- はじめに
- スタートアップ ガイド
- ダッシュボードの設定
- Startup Wizard の使用
- IPS SSP の設定
- インターフェイスの設定
- ポリシーの設定
- シグニチャの定義
- Signature Wizard の使用
- イベント アクション規則の設定
- 異常検出の設定
- グローバル相関の設定
- SSH と証明書の設定
- Attack Response Controller でのブロッキングとレート制限の設定
- SNMP の設定
- 外部製品インターフェイスの設定
- センサーの管理
- センサーのモニタリング
- IPS SSP の初期化
- IPS SSP へのログイン
- Cisco IPS ソフトウェアについて
- IPS SSP のシステム イメージのインストール
- システム アーキテクチャについて
- シグニチャ エンジンについて
- トラブルシューティングのヒントと手順
- Cisco IPS 7.1 で使用されるオープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Device Manager コンフィギュレーション ガイド for IPS 7.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: Attack Response Controller でのブロッキングとレート制限の設定
Attack Response Controller でのブロッキングとレート制限の設定
(注) IPS SSP を搭載した Cisco ASA 5585-X は、現在のところ、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。現時点では、他に IPS バージョン 7.1 をサポートしている Cisco IPS センサーはありません。
(注) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以上および ASA 8.4(2) 以上でサポートされています。ASA 8.3(x) では、サポートされていません。
(注) ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IDM および CLI には、Network Access Controller、nac、および network-access という名前で参照している部分があります。
この章では、センサーでブロッキングを設定する方法について説明します。次の事項について説明します。
•
「Router Blocking Device Interfaces の設定」
ARC コンポーネント
ここでは、ARC の各種コンポーネントについて説明します。次の事項について説明します。
ブロッキングについて
(注) ARC は、以前は Network Access Controller と呼ばれていました。名前は変更されましたが、IDM および CLI には、Network Access Controller、nac、および network-access という名前で参照している部分があります。
ARC は、疑わしいイベントに応答し、攻撃しているホストとネットワークからのアクセスをブロックすることでネットワーク デバイスを管理します。ARC は、管理しているデバイスの IP アドレスをブロックします。他のマスター ブロッキング センサーを含め、管理しているすべてのデバイスに同じブロックを送信します。ARC は、ブロックの時間をモニタし、時間の経過後にブロックを削除します。
ARC は、7 秒以内に新しいブロックのアクション応答を完了します。ほとんどの場合は、より短い時間でアクション応答を完了します。このパフォーマンス目標を達成するために、センサーでのブロックの実行レートが高すぎたり、管理するブロッキング デバイスおよびインターフェイスが多すぎたりしないように設定してください。最大ブロック数は 250 以下にし、最大ブロッキング項目数は 10 以下にすることを推奨します。ブロッキング項目の最大数を計算するために、セキュリティ アプライアンスはブロッキング コンテキストあたり 1 つのブロッキング項目としてカウントします。ルータは、ブロッキング インターフェイス/方向あたり 1 つのブロッキング項目としてカウントします。Catalyst ソフトウェアを実行しているスイッチは、ブロッキング VLAN あたり 1 つのブロッキング項目としてカウントします。推奨される制限を超えた場合、ARC はブロックをタイミングよく適用しない場合や、ブロックをまったく適用できない場合があります。
マルチ モードで設定されているセキュリティ アプライアンスでは、Cisco IPS は VLAN 情報をブロック要求に含めません。したがって、ブロックされる IP アドレスが各セキュリティ アプライアンスに対して正しいことを確認する必要があります。たとえば、センサーは、VLAN A に対して設定されているセキュリティ アプライアンス カスタマー コンテキストでパケットをモニタし、VLAN B に対して設定されている別のセキュリティ アプライアンス カスタマー コンテキストでブロッキングしている場合があります。VLAN A でブロックをトリガーするアドレスは、VLAN B で別のホストを参照する場合があります。
• ホスト ブロック:特定の IP アドレスからのすべてのトラフィックをブロックします。
• 接続ブロック:特定の送信元 IP アドレスから特定の宛先 IP アドレスおよび宛先ポートへのトラフィックをブロックします。同じ送信元 IP アドレスから異なる宛先 IP アドレスまたは宛先ポートへの複数の接続ブロックによって、接続ブロックからホスト ブロックにブロックが自動的に切り替えられます。
• ネットワーク ブロック:特定のネットワークからのトラフィックをすべてブロックします。ホスト ブロックと接続ブロックは、手動で開始するか、シグニチャがトリガーされたときに自動的に開始できます。ネットワーク ブロックは手動でだけ開始できます。
(注) 接続ブロックとネットワーク ブロックは、適応型セキュリティ アプライアンスではサポートされません。適応型セキュリティ アプライアンスでは、追加の接続情報があるホスト ブロックだけがサポートされます。
自動ブロックの場合、シグニチャがトリガーされたときに SensorApp でブロック要求を ARC に送信するために、特定シグニチャのイベント アクションに対応する [Request Block Host] チェックボックスまたは [Request Block Connection] チェックボックスをオンにし、それらのシグニチャを設定したイベント アクション オーバーライドに追加する必要があります。ARC は、SensorApp からブロック要求を受信すると、デバイス設定をアップデートしてホストまたは接続をブロックします。
Cisco ルータおよび Catalyst 6500 シリーズ スイッチでは、ARC は ACL または VACL を適用してブロックを作成します。ACL および VACL は、インターフェイス方向または VLAN 上のデータ パケットの経路を許可または拒否します。各 ACL または VACL には、IP アドレスに適用される許可条件と拒否条件が含まれます。セキュリティ アプライアンスでは、ACL または VACL は使用されません。組み込みの shun コマンドおよび no shun コマンドが使用されます。
• ログイン ユーザ ID(デバイスに AAA が設定されている場合)
• イネーブル パスワード(イネーブル特権のあるユーザは不要)
• 管理するインターフェイス(ethernet0、vlan100 など)
• 作成する ACL または VACL の最初(Pre-Block ACL または VACL)または最後(Post-Block ACL または VACL)で適用する既存の ACL または VACL 情報
セキュリティ アプライアンスでは、ブロックするために ACL は使用されないため、これはセキュリティ アプライアンスには適用されません。
• デバイスとの通信に Telnet と SSH のどちらを使用しているか
• 絶対にブロックしない IP アドレス(ホストまたはホストの範囲)
ヒント ARC の状態を参照するには、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。
(注) レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック イベント アクションまたはレート制限イベント アクションを指定してシグニチャを設定し、IPv6 トラフィックによってトリガーされた場合、アラートは生成されますが、アクションは実行されません。
• Request Block Host または Request Block Connection イベント アクションをシグニチャに追加する手順については、「シグニチャへのアクションの割り当て」を参照してください。
• Request Block Host または Request Block Connection イベント アクションを特定リスク レーティングのアラートに追加するオーバーライドを設定する手順については、「イベント アクション オーバーライドの追加、編集、削除、イネーブル化、ディセーブル化」を参照してください。
