- はじめに
- CLI 設定ガイドについて
- センサーへのログイン
- センサーの初期化
- センサーのセットアップ
- 仮想センサーの設定
- インターフェイスの設定
- イベント アクション規則の設定
- シグニチャの定義
- 異常検出の設定
- グローバル相関の設定
- 外部製品インターフェイスの設定
- IP ロギングの設定
- インターフェイスのライブ トラフィックの表示とキャプチャ
- Attack Response Controller でのブロッキ ングとレート制限の設定
- SNMP の設定
- コンフィギュレーション ファイルの操作
- センサーの管理タスク
- AIM IPS の設定
- AIP SSM の設定
- IDSM2 の設定
- NME IPS の設定
- ソフトウェアの入手
- システム イメージのアップグレード、ダウン グレード、およびインストール
- システム アーキテクチャ
- シグニチャ エンジン
- トラブルシューティング
- CLIのエラー メッセージ
- オープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年4月19日
章のタイトル: NME IPS の設定
NME IPS の設定
(注) すべての IPS プラットフォームで、許可される同時 CLI セッション数は 10 です。
この章では、NME IPS を設定し、IPS トラフィックの受信を準備する方法について説明します。これで、侵入防御を設定する準備が整います。この章は、次の内容で構成されています。
•
「NME IPS およびルータでのインターフェイスの設定」
• 「ハートビート リセットのイネーブル化とディセーブル化」
NME IPS の設定手順
setup コマンドを実行して NME IPS を初期化します。
4. NME IPS が侵入防御のためにトラフィックをキャプチャするように設定します。
6. ユーザの追加、信頼されるホストの追加など、その他の初期タスクを実行します。
9. NME IPS をスムーズに実行し続けるための管理タスクを実行します。
10. 新しいシグニチャ アップデートおよびサービス パックで IPS ソフトウェアをアップグレードします。
11. 必要な場合はブート ヘルパーとブートローダのイメージを再作成します。
• インターフェイスを設定する手順については、「NME IPS およびルータでのインターフェイスの設定」を参照してください。
• NME IPS にログインする手順については、「NME IPS へのログイン」を参照してください。
• NME IPS で setup コマンドを実行する手順については、「NME IPS の高度な設定」を参照してください。
• サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。
• センサーを設定する手順については、 「センサーのセットアップ」 を参照してください。
• 侵入防御を設定する手順については、「異常検出の設定」、「イベント アクション規則の設定」、「シグニチャの定義」、および 「Attack Response Controller でのブロッキングとレート制限の設定」 を参照してください。
• グローバル相関を設定する手順については、「グローバル相関の設定」を参照してください。
• センサーをスムーズに実行し続ける手順については、 「センサーの管理タスク」 を参照してください。
• Cisco IPS ソフトウェアの入手の詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
• NME IPS のイメージを再作成する手順については、「NME IPS システム イメージのインストール」を参照してください。
インストールの検証とシリアル番号の確認
NME IPS のインストールを検証するには、特権 EXEC モードで show inventory コマンドを使用します。
(注) このコマンドを使用して、TAC とのトラブルシューティングで使用される NME IPS のシリアル番号を調べることもできます。シリアル番号は、SN: FHH1117001R のように PID 行に表示されます。
NME IPS のインストールを検証するには、次の手順に従います。
ルータにログインします。
ステップ 3 NME IPS がルータ インベントリに含まれていることを確認します。
NME IPS ハードウェア インターフェイス
図 21-1 に、内部および外部の通信に使用されるルータ インターフェイスと NME IPS インターフェイスを示します。ルータ インターフェイスは Cisco IOS CLI で設定し、NME IPS インターフェイスは IPS CLI、IDM、IME、または CSM で設定できます。
図 21-1 NME IPS インターフェイスとルータ インターフェイス
|
|
|
|
|
NME IPSへのルータ インターフェイス(ids-sensor x/0) Cisco IOS CLI を使用して、NME IPS の IP アドレスとデフォルトのゲートウェイ ルータを設定します。 |
|
|
|
|
|
NME IPS およびルータでのインターフェイスの設定
ここでは、NME IPS とルータでインターフェイスを設定する方法について説明します。内容は次のとおりです。
• 「ルータでの IDS-Sensor インターフェイスの設定」
NME IPS インターフェイスの設定手順
NME IPS とルータでインターフェイスを設定するには、次の手順に従います。
1. ルータで IPS コマンド/コントロール インターフェイスを設定し、NME IPS の IP アドレス、マスク、およびゲートウェイを設定します。
2. モニタリング インターフェイスをイネーブルにし、無差別またはインラインのいずれであるかを指定し、インターフェイスに ACL を割り当て、モジュールに障害が発生した場合にルータでトラフィックを処理する方法を指定し、モニタリング ACL(任意)を作成します。
