使用して、セキュリティ管理のどの側面を管理できるのか、また管理する必要があるのかを特定します。第2の問いでは、コンポーネントアプリケーションでサポートされるデバイスの違いから生じる混乱を解消します。最後の問いでは、各アプリケーションと管理対象デバイスとの通信方法について検討します。使用される通信プロトコルを検討することで、VMSの展開を成功させるために必要な要件の一覧をまとめることができます。議論をわかりやすくするために、製品またはサーバごとに各問いを検討します。

注：シスコのネットワークインフラストラクチャのコンポーネントは、非常に多岐にわたります。ただし、ここではセキュリティに関連する議論が中心となるため、Cisco IOSルータ、PIXセキュリティアプライアンス、VPNコンセントレータ、IDSセンサー、およびホストベースのSecurity Agentの5つのオフジェクトのみに焦点を当てます。これは、VMSが他の要素を管理できないということではなく、これらが特に注意を要するデバイスであるということを意味しているにすぎません。

管理サブネットに関する注意点（アウトバンド管理）
多くのネットワークでは、隔離された管理用サブネットを設計するのが望ましいと言えます。これはアウトバンド管理と呼ばれ、管理ステーションが管理対象のネットワーク要素から分離されたサブネット上にある状況を指します。セキュリティのレベルが高くなり、ネットワーク内部の機能区分が明確になるため、この方法は多くのネットワーク管理者にとって魅力的です。

ただし、すべてのネットワーク管理ツールと同様に、VMSは管理対象デバイスへのネットワークアクセスを必要とします。したがって、完全に隔離された管理サブネットを構築するのは確かに望ましいことですが、ネットワークの他の部分にIP接続できなければまったく意味がありません。そのような環境でVMSを展開する場合は、この点を注意深く検討する必要があります。

CiscoView（Common Serviceで提供）

どのような管理機能を備えているのか

CiscoViewを使用すると、Webベースでの視覚的なデバイス管理が可能になります。 CiscoViewでは、コンピュータの画面上にデバイスがグラフィック表示されます。このツールでは、デバイスのステータスをリアルタイムで監視でき、場合によっては、それらのデバイスの設定を変更することもできます。CiscoView は、VMSの中で、トラブルシューティングツールとして位置付けられます。ネットワーク内で発生した問題が1つのデバイスまたはインターフェイスのレベルにまで絞り込まれたら、CiscoViewを使用してそのデバイスに関連する統計情報を参照し、問題を解決する設定変数を検討することができます。
どのようなデバイスを管理できるのか

CiscoViewは、大部分のCisco IOSルータ、Cisco Catalystスイッチ、VPN 3000コンセントレータ、およびPIXファミリーをサポートしています。
どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

CiscoViewの機能は、SNMP（簡易ネットワーク管理プロトコル）のget/set操作（UDPポート161）に全面的に依存しています。CiscoView サーバからデバイスにアクセスするには、SNMPトラフィックを有効にする必要があります。また、管理対象となるデバイス側でも、SNMPがサポートされている必要があります。Cisco IOSソフトウェアデバイスは、getおよびsetの操作（監視も設定も）を両方サポートできるため、readおよびwriteコミュニティストリングを別々に設定して、きめ細かい管理を行うことができます。VPN 3000シリーズコンセントレータおよびPIXセキュリティアプライアンスは、SNMPのread操作のみをサポートしているため、CiscoViewを使用してこれらのデバイスを監視することはできますが、設定を変更することはできません。

RME

どのような管理機能を備えているのか

RMEの機能を説明しようとすると、それだけで1つの文書が必要になります。一般に（またセキュリティの観点からすると）、このアプリケーションは、基本的なネットワーク管理機能の操作と管理を目的としています。このツールは次の機能を備えています。
- インベントリ管理―インフラストラクチャ内の各デバイスを追跡
- 設定管理―ネットワークデバイスの設定を管理
- 変更監査管理―ネットワークで発生するあらゆる変化（設定、その他）を追跡
- ソフトウェアイメージ管理―ソフトウェアバージョンのメンテナンスを促進
- Syslog管理―ネットワークデバイスからのSyslogメッセージを受信して分析
このリストが示すように、RMEの機能にはセキュリティインフラストラクチャ管理の範囲を超えた利点があります。ただし、ここでは、本書で取り上げている環境に関係する利点のみに着目します。特に重要な点は、RMEでは、VPN関連のインフラストラクチャと環境に固有の設定レポート、ソフトウェアイメージのアップグレード分析、およびSyslogレポートを作成できるという事実です。
どのようなデバイスを管理できるのか

RME は、Cisco IOSルータ、VPN 3000コンセントレータ、およびPIX シリーズをサポートしています。ただし、コンセントレータに関しては、RMEによる設定管理がサポートされておらず、ソフトウェアイメージ管理も一部の機能に限定されています。また、PIXセキュリティアプライアンスに関しては、RMEによるSyslog管理が一部の機能に限定されています。再び参照トポロジーの図（図1）を見ると、センサーを例外として、基本的にネットワークのすべての側面がRMEによって管理されていることがわかります。このため、RMEは「コア」管理アプリケーションと呼ばれることがよくあります。
どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

RMEは複数のプロトコルを使用してデバイスを管理します。代表的なプロトコルには、SNMP、Telnet、TFTP、Syslogなどがあります。RMEにはさまざまなサブコンポーネントがあり、管理対象となるデバイスが異なるため、このツールに関するアプリケーションプロトコルの要件を表10にまとめます。

