- はじめに
- はじめに
- デバイス リストの設定
- ダッシュボードの設定
- RSS フィードの設定
- Startup Wizard の使用
- センサーのセットアップ
- インターフェイスの設定
- ポリシーの設定
- シグニチャの定義
- Custom Signature Wizard の使用
- イベント アクション規則の設定
- 異常検出の設定
- グローバル相関の設定
- SSH および証明書の設定
- Attack Response Controller でのブロッキングとレート制限の設定
- SNMP の設定
- 外部製品インターフェイスの設定
- センサーの管理
- センサーのモニタリング
- イベント モニタリングの設定
- レポートの設定と生成
- センサーへのログイン
- センサーの初期化
- Cisco IPS ソフトウェアについて
- システム イメージのアップグレード、ダウン グレード、およびインストール
- システム アーキテクチャの概要
- シグニチャ エンジンについて
- トラブルシューティングのヒントと手順
- Cisco IPS 7.1 で使用されるオープン ソース ライセンス ファイル
- 用語集
- 索引
Cisco Intrusion Prevention System Manager Express コンフィギュレーション ガイド for IPS 7.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: インターフェイスの設定
インターフェイスの設定
(注) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。
(注) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。
この章では、さまざまなインターフェイス モードとセンサーでのインターフェイスの設定方法について説明します。内容は次のとおりです。
センサーのインターフェイス
ここでは、センサー インターフェイスについて説明します。内容は次のとおりです。
インターフェイスについて
センサーのインターフェイスは、インターフェイスの最大速度および物理的な場所に従って名前が付けられています。物理的な場所は、ポート番号とスロット番号で構成されています。センサーのマザーボードに組み込まれたインターフェイスはすべてスロット 0 にあります。また、インターフェイス カード拡張スロットには、最下部スロットをスロット 1 として、下から上に向かって番号が付けられます(ポートの上から下に番号を付ける IPS 4270-20 は例外です)。特定のスロットを持つインターフェイスには、右のポートをポート 0 として、右から左に向かって大きくなるように番号が付けられます。たとえば、GigabitEthernet2/1 は、1 ギガビットの最大速度をサポートし、下から 2 番めの拡張スロットの右から 2 番めのインターフェイスです。IPS 4240、IPS 4255、IPS 4260、および IPS 4270-20 は、このルールの例外です。これらのセンサー上のコマンド/コントロール インターフェイスは、GigabitEthernet0/0 ではなく Management0/0 と呼ばれます。IPS 4270-20 には、Management0/1 と呼ばれる追加インターフェイスがあります。これは将来用に予約されています。
特定のインターフェイスに割り当てることができるロールには制約があります。また、複数のロールを担うインターフェイスもあります。検知インターフェイスを、他の検知インターフェイスに対する TCP リセット インターフェイスとして設定できます。TCP リセット インターフェイスは、同時に IDS(無差別)検知インターフェイスとしても機能します。次の制約事項が適用されます。
•
AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS には 1 つの検知インターフェイスしかないため、代替 TCP リセット インターフェイスを設定できません。
• Catalyst スイッチのハードウェアの制約により、どちらの IDSM2 検知インターフェイスも、System0/1 を TCP リセット インターフェイスとして使用するように永続的に設定されます。
• インライン インターフェイス モードまたはインライン VLAN ペア モードでは、TCP リセットは常に検知インターフェイス上で送信されるため、検知インターフェイスに割り当てられた TCP リセット インターフェイスは、これらのモードでは影響を与えません。
(注) 各物理インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。
コマンド/コントロール インターフェイス
コマンド/コントロール インターフェイスは、IP アドレスを持ち、センサーの設定に使用されます。このインターフェイスは、センサーからセキュリティ イベントとステータス イベントを受信し、センサーに統計情報を問い合わせます。
コマンド/コントロール インターフェイスは、常にイネーブルです。このインターフェイスは特定の物理インターフェイス(センサーのモデルによって異なる)に常時マッピングされています。コマンド/コントロール インターフェイスを検知インターフェイスや代替 TCP リセット インターフェイスとして使用することはできません。
表 7-1 に、各センサーのコマンド/コントロール インターフェイスを示します。
|
|
|
|---|---|
センシング インターフェイス
検知インターフェイスは、セキュリティ違反に関してトラフィックを分析するために、センサーによって使用されます。センサーには、1 つ以上の検知インターフェイスがあり、その数はセンサーによって異なります。検知インターフェイスは、無差別モードで個別に動作させるか、またはペアにしてインライン インターフェイスを作成できます。
(注) アプライアンスでは、すべての検知インターフェイスがデフォルトでディセーブルになっています。これらのインターフェイスを使用するには、イネーブルにする必要があります。モジュールでは、検知インターフェイスは常にイネーブルです。
センサーに検知インターフェイスを追加するオプションのインターフェイス カードをサポートするアプライアンスもあります。これらのオプションのカードは、センサーの電源がオフのときに着脱する必要があります。センサーは、サポートされているインターフェイス カードの着脱を検出します。オプションのインターフェイス カードを取り外すと、速度、デュプレックス、記述文字列、インターフェイスのイネーブル/ディセーブル状態、インライン インターフェイス ペアの組み合わせなど、インターフェイスの設定の一部が削除されます。これらの設定は、カードを再挿入すると、デフォルト設定に復元されます。無差別およびインライン インターフェイスの分析エンジンへの割り当ては分析エンジンの設定から削除されませんが、これらのカードが再挿入され、もう一度インライン インターフェイスのペアを作成するまで無視されます。
• 各センサーで使用できる検知インターフェイスの数とタイプについては、「インターフェイス サポート」を参照してください。
• インターフェイス モードの詳細については、「インターフェイス モードについて」を参照してください。
• 仮想センサーの設定手順については、「仮想センサーの追加、編集、削除」を参照してください。
インターフェイス サポート
表 7-2 では、Cisco IPS を実行するアプライアンスおよびモジュールのインターフェイス サポートについて説明します。
|
|
|
|
|
|
|---|---|---|---|---|
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/0 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる GigabitEthernet0/1 |
|||
GigabitEthernet0/0 |
||||
GigabitEthernet0/0 |
||||
GigabitEthernet0/1 |
|
|||
GigabitEthernet0/1 |
||||
GigabitEthernet0/1 |
|
|||
Management0/0 |
||||
|
|
Management0/0 |
||
|
Management0/0 |
|||
|
Management0/0 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