• Pre-Block ACL および Post-Block ACL の詳細については、「センサーがデバイスを管理する方法」を参照してください。
レート制限について
ARC は、保護されているネットワーク内のトラフィックのレート制限を行います。レート制限により、センサーはネットワーク デバイス上の指定したトラフィック クラスのレートを制限できます。レート制限応答は、ホスト フラッド エンジンとネット フラッド エンジン、および TCP ハーフオープン SYN シグニチャに対してサポートされます。ARC では、Cisco IOS 12.3 以降を実行しているネットワーク デバイスにレート制限を設定できます。マスター ブロッキング センサーは、レート制限要求をブロッキング転送センサーに転送することもできます。
• レート制限の送信元アドレスまたは宛先アドレス、あるいはこれらの両方
• TCP または UDP プロトコルを使用する場合、レート制限の送信元ポートまたは宛先ポート、あるいはこれらの両方
レート制限シグニチャを調整することもできます。[Request Rate Limit] にアクションを設定し、これらのシグニチャのパーセンテージを設定する必要もあります。
(注) レート制限およびブロッキングは、IPv6 トラフィックではサポートされていません。ブロック イベント アクションまたはレート制限イベント アクションを指定してシグニチャを設定し、IPv6 トラフィックによってトリガーされた場合、アラートは生成されますが、アクションは実行されません。
表 13-1 に、サポートされているレート制限シグニチャおよびパラメータを示します。
|
|
|
|
|
|
|---|---|---|---|---|
ヒント ARC の状態を参照するには、IDM で [Monitoring] > [Sensor Monitoring] > [Support Information] > [Statistics] を選択します。
• ルータでレート制限を設定する手順については、 「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」 を参照してください。
• センサーをマスター ブロッキング センサーとして設定する手順については、「マスター ブロッキング センサーの設定」を参照してください。
レート制限のサービス ポリシーについて
レート制限が設定されているインターフェイス/方向にサービス ポリシーを適用しないでください。適用した場合は、レート制限アクションが失敗します。レート制限を設定する前に、インターフェイス/方向にサービス ポリシーがないことを確認し、存在する場合には削除します。ARC では、ARC が以前に追加したものでないかぎり、既存のレート制限は削除されません。
レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、 acl および class-map エントリを使用してトラフィックを識別し、 policy-map および service-policy エントリを使用してトラフィックをポリシングします。
ARC を設定する前に
(注) マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のセキュリティ アプライアンスと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。
ARC でブロッキングまたはレート制限を設定する前に、以下を実行する必要があります。
• ネットワーク トポロジを分析して、どのデバイスをどのセンサーでブロックする必要があるか、どのアドレスはブロックするべきではないかを理解します。
• 各デバイスにログインするために必要なユーザ名、デバイスのパスワード、イネーブル パスワード、および接続タイプ(Telnet または SSH)などの情報を収集します。
• 必要に応じて、Pre-Block ACL または VACL の名前、および Post-Block ACL または VACL の名前を確認します。
• どのインターフェイスで、どの方向(インまたはアウト)をブロックする必要があるか、またはブロックするべきではないかを理解します。誤ってネットワーク全体をシャットダウンすることは避けなければなりません。
サポートされるデバイス数
デフォルトでは、ARC は、任意の組み合わせで 250 までのデバイスをサポートします。ARC によるブロッキングでは、次のデバイスがサポートされます。
• Cisco IOS 11.2 以降(ACL)を使用する Cisco シリーズ ルータ
• Catalyst 5000 スイッチ、RSM 搭載、IOS 11.2(9)P 以降(ACL)
• Catalyst 6500 スイッチおよび 7600 ルータ、IOS 12.1(13)E 以降(ACL)
• Catalyst 6500 スイッチおよび 7600 ルータ、Catalyst ソフトウェア バージョン 7.5(1) 以降(VACL)
– Supervisor Engine 1A(PFC 搭載)
– Supervisor Engine 1A(MSFC1 搭載)
– Supervisor Engine 1A(MFSC2 搭載)
– Supervisor Engine 2(MSFC2 搭載)
– Supervisor Engine 720(MSFC3 搭載)
(注) Supervisor Engine での VACL ブロッキング、および MSFC での ACL ブロッキングがサポートされています。
• PIX Firewall、バージョン 6.0 以降( shun コマンド)
• ASA バージョン 7.0 以降( shun コマンド)
ブロッキングを設定するには、ACL、VACLS、または shun コマンドのいずれかを使用します。すべてのファイアウォールおよび ASA モデルは shun コマンドをサポートしています。
ARC によるレート制限では、次のデバイスがサポートされます。
• Cisco IOS 12.3 以降を使用する Cisco シリーズ ルータ
ブロッキング プロパティの設定
ここでは、センサーのブロッキング プロパティを設定する方法について説明します。次の事項について説明します。
• 「[Blocking Properties] ペインのフィールドの定義」
• 「[Add and Edit Never Block Address] ダイアログボックスのフィールドの定義」
• 「ブロックしない IP アドレスの追加、編集、および削除」
[Blocking Properties] ペイン
(注) ブロックしない IP アドレスを追加、編集、または削除するには、管理者またはオペレータである必要があります。
[Blocking Properties] ペインを使用して、ブロッキングおよびレート制限をイネーブルにするために必要な基本設定を行います。
ブロッキング プロパティについて
ARC は、管理対象デバイスでブロッキング アクションおよびレート制限アクションを制御します。手動でもブロックするべきではないホストおよびネットワークをセンサーが識別するように調整する必要があります。信頼できるネットワーク デバイスによる通常の予期可能な動作が攻撃と見なされることも考えられます。そのようなデバイスは絶対にブロックしてはなりません。また、信頼できる内部のネットワークも絶対にブロックしてはなりません。シグニチャを適切にチューニングすることにより、false positive の数を減らし、ネットワークが正しく動作することを保証できます。シグニチャのチューニングとフィルタリングを行うと、アラームの生成が防止できます。アラームが生成されない場合、それに関連付けられたブロックも実行されません。
(注) Never Block Address はレート制限には適用されません。このオプションは Request Block Host イベント アクションまたは Request Block Connection イベント アクションにのみ適用されます。Deny Attacker Inline、Deny Connection Inline、または Deny Packet Inline イベント アクションには適用されません。イベント アクション規則を使用して、ブロック、拒否、およびドロップの対象にしないホストを除外してください。
ネットマスクを指定すると、それがブロックされないネットワークのネットマスクになります。ネットマスクを指定しないと、指定した IP アドレスだけがブロックされません。
デフォルトでは、センサーのブロッキングはイネーブルになっています。デバイスが ARC により管理されていて、そのデバイスに対し何かを手動で設定する必要がある場合、最初にブロッキングをディセーブルにする必要があります。ユーザと ARC の両方が同じデバイスで同時に変更を加える状況を回避する必要があります。この状況が発生すると、デバイスまたは ARC でエラーが発生します。
Cisco IOS デバイスでは、デフォルトではブロッキングのみサポートされます。レート制限を選択することで、またはブロッキングとレート制限を選択することで、ブロッキングのみというデフォルトをオーバーライドできます。
[Blocking Properties] ペインのフィールドの定義
[Blocking Properties] ペインには次のフィールドが表示されます。
