ネットワーク設定の変更
センサーの初期化後に、 setup コマンドを実行したときに行ったネットワーク設定の一部を変更しなければならない場合があります。
この項では、次のトピックについて説明します。
• 「ホスト名の変更」
• 「IP アドレス、ネットマスク、およびゲートウェイの変更」
• 「Telnet のイネーブル化とディセーブル化」
• 「アクセス リストの変更」
• 「FTP タイムアウトの変更」
• 「ログイン バナーの追加」
ホスト名の変更
setup コマンドの実行後にセンサーのホスト名を変更するには、サービス ホスト サブモードで、 host-name host_name コマンドを使用します。デフォルトは sensor です。
(注) 現在のセッションおよびその他の既存セッションの CLI プロンプトに表示されるホスト名は、新しいホスト名にはなりません。その後の CLI ログイン セッションでは、プロンプトに新しいホスト名が反映されます。
センサーのホスト名を変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定サブモードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 センサーのホスト名を変更します。
sensor(config-hos-net)# host-name firesafe
ステップ 4 新しいホスト名を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1 default:
host-name: firesafe default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 ホスト名を変更してデフォルトの設定に戻すには、このコマンドの default 形式を使用します。
sensor(config-hos-net)# default host-name
ステップ 6 デフォルトのホスト名である sensor に変更されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1 default:
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
IP アドレス、ネットマスク、およびゲートウェイの変更
setup コマンドの実行後に、IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更するには、サービス ホスト サブモードで、 host-ip ip_address/netmask,default_gateway コマンドを使用します。デフォルトは、10.1.9.201/24,10.1.9.1 です。
host-ip は、IP アドレス/ネットマスク,ゲートウェイ(X.X.X.X/nn,Y.Y.Y.Y)の形式で指定します。ここで、X.X.X.X(X は 0 ~ 255)は、32 ビット アドレスのセンサーの IP アドレスで、ピリオドで区切った 4 つのオクテットで記述されています。nn はネットマスクのビット数です。Y.Y.Y.Y(Y は 0 ~ 255)は、32 ビット アドレスのデフォルト ゲートウェイで、ピリオドで区切った 4 つのオクテットで記述されています。
センサーの IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定モードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 センサーの IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更します。
sensor(config-hos-net)# host-ip 10.89.146.110/24,10.89.146.254
(注) デフォルト ゲートウェイは、センサーの IP アドレスと同じサブネット内に存在する必要があります。そうでない場合はエラーが発生し、センサーはコンフィギュレーションの変更を受け入れません。
ステップ 4 新しい情報を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.146.110/24,10.89.146.254
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 情報を変更してデフォルトの設定に戻すには、このコマンドの default 形式を使用します。
sensor(config-hos-net)# default host-ip
ステップ 6 ホストの IP がデフォルトの 10.1.9.201/24,10.1.9.1 になったことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
Telnet のイネーブル化とディセーブル化
センサーへのリモート アクセス用に Telnet をイネーブルにするには、サービス ホスト サブモードで、 telnet-option [enabled | disabled] コマンドを使用します。デフォルトは disable です。
注意 Telnet は安全なアクセス サービスではないので、デフォルトでは使用不可です。ただし、安全なサービスである SSH が常にセンサーで実行されています。
Telnet サービスをイネーブルまたはディセーブルにするには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定モードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 Telnet サービスをイネーブルにします。
sensor(config-hos-net)# telnet-option enabled
ステップ 4 Telnet がイネーブルになったことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 6 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
(注) センサーに Telnet で接続するには、Telnet をイネーブルにし、Telnet クライアントが接続できるようにアクセス リストを設定します。手順については、「アクセス リストの変更」を参照してください。
アクセス リストの変更
アクセス リストを設定するには、サービス ホスト サブモードで、 access-list ip_address/netmask コマンドを使用します。アクセス リストは、センサーへのアクセスを許可するホストまたはネットワークのリストです。リストからエントリを削除するには、このコマンドの no 形式を使用します。デフォルトのアクセス リストは空です。
アクセス リストには、次のホストのエントリが存在する必要があります。
• センサーに Telnet で接続する必要のあるホスト。
• センサーに対して SSH を使用する必要のあるホスト。
• Web ブラウザからセンサーにアクセスする必要のある、IDM などのホスト。
• センサーにアクセスする必要のある、VMS などの管理ステーション。
• 該当のセンサーがマスター ブロッキング センサーの場合、リストにはブロッキング転送センサーの IP アドレスのエントリが必要です。
アクセス リストを変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定モードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 アクセス リストにエントリを追加します。
sensor(config-hos-net)# access-list 10.89.146.110/32
1 つのホストのネットマスクは 32 です。
ステップ 4 アクセス リストに対して行った変更を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 2)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
network-address: 10.89.146.110/32
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 アクセス リストからエントリを削除します。
sensor(config-hos-net)# no access-list 10.89.146.110/32
ステップ 6 エントリが削除されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ホストはリストに存在していません。
ステップ 7 値をデフォルトに戻します。
sensor(config-hos-net)# default access-list
ステップ 8 値がデフォルト設定に戻ったことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 0)
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
リストにはホストもネットワークも存在しません。
ステップ 9 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 10 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
FTP タイムアウトの変更
センサーと FTP サーバとの通信中に FTP クライアントがタイムアウトになるまでに待つ時間(秒単位)を変更するには、サービス ホスト サブモードで ftp-timeout コマンドを使用します。デフォルトは 300 秒です。
(注) FTP クライアントは、FTP サーバから更新やコンフィギュレーション ファイルをダウンロードする際に使用することができます。
FTP タイムアウトを変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定モードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 FTP タイムアウトの時間(秒単位)を変更します。
sensor(config-hos-net)# ftp-timeout 500
ステップ 4 FTP タイムアウトの変更を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 500 seconds default: 300
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 値をデフォルトに戻します。
sensor(config-hos-net)# default ftp-timeout
ステップ 6 値がデフォルト設定に戻ったことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
ログイン バナーの追加
ユーザのログイン時に表示されるログイン バナーを追加するには、 login-banner-text text_message コマンドを使用します。デフォルトはありません。
メッセージ内で新しい行を開始する場合は、 Ctrl+V+Enter キーを押します。
ログイン バナーを追加するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 ネットワーク設定モードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 ログイン バナー テキストを入力します。
sensor(config-hos-net)# login-banner-text This is the banner login text message.
ステップ 4 ログイン バナー テキスト メッセージを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: This is the banner login text message. default:
-----------------------------------------------
ステップ 5 ログイン バナー テキストを削除するには、このコマンドの no 形式を使用します。
sensor(config-hos-net)# no login-banner-text
ステップ 6 ログイン テキストが削除されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: default:
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
Web サーバ設定の変更
setup コマンドの実行後に、Web サーバ設定を変更することができます。変更できる設定は、Web サーバ ポート、TLS 暗号化を使用するかどうか、および HTTP サーバ ヘッダー メッセージです。
(注) デフォルトの Web サーバ ポートは、TLS がイネーブルの場合は 443 で、TLS がディセーブルの場合は 80 です。
HTTP は、Web クライアントが Web ブラウザから要求を行う場合に使用するプロトコルです。HTTP の仕様では、サーバは各応答で自らの ID を示す必要があります。攻撃者は、このプロトコルの機能を悪用して偵察を行う場合があります。IPS Web サーバが推測可能な応答を返すことによって自らの ID を示していると、攻撃者が IPS センサーの存在に気付く可能性があります。
IPS センサーの存在が攻撃者にわからないようにすることをお勧めします。特に、Web サーバがインターネットから使用可能になっている場合は、情報がまったく漏れないような server-id に変更してください。
たとえば、センサーをリモートで監視できるようにポートをファイアウォール経由で転送する場合は、 server-id を設定する必要があります。
Web サーバの設定を変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 Web サーバ モードに入ります。
sensor# configure terminal
sensor(config)# service web-server
ステップ 3 ポート番号を変更します。
sensor(config-web)# port 8080
ポート番号をデフォルトの 443 から 8080 に変更すると、次のメッセージが表示されます。
Warning: The web server’s listening port number has changed from 443 to 8080. This change will not take effect until the web server is re-started
ステップ 4 TLS をイネーブルまたはディセーブルにします。
sensor(config-web)# enable-tls [true | false]
TLS をディセーブルにすると、次のメッセージが表示されます。
Warning: TLS protocol support has been disabled. This change will not take effect until the web server is re-started.
