インターフェイスの説明
センサーのインターフェイスには、最高速度とインターフェイスの物理的な場所に従って名前が付けられています。物理的な場所は、ポート番号とスロット番号で構成されます。センサーに組み込みのインターフェイスはすべてスロット 0 にあり、PCI 拡張スロットは、一番下にあるスロット 1 から順に、上に行くほどスロット番号が大きくなります。各スロットのインターフェイスでは、一番右にあるポート 0 から順に、左に行くほどポート番号が大きくなります。たとえば、GigabitEthernet2/1 は 1 ギガビットの最高速度をサポートする、下から 2 番目の PCI 拡張スロットの右から 2 番目のインターフェイスです。IPS-4240 と IPS-4255 には、このルールは当てはまりません。これらのセンサーのコマンド/コントロール インターフェイスは、GigabitEthernet0/0 ではなく、Management0/0 と呼ばれます。
各物理インターフェイスは、コマンド/コントロール、センシング、および代替 TCP リセットの 3 つのいずれかの役割を果たします。
この項では、次のトピックについて説明します。
• 「コマンド/コントロール インターフェイス」
• 「センシング インターフェイス」
• 「インターフェイス サポート」
• 「TCP リセット インターフェイス」
• 「コンフィギュレーション シーケンス」
• 「インターフェイスのコンフィギュレーションの制約事項」
コマンド/コントロール インターフェイス
コマンド/コントロール インターフェイスは、IP アドレスを持ち、センサーの設定に使用されます。このインターフェイスは、センサーからセキュリティ イベントとステータス イベントを受信し、センサーに統計情報を問い合せます。
コマンド/コントロール インターフェイスは、常にイネーブルです。このインターフェイスは特定の物理インターフェイス(センサーのモデルによって異なる)に常時マッピングされています。コマンド/コントロール インターフェイスをセンシング インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。
表5-1 に、各センサーのコマンド/コントロール インターフェイスのリストを示します。
表5-1 コマンド/コントロール インターフェイス
|
|
IDS-4210 |
FastEthernet0/1 |
IDS-4215 |
FastEthernet0/0 |
IDS-4235 |
GigabitEthernet0/1 |
IDS-4250 |
GigabitEthernet0/1 |
IPS-4240 |
Management0/0 |
IPS-4255 |
Management0/0 |
NM-CIDS |
FastEthernet0/0 |
AIP SSM 10 |
GigabitEthernet0/0 |
AIP SSM 20 |
GigabitEthernet0/0 |
IDSM-2 |
GigabitEthernet0/2 |
センシング インターフェイス
センシング インターフェイスは、セキュリティ違反がないかどうかについてトラフィックを分析するために、センサーによって使用されます。センサーには 1 つ以上のセンシング インターフェイスがあり、この数はセンサーによって異なります。各センサーで使用可能なセンシング インターフェイスの数とタイプについては、 「インターフェイス サポート」 を参照してください。
センシング インターフェイスは、混合モードで個別に動作させるか、ペアにして、インライン センシング モード用のインライン インターフェイスを作成することができます。詳細については、「混合モードについて」、「インライン インターフェイス モードについて」、および 「インライン VLAN ペア モードについて」 を参照してください。
(注) アプライアンスでは、すべてのセンシング インターフェイスはデフォルトでディセーブルになっています。これらのインターフェイスを使用するには、イネーブルにする必要があります。モジュールでは、センシング インターフェイスは常にイネーブルです。
一部のアプライアンスでは、センサーにセンシング インターフェイスを追加するオプションの PCI インターフェイス カードをサポートしています。これらのオプション カードの挿入と取り外しは、センサーの電源が切れているときに行う必要があります。センサーは、サポートしているインターフェイス カードの追加または削除を検出します。オプションの PCI カードを取り外すと、速度、二重、説明用の文字列、インターフェイスのイネーブル/ディセーブルの状態、インライン インターフェイスのペア情報(存在する場合)など、いくつかのインターフェイス コンフィギュレーションが削除されます。カードを再び取り付けると、これらの設定はデフォルト設定で復元されます。ただし、分析エンジンに割り当てられた混合モード インターフェイスおよびインライン インターフェイスは、分析エンジンのコンフィギュレーションから削除されません。これらの設定は、該当のカードが再び挿入され、インライン インターフェイス ペアを再作成するまでの間、無視されます。詳細については、「仮想センサーへのインターフェイスの割り当て」を参照してください。
インターフェイス サポート
表5-2 に、IPS 5.1 を実行するアプライアンスおよびモジュールのインターフェイス サポートを示します。
表5-2 インターフェイス サポート
|
|
|
|
|
IDS-4210 |
-- |
なし |
なし |
すべて |
IDS-4215 |
-- |
なし |
なし |
すべて |
IDS-4215 |
4FE |
FastEthernet0/1 4FE FastEthernetS/0 FastEthernetS/1 FastEthernetS/2 FastEthernetS/3 |
1/0<->1/1 1/0<->1/2 1/0<->1/3 1/1<->1/2 1/1<->1/3 1/2<->1/3 0/1<->1/0 0/1<->1/1 0/1<->1/2 0/1<->1/3 |
FastEthernet0/0 |
IDS-4235 |
-- |
なし |
なし |
すべて |
IDS-4235 |
4FE |
4FE FastEthernetS/0 FastEthernetS/1 FastEthernetS/2 FastEthernetS/3 |
1/0<->1/1 1/0<->1/2 1/0<->1/3 1/1<->1/2 1/1<->1/3 1/2<->1/3 |
GigabitEthernet0/0 GigabitEthernet0/1 |
IDS-4235 |
TX (GE) |
TX オンボード + TX PCI GigabitEthernet0/0 + GigabitEthernet1/0 または GigabitEthernet2/0 |
0/0<->1/0 0/0<->2/0 |
GigabitEthernet0/1 |
IDS-4250 |
-- |
なし |
なし |
すべて |
IDS-4250 |
4FE |
