Cisco 2600/3600/3700ルータ用Cisco IDSネットワークモジュール

ダウンロード

データシート

Cisco 2600/3600/3700シリーズルータ用Cisco IDSネットワークモジュール

Cisco^® IDSネットワークモジュールは、シスコによるIntrusion Detection System（IDS）ネットワークセキュリティソリューションの1つで、企業資産を保護し、運用コストを削減します。

Cisco 2600/3600/3700シリーズルータ用Cisco IDSネットワークモジュールは、Cisco IDSセンサ製品のひとつであり、シスコの侵入防御システム（IPS）の構成要素です。これらのIDSセンサは、データおよび情報インフラストラクチャを保護するために、Cisco IDS管理コンソール、CiscoWorks VPN（仮想私設網）/セキュリティ管理ソリューション（VMS）、Cisco IDS Device Managerなど、ほかのIDSコンポーネントと連携して動作します（図1を参照）。セキュリティに対する脅威が複雑化しつつある今日、高度な保護性能を維持するには、効果的なネットワーク侵入セキュリティソリューションが不可欠です。厳重な侵入防御機能によって、ビジネスの継続性を確保し、侵入による損害を未然に防ぐことができます。シスコの侵入防御システムに関する詳細については、http://www.cisco.com/go/ids（英語）を参照してください。

図1 Cisco 2600、3600、または3700上のCisco IDSネットワークモジュールセンサの配置

このIDSソリューションでは、ネットワークアーキテクチャ上の必要な場所にIDSセンサを配置することが可能です（図2を参照）。Cisco IDS 4200シリーズセンサには、Cisco IDS 4215、IDS 4235、IDS 4250、およびIDS 4250-XLというタイプがあります。ルーティングおよびスイッチングプラットフォーム上で使用できるCisco IDSソリューションとしては、Cisco Catalyst^® 6500シリーズIDSサービスモジュール（IDSM-2）、およびCisco 2600XM、 3660、3700シリーズルータ用のCisco IDSネットワークモジュールがあります。シスコのIDS製品には、エンタープライズ環境からサービスプロバイダー環境まで、さまざまな環境に簡単に組み込むことのできる広範囲のソリューションが用意されています。各センサはルータごとに異なる帯域要件に対応しています（Cisco 2600XMは最大10 Mbps、Cisco 3700シリーズは最大45 Mbps）。アプライアンス製品では、80 Mbps～1 Gbpsがサポートされます。Cisco Catalyst IDSM-2では、600 Mbpsがサポートされます。シスコの侵入防御（IPS）製品ファミリーに関する詳細については、http://www.cisco.com/go/ids（英語）を参照してください。

図2 Cisco IDSファミリー：Cisco 4200ファミリーとCisco IDSネットワークモジュール

Cisco 2600/3600/3700シリーズルータ用Cisco IDSネットワークモジュール：IDSとブランチオフィスルーティングの統合

ブランチオフィスルーティングにIDSを統合することによって、WANリンクの保護をより容易にするとともに、運用コストを削減できます。ブランチオフィスルータにIDSを統合した場合、次の多くの重要なメリットを実現します。

物理的なスペースの節約 ― Cisco IDSネットワークモジュールは、Cisco 2600XMシリーズ、Cisco 3660、またはCisco 3700シリーズブランチオフィスルータのネットワークモジュールスロットに1つ搭載できます。
電源管理およびケーブル管理の簡易性 ― Cisco IDSネットワークモジュールでは、ルータの電源オプション（DC電源および冗長電源）を利用できます。
共通の管理インターフェイス ― IDSネットワークモジュールの設定および管理は、Cisco IOS^®のCLI（コマンドラインインターフェイス）を使用して行うことができます。Cisco IDS 4200シリーズでサポートされるCiscoWorks Management Center for IDS Sensorsに対応しているので、アプライアンスおよびルータIDSセンサの両方を、1つの管理システムで集中的に管理できます。
ネットワークコマンドおよび制御インターフェイス ― コマンド投入と制御には外部ファストイーサネットポートを使用するため、Cisco IDSネットワークモジュールのルータ内部インターフェイスは、IDSエンジンで処理するパケットのキャプチャリング専用インターフェイスとして使用することが可能です。
Cisco IDSネットワークモジュールの専用プロセッサによるパフォーマンスの向上 ― ネットワークモジュール自体に専用のCPUが搭載されているので、ルータのCPUにはIDS関連タスクの負荷が掛かりません。
運用コストの削減 ― Cisco IDSネットワークモジュールは、ルータと同時に保守を行うことができるため、ネットワーク運用コストを節約できます。