• [Enable blocking]:ホストのブロッキングをイネーブルにするかどうかを指定します。デフォルトではイネーブルです。[Enable blocking] がディセーブルで、デフォルト以外の値が他のフィールドに入力されている場合、エラー メッセージが表示されます。
(注) ブロッキングをイネーブルにする場合は、レート制限もイネーブルにします。ブロッキングをディセーブルにする場合は、レート制限もディセーブルにします。これは、ARC が新しいブロックまたはレート制限の追加や既存のブロックまたはレート制限の削除を行えないことを意味します。
(注) ブロッキングをイネーブルにしない場合でも、他のすべてのブロッキング設定を行うことができます。
• [Allow sensor IP address to be blocked]:センサーの IP アドレスをブロックできるようにするかどうかを指定します。デフォルトではディセーブルです。
• [Log all block events and errors]:ブロックの開始から終了まで、ブロックの後に発生したイベントと、発生したすべてのエラー メッセージをセンサーでログに記録するように設定します。
ブロックがデバイスに追加されるかデバイスから削除されると、イベントがログに記録されます。これらすべてのイベントおよびエラーをログに記録する必要はない可能性があります。このオプションをディセーブルにすると、新しいイベントとエラーが抑止されます。デフォルトではイネーブルです。
(注) すべてのブロック イベントとエラーの記録はレート制限にも適用されます。
• [Enable NVRAM write]:ARC の最初の接続時に、センサーの指示でルータが NVRAM に書き込みを行うように設定します。イネーブルになっている場合は、ACL が更新されるたびに NVRAM が書き込まれます。デフォルトではディセーブルです。
(注) NVRAM の書き込みをイネーブルにすると、ブロッキングとレート制限に対するすべての変更が NVRAM に必ず書き込まれます。ルータが再起動された場合でも、適切なブロックとレート制限がアクティブになります。NVRAM の書き込みがディセーブルになっている場合、ルータの再起動後にブロッキングまたはレート制限が行われない期間が短時間発生します。NVRAM 書き込みをイネーブルにしない場合、NVRAM の寿命が延び、新しいブロックとレート制限の設定にかかる時間が短縮されます。
• [Enable ACL Logging]:ARC で、ACL または VACL のブロック エントリにログ パラメータを追加します。これにより、デバイスはパケットがフィルタ処理されるときに syslog イベントを生成します。このオプションは、ルータとスイッチにのみ適用されます。デフォルトではディセーブルです。
• [Maximum Block Entries]:ブロックするエントリの最大数。値は 1 ~ 65535 です。デフォルトは 250 です。
• [Maximum Interfaces]:ブロックを実行するインターフェイスの最大数を設定します。
たとえば、PIX 500 シリーズ セキュリティ アプライアンスは 1 つのインターフェイスとカウントされます。1 つのインターフェイスを持つルータは 1 つとしてカウントされますが、2 つのインターフェイスを持つルータは 2 つとしてカウントされます。インターフェイスの最大数はデバイスあたり 250 です。デフォルトは 250 です。
(注) [Maximum Interfaces] を使用して、ARC が管理できるデバイスとインターフェイスの数の上限を設定します。ブロッキング デバイスの合計数(マスター ブロッキング センサーを含まない)がこの値を超えることはできません。ブロッキング項目の合計数もこの値を超えることはできません。ブロッキング項目は 1 つのセキュリティ アプライアンス コンテキスト、1 つのルータ ブロッキング インターフェイス/方向、または VLAN をブロッキングしている 1 つの Catalyst ソフトウェア スイッチです。
(注) また、デバイスあたり 250 個のインターフェイス、250 台のセキュリティ アプライアンス、250 台のルータ、250 台の Catalyst ソフトウェア スイッチ、および 100 台のマスター ブロッキング センサーは固定の最大数であり、変更できません。
• [Maximum Rate Limit Entries]:レート制限エントリの最大数。最大レート制限は、最大ブロッキング エントリ以下である必要があります。ブロック エントリの数を超える数のレート制限エントリを設定すると、エラーが表示されます。値は 1 ~ 32767 です。デフォルトは 250 です。
• [Never Block Addresses]:センサーでブロックするのを回避する IP アドレスを設定できます。
(注) Never Block Address はレート制限には適用されません。このオプションは Request Block Host イベント アクションおよび Request Block Connection イベント アクションにのみ適用されます。Deny Attacker Inline、Deny Connection Inline、または Deny Packet Inline イベント アクションには適用されません。イベント アクション規則を使用して、ブロック、拒否、およびドロップの対象にしないホストを除外してください。
ブロッキング プロパティの設定
ブロッキング プロパティを設定するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Blocking Properties] を選択します。
ステップ 3 ブロッキングおよびレート制限をイネーブルにするには、[Enable blocking] チェックボックスをオンにします。
(注) ブロッキングまたはレート制限を動作させるには、ブロッキングまたはレート制限を実行するようにデバイスを設定する必要があります。
ステップ 4 必要な場合以外は、[Allow the sensor IP address to be blocked] チェックボックスをオンにしないでください。
ステップ 5 ブロッキング イベントおよびエラーをログに記録する場合は、[Log all block events and errors] チェックボックスをオンにします。
ステップ 6 ARC の最初の接続時に、センサーの指示でルータが NVRAM に書き込みを行うようにするには、[Enable NVRAM write] チェックボックスをオンにします。
ステップ 7 ARC で、ACL または VACL のブロック エントリにログ パラメータを追加する場合、[Enable ACL logging] チェックボックスをオンにします。
ステップ 8 [Maximum Block Entries] フィールドには、同時に維持されるブロック数を入力します(1 ~ 65535)。
(注) 250 を超える最大ブロック エントリ数を設定することは推奨されていません。
(注) ブロック数が最大ブロック エントリ数を超えることはありません。最大数に達すると、既存のブロックがタイムアウトするか削除されるまで新しいブロックは発生しません。
ステップ 9 [Maximum Interfaces] フィールドに、ブロックを実行するインターフェイスの数を入力します。
ステップ 10 [Maximum Rate Limit Entries] フィールドに、必要とするレート制限エントリの数(1 ~ 32767)を入力します。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 11 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
[Add and Edit Never Block Address] ダイアログボックスのフィールドの定義
[Add and Edit Never Block Address] ダイアログボックスには、次のフィールドが表示されます。
ブロックしない IP アドレスの追加、編集、および削除
ブロックしない IP アドレスを追加、編集、および削除するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Blocking Properties] を選択し、[Add] をクリックして、ブロックしないアドレスのリストにホストまたはネットワークを追加します。
ステップ 3 [IP Address] フィールドに、ホストまたはネットワークの IP アドレスを入力します。
ステップ 4 [Network Mask] フィールドに、ホストまたはネットワークのネットワーク マスクを入力するか、リストからネットワーク マスクを選択します。
ヒント 変更を廃棄して [Add Never Block Address] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 5 [OK] をクリックします。エントリが同一の場合、エラー メッセージが表示されます。[Blocking Properties] ペインの [Never Block Addresses] リストに、新しいホストまたはネットワークが表示されます。
ステップ 6 [Never Block Addresses] リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 7 [IP Address] フィールドで、ホストまたはネットワークの IP アドレスを編集します。
