ネットワーク設定値の変更
センサーの初期設定の後で、 setup コマンドを実行して設定したネットワーク設定の変更が必要になることがあります。ここでは、ネットワーク設定の変更方法について説明します。内容は次のとおりです。
• 「ホスト名の変更」
• 「IP アドレス、ネットマスク、およびゲートウェイの変更」
• 「Telnet のイネーブル化およびディセーブル化」
• 「アクセス リストの変更」
• 「FTP タイムアウトの変更」
• 「ログイン バナーの追加」
• 「グローバル相関用の DNS サーバおよびプロキシ サーバの設定」
ホスト名の変更
setup コマンドの実行後に、センサーのホスト名を変更するには、サービス ホスト サブモードで host-name host_name コマンドを使用します。デフォルトは sensor です。
(注) 現在のセッションおよびその他の既存のセッションの CLI プロンプトは、新しいホスト名に更新されません。その後の CLI ログイン セッションのプロンプトには、新しいホスト名が反映されます。
センサーのホスト名を変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定サブモードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 センサーのホスト名を変更します。
sensor(config-hos-net)# host-name firesafe
ステップ 4 新しいホスト名を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1 default:
host-name: firesafe default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 ホスト名をデフォルト設定に戻すには、このコマンドの default 形式を使用します。
sensor(config-hos-net)# default host-name
ステップ 6 デフォルトのホスト名のセンサーに変更されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1 default:
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
IP アドレス、ネットマスク、およびゲートウェイの変更
setup コマンドの実行後に IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更するには、サービス ホスト サブモードで host-ip ip_address/netmask,default_gateway コマンドを使用します。デフォルトは 10.1.9.201/24,10.1.9.1 です。
host-ip は、IP アドレス/ネットマスク/ゲートウェイ(X.X.X.X/nn,Y.Y.Y.Y)という形式です。X.X.X.X には、センサーの IP アドレスを 32 ビット アドレスとして、ピリオド区切りの 4 つのオクテット(X は 0 ~ 255)で表したものです。nn はネットマスク内のビット数を指定し、Y.Y.Y.Y はデフォルトのゲートウェイを 32 ビット アドレスとして、ピリオド区切りの 4 つのオクテット(Y は 0 ~ 255)で指定します。
センサーの IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定モードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 センサーの IP アドレス、ネットマスク、およびデフォルト ゲートウェイを変更します。
sensor(config-hos-net)# host-ip 10.89.146.110/24,10.89.146.254
(注) デフォルト ゲートウェイは、センサーの IP アドレスと同じサブネット内に存在する必要があります。そうでない場合、センサーはエラーを生成して設定変更を受け入れません。
ステップ 4 新しい情報を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.146.110/24,10.89.146.254
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 情報をデフォルト設定に戻すには、このコマンドの default 形式を使用します。
sensor(config-hos-net)# default host-ip
ステップ 6 ホスト IP がデフォルトの 10.1.9.201/24,10.1.9.1 になったことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
Telnet のイネーブル化およびディセーブル化
注意 Telnet はセキュアなアクセス サービスではないため、デフォルトでは無効になっています。ただし、センサー上でセキュアなサービスである SSH が常時実行されています。
センサーへのリモート アクセスとして Telnet をイネーブルにするには、サービス ホスト サブモードで telnet-option {enabled | disabled} コマンドを使用します。デフォルトではディセーブルになっています。
Telnet サービスをイネーブルまたはディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定モードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 Telnet サービスをイネーブルにします。
sensor(config-hos-net)# telnet-option enabled
ステップ 4 Telnet がイネーブルになっていることを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 6 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
(注) センサーに Telnet で接続する場合は、Telnet をイネーブルにし、Telnet クライアントに接続を許可するようアクセス リストを設定する必要があります。
詳細情報
アクセス リストを設定する手順については、「アクセス リストの変更」を参照してください。
アクセス リストの変更
センサーにアクセスするホストまたはネットワークのリストであるアクセス リストを設定するには、サービス ホスト サブモードで access-list ip_address/netmask コマンドを使用します。リストからエントリを削除するには、このコマンドの no 形式を使用します。デフォルトのアクセス リストは空です。
次のホストをアクセス リストに登録する必要があります。
• センサーに Telnet 接続する必要があるホスト。
• センサーに対して SSH を使用する必要があるホスト。
• Web ブラウザからセンサーにアクセスする必要があるホスト(IDM や IME など)。
• センサーへのアクセスが必要な管理ステーション(CSM など)。
• センサーがマスター ブロッキング センサーである場合は、ブロッキング転送センサーの IP アドレスのエントリがリストに必要です。
アクセス リストを変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定モードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 アクセス リストにエントリを追加します。
sensor(config-hos-net)# access-list 10.89.146.110/32
単一ホストのネットマスクは 32 です。
ステップ 4 アクセス リストに加えた変更を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 2)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
network-address: 10.89.146.110/32
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 アクセス リストからエントリを削除します。
sensor(config-hos-net)# no access-list 10.89.146.110/32
ステップ 6 エントリが削除されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.1.9.201/24,10.1.9.1 <defaulted>
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 10.1.9.0/24
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ホストがリストからなくなっています。
ステップ 7 値をデフォルトに戻します。
sensor(config-hos-net)# default access-list
ステップ 8 値がデフォルトに戻されていることを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 0)
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
リストにはホストもネットワークも存在しません。
ステップ 9 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 10 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
FTP タイムアウトの変更
(注) FTP クライアントを使用して、FTP サーバから更新およびコンフィギュレーション ファイルをダウンロードすることができます。
センサーと FTP サーバとの通信中にタイムアウトになるまで FTP クライアントが待機する秒数を変更するには、サービス ホスト サブモードで ftp-timeout コマンドを使用します。デフォルトは 300 秒です。
FTP タイムアウトを変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定モードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 FTP タイムアウトの秒数を変更します。
sensor(config-hos-net)# ftp-timeout 500
ステップ 4 FTP タイムアウトの変更を確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 500 seconds default: 300
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 5 値をデフォルトに戻します。
sensor(config-hos-net)# default ftp-timeout
ステップ 6 値がデフォルトに戻されていることを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
ログイン バナーの追加
ログイン時に表示されるログイン バナーを追加するには、 login-banner-text text_message コマンドを使用します。デフォルト設定はありません。メッセージ中に改行を挿入するには、Ctrl キーを押した状態で V キーを押してから Enter を押します。
ログイン バナーを追加するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定モードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 バナー ログイン テキストを追加します。
sensor(config-hos-net)# login-banner-text This is the banner login text message.
ステップ 4 バナー ログイン テキストのメッセージを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: This is the banner login text message. default:
-----------------------------------------------
ステップ 5 ログイン バナー テキストを削除するには、このコマンドの no 形式を使用します。
sensor(config-hos-net)# no login-banner-text
ステップ 6 ログイン テキストが削除されたことを確認します。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.130.108/23,10.89.130.1
default: 10.1.9.201/24,10.1.9.1
host-name: sensor default: sensor
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: default:
-----------------------------------------------
ステップ 7 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 8 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
グローバル相関用の DNS サーバおよびプロキシ サーバの設定
注意 グローバル相関が機能するには、DNS サーバまたは HTTP プロキシ サーバのどちらが必ず設定されている必要があります。
注意 DNS 解決は、グローバル相関更新サーバへのアクセスについてのみサポートされます。
グローバル相関をサポートするには、HTTP プロキシ サーバまたは DNS サーバのどちらかを設定する必要があります。ネットワークでプロキシを使用する場合は、HTTP プロキシ サーバでグローバル相関の更新のダウンロードが必要になることがあります。DNS サーバを使用する場合は、DNS サーバを少なくとも 1 つ設定する必要があり、グローバル相関の更新を正常に行うには、到達可能になっている必要があります。他の DNS サーバはバックアップ サーバとして設定できます。DNS クエリーは、リストの最初のサーバに送信されます。それが到達不能である場合は、次に設定されている DNS サーバに DNS クエリーが送信されます。
グローバル相関機能をサポートするようサーバを設定するには、ネットワーク設定サブモードで次のオプションを使用します。
次のオプションが適用されます。
• http-proxy {no-proxy | proxy-sensor}
– address ip_address
– port port_number
• dns-primary-server {enabled | disabled}
– address ip_address
• dns-secondary-server {enabled | disabled}
– address ip_address
• dns-tertiary-server {enabled | disabled}
– address ip_address
グローバル相関をサポートするよう DNS サーバおよび HTTP プロキシ サーバを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 ネットワーク設定サブモードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# network-settings
ステップ 3 グローバル相関をサポートするよう、プロキシ サーバまたは DNS サーバをイネーブルにします。
a. HTTP プロキシ サーバをイネーブルにします。
sensor(config-hos-net)# http-proxy proxy-server
sensor(config-hos-net-pro)# address 10.10.10.1
sensor(config-hos-net-pro)# port 65
sensor(config-hos-net-pro)#
b. DNS サーバをイネーブルにします。
sensor(config-hos-net)# dns-primary-server enabled
sensor(config-hos-net-ena)# address 10.10.10.1
sensor(config-hos-net-ena)#
ステップ 4 設定を確認できます。
sensor(config-hos-net)# show settings
-----------------------------------------------
host-ip: 10.89.147.24/25,10.89.147.126 default: 192.168.1.2/24,192.168.1.1
host-name: sensor <defaulted>
telnet-option: enabled default: disabled
access-list (min: 0, max: 512, current: 1)
-----------------------------------------------
network-address: 0.0.0.0/0
-----------------------------------------------
-----------------------------------------------
ftp-timeout: 300 seconds <defaulted>
login-banner-text: <defaulted>
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 5 ネットワーク設定モードを終了します。
sensor(config-hos-net)# exit
ステップ 6 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
グローバル相関機能の詳細については、「グローバル相関の設定」を参照してください。
Web サーバ設定の変更
(注) デフォルトの Web サーバ ポートは、TLS がイネーブルになっている場合は 443 です。TLS がディセーブルになっている場合は 80 です。
setup コマンドの実行後に、Web サーバ設定で Web サーバ ポート、TLS 暗号化を使用するかどうか、および HTTP サーバ ヘッダー メッセージを変更できます。
HTTP は、Web クライアントが Web サーバから要求を行うときに使用するプロトコルです。HTTP 仕様では、応答するたびにサーバは自身を識別する必要があります。攻撃者は、このプロトコルの機能を利用して偵察を行うことがあります。IPS Web サーバが予測どおりに応答を返してサーバ自身を識別すると、攻撃者は IPS センサーの存在を知ることになります。
IPS センサーの存在を攻撃者に知られないようにしてください。特に、使用する Web サーバにインターネットからアクセスできる場合は、情報を一切明かさないような内容に server-id を変更してください。たとえば、センサーをリモートでモニタできるようにファイアウォールを介してポートを転送している場合は、 server-id を設定する必要があります。
Web サーバの設定を変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 Web サーバ モードを開始します。
sensor# configure terminal
sensor(config)# service web-server
ステップ 3 ポート番号を変更します。
sensor(config-web)# port 8080
ポート番号をデフォルトの 443 から 8080 に変更すると、次のメッセージが表示されます。
Warning: The web server’s listening port number has changed from 443 to 8080. This change will not take effect until the web server is re-started
ステップ 4 TLS をイネーブルまたはディセーブルにします。
sensor(config-web)# enable-tls {true | false}
TLS をディセーブルにすると、次のメッセージが表示されます。
Warning: TLS protocol support has been disabled. This change will not take effect until the web server is re-started.
ステップ 5 HTTP サーバ ヘッダーを変更します。
sensor(config-web)# server-id Nothing to see here. Move along.