VLAN ペアまたはインライン インターフェイス ペアではなく、セキュリティ コンテキストによる PortChannel0/0 |
|||
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
VLAN ペアまたはインライン インターフェイス ペアではなく、ルータ設定の ids-service-module コマンドによる GigabitEthernet0/1 |
(注) IPS 4260 は、4GE-BP、2SX、および 10GE カードの組み合わせをサポートします。また、IPS 4270-20 では、4GE-BP、2SX、および 10GE カードを 6 枚まで、または合計 16 ポートになるまで(どちらか早く達した方)組み合わせることができますが、10GE カードは 2 枚までに制限されています。
TCP リセット インターフェイス
代替 TCP リセット インターフェイスについて
攻撃者のホストと攻撃のターゲット ホストとの間のネットワーク接続をリセットするために、TCP リセット パケットを送信するようにセンサーを設定できます。一部のインストールでは、インターフェイスが無差別モードで動作している場合、攻撃が検出された検知インターフェイスと同じインターフェイスでセンサーが TCP リセット パケットを送信できないことがあります。このような場合は、検知インターフェイスを代替 TCP リセット インターフェイスに関連付けることができます。これにより、無差別モードで動作している場合に通常は検知インターフェイスで送信されるすべての TCP リセットを、関連付けた代替 TCP リセット インターフェイスで送信できます。
検知インターフェイスが代替 TCP リセット インターフェイスと関連付けられている場合、その関連付けは、センサーが無差別モードに設定されているときは適用されますが、検知インターフェイスがインライン モードに設定されている場合は無視されます。IDSM2 を除いて、すべての検知インターフェイスは、別の検知インターフェイスの代替 TCP リセット インターフェイスとなることができます。IDSM2 の代替 TCP リセット インターフェイスは、ハードウェアの制限があるために固定されています。
表 7-3 に代替 TCP リセット インターフェイスを示します。
(注) IPS モジュール上の検知インターフェイスは 1 つだけです(AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS)。
|
|
|
|---|---|
System0/18 |
|
代替 TCP リセット インターフェイスの指定
次の場合、代替 TCP リセット インターフェイスを指定する必要があります。
• スイッチが SPAN または VACL キャプチャでモニタされていて、スイッチがその SPAN または VACL ポートで着信パケットを受け入れない場合。
• 複数の VLAN でスイッチが SPAN または VACL キャプチャでモニタされていて、スイッチが 802.1q ヘッダー付きの着信パケットを受け入れない場合。
(注) TCP リセットでは、リセットを送信する VLAN を判断するために 802.1q ヘッダーが必要です。
• 接続のモニタにネットワーク タップが使用されている場合。
(注) タップは、センサーからの着信トラフィックを許可しません。
検知インターフェイスだけを代替 TCP リセット インターフェイスとして割り当てることができます。管理インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。
インターフェイス設定の制約事項
センサーでのインターフェイスの設定に適用される制約は次のとおりです。
– モジュール(AIM IPS、AIP SSC-5、AIP SSM、IDSM2、IPS SSP、およびNME IPS)上で、すべてのバックプレーン インターフェイスの速度、デュプレックス、および状態設定は固定されます。これらの設定は、すべてのバックプレーン インターフェイスのデフォルト設定で保護されます。
– バックプレーン以外の FastEthernet インターフェイスでは、有効な速度設定は、10 Mbps、100 Mbps、および自動です。有効なデュプレックス設定は、全、半、および自動です。
– ギガビットの銅インターフェイス(IPS 4240、IPS 4255、IPS 4260、および IPS 4270-20 上の 1000-TX)の場合、有効な速度設定は、10 Mbps、100 Mbps、1000 Mbps、および自動です。有効なデュプレックス設定は、全、半、および自動です。
– ギガビット(銅またはファイバ)インターフェイスの場合、速度は 1000 Mbps に設定されている場合、有効なデュプレックス設定は自動だけです。
– コマンド/コントロール インターフェイスを検知インターフェイスとして機能させることはできません。
– インライン インターフェイス ペアには、物理インターフェイスのタイプ(銅またはファイバ)、インターフェイスの速度やデュプレックス設定に関係なく、任意の検知インターフェイスの組み合わせを含めることができます。ただし、異なるメディア タイプ、速度、デュプレックス設定のインターフェイスの組み合わせは十分にテストまたはサポートされていない場合があります。
– コマンド/コントロール インターフェイスを、インライン インターフェイス ペアのメンバにすることはできません。
– インライン インターフェイス ペアで物理インターフェイスをそれ自身とペアにすることはできません。
– 物理インターフェイスは、1 つのインライン インターフェイス ペアのみのメンバにすることができます。
– バイパス モードだけを設定でき、インライン モードをサポートするセンサー プラットフォームでのみインライン インターフェイス ペアを作成できます。
– 物理インターフェイスのサブインターフェイス モードが none に設定されていない限り、物理インターフェイスをインライン インターフェイス ペアのメンバにすることはできません。
– インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。
– 特定の検知インターフェイスについて、VLAN を 1 つのインライン VLAN ペアだけのメンバにすることができます。ただし、その VLAN は、複数の検知インターフェイスで 1 つのインライン VLAN ペアのメンバにできます。
– インライン VLAN ペアで VLAN を指定する順序は重要ではありません。
– インライン VLAN ペア モードの検知インターフェイスは、1 ~ 255 のインライン VLAN ペアを持つことができます。
– 代替 TCP リセット インターフェイスは、検知インターフェイスにのみ割り当てることができます。コマンド/コントロール インターフェイスを代替 TCP リセット インターフェイスとして設定することはできません。代替 TCP リセット インターフェイス オプションはデフォルトで none に設定され、検知インターフェイス以外のすべてのインターフェイスに対して保護されています。
– 複数の検知インターフェイスに対して同じ物理インターフェイスを代替 TCP リセット インターフェイスとして割り当てることができます。
– 物理インターフェイスは、検知インターフェイスと代替 TCP リセット インターフェイスのどちらとしても機能します。
– コマンド/コントロール インターフェイスを、検知インターフェイスの代替 TCP リセット インターフェイスとして機能させることはできません。
– 検知インターフェイスを、自身の代替 TCP リセット インターフェイスとして機能させることはできません。
– 代替 TCP リセット インターフェイスとして TCP リセット可能なインターフェイスのみを設定できます。
(注) この制約の例外は IDSM2 です。両方の検知インターフェイスの代替 TCP リセット インターフェイス割り当ては System0/1(保護)です。
– 無差別モード、インライン インターフェイス ペア モード、またはインライン VLAN ペア モードに 1 つのインターフェイスを設定できますが、これらのモードを組み合わせることはできません。
– 各インターフェイスの複数のグループに 1 つの VLAN を追加することはできません。
– 複数の仮想センサーに 1 つの VLAN グループを追加することはできません。
– 1 つのインターフェイスに追加できるユーザ定義 VLAN グループは最大 255 です。