• IDS-Sensor インターフェイスでアンナンバード IP アドレスを設定する手順については、「ルータでの IDS-Sensor インターフェイスの設定」を参照してください。
• モニタリング インターフェイスをイネーブルにする手順については、「ルータ インターフェイスでのモニタリングの設定」を参照してください。
NAT の利点
• 内部ネットワークでプライベート IP アドレスを使用できます。プライベート IP アドレスは、インターネット上でルーティングできません。
• NAT はローカル IP アドレスを他のネットワークから隠蔽するため、攻撃者はホストの実際の IP アドレスを取得できません。
• NAT は、重複 IP アドレスをサポートすることで、IP ルーティングの問題を解決できます。
ARC と NAT を連携させる方法については、「ARC および NAT」を参照してください。
ARC および NAT
NAT を使用して、NME IPS への管理アクセスを確立する場合、NME IPS の ARC は、NME IPS の外部 IP アドレスを認識しません NME IPS への管理アクセスが、NME IPS が管理しているデバイスによって中断されないようにするには、ブロッキング デバイスを追加するたびに、NME IPS の NAT アドレスを宣言する必要があります。
• ARC の詳細については、「Attack Response Controller でのブロッキングとレート制限の設定」を参照してください。
• ブロッキング デバイスを追加するたびに NME IPS NAT アドレスを設定する手順については、次の手順を参照してください。
– 「Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータを管理するセンサーの設定」
ルータでの IDS-Sensor インターフェイスの設定
NME IPS インターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 ルータのモジュール スロット番号を確認します。
ステップ 4 CEF スイッチング パスをイネーブルにします。
ステップ 6 ループバック インターフェイスに IP アドレスとネットマスクを割り当てます。
(注) NME IPS とのセッションを確立するには、NME IPS の内部インターフェイスに IP アドレスを割り当てる必要があります。ルータ内の他のインターフェイスに割り当てられているネットワークと重複しないネットワークを選択してください。
ステップ 7 アンナンバード ループバック インターフェイスを IDS-Sensor インターフェイスに割り当てます。この例ではスロット 1 を使用します。
これで、NME IPS を初期化し、侵入防御を設定する準備が整いました。
• ルータから NME IPS へのセッションの接続と終了の詳細については、「セッションの確立」を参照してください。
• setup コマンドを使用して NME IPS を初期化する手順については、「NME IPS の高度な設定」を参照してください。
• 侵入防御を設定する手順については、次の IPS ガイドを参照してください。
– 『Cisco Intrusion Prevention System Device Manager Configuration Guide for IPS 7.0』
– 『Cisco Intrusion Prevention System Manager Express Configuration Guide for IPS 7.0』
– 『Cisco Intrusion Prevention System Sensor CLI Configuration Guide for IPS 7.0』
ルータ インターフェイスでのモニタリングの設定
モニタするルータ インターフェイスを設定するには、次の手順に従います。
ルータにログインします。
ステップ 3 (任意)ルータのモニタリング アクセス リストを設定します。
標準アクセス リストを設定し、どの種類のトラフィックを検査するかのフィルタリングにそのリストを適用できます。ACL が一致すると、その ACL に対してトラフィックは検査されません。この例では、HTTP トラフィックの検査だけをバイパスします。 access-list コマンドのオプションの詳細については、『Cisco IOS Command Reference』を参照してください。
ステップ 4 インライン モードまたは無差別モードのいずれかでインターフェイスのモニタリングをイネーブルにし、アクセス リストを関連付けます。
(注) インターフェイスにアクセス リストを関連付けることによって、NME IPS に送信されるトラフィックがさらに制御されます。
ステップ 5 (インライン モードで)ルータのモジュール スロット番号を確認します。
ステップ 6 (インライン モードで)ルータが、モジュールの障害時にトラフィック検査を処理する方法を指定します。
(注) fail-close オプションでは、NME IPS に障害が発生した場合に、ルータがトラフィックを通過させません。fail-open オプションでは、NME IPS に障害が発生した場合に、ルータはトラフィックを通過させますが、IPS による検査は実行されません。
• 無差別モードの詳細については、「無差別モードの設定」を参照してください。
• インライン インターフェイス モードの詳細については、「インライン インターフェイス モードの設定」を参照してください。
セッションの確立
NME IPS には外部コンソール ポートがないため、ルータで service-module ids-sensor slot / port session コマンドを発行するか、ルータへの Telnet 接続を、NME IPS ポート番号に対応するスロット番号で開始すると、NME IPS のコンソールにアクセスできるようになります。外部コンソール ポートがないことは、初期ブート設定がルータを通じてのみ可能であることを意味します。