ステップ 6 Web サーバの変更を確認します。
sensor(config-web)# show settings
enable-tls: true default: true
server-id: Nothing to see here. Move along. default: HTTP/1.1 compliant
ステップ 7 デフォルトに戻すには、このコマンドの default 形式を使用します。
sensor(config-web)# default port
sensor(config-web)# default enable-tls
sensor(config-web)# default server-id
ステップ 8 デフォルトに置き換えられたことを確認します。
sensor(config-web)# show settings
enable-tls: true <defaulted>
server-id: HTTP/1.1 compliant <defaulted>
configurable-service (min: 0, max: 99, current: 1)
-----------------------------------------------
service-name: rdep-event-server
-----------------------------------------------
enabled: true default: false
file-name: event-server <protected>
-----------------------------------------------
-----------------------------------------------
ステップ 9 Web サーバ サブモードを終了します。
ステップ 10 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
(注) ポートを変更したり TLS 設定をイネーブルにした場合、Web サーバで新しい設定を使用するには、センサーをリセットする必要があります。
詳細情報
• アプライアンスをリセットする手順については、「アプライアンスのリセット」を参照してください。
• AIM IPS をリセットする手順については、「AIM IPS のリブート、リセット、およびシャットダウン」を参照してください。
• AIP SSM をリセットする手順については、「AIP SSM のリロード、シャットダウン、リセット、および回復」を参照してください。
• IDSM2 をリセットする手順については、「IDSM2 のリセット」を参照してください。
• NME IPS をリセットする手順については、「NME IPS のリブート、リセット、およびシャットダウン」を参照してください。
認証およびユーザ パラメータの設定
ここでは、ユーザの作成、RADIUS 認証の設定、サービス アカウントの作成、パスワードの設定、権限レベルの指定、ユーザ リストの表示、パスワード ポリシーの設定、およびユーザ アカウントのロックとロック解除の方法について説明します。次の項目について説明します。
• 「ユーザの追加と削除」
• 「認証の設定」
• 「サービス アカウントの作成」
• 「サービス アカウントと RADIUS 認証」
• 「RADIUS 認証の機能と制限」
• 「パスワードの設定」
• 「ユーザの権限レベルの変更」
• 「ユーザ ステータスの表示」
• 「パスワード ポリシーの設定」
• 「アカウント ロックの設定」
• 「ロックされているアカウントのロック解除」
ユーザの追加と削除
ローカル システムでユーザを作成するには、 username コマンドを使用します。新しいユーザの追加、権限レベル(administrator、operator、viewer)の設定、および新規ユーザのパスワードの設定を実行できます。システムからユーザを削除するには、このコマンドの no 形式を使用します。これで、CLI アクセスおよび Web アクセスからユーザが削除されます。
注意
username コマンドは、ログインだけを目的としてユーザ名とパスワードの認証を行います。システムにログインしているユーザの削除に、このコマンドは使用できません。このコマンドで、自分自身をシステムから削除することはできません。
パスワードを指定しないと、入力を要求されます。既存のユーザのパスワードを変更するには、 password コマンドを使用します。既存のユーザの権限を変更するには、 privilege コマンドを使用します。
ユーザ名のパターンは ^[A-Za-z0-9()+:,_/-]+$ です。つまり、ユーザ名は文字または数字で開始する必要があり、A から Z の任意の文字(大文字または小文字)、0 から 9 の任意の数字、- および _ を使用できます。文字数は 1 ~ 64 文字にできます。パスワードは、センサー管理者が設定した要件に従う必要があります。
有効なパスワードを作成しなかった場合、次のエラー メッセージが表示されます。
• Error: setEnableAuthenticationTokenStatus : The password is too short.
• Error: setEnableAuthenticationTokenStatus : Failure setting the account's password: it does not contain enough DIFFERENT characters
(注) privilege コマンドを使用してユーザにサービス権限を与えることはできません。既存のユーザにサービス権限を与えるには、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成します。
ユーザを追加および削除するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 ユーザのパラメータを指定します。
sensor(config)# username username password password
privilege administrator/operator/viewer
(注) ユーザ名のパターンは ^[A-Za-z0-9()+:,_/-]+$ です。つまり、ユーザ名は文字または数字で開始する必要があり、A から Z の任意の文字(大文字または小文字)、0 から 9 の任意の数字、- および _ を使用できます。文字数は 1 ~ 64 文字にできます。パスワードは、センサー管理者が設定した要件に従う必要があります。
たとえば、ユーザ「tester」を管理者権限レベルとパスワード「testpassword」で追加するには、次のコマンドを入力します。
(注) パスワードをクリア テキストで表示したくない場合は、パスワード プロンプトが表示されるまで待ってください。パスワードをユーザ名および権限と同時に入力しないでください。
sensor(config)# username tester privilege administrator
Enter Login Password: ************
Re-enter Login Password: ************
(注) ユーザの権限レベルを指定しない場合、そのユーザにはデフォルトのビューア(viewer)権限が割り当てられます。
ステップ 4 ユーザが追加されたことを確認します。
* 13491 cisco administrator
ユーザのリストが表示されます。
ステップ 5 ユーザを削除するには、このコマンドの no 形式を使用します。
sensor# configure terminal
sensor(config)# no username jsmith
(注) このコマンドで、自分自身をシステムから削除することはできません
ステップ 6 ユーザが削除されたことを確認します。
* 13491 cisco administrator
ユーザ jsmith
が削除されました。
詳細情報
• サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。
• ローカル認証または RADIUS 認証を設定する手順については、「認証の設定」を参照してください。
認証の設定
注意 RADIUS 認証をセンサーに設定する前に、RADIUS サーバがすでに設定されていることを確認してください。IPS 7.0(4) は CiscoSecure ACS 4.2 サーバでテストされています。RADIUS サーバのセットアップ方法については、ご使用の RADIUS サーバのマニュアルを参照してください。
ローカル センサーでは、ユーザの作成および削除を行えます。一度に変更できるユーザ アカウントは 1 つだけです。各ユーザにはロールが関連付けられており、ロールによって、そのユーザで実行できること、および変更できないものが制御されます。ユーザ パスワードに必要な要件は、 password コマンドを使用して設定できます。
ユーザ認証は、ローカルまたは RADIUS サーバのいずれかによって AAA を使用して行われます。ローカル認証は、デフォルトでイネーブルになっています。RADIUS 認証をアクティブにするには、設定する必要があります。
RADIUS によって認証するユーザ ロールを指定する必要があります。このためには、RADIUS サーバ上にユーザ ロールを設定するか、またはデフォルトのユーザ ロールを指定します。ユーザ名およびパスワードは、認証要求に含められ、設定されている RADIUS サーバに送信されます。サーバの応答によって、ログインが認証されるかどうかが決まります。
(注) デフォルトのユーザ ロールを使用するようにセンサーが設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message に存在しない場合は、CiscoSecure ACS サーバがユーザ名およびパスワードを承認した場合であっても、センサーは RADIUS 認証を拒否します。
プライマリ RADIUS サーバとセカンダリ RADIUS サーバを設定することができます。セカンダリ RADIUS サーバは、プライマリ RADIUS サーバが応答しない場合に、ユーザの認証および認可を行います。
どの RADIUS サーバも応答しない場合はローカル認証を使用する(ローカル フォールバック)よう、センサーを設定することもできます。この場合、センサーは、ローカルに設定されているユーザ アカウントとの照合によって認証を行います。センサーがローカル認証を使用するのは、RADIUS サーバが使用できない場合のみであり、RADIUS サーバがユーザの認証要求を拒否した場合ではありません。
コンソール ポートから接続するユーザの認証方法についても、ローカル ユーザ アカウントを使用するか、最初に RADIUS を使用し、失敗した場合にローカル ユーザ アカウントを使用するか、あるいは RADIUS だけを使用するかを設定できます。ローカル フォールバックをイネーブルにしている場合、SSH および Telnet セッションではローカル アカウントとして認証が試行されます。ローカル フォールバックをディセーブルにしている場合、SSH および Telnet セッションは失敗します。
[Authentication] ペインで RADIUS サーバを設定するときには、RADIUS サーバの IP アドレス、ポート、および共有秘密が必要です。また、RADIUS サーバの NAS-ID も必要です。あるいは、NAS-ID を持たないクライアントを認証するように、もしくはデフォルトの IPS NAS-ID「cisco-ips」のクライアントを認証するように RADIUS サーバを設定しておく必要があります。
(注) センサーの RADIUS 認証をイネーブルにしても、その前に確立されていた接続は切断されません。RADIUS 認証は、センサーへの新しい接続についてのみ実施されます。既存の CLI、IDM、および IME 接続は、RADIUS 認証の設定前に使用したログイン資格情報で確立された状態が維持されます。このような確立済みの接続を強制切断するには、RADIUS を設定した後にセンサーをリセットする必要があります。
RADIUS 認証オプション
ローカル認証または RADIUS サーバを使用する認証のどちらかを設定するには、サービス aaa サブモードで aaa コマンドを使用します。
次のオプションが適用されます。
• local :ローカル認証を指定します。続けてユーザを作成するには、 password コマンドを使用します。
• radius :認証方法として RADIUS を次のように指定します。
– nas-id :認証を要求しているサービスを識別します。値には、 no nas-id 、 cisco-ips 、または、すでに RADIUS サーバ上に設定されている NAS-ID を指定できます。デフォルトは cisco-ips です。
– default-user-role :センサーでのデフォルトのユーザ ロールを割り当てます。これは、ユーザ ロールを指定したシスコの AV ペアが存在しない場合にのみ適用されます。値は、 unspecified 、 viewer 、 operator 、または administrator を指定できます。service はデフォルト ロールに指定できません。デフォルトは unspecified です。
シスコの AV ペアが存在しない場合に適用されるデフォルトのユーザ ロールをセンサーに設定しない場合は、Cisco IOS/PIX 6.x RADIUS 属性 [009¥001] の cisco-av-pair を、 ips-role=viewer 、 ips-role=operator 、 ips-role=administrator 、または ips-role=service のいずれかのオプションを使用してグループまたはユーザ プロファイルの下に設定する必要があります。
(注) デフォルトのユーザ ロールを使用するようにセンサーが設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message に存在しない場合は、CiscoSecure ACS サーバがユーザ名およびパスワードを承認した場合であっても、センサーは RADIUS 認証を拒否します。
(注) デフォルトのユーザ ロールが使用されるのは、ACS サーバ上でユーザに特定のロールが設定されていない場合のみです。ローカル ユーザには必ず特定のロールが設定されているため、ローカルで認証されるユーザにデフォルトのユーザ ロールが適用されることはありません。
– local-fallback {enabled | disabled} :RADIUS サーバが応答しない場合にデフォルトのローカル認証を使用します。デフォルトは enabled です。
• primary-server :メインの RADIUS サーバを次のように設定します。
– server-address :RADIUS サーバの IP アドレス。
– server-port :RADIUS サーバのポート。指定しない場合、デフォルトの RADIUS ポートが使用されます。
– timeout (seconds):センサーが RADIUS サーバからの応答を待機する秒数。この時間が経過すると、センサーはサーバを無応答と見なします。
– shared-secret :RADIUS サーバに設定されている秘密値。この shared-secret コマンドを指定するには、RADIUS サーバの秘密値を入手しておく必要があります。
(注) サーバがクライアントからの要求を認証し、クライアントがサーバからの応答を認証できるようにするには、RADIUS サーバと IPS センサーの両方に同じ秘密値を設定する必要があります。
• secondary-server {enabled | disabled} (任意):セカンダリ RADIUS サーバを次のように設定します。
– server-address :RADIUS サーバの IP アドレス。
– server-port :RADIUS サーバのポート。指定しない場合、デフォルトの RADIUS ポートが使用されます。
– timeout (seconds):センサーが RADIUS サーバからの応答を待機する秒数。この時間が経過すると、センサーはサーバを無応答と見なします。
– shared-secret :RADIUS サーバに設定されている秘密値。この shared-secret コマンドを指定するには、RADIUS サーバの秘密値を入手しておく必要があります。
(注) サーバがクライアントからの要求を認証し、クライアントがサーバからの応答を認証できるようにするには、RADIUS サーバと IPS センサーの両方に同じ秘密値を設定する必要があります。
• console-authentication :コンソール ポートから接続するユーザの認証方法を選択します。
(注) ASA の session コマンドで作成されたログイン セッションは、コンソール ログインとして認証されます。
– local :コンソール ポートから接続するユーザは、ローカル ユーザ アカウントを使用して認証されます。
– radius-and-local :コンソール ポートから接続するユーザは、最初に RADIUS を使用して認証されます。RADIUS が失敗した場合は、ローカル認証が試行されます。これがデフォルトです。
– radius :コンソール ポートから接続するユーザは、RADIUS によって認証されます。 local-fallback もイネーブルにした場合は、ローカル ユーザ アカウントを使用したユーザ認証も可能になります。
ローカルまたは RADIUS 認証の設定
注意 RADIUS 認証をセンサーに設定する前に、RADIUS サーバがすでに設定されていることを確認してください。IPS 7.0(4) は CiscoSecure ACS 4.2 サーバでテストされています。RADIUS サーバのセットアップ方法については、ご使用の RADIUS サーバのマニュアルを参照してください。