ステップ 8 [Network Mask] フィールドで、ホストまたはネットワークのネットワーク マスクを編集します。
ヒント 変更を廃棄して [Edit Never Block Address] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。[Allowed Hosts] ペインの [Never Block Addresses] リスト内に編集済みのホストまたはネットワークが表示されます。
ステップ 10 ホストまたはネットワークをリストから削除するには、ホストまたはネットワークを選択し、[Delete] をクリックします。[Blocking Properties] ペインの [Never Block Addresses] リストからホストが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 11 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
デバイス ログイン プロファイルの設定
ここでは、デバイス ログイン プロファイルの設定方法について説明します。次の事項について説明します。
• 「[Device Login Profiles] ペイン」
• 「[Device Login Profiles] ペインのフィールドの定義」
• 「[Device Login Profiles] ペインのフィールドの定義」
[Device Login Profiles] ペイン
(注) デバイス ログイン プロファイルを追加または編集するには、管理者またはオペレータである必要があります。
[Device Login Profiles] ペインを使用して、ブロッキング デバイスへのログイン時にセンサーが使用するプロファイルを設定します。センサーが管理する他のハードウェアのデバイス ログイン プロファイルを設定する必要があります。作成した名前を持つデバイス ログイン プロファイルには、ユーザ名、ログイン パスワード、およびイネーブル パスワード情報が含まれます。たとえば、同じパスワードとユーザ名を共有するすべてのルータに対して、1 つのデバイス ログイン プロファイル名で対応できます。
(注) ブロッキング デバイスを設定する前に、デバイス ログイン プロファイルを作成する必要があります。
[Device Login Profiles] ペインのフィールドの定義
[Device Login Profiles] ペインには次のフィールドが表示されます。
• [Username]:ブロッキング デバイスへのログイン時に使用するユーザ名。
• [Login Password]:ブロッキング デバイスへのログイン時に使用するログイン パスワード。
(注) パスワードがある場合は、一定の個数のアスタリスクで表示されます。
• [Enable Password]:ブロッキング デバイスで使用するパスワードをイネーブルにします。
(注) パスワードがある場合は、一定の個数のアスタリスクで表示されます。
[Add and Edit Device Login Profile] ダイアログボックスのフィールドの定義
[Add and Edit Device Login Profile] ダイアログボックスには次のフィールドが表示されます。
• [Username]:ブロッキング デバイスへのログイン時に使用するユーザ名。
• [Login Password]:ブロッキング デバイスへのログイン時に使用するログイン パスワード。
(注) パスワードがある場合は、一定の個数のアスタリスクで表示されます。
• [Enable Password]:ブロッキング デバイスで使用するパスワードをイネーブルにします。
(注) パスワードがある場合は、一定の個数のアスタリスクで表示されます。
デバイス ログイン プロファイルの設定
デバイス ログイン プロファイルを設定するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Device Login Profiles] を選択し、[Add] をクリックしてプロファイルを追加します。
ステップ 3 [Profile Name] フィールドにプロファイル名を入力します。
ステップ 4 (オプション)[Username] フィールドに、ブロッキング デバイスへのログイン時に使用するユーザ名を入力します。
ステップ 5 (オプション)[New Password] フィールドに、ログイン パスワードを入力します。
ステップ 6 (オプション)[Confirm New Password] フィールドに、確認のためにログイン パスワードを再度入力します。
ステップ 7 (オプション)[New Password] フィールドに、イネーブル パスワードを入力します。
ステップ 8 (オプション)[Confirm New Password] フィールドに、確認のためにイネーブル パスワードを再度入力します。
ヒント 変更を廃棄して [Add Device Login Profile] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。プロファイル名がすでに存在する場合、エラー メッセージが表示されます。[Device Login Profile] ペイン内のリストに、新しいデバイス ログイン プロファイルが表示されます。
ステップ 10 デバイス ログイン プロファイル リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 11 [Username] フィールドで、ブロッキング デバイスへのログイン時に使用するユーザ名を編集します。
ステップ 12 ログイン パスワードを変更するには、[Change the login password] チェックボックスをオンにします。
ステップ 13 [New Password] フィールドに、新しいログイン パスワードを入力します。
ステップ 14 [Confirm New Password] フィールドに、確認のために新しいログイン パスワードを入力します。
ステップ 15 イネーブル パスワードを変更するには、[Change the enable password] チェックボックスをオンにします。
ステップ 16 [New Password] フィールドに、新しいイネーブル パスワードを入力します。
ステップ 17 [Confirm New Password] フィールドに、確認のためにイネーブル パスワードを入力します。
ヒント 変更を廃棄して [Edit Device Login Profile] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 18 [OK] をクリックします。[Device Login Profile] ペイン内のリストに、編集済みのデバイス ログイン プロファイルが表示されます。
ステップ 19 リストからデバイス ログイン プロファイルを削除するには、デバイス ログイン プロファイルを選択し、[Delete] をクリックします。[Device Login Profile] ペイン内のリストからデバイス ログイン プロファイルが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 20 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
ブロッキング デバイスの設定
ここでは、ブロッキング デバイスの設定方法について説明します。次の事項について説明します。
• 「[Blocking Devices] ペインのフィールドの定義」
• 「[Add and Edit Blocking Device] ダイアログボックスのフィールドの定義」
• 「ブロッキング デバイスおよびレート制限デバイスの追加、編集、および削除」
[Blocking Device] ペイン
(注) ブロッキング デバイスを設定するには、管理者またはオペレータである必要があります。
[Blocking Devices] ペインを使用して、センサーがブロッキングおよびレート制限を実行するために使用するデバイスを設定します。Cisco IOS ルータまたは Catalyst 6500 スイッチに展開される ACL 規則を生成することで、またはセキュリティ アプライアンスで排除規則を生成することで、攻撃をブロックするようにセンサーを設定できます。このルータ、スイッチ、またはセキュリティ アプライアンスは、ブロッキング デバイスと呼ばれます。
レート制限では ACL が使用されますが、ブロックと同じ方法では使用されません。レート制限では、ACL および class-map エントリを使用してトラフィックを識別し、policy-map および service-policy エントリを使用してトラフィックをポリシングします。
[Blocking Devices] ペインでデバイスを設定する前に、センサーが管理するデバイスごとにデバイス ログイン プロファイルを指定する必要があります。
[Blocking Devices] ペインのフィールドの定義
[Blocking Devices] ペインには次のフィールドが表示されます。
