センサーの基本的なセットアップ
(注) IPS 6.1 および 6.2 は、グローバル相関機能をサポートしていません。
(注) AIP SSC-5 は、グローバル相関機能をサポートしていません。
(注) AIP SSC-5 を初期化するために setup コマンドを実行する必要はありません。この場合は、ASDM を使用して初期化します。
setup コマンドを使用して、センサーの基本的なセットアップを行うことができます。その後、続けて CLI、IDM、または IME を使用してセンサーのセットアップを完了させることができます。
setup コマンドを使用してセンサーの基本的なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して次のようにセンサーにログインします。
(注) デフォルトのユーザ名とパスワードはどちらも cisco です。
ステップ 2 センサーへの初回ログインでは、デフォルト パスワードの変更を求められます。パスワードは最低 8 文字で、強力なパスワードにする必要があります。辞書にある単語は使用しないでください。パスワードを変更すると、基本的なセットアップが開始します。
ステップ 3 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 4 ホスト名を指定します。ホスト名は 64 文字までの文字列で、大文字と小文字が区別されます。数字、「_」、および「-」は使用できますが、スペースは受け付けられません。デフォルトは sensor です。
ステップ 5 IP インターフェイスを指定します。IP インターフェイスは、IP アドレス /ネットマスク,ゲートウェイ( X.X.X.X/nn , Y.Y.Y.Y )の形式で指定します。ここで、 X.X.X.X は、32 ビット アドレスのセンサーの IP アドレスで、ピリオドで区切った 4 つのオクテットで記述されています。 nn はネットマスクのビット数です。 Y.Y.Y.Y は、32 ビット アドレスのデフォルト ゲートウェイで、ピリオドで区切った 4 つのオクテットで記述されています。
ステップ 6 yes と入力してネットワーク アクセス リストを修正します。
a. エントリを削除する場合は、エントリの番号を入力して Enter キーを押すか、または Enter キーを押して Permit 行に進みます
b. アクセス リストに追加するネットワークの IP アドレスおよびネットマスクを指定します。
たとえば、10.0.0.0/8 は 10.0.0.0 ネットワーク上のすべての IP アドレス(10.0.0.0 ~ 10.255.255.255)を許可し、10.1.1.0/24 は 10.1.1.0 サブネット上の IP アドレスだけ(10.1.1.0 ~ 10.1.1.255)を許可します。ネットワーク全体ではなく単一の IP アドレスへのアクセスを許可する場合は、32 ビット ネットマスクを使用します。たとえば、10.1.1.1/32 は 10.1.1.1 のアドレスだけを許可します。
c. アクセス リストに追加するネットワークをすべて入力し終わるまで、ステップ b を繰り返します。終わったら、空白の Permit 行で Enter キーを押して、次の手順に進みます。
ステップ 7 グローバル相関が動作するように DNS サーバまたは HTTP プロキシ サーバを設定する必要があります。
a. yes を入力すると、DNS サーバが追加されます。その後、続けて DNS サーバの IP アドレスを入力します。
b. yes を入力すると、HTTP プロキシ サーバが追加されます。その後、続けて HTTP プロキシ サーバの IP アドレスおよびポート番号を入力します。
注意
グローバル相関機能が動作するには、有効なセンサーのライセンスが必要です。グローバル相関機能の統計情報については引き続き設定および表示できますが、グローバル相関データベースはクリアされ、更新は試行されなくなります。有効なライセンスをインストールすると、グローバル相関機能が再アクティブ化されます。
ステップ 8 システム クロックの設定値を修正するには、 yes と入力します。
a. サマータイム設定を修正するには、 yes と入力します。
(注) サマータイムは DST とも呼びます。サマータイムを採用していない地域の場合は、ステップ m に進みます。
b. 米国のサマータイムのデフォルトを選択するには、 yes と入力します。または、サマータイムの設定方法を指定するには、 no と入力して [recurring]、[date]、または [disable] を選択します。デフォルトは [recurring] です。
c. [recurring] を選択した場合は、サマータイム設定の開始月を入力します。
有効な値は、january、february、march、april、may、june、july、august、september、october、november および december です。デフォルト値は march です。