4FE FastEthernetS/0 FastEthernetS/1 FastEthernetS/2 FastEthernetS/3 |
1/0<->1/1 1/0<->1/2 1/0<->1/3 1/1<->1/2 1/1<->1/3 1/2<->1/3 |
GigabitEthernet0/0 GigabitEthernet0/1 |
IDS-4250 |
TX (GE) |
TX オンボード + TX PCI GigabitEthernet0/0 + GigabitEthernet1/0 または GigabitEthernet2/0 |
0/0<->1/0 0/0<->2/0 |
GigabitEthernet0/1 |
IDS-4250 |
SX |
なし |
なし |
すべて |
IDS-4250 |
SX + SX |
2 SX GigabitEthernet1/0 GigabitEthernet2/0 |
1/0<->2/0 |
GigabitEthernet0/0 GigabitEthernet0/1 |
IDS-4250 |
XL |
XL GigabitEthernet2/0 の 2 SX GigabitEthernet2/1 |
2/0<->2/1 |
GigabitEthernet0/0 GigabitEthernet0/1 |
IDSM-2 |
-- |
ポート 7 および 8 GigabitEthernet0/7 GigabitEthernet0/8 |
0/7<->0/8 |
GigabitEthernet0/2 |
IPS-4240 |
-- |
4 オンボード GE GigabitEthernet0/0 GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 |
0/0<->0/1 0/0<->0/2 0/0<->0/3 0/1<->0/2 0/1<->0/3 0/2<->0/3 |
Management0/0 |
IPS-4255 |
-- |
4 オンボード GE GigabitEthernet0/0 GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 |
0/0<->0/1 0/0<->0/2 0/0<->0/3 0/1<->0/2 0/1<->0/3 0/2<->0/3 |
Management0/0 |
NM-CIDS |
-- |
なし |
なし |
すべて |
AIP SSM 10 |
-- |
GigabitEthernet0/1 |
セキュリティ コンテキストによる |
GigabitEthernet0/0 |
AIP SSM 20 |
-- |
GigabitEthernet0/1 |
セキュリティ コンテキストによる |
GigabitEthernet0/0 |
代替 TCP リセット インターフェイスについて
攻撃者のホストと攻撃のターゲット ホストとの間のネットワーク接続をリセットするために、TCP リセット パケットを送信するようにセンサーを設定することができます。一部のインストールでは、インターフェイスが混合モードで動作している場合に、攻撃を検出したセンシング インターフェイスと同じインターフェイスでセンサーが TCP リセット パケットを送信できない場合があります。このような場合には、センシング インターフェイスを代替 TCP リセット インターフェイスに関連付け、混合モードで動作している場合に通常はセンシング インターフェイスで送信されるすべての TCP リセットを、関連付けられている代替 TCP リセット インターフェイスで送信することができます。詳細については、「代替 TCP リセット インターフェイスの指定」を参照してください。
センシング インターフェイスが代替 TCP リセット インターフェイスに関連付けられている場合、その関連付けは、センサーが混合モードで設定されている場合には適用されますが、センシング インターフェイスがインライン モードで設定されている場合は無視されます。
IDSM-2 を除いて、すべてのセンシング インターフェイスは別のセンシング インターフェイスの代替 TCP リセット インターフェイスとなることができます。IDSM-2 の代替 TCP リセット インターフェイスは、ハードウェアの制限があるために固定されています。
表5-3 に、代替 TCP リセット インターフェイスのリストを示します。
表5-3 代替 TCP リセット インターフェイス
|
|
IDS-4210 |
なし |
IDS-4215 |
任意のセンシング インターフェイス |
IDS-4235 |
任意のセンシング インターフェイス |
IDS-4250 |
任意のセンシング インターフェイス |
IPS-4240 |
任意のセンシング インターフェイス |
IPS-4255 |
任意のセンシング インターフェイス |
NM-CIDS |
なし |
AIP SSM 10 |
なし |
AIP SSM 20 |
なし |
IDSM-2 |
System0/1 |
代替 TCP リセット インターフェイスの指定
次の場合には、代替 TCP リセット インターフェイスを指定する必要があります。
• スイッチが SPAN または VACL キャプチャを使用して監視され、スイッチが SPAN または VACL キャプチャ ポートで着信パケットを受け入れない場合。
• スイッチが複数の VLAN の SPAN キャプチャまたは VACL キャプチャのどちらかを使用して監視され、スイッチが 802.1q ヘッダーのある着信パケットを受け入れない場合。
(注) TCP リセットには、リセットを送信する VLAN を指定する 802.1q ヘッダーが必要です。
• 接続の監視にネットワーク タップが使用される場合。
(注) タップは、センサーからの着信トラフィックを許可しません。
センシング インターフェイスは代替 TCP リセット インターフェイスとしてのみ割り当てることができます。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
インターフェイスのコンフィギュレーションの制約事項
センサーでのインターフェイスの設定には、次の制約事項があります。
• 物理インターフェイス
–モジュール(IDSM-2、NM-CIDS、AIP SSM 10、および AIP SSM 20)、IPS-4240、および IPS-4255 では、すべてのバックプレーン インターフェイスの速度、二重通信、状態の設定は固定です。これらの設定は、すべてのバックプレーン インターフェイスのデフォルト設定内で保護されています。
–非バックプレーン FastEthernet インターフェイスの場合、有効な速度設定は 10 Mbps、100 Mbps、および自動です。有効な二重通信設定は、全、半、自動です。
–ギガビット ファイバ インターフェイス(IDS-4250 の 1000-SX および XL)の場合、有効な速度設定は 1000 Mbps と自動です。
–ギガビット銅インターフェイス(IDS-4235、IDS-4250、IPS-4240、および IPS-4255 の 1000-TX)の場合、有効な速度設定は 10 Mbps、100 Mbps、1000 Mbps、および自動です。有効な二重通信設定は、全、半、自動です。