• [IP Address]:ブロッキング デバイスの IP アドレス。
• [Sensor's NAT Address]:センサーの NAT アドレス。
• [Device Login Profile]:ブロッキング デバイスへのログイン時に使用するデバイス ログイン プロファイル。
• [Device Type]:デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。デフォルトは [Cisco Router] です。
• [Response Capabilities]:デバイスで、ブロッキング、レート制限、またはその両方を使用することを指定します。
• [Communication]:ブロッキング デバイスへのログイン時に使用する通信メカニズム(SSH 3DES および Telnet)を指定します。デフォルトは [SSH 3DES] です。
[Add and Edit Blocking Device] ダイアログボックスのフィールドの定義
[Add and Edit Blocking Device] ダイアログボックスには、次のフィールドが表示されます。
• [IP Address]:ブロッキング デバイスの IP アドレス。
• [Sensor's NAT Address]:センサーの NAT アドレス。
• [Device Login Profile]:ブロッキング デバイスへのログイン時に使用するデバイス ログイン プロファイル。
• [Device Type]:デバイスのタイプ(Cisco Router、Cat 6K、PIX/ASA)。デフォルトは [Cisco Router] です。
• [Response Capabilities]:デバイスで、ブロッキング、レート制限、またはその両方を使用することを指定します。
• [Communication]:ブロッキング デバイスへのログイン時に使用する通信メカニズム(SSH 3DES および Telnet)を指定します。デフォルトは [SSH 3DES] です。
ブロッキング デバイスおよびレート制限デバイスの追加、編集、および削除
ブロッキング デバイスおよびレート制限デバイスを追加、編集、または削除するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Blocking] > [Blocking Devices] を選択し、[Add] をクリックしてブロッキング デバイスを追加します。
デバイス ログイン プロファイルを設定していない場合、エラー メッセージが表示されます。
ステップ 3 [IP Address] フィールドには、ブロッキング デバイスの IP アドレスを入力します。
ステップ 4 (オプション)[Sensor's NAT Address] フィールドに、センサーの NAT アドレスを入力します。
ステップ 5 [Device Login Profile] ドロップダウン リストからデバイス ログイン プロファイルを選択します。
ステップ 6 [Device Type] ドロップダウン リストからデバイス タイプを選択します。
ステップ 7 [Response Capabilities] フィールドで、[Block] チェックボックス、[Rate Limit] チェックボックス、またはその両方をオンにして、デバイスでブロッキング、レート制限、またはその両方を実行することを指定します。
(注) シグニチャがトリガーされたとき、SensorApp でブロック要求またはレート制限要求を ARC に送信するために、特定のシグニチャに対しブロッキングおよびレート制限を選択する必要があります。
ステップ 8 [Communication] ドロップダウン リストから、通信タイプを選択します。[SSH 3DES] を選択する場合、ステップ 11 に進みます。
ヒント 変更を廃棄して [Add Blocking Device] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。IP アドレスがすでに追加されている場合は、エラー メッセージが表示されます。[Blocking Devices] ペイン内のリストに、新しいデバイスが表示されます。
ステップ 10 [SSH 3DES] を選択した場合は、既知のホスト リストにデバイスを追加する必要があります。
(注) [SSH 3DES] を選択した場合、3DES 暗号化をサポートする機能セットやライセンスがブロッキング デバイスに必要です。
(注) [Configuration] > [Sensor Management] > [SSH] > [Known Host Keys] > [Add Known Host Key] を選択することでも、既知のホスト リストにデバイスを追加できます。
a. センサーに Telnet 接続し、CLI にログインします。
b. グローバル コンフィギュレーション モードを開始します。
sensor(config)# ssh host-key blocking_device_ip_address d. 公開キーを既知のホストのリストに追加することを確認するように求めるメッセージが表示されます。
f. グローバル コンフィギュレーション モードおよび CLI を終了します。
ステップ 11 ブロッキング デバイス リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 12 必要に応じて、センサーの NAT アドレスを編集します。
ステップ 13 必要に応じて、デバイス ログイン プロファイルを変更します。
ステップ 14 必要に応じて、デバイス タイプを変更します。
ステップ 15 必要に応じて、ブロッキングまたはレート制限をデバイスで実行するかどうかについて変更を行います。
ヒント 変更を廃棄して [Edit Blocking Device] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 17 [OK] をクリックします。[Blocking Device] ペイン内のリストに、編集済みのブロッキング デバイスが表示されます。
ステップ 18 リストからブロッキング デバイスを削除するには、ブロッキング デバイスを選択し、[Delete] をクリックします。[Blocking Device] ペイン内のリストからブロッキング デバイスが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 19 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
Router Blocking Device Interfaces の設定
ここでは、ルータのブロッキング デバイス インターフェイスを設定する方法について説明します。次の事項について説明します。
• 「[Router Blocking Device Interfaces] ペイン」
• 「ルータのブロッキング デバイス インターフェイスについて」
• 「[Router Blocking Device Interfaces] ペインのフィールドの定義」
• 「[Add and Edit Router Blocking Device Interface] ダイアログボックスのフィールドの定義」
• 「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」
[Router Blocking Device Interfaces] ペイン
(注) ルータのブロッキング デバイス インターフェイスを設定するには、管理者またはオペレータである必要があります。
[Router Blocking Device Interfaces] ペインで、ルータのブロッキング インターフェイスまたはレート制限インターフェイスを設定し、ブロックまたはレート制限するトラフィックの方向を指定します。
ルータのブロッキング デバイス インターフェイスについて
(注) Pre-Block ACL および Post-Block ACL はレート制限には適用されません。
Pre-Block ACL と Post-Block ACL は、ルータのコンフィギュレーション内に作成し、保存します。これらの ACL は名前付きまたは番号付きの拡張 IP ACL にする必要があります。ACL の作成の詳細については、ルータのマニュアルを参照してください。[Pre-Block ACL] フィールドおよび [Post-Block ACL] フィールドに、ルータに対しすでに設定されている、これらの ACL の名前を入力します。
Pre-Block ACL は、主にブロック対象外のものを許可するために使用されます。この ACL を使用してパケットがチェックされるとき、最初に一致する行によってアクションが決まります。最初に一致する行が Pre-Block ACL の許可の行である場合、ACL の後の方に(自動ブロックの)拒否の行があっても、そのパケットは許可されます。Pre-Block ACL は、ブロックによって生じる拒否の行よりも優先されます。
Post-Block ACL は、同じインターフェイスまたは方向に対して、追加的にブロッキングまたは許可を行う場合に最適です。センサーが管理するインターフェイスまたは方向に既存の ACL がある場合、その ACL を Post-Block ACL として使用できます。Post-Block ACL がない場合、センサーは新しい ACL の最後に permit ip any any を挿入します。