d. サマータイム設定の開始週を指定します。有効な値は first、second、third、fourth、fifth、および last です。デフォルトは値 second です。
e. サマータイム設定の開始曜日を指定します。有効な値は、sunday、monday、tuesday、wednesday、thursday、friday、および saturday です。デフォルト値は sunday です。
f. サマータイム設定の開始時刻を指定します。デフォルト値は 02:00:00 です。
(注) デフォルトの定期的なサマータイム パラメータはアメリカ合衆国の時間帯用です。デフォルト値は、開始時刻が 3 月の第 2 日曜日午前 2 時、終了時刻が 11 月の第 1 日曜日午前 2 時と指定します。デフォルトのサマータイム オフセットは 60 分です。
g. サマータイム設定の終了月を指定します。有効な値は、january、february、march、april、may、june、july、august、september、october、november および december です。デフォルト値は november です。
h. サマータイム設定の終了週を指定します。有効な値は first、second、third、fourth、fifth、および last です。デフォルトは first です。
i. サマータイム設定の終了曜日を指定します。有効な値は、sunday、monday、tuesday、wednesday、thursday、friday、および saturday です。デフォルト値は sunday です。
j. サマータイム設定の終了時刻を指定します。デフォルト値は 02:00:00 です。
k. DST ゾーンを指定します。ゾーン名は、最長で 24 文字の文字列で、[A-Za-z0-9()+:,_/-]+$ を使用できます。
l. サマータイム オフセットを指定します。協定世界時(UTC)からのサマータイム オフセットを分単位で指定します(負数は、グリニッジ子午線より西側の時間帯を示します)。デフォルトは 60 です。
m. システムの時間帯を修正するには、 yes と入力します。
n. 標準時の時間帯名を指定します。ゾーン名には 24 文字までの文字列を使用できます。
o. 標準時の時間帯のオフセットを指定します。
UTC からの標準時間帯のオフセットを分単位で指定します(負数は、グリニッジ子午線より西側の時間帯を示します)デフォルトは 0 です。
p. NTP を使用する場合は yes と入力します。認証された NTP を使用するには、NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。これらがこの時点で存在しない場合は、後で NTP を設定できます。または、認証されていない NTP を選択できます。
ステップ 9 SensorBase Network Participation に参加するには、 off 、 partial 、または full と入力します。
• Off:どのデータも SensorBase ネットワークに提供されません。
• Partial:データは SensorBase ネットワークに提供されますが、潜在的に機密性が高いと見なされるデータはフィルタリングによって除外され、送信されません。
• Full:除外された攻撃者/攻撃対象者の IP アドレスを除き、すべてのデータが SensorBase ネットワークに提供されます。
SensorBase Network Participation の免責事項が表示されます。ここでは、SensorBase Network に参加する際に必要なものが示されます。
ステップ 10 yes と入力して SensorBase Network に参加します。
The following configuration was entered.
host-ip 10.89.143.126/24,10.89.143.254
dns-primary-server enabled
dns-secondary-server disabled
dns-tertiary-server disabled
standard-time-zone-name CST
summertime-option recurring
ntp-keys 1 md5-key 8675309
ntp-servers 10.89.143.92 key-id 1
service global-correlation
network-participation full
[0] Go to the command prompt without saving this config.
[1] Return to setup without saving this config.
[2] Save this configuration and exit setup.
[3] Continue to Advanced setup.