(注) センサーの RADIUS 認証をイネーブルにしても、その前に確立されていた接続は切断されません。RADIUS 認証は、センサーへの新しい接続についてのみ実施されます。既存の CLI、IDM、および IME 接続は、RADIUS 認証の設定前に使用したログイン資格情報で確立された状態が維持されます。このような確立済みの接続を強制切断するには、RADIUS を設定した後にセンサーをリセットする必要があります。
センサーにローカル認証または RADIUS 認証を設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 AAA サブモードを開始します。
sensor(config)# service aaa
ステップ 4 ローカル認証を設定します。続いてローカル システムにユーザを作成する場合は、 yes と入力して設定を保存し、端末設定モードで username コマンドを使用します。AAA RADIUS 認証を設定するには、ステップ 5 に進みます。
sensor(config-aaa)# aaa local
ステップ 5 AAA RADIUS 認証を設定します。
a. RADIUS 認証サブモードを開始します。
sensor(config-aaa)# aaa radius
b. ネットワーク アクセス ID を入力します。NAS-ID とは、認証を試行しているサービスの種類を通知するために、クライアントがサーバに送信する ID です。値には、 no nas-id 、 cisco-ips 、または、すでに RADIUS サーバ上に設定されている NAS-ID を指定できます。デフォルトは cisco-ips です。
sensor(config-aaa-rad)# nas-id cisco-ips
c. (任意)シスコの AV ペアを設定していない場合は、デフォルトのユーザ ロールを設定します。ユーザ ロールを指定したシスコの AV ペアが存在しない場合に限り適用されるデフォルトのユーザ ロールを、センサーに設定することができます。値は、 unspecified 、 viewer 、 operator 、または administrator です。デフォルトは unspecified です。
sensor(config-aaa-rad)# default-user-role operator
(注) service はデフォルトのユーザ ロールに指定できません。
d. シスコの AV ペアを設定します。シスコの AV ペアが存在しない場合に適用されるデフォルトのユーザ ロールをセンサーに設定しない場合は、Cisco IOS/PIX 6.x RADIUS 属性 [009¥001] の cisco-av-pair を、次のいずれかのオプションを使用してグループまたはユーザ プロファイルの下に設定する必要があります。
– ips-role=viewer
– ips-role=operator
– ips-role=administrator
– ips-role=service
(注) デフォルトのユーザ ロールを使用するようにセンサーが設定されておらず、センサーのユーザ ロール情報が CiscoSecure ACS サーバの Accept Message に存在しない場合は、CiscoSecure ACS サーバがユーザ名およびパスワードを承認した場合であっても、センサーは RADIUS 認証を拒否します。
(注) デフォルトのユーザ ロールが使用されるのは、ACS サーバ上でユーザに特定のロールが設定されていない場合のみです。ローカル ユーザには必ず特定のロールが設定されているため、ローカルで認証されるユーザにデフォルトのユーザ ロールが適用されることはありません。
e. RADIUS サーバが無応答状態になった場合にはローカル認証に切り替えるようにセンサーを設定します。
sensor(config-aaa-rad)# local-fallback enabled
ステップ 6 プライマリ RADIUS サーバを次のように設定します。
a. プライマリ サーバ サブモードを開始します。
sensor(config-aaa-rad)# primary-server
sensor(config-aaa-rad-pri)#
b. RADIUS サーバの IP アドレスを入力します。
sensor(config-aaa-rad-pri)# server-address 10.1.2.3
sensor(config-aaa-rad-pri)#
c. RADIUS サーバのポートを入力します。指定しない場合、デフォルトの RADIUS ポートが使用されます。
sensor(config-aaa-rad-pri)# server-port 1812
sensor(config-aaa-rad-pri)#
d. RADIUS サーバからの応答を待機する時間(秒数)を入力します。
sensor(config-aaa-rad-pri)# time-out 5
sensor(config-aaa-rad-pri)#
e. RADIUS サーバから取得した秘密値を入力します。共有秘密とは、セキュアな通信を行う当事者だけが知るデータです。
sensor(config-aaa-rad-pri)# shared-secret mysharedsecret
sensor(config-aaa-rad-pri)#
(注) サーバがクライアントからの要求を認証し、クライアントがサーバからの応答を認証できるようにするには、RADIUS サーバと IPS センサーの両方に同じ秘密値を設定する必要があります。
ステップ 7 (任意)プライマリ RADIUS サーバが応答しない場合に認証を実行するセカンダリ RADIUS サーバをイネーブルにします。
a. セカンダリ サーバ サブモードを開始します。
sensor(config-aaa-rad)# secondary-server enabled
sensor(config-aaa-rad-sec)#
b. セカンダリ RADIUS サーバの IP アドレスを入力します。
sensor(config-aaa-rad-sec)# server-address 10.4.5.6
sensor(config-aaa-rad-sec)#
c. RADIUS サーバのポートを入力します。指定しない場合、デフォルトの RADIUS ポートが使用されます。
sensor(config-aaa-rad-sec)# server-port 1812
sensor(config-aaa-rad-sec)#
d. RADIUS サーバからの応答を待機する時間(秒数)を入力します。
sensor(config-aaa-rad-sec)# time-out 8
sensor(config-aaa-rad-sec)#
e. RADIUS サーバ用に取得した秘密値を入力します。共有秘密とは、セキュアな通信を行う当事者だけが知るデータです。
sensor(config-aaa-rad-sec)# shared-secret mysharedsecret
sensor(config-aaa-rad-sec)#
(注) サーバがクライアントからの要求を認証し、クライアントがサーバからの応答を認証できるようにするには、RADIUS サーバと IPS センサーの両方に同じ秘密値を設定する必要があります。
ステップ 8 コンソール認証の種類を指定します。local、local and RADIUS、または RADIUS から選択できます。
(注) ASA の session コマンドで作成されたログイン セッションは、コンソール ログインとして認証されます。
sensor(config-aaa-rad)# console-authentication radius-and-local
ステップ 9 設定を確認します。
sensor(config-aaa-rad)# show settings
-----------------------------------------------
-----------------------------------------------
server-port: 1812 <defaulted>
shared-secret: mysharedsecret
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
server-port: 1816 default: 1812
shared-secret: mysharedsecret
-----------------------------------------------
-----------------------------------------------
nas-id: cisco-ips default: cisco-ips
local-fallback: enabled default: enabled
console-authentication: radius-and-local <defaulted>
default-user-role: operator default: unspecified
-----------------------------------------------
ステップ 10 AAA モードを終了します。
sensor(config-aaa-rad)# exit
ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
詳細情報
• ユーザの追加および削除の手順については、「ユーザの追加と削除」を参照してください。
• パスワードを設定する手順については、「パスワードの設定」を参照してください。
• パスワード要件を指定する手順については、「パスワード ポリシーの設定」を参照してください。
• RADIUS およびサービス アカウントの詳細については、「サービス アカウントと RADIUS 認証」を参照してください。
サービス アカウントの作成
トラブルシューティングの際に使用する TAC 用のサービス アカウントを作成できます。センサーには複数のユーザがアクセスできますが、センサーに対するサービス権限を持てるのは 1 人のユーザだけです。サービス アカウントは、サポートの目的のためにのみ使用します。
注意 TAC の指示に基づく場合を除き、サービス アカウントを使用してセンサーに変更を加えないでください。サービス アカウントを使用してセンサーを設定すると、その設定は TAC のサポート対象外になります。サービス アカウントを使用してオペレーティング システムにサービスを追加すると、他の IPS サービスの特定のパフォーマンスと機能に影響を及ぼします。TAC は、追加のサービスが加えられたセンサーをサポートしません。
(注) サービス アカウントが作成されている場合、root ユーザのパスワードはサービス アカウントのパスワードと同期されます。root でアクセスするには、サービス アカウントでログインし、su - root コマンドでユーザ root に切り替えます。
注意 サービス アカウントを作成するかどうかは、慎重に検討する必要があります。サービス アカウントは、システムへのシェル アクセスを提供するため、システムが脆弱になります。ただし、管理者のパスワードが失われた場合は、サービス アカウントを使用してパスワードを作成できます。状況を分析して、システムにサービス アカウントを存在させるかどうかを決定してください。
サービス アカウントを追加するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 サービス アカウントのパラメータを指定します。ユーザ名のパターンは ^[A-Za-z0-9()+:,_/-]+$ です。つまり、ユーザ名は文字または数字で開始する必要があり、A から Z の任意の文字(大文字または小文字)、0 から 9 の任意の数字、- および _ を使用できます。文字数は 1 ~ 64 文字にできます。
sensor(config)# user username privilege service
ステップ 4 入力を要求されたらパスワードを指定します。パスワードは、センサー管理者が設定した要件に従う必要があります。このセンサーに対してサービス アカウントがすでに存在する場合は、次のエラー メッセージが表示され、サービス アカウントは作成されません。
Error: Only one service account may exist
ステップ 5 コンフィギュレーション モードを終了します。
サービス アカウントを使用して CLI にログインすると、次の警告が表示されます。
************************ WARNING *******************************************************
UNAUTHORIZED ACCESS TO THIS NETWORK DEVICE IS PROHIBITED. This account is intended to be used for support and troubleshooting purposes only. Unauthorized modifications are not supported and will require this device to be reimaged to guarantee proper operation.
****************************************************************************************
サービス アカウントと RADIUS 認証
RADIUS 認証を使用する場合に、サービス アカウントを作成して使用するには、サービス アカウントをセンサーと RADIUS サーバの両方に作成する必要があります。
センサーのサービス アカウントにアクセスするには、ローカル認証を使用する必要があります。サービス アカウントは、センサーにローカル アカウントとして手動で作成する必要があります。その後、RADIUS 認証を設定するときに、そのサービス アカウントを RADIUS サーバにも、accept メッセージを ip-role=service にして、手動で設定する必要があります。
サービス アカウントにログインすると、センサーのアカウントと RADIUS サーバのアカウントの両方と照合して認証が行われます。サービス アカウントへのアクセスに使用する方法が、シリアル コンソール ポート、直接接続されているモニタ/キーボード(センサーがサポートしている場合)、SSH や Telnet などのネットワーク接続のいずれであっても、ローカル認証を使用してログインする必要があります。
RADIUS 認証の機能と制限
現在の AAA RADIUS 実装には、次の機能と制限があります。
• RADIUS サーバによる認証
ただし、RADIUS サーバのパスワードを IPS から変更することはできません。
• 認可
ユーザの IPS ロールを RADIUS サーバに指定することによって、ロール ベースの認可を実行できます。
• Accounting
ユーザのログイン試行および設定変更をイベントとして IPS 上にローカルに記録します。ただし、これらのアカウント メッセージは、RADIUS サーバに通知されません。
パスワードの設定
ローカル センサーでパスワードを更新するには、 password コマンドを使用します。このコマンドを使用して、既存のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットすることもできます。有効なパスワードの長さは 8 ~ 32 文字です。スペースを除くすべての文字を使用できます。
パスワードを変更するには、次の手順を実行します。
ステップ 1
他のユーザのパスワードを変更したり、ロックされたアカウントのパスワードをリセットするには、次の手順を実行します。
a. 管理者権限を持つアカウントを使用して CLI にログインします。
b. コンフィギュレーション モードを開始します。
sensor# configure terminal
c. 特定のユーザのパスワードを変更します。
sensor(config)# password tester
Enter New Login Password: ******
Re-enter New Login Password: ******
(注) この例では、ユーザ「tester」のパスワードを変更します。
ステップ 2 自分のパスワードを変更するには、次の手順を実行します。
a. CLI にログインします。
b. コンフィギュレーション モードを開始します。
sensor# configure terminal
c. 自分のパスワードを変更します。
sensor(config)# password
Enter Old Login Password:************
Enter New Login Password: ************
Re-enter New Login Password: ************
ユーザの権限レベルの変更
(注) privilege コマンドを使用してユーザにサービス権限を与えることはできません。既存のユーザにサービス権限を与えるには、そのユーザを削除してから、username コマンドを使用してサービス アカウントを作成します。サービス権限を持つユーザは 1 人だけ存在できます。
ユーザの権限レベル(administrator、operator、viewer)を変更するには、 privilege コマンドを使用します。
ユーザの権限レベルを変更するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 ユーザ jsmith の現在の権限を確認します。
* 13491 cisco administrator
ステップ 3 権限レベルをビューアからオペレータに変更します。
sensor# configure terminal
sensor(config)# privilege user jsmith operator
Warning: The privilege change does not apply to current CLI sessions. It will be applied to subsequent logins.