センサーが起動すると、2 つの ACL の内容が読み込まれます。そして、次のエントリを持った 3 つ目の ACL が作成されます。
センサーは新しい ACL を、指定したインターフェイスと方向に適用します。
(注) 新しい ACL がルータのインターフェイスまたは方向に適用されると、そのインターフェイスまたは方向に対する他の ACL が適用されなくなります。
センサーがデバイスを管理する方法
ARC は、Cisco のルータやスイッチを管理する場合、それらのデバイスの ACL を使用します。ACL は、次のように作成されます。
1. センサーの IP アドレス、またはセンサーの NAT アドレス(指定されている場合)を含む permit 行
(注) センサーのブロックを許可している場合、この行は ACL に含まれません。
この ACL は、すでにデバイスに存在している必要があります。
(注) ARC は ACL 内の行を読み取り、それらの行を ACL の先頭にコピーします。
この ACL は、すでにデバイスに存在している必要があります。
(注) ARC は ACL 内の行を読み取り、それらの行を ACL の末尾にコピーします。
(注) 一致しないパケットをすべて許可する場合、ACL 内の最後の行が permit ip any any であることを確認します。
– permit ip any any (Post-Block ACL を指定した場合は使用されません)
ARC は、デバイスを管理するために 2 つの ACL を使用します。アクティブな ACL は一度に 1 つだけです。オフラインの ACL 名を使用して新しい ACL が作成され、それがインターフェイスに適用されます。ARC は、次のサイクルでは、このプロセスを逆に実行します。
Pre-Block ACL または Post-Block ACL を修正する必要がある場合は、次の手順に従います。
ブロッキングが再びイネーブルになると、センサーは新しいデバイス設定を読み取ります。
• ブロッキングをイネーブルにする手順については、「ブロッキング プロパティの設定」を参照してください。
• センサーをマスター ブロッキング センサーとして設定する手順については、「マスター ブロッキング センサーの設定」を参照してください。
[Router Blocking Device Interfaces] ペインのフィールドの定義
[Router Blocking Device Interfaces] ペインには、次のフィールドが表示されます。
• [Router Blocking Device]:デバイスをブロックまたはレート制限するルータの IP アドレス。
• [Blocking Interface]:デバイスをブロックまたはレート制限するルータで使用するインターフェイス。有効な値は、a ~ z、A ~ Z、0 ~ 9 および特殊文字「.」と「/」の形式の 1 ~ 64 までの文字です。
• [Direction]:ブロッキング ACL に適用する方向。有効な値は、In および Out です。
• [Pre-Block ACL]:ブロッキング ACL の前に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。
• [Post-Block ACL]:ブロッキング ACL の後に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。
(注) [Post-Block ACL] と [Pre-Block ACL] は同一にできません。
[Add and Edit Router Blocking Device Interface] ダイアログボックスのフィールドの定義
[Add and Edit Router Blocking Device Interface] ダイアログボックスには、次のフィールドが表示されます。
• [Router Blocking Device]:デバイスをブロックまたはレート制限するルータの IP アドレス。
• [Blocking Interface]:デバイスをブロックまたはレート制限するルータで使用するインターフェイス。有効な値は、a ~ z、A ~ Z、0 ~ 9 および特殊文字「.」と「/」の形式の 1 ~ 64 までの文字です。
• [Direction]:ブロッキング ACL に適用する方向。有効な値は、In および Out です。
• [Pre-Block ACL]:ブロッキング ACL の前に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。
• [Post-Block ACL]:ブロッキング ACL の後に適用する ACL。有効な値は、0 ~ 64 文字です。このフィールドはレート制限には適用されません。
(注) [Post-Block ACL] と [Pre-Block ACL] は同一にできません。
ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定
ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスを設定するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Router Blocking Device Interfaces] を選択し、[Add] をクリックしてルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスを追加します。
ステップ 3 [Router Blocking Device] ドロップダウン リストで、ルータ ブロッキング デバイスまたはレート制限デバイスの IP アドレスを選択します。
ステップ 4 [Blocking Interface] フィールドに、ブロッキング インターフェイスまたはレート制限インターフェイスの名前を入力します。
ステップ 5 [Direction] ドロップダウン リストから、方向(インまたはアウト)を選択します。
ステップ 6 (オプション)[Pre-Block ACL] フィールドに、Pre-Block ACL の名前を入力します。
(注) このステップはレート制限デバイスには適用されません。
ステップ 7 (オプション)[Post-Block ACL] フィールドに、Post-Block ACL の名前を入力します。
(注) このステップはレート制限デバイスには適用されません。
ヒント 変更を廃棄して [Add Router Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 8 [OK] をクリックします。IP アドレス、インターフェイス、および方向の組み合わせがすでに存在する場合、エラー メッセージが表示されます。[Router Blocking Device Interfaces] ペイン内のリストに、新しいインターフェイスが表示されます。
ステップ 9 ルータ ブロッキング デバイス インターフェイス リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 10 必要に応じて、ブロッキング インターフェイスまたはレート制限インターフェイスの名前を編集します。
ステップ 12 必要に応じて、Pre-Block ACL 名を編集します。
ステップ 13 必要に応じて、Post-Block ACL 名を編集します。
ヒント 変更を廃棄して [Edit Router Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 14 [OK] をクリックします。[Router Blocking Device Interfaces] ペイン内のリストに、編集済みのルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスが表示されます。
ステップ 15 リストからルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスを削除するには、削除対象を選択し、[Delete] をクリックします。[Router Blocking Device Interfaces] ペイン内のリストから、ルータ ブロッキング デバイス インターフェイスまたはレート制限デバイス インターフェイスが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 16 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
Cat 6K のブロッキング デバイス インターフェイスの設定
ここでは、Catalyst 6500 シリーズのインターフェイスを設定する方法について説明します。次の事項について説明します。
• 「[Cat 6K Blocking Device Interfaces] ペイン」
• 「Cat 6K のブロッキング デバイス インターフェイスについて」
• 「[Cat 6K Blocking Device Interfaces] ペインのフィールドの定義」
• 「[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスのフィールドの定義」