ステップ 11 設定を保存するには、 2 と入力します(または、 3 と入力して、CLI、IDM、または IME を使用した高度なセットアップに進みます)。
Enter your selection[2]: 2
ステップ 12 センサーをリブートするには、 yes と入力します。
ステップ 13 リブート後、センサーにログインし、自己署名 X.509 証明書を表示します(TLS で必要です)。
sensor# show tls fingerprint
MD5: C4:BC:F2:92:C2:E2:4D:EB:92:0F:E4:86:53:6A:C6:01
SHA1: 64:9B:AC:DE:21:62:0C:D3:57:2E:9B:E5:3D:04:8F:A7:FD:CD:6F:27
ステップ 14 証明書のフィンガープリントを書き留めます。このフィンガープリントは、Web ブラウザでこのアプライアンスに HTTPS を使用して接続したときに、証明書の信頼性を確認するために必要になります。
ステップ 15 最新のサービス パックおよびシグニチャ アップデートを適用します。これでセンサーの侵入防御設定を行う準備ができました。
詳細情報
• 最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
• AIP SSC-5 を初期化する手順については、「ASDM での AIP SSC-5 のセットアップ」を参照してください。
高度なセットアップ
この項では、基本的なセットアップに続けて CLI の Advanced Setup を使用し、さまざまな Cisco IPS プラットフォームの高度なセットアップを行う方法について説明します。内容は次のとおりです。
• 「アプライアンスの高度なセットアップ」
• 「AIM PS の高度なセットアップ」
• 「AIP SSM の高度なセットアップ」
• 「IDSM2 の高度なセットアップ」
• 「IPS SSP の高度なセットアップ」
• 「NME IPS の高度なセットアップ」
アプライアンスの高度なセットアップ
(注) 現在サポートされている Cisco IPS アプライアンスは、IPS 4240、IPS 4255、IPS 4260、および IPS 4270-20 です。
新しいサブインターフェイスの追加は、2 つのステップからなるプロセスです。まず、仮想センサーの設定を編集するときにインターフェイスを分類します。次に、どのインターフェイスとサブインターフェイスをどの仮想センサーに割り当てるかを選択します。インターフェイスはアプライアンスのモデルによって異なりますが、プロンプトはすべてのモデルで同じです。
続けてアプライアンスの高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用してアプライアンスにログインします。
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。現在のインターフェイス設定が表示されます
Current interface configuration
Command control: Management0/0
Event Action Rules: rules0
Signature Definitions: sig0
Event Action Rules: rules0
Signature Definitions: sig0
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 7 インターフェイス設定を編集するには、 1 と入力します。
(注) 次のオプションを使用して、インターフェイスを作成および削除できます。インターフェイスを仮想センサーの設定に含まれる仮想センサーに割り当てます。インターフェイスに無差別モードを使用していて、インターフェイスを VLAN で分割していない場合、追加の設定は必要ありません。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
ステップ 8 インライン VLAN ペアを追加するには、 2 と入力します。使用可能なインターフェイスのリストが表示されます。
注意 新しい VLAN ペアが仮想センサーに自動的に追加されることはありません。
ステップ 9 インライン VLAN ペアを GigabitEthernet0/0 に追加するには、 1 と入力します。たとえば、次のようになります。
Inline Vlan Pairs for GigabitEthernet0/0
ステップ 10 サブインターフェイス番号と説明を入力します。
Description[Created via setup by user asmith]:
ステップ 11 VLAN 1 および VLAN 2 の数を入力します。
ステップ 12 Enter キーを押して使用可能なインターフェイスのメニューに戻ります。
(注) プロンプトに値を入れずに改行すると、前のメニューに戻ります。
(注) この時点で、インライン VLAN ペアのもう 1 つのインターフェイス(GigabitEthernet0/1 など)を設定できます。
ステップ 13 Enter キーを押して、最上位レベルのインターフェイス編集メニューに戻ります。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
ステップ 14 インライン インターフェイス ペアを追加するには、 4 と入力します。次のオプションが表示されます。
ステップ 15 ペア名、説明、およびペアにするインターフェイスを入力します。
Description[Created via setup by user asmith:
Interface1[]: GigabitEthernet0/1
Interface2[]: GigabitEthernet0/2
ステップ 16 Enter キーを押して、最上位レベルのインターフェイス編集メニューに戻ります。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Add/Modify Inline Interface Pair Vlan Groups.
[6] Modify interface default-vlan.
ステップ 17 Enter キーを押して、最上位レベルの編集メニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 18 仮想センサーの設定を編集するには、 2 と入力します。
[1] Remove virtual sensor.
[2] Modify "vs0" virtual sensor configuration.
[3] Create new virtual sensor.
ステップ 19 仮想センサーの設定 vs0 を修正するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
[3] GigabitEthernet0/0:1 (Vlans: 200, 300)
[4] newPair (GigabitEthernet0/1, GigabitEthernet0/2)
ステップ 20 インライン VLAN ペア GigabitEthernet0/0:1 を追加するには、 3 と入力します。
ステップ 21 インライン インターフェイス ペア NewPair を追加するには、 4 と入力します。
ステップ 22 Enter キーを押して、最上位レベルの仮想センサー メニューに戻ります。
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet0/0:1 (Vlans: 200, 300)
newPair (GigabitEthernet0/1, GigabitEthernet0/2)
[1] Remove virtual sensor.