表10 CiscoViewとRMEのプロトコル要件

RME管理対象のデバイスが、適切な情報が提供するように設定されているかどうかをこの対応表を基に確認してください。SNMPのreadコミュニティストリングを設定することが必要です（該当する場合は writeも必要）。また、ログインパスワードが設定されたTelnetサービスを有効にするほか、SyslogメッセージをRMEサーバへ送信するように各デバイスを設定する必要があります。

Common Services

どのような管理機能を備えているのか

Common Servicesは、一連のクライアントアプリケーション（各種Management Center）に共通のサービスおよび管理機能を提供するサーバ環境です。これらのサービスおよび機能には、次のものが含まれます。
- データの保存と管理
- Webインフラストラクチャ
- セッション管理
- ユーザ認証と権限の管理
- 複数のクライアントアプリケーションの共通環境
サーバにCommon Servicesがインストールされていないと、Management Center、Security Monitor、またはAUSをインストールすることはできません。これらのアプリケーションはCommon Servicesに統合され、Common Servicesが提供するサービスと管理機能を使用します。
どのようなデバイスを管理できるのか

Common Servicesはサーバ環境を提供するだけなので、特定のネットワークデバイスを直接的には管理しません。管理は通常、Common Services上にインストールされたアプリケーションによって行われます。
どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

Common Servicesは、VMS Management CenterアプリケーションのWebインフラストラクチャの役割を担っています。したがって、アプリケーションプロトコルという観点では、WebクライアントからWebサーバへの接続を維持することが重要になります。通常は、事前に割り当てられた次のポート番号を経由するHTTPおよびHTTPSトラフィックがこれに該当します。
- TCP 1741 ― CWデスクトップログインセッション用HTTPポート
- TCP 1742 ― CWデスクトップログインセッション用HTTPポート
- TCP 443 ― 全MCおよびAUSユーザWebセッション用HTTPポート
- TCP 1751 ― AUS OSおよびPDMイメージダウンロード用HTTPポート
Common Servicesで使用されるTCPおよびUDPポート番号の完全なリストについては、製品マニュアル『Installing CiscoWorks Common Services on Windows 2000』を参照してください。

Management Center for VPN Routers

どのような管理機能を備えているのか

Router MCは、ハブアンドスポーク型トポロジーにおいて、複数のCisco IOSソフトウェアデバイス間のVPN接続を確立して管理するために用意された、便利な管理インターフェイスです。また、Router MCは、Cisco IOSソフトウェアデバイスに搭載されたPIXセキュリティアプライアンスフィーチャセットをサポートしています（Cisco Catalyst 6000シリーズスイッチは除く）。Router MCを使用すれば、大規模なサイト間VPN においても、接続、セキュリティ、パフォーマンスなどの重要なパラメータを、すばやく簡単に調整できます。また、Router MCには、マウスで操作できるWeb ベースのインターフェイスと、VPN作成用の事前定義済みコンポーネントが用意されているので、シンプルな小規模VPNをすばやく設定することができます。Router MCは、ハブアンドスポーク型VPNの設定だけでなく、専用回線接続をVPN接続に切り替えたり、ルータがネットワーク上に設置されていない状態でもVPN構成を作成したりすることができます。
どのようなデバイスを管理できるのか

Router MCは、Cisco IOSルータおよびCatalystスイッチに搭載されたVPNサービスモジュールによって構成されるVPNを管理するために使用します。通常、このアプリケーションでは、ハードウェアプラットフォームの処理能力は重要な問題にはなりません。このアプリケーションで重要となるのは、Cisco IOSソフトウェアのバージョンと、サポートされるフィーチャセットのみです。原則として、ルータはIPSec、Secure Shell（SSH;セキュアシェル）プロトコル、および名前付きアクセスリストをサポートする必要があります。表11に、Router MCでテスト済みのCisco IOSソフトウェアバージョンを示します。

表11 Router MCでサポートされるCisco IOSソフトウェアバージョン

Cisco IOSソフトウェアプラットフォーム	Cisco IOSソフトウェアバージョンの最小要件
7100、7200（ハブ）	12.1(9)E
7400（ハブ）	12.1(9)YE
3620/40/60（ハブ）	12.2
71xx/72xx/74xx（スポーク）	12.1(9)E
XM 2600/10/11/20/21/22/50/51/91および3620/40/60	12.2
1710/20/21/50/51/60（スポーク）	12.2
803、806、831、826、827（スポーク）	12.2
3725、3745	12.2
Catalyst 6500（VPNサービスモジュール搭載）	12.2(9)YO1

どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

Router MCは、SSH（TCPポート22）を使用してCisco IOSルータを設定します。SSHセッションは、デバイスが初めてRouter MCにインポートされる際に確立されます。以後、設定がデバイスに送信されるときにも、このセッションはSSHによって暗号化されます。図5は、Router MCを参照トポロジーに適用する方法を図示したものです。

図5 Router MCの適用

Management Center for Firewalls

どのような管理機能を備えているのか

Firewall MCは、新しいファイアウォールを設定したり、既存のファイアウォールまたはコンフィギュレーションファイルから設定をインポートしたりすることで、PIXセキュリティアプライアンス、およびCatalystスイッチのファイアウォールサービスモジュールを管理するポリシーツールです。ファイアウォールデバイスの設定値、アクセスルール、および変換ルールを設定することができます。変更した設定は、ネットワーク上のファイアウォールに展開可能です。また、Firewall MCには、設定とステータスの変更を参照しながら、ネットワークに加えられた変更を制御できる強力なツールも用意されています。
どのようなデバイスを管理できるのか

Firewall MCは、ネットワーク全体に展開されたPIXセキュリティアプライアンスとファイアウォールサービスモジュールを管理するために使用します。この中には、すべてのPIXプラットフォーム（501、506E、515E、525、および535）とCatalystファイアウォールサービスモジュールが含まれます。PIX 6.0.xは6.3.4まで、FWSMは1.1.xから2.3.1までのバージョンがサポートされています。
どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