Cisco IDSネットワークモジュールは最大45 Mbpsのトラフィックをモニタすることができ、T1/E1環境およびT3環境に適しています。このIDSネットワークモジュールを搭載したルータは、一般的なCisco IOS機能のほかに、VPN、ファイアウォール、Multiprotocol Label Switching（MPLS）、Network Address Translation（NAT;ネットワークアドレス変換）、Web Cache Control Protocol（WCCP）など、その他のCisco IOSセキュリティ機能もサポートしています。

Cisco IDSネットワークモジュールは、Cisco 2600XMシリーズ、Cisco 3660、およびCisco 3700シリーズプラットフォーム上の1つのネットワークモジュールスロットに搭載します。イベントのログおよびストレージには、20 GBのハードディスクを使用できます。コマンドおよび制御には外部イーサネットポートが使用され、管理用の発信ポートの安全性を確保します。この構成では、セキュリティ処理とネットワーク動作にそれぞれ専用のコマンドおよび制御インターフェイスを使用することもできます。

図3 Cisco IDSネットワークモジュール

シスコの侵入防御システム（IPS）の特長

効果的な侵入防御

効果的な侵入防御システムは、次の4つの要素によって実現します。

脅威の正確な検知 ― 環境を保護するための第一段階として、Cisco IDS Sensorソフトウェアバージョン4.1が、すべての潜在的な脅威を総合的に検出します。
脅威のインテリジェントな検証 ― シスコのThreat Responseテクノロジーによって誤ったアラームが実質的に排除され、侵入を防ぐために直ちに対処する必要のある脅威が自動的に判別されます。
管理の簡易性 ― ブラウザベースの各種ツールによる簡単な対話形式と、強力な解析ツールで脅威に対し迅速かつ効果的に対処できます。
柔軟性のある構成オプション ― 高い可用性を持つ幅広い種類のデバイスをバックボーンとして、安全かつ効果的な侵入防御システムをフレキシブルに構成できます。

安全性と効率性に優れた、これら4つの総合的な侵入防御ソリューションの要素について、さらに詳しい情報をお求めの場合は、次のURLをご参照ください。
http://www.cisco.com/en/US/products/sw/secursw/ps2113/（英語サイト）
http://www.cisco.com/japanese/warp/public/3/jp/solution/netsol/security/（シスコセキュリティソリューション日本語サイト）

柔軟性のある構成オプション

シスコでは、お客様の環境に適したコスト効率の高い侵入防御ソリューションをご利用いただけるよう、広範囲にわたるネットワークIDS構成オプションを提供しています。どのソリューションもハイアベイラビリティを前提に設計されており、シスコの充実したスタマーサポートの対象となります。ネットワークIDSソリューションは、10～45 Mbps（Cisco IDSネットワークモジュールの場合）から45 Mbps～1 Gbps（Cisco Catalyst製品ライン）まで、さまざまなパフォーマンスレベルでご使用いただけます。

Cisco IDS 4200シリーズセンサの詳細については、次のURLを参照してください。
http://www.cisco.com/japanese/warp/public/3/jp/product/hs/security/ids4200/（日本語）

Cisco Catalyst 6500シリーズIDSM-2サービスモジュールの詳細については、次のURLを参照してください。
http://www.cisco.com/japanese/warp/public/3/jp/product/hs/switches/cat6500/modules/service/idsm2/（日本語）