ステップ 4 ユーザの権限が変更されたことを確認します。ユーザ jsmith の権限がビューアからオペレータに変更されました。
* 13491 cisco administrator
ステップ 5 現在の権限レベルを表示します。
Current privilege level is administrator
詳細情報
サービス アカウントを作成する手順については、「サービス アカウントの作成」を参照してください。
ユーザ ステータスの表示
(注) すべての IPS プラットフォームで、許可される同時ログイン セッション数は 10 です。
センサーにログインしている全ユーザのユーザ名と権限、およびログイン ステータスに関係なくセンサー上のすべてのユーザ アカウントのユーザ名と権限の情報を表示するには、 show users コマンドを使用します。
* は現在のユーザを示します。アカウントがロックされている場合は、そのユーザ名がカッコで囲まれます。ロックされているアカウントは、そのユーザが正しいパスワードの入力に失敗した回数が、設定された試行回数に達したことを表しています。
ユーザ情報を表示するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 センサーにログインしているユーザを確認します。
* 13491 cisco administrator
ステップ 3 すべてのユーザを確認します。
* 13491 cisco administrator
ユーザ jsmith
のアカウントがロックされています。
ステップ 4 jsmith のアカウントのロックを解除するには、パスワードをリセットします。
sensor# configure terminal
sensor(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
パスワード ポリシーの設定
注意
パスワード ポリシーに、大文字や数字などの文字セットの最小数を含める場合は、要求される文字セットの最小数の合計を、最小パスワード サイズ以下にする必要があります。たとえば、最小パスワード サイズを 8 文字に設定し、パスワードに 5 文字以上の小文字と 5 文字以上の大文字を含めるように要求することはできません。
センサー管理者は、パスワードの作成方法を設定できます。ユーザ作成のパスワードはすべて、その設定したポリシーに準拠する必要があります。たとえば、パスワード長が 10 文字以上、40 文字以下で、少なくとも 2 つの大文字と 2 つの数字を含む必要があるというポリシーを設定できます。このポリシーの設定後は、すべてのユーザ アカウントに設定されるすべてのパスワードが、このパスワード ポリシーに準拠する必要があります。
ログイン試行回数と、パスワードのサイズおよび最小文字数の要件を設定できます。最小パスワード長は 8 文字です。
パスワードを忘れた場合、パスワードの回復方法は、使用するセンサー プラットフォームに応じて異なります。
パスワード ポリシーを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 パスワード強度認証サブモードを開始します。
sensor# configure terminal
sensor(config)# service authentication
sensor(config-aut)# password-strength
ステップ 3 パスワードに含まれる必要のある数字の最小数を設定します。範囲は 0 ~ 64 です。
sensor(config-aut-pas)# digits-min 6
ステップ 4 パスワードに含まれる必要のある英数字以外の印刷可能文字の最小数を設定します。範囲は 0 ~ 64 です。
sensor(config-aut-pas)# other-min 3
ステップ 5 パスワードに含まれる必要のある大文字の英字の最小数を設定します。範囲は 0 ~ 64 です。
sensor(config-aut-pas)# uppercase-min 3
ステップ 6 パスワードに含まれる必要のある小文字の英字の最小数を設定します。
sensor(config-aut-pas)# lowercase-min 3
ステップ 7 アカウントごとに記録する古いパスワードの数を設定します。
sensor(config-aut-pas)# number-old-passwords 3
新しいパスワードは、アカウントの古いパスワードのいずれとも一致してはいけません。
ステップ 8 新しい設定を確認します。
sensor(config-aut-pas)# show settings
-----------------------------------------------
uppercase-min: 3 default: 0
lowercase-min: 3 default: 0
number-old-passwords: 3 default: 0
-----------------------------------------------
詳細情報
センサーのパスワードを回復する手順については、「パスワードの回復」を参照してください。
アカウント ロックの設定
(注) アカウント ロックを設定すると、ローカル認証および RADIUS 認証に影響を与えます。指定の回数に達するまでローカルでのログインまたは RADIUS アカウントへのログインの試行に失敗すると、そのアカウントはセンサーでローカルにロックされます。
特定の回数に達するまでログインの試行に失敗したユーザが試行を続けられないようアカウントをロックするには、認証サブモードで attemptLimit number コマンドを使用します。デフォルトは 0 です。これは無制限の認証試行を示します。セキュリティのために、この数値を変更する必要があります。
アカウント ロックを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 サービス認証サブモードを開始します。
sensor# configure terminal
sensor(config)# service authentication
ステップ 3 アカウントへのログインでユーザが許可される試行回数を設定します。
sensor(config-aut)# attemptLimit 3
ステップ 4 新しい設定を確認します。
sensor(config-aut)# show settings
attemptLimit: 3 defaulted: 0
ステップ 5 この値をシステムのデフォルト設定に戻すには、次のようにします。
sensor(config-aut)# default attemptLimit
ステップ 6 設定がデフォルトに戻っていることを確認します。
sensor(config-aut)# show settings
attemptLimit: 0 <defaulted>
ステップ 7 アカウントがロックされているユーザがいないか確認します。
(注) attemptLimit にゼロ以外の値を含む設定を適用すると、SSH サーバに変更が加えられ、その後のセンサーへの接続機能に影響が出る可能性があります。attemptLimit がゼロ以外の場合、SSH サーバに対してクライアントはチャレンジ/応答認証をサポートする必要があります。SSH クライアントが接続してからパスワードのプロンプトが表示されるまでの間に問題が発生する場合は、チャレンジ/応答認証をイネーブルにする必要があります。手順については、使用する SSH クライアントのマニュアルを参照してください。
* 1349 cisco administrator
ユーザ jsmith
のアカウントがロックされていることがカッコで示されています。
ステップ 8 jsmith のアカウントのロックを解除するには、パスワードをリセットするか、または、 unlock user username コマンドを使用します。
sensor# configure terminal
sensor(config)# password jsmith
Enter New Login Password: ******
Re-enter New Login Password: ******
詳細情報
unlock user username コマンドを使用して、ロックされているアカウントのロックを解除する手順については、「ロックされているアカウントのロック解除」を参照してください。
ロックされているアカウントのロック解除
(注) アカウント ロックを設定すると、ローカル認証および RADIUS 認証が影響を受けます。指定の回数に達するまでローカルでのログインまたは RADIUS アカウントへのログインの試行に失敗すると、そのアカウントはセンサーでローカルにロックされます。ローカル アカウントの場合、アカウントのロックを解除するには、パスワードをリセットするか、unlock user username コマンドを使用します。RADIUS ユーザ アカウントの場合、アカウントのロックを解除するには、unlock user username コマンドを使用する必要があります。
一定の回数に達するまで試行に失敗したためにユーザがロックされた場合、ローカル アカウントおよび RADIUS アカウントのロックを解除するには、グローバル コンフィギュレーション モードで unlock user username コマンドを使用します。
(注) unlock コマンドは、IPS 7.0(4)E4 以降でのみサポートされます。それよりも前の IPS ソフトウェア バージョンでは機能しません。
アカウントのロック解除を設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 アカウントがロックされているユーザがいないか確認します。
* 1349 cisco administrator
ユーザ jsmith
のアカウントがロックされていることがカッコで示されています。
ステップ 3 グローバル コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 4 アカウントのロックを解除します。
sensor(config)# unlock user jsmith
ステップ 5 新しい設定を確認します。
* 1349 cisco administrator
ユーザ jsmith
のアカウントのロックが解除されたことが、カッコがなくなったことでわかります。
パスワードの回復
ほとんどの IPS プラットフォームでは、サービス アカウントを使用するか、またはセンサーのイメージを再作成しなくても、センサーでパスワードを回復できるようになりました。ここでは、さまざまな IPS プラットフォームで、パスワードを回復する方法について説明します。次の項目について説明します。
• 「パスワードの回復について」
• 「アプライアンスのパスワードの回復」
• 「AIM IPS パスワードの回復」
• 「AIP SSM パスワードの回復」
• 「IDSM2 パスワードの回復」
• 「NME IPS パスワードの回復」
• 「パスワード回復のディセーブル化」
• 「パスワード回復の状態の確認」
• 「パスワードの回復のトラブルシューティング」
パスワードの回復について
パスワードの回復の実装は、IPS プラットフォーム要件によって異なります。パスワードの回復は、cisco 管理アカウントだけに対して実装され、デフォルトでイネーブルになっています。IPS 管理者は、CLI を使用して、その他のアカウントのユーザ パスワードを回復できます。cisco ユーザのパスワードは、 cisco に戻り、次のログイン後に変更する必要があります。
(注) セキュリティ上の理由から、管理者がパスワード回復機能をディセーブルにする必要が生じることがあります。
表 4-1 に、プラットフォーム別のパスワード回復方法を示します。
表 4-1 プラットフォーム別のパスワード回復方法
|
|
|
4200 シリーズ センサー |
スタンドアロン IPS アプライアンス |
GRUB プロンプトまたは ROMMON |
AIM IPS NME IPS |
ルータの IPS モジュール |
ブートローダ コマンド |
AIP SSM |
ASA 5500 シリーズ適応型セキュリティ アプライアンス モジュール |
適応型セキュリティ アプライアンスの CLI コマンド |
IDSM2 |
Switch IPS モジュール |
パスワード回復イメージ ファイル |
GRUB メニューの使用
(注) GRUB メニューを使用してパスワードを回復するには、ターミナル サーバ、またはアプライアンスへの直接シリアル接続が必要です。
4200 シリーズ アプライアンスでは、パスワード回復はブート中に表示される GRUB メニューにあります。GRUB メニューが表示されたら、任意のキーを押して、ブート プロセスを停止します。
アプライアンスでパスワードを回復するには、次の手順に従います。
ステップ 1
アプライアンスをリブートして、GRUB メニューを表示します。
GNU GRUB version 0.94 (632K lower / 523264K upper memory)
-------------------------------------------
2: Cisco IPS Clear Password (cisco)
-------------------------------------------
Use the ^ and v keys to select which entry is highlighted.
Press enter to boot the selected OS, 'e' to edit the
Commands before booting, or 'c' for a command-line.
ステップ 2 任意のキーを押して、ブート プロセスを停止します。
ステップ 3 [2: Cisco IPS Clear Password (cisco)] を選択します。パスワードが cisco にリセットされます。次に CLI にログインするときに、パスワードを変更できます。
ROMMON の使用方法
IPS 4240 と IPS 4255 では、ROMMON を使用してパスワードを回復できます。ROMMON CLI にアクセスするには、ターミナル サーバまたは直接接続からセンサーをリブートし、ブート プロセスを中断します。
ROMMON CLI を使用してパスワードを回復するには、次の手順に従います。
ステップ 1
アプライアンスをリブートします。
ステップ 2 ブート プロセスを中断するには Esc を押すか、Ctrl キーを押した状態で R キーを押すか(ターミナル サーバ)、または BREAK コマンドを送信します(直接接続)。
ブート コードが 10 秒間停止するか、または次のいずれかのような内容が表示されます。
• Evaluating boot options
• Use BREAK or ESC to interrupt boot
ステップ 3 次のコマンドを入力してパスワードをリセットします。
ROMMON セッションのサンプル:
Booting system, please wait...
Embedded BIOS Version 1.0(11)2 01/25/06 13:21:26.17
Evaluating BIOS Options...
Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)2) #0: Thu Jan 26 10:43:08 PST 2006
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
MAC Address:000b.fcfa.d155
Update Config Register (0x7) in NVRAM...
AIM IPS パスワードの回復
AIM IPS のパスワードを回復するには、 clear password コマンドを使用します。AIM IPS へのコンソール アクセスと、ルータへの管理アクセスが必要です。
AIM IPS のパスワードを回復するには、次の手順に従います。
ステップ 1
ルータにログインします。
ステップ 2 ルータで特権 EXEC モードを開始します。
ステップ 3 ルータのモジュール スロット番号を確認します。
router# show run | include ids-sensor
ステップ 4 AIM IPS との間にセッションを確立します。
router# service-module ids-sensor slot/port session
例
router# service-module ids-sensor 0/0 session
ステップ 5 Ctrl キーと Shift キーを押した状態で 6 を押してから x キーを押して、ルータ CLI に移動します。
ステップ 6 ルータ コンソールから AIM IPS をリセットします。
router# service-module ids-sensor 0/0 reset
ステップ 7 Enter を押すと、ルータ コンソールに戻ります。
ステップ 8 ブート オプションの入力を要求されたら、すぐに *** と入力します。ブートローダが表示されます。
ステップ 9 パスワードをクリアします。
ServicesEngine boot-loader# clear password
AIM IPS がリブートします。パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。
AIP SSM パスワードの回復
(注) AIP SSM のパスワードをリセットするには、ASA 7.2.(2) 以降が必要です。
CLI または ASDM を使用して、AIP SSM のパスワードをデフォルト( cisco )にリセットできます。パスワードをリセットすると、AIP SSM はリブートされます。リブート中に IPS サービスは使用できません。
hw-module module slot_number password-reset コマンドを使用して、パスワードをデフォルト( cisco )にリセットします。ASA 5500 シーズ適応型セキュリティ アプライアンスでは、ROMMON confreg ビットが 0x7 に設定され、センサーがリブートされます。ROMMON ビットによって、GRUB メニューはデフォルトのオプション 2( パスワードのリセット )になります。
指定したスロットのモジュールの IPS バージョンがパスワードの回復をサポートしていない場合は、次のエラー メッセージが表示されます。
ERROR: the module in slot <n> does not support password recovery.