– 物理インターフェイスをペアにする場合、インターフェイスを分割することはできません。ペアは分割できます。
– 複数のインターフェイスで 1 つの VLAN を使用できますが、この構成に対して警告を受け取ります。
– 分割されているかどうかに関係なく、1 つ以上の物理インターフェイスとインライン VLAN ペアの任意の組み合わせに仮想センサーを割り当てることができます。
– 物理インターフェイスと論理インターフェイスの両方を VLAN グループに分割できます。
– CLI、IDM、および IME は、ダングリング参照を削除するように求めます。ダングリング参照をそのままにして、設定の編集を続けることができます。
– CLI、IDM、および IME では、分析エンジンでインターフェイス設定と競合する設定変更を行うことはできません。
– CLI では、分析エンジン設定で競合の原因となる設定変更をインターフェイス設定で行うことができます。IDM と IME では、分析エンジン設定で競合の原因となるインターフェイス設定の変更を行うことは できません 。
• インターフェイス ペアの組み合わせの詳細については、「インターフェイス サポート」を参照してください。
• センサーおよびバイパス モードの詳細については、「バイパス モードの設定」を参照してください。
ハードウェア バイパス モード
Cisco IPS ソフトウェア バイパスに加えて、IPS 4260 および IPS 4270-20 はハードウェア バイパスもサポートします。ここでは、ハードウェア バイパス カードとその設定上の制約事項について説明します。内容は次のとおりです。
ハードウェア バイパス カード
IPS 4260 と IPS 4270-20 がサポートするのは、ハードウェア バイパス機能を備えた 4 ポート GigabitEthernet カード(部品番号 IPS-4GE-BP-INT=)です。この 4GE バイパス インターフェイス カードは、ポート 0 と 1、およびポート 2 と 3 の間でのみハードウェア バイパスをサポートします。
(注) ハードウェア バイパスをディセーブルにするには、他の組み合わせでインターフェイスのペアを作成します(2/0<->2/2、2/1<->2/3 など)。
ハードウェア バイパスは、Cisco IPS の既存のソフトウェア バイパス機能を補完します。ハードウェア バイパスとソフトウェア バイパスには、次の条件が適用されます。
• バイパスが OFF に設定されている場合、ソフトウェア バイパスはアクティブになりません。
ハードウェア バイパスを使用できるインライン インターフェイスごとに、コンポーネント インターフェイスはフェールオープン機能をディセーブルにするように設定されます。SensorApp が失敗した場合、センサーの電源がオフになるかリセットされた場合、または、NIC インターフェイス ドライバが失敗するかアンロードされた場合、ペアのインターフェイスはフェールクローズ状態になります(トラフィックはインライン インターフェイスまたはインライン VLAN サブインターフェイスを通りません)。
• バイパスが ON に設定されている場合、ソフトウェア バイパスはアクティブになります。
ソフトウェア バイパスは、各インライン インターフェイスのペアの物理インターフェイス間および各インライン VLAN サブインターフェイスのペアの VLAN 間でパケットを転送します。ハードウェア バイパスを使用できるインライン インターフェイスごとに、コンポーネント インターフェイスはスタンバイ モードに設定されます。センサーの電源がオフになるか、リセットされるか、NIC インターフェイスが失敗するかアンロードされた場合、これらのペアのインターフェイスはハードウェアでフェールオープン状態になります(トラフィックはインライン インターフェイスを障害なく通過します)。他のインライン インターフェイスはフェールクローズ状態になります。
• バイパスが AUTO に設定されている場合(検査なしでトラフィックが通過)、ソフトウェア バイパスは SensorApp が失敗するとアクティブになります。
ハードウェア バイパスを使用できるインライン インターフェイスごとに、コンポーネント インターフェイスはスタンバイ モードに設定されます。センサーの電源がオフになるか、リセットされるか、NIC インターフェイスが失敗するかアンロードされた場合、これらのペアのインターフェイスはハードウェアでフェールオープン状態になります。他のインライン インターフェイスはフェールクローズ状態になります。
(注) フェールオーバーをテストするには、バイパス モードを ON または AUTO に設定して、1 つ以上のインライン インターフェイスを作成し、センサーの電源をオフにして、トラフィックがその後もインライン パスを通過することを確認します。
インライン バイパス モードの設定手順については、「バイパス モードの設定」を参照してください。
ハードウェア バイパス設定の制約事項
4GE バイパス インターフェイス カードでハードウェア バイパス機能を使用するには、カードのハードウェア設計をサポートするインターフェイスをペアにする必要があります。ハードウェア バイパス対応インターフェイスと 1 つ以上のハードウェア バイパス設定の制約に違反するインターフェイスをペアにしたインライン インターフェイスを作成すると、ハードウェア バイパスはインライン インターフェイスで非アクティブとなり、次のような警告メッセージを受け取ります。
ハードウェア バイパスには、次の設定の制約事項が適用されます。
• 4 ポート バイパス カードは、IPS 4260 および IPS 4270-20 でのみサポートされます。
• フェールオープン ハードウェア バイパスは、インライン VLAN ペアではなく、インライン インターフェイス(インターフェイス ペア)でのみ機能します。
• フェールオープン ハードウェア バイパスは、次のすべての条件が満たされた場合にインライン インターフェイスで使用できます。
– 両方の物理インターフェイスがハードウェア バイパスをサポートしている。
– 両方の物理インターフェイスが同じインターフェイス カード上にある。
– 2 つの物理インターフェイスが、ハードウェアでバイパス ペアとして関連付けられている。
– 速度およびデュプレックス設定が、物理インターフェイス上で同じ。
• IPS 4260 および IPS 4270-20 に接続されている MDI/X スイッチ ポートで自動ネゴシエーションを設定する必要があります。
ハードウェア バイパスを機能させるには、センサー ポートとスイッチ ポートの両方を自動ネゴシエーションに設定する必要があります。スイッチ ポートは、ケーブルの問題を解決するために、必要に応じて送信回線と受信回線を自動的に反転させる MDI/X をサポートしている必要があります。両方で同じ速度とデュプレックスが設定されている場合のみ、センサーは正しく動作することが保証されます。つまり、センサーも自動ネゴシエーションに設定する必要があります。
インターフェイス モードについて
ここでは、さまざまなインターフェイス モードについて説明します。内容は次のとおりです。
• 無差別モード
• 「IPv6、スイッチ、および VACL キャプチャなし」
無差別モード
無差別モードでは、パケットはセンサーを通過しません。センサーは、実際に転送されるパケットではなく、モニタ対象のトラフィックのコピーを分析します。無差別モードで運用する利点は、転送されるトラフィックでパケットのフローにセンサーが影響を与えないことです。ただし、無差別モードで運用するときは、アトミック アタック(シングル パケット攻撃)などの特定のタイプの攻撃の場合に、悪意のあるトラフィックがターゲットに到達することをセンサーで阻止できないという短所があります。無差別モードのセンサー デバイスによって実行される応答アクションはイベント後の応答であるため、多くの場合、攻撃に対応するために、ルータやファイアウォールなど、他のネットワーキング デバイスによるサポートが必要となります。このような応答アクションは一部の攻撃を防ぐことはできますが、アトミック アタックでは、無差別モードベースのセンサーが管理対象デバイス(ファイアウォール、スイッチ、ルータなど)に ACL 修正を適用する前に、シングル パケットがターゲット システムに到達する可能性があります。