–ギガビット(銅またはファイバ)インターフェイスでは、速度が 1000 Mbps に設定されている場合、有効な二重設定は自動だけになります。
–コマンド/コントロール インターフェイスをセンシング インターフェイスとして使用することはできません。
• インライン インターフェイス ペア
–インライン インターフェイス ペアには、物理インターフェイスのタイプ(銅または光ファイバ)、速度、またはインターフェイスの二重通信設定に関係なく、任意のセンシング インターフェイスの組み合せを含めることができます。ただし、異なるメディア タイプ、速度、および二重設定のインターフェイスをペアにすることについては、完全にテストまたはサポートされていません。詳細については、「インターフェイス サポート」を参照してください。
–コマンド/コントロール インターフェイスをインライン インターフェイス ペアのメンバーにすることはできません。
–物理インターフェイスとインライン インターフェイス ペア内のそれ自体とをペアにすることはできません。
–物理インターフェイスは、1 つのインライン インターフェイス ペアのメンバーにすることしかできません。
–インライン モードをサポートするセンサー プラットフォームではバイパス モードを設定してインライン インターフェイス ペアを作成することしかできません。
–物理インターフェイスは、その物理インターフェイスのサブインターフェイス モードが none である場合以外は、インライン インターフェイス ペアのメンバーにすることはできません。
• インライン VLAN インターフェイス ペア
–VLAN はそれ自体とペアにすることはできません。
–特定のセンシング インターフェイスでは、VLAN は 1 つのインライン VLAN ペアのメンバーにすることしかできません。ただし、特定の VLAN を複数のセンシング インターフェイスのインライン VLAN ペアのメンバーにすることができます。
–インライン VLAN ペア内で VLAN を指定する順序は重要ではありません。
–インライン VLAN ペア モードのセンシング インターフェイスは、1 ~ 255 個のインライン VLAN ペアを保持できます。
• 代替 TCP リセット インターフェイス
–代替 TCP リセット インターフェイスはセンシング インターフェイスにしか割り当てできません。コマンド/コントロール インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。代替 TCP リセット インターフェイス オプションはデフォルトで none に設定され、センシング インターフェイス以外のすべてのインターフェイスから保護されています。
–同じ物理インターフェイスを複数のセンシング インターフェイスの代替 TCP リセット インターフェイスとして割り当てることができます。
–物理インターフェイスは、センシング インターフェイスと代替 TCP リセット インターフェイスの両方として機能できます。
–コマンド/コントロール インターフェイスをセンシング インターフェイスの代替 TCP インターフェイスとして使用することはできません。
–センシング インターフェイスは、それ自身の代替 TCP リセット インターフェイスとしては機能できません。
–TCP リセットに対応しているインターフェイスのみを代替 TCP リセット インターフェイスとして設定できます。
(注) この制限事項の例外が IDSM-2 です。両方のセンシング インターフェイスに対する代替 TCP リセット インターフェイスの割り当ては System0/1 です(保護されています)。
物理インターフェイスの設定
混合モード インターフェイスを設定するには、サービス インターフェイス サブモードで、 physical-interfaces interface name コマンドを使用します。インターフェイス名は FastEthernet または GigabitEthernet です。センサーで設定可能なインターフェイスのリストについては、 「インターフェイス サポート」 を参照してください。
(注) AIP SSM は、IPS の CLI からではなく、ASA の CLI から混合モードに設定されます。手順については、「AIP SSM へのトラフィックの送信」を参照してください。
次のオプションが適用されます。
• admin-state [enabled | disabled] :インターフェイスがイネーブルかディセーブルかを示すインターフェイスの管理リンク状態。
(注) すべてのモジュール(IDSM-2 NM-CIDS および AIP SSM)のすべてのバックプレーン センシング インターフェイスで、admin-state は enabled に設定され、保護されています(この設定は変更できません)。admin-state は、コマンド/コントロール インターフェイスには影響を及ぼしません(保護されています)。これは、センシング インターフェイスにのみ影響を及ぼします。コマンド/コントロール インターフェイスは監視できないので、イネーブルにする必要はありません。
• alt-tcp-reset-interface :このインターフェイスが混合モードでモニタリングに使用され、シグニチャの反応によってリセット アクションがトリガーされた場合に、代替インターフェイスで TCP リセットを送信します。代替 TCP リセット インターフェイスの詳細については、 「代替 TCP リセット インターフェイスについて」 および 「代替 TCP リセット インターフェイスの指定」 を参照してください。
(注) センシング インターフェイスは代替 TCP リセット インターフェイスとしてのみ割り当てることができます。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
(注) このオプションは、モジュール(IDSM-2、NM-CIDS、および AIP SSM)、およびセンシング インターフェイスが 1 つしかないアプライアンス(追加の NIC カードを搭載していない IDS-4210、IDS-4215、IDS-4235、および IDS-4250)では保護されています。
– interface-name :このインターフェイスが混合モードでモニタリングに使用され、シグニチャの反応によってリセット アクションがトリガーされた場合に、TCP リセットを送信するインターフェイスの名前。この設定は、このインターフェイスがインライン インターフェイスのメンバーである場合は無視されます。
– none :代替 TCP リセット インターフェイスの使用をディセーブルにします。混合モードでリセット アクションによってトリガーされた TCP リセットは、このインターフェイスから送信されます。
• default :値をシステム デフォルト設定に戻します。
• description :混合モード インターフェイスの説明。