ステップ 5 HTTP サーバ ヘッダーを変更します。
sensor(config-web)# server-id Nothing to see here. Move along.
ステップ 6 Web サーバの変更を確認します。
sensor(config-web)# show settings
enable-tls: true default: true
server-id: Nothing to see here. Move along. default: HTTP/1.1 compliant
ステップ 7 デフォルトに戻すには、このコマンドの default 形式を使用します。
sensor(config-web)# default port
sensor(config-web)# default enable-tls
sensor(config-web)# default server-id
ステップ 8 デフォルトに置換されたことを確認します。
sensor(config-web)# show settings
enable-tls: true <defaulted>
server-id: HTTP/1.1 compliant <defaulted>
ステップ 9 Web サーバ モードを終了します。
ステップ 10 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
(注) ポートや TLS のイネーブル化の設定を変更した場合は、センサーをリセットして、新しい設定が Web サーバで使用されるようにする必要があります。
ユーザ パラメータの設定
次の項では、サービス アカウントとユーザの作成、パスワードの変更、特権レベルの指定、ユーザ リストの表示の各方法について説明します。取り上げる事項は次のとおりです。
• 「ユーザの追加と削除」
• 「パスワード リカバリ」
• 「サービス アカウントの作成」
• 「パスワードの設定」
• 「ユーザの特権レベルの変更」
• 「ユーザのステータスの表示」
• 「アカウントのロックの設定」
ユーザの追加と削除
ローカル システムでユーザを作成するには、 username コマンドを使用します。新規ユーザの追加、特権レベル(管理者、オペレータ、ビューア)の設定、および新規ユーザのパスワードの設定を実行することができます。システムからユーザを削除するには、このコマンドの no 形式を使用します。この形式を使用すると、CLI と Web アクセスからユーザが削除されます。
注意
username コマンドは、ログインだけを目的としたユーザ名とパスワード認証を提供します。システムにログインしているユーザをこのコマンドで削除することはできません。このコマンドを使用して、コマンドの発行者自身をシステムから削除することはできません。
パスワードを指定しないと、指定するように求められます。既存ユーザのパスワードを変更するには、 password コマンドを使用します。既存ユーザの特権を変更するには、 privilege コマンドを使用します。
有効なパスワードの長さは 6 ~ 32 文字です。スペースと「?」を除くすべての文字を使用できます。
有効なパスワードを作成しないと、次のエラー メッセージが表示されます。
• Error: setEnableAuthenticationTokenStatus : Failure setting the account's password: it`s WAY too short.
• Error: setEnableAuthenticationTokenStatus : Failure setting the account's password: it does not contain enough DIFFERENT characters
(注) privilege コマンドを使用してユーザ サービス特権を与えることはできません。既存のユーザ サービス特権を使用する場合は、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成する必要があります。手順については、「サービス アカウントの作成」を参照してください。
ユーザを追加または削除するには、次の手順に従います。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 ユーザのパラメータを指定します。
sensor(config)# username username password password privilege administrator/operator/viewer
(注) 有効な username には 1 ~ 64 の英数字が含まれます。ユーザ名には下線(_)またはダッシュ(-)を使用することもできます。有効なパスワードの長さは 6 ~ 32 文字です。スペースと「?」を除くすべての文字を使用できます。
たとえば、管理者特権レベルを持ち、パスワードが「testpassword」であるユーザ「tester」を作成するには、次のコマンドを入力します。
(注) パスワードをクリア テキストで表示しないようにするには、パスワード プロンプトを待ちます。パスワードをユーザ名と特権とともに入力しないでください。
sensor(config)# username tester privilege administrator
Enter Login Password: ************
Re-enter Login Password: ************
(注) ユーザの特権レベルを指定しない場合、ユーザにはデフォルトの viewer 特権が割り当てられます。
ステップ 4 ユーザが追加されたことを確認します。
* 13491 cisco administrator
ユーザのリストが表示されます。
ステップ 5 ユーザを削除するには、このコマンドの no 形式を使用します。
sensor# configure terminal
sensor(config)# no username jsmith
ステップ 6 ユーザが削除されたことを確認します。
* 13491 cisco administrator
ユーザ jsmith
が削除されました。
(注) このコマンドを使用して、コマンドの発行者自身をシステムから削除することはできません。
パスワード リカバリ
次のパスワード リカバリ オプションが存在します。
• 別の管理者アカウントが存在する場合、もう一方の管理者はパスワードを変更できます。
• サービス アカウントが存在する場合は、サービス アカウントにログインし、コマンド su - root を使用してユーザ root に切り替えることができます。CLI 管理者アカウントのパスワードを変更するには、 password コマンドを使用します。たとえば、管理者のユーザ名が「adminu」である場合、コマンドは password adminu になります。新規パスワードを 2 度入力するよう求めるプロンプトが表示されます。詳細については、 「サービス アカウントの作成」 を参照してください。
リカバリ パーティションまたはシステム イメージ ファイルを使用して、センサーのイメージを再作成することができます。詳細については、 第17章「システム イメージのアップグレード、ダウングレード、およびインストール」 を参照してください。
サービス アカウントの作成
TAC がトラブルシューティングの際に使用するサービス アカウントを作成することができます。センサーには複数のユーザがアクセスできますが、1 つのセンサーでサービス特権を持つユーザは 1 人だけです。サービス アカウントは、サポート専用です。
注意 TAC の指示がない限り、サービス アカウントを使用してセンサーを変更しないでください。サービス アカウントを使用してセンサーを設定した場合、そのコンフィギュレーションは TAC でサポートされません。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、その他の IPS サービスの適切なパフォーマンスと機能に影響が出ます。TAC は、その他のサービスが追加されたセンサーをサポートしません。
(注) サービス アカウントが作成されると、root ユーザのパスワードはサービス アカウントのパスワードに同期化されます。root でアクセスするには、サービス アカウントでログインしてから su - root コマンドを使用して root ユーザに切り替える必要があります。
注意 サービス アカウントを作成するかどうかは慎重に検討してください。サービス アカウントは、システムへのシェル アクセスを提供します。これにより、システムは脆弱になります。しかし、サービス アカウントを使用すると、管理者パスワードを喪失した場合に新規パスワードを作成することができます。状況を分析して、サービス アカウントをシステム上に存在させるかどうかを決定します。
サービス アカウントを作成するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 サービス アカウントのパラメータを指定します。
sensor(config)# user username privilege service
有効な username には 1 ~ 64 の英数字が含まれます。ユーザ名には下線(_)またはダッシュ(-)を使用することもできます。
ステップ 4 プロンプトが表示されたら、パスワードを指定します。
該当のセンサーにすでにサービス アカウントが存在する場合は、次のエラーが表示され、サービス アカウントは作成されません。
Error: Only one service account allowed in UserAccount document
ステップ 5 コンフィギュレーション モードを終了します。
サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。
************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
パスワードの設定
ローカル センサーでパスワードを更新するには、 password コマンドを使用します。また、このコマンドを使用して、既存ユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットしたりすることができます。
有効なパスワードの長さは 6 ~ 32 文字です。スペースと「?」を除くすべての文字を使用できます。
パスワードを変更するには、次の手順を実行します。
ステップ 1 別のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットしたりするには、次の手順を実行します。
a. 管理者特権を持つアカウントを使用して CLI にログインします。
b. コンフィギュレーション モードに入ります。
sensor# configure terminal
c. 特定のユーザのパスワードを変更します。
sensor(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
(注) この例では、ユーザ「tester」のパスワードを変更しています。
ステップ 2 パスワードを変更するには、次の手順を実行します。
a. CLI にログインします。
b. コンフィギュレーション モードに入ります。
sensor# configure terminal
c. パスワードを変更します。
sensor(config)# password
Enter Old Login Password:************
Enter New Login Password: ************
Re-enter New Login Password: ************
ユーザの特権レベルの変更
ユーザの特権レベル(管理者、オペレータ、ビューア)を変更するには、 privilege コマンドを使用します。
(注) privilege コマンドを使用してユーザ サービス特権を与えることはできません。既存のユーザ サービス特権を使用する場合は、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成する必要があります。サービス特権を持つユーザは 1 人だけです。手順については、「サービス アカウントの作成」を参照してください。
ユーザの特権レベルを変更するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 ユーザ jsmith の現在の特権を確認します。
* 13491 cisco administrator
ステップ 3 特権レベルをビューアからオペレータに変更します。
sensor# configure terminal
sensor(config)# privilege user jsmith operator
Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.