デフォルトでは、すべての検知インターフェイスは無差別モードです。インターフェイスをインライン インターフェイス モードから無差別モードに変更するには、変更対象のインターフェイスを含むすべてのインライン インターフェイスを削除し、インターフェイス設定からそのインターフェイスのすべてのインライン VLAN ペアのサブインターフェイスを削除します。
図 7-1 に無差別モードを示します。
IPv6、スイッチ、および VACL キャプチャなし
Catalyst スイッチの VACL は IPv6 をサポートしていません。トラフィックを無差別モードで設定されたセンサーにコピーする最も一般的な方法は、VACL キャプチャを使う方法です。IPv6 サポートが必要な場合は、SPAN ポートを使用できます。
ただし、次の設定を使用しない限り、スイッチでは最大 2 つのモニタ セッションしか設定できません。
• トランク ポートごとに、1 つの IPS 内の複数の異なるセンサーまたは仮想センサーに対して多くの VLAN のモニタリングを実行できる VLAN を制限
次の設定では、1 つの SPAN セッションを使用して、指定された任意の VLAN 上のトラフィックすべてを指定されたすべてのポートに送信します。各ポート設定では、特定の 1 つの VLAN または複数の VLAN だけに通過を許可します。したがって、1 つの SPAN 設定行を使用して、異なる VLAN から異なるセンサーまたは仮想センサーすべてにデータを送信できます。
(注) VLAN ごとに異なる IPS ポリシーを割り当てる場合や 1 つのインターフェイスで処理できない大きな帯域幅をモニタする必要がある場合に SPAN/モニタ設定は役立ちます。
• 無差別モードの詳細については、「無差別モード」を参照してください。
• スイッチでの SPAN/モニタ設定の詳細については、『 Catalyst 6500 Series Software Configuration Guide, 8.7 』の次の項を参照してください。
インライン インターフェイス モード
インライン インターフェイス ペア モードで運用する場合は、IPS が直接トラフィック フローに挿入され、パケット転送速度に影響を与えます。遅延が加わるため、パケット転送速度は遅くなります。その結果、センサーは、悪意のあるトラフィックがターゲットに到達する前にそのトラフィックをドロップして攻撃を阻止できるため、保護サービスが提供されます。インライン デバイスは、レイヤ 3 および 4 で情報を処理するだけでなく、より高度な埋め込み型攻撃のパケットの内容およびペイロードも分析します(レイヤ 3 ~ 7)。この詳細な分析では、通常は従来のファイアウォール デバイスを通過する攻撃をシステムが識別し、停止またはブロックするか、その両方を行うことができます。
インライン インターフェイス ペア モードでは、パケットはセンサーのペアの 1 つめのインターフェイスを経由して入り、ペアの 2 つめのインターフェイスを経由して出ます。パケットは、シグニチャによって拒否または変更されないかぎり、ペアの 2 つめのインターフェイスに送信されます。
(注) 検知インターフェイスが 1 つだけの AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS のモジュールでも、インラインで動作するように設定できます。
(注) ペアになっているインターフェイスが同じスイッチに接続されている場合は、それらのインターフェイスをスイッチ上で 2 つのアクセス ポートとして設定し、それぞれが異なる VLAN アクセスを持つようにする必要があります。このようにしないと、トラフィックはインライン インターフェイスを通過しません。
図 7-2 にインライン インターフェイス ペア モードを示します。
インライン VLAN ペア モード
(注) AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS はインライン VLAN ペアをサポートしません。
物理インターフェイス上で、VLAN をペアで関連付けることができます。これは、インライン VLAN ペア モードと呼ばれます。ペアの一方の VLAN で受信されたパケットは、分析後にペアのもう一方の VLAN に転送されます。
インライン VLAN ペア モードは、アクティブ検知モードです。このモードでは、検知インターフェイスが 802.1q トランク ポートとして動作し、センサーがトランク上の VLAN のペア間の VLAN ブリッジングを実行します。センサーは、ペアごとに各 VLAN 上で受信するトラフィックを検査し、そのパケットをペアのもう一方の VLAN に転送するか、または侵入の試行が検出された場合はそのパケットをドロップできます。IPS センサーは、各検知インターフェイス上で最大 255 個の VLAN ペアを同時にブリッジするように設定できます。センサーは、受信した各パケットの 802.1q ヘッダー内の VLAN ID フィールドを、センサーがパケットを転送する出力 VLAN の ID に置き換えます。センサーは、インライン VLAN ペアに割り当てられていないすべての VLAN で受信したすべてのパケットをドロップします。
(注) インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。
図 7-3 にインライン VLAN ペア モードを示します。
VLAN グループ モード
各物理インターフェイスまたはインライン インターフェイスは、VLAN グループ サブインターフェイスに分けることができます。各サブインターフェイスは、そのインターフェイスの VLAN のグループで構成されます。分析エンジンは複数の仮想センサーをサポートします。各センサーはこれらの 1 つ以上のインターフェイスをモニタできます。これにより、複数のポリシーを同じセンサーに適用できます。この利点は、わずかなインターフェイスしかないセンサーを多くのインターフェイスがあるかのように使用できる点にあります。
(注) インライン VLAN ペアに含まれている物理インターフェイスは、VLAN グループに分けることはできません。
VLAN グループ サブインターフェイスによって、物理インターフェイスまたはインライン インターフェイスと VLAN セットが関連付けられます。VLAN を複数の VLAN グループ サブインターフェイスのメンバにすることはできません。各 VLAN グループ サブインターフェイスは、1 ~ 255 の数値で識別されます。サブインターフェイス 0 は、仮想化されていない物理インターフェイスまたは論理インターフェイス全体を表すために使用される予約済みのサブインターフェイス番号です。サブインターフェイス 0 を作成、削除、または変更することはできません。また、サブインターフェイス 0 に関する統計情報は報告されません。
未割り当て VLAN グループは、別の VLAN グループに明示的に割り当てられていないすべての VLAN を含んでいる状態で維持されます。未割り当て VLAN グループ内の VLAN を直接指定することはできません。別の VLAN グループ サブインターフェイスに VLAN が追加されたり、または別の VLAN グループ サブインターフェイスから VLAN が削除されたりすると、未割り当て VLAN グループは更新されます。
通常、802.1q トランクのネイティブ VLAN 内のパケットには、そのパケットが属する VLAN 番号を示す 802.1q カプセル化ヘッダーがありません。各物理インターフェイスには、デフォルトの VLAN 変数が関連付けられており、この変数をネイティブ VLAN の VLAN 番号または 0 に設定する必要があります。値 0 は、ネイティブ VLAN が不明であるか、またはネイティブ VLAN の指定の有無は関係ないことを示しています。デフォルトの VLAN 設定が 0 の場合は、次の処理が行われます。
• 802.1q カプセル化のないパケットによってトリガーされたアラートには、VLAN 値 0 が報告されます。
• 802.1q カプセル化のないトラフィックは未割り当て VLAN グループに関連付けられ、ネイティブ VLAN として他の VLAN グループに割り当てることができません。