• duplex :インターフェイスの二重通信設定。
– auto :インターフェイスを自動ネゴシエーション二重に設定します。
– full :インターフェイスを全二重に設定します。
– half :インターフェイスを半二重に設定します。
(注) duplex オプションはすべてのモジュールで保護されています。
• no :エントリまたは選択設定を削除します。
• speed :インターフェイスの速度設定。
– auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 :インターフェイスを 10 MB に設定します(TX インターフェイスの場合のみ)。
– 100 :インターフェイスを 100 MB に設定します(TX インターフェイスの場合のみ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合のみ)。
(注) speed オプションはすべてのモジュールで保護されています。
センサーで混合モード インターフェイスを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードに入ります。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 使用可能なインターフェイスのリストを表示します。
sensor(config-int)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
sensor(config-int)# physical-interfaces
ステップ 4 混合モード用のインターフェイスを選択します。
sensor(config-int)# physical-interfaces GigabitEthernet0/2
ステップ 5 インターフェイスをイネーブルにします。
sensor(config-int-phy)# admin-state enabled
インターフェイスを仮想センサーに割り当て(「仮想センサーへのインターフェイスの割り当て」を参照してください)、トラフィックの監視をイネーブルにする必要があります。
ステップ 6 このインターフェイスの説明を追加します。
sensor(config-int-phy)# description INT1
ステップ 7 二重通信設定を設定します。
sensor(config-int-phy)# duplex full
このオプションはモジュールでは使用できません。
ステップ 8 速度を設定します。
sensor(config-int-phy)# speed 1000
このオプションはモジュールでは使用できません。
ステップ 9 必要に応じて、このインターフェイスの TCP リセットをイネーブルにします。
sensor(config-int-phy)# alt-tcp-reset-interface interface-name GigabitEthernet2/0
ステップ 10 混合モード インターフェイスとして指定するその他のインターフェイスがあれば、インターフェイスごとにステップ 4 ~ 9 を繰り返します。
ステップ 11 設定を確認します。
(注) subinterface-type
がデフォルトの none になっていることを確認してください。
subinterface-type コマンドは、インライン VLAN ペアを設定する場合に使用します。詳細については、「インライン VLAN ペアの設定」を参照してください。
sensor(config-int-phy)# show settings
-----------------------------------------------
media-type: tx <protected>
description: INT1 default:
admin-state: enabled default: disabled
duplex: full default: auto
speed: 1000 default: auto
-----------------------------------------------
interface-name: GigabitEthernet2/0
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 12 インターフェイスから TCP リセットを削除するには、次の手順を実行します。
sensor(config-int-phy)# alt-tcp-reset-interface none
ステップ 13 設定を確認します。
sensor(config-int-phy)# show settings
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 14 インターフェイス サブモードを終了します。
sensor(config-int-phy)# exit
ステップ 15 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
混合モード
この項では、センサーの混合モードについて説明します。取り上げる事項は次のとおりです。
• 「混合モードについて」
• 「混合モードの設定」
混合モードについて
混合モードでは、パケットはセンサーを経由して流れません。センサーは、実際に転送されたパケットではなく、監視したトラフィックのコピーを分析します。混合モードで運用する利点は、転送されたトラフィックでパケットのフローにセンサーが影響を与えないことです。ただし、混合モードで運用する場合は、悪意のあるトラフィックがアトミック アタック(シングル パケット攻撃)などの特定の種類の攻撃のために意図したターゲットに到達することを、センサーが阻止できないという短所があります。混合モードのセンサー デバイスによって実行される応答アクションはイベント後の応答であるため、多くの場合、攻撃に対応するには、ルータやファイアウォールなど、他のネットワーキング デバイスによるサポートが必要です。このような応答アクションは一部の種類の攻撃を防ぐことができますが、アトミック アタックでは、混合モードベースのセンサーが管理対象デバイス(ファイアウォール、スイッチ、ルータなど)に ACL 修正を適用する前に、シングル パケットがターゲット システムに到達する可能性があります。
混合モードの設定
デフォルトでは、すべてのセンシング インターフェイスは混合モードです。インターフェイスをインライン モードから混合モードに変更するには、該当のインターフェイスを含むすべてのインライン インターフェイスを削除し、インターフェイスのコンフィギュレーションから、そのインターフェイスのすべてのインライン VLAN ペアのサブインターフェイスを削除します。
インライン インターフェイス モード
この項では、センサーのインライン モードについて説明します。取り上げる事項は次のとおりです。
• 「インライン インターフェイス モードについて」
• 「インライン インターフェイス モードの設定」
インライン インターフェイス モードについて