service-module ids-sensor slot / port session コマンドを発行すると、NME IPS との間にコンソール セッションが作成されます。このセッションで任意の IPS コンフィギュレーション コマンドを発行できます。セッションでの作業を完了し、IPS CLI を終了すると、Cisco IOS CLI に戻ります。
session コマンドを使用すると、IDS-Sensor インターフェイスの IP アドレスを使用して逆方向の Telnet 接続が開始されます。IDS-Sensor インターフェイスは、NME IPS とルータの間のインターフェイスです。 session コマンドを起動する前に、IDS-Sensor インターフェイスに IP アドレスを割り当てる必要があります。ルーティング可能な IP アドレスを割り当てると、IDS-Sensor インターフェイス自体が攻撃に対して脆弱になることがあります。これは、NME IPS がルーティング可能な IP アドレスによってネットワーク上に露出する(ルータの外部で NME IPS と通信できる)ためです。この脆弱性に対応するには、IDS-Sensor インターフェイスにアンナンバード IP アドレスを割り当てます。これにより、NME IPS IP アドレスは、ルータと NME IPS の間でローカルにのみ使用され、NME IPS との間にセッションを確立する目的のために分離されます。
(注) アプリケーション ソフトウェアをインストールするか、モジュールのイメージを再作成する前に、ブートローダを始動するセッションを開始します。ソフトウェアのインストール後、アプリケーションを始動するセッションを開始します。
IDS-Sensor インターフェイスを設定する手順については、「ルータでの IDS-Sensor インターフェイスの設定」を参照してください。
セッションの開閉
(注) ルータから NME IPS を初期化する必要があります(setup コマンドを実行します)。ネットワークを設定すると、SSH と Telnet を使用できるようになります。
NME IPS からモジュールとのセッションを確立するには、 service-module ids-sensor slot / port session コマンドを使用します。Ctrl キーと Shift キーを押した状態で 6 を押してから、x キーを押して、セッション プロンプトをルータ プロンプトに戻します。NME IPS プロンプトからルータ プロンプトに戻ります。空白行で Enter を押して、セッション プロンプト(これもルータ プロンプト)に戻ります。ルータ コマンドの実行後にセッションに戻る場合にだけ、ルータとのセッションを一時停止する必要があります。NME IPS セッションに戻る予定がない場合は、セッションを一時停止する代わりに、セッションを閉じる必要があります。
セッションを閉じる場合は、NME IPS CLI から完全にログアウトします。新しいセッション接続では、ログインのためにユーザ名とパスワードが必要です。一時停止したセッションでは、CLI にログインしたままになります。 session コマンドで接続した場合は、ユーザ名とパスワードを入力せずに、同じ CLI に戻ることができます。
(注) Telnet クライアントには多くの種類があります。クライアントによっては、Ctrl キーを押した状態で 6 を押してから x キーを押す必要があります。制御文字は、^^、Ctrl-^、または ASCII 値 30(16 進数では 1E)で表されます。
NME IPS とのセッションを開始および閉じるには、次の手順に従います。
ルータにログインします。
ステップ 2 NME IPS のステータスをチェックし、動作していることを確認します。
ステップ 3 ルータから NME IPS へのセッションを開きます。
ステップ 4 モジュール セッションを終了または一時停止して、閉じます。
(注) IPS CLI のサブモードを開始している場合は、すべてのサブモードを終了する必要があります。センサーのログイン プロンプトが表示されるまで、exit と入力します。
router# プロンプトで
exit と入力してください。
• NME IPS との間のセッションを一時停止し、閉じるには、Ctrl キーと Shift キーを押した状態で 6 を押します。すべてのキーから指を離してから、x キーを押します。
(注) セッションでの作業が終了したら、ルータに戻ってセッション(IPS アプリケーション)とモニタ対象のルータ インターフェイスの間の関連付けを確立する必要があります。
NME IPS を初期化する手順については、「NME IPS の高度な設定」を参照してください。
NME IPS のステータスの表示
NME IPS のステータスと統計情報を表示するには、特権 EXEC モードで、 service-module ids-sensor slot/port status コマンドを使用します。
NME IPS のステータスを表示するには、次の手順に従います。
ルータにログインします。
ハートビート リセットのイネーブル化とディセーブル化
NME IPS のハートビートをリセットするには、特権 EXEC モードで、 service-module ids-sensor slot/port heartbeat reset {enable | disable } コマンドを使用します。
NME IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、NME IPS ハートビートが失われることがあります。