ASDM の使用
ASDM でパスワードをリセットするには、次の手順に従います。
ステップ 1
ASDM メニュー バーで、[Tools] > [IPS Password Reset]
を選択します。
(注) モジュールが取り付けられていない場合、このオプションはメニューに表示されません。
ステップ 2 [IPS Password Reset confirmation] ダイアログボックスで [OK] をクリックして、パスワードをデフォルトの( cisco )にリセットします。
ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。リセットが失敗した場合は、適応型セキュリティ アプライアンスに ASA 7.2(2) 以降、AIP SSM に IPS 6.0 以降が導入されていることを確認します。
ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。AIP SSM がリブートされます。
IDSM2 パスワードの回復
IDSM2 のパスワードを回復するには、特殊なパスワード回復イメージ ファイルをインストールする必要があります。これをインストールするとパスワードだけがリセットされ、その他の設定はすべて変更されません。パスワード回復イメージはバージョンによって異なり、Cisco Download Software サイトにあります。IPS 6. x では、WS-SVC-IDSM2-K9-a-6.0-password-recovery.bin.gz をダウンロードします。IPS 7. x では、WS-SVC-IDSM2-K9-a-7.0-password-recovery.bin.gz をダウンロードします。
イメージのインストール用にサポートされているプロトコルは FTP だけです。したがって、スイッチにアクセスできる FTP サーバにパスワード回復イメージ ファイルを置いてください。IDSM2 でパスワードを回復するには、Cisco 6500 シリーズ スイッチへの管理アクセスが必要です。
パスワード回復イメージのインストール中に、次のメッセージが表示されます。
Upgrading will wipe out the contents on the hard disk.
Do you want to proceed installing it [y|n]:
このメッセージは誤りです。パスワード回復イメージのインストールによって、設定が削除されることはありません。ログイン アカウントがリセットされるだけです。
パスワード回復イメージ ファイルをダウンロードしたら、システム イメージ ファイルのインストールに関する指示に従いますが、システム イメージ ファイルをパスワード回復イメージ ファイルと読み替えてください。回復イメージ ファイルのインストール後に、IDSM2 はプライマリ パーティションでリブートされるはずです。リブートされない場合は、スイッチから次のコマンドを入力します。
hw-module module module_number reset hdd:1
(注) パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。
詳細情報
• IDSM2 でのシステム イメージのインストール手順については、「IDSM2 システム イメージのインストール」を参照してください。
• Cisco IPS ソフトウェアのダウンロードの詳細については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
NME IPS パスワードの回復
NME IPS のパスワードを回復するには、 clear password コマンドを使用します。NME IPS へのコンソール アクセスと、ルータへの管理アクセスが必要です。
NME IPS のパスワードを回復するには、次の手順に従います。
ステップ 1
ルータにログインします。
ステップ 2 ルータで特権 EXEC モードを開始します。
ステップ 3 ルータのモジュール スロット番号を確認します。
router# show run | include ids-sensor
ステップ 4 NME IPS との間にセッションを確立します。
router# service-module ids-sensor slot/port session
例
router# service-module ids-sensor 1/0 session
ステップ 5 Ctrl キーと Shift キーを押した状態で 6 を押してから x キーを押して、ルータ CLI に移動します。
ステップ 6 ルータ コンソールから NME IPS をリセットします。
router# service-module ids-sensor 1/0 reset
ステップ 7 Enter を押すと、ルータ コンソールに戻ります。
ステップ 8 ブート オプションの入力を要求されたら、すぐに *** と入力します。ブートローダが表示されます。
ステップ 9 パスワードをクリアします。
ServicesEngine boot-loader# clear password
NME IPS がリブートします。パスワードが cisco にリセットされます。ユーザ名 cisco とパスワード cisco を使用して CLI に再度ログインします。その後、パスワードを変更できます。
パスワード回復のディセーブル化
注意 パスワードの回復がディセーブルになっているセンサーでパスワードを回復しようとしても、プロセスはエラーまたは警告なしで継続されますが、パスワードはリセットされません。パスワードを忘れ、パスワードの回復がディセーブルに設定されているためにセンサーにログインできない場合は、センサーのイメージを再作成する必要があります。
パスワードの回復は、デフォルトでイネーブルです。CLI、IDM、または IME を使用して、パスワードの回復をディセーブルにできます。
CLI でパスワードの回復をディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 グローバル コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 ホスト モードを開始します。
sensor(config)# service host
ステップ 4 パスワードの回復をディセーブルにします。
sensor(config-hos)# password-recovery disallowed
IDM または IME でパスワードの回復をディセーブルにするには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して、IDM または IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Sensor Setup] > [Network] を選択します。
ステップ 3 パスワードの回復をディセーブルにするには、[Allow Password Recovery] チェックボックスをオフにします。
パスワード回復の状態の確認
show settings | include password コマンドを使用して、パスワードの回復がイネーブルになっているかどうかを確認します。
パスワードの回復がイネーブルになっているかどうかを確認するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 サービス ホスト サブモードを開始します。
sensor# configure terminal
sensor (config)# service host
ステップ 3 include キーワードを使用して、フィルタリングした出力で設定を表示することにより、パスワードの回復の状態を確認します。
sensor(config-hos)# show settings | include password
password-recovery: allowed <defaulted>
パスワードの回復のトラブルシューティング
パスワードの回復をトラブルシューティングする場合は、次の点に注意してください。
• ROMMON プロンプト、GRUB メニュー、スイッチ CLI、またはルータ CLI から、センサー設定でパスワードの回復がディセーブルになっているかどうかを判断することはできません。パスワードを回復しようとすると、常に成功したように見えます。パスワードの回復がディセーブルになっている場合、パスワードは cisco にリセットされません。唯一の方法は、センサーのイメージ再作成です。
• ホスト設定で、パスワードの回復をディセーブルにできます。AIM IPS および NME IPS ブートローダ、ROMMON、および IDSM2 のメンテナンス パーティションなどの外部メカニズムを使用しているプラットフォームでは、パスワードをクリアするコマンドを実行できます。ただし、パスワードの回復が IPS でディセーブルになっている場合、IPS によってパスワードの回復が許可されないことが検出され、その外部要求は拒否されます。
• パスワードの回復の状態を確認するには、 show settings | include password コマンドを使用します。
• IDSM2 でパスワードの回復を実行した場合、メッセージ「 Upgrading will wipe out the contents on the storage media
」が表示されます。このメッセージは無視してください。指定したパスワード回復イメージを使用した場合は、パスワードだけがリセットされます。
時間の設定
ここでは、センサーに信頼できる時刻源を設定することの重要性について説明します。次の項目について説明します。
• 「時刻源とセンサー」
• 「IPS モジュールのシステム クロックと親デバイスのシステム クロックとの同期」
• 「センサーの時刻の修正」
• 「センサーの時刻の設定」
• 「NTP の設定」
時刻源とセンサー
センサーには、信頼できる時刻源が必要です。すべてのイベント(アラート)に、正しい UTC(グリニッジ標準時)と現地時間のタイムスタンプが必要です。タイムスタンプがないと、攻撃の後でログを正しく分析できません。センサーを初期化するときに、時間帯とサマータイム設定をセットアップします。ここでは、センサーに時刻を設定するさまざまな方法の概要を示します。
(注) NTP サーバを使用することを推奨します。認証ありまたは認証なしの NTP を使用できます。認証ありの NTP では、NTP サーバの IP アドレス、NTP サーバのキー ID、およびキー値を NTP サーバから取得する必要があります。初期化中に NTP をセットアップすることも、後から CLI、IDM、IME、または ASDM で NTP を設定することもできます。
アプライアンス
• clock set コマンドを使用して、時刻を設定する。これがデフォルトです。
• アプライアンスが NTP 同期時刻源から時刻を取得するように設定する。
IDSM2
• IDSM2 は、自動的にその時計をスイッチ時刻と同期させることができる。これがデフォルトです。UTC 時刻は、スイッチと IDSM2 の間で同期が取られます。時間帯とサマータイムの設定は、スイッチと IDSM2 の間で同期が取られません。
(注) スイッチと IDSM2 の両方で時間帯とサマータイムが設定されていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が IDSM2 とスイッチとで一致していないと、IDSM2 の現地時間が不正確になります。
• IDSM2 が NTP 同期時刻源から時刻を取得するように設定する。
AIM IPS および NME IPS
• AIM IPS および NME IPS は、自動的にその時計を、取り付けられているルータ シャーシ(親ルータ)の時計と同期させることができる。これがデフォルトです。UTC 時刻は、親ルータと AIM IPS および NME IPS の間で同期が取られます。時間帯とサマータイムの設定は、親ルータと AIM IPS および NME IPS の間で同期が取られません。
(注) 親ルータと AIM IPS および NME IPS の両方で時間帯とサマータイムが設定されていることを確認し、UTC 時刻設定が正しいことを確認します。時間帯やサマータイムの設定が AIM IPS および NME IPS とルータとで一致していないと、AIM IPS および NME IPS の現地時間が不正確になります。
• AIM IPS および NME IPS が時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定する。
AIP SSM
• AIP SSM は、自動的にその時計を、インストールされている適応型セキュリティ アプライアンスの時刻と同期させることができる。これがデフォルトです。
• AIP SSM が時刻を NTP 同期時刻源(親ルータ以外の Cisco ルータなど)から取得するように設定する。
詳細情報
NTP を設定する手順については、「NTP の設定」を参照してください。
IPS モジュールのシステム クロックと親デバイスのシステム クロックとの同期
IPS モジュール(AIM IPS、AIP SSM、IDSM2、および NME IPS)は、モジュールが起動するたびに、また、親シャーシ クロック(スイッチ、ルータ、セキュリティ アプライアンス)が設定されるたびに、システム クロックを親シャーシ クロックと同期します。モジュール クロックおよび親シャーシ クロックは、時間が経過するに従い、時刻がずれる傾向があります。その差は、1 日で数秒にもなることがあります。この問題を防止するため、モジュール クロックと親クロックの両方が、外部 NTP サーバと同期されていることを確認します。モジュール クロックだけ、または親クロックだけが NTP サーバと同期していると、時刻のずれが生じます。
センサーの時刻の修正
保存されているイベントには、その作成時刻がタイムスタンプとして記録されるため、時刻を正確に設定しないと、それらのイベントに対しても正確な時刻が記録されません。イベント ストアのタイムスタンプは、常に UTC 時刻に基づいています。元のセンサーのセットアップ時に、午前 8:00 と指定すべきところを誤って午後 8:00 と指定した場合、それを修正すると、修正後の時刻は現在よりもさかのぼった時刻に設定されます。そのため、新しいイベントに古いイベントの時刻よりも過去の時刻が記録される場合があります。
たとえば、初期セットアップ中にセンサーを中部時間に設定し、さらにサマータイムを有効にした場合、現地時間が午後 8:04 であれば、時刻は 20:04:37 CDT として表示され、UTC からのオフセットは -5 時間になります(翌日の 01:04:37 UTC)。1 週間後の午前 9:00 に、21:00:23 CDT と表示された時計を見て誤りに気づいたとします。この場合、時刻を午前 9:00 に変更すれば、時計は 09:01:33 CDT と表示されます。ただし、UTC からのオフセットは変更されていないため、UTC 時刻は 14:01:33 UTC になります。ここにタイムスタンプの問題が生じる原因があります。
イベント レコードにおけるタイムスタンプの整合性を保証するためには、 clear events コマンドを使用して、過去のイベントのイベント アーカイブをクリアする必要があります。
(注) イベントは、個別には削除できません。
詳細情報
イベントをクリアする手順については「イベント ストアのイベントのクリア」を参照してください。
システム クロックの表示
システム クロックを表示するには、 show clock [ detail ] コマンドを使用します。 detail オプションを使用すると、クロック ソース(NTP またはシステム)と現在のサマータイム設定(設定されている場合)を表示できます。システム クロックは、信頼性がある(正確であると信じられる)かどうかを示す authoritative フラグを維持します。システム クロックが NTP などのタイミング ソースによって設定されている場合は、フラグを設定します。
表 4-2 にはシステム クロックのフラグを示します。
表 4-2 システム クロックのフラグ
|
|
* |
時刻は信頼できません。 |
(ブランク) |
時刻は信頼できます。 |
. |
時刻は信頼できますが、NTP が同期していません。 |
システム クロックを表示するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 システム クロックを表示します。
*19:04:52 UTC Thu Apr 03 2008
ステップ 3 システム クロックと詳細情報を表示します。
sensor# show clock detail
20:09:43 UTC Thu Apr 03 2008
Summer time starts 03:00:00 UTC Sun Mar 09 2008
Summer time stops 01:00:00 UTC Sun Nov 02 2008
これは、センサーが時刻を NTP から取得し、設定および同期されていることを示しています。
sensor# show clock detail
*20:09:43 UTC Thu Apr 03 2008
Summer time starts 03:00:00 UTC Sun Mar 09 2008
Summer time stops 01:00:00 UTC Sun Nov 02 2008
これは、時刻源が設定されていないことを示しています。
システム クロックの手動設定
(注) センサーが NTP クロック ソースなどの有効な外部のタイミング メカニズムによって同期されている場合、システム クロックを設定する必要はありません。
アプライアンスでクロックを手動で設定するには、 clock set hh:mm [:ss] month day year コマンドを使用します。他の時刻源を使用できない場合は、次のコマンドを使用してください。
clock set コマンドは、次のプラットフォームには適用されません。
• AIM IPS
• AIP SSM
• IDSM2
• NME IPS
アプライアンスでクロックを手動で設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 クロックを手動で設定します。
sensor# clock set 13:21 Mar 29 2008
(注) 時刻は 24 時間形式です。
サマータイム設定の繰り返しの設定
(注) サマータイムとは夏時間のことです。
定期的にサマータイム設定に切り替わるようにセンサーを設定するには、 summertime-option recurring コマンドを使用します。デフォルトは recurring です。
定期的にサマータイム設定に切り替わるようにセンサーを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 サマータイム繰り返しサブモードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# summertime-option recurring
ステップ 3 サマータイム開始サブモードを開始します。
sensor(config-hos-rec)# start-summertime