Firewall MCは、暗号化セッションを使用して、PIXセキュリティアプライアンスとファイアウォールサービスモジュールを管理します。使用されるプロトコルはSSL（またはHTTPS）で、この接続に割り当てられるポート番号はTCPポート443です。そのため、Firewall MCを使用してデバイスを適切に管理するためには、（管理インターフェイスから）PIXセキュリティアプライアンスに対してTCP 443の使用を許可する必要があります。図6に、Firewall MCを参照トポロジーに適用する方法を図示します。

図6 Firewall MCの適用

Auto Update Server

どのような管理機能を備えているのか

AUSには、PIXセキュリティアプライアンスの設定およびソフトウェアイメージを保管する機能があります。自動アップデートモードで動作しているファイアウォールは、定期的にAUSにアクセスして、ソフトウェアイメージ、設定、およびPDMのバージョンをアップグレードし、デバイスの情報とステータスをAUSに渡します。また、AUSを使用すると、Dynamic Host Configuration Protocol（DHCP）を使用してアドレスを取得するデバイスや、NATの背後にあるデバイスの管理が容易になります。AUSにはこのような管理機能があるため、リモートサイトのPIXセキュリティアプライアンスから直接アクセスできる一般公開DMZにAUSを展開するのが一般的です。
どのようなデバイスを管理できるのか

Firewall MCは、ネットワーク全体に展開されたファイアウォールを管理するために使用します。この中には、すべてのPIXプラットフォーム（501、506E、515E、525、および535）とCatalystファイアウォールサービスモジュールが含まれます。AUSでは自動アップデート機能が必要となるため、ファイアウォール側でバージョン6.2以降のOSが実行されている必要があります。
どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

AUSは、前述のトポロジーに含まれる2種類の要素と通信します。1つめの要素は、Firewall MCサーバです。これら2つのアプリケーションが同じシステムにインストールされている場合は、通信アーキテクチャについて何も注意する必要はありませんが、これらが別々のサーバにインストールされている場合は、SSLを使用して設定ファイルがFirewall MCからAUSにプッシュされるため、注意が必要になります。したがって、TCP 443をAUSシステムに対して開放する必要があります。

2つめの要素は、AUSとPIXセキュリティアプライアンス自体の実際の通信です。このシナリオでは、双方向の通信が行われ、いずれもSSLが使用されます。したがって、PIXセキュリティアプライアンスからAUSへの接続に対してTCP 443を開放するだけでなく、逆方向の接続にもTCP 443を開放する必要があります。バイナリイメージの転送（PIXおよびPDMソフトウェア）には、標準のHTTP（TCP 1751）が使用されます（任意で、SSLに変更することもできます）。図7に、AUSが前述の参照トポロジーの中でどのように応用されるかを図示します。

図7 AUSの適用

Management Center for IDS

どのような管理機能を備えているのか

IDS MCは、Cisco IDSセンサーの設定を管理します。Webベースの画面を通じて、センサーのあらゆる設定を管理できます。個々のセンサー、または共通の設定を持つセンサーのグループを管理することができます。センサーの設定データは、データベースに保存されます。また、IDS MCには、シスコのWebサイトからアップデートアーカイブをダウンロードし、シグニチャアップデートを適切なセンサーに配布して、シグニチャのアップデートを実行する機能もあります。

Monitoring Center for Security（Security Monitor）は、このアプリケーションと密接な関係がありますが、完全に別個の製品です。Security Monitorには、ネットワークデバイスのイベントを収集、表示、集計し、相互に関連付け、レポートする機能があります。これについては、次の項で説明します。
どのようなデバイスを管理できるのか

IDS MCは、Cisco IDSアプライアンスセンサー、Catalyst 6500用のCisco IDSモジュールとルータ用のCisco IDSモジュール（NM-IDS）、およびルータのIPS IDS機能を管理します。このアプリケーションに必要なIDSソフトウェアは、プラットフォームによって異なります（表12）。

表12 IDS MCに必要なIDSセンサーソフトウェア

IDSセンサープラットフォーム	ソフトウェアバージョンの最小要件
3.x Cisco IDSアプライアンスセンサー	3.0.1
4.x Cisco IDSアプライアンスセンサー	4.0.1
800、1700、2600、2691、3600、3725、3745、7200用のIPS IDS	12.3(8)T4
Catalyst 6000 IDSモジュール（IDSM-1）	3.0.5
Catalyst 6500 IDSモジュール（IDSM-2）	4.0.1
2600XM、3660、および3700シリーズルータ用のモジュール（NM-IDS）	4.0.1

どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

IDS MCでは、2つのプロトコルを使用してIDSを管理します。
- RDEPは、4.xセンサーの設定のインポートと展開に使用します。RDEPはポート443を使用します。
- SSHはIOS IDSおよび3.xセンサー用です。SSHはポート22を使用してデバイスに接続します。
図8に、IDS MCを参照トポロジーに適用する方法を図示します。

図8 IDS MCの適用

Security Monitor

どのような管理機能を備えているのか

Security Monitorは、次のデバイスのイベントをリアルタイムで収集、表示、集約し、相互に関連付け、通知するWebベースのインターフェイスです。
- Cisco IDSセンサー（3.xと4.xの両方）
- Catalystスイッチに搭載されたCisco IDSサービスモジュール（IDSM-1とIDSM-2の両方）
- ルータのCisco IDSサービスモジュール
- IDSソフトウェアを実行しているCisco IOSルータ
- CSA（CSA MCから転送）
- PIXセキュリティアプライアンス
- Catalystスイッチに搭載されたシスコファイアウォールサービスモジュール
- 別のSecurity Monitorサーバ
Security Monitorのイベントは、カスタマイズ可能なイベントビューア上に表示されます。また、Security Monitorでは、基本的なイベント関連付けルールを作成して、イベントを整理できます。これらのルールは、リアルタイムで通知を発行するよう設定することもできます。
どのようなデバイスを管理できるのか