NME IPS ハートビートが失われた場合、ルータは、NME IPS に fail-open または fail-close の設定オプションを適用し、NME IPS へのトラフィックの送信を停止し、NME IPS をエラー状態に設定します。ルータは、NME IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで NME IPS をモニタします。
(注) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによるモジュールのリセットが防止されます。
NME IPS のハートビートをリセットするには、次の手順に従います。
ルータにログインします。
ステップ 3 ハートビート リセットのステータスを確認します。
ステップ 4 NME IPS でハートビートをディセーブルにするには、次のコマンドを実行します。
ステップ 5 NME IPS でハートビートを再びイネーブルにするには、次のコマンドを実行します。
• NME IPS をアップグレードする手順については、「センサーのアップグレード」を参照してください。
• NME IPS システム イメージをインストールする手順については、「NME IPS システム イメージのインストール」を参照してください
NME IPS のリブート、リセット、およびシャットダウン
ここでは、NME IPS をシャットダウンする場合と方法について説明します。次の項目について説明します。
• 「NME IPS のリブート、リセット、およびシャットダウン」
NME IPS ステータス モニタリング
NME IPS は RBCP を使用して、そのステータスをモニタします。RBCP は、SensorApp ではなく、NME IPS のメイン アプリケーションによってモニタされます。NME IPS のメイン アプリケーションに障害が発生した場合、RBCP ハートビート応答は NME IPS から返されません。ルータで、NME IPS に障害が発生したと判断された場合、RBCP を通じて reload コマンドが発行され、NME IPS で Linux カーネルがリブートされます。NME IPS の修復を試みている間、ルータは設定したフェールオーバー処理によって決定されるモードで動作します。
SensorApp の処理は停止する場合がありますが、NME IPS のメイン アプリケーションは、RBCP パケットの処理を続けます。この場合、NME IPS に対して設定したバイパス設定に従って、IPS CLI、IDM、または IME により、パケットが処理されます。
次のような 2 つの状況で、NME IPS はシャットダウンされます。
• ハードウェアまたはソフトウェアのエラーにより障害が発生した場合。ルータは、RBCP ハートビートの損失を通じて、これを検出できます。
• SensorApp の詳細については、「SensorApp」を参照してください。
• ソフトウェア バイパスの詳細については、「インライン バイパス モードの設定」を参照してください。
NME IPS のリブート、リセット、およびシャットダウン
NME IPS のリブート、リセット、およびシャットダウンを行うには、特権 EXEC モードで、 service-module ids-sensor slot/port [ reload | reset | shutdown ] コマンドを使用します。
NME IPS のリブート、リセット、およびシャットダウンを行うには、次の手順に従います。
ルータにログインします。
ステップ 3 NME IPS でオペレーティング システムを正常に停止し、リブートするには、次のコマンドを実行します。
ステップ 4 NME IPS でハードウェアをリセットするには、次のコマンドを実行します。
(注) NME IPS には、永続的なストレージ デバイスとして機能するコンパクト フラッシュ デバイスが搭載されています(ハードディスク ドライブではありません)。
ステップ 5 NME IPS で実行中のアプリケーションをシャットダウンするには、次のコマンドを実行します。
新しいコマンドと変更されたコマンド
(注) その他の Cisco IOS ソフトウェア コマンドについては、Cisco.com(http://www.cisco.com/en/US/products/ps6441/index.html)の『Cisco IOS Release 12.4(20)T Command Reference』を参照してください。
ここでは、次の Cisco IOS の新しいコマンドと変更されたコマンド、および NME IPS を設定するために使用する特定のコマンドについて説明します。次の項目について説明します。
• 「service-module ids-sensor bootmode」
interface ids-sensor
IPS センサー インターフェイスを設定し、config-if モードを開始するには、config モードで interface ids-sensor コマンドを使用します。モジュールの障害時にルータでトラフィック検査を処理する方法を指定するには、config-if モードで service-module コマンドを使用します。デフォルトはフェール オープンです。
構文の説明
| 引数の間には、スラッシュ記号が必要です。 | |
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
interface ids-sensor slot/port コマンドでは、config-if モードを開始し、IPS センサー スロットおよびポートを設定できます。NME IPS で、スロットの値は、ルータでモジュールが取り付けられている物理的な場所を判定することによって指定され、ポート番号は 0 です。
例
次の例は、interface IDS-Sensor コマンドを使用して、スロット 1、ポート 0 で、NME IPS の config-if モードを開始する方法を示しています。
次の例は、 ip unnumbered サブコマンドとともに interface ids-sensor コマンドを使用して、ルータ コマンドおよび制御インターフェイスを指定する方法を示しています。