インライン インターフェイス モードで運用する場合は IPS が直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。パケット転送速度は遅延を加えられることによって遅くなります。これにより、センサーは、意図したターゲットに到達する前に悪意のあるトラフィックをドロップして攻撃を阻止し、保護サービスを提供できます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。このより詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、停止またはブロックすることができます。
インライン インターフェイス モードでは、パケットはセンサーのペアの 1 つ目のインターフェイスを経由して入り、ペアの 2 つ目のインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されない限り、ペアの 2 つ目のインターフェイスに送信されます。
(注) ASA SSM は、センシング インターフェイスが 1 つしかない場合にもインラインで動作するように設定できます。
(注) ペアになっているインターフェイスが同じスイッチに接続されている場合は、それらのインターフェイスをスイッチ上で 2 つのアクセス ポートとして設定し、それぞれが異なる VLAN アクセスを持つようにします。このようにしないと、トラフィックはインライン インターフェイスを通過しません。
インライン インターフェイス モードの設定
インライン インターフェイスを設定するには、サービス インターフェイス サブモードで inline-interfaces コマンドを使用します。
(注) AIP SSM は、IPS の CLI からではなく、ASA の CLI からインライン インターフェイス モードに設定されます。手順については、「AIP SSM へのトラフィックの送信」を参照してください。
次のオプションが適用されます。
• inline-interfaces :論理インライン インターフェイス ペアの名前。
• default :値をシステム デフォルト設定に戻します。
• description :インライン インターフェイス ペアの説明。
• interface1 :インライン インターフェイス ペアの最初のインターフェイス。
• interface2 :インライン インターフェイス ペアの 2 番目のインターフェイス。
• no :エントリまたは選択設定を削除します。
インライン インターフェイスを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードに入ります。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 インライン インターフェイスでペアにする両方の物理インターフェイスで、サブインターフェイス モードが「none」であることを確認します。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 2)
-----------------------------------------------
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 4 インライン ペアの名前を指定します。
sensor(config-int)# inline-interfaces PAIR1
ステップ 5 使用可能なインターフェイスを表示します。
sensor(config-int)# interface1?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
ステップ 6 2 つのインターフェイスをペアとして設定します。
sensor(config-int-inl)# interface1 GigabitEthernet0/0
sensor(config-int-inl)# interface2 GigabitEthernet0/1
ステップ 7 インターフェイス ペアの説明を追加します。
sensor(config-int-inl)# description pairs interfaces Gig0/0 and Gig0/1
ステップ 8 インライン インターフェイス ペアとして設定するその他のインターフェイスがあれば、インターフェイスごとにステップ 4 ~ 7 を繰り返します。
ステップ 9 設定を確認します。
sensor(config-int-inl)# show settings
-----------------------------------------------
description: PAIR1 = Gig0/0 & Gig0/1 default:
interface1: GigabitEthernet0/0
interface2: GigabitEthernet0/1
-----------------------------------------------
ステップ 10 インライン インターフェイス ペアを削除してインターフェイスを混合モードに戻すには、次の手順を実行します。
sensor(config-int-inl)# exit
ステップ 11 インターフェイス ペアに割り当てられたインターフェイスをイネーブルにします。
sensor(config-int)# physical-interfaces GigabitEthernet0/0
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# exit
sensor(config-int)# physical-interfaces GigabitEthernet0/1
sensor(config-int-phy)# admin-state enabled
sensor(config-int-phy)# exit
ステップ 12 インターフェイス コンフィギュレーション サブモードを終了します。
ステップ 13 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
インライン VLAN ペア モード
この項では、インライン VLAN ペア モード、およびインライン VLAN ペアの設定方法について説明します。取り上げる事項は次のとおりです。
• 「インライン VLAN ペア モードについて」
• 「インライン VLAN ペアの設定」
インライン VLAN ペア モードについて
物理インターフェイス上で VLAN をペアで関連付けることができます。これは、「inline on a stick」と呼ばれます。ペアの一方の VLAN で受信したパケットが分析され、ペアのもう一方の VLAN に転送されます。インライン VLAN ペアは、NM-CIDS、AIP SSM 10、および AIP SSM 20 を除く、IPS 5.1 と互換性があるすべてのセンサーでサポートされています。