Security Monitorは、次のソフトウェア要件を満たす5つの送信元からセキュリティイベントを受信できます（表13）。

表13 Security Monitorデバイスのソフトウェア要件

セキュリティイベントの送信元	ソフトウェアの最小要件
3.x Cisco IDSアプライアンスセンサー	3.0.1
4.x Cisco IDSアプライアンスセンサー	4.0.1
ルータのIDSモジュール（NM-IDS）	4.0.1
Catalyst 6500 IDSモジュール（IDSM-1）	3.0.5
Catalyst 6500 IDSモジュール（IDSM-2）	4.0.1
Cisco IOSルータ	IDSフィーチャセット付きCisco IOSソフトウェア
PIXセキュリティアプライアンス	Syslogをサポートするすべてのバージョン
Catalyst 6500のファイアウォールモジュール	1.xまたは2.x
Cisco Security Agent MC	4.0
Security Monitor	SecMon 2.0

どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

Security Monitorには多くのデータ入力があるため、アプリケーションのプロトコル要件を個別に検討する必要があります。

3.xセンサーアプライアンスとIDSM-1 IDSサービスモジュールの場合、Security MonitorはPostOfficeプロトコルを使用してデバイスからイベントを受信します。

4.xセンサーアプライアンス、IDSM-2、IDSサービスモジュールの場合、Security Monitorは、HTTPSベースのRDEPを使用してデバイスからイベントを取得します。IOS IPSとその他のSecMonサーバの場合はSDEEを使用します。

CSAの場合、Security MonitorはHTTPSを使用してCSA MCからイベントを取得します。

その他のデータ送信元（PIXセキュリティアプライアンスおよびファイアウォールサービスモジュール）の場合、イベントはSyslog経由でSecurity Monitorに送信されます。

したがって、Security MonitorサーバへのPostOffice（UDP 45000）とSyslog（UDP 514）を許可する必要がある一方、Security Monitorから各デバイスへのRDEP（TCP 443）、HTTPS（TCP 443）も許可する必要があります。図9に、Security Monitorを参照トポロジーに適用する方法を図示します。

図9 Security Monitorの適用

Monitor Center for Performance

どのような管理機能を備えているのか

Monitoring Center for Performance 2.0.1（Performance Monitor）は、企業ネットワークのセキュリティサービスの健全性とパフォーマンスを監視し、トラブルシューティングを行うブラウザベースのツールです。Performance Monitor は、VPN Monitor 1.2アプリケーションの代わりに組み込まれました。サポート対象となるサービスタイプは、リモートアクセスVPN、サイト間VPN、ファイアウォール、Webサーバのロードバランシング、およびプロキシSSLです。重大なイベントがネットワークで発生すると同時に、それらのイベントは隔離、分析、およびトラブルシューティングされるので、サービスアベイラビリティが向上します。Performance Monitorの使用には、IPSecまたはその他のセキュリティテクノロジーに関する専門知識は必要ありません。
どのようなデバイスを管理できるのか

サポート対象となるサービスタイプは、リモートアクセスVPN、サイト間VPN、ファイアウォール、Webサーバのロードバランシング、およびプロキシSSLです。

表14 MCPでサポートされているサービスと必要なソフトウェア

シリーズ	サポートされているデバイス	ソフトウェアバージョン	サポートされているサービス
Cisco VPNルータ	7100および7200シリーズ	IOS 12.1(8)E、12.2(8)T8、12.3(5b)以降	サイト間VPN
	7400シリーズ	IOS 12.2(15)B、12.2(9)YE、12.3(4)T2以降	サイト間VPN
	3700シリーズ	IOS 12.2(13)T、12.3(5b)以降	サイト間VPN
	800シリーズ	IOS 12.2(13)T、12.3(2)T以降	サイト間VPN
	1700シリーズ	IOS 12.2(13)T、12.3(5b)以降	サイト間VPN
	2600および3600シリーズ	IOS 12.2(13)T、12.3(5)A以降	サイト間VPN
Cisco Catalyst 6500スイッチ	ファイアウォールサービスモジュール	1.1(1)、1.1(2)、および1.1(3) ― SUP 2ではIOS 12.2(14)SY、12.1(13)E以降 SUP 720では12.2(17b)SXA、12.2(14)SX1以降	ファイアウォール
	VPNサービスモジュール	SUP 2では12.2(14)SY、12.2(9)YO1以降 SUP 720では12.2(17b)SXA以降	サイト間VPN
	SSLサービスモジュール	1.1(1)、1.2 ― SUP 2ではIOS 12.1(13)E以降 SUP 720では12.2(14)SX1以降	SSL
	コンテントスイッチングモジュール（ロードバランシング）	3.1、3.2 ― IOS 12.1(13)E以降 SUP 720では12.2(14)SX1以降	ロードバランシング
Cisco PIXセキュリティアプライアンス	PIX 501、PIX 506E、PIX 515、PIX 515E、PIX 525、PIX 535	PIX 6.0以降	ファイアウォール
Cisco VPNコンセントレータ	3000シリーズ	3.0および4.1以降	リモートアクセスVPN