次の例は、ハードウェアの障害時に、すべてのトラフィックはモジュールを通過するが、トラフィック検査は実行しないように、service-module fail-open コマンドを使用して NME IPS を設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
interface interface_name
config-if モードを開始するには、無差別モードまたはインライン モードでモニタリング用にインターフェイスを設定し、インライン モニタリングに標準 ACL または拡張 ACL を適用し、config モードで interface interface_name コマンドを使用します。
ids-service-module monitoring { promiscuous | inline } access-list number
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
interface interface_name コマンドでは、config-if モードを開始し、インターフェイスに対してインライン モードまたは無差別モードで動作するようにルータを設定できます。
例
次の例は、interface コマンドを使用して config-if モードを開始し、ACL 101 を使用して GigabitEthernet0/0 のモニタリングを設定する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-module ids-sensor
ハートビートが失われたときに、Cisco IOS software が NME IPS をリブートすることを防ぎ、モジュールに対してリブート、リセット、コンソール アクセスのイネーブル化、シャットダウン、統計情報の表示、ステータスのモニタを実行するには、特権 EXEC モードで service-module ids-sensor コマンドを使用します。
service-module ids-sensor slot/port {heartbeat-reset {enable | disable} reload | reset | session | shutdown | status}
構文の説明
| 引数の間には、スラッシュ記号が必要です。 | |
ハートビート リセットをイネーブルまたはディセーブルにします。デフォルトではイネーブルになっています。 (注) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによる NME IPS のリセットが防止されます。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
NME IPS がフェールセーフ モードでブートされるか、アップグレード中の場合、 service-module ids heartbeat-reset コマンドを使用するとプロセス中のリブートを防止できます。アップグレード中にハートビート リセットをイネーブルのままにした場合、NME IPS ハートビートが失われることがあります。
NME IPS ハートビートが失われた場合、ルータは、NME IPS に fail-open または fail-close の設定オプションを適用し、NME IPS へのトラフィックの送信を停止し、NME IPS をエラー状態に設定します。ルータは、NME IPS でハードウェア リセットを実行し、ハートビートが再確立されるまで NME IPS をモニタします。
例
次の例は、スロット 1、ポート 0 で、NME IPS のハートビートが失われた場合に、リセット アクションをディセーブルまたはイネーブルにする方法を示しています。
次の例は、NME IPS で IDS ハートビートをイネーブルにする方法を示しています。
次の例は、 service-module ids slot / port status コマンドを使用して、ハートビート リセットのステータスを表示する方法を示しています。
次の例は、NME IPS でオペレーティング システムをスムーズに停止し、リブートする方法を示しています。
次の例は、NME IPS でハードウェアをリセットする方法を示しています。警告が表示されます。
次の例では、NME IPS オペレーティング システムへのコンソール アクセスがイネーブルになります。
次の例は、NME IPS で実行中の IPS アプリケーションをシャットダウンする方法を示しています。
次の例は、IPS ソフトウェア統計情報を表示する方法を示しています。
次の例は、NME IPS の IPS ソフトウェアのステータスを表示する方法を示しています。
関連コマンド
|
|
|
|---|---|
service-module ids-sensor bootmode
NME IPS でフェールセーフ モードまたは通常ブート モードを開始するには、特権 EXEC モードで service-module ids-sensor bootmode コマンドを使用します。
service-module ids-sensor slot / port bootmode { failsafe | normal }
構文の説明
NME IPS のルータ シャーシ スロットの数。 slot 引数と port 引数の間には、スラッシュ記号( / )が必要です。 |
|
デフォルト
コマンド モード
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
例
次の例は、スロット 1、ポート 0 で、NME IPS のフェールセーフ ブート モードを開始する方法を示しています。
次の例は、NME IPS で通常ブート モードをイネーブルにする方法を示しています。
関連コマンド
|
|
|
|---|---|
フィードバック