インライン VLAN ペア モードは、アクティブ センシング モードです。このモードでは、センシング インターフェイスが 802.1q トランク ポートとして動作し、センサーがトランク上の VLAN ペア間の VLAN ブリッジングを実行します。センサーは、ペアごとに各 VLAN 上で受信するトラフィックを調べ、そのパケットをペアの他方の VLAN へ転送するか、または侵入の試行が検出された場合はパケットを破棄することができます。IPS センサーでは、各センシング インターフェイスで最大 255 個の VLAN ペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの 802.1q ヘッダー内の VLAN ID フィールドをセンサーがパケットを転送する出力 VLAN の ID に置き換えます。センサーは、インライン VLAN ペアに割り当てられていないすべての VLAN で受信したすべてのパケットを破棄します。
インライン VLAN ペアの設定
インライン VLAN ペアを設定するには、サービス インターフェイス サブモードで、 physical-interfaces interface name コマンドを使用します。インターフェイス名は FastEthernet または GigabitEthernet です。
次のオプションが適用されます。
• admin-state [enabled | disabled] :インターフェイスがイネーブルかディセーブルかを示すインターフェイスの管理リンク状態。
(注) すべてのモジュール(IDSM-2 NM-CIDS および AIP SSM)のすべてのバックプレーン センシング インターフェイスで、admin-state は enabled に設定され、保護されています(この設定は変更できません)。admin-state は、コマンド/コントロール インターフェイスには影響を及ぼしません(保護されています)。これは、センシング インターフェイスにのみ影響を及ぼします。コマンド/コントロール インターフェイスは監視できないので、イネーブルにする必要はありません。
• default :値をシステム デフォルト設定に戻します。
• description :インターフェイスの説明。
• duplex :インターフェイスの二重通信設定。
– auto :インターフェイスを自動ネゴシエーション二重に設定します。
– full :インターフェイスを全二重に設定します。
– half :インターフェイスを半二重に設定します。
(注) duplex オプションはすべてのモジュールで保護されています。
• no :エントリまたは選択設定を削除します。
• speed :インターフェイスの速度設定。
– auto :インターフェイスを自動ネゴシエーション速度に設定します。
– 10 :インターフェイスを 10 MB に設定します(TX インターフェイスの場合のみ)。
– 100 :インターフェイスを 100 MB に設定します(TX インターフェイスの場合のみ)。
– 1000 :インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合のみ)。
(注) speed オプションはすべてのモジュールで保護されています。
• subinterface-type :インターフェイスがサブインターフェイスであることを示し、定義するサブインターフェイスのタイプを指定します。
– inline-vlan-pair :サブインターフェイスをインライン VLAN ペアとして定義します。
– none :サブインターフェイスを定義しません。
• subinterface :サブインターフェイスをインライン VLAN ペアとして定義します。
– vlan1 :インライン VLAN ペアの最初の VLAN。
– vlan2 :インライン VLAN ペアの 2 番目の VLAN。
センサーでインライン VLAN ペアを設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードに入ります。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 インライン インターフェイスが存在するかどうかを確認します(インライン インターフェイスが設定されていなければ、サブインターフェイス タイプに「none」と表示されます)。
sensor(config-int)# show settings
physical-interfaces (min: 0, max: 999999999, current: 5)
-----------------------------------------------
name: GigabitEthernet0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/1 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/2 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: GigabitEthernet0/3 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
name: Management0/0 <defaulted>
-----------------------------------------------
media-type: tx <protected>
admin-state: disabled <protected>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
command-control: Management0/0 <protected>
inline-interfaces (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
bypass-mode: auto <defaulted>
-----------------------------------------------
missed-percentage-threshold: 0 percent <defaulted>
notification-interval: 30 seconds <defaulted>
idle-interface-delay: 30 seconds <defaulted>
-----------------------------------------------
ステップ 4 この物理インターフェイスを使用しているインライン インターフェイスが存在する場合は、削除します。
sensor(config-int)# no inline-interfaces interface_name
ステップ 5 使用可能なインターフェイスのリストを表示します。
sensor(config-int)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet0/2 GigabitEthernet0/2 physical interface.