ステップ 4 ユーザの特権が変更されたことを確認します。
* 13491 cisco administrator
ユーザ jsmith
の特権が viewer
から operator
に変更されました。
ステップ 5 自分の現在の特権レベルを表示します。
Current privilege level is administrator
ユーザのステータスの表示
センサーにログインしているすべてのユーザのユーザ名と特権の情報、および、ログインのステータスとは関係なく、センサー上に存在しているすべてのユーザ アカウントを表示するには、 show users コマンドを使用します。
* は、現在のユーザを示します。アカウントがロックされている場合は、ユーザ名が丸カッコで囲まれます。ロックされたアカウントは、そのユーザが、設定されている試行回数を超えて正しいパスワードの入力に失敗したことを示します。
(注) 同時 CLI セッション数は、プラットフォームごとに制限されています。IDS-4210、IDS-4215、および NM-CIDS では、同時セッションは 3 つまでに制限されています。その他のすべてのプラットフォームでは、10 セッションが許可されます。
ユーザ情報を表示するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 センサーにログインしているユーザを確認します。
* 13491 cisco administrator
ステップ 3 すべてのユーザを確認します。
* 13491 cisco administrator
ユーザ jsmith
のアカウントは、ロックされています。
ステップ 4 jsmith のアカウントをアンロックするには、パスワードをリセットします。
sensor# configure terminal
sensor(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
アカウントのロックの設定
ユーザが一定回数の試行に失敗した後でそれ以上ログインの試行を続けることができないようにアカウントをロックするには、認証サブモードで attemptLimit number コマンドを使用します。デフォルトは 0 で、認証の試行回数に制限はありません。セキュリティ上の理由から、この回数は変更する必要があります。
アカウントのロックを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 サービス認証モードに入ります。
sensor# configure terminal
sensor(config)# service authentication
ステップ 3 ユーザがアカウントにログインするための試行回数を設定します。
sensor(config-aut)# attemptLimit 3
ステップ 4 新しい設定を確認します。
sensor(config-aut)# show settings
attemptLimit: 3 defaulted: 0
ステップ 5 値をシステムのデフォルト設定に戻すには、次のコマンドを実行します。
sensor(config-aut)# default attemptLimit
ステップ 6 設定がデフォルトに戻ったことを確認します。
sensor(config-aut)# show settings
attemptLimit: 0 <defaulted>
ステップ 7 アカウントがロックされているユーザがいるかどうかを確認します。
(注) attemptLimit にゼロ以外の値が含まれるコンフィギュレーションを適用すると、SSH サーバに変更が加えられ、その後のセンサーへの接続機能に影響が出る可能性があります。attemptLimit がゼロ以外である場合、SSH サーバに対してクライアントはチャレンジ/レスポンス認証をサポートする必要があります。SSH クライアントが接続してからパスワードのプロンプトが出るまでの間に問題が発生する場合は、チャレンジ/レスポンス認証をイネーブルにする必要があります。手順については、SSH クライアントのマニュアルを参照してください。
* 1349 cisco administrator
ユーザ jsmith
のアカウントは、丸カッコで囲まれているのでロックされています。
ステップ 8 jsmith のアカウントをアンロックするには、パスワードをリセットします。
sensor# configure terminal
sensor(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
時刻の設定
この項では、信頼できる時刻源をセンサーに設定することの重要性について説明します。取り上げる事項は次のとおりです。
• 「時刻源およびセンサー」
• 「センサー上の時刻の修正」
• 「センサーでの時刻の設定」
• 「NTP の設定」
時刻源およびセンサー
センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい Coordinated Universal Time(UTC; 世界標準時)と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。詳細については、 第3章「センサーの初期化」 を参照してください。
センサーに時刻を設定する方法を要約して示します。
• アプライアンスの場合
– clock set コマンドを使用して、時刻を設定する。これがデフォルトの方法です。
手順については、 「手動によるクロック設定」 を参照してください。
–NTP を使用する。
アプライアンスは、NTP 同期時刻源から時刻を取得するように設定できます。「Cisco ルータの NTP サーバとしての設定」を参照してください。NTP サーバの IP アドレス、NTP 鍵 ID、および NTP 鍵値が必要です。初期化中に NTP をアプライアンスにセットアップすることも、CLI、IDM、または ASDM を通して NTP を設定することもできます。
(注) NTP 同期時刻源を使用する方法を推奨します。
• IDSM-2 の場合
–IDSM-2 は、自動的にその時計をスイッチ時刻と同期させることができる。これがデフォルトの方法です。
(注) UTC 時刻は、スイッチと IDSM-2 の間で同期が取られます。時間帯とサマータイム設定は、スイッチと IDSM-2 間で同期が取られません。
注意 スイッチと IDSM-2 の両方で時間帯とサマータイム設定が行われていることを確認し、UTC 時刻設定が正しいことを保証します。時間帯やサマータイム設定が IDSM-2 とスイッチとで一致していない場合、IDSM2 の現地時間は不正確になる可能性があります。
–NTP を使用する。
IDSM-2 は、その時刻を NTP 同期時刻源から取得するように設定できます。「Cisco ルータの NTP サーバとしての設定」を参照してください。NTP サーバの IP アドレス、NTP 鍵 ID、および NTP 鍵値が必要です。初期化中に NTP を使用するように IDSM-2 を設定することも、CLI、IDM、または ASDM を通して NTP をセットアップすることもできます。
(注) NTP 同期時刻源を使用する方法を推奨します。
• NM-CIDS の場合
–NM-CIDS は、自動的にその時計を取り付け先(親ルータ)のルータ シャーシの時計と同期させることができる。これがデフォルトの方法です。
(注) UTC 時刻は、親ルータと NM-CIDS の間で同期が取られます。時間帯とサマータイム設定は、親ルータと NM-CIDS の間で同期が取られません。
注意 親ルータと NM-CIDS の両方で時間帯とサマータイム設定が行われていることを確認し、UTC 時刻設定が正しいことを保証します。時間帯やサマータイムの設定が NM-CIDS とルータとで一致していない場合、NM-CIDS の現地時間は不正確になる可能性があります。
–NTP を使用する。
NM-CIDS は、その時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定できます。「Cisco ルータの NTP サーバとしての設定」を参照してください。NTP サーバの IP アドレス、NTP 鍵 ID、および NTP 鍵値が必要です。初期化中に NM-CIDS を NTP を使用するように設定することも、CLI、IDM、または ASDM を通して NTP をセットアップすることもできます。
(注) NTP 同期時刻源を使用する方法を推奨します。
• AIP SSM の場合
–AIP SSM は、自動的にその時計を取り付け先の ASA の時計と同期させることができる。これがデフォルトの方法です。
(注) UTC 時刻は、ASA と AIP SSM の間で同期が取られます。時間帯とサマータイム設定は、ASA と AIP SSM の間で同期が取られません。
注意 ASA と AIP SSM の両方で時間帯とサマータイム設定が行われていることを確認し、UTC 時刻設定が正しいことを保証します。時間帯やサマータイムの設定が AIP SSM と ASA とで一致していない場合、AIP SSM の現地時間は不正確になる可能性があります。
–NTP を使用する。
AIP SSM は、その時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定できます。「Cisco ルータの NTP サーバとしての設定」を参照してください。NTP サーバの IP アドレス、NTP 鍵 ID、および NTP 鍵値が必要です。初期化中に AIP SSM を NTP を使用するように設定することも、CLI、IDM、または ASDM を通して NTP をセットアップすることもできます。
(注) NTP 同期時刻源を使用する方法を推奨します。
センサー上の時刻の修正
イベントには発生時の時刻が刻印されるため、時刻を誤って設定した場合、保存されたイベントの時刻は不正確になります。
イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。センサーの最初のセットアップ中に、時刻を 8:00 a.m. と指定するところを 8:00 p.m. と誤って設定した場合、エラーを修正すると、修正した時刻は過去にさかのぼって設定されます。このため、新しいイベントの時刻が、古いイベントの時刻よりも以前になる場合があります。