[2] Modify "vs0" virtual sensor configuration.
[3] Create new virtual sensor.
Option: GigabitEthernet0/1, GigabitEthernet0/2)
ステップ 23 Enter キーを押して、最上位レベルのインターフェイスおよび仮想センサー設定メニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 24 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 25 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。
ステップ 26 Enter キーを押して、インターフェイスと仮想センサーの設定を終了します。
The following configuration was entered.
host-ip 192.168.1.2/24,192.168.1.1
standard-time-zone-name UTC
summertime-option disabled
physical-interfaces GigabitEthernet0/0
subinterface-type inline-vlan-pair
description Created via setup by user asmith
physical-interfaces GigabitEthernet0/1
physical-interfaces GigabitEthernet0/2
physical-interfaces GigabitEthernet0/0
inline-interfaces newPair
description Created via setup by user asmith
interface1 GigabitEthernet0/1
interface2 GigabitEthernet0/2
description Created via setup by user cisco
signature-definition newSig
event-action-rules rules0
anomaly-detection-name ad0
operational-mode inactive
physical-interface GigabitEthernet0/0
physical-interface GigabitEthernet0/0 subinterface-number 1
logical-interface newPair
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 27 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 28 アプライアンスをリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 29 リブートを続行するには、 yes と入力します。
ステップ 30 最新のサービス パックおよびシグニチャ アップデートを適用します。
これでアプライアンスの侵入防御設定を行う準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
AIM PS の高度なセットアップ
続けて AIM IPS の高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して AIM IPS のセッションを開始します。
router#
service-module ids-sensor 0/0 session
Trying 10.1.9.1, 2322 ... Open
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。
Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。
分析エンジンが初期化中で、現在仮想センサーの設定を修正できないという警告が表示される場合があります。Space キーを押して、次のメニューを表示します。
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
分析エンジンが初期化中という警告が表示された場合は、 2 と入力してここまでの設定を保存し、セットアップを終了します。その後、セットアップを再開し、インターフェイスおよび仮想センサー設定メニューに戻るまで Enter キーを押します。
ステップ 7 仮想センサーの設定を修正するには、 2 と入力します。
Modify interface/virtual sensor configuration?[no]: yes
Current interface configuration
Command control: Management0/0
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 8 仮想センサー vs0 の設定を編集するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
ステップ 9 仮想センサー vs0 に GigabitEthernet0/1 を追加するには、 1 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 10 Enter キーを押して、インターフェイスおよび仮想センサー設定メニューを終了します。
Modify default threat prevention settings?[no]:
ステップ 11 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 12 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。
The following configuration was entered.
host-ip 10.1.9.201/24,10.1.9.1
standard-time-zone-name UTC
summertime-option disabled
physical-interface GigabitEthernet0/1
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 13 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 14 AIM IPS をリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 15 リブートを続行するには、 yes と入力します。
ステップ 16 最新のサービス パックおよびシグニチャ アップデートを適用します。これで、AIM IPSに侵入防御を設定する準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
AIP SSM の高度なセットアップ
続けて AIP SSM の高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して AIP SSM のセッションを開始します。
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。
Current interface configuration
Command control: GigabitEthernet0/0
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 7 インターフェイス設定を編集するには、 1 と入力します。
(注) AIP SSM にはインターフェイスを設定する必要はありません。Modify interface default-vlan 設定は無視する必要があります。仮想センサー間でトラフィックを分離する場合は、他のセンサーとは別に AIP SSM を設定します。
[1] Modify interface default-vlan.
ステップ 8 Enter キーを押して、最上位レベルのインターフェイスおよび仮想センサー設定メニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 9 仮想センサーの設定を編集するには、 2 と入力します。
[1] Remove virtual sensor.
[2] Modify "vs0" virtual sensor configuration.
[3] Create new virtual sensor.