(注) スイッチのポートは、アクセス ポートまたはトランク ポートとして設定できます。アクセス ポートでは、すべてのトラフィックは、アクセス VLAN と呼ばれる 1 つの VLAN 内にあります。トランク ポートでは、ポートで複数の VLAN を伝送することができ、各パケットには VLAN ID を含む 802.1q ヘッダーと呼ばれる特別なヘッダーが付加されます。このヘッダーは、一般に VLAN タグと呼ばれます。ただし、トランク ポートには、ネイティブ VLAN と呼ばれる特別な VLAN があります。ネイティブ VLAN 内のパケットには、802.1q ヘッダーは付加されていません。IDSM2 は、ネイティブでないすべてのトラフィックの 802.1q ヘッダーを読み取り、そのパケットの VLAN ID を判断することができます。ただし、IDSM2 は、スイッチ設定内のポートのネイティブ VLAN としてどの VLAN が設定されているかはわからないため、ネイティブ パケットを受信する VLAN も認識できません。したがって、どの VLAN が該当のポートのネイティブ VLAN であるかを IDSM2 に通知する必要があります。IDSM2 は、タグが付いていないパケットを、ネイティブ VLAN ID のタグが付いたパケットとして処理します。
IDSM2 を VLAN グループ モードに設定する方法の詳細については、『 Configuring the IDSM2 』を参照してください。
インターフェイス設定のサマリー
[Summary] ペインには、検知インターフェイスをどのように設定したか(無差別モードに設定したインターフェイス、インライン ペアとして設定したインターフェイス、およびインライン VLAN ペアとして設定したインターフェイス)のサマリーが表示されます。このペインの内容は、インターフェイス設定を変更すると、変わります。
• [Name]:インターフェイスの名前。値は、無差別インターフェイスの場合、FastEthernet、GigabitEthernet、または PortChannel0/0 です。インライン インターフェイスの場合、この名前はペアに割り当てた名前になります。
• [Details]:インターフェイスが無差別、インライン、またはバックプレーンかどうか、および VLAN のペアがあるかどうかを示します。
• [Assigned Virtual Sensor]:インターフェイスまたはインターフェイス ペアが仮想センサーに割り当てられているかどうかを示します。
インターフェイスの設定
ここでは、センサー上でのインターフェイスの設定方法について説明します。内容は次のとおりです。
• 「[Edit Interface] ダイアログボックスのフィールド定義」
[Interfaces] ペイン
(注) センサーのインターフェイスのイネーブル化、ディセーブル化、および編集を行うには、管理者である必要があります。
[Interfaces] ペインには、センサー上の既存の物理インターフェイスとそれらに関連付けられている設定が一覧表示されます。センサーはインターフェイスを検出し、[Interfaces] ペインのインターフェイス リストに挿入します。
トラフィックをモニタするようにセンサーを設定するには、インターフェイスをイネーブルにする必要があります。 setup コマンドを使用してセンサーを初期化したときにインターフェイスまたはインライン ペアを仮想センサーに割り当て、インターフェイスまたはインライン ペアをイネーブルにしました。インターフェイスの設定を変更する必要がある場合は、[Interfaces] ペインで変更できます。[Add Virtual Sensor] ダイアログボックスで仮想センサーを追加し、インターフェイスを割り当てるには、[Configuration] > sensor_name > [Policies] > [IPS Policies] > [Add Virtual Sensor] を選択します。
[Interfaces] ペインのフィールド定義
[Interfaces] ペインには次のフィールドがあります。
• [Interface Name]:インターフェイスの名前。値は、FastEthernet、GigabitEthernet、または PortChannel0/0 です。
• [Enabled]:インターフェイスがイネーブルかどうかを示します。
(注) IPS SSP PortChannel0/0 インターフェイスは常にイネーブルです。
• [Media Type]:メディア タイプを示します。メディア タイプのオプションは次のとおりです。
– [Backplane interface]:モジュールを親シャーシのバックプレーンに接続する内部インターフェイス。
• [Duplex]:インターフェイスのデュプレックス設定を示します。デュプレックス タイプのオプションは次のとおりです。
– [Auto]:インターフェイスを自動ネゴシエーション デュプレックスに設定します。
• [Speed]:インターフェイスの速度設定を示します。速度のオプションは、次のとおりです。
– [Auto]:インターフェイスを自動ネゴシエーション速度に設定します。
– [10 MB]:インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。
– [100 MB]:インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。
– [1000]:インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。
– [10000]:インターフェイスが 10 GB に設定されていることを示します(PortChannel0/0 のみ)。
(注) このパラメータは保護されています。PortChannel0/0 インターフェイスの速度を変更することはできません。
• [Default VLAN]:インターフェイスが割り当てられている VLAN を示します。
• [Alternate TCP Reset Interface]:選択すると、このインターフェイスを無差別モニタリングに使用している場合、代替インターフェイス上で TCP リセットが送信され、シグニチャの起動によってリセット アクションがトリガーされます。
• [Description]:インターフェイスの説明を入力できます。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
検知インターフェイスのイネーブル化とディセーブル化
(注) IPS SSP PortChannel 0/0 インターフェイスは常にイネーブルです
インターフェイスをイネーブルまたはディセーブルにするには、次の手順を実行します。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [Interfaces] を選択します。
ステップ 3 インターフェイスを選択し、[Enable] をクリックします。インターフェイスがイネーブルになります。インターフェイスでトラフィックをモニタするには、そのインターフェイスを仮想センサーに割り当てる必要があります。[Interfaces] ペインのリストの [Enabled] カラムが [Yes] になります。
ステップ 4 インターフェイスをディセーブルにするには、そのインターフェイスを選択し、[Disable] をクリックします。[Interfaces] ペインのリストの [Enabled] カラムが [No] になります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 5 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
[Edit Interface] ダイアログボックスのフィールド定義
(注) IPS SSP について編集できるインターフェイス フィールドは、[Description] フィールドだけです。
[Edit Interface] ダイアログボックスには、次のフィールドがあります。
• [Interface Name]:インターフェイスの名前。値は、FastEthernet、GigabitEthernet、または PortChannel0/0 です。
• [Enabled]:インターフェイスがイネーブルかどうかを示します。
(注) IPS SSP PortChannel0/0 インターフェイスは常にイネーブルです。
• [Media Type]:メディア タイプを示します。メディア タイプのオプションは次のとおりです。
– [Backplane interface]:モジュールを親シャーシのバックプレーンに接続する内部インターフェイス。
• [Duplex]:インターフェイスのデュプレックス設定を示します。デュプレックス タイプのオプションは次のとおりです。
– [Auto]:インターフェイスを自動ネゴシエーション デュプレックスに設定します。
• [Speed]:インターフェイスの速度設定を示します。速度のオプションは、次のとおりです。