どのサービスを有効にする必要があるのか（アプリケーションプロトコルの要件）

MCPを機能させるには、主にSNMP（UDPポート162）とHTTPSが必要です。MCPサーバはデバイスを定期的にポーリングしてIPSec MIB情報を取得します。ファイアウォール用の一部の情報は、HTTPSでPDMコードへに接続することによって取得します。

MCPはさまざまなデバイスをサポートしています。各デバイスを機能させるには、それぞれに対応するサービスを有効にする必要があります。一覧は次のとおりです。
- VPN 3000コンセントレータ：SNMP、HTTPS（ユーザログアウト機能）、XMLインターフェイス（クラスタ詳細情報取得）、Syslog（ユーザログイン詳細情報）を有効にします。
- VPNルータ：SNMPおよびVPN関連トラップを有効にします。
- Catalyst 6500 + CSMモジュール：SNMPおよびCSM関連トラップを有効にします。
- Catalyst 6500 + VPNモジュール：SNMPおよびVPN関連トラップを有効にします。
- PIXとCatalyst 6500 + FWモジュール：SNMP、HTTPSサーバとHTTPSアクセス、およびSyslogを有効にします。
- Catalyst 6500 + SSL：SSHアクセスを有効にします。
図10に、VPN Monitorを参照トポロジーに適用する方法を図示します。

図10 MCPの適用

注：これらの要件が満たされていれば、MCPをリモートVPNデバイスで使用することが可能です。ただし、これは次の2つの理由からあまり現実的とは言えません。第1に、このタイプの監視機能には拡張性がありません。第2に、ほとんどの場合、トンネルの（両方ではなく）片方の端からのVPNメトリックを参照するだけで十分です。

Cisco Security Agent MC

どのような管理機能を備えているのか

CSA MCは、IDS MCおよびSecurity Monitorに組み込まれたネットワークベースIDS管理機能を補完する製品です。これにより、VMSは侵入検知を管理するための真に包括的なソリューションを提供します。CSAの目的は、個々のホストシステムを侵入から保護することです。このエージェントはホスト自体に常駐し、OSカーネルへのシステムコールを検査して、事前定義済みのルールおよびポリシーと照合します。イベントは、中央のCSA MCにレポートされます。CSA MCでは、管理対象のエージェントから受信した情報が統合されます。CSAでは、ルールとの一致が検出されると、その操作を阻止するか、ユーザにプロンプトを出すかを選択することができます。また、それと同時に、リアルタイムで通知が発行されます。

この保護モデルでは、ユーザによる設定作業なしに、Sasser、Bagle、MyDoomなどその他多数の既知の脅威を緩和できることが実証されています。したがって、重要なネットワークホストでは、お客様の判断に基づいて、CSAを使用することが特に重要です。前述の基本トポロジーでは、VMSソリューションを形成するすべてのネットワーク管理サーバにCSAコードをインストールすることを推奨します。これにより、重要なネットワーク管理システムを保護することができます。また、リモートのデスクトップとラップトップに加え、すべてのDMZサーバにもCSAをインストールすることを推奨します。これらのサーバまたはデスクトップからは、CSA MCにセキュリティイベントがレポートされます。その情報はSecurity Monitorに転送することができます。
どのようなデバイスを管理できるのか

CSAは、シスコのネットワークデバイスと直接対話しませんが、インストールされたCSAキットを使用してネットワークホストと対話します。現在、次のOSバージョンを保護できます。
- Windows 2003
- Windows XP（SP0またはSP1）
- Windows 2000 Professional、Server、Advanced Server（SP0、1、2、または3）
- Windows 2003
- Windows NT Workstation、Server、またはEnterprise Server（SP5以上）
- Solaris 2.8（64ビットカーネル）
- RedHat Enterprise Linux 3.0
製品マニュアルを参照して、CSAソフトウェアの最新オプションを確認することを推奨します。
どのサービスをイネーブルにする必要があるのか（アプリケーションプロトコルの要件）

CSAを適切に機能させるには、Management Centerと通信できるようにする必要があります。エージェントはManagement Centerにセキュリティイベントをレポートします。また、Management Centerではエージェント用のポリシー設定を変更することができ、エージェントはManagement Centerから最新ポリシーを定期的に取得します。この通信は、標準のHTTPおよびHTTPSを使用して実行されます。図11に、CSA MCを参照トポロジーに適用する方法を図示します。

現在、CSA MCには、リモートクラスタ内にデータベースをインストールする機能が備わっています。この機能により、スケーラビリティが向上し、最大で10万台のデバイスをサポートすることができます。この機能を使用する場合、VMSサーバとデータベースサーバ間の通信は、SQL Serverに接続するODBCを経由して行われ、データベースのリスナーポートは1433となります。

図11 CSA MCとCSAの適用

まとめ
VMSの各種コンポーネントを展開する場所を決定して、各コンポーネントが管理するネットワークインフラストラクチャの要素を明確に区別することが重要です。表15に、この項で説明した情報と、各アプリケーションの適切な動作に必要な管理プロトコルをまとめます。

表15 VMSコンポーネントの適用（まとめ）

アプリケーション	プロトコル	TCP/UDPポート番号
CiscoView	SNMP	UDP 161
RME	SNMP、Telnet、TFTP、Syslog	UDP 161、TCP 23、UDP 69、UDP 514
Firewall MC	HTTPS（SSL）	TCP 443^*
AUS	HTTP、HTTPS、CNS	TCP 1751、TCP 443、TCP 11011
Router MC	SSH	TCP 22
IDS MC	SSH、SCP	TCP 22、TCP 443、SolarisではTCP 69（tftp）が必要
Security Monitor	PostOffice、RDEP、HTTPS	UDP 45000、TCP 443、Syslog 514、SolarisではTCP 69（tftp）が必要
MCP	HTTPS、SNMP	TCP 443、UDP 161
CSA MC	HTTP、HTTPS、ODBC	TCP 80、TCP 443、TCP 1433