たとえば、初期セットアップ中に、サマータイムをイネーブルにして中部時間にセンサーを設定し、現地時間が 8:04 p.m. である場合、時刻は 20:04:37 CDT と表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の 9:00 a.m. に、時計が 21:00:23 CDT と表示され、エラーに気づいたとします。時間を 9:00 a.m. に変更すると、時計は 09:01:33 CDT と表示されます。UTC からのオフセットは変更されていないので、UTC 時間は 14:01:33 UTC になりますが、これがタイムスタンプの問題の原因になります。
イベント レコード上のタイムスタンプの統合性を保証するには、 clear events コマンドを使用して、古いイベントのイベント アーカイブをクリアする必要があります。 clear events コマンドの詳細については、 「Cisco ルータの NTP サーバとしての設定」 を参照してください。
システム クロックの表示
システム クロックを表示するには、 show clock [ detail ] コマンドを使用します。 detail オプションを使用して、クロック ソース(NTP またはシステム)と現在のサマータイム設定(ある場合)を示すことができます。
システム クロックは、時刻が信頼できる(正確であると信じられる)かどうかを示す信頼性フラグを保持しています。システム クロックが NTP などの時刻源によって設定されている場合は、フラグが設定されます。
|
|
* |
時刻は信頼できません。 |
(ブランク) |
時刻は信頼できます。 |
. |
時刻は信頼できますが、NTP は同期していません。 |
システム クロックを表示するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 システム クロックを表示します。
22:39:21 UTC Sat Jan 25 2003
ステップ 3 システム クロックを詳細に表示します。
sensor# show clock detail
22:39:21 CST Sat Jan 25 2003
Summer time starts 02:00:00 CST Sun Apr 7 2004
Summer time ends 02:00:00 CDT Sun Oct 27 2004
これは、センサーが NTP から時間を取得していることと、設定および同期されていることを示しています。
sensor# show clock detail
*12:19:22 CST Sat Dec 04 2004
Summer time starts 02:00:00 CST Sun Apr 7 2004
Summer time ends 02:00:00 CDT Sun Oct 27 2004
これは、時刻源が設定されていないことを示しています。
システム クロックの手動設定
アプライアンスのクロックを手動で設定するには、 clock set hh:mm [:ss] month day year コマンドを使用します。その他の時刻源を使用できない場合は、このコマンドを使用します。
(注) センサーが NTP クロック ソースなど有効な外部の時刻メカニズムと同期している場合、システム クロックを設定する必要はありません。
NTP の設定手順については、「NTP の設定」を参照してください。有効な時刻源をセンサーに設定することの重要性については、「時刻源およびセンサー」を参照してください。クロックを誤って設定した場合の対処方法については、「センサー上の時刻の修正」を参照してください。
clock set コマンドは、次のプラットフォームには適用されません。
• IDSM-2
• NM-CIDS
• AIP SSM 10
• AIP SSM 20
アプライアンスに手動でクロックを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 クロックを手動で設定します。
sensor# clock set 13:21 July 29 2004
(注) 時刻形式は 24 時間です。
サマータイムの設定
センサーの初期化時にサマータイムを設定しなかった場合でも、サマータイムを設定できます。また、初期化後にこれらの設定を変更することもできます。
(注) サマータイムとは、Daylight Saving Time(夏時間)のことです。
この項では、次のトピックについて説明します。
• 「定期的なサマータイムの設定」
• 「一度のみのサマータイムの設定」
定期的なサマータイムの設定
定期的にサマータイム設定に切り替わるようにセンサーを設定するには、 summertime-option recurring コマンドを使用します。デフォルトは recurring です。
定期的にサマータイム設定に切り替わるようにセンサーを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 recurring summertime サブモードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# summertime-option recurring
ステップ 3 start summertime サブモードに入ります。
sensor(config-hos-rec)# start-summertime
ステップ 4 start summertime パラメータを設定します。
d. サマータイム設定の開始曜日を入力します。
sensor(config-hos-rec-sta)# day-of-week monday
e. サマータイム設定の開始月を入力します。
sensor(config-hos-rec-sta)# month april
f. サマータイム設定の開始時刻を入力します。
sensor(config-hos-rec-sta)# time-of-day 12:00:00
形式は hh:mm:ss です。
g. サマータイム設定の開始週を入力します。
sensor(config-hos-rec-sta)# week-of-month first
値は 1 番目から 5 番目、または最後です。
h. 設定を確認します。
sensor(config-hos-rec-sta)# show settings
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
sensor(config-hos-rec-sta)#
ステップ 5 end summertime サブモードに入ります。
sensor(config-hos-rec-sta)# exit
sensor(config-hos-rec)# end-summertime
ステップ 6 end summertime パラメータを設定します。
a. サマータイム設定の終了曜日を入力します。
sensor(config-hos-rec-end)# day-of-week friday
b. サマータイム設定の終了月を入力します。
sensor(config-hos-rec-end)# month october
c. サマータイム設定の終了時刻を入力します。
sensor(config-hos-rec-end)# time-of-day 05:15:00
形式は hh:mm:ss です。
d. サマータイム設定の終了週を入力します。
sensor(config-hos-rec-end)# week-of-month last
値は 1 番目から 5 番目、または最後です。
e. 設定を確認します。
sensor(config-hos-rec-end)# show settings
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
sensor(config-hos-rec-end)#
ステップ 7 サマータイム中に使用するローカル時間帯を指定します。
sensor(config-hos-rec-end)# exit
sensor(config-hos-rec)# summertime-zone-name CDT
ステップ 8 オフセットを指定します。
sensor(config-hos-rec)# offset 60
ステップ 9 設定を確認します。
sensor(config-hos-rec)# show settings
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
-----------------------------------------------
ステップ 10 recurring summertime サブモードを終了します。
sensor(config-hos-rec)# exit
ステップ 11 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
一度のみのサマータイムの設定
一度だけサマータイム設定に切り替わるようにセンサーを設定するには、 summertime-option non-recurring コマンドを使用します。デフォルトは recurring です。
一度だけサマータイム設定に切り替わるようにセンサーを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 non-recurring summertime サブモードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# summertime-option non-recurring
ステップ 3 start summertime サブモードに入ります。
sensor(config-hos-non)# start-summertime
ステップ 4 start summertime パラメータを設定します。
a. サマータイム設定の開始日を指定します。
sensor(config-hos-non-sta)# date 2004-05-15
形式は yyyy-mm-dd です。
b. サマータイム設定の開始時刻を入力します。
sensor(config-hos-non-sta)# time 12:00:00
形式は hh:mm:ss です。
c. 設定を確認します。
sensor(config-hos-non-sta)# show settings
-----------------------------------------------
-----------------------------------------------
sensor(config-hos-non-sta)#
ステップ 5 end summertime サブモードに入ります。
sensor(config-hos-non-sta)# exit
sensor(config-hos-non)# end-summertime
ステップ 6 end summertime パラメータを設定します。
a. サマータイム設定の終了日を入力します。