– [Auto]:インターフェイスを自動ネゴシエーション速度に設定します。
– [10 MB]:インターフェイスを 10 MB に設定します(TX インターフェイスの場合だけ)。
– [100 MB]:インターフェイスを 100 MB に設定します(TX インターフェイスの場合だけ)。
– [1000]:インターフェイスを 1 GB に設定します(ギガビット インターフェイスの場合だけ)。
– [10000]:インターフェイスを 1 GB に設定します(PortChannel0/0 のみ)。
• [Default VLAN]:インターフェイスが割り当てられている VLAN を示します。
• [Alternate TCP Reset Interface]:選択すると、このインターフェイスを無差別モニタリングに使用している場合、代替インターフェイス上で TCP リセットが送信され、シグニチャの起動によってリセット アクションがトリガーされます。
• [Description]:インターフェイスの説明を入力できます。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
インターフェイスの編集
(注) IPS SSP について編集できるインターフェイス フィールドは、[Description] フィールドだけです。
インターフェイスの設定を編集するには、次の手順に従ってください。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [Interfaces] を選択します。
ステップ 3 インターフェイスを選択して、[Edit] をクリックします。
(注) インターフェイスをダブルクリックして、[Edit Interface] ダイアログボックスを表示することもできます。
ステップ 4 [Description] フィールドの説明を変更するか、[No] または [Yes] チェックボックスをクリックして、状態をイネーブルからディセーブルに変更できます。[Use Alternative TCP Reset Interface] チェックボックスをオンにして、インターフェイスで代替 TCP リセット インターフェイスを使用できます。
ヒント 変更を破棄して [Edit Interface] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 5 [OK] をクリックします。[Interfaces] ペインのリストに編集されたインターフェイスが表示されます。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 6 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
インライン インターフェイス ペアの設定
ここでは、インライン インターフェイス ペアの設定方法について説明します。内容は次のとおりです。
• 「[Interface Pairs] ペインのフィールド定義」
• 「[Add VLAN Pair]/[Edit VLAN Pair] ダイアログボックスのフィールド定義」
[Interface Pairs] ペイン
(注) インターフェイス ペアを設定するには、管理者である必要があります。
センサーでインライン モニタリングを実行できる場合は、センサーでインターフェイスのペアを設定できます。
(注) AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS では、モニタにインライン ペアは必要ありません。必要となるのは、物理インターフェイスを仮想センサーに追加することだけです。
• AIM IPS をインライン モードで設定する手順については、『 Configuring the AIM IPS 』を参照してください。
• AIP SSM をインライン モードで設定する手順については、『 Configuring the AIP SSM 』を参照してください。
• AIP SSC-5 をインライン モードで設定する手順については、『 Configuring the AIP SSC-5 』を参照してください。
• IPS SSP をインライン モードで設定する手順については、『 Configuring the IPS SSP 』を参照してください。
• NME IPS をインライン モードで設定する手順については、『 Configuring the NME IPS 』を参照してください。
• インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
[Interface Pairs] ペインのフィールド定義
[Interface Pairs] ペインには次のフィールドがあります。
• [Interface Pair Name] インターフェイス ペアに付ける名前。
• [Paired Interfaces]:ペアにした 2 つのインターフェイス(GigabitEthernet0/0<->GigabitEthernet0/1 など)。
[Add Interface Pair]/[Edit Interface Pair] ダイアログボックスのフィールド定義
[Add Interface Pair]/[Edit Interface Pair]ダイアログボックスには次のフィールドがあります。
• [Interface Pair Name] インターフェイス ペアに付ける名前。
• [Select two interfaces]:リストからペアにする 2 つのインターフェイスを選択できます(GigabitEthernet0/0<->GigabitEthernet0/1 など)。
インライン インターフェイス ペアの設定
インライン インターフェイス ペアの設定を行うには、次の手順に従ってください。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [Interface Pairs] を選択し、[Add] をクリックします。
ステップ 3 [Interface Pair Name] フィールドに名前を入力します。インライン インターフェイス名はユーザが作成する名前です。
ステップ 4 [Select two interfaces] フィールドでペアにする 2 つのインターフェイスを選択します。たとえば、GigabitEthernet0/0 と GigabitEthernet0/1 を選択します。
ステップ 5 必要に応じて、[Description] フィールドにインライン インターフェイス ペアの説明を入力できます。
ヒント 変更を破棄して [Add Interface pair] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 6 [OK] をクリックします。[Interface Pairs] ペインのリストに新しいインライン インターフェイス ペアが表示されます。
ステップ 7 インライン インターフェイス ペアを編集するには、そのペアを選択し、[Edit] をクリックします。
ステップ 8 名前の変更、新しいインライン インターフェイス ペアの選択、説明の編集を行うことができます。
ヒント 変更を破棄して [Edit Interface Pair] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 9 [OK] をクリックします。[Interface Pairs] ペインのリストに編集したインライン インターフェイス ペアが表示されます。
ステップ 10 インライン インターフェイス ペアを削除するには、そのペアを選択し、[Delete] をクリックします。そのインライン インターフェイス ペアは、[Interface Pairs] ペインのリストに表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 11 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
インライン VLAN ペアの設定
ここでは、インライン VLAN ペアの設定方法について説明します。内容は次のとおりです。
• 「[Add VLAN Pair]/[Edit VLAN Pair] ダイアログボックスのフィールド定義」
[VLAN Pairs] ペイン
(注) インライン VLAN ペアを設定するには、管理者である必要があります。