^* このポート番号はカスタマイズ可能です。TCP 443はデフォルト値です。

注意事項と解決方法

VMSを展開する際には、各アプリケーションで必要とされるサービスを把握しておくことが重要になります。これらについては、前項で概要を示しました。場合によっては、2 種類のアプリケーションが同じアクセス方式で特定のデバイスと通信することがあります（たとえば、CiscoViewとVPN Monitorは、どちらもSNMPを使用して管理情報を取得します）。また、一部のVMSアプリケーションではセキュリティに重点が置かれているため、デバイスへのアクセスを共有すると、競合が発生する可能性があります。この項では、本書に記載されている展開ガイドラインから逸脱する場合の重要な考慮事項について概説します。

NATに関する考慮事項
NATは多くのトポロジーで使用されています。NATはセキュリティとアドレス空間を確保するうえでは便利な機能ですが、管理ツールと併用すると問題が発生することがあります。この項では、NATを使用しているネットワーク環境にVMSを展開する場合の注意事項と問題点について説明します。

NATとAUS
- AUSアプリケーションを使用していて、サーバがNATゲートウェイの背後にある場合は、管理対象となるPIXセキュリティアプライアンスに対して特に注意が必要です。AUSサーバと通信するリモートPIXがあると仮定してください。このデバイスは、（実アドレスではなく）NATアドレスにアクセスします。AUSは、更新された設定またはソフトウェアイメージをダウンロードするためのURLを通知する際に、NATアドレスを使用します。反対に、AUSがNATゲートウェイの背後にない場合は、実アドレスを通知するように設定することができます。管理対象となるすべてのPIXセキュリティアプライアンスに対し、NATアドレスと実アドレスのどちらを使用するかを決定することが必要です。1つのAUSインストール内で、これら2つ（NATと非NAT）を併用することはできません（図12）。
- 図12 NATとAUS
- 内部および外部のPIXセキュリティアプライアンスを両方管理する必要がある場合は、AUSの2つのコピーをインストールすることを推奨します。1つはNATアドレスを使用する外部のファイアウォール向け、もう1つは実IPアドレスを使用する内部のファイアウォール向けとします。NATの設定値は、AUSのAdminタブで設定します。
NATとRouter MC（ハブ側）
- Router MCを使用してハブアンドスポーク型のVPN環境を構築する場合は、ハブルータのVPNインターフェイスに注意する必要があります。製品の設計上、このインターフェイスではNAT処理を行うことができません。VPN終端インターフェイスは、パブリックアドレスを持つIPサブネットになっている必要があります。このインターフェイスのアドレスがNAT処理されている場合、ピアの観点からも、NAT処理されたアドレスを割り当てる必要がありますが、Router MCアプリケーションでは、IPアドレスではなく、インターフェイスを基準として割り当てることしかできません。したがって、ピアのステートメントが不正確になります。Router MCと互換性を持つVPNトポロジーを構築する方法については、図13を参照してください（ハブルータをNATデバイスの背後に配置することはできますが、ハブルータのIPをNAT処理しないでください）。

図13 NATとRouter MC

NATとRouter MC（スポーク側）
- NATとVPNスポークデバイスに関しても、展開上の注意事項があります。現行バージョンのRouter MCは、スポークのIPアドレスがNAT処理されている状況をサポートしていないため、Router MCでは、実IPアドレスを使用してスポークデバイス（VPNピア）を管理する必要があります（スポークルータを NATデバイスの背後に配置することはできますが、スポークルータのIPをNAT処理しないでください）。
NATとIDS MC（IDSMCサーバをNATの内側に配置）
- この場合、ユーザは、デバイスがMCと通信する際に使用するIPアドレスを指定する必要があります。この指定はインポート時に行うことができます。インポートウィザードの「Enter sensor information」ページ下部の「NAT address to MC」フィールドに、センサーがMCと通信するために使用するIPアドレスを入力します。
NATとIDS MC（センサーをNATの内側に配置）
- この場合、必要な作業は、インポート時にセンサーのパブリックアドレスを指定することだけです。

複数のSyslogデーモン
VMSバンドルに含まれるアプリケーションには、さまざまな送信元からSyslogメッセージを受信できるものがあります。OSのサポートが変更されたことにより、すべてのアプリケーションを1台のサーバにインストールすることが可能になりました。その場合、これらすべてのSyslogデーモンの互換性をどのように確保するかを検討することが必要です。

まず、どのアプリケーションがどのデバイスからSyslogメッセージを受信できるのかを確認します（表16）。

表16 VMS内のSyslogサーバアプリケーションの概要

VMSモジュール	Syslog送信元
RME	Cisco IOSソフトウェア、PIX、VPN3K
Security Monitor	Cisco IOSソフトウェア、PIX、ファイアウォールサービスモジュール
MCP	シスコ製ファイアウォールとFWSM、Cisco VPN 3K

デフォルトでは、これらすべてのアプリケーションがUDPポート514でリスニングを行います。これらのアプリケーションが別々のサーバに分散されている場合は、（複数の送信元にSyslogメッセージを送信するだけなので）まったく問題は起きません。ただし、これらすべてのアプリケーションが1つのシステム上にインストールされている場合、すべてのSyslogデーモンを利用するとどうなるでしょうか。