ステップ 4 サマータイム開始パラメータを設定します。
a. サマータイム設定の開始曜日を入力します。
sensor(config-hos-rec-sta)# day-of-week monday
b. サマータイム設定の開始月を入力します。
sensor(config-hos-rec-sta)# month april
c. サマータイム設定の開始時刻を入力します。形式は、hh:mm:ss です。
sensor(config-hos-rec-sta)# time-of-day 12:00:00
d. サマータイム設定の開始週を入力します。値は first から fifth(または last)までです。
sensor(config-hos-rec-sta)# week-of-month first
e. 設定を確認します。
sensor(config-hos-rec-sta)# show settings
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
sensor(config-hos-rec-sta)#
ステップ 5 サマータイム終了サブモードを開始します。
sensor(config-hos-rec-sta)# exit
sensor(config-hos-rec)# end-summertime
ステップ 6 サマータイム終了パラメータを設定します。
a. サマータイム設定の終了曜日を入力します。
sensor(config-hos-rec-end)# day-of-week friday
b. サマータイム設定の終了月を入力します。
sensor(config-hos-rec-end)# month october
c. サマータイム設定の終了時刻を入力します。形式は、hh:mm:ss です。
sensor(config-hos-rec-end)# time-of-day 05:15:00
d. サマータイム設定の終了週を入力します。
sensor(config-hos-rec-end)# week-of-month last
値は first から fifth(または last)までです。
e. 設定を確認します。
sensor(config-hos-rec-end)# show settings
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
sensor(config-hos-rec-end)#
ステップ 7 サマータイム中に使用するローカル時間帯を指定します。
sensor(config-hos-rec-end)# exit
sensor(config-hos-rec)# summertime-zone-name CDT
ステップ 8 オフセットを指定します。
sensor(config-hos-rec)# offset 60
(注) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。
ステップ 9 設定を確認します。
sensor(config-hos-rec)# show settings
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
-----------------------------------------------
month: april default: april
week-of-month: first default: first
day-of-week: monday default: sunday
time-of-day: 12:00:00 default: 02:00:00
-----------------------------------------------
-----------------------------------------------
month: october default: october
week-of-month: last default: last
day-of-week: friday default: sunday
time-of-day: 05:15:00 default: 02:00:00
-----------------------------------------------
-----------------------------------------------
ステップ 10 サマータイム繰り返しサブモードを終了します。
sensor(config-hos-rec)# exit
ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
サマータイム設定の非繰り返しの設定
(注) サマータイムとは夏時間のことです。
サマータイム設定に一度だけ切り替わるようにセンサーを設定するには、 summertime-option non-recurring コマンドを使用します。デフォルトは recurring です。
サマータイム設定に一度だけ切り替わるようにセンサーを設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 サマータイム非繰り返しサブモードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# summertime-option non-recurring
ステップ 3 サマータイム開始サブモードを開始します。
sensor(config-hos-non)# start-summertime
ステップ 4 サマータイム開始パラメータを設定します。
a. サマータイム設定の開始日を入力します。形式は yyyy-mm-dd です。
sensor(config-hos-non-sta)# date 2004-05-15
b. サマータイム設定の開始時刻を入力します。形式は、hh:mm:ss です。
sensor(config-hos-non-sta)# time 12:00:00
c. 設定を確認します。
sensor(config-hos-non-sta)# show settings
-----------------------------------------------
-----------------------------------------------
sensor(config-hos-non-sta)#
ステップ 5 サマータイム終了サブモードを開始します。
sensor(config-hos-non-sta)# exit
sensor(config-hos-non)# end-summertime
ステップ 6 サマータイム終了パラメータを設定します。
a. サマータイム設定の終了日を入力します。形式は yyyy-mm-dd です。
sensor(config-hos-non-end)# date 2004-10-31
b. サマータイム設定の終了時刻を入力します。形式は、hh:mm:ss です。
sensor(config-hos-non-end)# time 12:00:00
c. 設定を確認します。
sensor(config-hos-non-end)# show settings
-----------------------------------------------
-----------------------------------------------
sensor(config-hos-non-end)#
ステップ 7 サマータイム中に使用するローカル時間帯を指定します。
sensor(config-hos-non-end)# exit
sensor(config-hos-non)# summertime-zone-name CDT
ステップ 8 オフセットを指定します。
sensor(config-hos-non)# offset 60
(注) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。
ステップ 9 設定を確認します。
sensor(config-hos-non)# show settings
-----------------------------------------------
offset: 60 minutes default: 60
summertime-zone-name: CDT
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 10 サマータイム非繰り返しサブモードを終了します。
sensor(config-hos-non)# exit
ステップ 11 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
時間帯の設定
サマータイムが設定されていないときにセンサーで表示する時間帯の名前や、オフセットなどの時間帯をセンサーに設定するには、 time-zone-settings コマンドを使用します。
時間帯をセンサーに設定するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
ステップ 2 時間帯設定サブモードを開始します。
sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# time-zone-settings
ステップ 3 サマータイム設定が有効でないときに表示する時間帯の名前を設定します。デフォルトは UTC です。
sensor(config-hos-tim)# standard-time-zone-name CST
ステップ 4 オフセットを分単位で設定します。オフセットとは、UTC に加算して現地時刻を求めるための時間(分)です。デフォルトは 0 です。
sensor(config-hos-tim)# offset -360
(注) 時間帯のオフセットを変更するには、センサーをリブートする必要があります。
ステップ 5 設定を確認します。
sensor(config-hos-tim)# show settings
-----------------------------------------------
offset: -360 minutes default: 0
standard-time-zone-name: CST default: UTC
-----------------------------------------------
ステップ 6 時間帯設定サブモードを終了します。
sensor(config-hos-tim)# exit
ステップ 7 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
Cisco ルータを NTP サーバにする設定
注意 センサーの NTP 機能は、NTP サーバとして機能する Cisco ルータとの互換性を保つために設計されています。センサーは他の NTP サーバと連携することも可能ですが、テストまたはサポートされません。
(注) NTP サーバのキー ID とキー値を手元に用意してください。これらは、NTP サーバを時刻源として使用するようにセンサーを設定する際に、NTP サーバの IP アドレスと共に必要になります。
センサーが NTP サーバを時刻源として使用するためには、センサーと NTP サーバの間に認証済みの接続が必要です。センサーがキーの暗号化のためにサポートしているのは、MD5 ハッシュ アルゴリズムのみです。Cisco ルータが NTP サーバとして動作するようにし、その内部クロックを時刻源として使用するには、次の手順を使用します。
Cisco ルータが NTP サーバとして動作するように設定するには、次の手順を実行します。
ステップ 1
ルータにログインします。
ステップ 2 コンフィギュレーション モードを開始します。
router# configure terminal
ステップ 3 キー ID とキー値を作成します。キー ID は、1 から 65535 までの数値です。キー値はテキスト(数字または文字)です。これは、後で暗号化されます。
router(config)# ntp authentication-key key_ID md5 key_value
例
router(config)# ntp authentication-key 100 md5 attack
(注) センサーがサポートするのは MD5 キーのみです。
(注) すでにルータにキーが存在する場合もあります。他のキーを確認するには、show running configuration コマンドを使用します。これらの値は、信頼できるキーとしてステップ 4 で使用されます。
ステップ 4 ステップ 3 で作成したキーを信頼できるキーとして指定(または既存のキーを使用)します。信頼できるキーの ID は、ステップ 3 のキー ID と同じ数値です。
router(config)# ntp trusted-key key_ID
例
router(config)# ntp trusted-key 100
ステップ 5 センサーの通信に使用するルータのインターフェイスを指定します。
router(config)# ntp source interface_name
例
router(config)# ntp source FastEthernet 1/0
ステップ 6 センサーに割り当てる NTP マスター ストラタム番号を指定します。NTP マスター ストラタム番号は、NTP 階層におけるサーバの相対的な位置を示します。1 から 15 までの番号を選択できます。どの番号を選択するかは、センサーに対して重要ではありません。
router(config)# ntp master stratum_number
例
router(config)# ntp master 6
センサーで NTP 時刻源を使用する設定
(注) 認証ありの NTP では、NTP サーバの IP アドレス、NTP サーバのキー ID、およびキー値を NTP サーバから取得する必要があります。
注意 センサーの NTP 機能は、NTP サーバとして機能する Cisco ルータとの互換性を保つために設計されています。センサーは他の NTP サーバと連携することも可能ですが、テストまたはサポートされません。
センサーには、安定した時刻源が必要です。NTP サーバを使用することを推奨します。センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を使用します。認証ありまたは認証なしの NTP を使用できます。
センサーが NTP サーバを時刻源として使用するように設定するには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 サービス ホスト モードを開始します。
sensor(config)# service host
ステップ 4 認証なしの NTP を次のように設定します。
a. NTP コンフィギュレーション モードを開始します。
sensor(config-hos)# ntp-option enabled-ntp-unauthenticated
b. NTP サーバの IP アドレスを指定します。
sensor(config-hos-ena)# ntp-server ip_address
c. 認証なしの NTP 設定を確認します。
sensor(config-hos-ena)# show settings
enabled-ntp-unauthenticated
-----------------------------------------------
-----------------------------------------------
ステップ 5 認証ありの NTP を次のように設定します。
a. NTP コンフィギュレーション モードを開始します。
sensor(config-hos)# ntp-option enable
b. NTP サーバの IP アドレスとキー ID を指定します。キー ID は、1 から 65535 までの数値です。これは、NTP サーバで設定済みのキー ID です。
sensor(config-hos-ena)# ntp-servers ip_address key-id key_ID
例
sensor(config-hos-ena)# ntp-servers 10.16.0.0 key-id 100
c. NTP サーバのキー値を指定します。
d. キー値はテキスト(数字または文字)です。これは、NTP サーバで設定済みのキー値です。
sensor(config-hos-ena)# ntp-keys key_ID md5-key key_value
例
sensor(config-hos-ena)# ntp-keys 100 md5-key attack
e. NTP の設定を確認します。
sensor(config-hos-ena)# show settings
-----------------------------------------------
ntp-keys (min: 1, max: 1, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ntp-servers (min: 1, max: 1, current: 1)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
ステップ 6 NTP コンフィギュレーション モードを終了します。
sensor(config-hos-ena)# exit
ステップ 7 Enter を押して変更を適用するか、 no と入力して変更を破棄します。
SSH の設定
ここでは、センサーの SSH について説明します。内容は次のとおりです。
• 「SSH について」
• 「SSH の既知ホスト リストへのホストの追加」
• 「SSH 許可公開キーの追加」
• 「新しい SSH サーバ キーの生成」
SSH について
SSH は、セキュアでないチャネル上に強力な認証およびセキュアな通信を提供します。SSH は、センサーへの接続を暗号化し、正しいセンサーに接続していることを確認できるようにするキーを提供します。また、SSH は、センサーがブロッキングのために接続する他のデバイスに対しても、認証および暗号化を行うアクセスを提供します。
SSH は、次のいずれか、または両方を使用してホストまたはネットワークを認証します。
• Password
• ユーザの RSA 公開キー
(注) SSH ではクリア テキストでパスワードが送信されません。
SSH では、次のものから防御されます。
• IP スプーフィング:リモート ホストが、信頼できる別のホストから送信されたかのように偽装してパケットを送信します。
(注) SSH は、ルータ外部のように偽装しているローカル ネットワーク上のスプーファからも防御します。
• IP 送信元ルーティング:ホストが、信頼できる別のホストから IP パケットが送信されたかのように偽装します。
• DNS スプーフィング:攻撃者がネーム サーバのレコードを偽造します。
• 中間ホストによるクリア テキスト パスワードなどのデータの傍受
• 中間ホストの管理者によるデータの操作。
• X 認証データの傍受および X11 サーバへの偽装接続に基づく攻撃
SSH の既知ホスト リストへのホストの追加