簡単なインストレーション

Cisco IDSネットワークモジュールは簡単にインストールできます。シャーシの空いているスロットにモジュールを取り付け、モジュールの初期化パラメータを設定し、ルータがモジュールを認識してトラフィックを送信するように設定するだけです。IDSネットワークモジュールが初期化され動作を開始したあとは、任意の管理コンソールからコンフィギュレーションを変更してモジュールに適用することができます。

ハードウェアアーキテクチャ

Cisco IDS Sensor 4.1ソフトウェアは、ネットワークモジュール上の専用のプロセッサで動作し、ログ保存用に20ギガビットのハードディスクドライブを使用します。ルータは内部ファストイーサネットインターフェイスを通じて、検証のためネットワークモジュールにパケットをコピーします。ネットワーク管理ステーションとネットワークモジュールの通信には、外部ファストイーサネットインターフェイスが使用されます。

図4 CiscoWorks VPN/セキュリティ管理ソリューション（VMS）2.1を使用する統合型Cisco IDSネットワークモジュールのアーキテクチャ

主な管理機能

CiscoWorks Management Center for IDS Sensors ― ネットワークおよびスイッチのIDSセンサの設定に使用します。グループプロファイルを使用して複数のセンサを同時に設定できる、拡張性の高い管理機能です。
CiscoWorks Monitoring Center for Security ― ネットワークIDS、スイッチIDS、ホストIDS、ファイアウォール、およびルータからのイベントのキャプチャ、保管、表示、関連づけ、およびレポート生成を実行する統合型のモニタリング機能です。

詳細については、次のURLを参照してください。http://www.cisco.com/japanese/warp/public/3/jp/product/hs/netmgt/cw2000/vpnsms/（日本語）

Cisco IDSネットワークモジュール製品概要

ネットワークモジュール

表1に、Cisco IDSネットワークモジュールの製品番号および製品名を示します。発注の際にご利用ください。

表1 Cisco IDネットワークモジュールの製品番号

製品番号	説明
NM-CIDS-K9	Cisco IDSネットワークモジュール、 20 GB IDEハードディスク

必要なソフトウェアライセンス

Cisco IDSネットワークモジュールは、Cisco IOSソフトウェアRelease 12.2(15)ZJ以上で提供されるCisco IOSファームウェアまたはIDSフィーチャライセンスで使用できます。表2に、Cisco 2600/3600/3700ルータで使用可能なCisco IOS IDSソフトウェアイメージの一覧を示します。

表2 Cisco 2600/3600/3700ルータで使用可能なCisco IOS IDSソフトウェアイメージ

製品
IOS IP/FW/IDS
IOS IP/FW/IDS PLUS IPSEC 56
IOS IP/FW/IDS PLUS IPSEC 3DES
IOS IP/IPX/AT/DEC/FW/IDS PLUS
IOS ENTERPRISE/FW/IDS PLUS IPSEC 56
IOS ENTERPRISE/FW/IDS PLUS IPSEC 3DES

サポート対象のルータ

1台のルータで使用できるCisco IDSネットワークモジュールは1枚です。表3に、Cisco IDSネットワークモジュールに対応するルーティングプラットフォームの一覧を示します。

表3 Cisco IDSネットワークモジュールをサポートするプラットフォーム

ルータ	NM-CIDS-K9
Cisco 2600シリーズ	不可
Cisco 2600XM シリーズ	可
Cisco 2691	可
Cisco 3620	不可
Cisco 3631	不可
Cisco 3640、Cisco 3640A	不可
Cisco 3660	可
Cisco 3725	可
Cisco 3745	可