(注) 使用しているセンサーが、インライン VLAN ペアをサポートしていない場合、[VLAN Pairs] ペインは表示されません。AIM IPS、AIP SSC-5、AIP SSM、IPS SSP、および NME IPS は、インライン VLAN ペアをサポートしません。
[VLAN Pairs] ペインには、各物理インターフェイスの既存の VLAN ペアが表示されます。インライン VLAN ペアを作成するには、[Add] をクリックします。無差別モードのインターフェイスにインライン VLAN ペアを作成するには、仮想センサーからインターフェイスを削除してからインライン VLAN ペアを作成する必要があります。インターフェイスがすでにペアになっているか、無差別モードの場合、インライン VLAN ペアを作成しようとすると、エラー メッセージを受け取ります。
(注) 別のインターフェイスとペアになっているインターフェイスや無差別モードで仮想センサーに割り当てられているインターフェイスにはインライン VLAN ペアは作成できません。
(注) インライン VLAN ペアでペアになっている VLAN のいずれかとして、デフォルト VLAN を使用することはできません。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
[VLAN Pairs] ペインのフィールド定義
[VLAN Pairs] ペインには次のフィールドがあります。
• [Interface Name]:インライン VLAN ペアの名前。
• [Subinterface]:インライン VLAN ペアのサブインターフェイス番号。値は 1 ~ 255 です。
• [VLAN A]:最初の VLAN の VLAN 番号が表示されます。値は 1 ~ 4095 です。
[Add VLAN Pair]/[Edit VLAN Pair] ダイアログボックスのフィールド定義
[Add Inline VLAN Pair]/[Edit Inline VLAN Pair] ダイアログボックスには次のフィールドがあります。
• [Interface Name]:ペアにするインターフェイスの名前。
• [Subinterface Number]:サブインターフェイス番号を割り当てることができます。1 ~ 255 の範囲の番号を割り当てることができます。
• [VLAN A]:このインライン VLAN ペアに最初の VLAN を割り当てることができます。1 ~ 4095 の任意の VLAN を割り当てることができます。
• [VLAN B]:このインライン VLAN ペアにもう一方の VLAN を割り当てることができます。1 ~ 4095 の任意の VLAN を割り当てることができます。
• [Description]:このインライン VLAN ペアの説明を追加できます。
(注) サブインターフェイス番号と VLAN 番号は、物理インターフェイスごとに一意である必要があります。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
インライン VLAN ペアの設定
インライン VLAN ペアの設定を行うには、次の手順に従ってください。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [VLAN Pairs] を選択し、[Add] をクリックします。
ステップ 3 [Interface Name] リストからインターフェイスを選択します。
ステップ 4 [Subinterface Number] フィールドに、インライン VLAN ペアのサブインターフェイス番号(1 ~ 255)を入力します。
ステップ 5 [VLAN A] フィールドで、このインライン VLAN ペアの最初の VLAN(1 ~ 4095)を指定します。
ステップ 6 [VLAN B] フィールドで、このインライン VLAN ペアのもう一方の VLAN(1 ~ 4095)を指定します。
ステップ 7 必要に応じて、[Description] フィールドにインライン VLAN ペアの説明を入力します。
ヒント 変更を破棄して [Add VLAN Pair] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 8 [OK] をクリックします。新しいインライン VLAN ペアが、[VLAN Pairs] ペインのリストに表示されます。
ステップ 9 インライン VLAN ペアを編集するには、そのペアを選択し、[Edit] をクリックします。
ステップ 10 サブインターフェイス番号と VLAN 番号の変更、説明の編集を行えます。
ヒント 変更を破棄して [Edit VLAN Pair] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 11 [OK] をクリックします。編集された VLAN ペアが [VLAN Pairs] ペインのリストに表示されます。
ステップ 12 VLAN ペアを削除するには、そのペアを選択して [Delete] をクリックします。その VLAN ペアは、[VLAN Pairs] ペインのリストに表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 13 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
VLAN グループの設定
ここでは、VLAN グループの設定方法について説明します。内容は次のとおりです。
• 「[Add VLAN Pair]/[Edit VLAN Pair] ダイアログボックスのフィールド定義」
[VLAN Groups] ペイン
(注) VLAN グループを設定するには、管理者である必要があります。
[VLAN Groups] ペインでは、センサー インターフェイスの設定で定義した VLAN グループの追加、編集、または削除を行うことができます。VLAN グループは、インターフェイスに存在する VLAN ID のグループで構成されています。各 VLAN グループは、少なくとも 1 つの VLAN ID で構成されています。インターフェイス(論理または物理)ごとに最大 255 の VLAN グループを設定できます。各グループには、任意の数の VLAN ID を含めることができます。その後、各 VLAN グループを仮想センサーに割り当てます(ただし、1 つのセンサーのみ)。同じセンサー上の異なる VLAN グループを異なる仮想センサーに割り当てることができます。
VLAN ID を VLAN グループに割り当てたあとに、その VLAN グループを仮想センサーに割り当てる必要があります。IME は、インターフェイスと仮想センサー設定間を相互検証します。一方のコンポーネントでの他方を無効化する可能性のある設定変更はブロックされます。
仮想センサーに VLAN グループを割り当てる手順については、「仮想センサーの追加、編集、削除」を参照してください。
VLAN グループの展開
インライン ペアの VLAN グループは、VLAN ID を変換しません。したがって、論理インターフェイスで VLAN グループを使用するには、2 つのスイッチ間にインライン ペア インターフェイスが存在する必要があります。アプライアンスの場合、2 つのペアを同じスイッチに接続し、それらをアクセス ポートにして、2 つのポートに対して別々にアクセス VLAN を設定できます。この設定では、センサーは 2 つの VLAN 間を接続します。これは、2 つのポートはそれぞれアクセス モードであり、1 つの VLAN だけを伝送するためです。この場合、2 つのポートは異なる VLAN に存在する必要があります。センサーはこれら 2 つの VLAN をブリッジし、2 つの VLAN 間を流れるすべてのトラフィックをモニタします。IDSM2 の 2 つのデータ ポートは常に同じスイッチに接続されているため、IDSM2 はこの方法でも動作します。
2 つのスイッチ間にアプライアンスを接続することもできます。2 つの方法があります。第 1 の方法では、2 つのポートがアクセス ポートとして設定されるため、1 つの VLAN を伝送できます。この方法では、センサーは 2 つのスイッチ間で 1 つの VLAN をブリッジします。
第 2 の方法では、2 つのポートはトランク ポートとして設定されるため、複数の VLAN を伝送できます。この設定では、センサーは 2 つのスイッチ間で複数の VLAN をブリッジします。複数の VLAN がインライン インターフェイス ペアで伝送されるため、VLAN をグループに分けることができ、各グループを仮想センサーに割り当てることができます。第 2 の方法は、IDSM2 には適用されません。IDSM2 はこの方法では接続できないためです。