sensor(config-hos-non-end)# date 2004-10-31
形式は yyyy-mm-dd です。
b. サマータイム設定の終了時刻を入力します。
sensor(config-hos-non-end)# time 12:00:00
形式は hh:mm:ss です。
c. 設定を確認します。
sensor(config-hos-non-end)# show settings
-----------------------------------------------
-----------------------------------------------
sensor(config-hos-non-end)#
ステップ 7 サマータイム中に使用するローカル時間帯を指定します。
sensor(config-hos-non-end)# exit
sensor(config-hos-non)# summertime-zone-name CDT
ステップ 8 オフセットを指定します。
sensor(config-hos-non)# offset 60
ステップ 9 設定を確認します。
sensor(config-hos-non)# show settings
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 10 non-recurring summertime サブモードを終了します。
sensor(config-hos-non)# exit
ステップ 11 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
時間帯の設定
センサーの時間帯を設定するには、 time-zone-settings コマンドを使用します。設定には、サマータイム設定が有効でない場合にセンサーが表示する時間帯の名前やオフセットなどがあります。
センサーの時間帯を設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用してセンサーにログインします。
ステップ 2 時間帯設定サブモードに入ります。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# time-zone-settings
ステップ 3 サマータイム設定が有効でない場合に表示される時間帯名を設定します。
デフォルトは UTC です。
sensor(config-hos-tim)# standard-time-zone-name CST
ステップ 4 オフセットを分単位で設定します。
オフセットは、現地時間を得るために UTC に足す時間(分単位)です。デフォルトは 0 です。
sensor(config-hos-tim)# offset -360
ステップ 5 設定を確認します。
sensor(config-hos-tim)# show settings
-----------------------------------------------
offset: -360 minutes default: 0
standard-time-zone-name: CST default: UTC
-----------------------------------------------
ステップ 6 時間帯設定サブモードを終了します。
sensor(config-hos-tim)# exit
ステップ 7 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
Cisco ルータの NTP サーバとしての設定
センサーが NTP サーバを時刻源として使用する場合、センサーと NTP サーバの間には認証された接続が必要になります。センサーは、鍵の暗号化に MD5 ハッシュ アルゴリズムだけをサポートします。Cisco ルータをアクティブにして NTP サーバとして動作するようにし、その内部クロックを時刻源として使用するには、次の手順を実行します。
注意 センサー NTP 機能は、NTP サーバとして動作する Cisco ルータと互換性があるように設計されています。センサーはその他の NTP サーバとともに動作しますが、テストやサポートはされていません。
(注) NTP サーバの鍵 ID と鍵値を忘れないでください。これらの情報は、NTP サーバを時刻源として使用するようにセンサーを設定する際に、NTP サーバの IP アドレスとともに必要になります。この手順については、「センサーで NTP 時刻源を使用するための設定」を参照してください。
NTP サーバとして動作するように Cisco ルータを設定するには、次の手順を実行します。
ステップ 1 ルータにログインします。
ステップ 2 コンフィギュレーション モードに入ります。
router# configure terminal
ステップ 3 鍵 ID と鍵値を作成します。
router(config)# ntp authentication-key key_ID md5 key_value
鍵 ID には、1 ~ 65535 までの数値を指定できます。鍵値はテキストです(数字または文字)。この値は後で暗号化されます。
例
router(config)# ntp authentication-key 100 md5 attack
(注) センサーは、MD5 鍵だけをサポートします。
(注) 鍵は、すでにルータ上に存在しているものでもかまいません。他の鍵を確認するには、show running configuration コマンドを使用します。これらの値は、ステップ 4 で trusted key として使用することができます。
ステップ 4 ステップ 3 で作成した鍵を trusted key として指定します(既存の鍵を使用してもかまいません)。
router(config)# ntp trusted-key key_ID
trusted key の ID は、ステップ 3 の鍵 ID と同じ数字です。
例
router(config)# ntp trusted-key 100
ステップ 5 センサーが通信するルータ上のインターフェイスを指定します。
router(config)# ntp source interface_name
例
router(config)# ntp source FastEthernet 1/0
ステップ 6 センサーに割り当てる NTP マスター ストラタム番号を指定します。
router(config)# ntp master stratum_number
例
router(config)# ntp master 6
NTP マスター ストラタム番号は、NTP 階層内でのサーバの相対的な位置を示します。1 ~ 15 の数字を選択できます。どの番号を選択しても、センサーではそれほど重要ではありません。
センサーで NTP 時刻源を使用するための設定
センサーには、一貫性のある時刻源が必要です。NTP サーバを使用することをお勧めします。NTP サーバを時刻源として使用するようにセンサーを設定するには、次の手順を実行します。
注意 センサー NTP 機能は、NTP サーバとして動作する Cisco ルータと互換性があるように設計されています。センサーはその他の NTP サーバとともに動作しますが、テストやサポートはされていません。
(注) NTP サーバから、NTP サーバの IP アドレス、NTP サーバの鍵 ID、および鍵値を取得する必要があります。詳細については、「Cisco ルータの NTP サーバとしての設定」を参照してください。
時刻源として NTP サーバを使用するようにセンサーを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 サービス ホスト モードに入ります。
sensor(config)# service host
ステップ 4 NTP コンフィギュレーション モードに入ります。
sensor(config-hos)# ntp-option enable
ステップ 5 NTP サーバの IP アドレスと鍵 ID を入力します。
sensor(config-hos-ena)# ntp-servers ip_address key-id key_ID
鍵 ID は 1 ~ 65535 の数字です。この数字は、NTP サーバで設定済みの鍵 ID です。「Cisco ルータの NTP サーバとしての設定」のステップ 3 を参照してください。
例
sensor(config-hos-ena)# ntp-servers 10.16.0.0 key-id 100
ステップ 6 NTP サーバの鍵値を入力します。
sensor(config-hos-ena)# ntp-keys key_ID md5-key key_value
鍵値はテキストです(数字または文字)。この値は、NTP サーバで設定済みの鍵値です。「Cisco ルータの NTP サーバとしての設定」のステップ 3 を参照してください。
例
sensor(config-hos-ena)# ntp-keys 100 md5-key attack
ステップ 7 NTP 設定を確認します。
sensor(config-hos-ena)# show settings
-----------------------------------------------
ntp-keys (min: 1, max: 1, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ntp-servers (min: 1, max: 1, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 8 NTP コンフィギュレーション モードを終了します。
sensor(config-hos-ena)# exit
ステップ 9 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
SSH の設定
この項では、センサーの SSH について説明します。取り上げる事項は次のとおりです。
• 「SSH について」
• 「既知のホスト リストへのホストの追加」
• 「SSH 許可公開鍵の追加」
• 「新しい SSH サーバ鍵の生成」
SSH について
SSH は、安全でないチャネル上で強力な認証と安全な通信を可能にします。
SSH は、センサーへの接続を暗号化し、正しいセンサーに接続中であることを検証できるように鍵を提供します。また、SSH は、ブロッキング目的で、センサーが接続しているその他のデバイスに対しても認証済みで暗号化されたアクセスを提供します。
SSH は、次のいずれか 1 つまたは複数を使用して、ホストまたはネットワークを認証します。