ステップ 10 仮想センサー vs0 の設定を修正するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
ステップ 11 仮想センサー vs0 に GigabitEthernet0/1 を追加するには、 1 と入力します。
(注) ASA 7.2 以前では、1 つの仮想センサーがサポートされています。適応型セキュリティ アプライアンスから着信するパケットのモニタリングには、GigabitEthernet0/1 が割り当てられた仮想センサーが使用されます。GigabitEthernet0/1 は vs0 に割り当てることを推奨しますが、必要ならば別の仮想センサーに割り当ててもかまいません。
(注) IPS 6.0 以降を実行する ASA 7.2.3 以降では、複数の仮想センサーがサポートされています。ASA 7.2.3 では、パケットを特定の仮想センサーのモニタリング対象にすることも、デフォルトの仮想センサーのモニタリング対象とすることもできます。デフォルトの仮想センサーは、GigabitEthernet0/1 が割り当てられている仮想センサーです。GigabitEthernet0/1 は vs0 に割り当てることを推奨しますが、必要ならば別の仮想センサーに割り当ててもかまいません。
ステップ 12 Enter キーを押して、メインの仮想センサー メニューに戻ります。
ステップ 13 仮想センサーを作成するには、 3 と入力します。
ステップ 14 仮想センサーの名前と説明を入力します。
Description[Created via setup by user cisco]: New Sensor
Anomaly Detection Configuration
[2] Create a new anomaly detection configuration
ステップ 15 既存の異常検出の設定 ad0 を使用するには、 1 と入力します。
Signature Definition Configuration
[2] Create a new signature definition configuration
ステップ 16 シグニチャ定義のコンフィギュレーション ファイルを作成するには、 2 と入力します。
ステップ 17 シグニチャ定義の設定名 newSig を入力します。
Event Action Rules Configuration
[2] Create a new event action rules configuration
ステップ 18 既存のイベント アクション規則の設定 rules0 を使用するには、 1 と入力します。
(注) GigabitEthernet0/1 が vs0 に割り当てられていない場合、新しい仮想センサーに割り当てるようにプロンプトが表示されます。
(注) ASA 7.2 以前では、1 つの仮想センサーがサポートされています。適応型セキュリティ アプライアンスから着信するパケットのモニタリングには、GigabitEthernet0/1 が割り当てられた仮想センサーが使用されます。GigabitEthernet0/1 は vs0 に割り当てることを推奨しますが、必要ならば別の仮想センサーに割り当ててもかまいません。
(注) IPS 6.0 を実行する ASA 7.2.3 以降では、複数の仮想センサーがサポートされています。ASA 7.2.3 では、パケットを特定の仮想センサーのモニタリング対象にすることも、デフォルトの仮想センサーのモニタリング対象とすることもできます。デフォルトの仮想センサーは、GigabitEthernet0/1 が割り当てられている仮想センサーです。GigabitEthernet0/1 は vs0 に割り当てることを推奨しますが、必要ならば別の仮想センサーに割り当ててもかまいません。
Event Action Rules: rules0
Signature Definitions: newSig
[1] Remove virtual sensor.
[2] Modify "newVs" virtual sensor configuration.
[3] Modify "vs0" virtual sensor configuration.
[4] Create new virtual sensor.
ステップ 19 Enter キーを押して、インターフェイスおよび仮想センサー設定メニューを終了します。
Modify default threat prevention settings?[no]:
ステップ 20 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 21 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。
The following configuration was entered.
host-ip 10.1.9.201/24,10.1.9.1
standard-time-zone-name UTC
summertime-option disabled
signature-definition newSig
event-action-rules rules0
anomaly-detection-name ad0
physical-interfaces GigabitEthernet0/1
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 22 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 23 AIP SSM をリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 24 リブートを続行するには、 yes と入力します。
ステップ 25 最新のサービス パックおよびシグニチャ アップデートを適用します。これで AIP SSM の侵入防御設定を行う準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
IDSM2 の高度なセットアップ
続けて IDSM2 の高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IDSM2 のセッションを開始します。
• Catalyst ソフトウェア
console> (enable) session
module_number
• Cisco IOS ソフトウェア
router# session slot
slot_number processor 1
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。
Current interface configuration
Command control: GigabitEthernet0/2
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 7 インターフェイス設定を編集するには、 1 と入力します。
(注) 次のオプションを使用して、インターフェイスを作成および削除できます。インターフェイスを仮想センサーの設定に含まれる仮想センサーに割り当てます。インターフェイスに無差別モードを使用していて、インターフェイスを VLAN で分割していない場合、追加の設定は必要ありません。
(注) IDSM2 は、Add/Modify Inline Interface Pair Vlan Groups オプションをサポートしていません。インライン インターフェイス ペアを実行する場合、2 つの IDSM2 データ ポートが、ネイティブ VLAN だけを伝送するアクセス ポートまたはトランク ポートとして設定されます。パケットには 802.1q ヘッダーがなく、VLAN で分割できません。複数の VLAN をインラインでモニタするには、インライン VLAN ペアを使用してください。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Modify interface default-vlan.