センサーが SSH を通じて通信できるホストを認識できるようにするために、ホストを SSH 既知ホスト リストに追加する必要があります。これらのホストには、アップグレードやファイル コピーのためにセンサーが接続する必要のある SSH サーバや、ブロッキングのためにセンサーが接続する Cisco ルータ、PIX Firewall、Catalyst スイッチなどのその他のホストがあります。
既知ホスト リストにエントリを追加するには、 ssh host-key ip-address [ key-modulus-length public-exponent public-modulus ] コマンドを使用します。モジュラス、指数、および長さの値がわからない場合は、要求された IP アドレスの MD5 フィンガープリントと Bubble Babble がシステムに表示されます。その後、そのキーをリストに追加することができます。
注意
ssh host-key
ip-address コマンドを使用すると、要求されたキーをネットワーク経由で取得するために、指定された IP アドレスの SSH サーバへのアクセスが行われます。指定するホストは、コマンドの実行時にアクセス可能なホストにする必要があります。ホストが到達不能な場合は、完全な形式のコマンド
ssh host-key
ip-address [
key-modulus-length public-exponent public-modulus] を使用して、表示されたキーのフィンガープリントを確認し、攻撃者のキーを受け入れないようにする必要があります。
(注) IP アドレスのキーを変更する場合は、エントリを削除して再作成する必要があります。エントリを削除するには、このコマンドの no 形式を使用します。
ホストを SSH 既知ホスト リストに追加するには、次の手順を実行します。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。
ステップ 2 コンフィギュレーション モードを開始します。
sensor# configure terminal
ステップ 3 既知ホスト リストにエントリを追加します。
sensor(config)# ssh host-key 10.16.0.0
MD5 fingerprint is F3:10:3E:BA:1E:AB:88:F8:F5:56:D3:A6:63:42:1C:11
Bubble Babble is xucis-hehon-kizog-nedeg-zunom-kolyn-syzec-zasyk-symuf-rykum-sexyx
Would you like to add this to the known hosts table for this host?[yes]
MD5 フィンガープリントが表示されます。既知ホスト リストへの追加を確認するプロンプトが表示されます。
コマンドの実行時にホストにアクセスできない場合、次のメッセージが表示されます。
Error: getHostSshKey : socket connect failed [4,111]
ステップ 4 yes と入力してフィンガープリントを既知ホスト リストに追加します。
ステップ 5 ホストが追加されたことを確認します。
sensor# show ssh host-keys
ステップ 6 特定の IP アドレスのキーを表示します。
sensor# show ssh host-keys 10.16.0.0
1024 35 139306213541835240385332922253968814685684523520064131997839905113640120217816869696708721704631322844292073851730565044879082670677554157937058485203995572114631296604552161309712601068614812749969593513740598331393154884988302302182922353335152653860589163651944997842874583627883277460138506084043415861927
MD5: 49:3F:FD:62:26:58:94:A3:E9:88:EF:92:5F:52:6E:7B
Bubble Babble: xebiz-vykyk-fekuh-rukuh-cabaz-paret-gosym-serum-korus-fypop-huxyx
ステップ 7 エントリを削除します。
sensor(config)# no ssh host-key 10.16.0.0
ステップ 8 ホストが削除されたことを確認します。IP アドレスがリストに表示されなくなります。
sensor# show ssh host-keys
SSH 許可公開キーの追加
RSA 認証を使用してローカル SSH サーバにログインすることを許可されたクライアント用に公開鍵を定義するには、 ssh authorized-key コマンドを使用します。
次のオプションが適用されます。
• id :許可キーを一意に識別する 1 ~ 256 文字の文字列。数字、「_」、および「-」は使用できますが、スペースおよび「?」は許可されません。
• key-modulus-length :ASCCI の 511 ~ 2048 の範囲の 10 進数。
• public-exponent :ASCII の 3 ~ 2^32 の範囲の 10 進数。
• public-modulus :ASCII の 10 進数 x 。ただし、(2^(key-modulus-length-1)) < x < (2^(key-modulus-length)) となるもの。
センサーにログインできるユーザごとに、公開許可キーのリストを持ちます。対応する RSA 秘密キーを持つ SSH クライアントは、パスワードを入力しなくてもセンサーにユーザとしてログインすることができます。
公開キーの定義には、秘密キーを保存するクライアントで RSA キー生成ツールを使用します。生成された公開キーを 3 つの数字(モジュラスの長さ、公開指数、公開モジュラス)のセットとして表示し、これらの数字を ssh authorized-key コマンドのパラメータに指定します。
(注) ユーザの SSH 許可キー リストは、そのユーザ自身が設定します。管理者が、センサーの他のユーザの SSH 許可キー リストを管理することはできません。
(注) SSH 許可キーは、秘密キーが適切に保護されている場合は、パスワードよりも高いセキュリティを実現します。ベスト プラクティスとしては、そのキーが使用されるホスト上で秘密キーを作成し、パス フレーズを使用してローカル ファイル システムに保管します。パスワードまたはパス フレーズのプロンプトを最小限に抑えるには、キー エージェントを使用してください。
(注) 許可キーを変更する場合は、エントリを削除してから再作成する必要があります。エントリを削除するには、このコマンドの no 形式を使用します。ユーザは、そのユーザ自身のキーのみを作成および削除できます。
キー エントリを現在のユーザの SSH 許可キー リストに追加するには、次の手順に従います。
ステップ 1
CLI にログインします。
ステップ 2 現在のユーザの許可キー リストにキーを追加します。
sensor# configure terminal
sensor(config)# ssh authorized-key system1 1023 37 66022272955660983338089706716372943357082868686000817201780243492180421420781303592082950910170135848052503999393211250314745276837862091118998665371608981314792208604473991134136964287068231936192814852186409455741630613878646833511583591040494021313695435339616344979349705016792583146548622146467421997057
ステップ 3 キーが追加されたことを確認します。
sensor# show ssh authorized-keys
ステップ 4 特定の ID のキーを表示します。
sensor# show ssh authorized-keys system1
1023 37 660222729556609833380897067163729433570828686860008172017802434921804214
20781303592082950910170135848052503999393211250314745276837862091118998665371608
98131479220860447399113413696428706823193619281485218640945574163061387864683351
1583591040494021313695435339616344979349705016792583146548622146467421997057
ステップ 5 SSH 許可キー リストからエントリを削除します。
sensor# configure terminal
sensor(config)# no ssh authorized-key system1
ステップ 6 エントリが削除されたことを確認します。
sensor# show ssh authorized-keys
キー system1 がリストに表示されなくなります。
以前の ID を入力すると、エラー メッセージが表示されます。
sensor# show ssh authorized-keys system1
Error: Requested id does not exist for the current user.
新しい SSH サーバ キーの生成
SSH サーバ ホスト キーを変更するには、 ssh generate-key コマンドを使用します。表示されるフィンガープリントは、今後このセンサーに接続するリモート SSH クライアントに表示されるものと同じです(リモート クライアントが SSH 1.5 を使用している場合)。
新しい SSH サーバ ホスト キーを生成するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 新しい SSH サーバ ホスト キーを生成します。
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
注意 これ以降は、既存のキーの代わりに新しいキーが使用されるため、引き続き正常に接続するためには、リモート システム上にある既知ホストのテーブルを新しいホスト キーで更新する必要があります。リモート システム上にある既知ホスト テーブルは、
ssh host-key コマンドを使用して更新できます。
ステップ 3 現在の SSH サーバ ホスト キーを表示します。
sensor# show ssh server-key
1024 35 137196765426571419509124895787229630062726389801071715581921573847280637533000158590028798074385824867184332364758899959675370523879609376174812179228415215782949029183962207840731771645803509837259475421477212459797170806510716077556010753169312675023860474987441651041217710152766990480431898217878170000647
MD5: 93:F5:51:58:C7:FD:40:8C:07:26:5E:29:13:C8:33:AE
Bubble Babble: ximal-sudez-kusot-gosym-levag-fegoc-holez-cakar-kunel-nylis-kyxox
詳細情報
既知ホスト テーブルを更新する手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。
TLS の設定
ここでは、センサーの TLS について説明します。内容は次のとおりです。
• 「TLS について」
• 「TLS の信頼できるホストの追加」
• 「サーバ証明書の表示と生成」
TLS について
(注) IDM では、デフォルトで TLS および SSL の使用がイネーブルになっています。TLS および SSL を使用することを強く推奨します。
Cisco IPS には、IDM を実行する Web サーバが含まれています。管理ステーションは、この Web サーバに接続します。ブロッキング転送センサーも、マスター ブロッキング センサーの Web サーバに接続します。この Web サーバでは、セキュリティを確保するため、SSL プロトコルに類似した TLS という暗号化プロトコルが使用されます。Web ブラウザでは、 https://
ip_address で始まる URL が入力されると、それに対する応答として、TLS プロトコルまたは SSL プロトコルによりホストとの間で暗号化セッションのネゴシエーションが行われます。
注意 Web ブラウザでは、初めは CA に対する信頼が確立されていないため、IDM から提示される証明書は拒否されます。
TLS による暗号化セッションのネゴシエーション プロセスは、クライアントとサーバとが協調して何度もデータのやり取りを行うことから、「ハンドシェイク」と呼ばれます。サーバからクライアントへ証明書が送信されると、クライアントでは、この証明書に対して、次の 3 つのテストが実行されます。
1. 証明書に記載されている発行元は信頼できるか。
各 Web ブラウザには、出荷される時点で、信頼されているサードパーティ CA のリストが組み込まれています。証明書に記載されている発行元が、ブラウザにより信頼されている CA のリストに含まれていれば、この最初のテストでは問題なしと判断されます。
2. その日の日付が、証明書の有効期間内にあるか。
それぞれの証明書には、有効期間を表す 2 つの日付が記載された [Validity] フィールドがあります。その日の日付がこの期間内に該当すれば、この 2 番目のテストでは問題なしと判断されます。
3. 証明書に記載されているサブジェクトの共通名が、URL ホスト名と一致するか。
URL ホスト名が、サブジェクトの共通名と比較されます。一致すれば、この 3 番目のテストでは問題なしと判断されます。
Web ブラウザから IDM に接続しようとすると、センサーは独自の証明書を発行しますが(センサーが自分自身の CA)、ブラウザにより信頼されている CA のリストにはセンサーが含まれていないため、返された証明書は無効と見なされます。
ブラウザにエラー メッセージが表示された場合の対処方法としては、次の 3 つの選択肢が考えられます。
• サイトへの接続を即座に解除する。
• その他の Web ブラウザ セッション用に証明書を受け入れる。
• 証明書に記載されている発行元を Web ブラウザの信頼 CA リストに追加して、有効期間が経過するまで証明書を信頼する。
最も簡単な方法は、発行元を永続的に信頼することです。ただし、発行元を追加する前に必ず、アウトオブバンド方式を使用して、証明書のフィンガープリントを検証します。これにより、センサーになりすました攻撃者による被害を回避できます。Web ブラウザに表示される証明書のフィンガープリントが、センサーのフィンガープリントと一致するかどうかを確認してください。
注意 センサーの組織名またはホスト名を変更した場合は、センサーの次回リブート時に新しい証明書が生成されます。Web ブラウザから IDM への次回接続時には、手動上書きダイアログボックスが表示されます。この場合は、Internet Explorer および Firefox で、証明書フィンガープリントの検証を再度実行する必要があります。
TLS の信頼できるホストの追加
特定の状況では、センサーは TLS/SSL を使用して、リモート Web サーバに対して確立するセッションを保護します。これらのセッションを中間者攻撃から保護するには、リモート Web サーバの TLS 証明書に対する信頼を確立する必要があります。信頼できるリモート ホストのそれぞれの TLS 証明書のコピーが、信頼できるホスト リストに保管されます。
信頼できるホストを、信頼できるホスト リストに追加するには、 tls trusted-host ip-address ip-address [ port port ] コマンドを使用します。このコマンドは、指定されたホスト/ポートから TLS 証明書を取得し、そのフィンガープリントを表示します。追加対象のホストから直接取得した情報を基に、そのフィンガープリントを承認または拒否することができます。デフォルトのポートは 443 です。
各証明書は、ID フィールド( id )と共に保管されます。IP アドレスおよびデフォルト ポートの場合、ID フィールドは ipaddress です。IP アドレスおよび指定のポートの場合、ID フィールドは ipaddress:port です。
注意 要求されたフィンガープリントをネットワーク経由で取得するために、指定された IP アドレスの TLS へのアクセスが行われます。指定するホストは、コマンドの実行時にアクセス可能なホストにする必要があります。フィンガープリントの確認には別の方法を使用し、攻撃者の証明書を受け入れないようにしてください。
信頼できるホスト リストに信頼できるホストを追加するには、次の手順に従います。
ステップ 1
管理者権限またはオペレータ権限を持つアカウントを使用して CLI にログインします。
ステップ 2 信頼できるホストを追加します。
sensor# configure terminal
sensor(config)# tls trusted-host ip-address 10.16.0.0
Certificate MD5 fingerprint is 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
Certificate SHA1 fingerprint is B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:
Would you like to add this to the trusted certificate table for this host?[yes]:
MD5 および SHA1 のフィンガープリントが表示されます。信頼できるホストへの追加を確認するプロンプトが表示されます。
接続を確立できない場合、このトランザクションは失敗します。
sensor(config)# tls trusted-host ip-address 10.89.146.110 port 8000
Error: getHostCertificate : socket connect failed [4,111]
ステップ 3 yes と入力して、このフィンガープリントを受け入れます。
Certificate ID: 10.89.146.110 successfully added to the TLS trusted host table.