• パスワード
• ユーザ RSA 公開鍵
SSH は、次の攻撃に対する防御を可能にします。
• IP スプーフィング:リモート ホストは、別の信頼できるホストから送信されたかのように偽装してパケットを送信します。
SSH は、外部へのルータであるかのように偽装する可能性のあるローカル ネットワーク上のスプーファーを阻止します。
• IP ソース ルーティング:ホストは別の信頼できるホストから送信されたかのように IP パケットを偽装します。
• DNS スプーフィング:攻撃者がネーム サーバ レコードを偽造します。
• 中間ホストによるクリア テキスト パスワードとその他のデータの傍受
• 中間ホストを支配する攻撃者によるデータの操作
• X 認証データの傍受と X11 サーバへの偽装接続に基づく攻撃
(注) SSH はパスワードをクリア テキストで送信することは決してありません。
既知のホスト リストへのホストの追加
SSH の既知ホスト リストにホストを追加して、そのホストが SSH を使用して通信可能であることをセンサーが認識できるようにする必要があります。このようなホストには、センサーがアップグレードやファイルのコピーのために接続する必要のある SSH サーバのほか、センサーがブロッキングのために接続する、Cisco ルータ、PIX Firewall、Catalyst スイッチなどのホストがあります。
既知のホスト リストにエントリを追加するには、 ssh host-key ip-address [ key-modulus-length public-exponent public-modulus ] コマンドを使用します。係数、指数、長さの値がわからない場合は、要求された IP アドレスの MD5 フィンガープリントと Bubble Babble が表示されます。その後、鍵をリストに追加することができます。
注意
ssh host-key
ip-address コマンドを使用すると、要求された鍵をネットワーク経由で入手するために、指定された IP アドレスの SSH サーバに対して接続が行われます。指定したホストは、コマンドが発行されるときにアクセス可能である必要があります。ホストに到達できない場合は、このコマンドの完全な形式である、
ssh host-key
ip-address [
key-modulus-length public-exponent public-modulus] を使用して、表示された鍵のフィンガープリントを確認し、攻撃者の鍵を受け入れないように防御する必要があります。
(注) IP アドレスの鍵を変更するには、エントリを削除してから再作成する必要があります。エントリを削除するには、このコマンドの no 形式を使用します。
SSH の既知ホスト リストにホストを追加するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 既知ホスト リストにエントリを追加します。
sensor(config)# ssh host-key 10.16.0.0
MD5 fingerprint is F3:10:3E:BA:1E:AB:88:F8:F5:56:D3:A6:63:42:1C:11
Bubble Babble is xucis-hehon-kizog-nedeg-zunom-kolyn-syzec-zasyk-symuf-rykum-sexyx
Would you like to add this to the known hosts table for this host?[yes]
MD5 フィンガープリントが表示されます。これを既知ホスト リストに追加するように求めるメッセージが表示されます。
コマンドを発行したときにホストにアクセスできない場合は、次のメッセージが表示されます。
Error: getHostSshKey : socket connect failed [4,111]
ステップ 4 yes を入力して、フィンガープリントを既知ホスト リストに追加します。
ステップ 5 ホストが追加されたことを確認します。
sensor# show ssh host-keys
ステップ 6 特定の IP アドレスの鍵を表示します。
sensor# show ssh host-keys 10.16.0.0
1024 35 139306213541835240385332922253968814685684523520064131997839905113640120217816869696708721704631322844292073851730565044879082670677554157937058485203995572114631296604552161309712601068614812749969593513740598331393154884988302302182922353335152653860589163651944997842874583627883277460138506084043415861927
MD5: 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B
Bubble Babble: xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
ステップ 7 エントリを削除します。
sensor(config)# no ssh host-key 10.16.0.0
SSH の既知ホスト リストからホストが削除されます。
ステップ 8 ホストが削除されたことを確認します。
sensor# show ssh host-keys
IP アドレスはリストに表示されません。
SSH 許可公開鍵の追加
SSH サーバへのログインで RSA 認証の使用を許可されたクライアント用の公開鍵を定義するには、 ssh authorized-key コマンドを使用します。
次のオプションが適用されます。
• id :許可鍵を一意に識別する 1 ~ 256 文字の文字列。数字、「_」、「-」を使用できますが、スペースと「?」は使用できません。
• key-modulus-length :511 ~ 2048 の範囲の ASCII 10 進整数。
• public-exponent :3 ~ 2^32 の範囲の ASCII 10 進整数。
• public-modulus : (2^(key-modulus-length-1)) < x < (2^(key-modulus-length)) となる ASCII 10 進整数 x 。
センサーにログインできる各ユーザは、許可公開鍵のリストを持ちます。対応する RSA 秘密鍵のいずれかにアクセスできる SSH クライアントは、パスワードを入力しなくても、ユーザとしてセンサーにログインすることができます。
秘密鍵を保存するクライアントで RSA 鍵生成ツールを使用します。次に、生成された公開鍵を 3 つの数字(係数の長さ、公開指数、公開係数)のセットとして表示し、これらの数字を ssh authorized-key コマンドのパラメータとして入力します。
(注) SSH 許可鍵のリストは、各自設定します。管理者がセンサー上の他のユーザの SSH 許可鍵のリストを管理することはできません。
(注) SSH 許可鍵を使用すると、秘密鍵が適切に保護されていれば、パスワードより優れたセキュリティを実現できます。最も推奨される方法は、秘密鍵が使用されるホストと同じホストに秘密鍵を作成し、ローカル ファイルシステム上にパス フレーズを使用して鍵を保管することです。パスワードまたはパス フレーズのプロンプトを最小限にするには、鍵エージェントを使用します。
(注) 許可鍵を変更するには、エントリを削除してから再作成する必要があります。エントリを削除するには、このコマンドの no 形式を使用します。ユーザが作成および削除できるのは、自分の鍵だけです。
現在のユーザの SSH 許可鍵のリストに鍵エントリを追加するには、次の手順を実行します。
ステップ 1 CLI にログインします。
ステップ 2 現在のユーザの許可鍵のリストに鍵を追加します。
sensor# configure terminal
sensor(config)# ssh authorized-key system1 1023 37 66022272955660983338089706716372943357082868686000817201780243492180421420781303592082950910170135848052503999393211250314745276837862091118998665371608981314792208604473991134136964287068231936192814852186409455741630613878646833511583591040494021313695435339616344979349705016792583146548622146467421997057
ステップ 3 鍵が追加されたことを確認します。
sensor# show ssh authorized-keys
ステップ 4 特定の ID の鍵を表示します。
sensor# show ssh authorized-keys system1
1023 37 660222729556609833380897067163729433570828686860008172017802434921804214
20781303592082950910170135848052503999393211250314745276837862091118998665371608
98131479220860447399113413696428706823193619281485218640945574163061387864683351
1583591040494021313695435339616344979349705016792583146548622146467421997057
ステップ 5 SSH 許可鍵のリストからエントリを削除します。
sensor# configure terminal
sensor(config)# no ssh authorized-key system1
SSH 許可鍵のリストから鍵が削除されます。
ステップ 6 エントリが削除されたことを確認します。
sensor# show ssh authorized-keys
鍵の system1 はリストに表示されなくなります。
以前の ID を入力すると、エラー メッセージが表示されます。
sensor# show ssh authorized-keys system1
Error: Requested id does not exist for the current user.