ステップ 8 無差別 VLAN グループを追加するには、 3 と入力します。
ステップ 9 VLAN グループを GigabitEthernet0/8 に追加するには、 2 と入力します。
Promiscuous Vlan Groups for GigabitEthernet0/8
a. サブインターフェイス 10 を追加するには、 10 と入力します。
Description[Created via setup by user asmith]:
[1] All unassigned vlans.
b. 未割り当ての VLAN すべてをサブインターフェイス 10 に割り当てるには、 1 と入力します。
c. サブインターフェイス 9 を追加するには、 9 と入力します。
Description[Created via setup by user asmith]:
d. VLAN 1-100 をサブインターフェイス 9 に割り当てるには、 1-100 と入力します。
(注) この操作により、サブインターフェイス 10 に含まれている未割り当て VLAN から VLAN 1-100 が削除されます。
e. すべての VLAN グループを追加し終わるまで、ステップ c と d を繰り返します。
f. 空白の subinterface 行で Enter キーを押して、VLAN グループに使用できるインターフェイスのリストに戻ります。
ステップ 10 Enter キーを押して、最上位レベルのインターフェイス設定メニューに戻ります。
[1] Remove interface configurations.
[2] Add/Modify Inline Vlan Pairs.
[3] Add/Modify Promiscuous Vlan Groups.
[4] Add/Modify Inline Interface Pairs.
[5] Modify interface default-vlan.
ステップ 11 Enter キーを押して、最上位レベルのメニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 12 仮想センサーの設定を編集するには、 2 と入力します。
ステップ 13 仮想センサー vs0 の設定を修正するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
ステップ 14 VLAN グループ GigabitEthernet0/8:10 を仮想センサー vs0 に追加するには、 2 と入力します。
[2] GigabitEthernet0/8:10 (Vlans: unassigned)
[3] GigabitEthernet0/8:9 (Vlans: 1-100)
ステップ 15 Enter キーを押して、最上位レベルの仮想センサー設定メニューに戻ります。
Event Action Rules: rules0
Signature Definitions: sig0
GigabitEthernet0/8:10 (Vlans: unassigned)
GigabitEthernet0/8:9 (Vlans: 1-100)
ステップ 16 Enter キーを押して、最上位レベルのインターフェイスおよび仮想センサー設定メニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 17 Enter キーを押して、インターフェイスおよび仮想センサー設定メニューを終了します。
ステップ 18 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 19 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。
The following configuration was entered.
host-ip 10.1.9.201/24,10.1.9.1
standard-time-zone-name UTC
summertime-option disabled
physical-interfaces GigabitEthernet0/8
subinterface-type vlan-group
description Created via setup by user asmith
description Created via setup by user asmith
description Created via setup by user cisco
signature-definition sig0
event-action-rules rules0
anomaly-detection-name ad0
operational-mode inactive
physical-interface GigabitEthernet0/8 subinterface-number 9
physical-interface GigabitEthernet0/8 subinterface-number 10
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 20 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 21 IDSM2 をリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 22 リブートを続行するには、 yes と入力します。
ステップ 23 最新のサービス パックおよびシグニチャ アップデートを適用します。これで、IDSM2に侵入防御を設定する準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
IPS SSP の高度なセットアップ
注意 IPS SSP のコンソールおよび管理ポートは、IPS ソフトウェアによって設定および制御されます。また、ASA 5585-X GigabitEthernet および 10 GE ポートは、ASA ソフトウェアによって設定、制御および管理されます。ただし、IPS SSP をシャット ダウンまたはリセットした場合、ASA 5585-X ポートもリンク ダウンします。
続けて IPS SSP の高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して IPS SSP のセッションを開始します。
Opening command session with slot 1.