GigabitEthernet0/3 GigabitEthernet0/3 physical interface.
Management0/0 Management0/0 physical interface.
sensor(config-int)# physical-interfaces
ステップ 6 インターフェイスを選択します。
sensor(config-int)# physical-interfaces GigabitEthernet0/2
ステップ 7 インターフェイスをイネーブルにします。
sensor(config-int-phy)# admin-state enabled
インターフェイスを仮想センサーに割り当て(「仮想センサーへのインターフェイスの割り当て」を参照してください)、トラフィックの監視をイネーブルにする必要があります。
ステップ 8 このインターフェイスの説明を追加します。
sensor(config-int-phy)# description INT1
ステップ 9 二重通信設定を設定します。
sensor(config-int-phy)# duplex full
このオプションはモジュールでは使用できません。
ステップ 10 速度を設定します。
sensor(config-int-phy)# speed 1000
このオプションはモジュールでは使用できません。
ステップ 11 インライン VLAN ペアを設定します。
sensor(config-int-phy)# subinterface-type inline-vlan-pair
sensor(config-int-phy-inl)# subinterface 1
sensor(config-int-phy-inl-sub)# vlan1 52
sensor(config-int-phy-inl-sub)# vlan2 53
ステップ 12 インライン VLAN ペアの説明を追加します。
sensor(config-int-phy-inl-sub)# description pairs vlans 52 and 53
ステップ 13 インライン VLAN ペアの設定を確認します。
sensor(config-int-phy-inl-sub)# show settings
-----------------------------------------------
description: VLANpair1 default:
-----------------------------------------------
sensor(config-int-phy-inl-sub)#
ステップ 14 インターフェイス サブモードを終了します。
sensor(config-int-phy-inl-sub)# exit
sensor(config-int-phy-inl)# exit
sensor(config-int-phy)# exit
ステップ 15 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
インライン バイパス
この項では、インライン インターフェイスおよびインライン VLAN ペアとして設定された、センサーのインライン バイパスについて説明します。取り上げる事項は次のとおりです。
• 「インライン バイパスについて」
• 「バイパス モードの設定」
インライン バイパスについて
インライン バイパスは、診断ツールおよびフェールオーバーの保護メカニズムとして使用できます。通常、パケットの分析はセンサーの分析エンジンが実行します。インライン バイパスをアクティブにすると、分析エンジンがバイパスされ、トラフィックが検査されずにインライン インターフェイスとインライン VLAN ペアを通過します。インライン バイパスを使用すると、センサーのプロセスがアップグレードのために一時的に停止している場合や、センサーのモニタリング プロセスが失敗した場合にも、パケットが継続してセンサーを通過します。オン、オフ、自動の 3 つのモードがあります。デフォルトでは、バイパス モードは自動に設定されています。
注意 センサーをバイパス モードにすると、セキュリティに影響を及ぼします。バイパス モードをオンにすると、トラフィックはセンサーをバイパスし検査されないため、センサーは悪意のある攻撃を防止できません。
(注) インライン バイパス機能はソフトウェアで実装されているため、オペレーティング システムが実行されている場合にだけ機能します。センサーの電源を切ったり、センサーをシャットダウンしたりすると、インライン バイパスが機能しなくなり、トラフィックはセンサーを通過しなくなります。
バイパス モードの設定
バイパス モードを設定するには、サービス インターフェイス サブモードで bypass-mode コマンドを使用します。
次のオプションが適用されます。
• off :インライン バイパスをオフにします。インライン データ トラフィックに対してパケット検査が実行されます。ただし、分析エンジンが停止すると、インライン トラフィックが中断されます。
• on :インライン バイパスをオンにします。トラフィックに対してパケット検査は実行されません。インライン トラフィックは分析エンジンが停止しても流れ続けます。
• auto :分析エンジンによるパケット処理が停止した場合に、自動的にインライン パケット検査のバイパスを開始します。これにより、インライン インターフェイスでのデータの中断が防止されます。これがデフォルトの方法です。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 インターフェイス サブモードに入ります。
sensor# configure terminal
sensor(config)# service interface
ステップ 3 バイパス モードを設定します。
sensor(config-int)# bypass-mode off
ステップ 4 設定を確認します。
sensor(config-int)# show settings
-----------------------------------------------
bypass-mode: off default: auto
-----------------------------------------------
missed-percentage-threshold: 0 percent <defaulted>
notification-interval: 30 seconds <defaulted>
idle-interface-delay: 30 seconds <defaulted>
-----------------------------------------------
ステップ 5 インターフェイス サブモードを終了します。
ステップ 6 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