新しい SSH サーバ鍵の生成
SSH サーバ ホスト鍵を変更するには、 ssh generate-key コマンドを使用します。リモート クライアントが SSH 1.5 を使用している場合、表示されるフィンガープリントは、その後のセンサーとの接続でリモート SSH クライアントに表示されるフィンガープリントと同じです。
新しい SSH サーバ ホスト鍵を生成するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 新しいサーバ ホスト鍵を生成します。
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
注意 新しい鍵で既存の鍵を置換するため、以後の接続が成功するようにリモート システムの既知のホスト テーブルを新しいホスト鍵で更新する必要があります。リモート システムの既知のホスト テーブルは、
ssh host-key コマンドを使用して更新できます。手順については、
「既知のホスト リストへのホストの追加」を参照してください。
ステップ 3 現在の SSH サーバ ホスト鍵を表示します。
sensor# show ssh server-key
1024 35 137196765426571419509124895787229630062726389801071715581921573847280637533000158590028798074385824867184332364758899959675370523879609376174812179228415215782949029183962207840731771645803509837259475421477212459797170806510716077556010753169312675023860474987441651041217710152766990480431898217878170000647
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
TLS の設定
この項では、センサーの TLS について説明します。取り上げる事項は次のとおりです。
• 「TLS について」
• 「TLS の信頼できるホストの追加」
• 「サーバ証明書の表示と生成」
TLS について
IPS 5.1 には、IDM を実行する Web サーバが含まれます。VMS などの管理ステーションは、この Web サーバに接続します。ブロッキング転送センサーは、マスター ブロッキング センサーの Web サーバにも接続します。セキュリティを提供するため、この Web サーバは TLS として知られる暗号化プロトコルを使用します。TLS は SSL プロトコルに密接に関連しています。Web ブラウザに https://
ip_address から始まる URL を入力すると、Web ブラウザは TLS または SSL プロトコルを使用して応答し、暗号化セッションをホストとネゴシエートします。
注意 Web ブラウザは、最初は IDM が提示する証明書を拒否します。これは、Certificate Authority(CA; 認証局)を信用しないためです。
(注) IDM は、デフォルトで TLS と SSL を使用するようにイネーブルになっています。TLS および SSL を使用することを強く推奨します。
TLS での暗号化セッションのネゴシエーション プロセスは、クライアントとサーバ間で多数の協調的な交換が発生するため、「ハンドシェイク」と呼ばれます。サーバはクライアントに証明書を送信します。クライアントは、この証明書に対して、次の 3 つの部分で構成されるテストを実行します。
1. 証明書で識別される発行元は信頼できるか。
Web ブラウザは、信頼されたサードパーティ CA のリストと共に出荷されます。証明書で識別された発行元が、ブラウザが信頼する CA のリストに含まれている場合、最初のテストに合格します。
2. 日付は、証明書が有効だと見なされる日付範囲内か。
証明書には、日付のペアで構成される Validity フィールドがあります。日付がこの日付範囲内の場合、2 番目のテストに合格します。
3. 証明書で識別されるサブジェクトの共通名が、URL ホスト名と一致するか。
URL ホスト名が、サブジェクトの共通名と比較されます。一致した場合、3 番目のテストに合格します。
IDM に接続するように Web ブラウザに指示すると、センサーは独自の証明書を発行しますが(センサーが自分自身の CA)、ブラウザが信頼する CA のリストにセンサーが含まれていないため、返される証明書は失敗します。
ブラウザのエラー メッセージが表示されたときに、3 つのオプションがあります。
• サイトから即座に接続解除する。
• 残りの Web ブラウザ セッション用に証明書を受け入れる。
• 証明書で識別される発行元を Web ブラウザの信頼 CA リストに追加して、有効期間が経過するまで証明書を信頼する。
最も便利なオプションは、発行元を永続的に信頼することです。ただし、発行元を追加する前に、アウトオブバンド方式を使用して、証明書のフィンガープリントを検査します。これによって、センサーを詐称した攻撃者から被害を受けることを防ぎます。Web ブラウザに表示される証明書のフィンガープリントが、センサーのフィンガープリントと一致することを確認します。
注意 センサーの組織名またはホスト名を変更した場合は、次にセンサーを再度ブートしたときに、新しい証明書が生成されます。次に Web ブラウザが IDM に接続するときに、手動上書きダイアログボックスが表示されます。Internet Explorer、Netscape および Mozilla で、証明書フィンガープリントの検証を再度実行する必要があります。
TLS の信頼できるホストの追加
特定の状況では、センサーは TLS/SSL を使用して、リモート Web サーバとの間に確立したセッションを保護します。これらのセッションを man-in-the-middle 攻撃から保護するには、リモート Web サーバの TLS 証明書の信頼を確立する必要があります。信頼できる各リモート ホストの TLS 証明書のコピーは、信頼できるホストのリストに保存されます。
信頼できるホストのリストに信頼できるホストを追加するには、 tls trusted-host ip-address ip-address [ port port ] コマンドを使用します。このコマンドでは、指定されたホストおよびポートから TLS 証明書が取得され、そのフィンガープリントが表示されます。追加を要求しているホストから直接取得した情報に基づいて、このフィンガープリントを受け入れるか、拒否することができます。デフォルトのポートは 443 です。
各証明書は、識別子フィールド( id )とともに保存されます。IP アドレスとデフォルト ポートの場合、識別子フィールドは ipaddress です。IP アドレスと特定のポートの場合、識別子フィールドは ipaddress:port になります。
注意 要求されたフィンガープリントをネットワーク経由で入手するために、指定された IP アドレスの TLS に対して接続が行われます。指定したホストは、コマンドが発行されるときにアクセス可能である必要があります。別の方法を使用してフィンガープリントを確認し、攻撃者の証明書を受け入れないように防御してください。
信頼できるホストのリストに信頼できるホストを追加するには、次の手順を実行します。
ステップ 1 管理者特権またはオペレータ特権を持つアカウントを使用して CLI にログインします。
ステップ 2 信頼できるホストを追加します。
sensor# configure terminal
sensor(config)# tls trusted-host ip-address 10.16.0.0
Certificate MD5 fingerprint is 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
Certificate SHA1 fingerprint is B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:
Would you like to add this to the trusted certificate table for this host?[yes]:
MD5 および SHA1 のフィンガープリントが表示されます。信頼できるホストを追加するように求めるメッセージが表示されます。
接続を確立できない場合、トランザクションは失敗します。
sensor(config)# tls trusted-host ip-address 10.89.146.110 port 8000
Error: getHostCertificate : socket connect failed [4,111]
ステップ 3 yes を入力してフィンガープリントを受け入れます。
Certificate ID: 10.89.146.110 successfully added to the TLS trusted host table.
ホストが TLS の信頼できるホストのリストに追加されました。コマンドが成功すると、要求された証明書用に保存された証明書 ID が表示されます。
ステップ 4 ホストが追加されたことを確認します。
sensor# show tls trusted-hosts
ステップ 5 特定のホストのフィンガープリントを表示します。
sensor# show tls trusted-hosts 10.89.146.110
MD5: 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
SHA1: B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:47:02:F6:12
ステップ 6 信頼できるホストのリストからエントリを削除します。
sensor# configure terminal
sensor(config)# no tls trusted-host 10.89.146.110
信頼できるホストのリストからホストが削除されます。
ステップ 7 信頼できるホストのリストからエントリが削除されたことを確認します。
sensor#
show tls trusted-hosts
この IP アドレスはリストに表示されなくなります。
サーバ証明書の表示と生成
TLS 証明書は、センサーを最初に起動したときに生成されます。サーバの新しい自己署名 X.509 証明書を生成するには、 tls generate-key コマンドを使用します。
(注) センサーの IP アドレスが証明書に含まれます。センサーの IP アドレスを変更すると、新しい証明書が自動的に生成されます。
注意 新しい証明書で既存の証明書が置換されるため、以後の接続が成功するようにリモート システムの信頼できるホストのリストを新しい証明書で更新する必要があります。リモート IPS センサーの信頼できるホストのリストは、
tls trusted-host コマンドを使用して更新できます。手順については、
「TLS の信頼できるホストの追加」を参照してください。センサーがマスター ブロッキング センサーの場合は、マスター ブロッキング センサーにブロック要求を送信するリモート センサーにある信頼できるホストのリストを更新する必要があります。
新しい TLS 証明書を生成するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 新しい証明書を生成します。
MD5 fingerprint is FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1 fingerprint is 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
ステップ 3 鍵が生成されたことを確認します。
sensor# show tls fingerprint
MD5: FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1: 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
ライセンス キーのインストール
この項では、IPS のライセンス キーとそのインストール方法について説明します。取り上げる事項は次のとおりです。
• 「概要」
• 「IPS 製品のサービス プログラム」
• 「ライセンス キーの入手とインストール」
概要
センサーはライセンス キーなしでも動作しますが、シグニチャ アップデートを入手するには、ライセンス キーが必要です。ライセンス キーを入手するには、Cisco Services for IPS サービス契約が必要です。契約を購入するには、代理店、シスコのサービス担当者または営業担当者にお問い合せください。詳細については、 「IPS 製品のサービス プログラム」 を参照してください。
トライアル ライセンス キーも使用可能です。契約内容が不明なためにセンサーのライセンスを入手できない場合は、ライセンスが必要なシグニチャ アップデートをサポートしている 60 日のトライアル ライセンスを入手してください。
Cisco.com のライセンシング サーバから取得したライセンス キーは、センサーに送信されます。または、ローカル ファイルに含まれているセンサー ライセンス キーからセンサーのライセンス キーをアップデートすることもできます。手順については、 「ライセンス キーの入手とインストール」 を参照してください。
ライセンス キーの取得には、IPS デバイスのシリアル番号が必要です。IDM で IPS デバイスのシリアル番号を見つけるには、 Configuration > Licensing をクリックするか、または CLI で show version コマンドを実行します。
ライセンス キーのステータスは、IDM の Licensing パネルで確認できます。IDM を起動するたびに、ライセンスのステータスが表示されます。ライセンス キーのステータスは、trial、invalid、または expired のいずれかです。ライセンス キーがない場合や、無効な場合、または期限が切れている場合でも、IDM を継続して使用できますが、シグニチャ アップデートはダウンロードできません。
CLI に入ると、ライセンス ステータスが通知されます。たとえば、ライセンスがインストールされていない場合は、次のメッセージが表示されます。
There is no license key installed on the system.