ハードウェア仕様

表4に、Cisco IDSネットワークモジュールのハードウェア仕様を示します。

表4 Cisco IDSネットワークモジュールのハードウェア仕様

項目	NM-CIDS-K9
ハードウェア機能
プロセッサ	500 MHz Intel Mobile Pentium III
デフォルトのSDRAM	256 MB
最大 SDRAM	512 MB
内部ディスクストレージ	Cisco IDSネットワークモジュール20 GB IDE
ネットワークインターフェイス	内部10/100 Mbpsイーサネットポート×1（ルータのバックプレーンまで）および外部10/100 Mbpsイーサネットポート×1
フラッシュメモリ	内蔵16 MBフラッシュメモリとオプションの外部コンパクトフラッシュメモリ
物理仕様
寸法（高さ×幅×奥行）	3.9×18.0×18.3 cm 1.55×7.10×7.2インチ
重量	最大0.7 kg 最大1.5ポンド
動作湿度	5～95%（結露しないこと）
動作温度	0～40°C 32～104°F
保管温度	-40～85°C -40～185°F
動作高度	0～3000 m 0～10,000フィート
安全性	UL 1950、CSA-C22.2 No. 950、EN 60950、IEC 60950
EMC（電磁適合性）	FCC Part 15 Class A、EN55022 Class B、AS/NZS 3548 Class A、CISPR22 Class B、VCCI Class B、EN55024、EN61000-3-2、EN61000-3-3

製品仕様

表5に、Cisco IDSネットワークモジュールの製品仕様を示します。

表5 Cisco IDSネットワークモジュールの仕様

項目	NM-CIDS-K9
ハードウェア機能
Cisco IDSネットワークモジュールをCisco 2600XM シリーズルータに搭載した場合のパフォーマンス	最大10 Mbps
Cisco IDSネットワークモジュールをCisco 3700シリーズルータに搭載した場合のパフォーマンス	最大45 Mbps
標準のモニタリングインターフェイス	ルータの内部バス
標準のコマンドおよび制御インターフェイス	ネットワークモジュールの外部10/1010/100BASE-T
オプションのインターフェイス	なし
パフォーマンスの拡張	不可
ステートフルパターンの認識	可
学習的検出（Heuristic detection）	可
異常の検出（Anomaly detection）	可
スウィープまたはフラッド	可
DoSの軽減	可
ワームまたはウィルス	可
Common Gateway Interface（CGI）または WWWアタック	可
バッファオーバーフローの防止	可
Remote-Procedure Call（RPC）アタックの検知	可
IPフラグメンテーションアタック	可
Internet Control Message Protocol（ICMP）アタック	可
Simple Message Transfer Protocol（SMTP）、sendmail、 Internet Message Access Protocol（IMAP）、またはPost Office Protocol（POP）アタック	可
FTP（ファイル転送プロトコル）、 Secure Shell Protocol（SSH）、Telnet、rloginアタック	可
Domain Name System（DNS;ドメインネームシステム）アタック	可
TCPハイジャック	可
Windowsまたは NetBIOアタック	可
TCPアプリケーションの保護	可
Back Orificeアタック	可
Network Timing Protocol（NTP）アタック	可
Signature Micro-Engine技術によるシグニチャのカスタマイズ	可
シグニチャの自動更新	可
アラーム集約	可
802.1Qトラフィックのサポート	可
センサと管理コンソール間のIP Security（IPSec）またはSecure Sockets Layer（SSL）	可
シグニチャパッケージの暗号化	可
SSHによるリモート管理	可
安全なファイル転送のためのSerial Control Protocol（SCP）サポート	可
IPフラグメンテーション再アセンブリ	可
TCPストリームの再アセンブリ	可
Unicodeの復号化	可
ルータACL（アクセス制御リスト）の変更	可
ファイアウォールポリシーの変更	可
スイッチ ACLの変更	可
TCPリセットによるセッション終了	可
IPセッションのロギングまたはセッションのリプレイ	可
アラーム表示	可
Eメールによるアラート	可
Eポケベルによるアラート	可
スクリプト実行のカスタマイズ	可
複数のアラーム送信先	可
サードパーティ製ツールの統合	可
IDSアクティブアップデート告知	可
Webユーザインターフェイス（HTTPS）	可
CLI（コンソール）	可
CLI（TelnetまたはSSH）	可
CiscoWorks VPNセキュリティ管理（VMS）ソリューションのサポート	可
冗長電源装置	可（Cisco 3745のみ）
リンク障害の検出	可
通信障害の検出	可
サービス障害の検出	可
デバイス障害の検出	可

Hierarchical Navigation

Cisco 3600シリーズ