• 「Cat 6K のブロッキング デバイス インターフェイスの設定」
[Cat 6K Blocking Device Interfaces] ペイン
(注) Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを設定するには、管理者またはオペレータである必要があります。
[Cat 6K Blocking Device Interfaces] ペインで、ブロッキングを実行する Catalyst 6500 シリーズ スイッチの VLAN ID および VACL を指定します。
Cat 6K のブロッキング デバイス インターフェイスについて
Cisco Catalyst ソフトウェアを実行する場合、スイッチ自体の VACL を使用してブロックを実行するように ARC を設定できます。また、Cisco IOS ソフトウェアを実行する場合、MSFC またはスイッチ自体のルータ ACL を使用してブロックを実行するように ARC を設定できます。ここでは、VACL を使用したブロッキングについて説明します。VACL を使用するスイッチを設定して、レート制限を実行することはできません。Catalyst 6500 シリーズ スイッチでブロッキング インターフェイスを設定する必要、およびブロックするトラフィックの VLAN を指定する必要があります。
スイッチの設定で Pre-Block VACL および Post-Block VACL を作成し、保存します。これらの VACL は名前付きまたは番号付きの拡張 IP VACL にする必要があります。VACL の作成の詳細については、スイッチのマニュアルを参照してください。[Pre-Block VACL] フィールドおよび [Post-Block VACL] フィールドに、スイッチに対しすでに設定されている、これらの VACL の名前を入力します。
Pre-Block VACL は、主にセンサーでブロックしない対象を許可する場合に使用します。パケットと VACL が照合され、最初に一致した行によりアクションが決定されます。最初の行が Pre-Block VACL の permit 行と一致する場合、VACL の後続の行に(自動ブロックからの)deny 行がある場合でも、パケットは許可されます。Pre-Block VACL では、ブロックの結果の deny 行をオーバーライドできます。
Post-Block VACL は、同じ VLAN で追加のブロッキングまたは許可を実行する場合に最適です。センサーが管理する VLAN に既存の VACL がある場合、既存の VACL を Post-Block VACL として使用できます。Post-Block VACL がない場合、センサーは新しい VACL の末尾に permit ip any any を挿入します。
(注) IDSM2 は、新しい VACL の末尾に permit ip any any capture を挿入します。
センサーは、起動すると、2 つの VACL の内容を読み取ります。その後、次のエントリが含まれる 3 つ目の VACL を作成します。
• Post-Block VACL のすべての設定行のコピー
センサーは新しい VACL を、指定した VLAN に適用します。
(注) 新しい VACL がスイッチの VLAN に適用されると、その VLAN に対する他の VACL は適用されなくなります。
ルータ ACL を使用したブロッキングについては、「ルータのブロッキング デバイス インターフェイスおよびレート制限デバイス インターフェイスの設定」を参照してください。
[Cat 6K Blocking Device Interfaces] ペインのフィールドの定義
[Cat 6K Blocking Device Interfaces] ペインには、次のフィールドが表示されます。
• [Cat 6K Blocking Device]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。
• [VLAN ID]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。値は 1 ~ 4094 です。
• [Pre-Block VACL]:ブロッキング VACL の前に適用する VACL。値は 0 ~ 64 文字です。
• [Post-Block VACL]:ブロッキング VACL の後に適用する VACL。値は 0 ~ 64 文字です。
(注) [Post-Block VACL] は [Pre-Block VACL] と、異なる必要があります。
[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスのフィールドの定義
[Add and Edit Cat 6K Blocking Device Interface] ダイアログボックスには、次のフィールドが表示されます。
• [Cat 6K Blocking Device]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)の IP アドレス。
• [VLAN ID]:ブロッキング デバイス(Catalyst 6500 シリーズ スイッチ)で使用される VLAN ID。値は 1 ~ 4094 です。
• [Pre-Block VACL]:ブロッキング VACL の前に適用する VACL。値は 0 ~ 64 文字です。
• [Post-Block VACL]:ブロッキング VACL の後に適用する VACL。値は 0 ~ 64 文字です。
(注) [Post-Block VACL] は [Pre-Block VACL] と、異なる必要があります。
Cat 6K のブロッキング デバイス インターフェイスの設定
Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを設定するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Cat 6K Blocking Device Interfaces] を選択し、[Add] をクリックして、Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを追加します。
ステップ 3 [Cat 6K Blocking Device] ドロップダウン リストから、Catalyst 6500 シリーズ スイッチの IP アドレスを選択します。
ステップ 4 [VLAN ID] フィールドに VLAN ID を入力します。
ステップ 5 (オプション)[Pre-Block VACL] フィールドに、Pre-Block VACL の名前を入力します。
ステップ 6 (オプション)[Post-Block VACL] フィールドに、Post-Block VACL の名前を入力します。
ヒント 変更を廃棄して [Add Cat 6K Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 7 [OK] をクリックします。IP アドレスと VLAN の組み合わせがすでに存在する場合、エラー メッセージが表示されます。[Cat 6K Blocking Device Interfaces] ペイン内のリストに、新しいインターフェイスが表示されます。
ステップ 8 Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスのリスト内にある既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 10 必要に応じて、Pre-Block VACL 名を編集します。
ステップ 11 必要に応じて、Post-Block VACL 名を編集します。
ヒント 変更を廃棄して [Edit Cat 6K Blocking Device Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 12 [OK] をクリックします。[Cat 6K Blocking Device Interfaces] ペイン内のリストに、編集済みの Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスが表示されます。
ステップ 13 リストから Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスを削除するには、削除対象を選択し、[Delete] をクリックします。[Cat 6K Blocking Device Interfaces] ペイン内のリストから Catalyst 6500 シリーズ スイッチ ブロッキング デバイス インターフェイスが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 14 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
マスター ブロッキング センサーの設定
ここでは、マスター ブロッキング センサーの設定方法について説明します。次の事項について説明します。
• 「[Master Blocking Sensor] ペイン」
• 「[Master Blocking Sensor] ペインのフィールドの定義」
• 「[Add and Edit Master Blocking Sensor] ダイアログボックスのフィールドの定義」