The system will continue to operate with the currently installed
signature set. A valid license must be obtained in order to apply
signature updates. Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
このメッセージは、ライセンス キーをインストールするまで毎回表示されます。
IPS 製品のサービス プログラム
すべての IPS 製品では、ライセンス キーをダウンロードし、IPS シグニチャ アップデートを入手するために、Cisco Services for IPS サービス契約が必要です。 シスコシステムズと直接のお付き合いがある場合は、アカウント マネージャまたはサービス アカウント マネージャに連絡して、Cisco Services for IPS サービス契約を購入してください。シスコシステムズと直接のお付き合いがない場合は、1 ティアまたは 2 ティア パートナーからサービス アカウントを購入できます。
次の IPS 製品を購入する場合は、Cisco Services for IPS サービス契約も購入する必要があります。
• IDS-4215
• IPS-4240
• IPS-4255
• IDSM-2
• NM-CIDS
ASA 製品の場合、IPS を含まない次の ASA 製品のいずれかを購入したときは、SMARTnet 契約を購入する必要があります。
(注) SMARTnet は、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトのハードウェア交換(NBD)を提供します。
• ASA5510-K8
• ASA5510-DC-K8
• ASA5510-SEC-BUN-K9
• ASA5520-K8
• ASA5520-DC-K8
• ASA5520-BUN-K9
• ASA5540-K8
• ASA5540-DC-K8
• ASA5540-BUN-K9
AIP SSM がインストールされた状態で出荷される次の ASA 製品のいずれかを購入した場合、または AIP SSM を購入してご使用の ASA 製品に追加した場合は、Cisco Services for IPS サービス契約を購入する必要があります。
(注) Cisco Services for IPS サービス契約は、IPS シグニチャのアップデート、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびオンサイトのハードウェア交換(NBD)を提供します。
• ASA5510-AIP10-K9
• ASA5520-AIP10-K9
• ASA5520-AIP20-K9
• ASA5540-AIP20-K9
• ASA-SSM-AIP-10-K9
• ASA-SSM-AIP-20-K9
たとえば、ASA-5510 を購入した後で、IPS の追加が必要になり、ASA-SSM-AIP-10-K9 を購入した場合は、この時点で Cisco Services for IPS サービス契約を購入する必要があります。
Cisco Services for IPS サービス契約を購入したら、製品シリアル番号を入力してライセンス キーを申し込む必要があります。手順については、「ライセンス キーのインストール」を参照してください。
注意 お使いの製品で Return Materials Authorization(RMA)を実行した場合、シリアル番号は変更されます。その後、新規シリアル番号用の新規ライセンス キーを取得する必要があります。
ライセンス キーの入手とインストール
センサーにライセンス キーをコピーするには、 copy source-url license_file_name license-key コマンドを使用します。
次のオプションが適用されます。
• source-url :コピー元のファイルの場所。URL またはキーワードです。
• destination-url :コピー先のファイルの場所。URL またはキーワードです。
• license-key :登録ライセンス ファイル。
• license_file_name :受け取るライセンス ファイルの名前。
(注) 新しいライセンス キーを上書きするように古いライセンス キーをインストールすることはできません。
コピー元およびコピー先の URL の正確な形式は、ファイルによって異なります。有効なタイプは次のとおりです。
• ftp::FTP ネットワーク サーバのコピー元またはコピー先 URL。このプレフィクスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename
• scp::SCP ネットワーク サーバのコピー元またはコピー先 URL。このプレフィクスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename
• http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
http:[[/[username@]location]/directory]/filename
• https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
https:[[/[username@]location]/directory]/filename
(注) FTP または SCP を使用する場合は、パスワードの入力を求められます。
(注) SCP を使用する場合は、リモート ホストが SSH の既知ホスト リストに含まれている必要があります。手順については、「既知のホスト リストへのホストの追加」を参照してください。
(注) HTTPS を使用する場合、リモート ホストは TLS の信頼できるホストである必要があります。手順については、「TLS の信頼できるホストの追加」を参照してください。
ライセンス キーをインストールするには、次の手順を実行します。
ステップ 1 www.cisco.com/go/license で、ライセンス キーを申し込みます。
(注) ライセンス キーを申し込む前に、Cisco Services for IPS サービス契約が必要です。詳細については、「IPS 製品のサービス プログラム」を参照してください。
ステップ 2 必須フィールドに入力します。
(注) IPS デバイスの正しいシリアル番号を用意しておく必要があります。これは、その番号のデバイスでだけライセンス キーが機能するからです。
シスコの IPS Signature Subscription Service のライセンス キーは、指定した電子メール アドレスに送信されます。
ステップ 3 ライセンス キーを Web サーバ、FTP サーバ、または SCP サーバのあるシステムに保存します。
ステップ 4 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 5 ライセンス キーをセンサーにコピーします。
sensor# copy scp://user@10.89.147.3://tftpboot/dev.lic license-key
ステップ 6 センサーのライセンスがあることを確認します。
Cisco Intrusion Prevention System, Version 5.1(1)S182.0
OS Version 2.4.26-IDS-smp-bigphys
Serial Number: JAB0815R0JS
Licensed, expires: 19-Dec-2005 UTC
Sensor up-time is 2 days.
Using 706699264 out of 3974291456 bytes of available memory (17% usage)
system is using 17.3M out of 29.0M bytes of available disk space (59% usage)
application-data is using 36.5M out of 166.8M bytes of available disk space (23% usage)
boot is using 39.4M out of 68.6M bytes of available disk space (61% usage)
MainApp 2005_Feb_18_03.00 (Release) 2005-02-18T03:13:47-0600 Running
AnalysisEngine 2005_Feb_15_03.00 (QATest) 2005-02-15T12:59:35-0600 Running
CLI 2005_Feb_18_03.00 (Release) 2005-02-18T03:13:47-0600
IDS-K9-maj-5.1-1- 14:16:00 UTC Thu Mar 04 2004
Recovery Partition Version 1.1 - 5.1(1)S182
ステップ 7 センサーからサーバにライセンス キーをコピーして、ライセンスのバックアップ コピーを保存します。
sensor# copy license-key scp://user@10.89.147.3://tftpboot/dev.lic