Connected to slot 1.Escape character sequence is 'CTRL-^X'.
Last login: Fri Jan 14 04:14:54 from 10.77.25.187
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use.Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption.Importers, exporters, distributors and
users are responsible for compliance with U.S.and local country laws.By using
this product you agree to comply with applicable laws and regulations.If you
are unable to comply with U.S.and local laws, return this product immediately.
A summary of U.S.laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。
Current interface configuration
Command control: Management0/0
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 7 インターフェイス設定を編集するには、 1 と入力します。
(注) IPS SSP にはインターフェイスを設定する必要はありません。Modify interface default-vlan 設定は無視する必要があります。仮想センサー間でトラフィックを分離する場合は、他のセンサーとは別に IPS SSP を設定します。
[1] Modify interface default-vlan.
ステップ 8 Enter キーを押して、最上位レベルのインターフェイスおよび仮想センサー設定メニューに戻ります。
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 9 仮想センサーの設定を編集するには、 2 と入力します。
[1] Remove virtual sensor.
[2] Modify "vs0" virtual sensor configuration.
[3] Create new virtual sensor.
ステップ 10 仮想センサー vs0 の設定を修正するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
ステップ 11 PortChannel0/0 を仮想センサー vs0 に追加するには、 1 と入力します。
(注) 複数の仮想センサーがサポートされています。適応型セキュリティ アプライアンスでは、パケットを特定の仮想センサーのモニタリング対象にすることも、デフォルトの仮想センサーのモニタリング対象とすることもできます。デフォルトの仮想センサーは、PortChannel0/0 が割り当てられている仮想センサーです。PortChannel0/0 は vs0 に割り当てることを推奨しますが、必要ならば別の仮想センサーに割り当ててもかまいません。
ステップ 12 Enter キーを押して、メインの仮想センサー メニューに戻ります。
ステップ 13 仮想センサーを作成するには、 3 と入力します。
ステップ 14 (任意)仮想センサーの名前と説明を入力します。
(注) ステップ 14 ~ 18 は任意です。複数の仮想センサーを使用する場合にだけ必要です。
Description[Created via setup by user cisco]: New Sensor
Anomaly Detection Configuration
[2] Create a new anomaly detection configuration
ステップ 15 (任意)既存の異常検出の設定 ad0 を使用するには、 1 と入力します。
Signature Definition Configuration
[2] Create a new signature definition configuration
ステップ 16 (任意)シグニチャ定義のコンフィギュレーション ファイルを作成するには、 2 と入力します。
ステップ 17 (任意)シグニチャ定義の設定名 newSig を入力します。
Event Action Rules Configuration
[2] Create a new event action rules configuration
ステップ 18 (任意)既存のイベント アクション規則の設定 rules0 を使用するには、 1 と入力します。
(注) PortChannel0/0 が vs0 に割り当てられていない場合、新しい仮想センサーに割り当てるようにプロンプトが表示されます。
Event Action Rules: rules0
Signature Definitions: newSig
[1] Remove virtual sensor.
[2] Modify "newVs" virtual sensor configuration.
[3] Modify "vs0" virtual sensor configuration.
[4] Create new virtual sensor.
ステップ 19 Enter キーを押して、インターフェイスおよび仮想センサー設定メニューを終了します。
Modify default threat prevention settings?[no]:
ステップ 20 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor newVs is configured to prevent high risk threats in inline mode. (Risk Rating 90-100)
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 21 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。
The following configuration was entered.