TLS の信頼できるホスト リストにホストが追加されました。コマンドが成功した場合は、要求された証明書用として保存された証明書 ID が表示されます。
ステップ 4 ホストが追加されたことを確認します。
sensor# show tls trusted-hosts
ステップ 5 特定のホストのフィンガープリントを表示します。
sensor# show tls trusted-hosts 10.89.146.110
MD5: 4F:BA:15:67:D3:E6:FB:51:8A:C4:57:93:4D:F2:83:FE
SHA1: B1:6F:F5:DA:F3:7A:FB:FB:93:E9:2D:39:B9:99:08:D4:47:02:F6:12
ステップ 6 信頼できるホスト リストからエントリを削除します。
sensor# configure terminal
sensor(config)# no tls trusted-host 10.89.146.110
ステップ 7 信頼できるホスト リストからエントリが削除されたことを確認します。IP アドレスがリストに表示されなくなります。
sensor#
show tls trusted-hosts
サーバ証明書の表示と生成
TLS 証明書は、センサーの初回起動時に生成されます。サーバの新しい自己署名 X.509 証明書を生成するには、 tls generate-key コマンドを使用します。
(注) 証明書にはセンサーの IP アドレスが含まれます。センサーの IP アドレスを変更した場合は、センサーが新しい証明書を自動的に生成します。
注意 既存の証明書の代わりに新しい証明書が使用されるため、引き続き正常に接続するためには、リモート システム上にある信頼できるホスト リストを新しい証明書に更新する必要があります。リモートの IPS センサー上にある信頼できるホスト リストは、
tls trusted-host コマンドを使用して更新できます。センサーがマスター ブロッキング センサーである場合は、そのマスター ブロッキング センサーにブロック要求を送信するリモート センサー上にある信頼できるホスト リストを更新する必要があります。
新しい TLS 証明書を生成するには、次の手順に従います。
ステップ 1
管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 2 新しい証明書を生成します。
MD5 fingerprint is FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1 fingerprint is 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
ステップ 3 キーが生成されたことを確認します。
sensor# show tls fingerprint
MD5: FD:83:6E:41:D3:88:48:1F:44:7F:AF:5D:52:60:89:DE
SHA1: 4A:2B:79:A0:82:8B:65:3A:83:B5:D9:50:C0:8E:F6:C6:B0:30:47:BB
詳細情報
リモート センサー上にある信頼できるホスト リストを更新する手順については、「TLS の信頼できるホストの追加」を参照してください。
ライセンス キーのインストール
ここでは、IPS ライセンス キーと、そのインストール方法について説明します。次の項目について説明します。
• 「ライセンス キーについて」
• 「IPS 製品のサービス プログラム」
• 「ライセンス キーの入手およびインストール」
ライセンス キーについて
ライセンス キーがなくてもセンサーは機能しますが、シグニチャ アップデートの取得、およびグローバル相関機能の使用にはライセンス キーが必要です。ライセンス キーを入手するには、次のものが必要です。
• Cisco Service for IPS サービス契約
契約を購入するには、購入された代理店、シスコのサービスまたは製品部門に連絡してください。
• IPS デバイスのシリアル番号
IDM または IME で IPS デバイス シリアル番号を調べるには、IDM では [Configuration] > [Sensor Management] > [Licensing]、IME では [Configuration] > sensor_name > [Sensor Management] > [Licensing] を選択するか、CLI で show version コマンドを使用します。
• 有効な Cisco.com ユーザ名およびパスワード
試用ライセンス キーも提供されます。契約上の問題のためにセンサーのライセンスを取得できない場合は、ライセンスの必要なシグニチャ アップデートがサポートされた、60 日間の試用ライセンスを入手できます。
Cisco.com ライセンス サーバからライセンス キーを入手してから、センサーに配信できます。または、ローカル ファイルで提供されたライセンス キーから、ライセンス キーをアップデートできます。ライセンス キーを申し込むには、 http://www.cisco.com/go/license に移動し、[IPS Signature Subscription Service] をクリックします。
ライセンス キーのステータスは、次の場所で確認できます。
• [Health] タブの [IDM Home window Licensing] セクション
• [IDM Licensing] ペイン([Configuration] > [Licensing])
• [Licensing] タブの [Device Details] セクションにある [IME Home] ページ
• CLI ログイン時のライセンス通知
IDM、IME、または CLI を起動するたびに、ライセンス ステータス(ライセンス キーが試用、無効、または期限切れのいずれであるか)が通知されます。ライセンス キーがない場合、無効な場合、または期限が切れている場合でも、IDM、IME、および CLI を使い続けることができますが、シグニチャ アップデートはダウンロードできません。
センサーの有効なライセンスがすでにある場合は、[License] ペインで [Download] をクリックして、IDM または IME が実行されているコンピュータにライセンス キーのコピーをダウンロードし、ローカル ファイルに保存することができます。これにより、失われたライセンスまたは破損したライセンスを交換するか、センサーのイメージを再作成した後に、ライセンスを再インストールすることができます。
IPS 製品のサービス プログラム
ライセンス キーをダウンロードし、最新の IPS シグニチャ アップデートを入手するには、IPS 製品に関する Cisco Services for IPS サービス契約が必要です。シスコから直接購入された場合は、アカウント マネージャまたはサービス アカウント マネージャに連絡して、Cisco Services for IPS サービス契約を購入します。シスコから直接購入していない場合は、一次パートナーまたは二次パートナーからサービス アカウントを購入できます。
次の IPS 製品を購入する場合は、Cisco Services for IPS サービス契約も購入する必要があります。
• IPS 4240
• IPS 4255
• IPS 4260
• IPS 4270-20
• AIM IPS
• IDSM2
• NME IPS
IPS が含まれない ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合は、SMARTnet 契約を購入する必要があります。
(注) SMARTnet によって、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびサイト上のハードウェア交換 NBD が提供されます。
AIP SSM がインストール済みの ASA 5500 シリーズ適応型セキュリティ アプライアンス製品を購入する場合、または ASA 5500 シリーズ適応型セキュリティ アプライアンス製品に追加するために AIP SSM を購入する場合は、Cisco Services for IPS サービス契約を購入する必要があります。
(注) Cisco Services for IPS によって、IPS シグニチャ アップデート、オペレーティング システムのアップデート、Cisco.com へのアクセス、TAC へのアクセス、およびサイト上のハードウェア交換 NBD が提供されます。
たとえば、ASA 5510 を購入した後に、IPS の追加が必要になり、ASA-SSM-AIP-10-K9 を購入した場合は、Cisco Services for IPS サービス契約を購入する必要があります。
Cisco Services for IPS サービス契約を取得した後で、ライセンス キーを申し込むために製品シリアル番号も取得する必要があります。
注意 RMA のために製品を送付したことがある場合、シリアル番号は変更されます。この場合は、新しいシリアル番号用の新しいライセンス キーを入手する必要があります。
ライセンス キーの入手およびインストール
(注) 新しいライセンス キー上に古いライセンス キーをインストールすることはできません。
ライセンス キーをセンサーにコピーするには、 copy source-url license_file_name license-key コマンドを使用します。
次のオプションが適用されます。
• source-url :コピー元のファイルの場所。URL またはキーワードです。
• destination-url :コピー先のファイルの場所。URL またはキーワードです。
• license-key :サブスクリプション ライセンス ファイル。
• license_file_name :受信するライセンス ファイルの名前。
コピー元およびコピー先の URL の形式は、ファイルによって変わります。有効なタイプは次のとおりです。
• ftp::FTP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。
ftp:[//[username@] location]/relativeDirectory]/filename
ftp:[//[username@]location]//absoluteDirectory]/filename
• scp::SCP ネットワーク サーバのコピー元またはコピー先の URL。このプレフィクスの構文は、次のとおりです。
scp:[//[username@] location]/relativeDirectory]/filename
scp:[//[username@] location]//absoluteDirectory]/filename
(注) FTP または SCP プロトコルを使用する場合は、パスワードの入力を求めるプロンプトが表示されます。SCP プロトコルを使用する場合は、リモート ホストを SSH の既知のホスト リストに追加する必要があります。
• http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
http:[[/[username@]location]/directory]/filename
• https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。
https:[[/[username@]location]/directory]/filename
(注) HTTPS プロトコルを使用する場合は、リモート ホストが TLS 信頼済みホストになっている必要があります。
ライセンス キーをインストールするには、次の手順に従います。
ステップ 1
URL、
www.cisco.com/go/license でライセンス キーを申し込みます。
(注) Cisco.com の有効なユーザ名とパスワードに加えて、ライセンス キーを申し込む前に、Cisco Services for IPS サービス契約も必要です。
ステップ 2 必須フィールドに入力します。Cisco IPS Signature Subscription Service ライセンス キーは、指定した電子メール アドレス宛てに電子メールで送信されます。
(注) ライセンス キーは、正しい IPS デバイス シリアル番号を持つデバイスだけで機能するため、このシリアル番号が必要です。
ステップ 3 Web サーバ、FTP サーバ、または SCP サーバがあるシステムにライセンス キーを保存します。
ステップ 4 管理者権限を持つアカウントを使用して CLI にログインします。
ステップ 5 ライセンス キーをセンサーにコピーします。
sensor# copy scp://user@10.89.147.3://tftpboot/dev.lic license-key
ステップ 6 センサーがライセンスされていることを確認します。
Cisco Intrusion Prevention System, Version 7.0(4)E4
Signature Update S391.0 2008-04-16
Virus Update V1.2 2005-11-24
OS Version: 2.4.30-IDS-smp-bigphys
Serial Number: P300000220
Sensor up-time is 3 days.
Using 1031888896 out of 2093682688 bytes of available memory (49% usage)
system is using 17.8M out of 29.0M bytes of available disk space (61% usage)
application-data is using 52.4M out of 166.6M bytes of available disk space (33% usage)
boot is using 37.8M out of 68.5M bytes of available disk space (58% usage)
MainApp N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Running
AnalysisEngine N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500 Running
CLI N-2007_JUN_19_16_45 (Release) 2007-06-19T17:10:20-0500
IPS-K9-7.0-4-E4 15:36:05 UTC Thu Apr 24 2008
Recovery Partition Version 1.1 - 7.0(4)E4
Host Certificate Valid from: 25-Apr-2008 to 26-Apr-2010
ステップ 7 センサーからサーバにライセンス キーをコピーして、ライセンスのバックアップ コピーを保持します。
sensor# copy license-key scp://user@10.89.147.3://tftpboot/dev.lic