Security Monitorを使用すると、2つの方法でこの問題を緩和することができます。1つは、Syslogメッセージのリスニングを行うポート番号を設定する方法です。デフォルトはUDP 514ですが、この設定は変更可能です。また、同じシステムまたは別のシステム上の他のポートにSyslogメッセージを転送するようにSecurity Monitorを設定することもできます。PIXセキュリティアプライアンスは同じホストの異なるポート番号にSyslogメッセージを送信できるという点も重要です。その場合は、次の方法でSyslog機能を最適化することができます。

Cisco IOSソフトウェアから、SyslogをUDP XでRMEに送信する
SyslogをPIXから、UDP 514でSecurity Monitorに、ポートYでMCPに送信する
Security Monitorから、SyslogをポートXでRMEに転送する

MCPはcrmloggerファイルからメッセージを読み取るだけなので、Syslogを受信するポートはMCPには重要ではありません。インストール時に、SecMonはcrmloggerがリスニングするポートを記録し、メッセージをこのファイルに自動転送します。

MCPはこのファイルを読み取り、必要なメッセージを抽出するだけです。

図14に、このSyslogの統合方法を図示します。

図14 VMS内のSyslogの統合

このシナリオでは、2台以上のサーバを使用して、3つのツールをすべて活用するのが理想的です。第1のサーバでSecurity Monitorを実行し、第2のサーバでRMEを実行します。

CSAの初期展開
VMSバンドルの主要コンポーネントの1つは、ホストレベルで侵入検知および防止を管理する機能です。 VMSの管理サーバはきわめて重要なので、それらのシステムにはCSAのソフトウェアをインストールすることを推奨します。VMSバンドルのCSA MCには、デフォルトのポリシーグループ「VMS server」も含まれています。

エージェントキットを初めて展開する際には、「テストモード」でエージェントを配置することを推奨します。テストモードでは、すべてのルール違反がログに記録されますが、実際の対処は行われません。最初の数週間ほど、「テストモード」で通常どおりに使用すれば、このテスト期間中に発生したイベントに基づいて、基本的なポリシーを作成することができます。

アウトバンド管理
多くのネットワークでは、隔離された管理用サブネットを設計するのが望ましいと言えます。これはアウトバンド管理と呼ばれ、管理ステーションが管理対象のネットワーク要素から分離されたサブネット上にある状況を指します。セキュリティのレベルが高くなり、ネットワーク内部の機能区分が明確になるため、この方法は多くのネットワーク管理者にとって魅力的です。

ただし、すべてのネットワーク管理ツールと同様に、VMSは管理対象デバイスへのネットワークアクセスを必要とします。したがって、完全に隔離された管理サブネットを構築するのは一見望ましいことですが、ネットワークの他の部分にIP接続できなければまったく意味がありません。そのような環境でVMSを展開する場合は、この点を注意深く検討する必要があります。

ACSとの統合によるロールベースのアクセス制御
CiscoWorks VMSには、7種類のユーザロール（HelpDesk、Approver、Network Operator、Network Admin、System Admin、Export Data、Developer）が組み込まれており、各ユーザには1つまたは複数のロールを割り当てることができます。これらのロールでは、GUI（グラフィカルユーザインターフェイス）で実行できる操作の権限が固定されています。

より緻密で柔軟なRole-Based Access Control（RBAC;ロールベースアクセスコントロール）を可能するには、VMSとACSを組み合わせて、各ユーザに許可する操作を細かく制御する必要があります。たとえば、ACSの「Read Only」ユーザロールは、図15のように設定することができます（写真はACSの画面）。

注： ACSを備えたRBACをサポートしているVMSコンポーネントは、IDSMC、Router MC、FWMC、およびAUSです。Security MonitorとCSA MCは、ACSと統合できません。

図15 ACSでのRead Onlyユーザロールの設定

VMS 2.Xアプリケーションノート

インストール速度の低下

ウィルススキャンが動作している場合は、その動作のためにインストールが長引くことがあります。インストール時間を短縮するには、ウィルススキャンをオフにしておくことを推奨します。
同一サーバへのVMS 2.3とACLMのインストール

ACLM（ACL Manager）をVMSのCommon Services 2.2上にインストールすると、JRMとの通信ができなくなるため、ジョブの展開を行うことはできません。そのため、ACLMの「update 1」をインストールする必要があります。
同一のSolarisサーバへのVMS 2.3とCampus Managerのインストール

VMSとCampus Managerを同一のSolarisサーバにインストールすると、以下のバグCSCsa50466のために問題が発生します。この問題は、Windowsシステムにインストールした場合は発生しません。

まず、アップグレードの前に最新のIDUをすべてサーバに適用します。

CSCsa50466：VMS 2.3 CSがインストールされている場合、SolarisではCampus Managerを使用することができません。

対策は次のとおりです。

jrmおよびcorbaパッチを適用し、次の手順に従ってjava.library.pathを正しく設定し、.soファイルを検出します。

/opt/CSCOpx/objects/dmgtで「dmgtd.conf」ファイルを開き、ファイル内に次のエントリがあるかどうかを確認します。

ANIServer y EDS,ANIDbEngine /opt/CSCOpx/campus/jre/bin/java -Xbootclasspath:/opt/CSCOpx/www/classpath/vbjorb.jar:/opt/CSCOpx/campus/jre/lib/rt.jar:/
opt/CSCOpx/campus/jre/lib/i18n.jar -Xminf0.1 -Xmaxf0.1 -Djava.class.path =/opt/CSCOpx/
campus/

www/classpath/jndi.jar:/opt/CSCOpx/campus/www/classpath/providerutil.jar:/opt/CSCOpx/
campus/www/classpath/dns.jar:/opt/CSCOpx/campus/lib/classpath:/opt/CSCOpx/campus/www/
classpath:/opt/CSCOpx/lib/classpath:/opt/CSCOpx/www/classpath:/opt/CSCOpx/lib/classpath/
servlet.jar -Dvbroker.orb.gcTimeout=90 -Xrs -Xmx512m com.cisco.nm.ani.server.frontend.
AniMain