[Master Blocking Sensor] ペイン
(注) マスター ブロッキング センサーを設定するには、管理者またはオペレータである必要があります。
[Master Blocking Sensor] ペインで、ブロッキング デバイスを設定するために使用するマスター ブロッキング センサーを指定します。
マスター ブロッキング センサーについて
複数のセンサー(ブロッキング転送センサー)が、1 つ以上のデバイスを制御する、指定したマスター ブロッキング センサーに、ブロッキング要求を転送できます。マスター ブロッキング センサーは、他の 1 つ以上のセンサーに代わって 1 つ以上のデバイスでブロッキングを制御するセンサーで実行されている ARC です。マスター ブロッキング センサーの ARC は、他のセンサーで実行されている ARC の要求に応じて、デバイスでブロッキングを制御します。マスター ブロッキング センサーは、レート制限を転送することもできます。
マスター ブロッキング センサーを追加する場合は、センサーあたりのブロッキング デバイス数を減らします。たとえば、それぞれ 1 つのブロッキング インターフェイス/方向を持つ 10 個のファイアウォールと 10 台のルータでブロックする場合は、センサーに 10 個を割り当て、マスター ブロッキング センサーに残りの 10 個を割り当てることができます。
ブロッキング転送センサーで、マスター ブロッキング センサーとして機能するリモート ホストを識別します。マスター ブロッキング センサーでは、アクセス リストにブロッキング転送センサーを追加する必要があります。
マスター ブロッキング センサーが Web 接続に TLS を必要とする場合は、マスター ブロッキング センサー リモート ホストの X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定する必要があります。センサーでは TLS がデフォルトでイネーブルになりますが、このオプションは変更できます。
(注) 通常、マスター ブロッキング センサーはネットワーク デバイスを管理するように設定します。ブロッキング転送センサーは、通常は他のネットワーク デバイスを管理するようには設定されていませんが、これを行うことは可能です。
ブロッキング用またはレート制限用に設定されているデバイスがない場合でも、ブロッキング用またはレート制限用に設定されているセンサーは、ブロッキング要求およびレート制限要求をマスター ブロッキング センサーに転送できます。ブロッキングまたはレート制限要求がイベント アクションとして設定されているシグニチャが起動した場合、センサーはブロック要求またはレート制限要求をマスター ブロッキング センサーに転送し、そのセンサーがブロックまたはレート制限を実行します。
[Master Blocking Sensor] ペインのフィールドの定義
[Master Blocking Sensor] ペインには次のフィールドが表示されます。
• [IP Address]:マスター ブロッキング センサーの IP アドレス。
• [Port]:マスター ブロッキング センサーに接続するためのポート。デフォルトは 443 です。
• [Username]:マスター ブロッキング センサーへのログイン時に使用するユーザ名。ユーザ名は ^[A-Za-z0-9()+:,_/-]+$ というパターンに従います。つまり、ユーザ名の先頭の 1 文字は英数字にする必要があり、A ~ Z(大文字または小文字)までの任意の英字、0 ~ 9 までの任意の数字、- および _ を含めることができます。またユーザ名は 1 ~ 64 文字使用できます。
[Add and Edit Master Blocking Sensor] ダイアログボックスのフィールドの定義
[Add and Edit Master Blocking Sensor] ダイアログボックスには、次のフィールドが表示されます。
• [IP Address]:マスター ブロッキング センサーの IP アドレス。IP アドレスがすでに存在する場合、警告が表示されます。
• [Port (optional)]:マスター ブロッキング センサーに接続するためのポート。デフォルトは 443 です。
• [Username]:マスター ブロッキング センサーへのログイン時に使用するユーザ名。ユーザ名は ^[A-Za-z0-9()+:,_/-]+$ というパターンに従います。つまり、ユーザ名の先頭の 1 文字は英数字にする必要があり、A ~ Z(大文字または小文字)までの任意の英字、0 ~ 9 までの任意の数字、- および _ を含めることができます。またユーザ名は 1 ~ 64 文字使用できます。
• [Change the password]:パスワードを変更するかどうかを示します。
• [New Password]:マスター ブロッキング センサーへのログイン時に使用するログイン パスワード。
マスター ブロッキング センサーの設定
マスター ブロッキング センサーを設定するには、次の手順を実行します。
管理者権限またはオペレータ権限を持つアカウントを使用して IDM にログインします。
ステップ 2 [Configuration] > [Sensor Management] > [Blocking] > [Master Blocking Sensor] を選択し、[Add] をクリックしてマスター ブロッキング センサーを追加します。
ステップ 3 [IP Address] フィールドには、マスター ブロッキング センサーの IP アドレスを入力します。
ステップ 4 (オプション)[Port] フィールドに、ポート番号を入力します。デフォルトは 443 です。
ステップ 5 [Username] フィールドに、ユーザ名を入力します。
ステップ 6 [New Password] フィールドに、ユーザのパスワードを入力します。
ステップ 7 [Confirm New Password] フィールドに、確認のためにパスワードを入力します。
ヒント 変更を廃棄して [Add Master Blocking Sensor] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。IP アドレスがすでに追加されている場合は、エラー メッセージが表示されます。[Master Blocking Sensor] ペイン内のリストに、新しいマスター ブロッキング センサーが表示されます。
ステップ 10 [TLS] を選択した場合は、マスター ブロッキング センサー リモート ホストの TLS/SSL X.509 証明書を受け入れるようにブロッキング転送センサーの ARC を設定します。
(注) [Configuration] > [Sensor Management] > [Certificates] > [Trusted Hosts] > [Add Trusted Host] を選択することでも、X.509 証明書を受け入れるようにブロッキング転送センサーを設定できます。
a. 管理者権限を持つアカウントを使用して、ブロッキング転送センサーの CLI にログインします。
b. グローバル コンフィギュレーション モードを開始します。
信頼できるホストの追加を確認するように求めるメッセージが表示されます。
e. グローバル コンフィギュレーション モードおよび CLI を終了します。
証明書のフィンガープリントに基づいて証明書を受け入れるように要求されます。センサーが提供するのは、自己署名証明書(認識された認証局の署名がある証明書ではなく)だけです。マスター ブロッキング センサーのホスト センサー証明書を検証するには、ホスト センサーにログインし、 show tls fingerprint コマンドを入力して、ホスト証明書のフィンガープリントが一致することを確認します。
ステップ 11 マスター ブロッキング センサー リスト内の既存のエントリを編集するには、エントリを選択し、[Edit] をクリックします。
ステップ 14 このユーザのパスワードを変更するには、[Change the password] チェックボックスをオンにします。
a. [New Password] フィールドに、新しいパスワードを入力します。
b. [Confirm New Password] フィールドに、確認のために新しいパスワードを入力します。
ステップ 15 必要に応じて、[TLS] チェックボックスをオンまたはオフにします。
ヒント 変更を廃棄して [Edit Master Blocking Sensor] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 16 [OK] をクリックします。[Master Blocking Sensor] ペイン内のリストに、編集済みのマスター ブロッキング センサーが表示されます。
ステップ 17 リストからマスター ブロッキング センサーを削除するには、削除対象を選択し、[Delete] をクリックします。[Master Blocking Sensor] ペイン内のリストからマスター ブロッキング センサーが削除されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 18 [Apply] をクリックして、変更を適用し、改訂したコンフィギュレーションを保存します。
フィードバック