host-ip 10.1.9.201/24,10.1.9.1
standard-time-zone-name UTC
summertime-option disabled
signature-definition newSig
event-action-rules rules0
anomaly-detection-name ad0
physical-interfaces PortChannel0/0
service event-action-rules rules0
overrides deny-packet-inline
override-item-status Disabled
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 22 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 23 IPS SSP をリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 24 リブートを続行するには、 yes と入力します。
ステップ 25 リブート後、IPS SSP にログインし、自己署名 X.509 証明書を表示します(TLS で必要です)。
ips-ssp# show tls fingerprint
MD5: C4:BC:F2:92:C2:E2:4D:EB:92:0F:E4:86:53:6A:C6:01
SHA1: 64:9B:AC:DE:21:62:0C:D3:57:2E:9B:E5:3D:04:8F:A7:FD:CD:6F:27
ステップ 26 証明書のフィンガープリントを書き留めます。フィンガープリントは、HTTPS を使用して Web ブラウザでこの IPS SSP に接続した際に証明書の信頼性を確認するために必要になります。
ステップ 27 最新のサービス パックおよびシグニチャ アップデートを適用します。これで IPS SSP の侵入防御設定を行う準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。
NME IPS の高度なセットアップ
続けて NME IPS の高度なセットアップを行うには、次の手順を実行します。
ステップ 1
管理者権限を持つアカウントを使用して NME IPS のセッションを開始します。
router#
service-module ids-sensor 1/0 session
Trying 10.1.9.1, 2322 ... Open
ステップ 2 setup コマンドを入力します。System Configuration Dialog が表示されます。
ステップ 3 高度なセットアップにアクセスするには、 3 と入力します。
ステップ 4 Telnet サーバのステータスを指定します。Telnet サービスをディセーブルまたはイネーブルにできます。デフォルトはディセーブルです。
ステップ 5 Web サーバ ポートを指定します。
Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化はディセーブルになりません。
ステップ 6 yes と入力して、インターフェイスと仮想センサーの設定を修正します。分析エンジンが初期化中で、現在仮想センサーの設定を修正できないという警告が表示される場合があります。Space キーを押して、次のメニューを表示します。
[0] Go to the command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration and exit setup.
分析エンジンが初期化中という警告が表示された場合は、 2 と入力してここまでの設定を保存し、セットアップを終了します。その後、セットアップを再開し、インターフェイスおよび仮想センサー設定メニューに戻るまで Enter キーを押します。
ステップ 7 仮想センサーの設定を修正するには、 2 と入力します。
Modify interface/virtual sensor configuration?[no]: yes
Current interface configuration
Command control: Management0/1
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 8 仮想センサー vs0 の設定を編集するには、 2 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
ステップ 9 仮想センサー vs0 に GigabitEthernet0/1 を追加するには、 1 と入力します。
Event Action Rules: rules0
Signature Definitions: sig0
[1] Edit Interface Configuration
[2] Edit Virtual Sensor Configuration
[3] Display configuration
ステップ 10 Enter キーを押して、インターフェイスおよび仮想センサー設定メニューを終了します。
Modify default threat prevention settings?[no]:
ステップ 11 デフォルトの脅威防御設定を修正する場合は、 yes と入力します。
(注) センサーには、パケットの拒否イベント アクションを高リスク評価のアラートに追加するためのオーバーライドが組み込まれています。この保護が不要な場合は、自動脅威防御をディセーブルにします。
Virtual sensor vs0 is configured to prevent high risk threats in inline mode.(Risk Rating 90-100)
Do you want to disable automatic threat prevention on all virtual sensors?[no]:
ステップ 12 すべての仮想センサーで自動脅威防御をディセーブルにするには、 yes と入力します。または、Enter キーを押してデフォルトの no を受け入れます。
The following configuration was entered.
host-ip 192.168.1.2/24,192.168.1.1
standard-time-zone-name UTC
summertime-option disabled
physical-interface GigabitEthernet0/1
service event-action-rules rules0
override-item-status Enabled
[0] Go to the command prompt without saving this config.
[1] Return to Advanced setup without saving this config.
[2] Save this configuration and exit setup.
ステップ 13 設定を保存するには、 2 と入力します。
Enter your selection[2]: 2
ステップ 14 NME IPS をリブートします。
Warning: Executing this command will stop all applications and reboot the node.
ステップ 15 リブートを続行するには、 yes と入力します。
ステップ 16 最新のサービス パックおよびシグニチャ アップデートを適用します。これで、NME IPSに侵入防御を設定する準備ができました。
詳細情報
最新のサービス パックおよびシグニチャ アップデートの取得手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。