仮想センサーへのインターフェイスの割り当て
仮想センサーに混合モード インターフェイスを割り当てるには、仮想センサー サブモードで、 physical-interface interface_name コマンドを使用します。仮想センサーにインライン VLAN ペアを持つサブインターフェイスを割り当てるには、仮想センサー サブモードで、 physical-interface interface_name subinterface-number subinterface_number コマンドを実行します。仮想センサーにインライン インターフェイス ペアを割り当てるには、仮想センサー サブモードで、 logical-interface inline_interface_pair_name コマンドを使用します。
仮想センサーにインライン インターフェイス ペアまたはインライン VLAN ペアを割り当てる前に、それらが作成されていることを確認してください。
仮想センサーにインターフェイスを割り当てるには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 仮想センサー サブモードに入ります。
sensor# configure terminal
sensor(config)# service analysis-engine
sensor(config-ana)# virtual-sensor vs0
ステップ 3 使用可能なインターフェイスのリストを表示します。
sensor(config-ana-vir)# physical-interfaces ?
GigabitEthernet0/0 GigabitEthernet0/0 physical interface.
GigabitEthernet0/1 GigabitEthernet0/1 physical interface.
GigabitEthernet2/0 GigabitEthernet2/0 physical interface.
GigabitEthernet2/1 GigabitEthernet2/1 physical interface.
sensor(config-ana-vir)# physical-interfaces
ステップ 4 仮想センサーに混合モード インターフェイスを割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0
すべての混合モード インターフェイスでステップ 4 を繰り返します。
ステップ 5 センサーにインライン インターフェイス ペアを割り当てます。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
すべてのインライン インターフェイス ペアのインターフェイスでステップ 5 を繰り返します。
ステップ 6 仮想センサーにインライン VLAN ペアを持つサブインターフェイスを割り当てます。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
インライン VLAN ペアを持つすべてのサブインターフェイスでステップ 6 を繰り返します。
ステップ 7 分析エンジンモードを終了します。
sensor(config-ana-vir)# exit
ステップ 8 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。
インターフェイスの通知の設定
特定のインターフェイスを通過するパケットのフローを監視して、指定された間隔内でフローに変化(開始または停止)があった場合に通知を送信するようにセンサーを設定することができます。特定の通知間隔内の非受信パケットしきい値を設定できます。また、ステータス イベントが報告されるまでのインターフェイス アイドル遅延も設定できます。
トラフィックの通知を設定するには、サービス インターフェイス サブモードで interface-notifications コマンドを使用します。
次のオプションが適用されます。
• default :値をシステム デフォルト設定に戻します。
• idle-interface-delay :インターフェイスがどれだけの間アイドル状態になっていると通知が送信されるかを示す時間(秒単位)。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。
• missed-percentage-threshold :指定された間隔内でどれだけのパケットを受け取れない場合に通知が送信されるかを示すパケットの比率。有効な範囲は 1 ~ 100 です。デフォルトは 0 です。
• notification-interval :受信できなかったパケットの比率を確認する間隔。有効な範囲は 5 ~ 3600 です。デフォルトは 30 秒です。
インターフェイスの通知を設定するには、次の手順を実行します。
ステップ 1 管理者特権を持つアカウントを使用して CLI にログインします。
ステップ 2 グローバル コンフィギュレーション モードに入ります。
sensor# configure terminal
ステップ 3 インターフェイス サブモードに入ります。
sensor(config)# service interface
ステップ 4 インターフェイス通知サブモードに入ります。
sensor(config-int)# interface-notifications
ステップ 5 idle-interface-delay を設定します。
sensor(config-int-int)# idle-interface-delay 60
ステップ 6 missed-percentage-threshold を設定します。
sensor(config-int-int)# missed-percentage-threshold 1
ステップ 7 notification-interval を設定します。
sensor(config-int-int)# notification-interval 60
ステップ 8 設定を確認します。
sensor(config-int-int)# show settings
-----------------------------------------------
missed-percentage-threshold: 1 percent default: 0
notification-interval: 60 seconds default: 30
idle-interface-delay: 60 seconds default: 30
-----------------------------------------------
ステップ 9 インターフェイス通知サブモードを終了します。
sensor(config-int-int)# exit
ステップ 10 変更を適用する場合は Enter キーを押し、変更を廃棄する場合は no と入力します。