上記のエントリを次のように変更します。

ANIServer y EDS,ANIDbEngine /opt/CSCOpx/campus/jre/bin/java -Xbootclasspath:/opt/CSCOpx/
www/classpath/vbjorb.jar:/opt/CSCOpx/campus/jre/lib/rt.jar:/opt/CSCOpx/campus/jre/lib/
i18n.jar -Xminf0.1 -Xmaxf0.1 -Djava.class.path=/opt/CSCOpx/campus/www/classpath/jndi.jar:/
opt/CSCOpx/campus/www/classpath/providerutil.jar:/opt/CSCOpx/campus/www/classpath/
dns.jar:/opt/CSCOpx/campus/lib/classpath:/opt/CSCOpx/campus/www/classpath:/opt/CSCOpx/
lib/classpath:/opt/CSCOpx/www/classpath:/opt/CSCOpx/lib/classpath/servlet.jar -
Djava.library.path=/opt/CSCOpx/lib:/opt/CSCOpx/campus/lib:/opt/CSCOpx/MDC/lib -
Dvbroker.orb.gcTimeout=90 -Xrs -Xmx512m com.cisco.nm.ani.server.frontend.AniMain

dmgtd.confファイルを変更したあと、デーモンを再起動します。編集する前にdmgtd.confファイルをバックアップしておくことを推奨します。
クライアントのJava（JRE）と複数のJREバージョンの設定

WindowsプラットフォームでVMSを使用するには、Internet Explorer 6.0とService Pack 1が必要です。また、クッキーとJavaScriptを有効にしておく必要があります。さらに、クライアントには正しいJREがインストールされていることが必要です（現在はJRE 1.4.1_02）。

よく問題が発生するのは、次の2つのケースです。
1. ブラウザが互換性のないJREを使用するよう誤って設定されている。
2. 複数のJREがインストールされているが、正しく機能していないか、または正しく設定されていない。シスコ製を含む他の管理製品で別のJREバージョンが使用されていることが判明する。
JREに関する問題を防止するため、次の2つの措置をとることを推奨します。
1. Internet Explorerの[Use JRE...]のチェックを解除する。
2. Internet Explorerのメニューで、[ツール] -> [インターネットオプション] -> [詳細設定]を開き、[Java (Sun)]セクションのJREのバージョンを確認します。ブラウザで[Use Java 2 v1.4.2_04 <applet> (requires restart)]の設定のチェックを解除します。これにより、ブラウザはインストールされている他のJREバージョンを検索します。必要なJREがインストールされていない場合、VMSはそれをVMSサーバから直接インストールするようにユーザに要求します。
3. 複数のJREを正しく処理できるSun Java Web Startを、各JREのパスと環境変数が正しく設定された単一システム上で使用するクライアントPCに複数のJREバージョンをインストールする必要がある場合は、Java Web Startを使用することを推奨します。Java Web Startを使用しない場合、欠陥のあるJREバージョン、または誤ったJREバージョンを使用するブラウザが原因で問題が発生する可能性があります。
Java Web Startは、次のサイトからダウンロードできます。

http://java.sun.com/cgi-bin/javawebstart-platform.sh

README（http://java.sun.com/products/javawebstart/docs/readme.html）には、Java Web Startのダウンロード、インストール、および使用に関する包括的な説明が記載されています。

Java Web Startでは、ユーザがアプリケーションを起動するたびにWebからトランスペアレントにアップデートが行われるので、アプリケーションを手動でアップデートする必要がありません。そのため、コンピュータにインストールされているJREのバージョンはユーザに対してトランスペアレントになっています。下の図からわかるとおり、Java Web StartにはインストールされているJREバージョンがすべてリストされています。Java Web Startを利用すると、Webページで使用するJREのバージョンを管理することができます。

結論

VPNとセキュリティの進化
近年、ネットワークセキュリティ関連のニーズが急速に高まりつつあります。特に、境界ネットワークセキュリティ、パブリックインフラストラクチャを介した安全なトランザクション、およびエンドシステムでの広範囲なセキュリティという3つの分野におけるニーズが顕著です。その結果、このような環境に対処するための管理方式を進化させる必要が生じ、CiscoWorks VPN/Security Management Solution（VMS）が導入されました。

CiscoWorks VMSは、Cisco IOS VPNルータ、Cisco VPNサービスモジュール、Cisco PIXセキュリティアプライアンス、シスコファイアウォールサービスモジュール、Cisco Network IDSセンサー、Cisco Network IDSサービスモジュール、ホストベースのCSAなど、セキュリティ専用ハードウェアの管理を支援するアプリケーションで構成されています。VMSは、VPNの展開、監視、境界セキュリティポリシーの作成、侵入検知の管理など、さまざまな課題に対処できます。本書では、このソリューションの各種コンポーネント、その役割、および複数のコンポーネントを連携させるための設定方法を説明することで、VMSを展開するための基本的なガイドラインを提示しています。本書は、VMSをネットワーク管理計画に組み込む方法、およびVMSによって付加される価値を明確に理解できるように構成されています。

他のダイナミックな環境と同様に、ネットワークセキュリティに関連するニーズとテクノロジーは常に進化しています。VMSは、ネットワーク管理という観点から今後も進化し続け、この環境に固有の側面を管理するための包括的なツールを提供し続けていきます。

CiscoWorks VPN/Security Management Solution

Hierarchical Navigation

展開ガイド