• VLAN グループで IDSM2 を設定する手順については、『 Configuring the IDSM2 』を参照してください。
• インターフェイス設定の制約事項の詳細については、「インターフェイス設定の制約事項」を参照してください。
[VLAN Groups] ペインのフィールド定義
[VLAN Groups] ペインには次のフィールドがあります。
• [Interface Name]:VLAN グループの物理または論理インターフェイス名。
• [Subinterface]:VLAN グループのサブインターフェイス番号。値は 1 ~ 255 です。
[Add VLAN Group]/[Edit VLAN Group] ダイアログボックスのフィールド定義
[Add VLAN Group]/[Edit VLAN Group] ダイアログボックスには次のフィールドがあります。
• [Interface Name]:VLAN グループの名前。
• [Subinterface Number]:VLAN グループのサブインターフェイス番号。値は 1 ~ 255 です。
• [VLAN Group]:VLAN グループの VLAN 番号を表示します。
– [Unassigned VLANS]:VLAN グループに割り当てられていないすべての VLAN を選択できます。
– [Specify VLAN Group]:この VLAN グループに割り当てる VLAN の ID を指定できます。
"1, 5-8, 10-15" のように、1 ~ 4095 の値をカンマで区切って、個々の VLAN ID や範囲を指定します。
VLAN グループの設定
VLAN グループを設定するには、次の手順に従ってください。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [VLAN Groups] を選択し、[Add] をクリックします。
ステップ 3 [Interface Name] ドロップダウン リストから、インターフェイスを選択します。
ステップ 4 [Subinterface Number] フィールドに、VLAN グループのサブインターフェイス番号(1 ~ 255)を入力します。
ステップ 5 [VLAN Group] では、次のチェックボックスの 1 つをオンにして、このインターフェイスの VLAN グループを指定します。
a. [Unassigned VLANs]:サブインターフェイスに個別に割り当てられていないすべての VLAN を割り当てることができます。
b. [Specify VLAN Group]:このサブインターフェイスに割り当てる VLAN を指定できます。"1, 5-8, 10-15" のようなパターンで、複数の VLAN(1 ~ 4096)を割り当てることができます。このようにして、VLAN ID に基づいて異なるポリシーを設定できます。たとえば、VLAN 1 ~ 10 を 1 つの仮想センサー(VS0)に、VLAN 20 ~ 30 を別の仮想センサー(VS1)に向かうように設定できます。
(注) [Specify VLAN Group] フィールドに入力するには、スイッチで設定されている VLAN ID が必要です。
ステップ 6 必要に応じて、[Description] フィールドに VLAN グループの説明を入力できます。
ヒント 変更を破棄して [Add VLAN Group] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 7 [OK] をクリックします。新しい VLAN グループが [VLAN Groups] ペインのリストに表示されます。この VLAN グループを仮想センサーに割り当てる必要があります。
ステップ 8 VLAN グループを編集するには、グループを選択し、[Edit] をクリックします。
ステップ 9 サブインターフェイス番号と VLAN グループの変更、説明の編集を行えます。
ヒント 変更を破棄して [Edit VLAN Group] ダイアログボックスを閉じるには、[Cancel] をクリックします。
ステップ 10 [OK] をクリックします。編集された VLAN グループが [VLAN Groups] ペインのリストに表示されます。
ステップ 11 VLAN グループを削除するには、グループを選択し、[Delete] ボタンをクリックします。その VLAN グループは、[VLAN Groups] ペインのリストに表示されなくなります。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 12 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
バイパス モードの設定
ここでは、バイパス モードの設定方法について説明します。内容は次のとおりです。
• 「適応型セキュリティ アプライアンス、AIP SSM、AIP SSC-5、およびバイパス モード」
• 「適応型セキュリティ アプライアンス、IPS SSP、およびバイパス モード」
[Bypass] ペイン
(注) センサーでバイパス モードを設定するには、管理者である必要があります。
(注) IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP 上で行われているアクティビティのタイプによって、フェールオープン、フェールクローズ、またはフェールオーバーします。
インライン バイパスは、分析ツールとして、およびフェールオーバー保護メカニズムとして使用できます。通常は、センサーの分析エンジンがパケット分析を実行します。インライン バイパスがアクティブである場合、分析エンジンはバイパスされ、トラフィックは検査されることなく、インライン インターフェイスおよびインライン VLAN ペアを通過できます。インライン バイパスによって、センサー プロセスがアップグレードのために一時的に停止した場合や、センサー モニタリング プロセスが失敗した場合でも、パケットは引き続きセンサーを通過できます。オン、オフ、および自動という 3 つのモードがあります。デフォルトでは、バイパス モードは自動に設定されています。
インライン バイパス機能は、ソフトウェアで実行されるため、オペレーティング システムが稼動している場合にだけ動作します。センサーの電源がオフになっている場合、またはシャットダウンされている場合、インライン バイパスは動作しません。つまり、トラフィックはセンサーを通過しません。
• AIP SSM、AIP SSC-5、およびバイパス モードの詳細については、「適応型セキュリティ アプライアンス、AIP SSM、AIP SSC-5、およびバイパス モード」を参照してください。
• IPS SSP およびバイパス モードの詳細については、「適応型セキュリティ アプライアンス、IPS SSP、およびバイパス モード」を参照してください。
• ASA ソフトウェアの詳細については、次の URL に掲載されている ASA ユーザ マニュアルを参照してください。
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html
[Bypass] ペインのフィールド定義
• [Auto]:センサーのモニタリング プロセスがダウンしていない限り、トラフィックは検査のためにセンサーを通過します。
センサーのモニタリング プロセスがダウンすると、センサーが再び動作するまで、トラフィックはセンサーをバイパスします。センサーは、動作を再開すると、トラフィックを検査します。Auto モードは、センサーのアップグレード時に役立ちます。センサーのアップグレード中でもトラフィック フローが確保されるからです。また、Auto モードによって、モニタリング プロセスが失敗した場合でも、トラフィックは引き続きセンサーを通過します。
トラフィックは、検査のために、センサーを介して送信されます。センサーのモニタリング プロセスがダウンすると、トラフィックは通過しなくなります。これは、インライン トラフィックが常に検査されることを意味します。
• [On]:トラフィックは分析エンジンをバイパスし、検査されません。これは、インライン トラフィックが常に検査されないことを意味します。
適応型セキュリティ アプライアンス、AIP SSM、AIP SSC-5、およびバイパス モード
バイパス モード、適応型セキュリティ アプライアンス、AIP SSM、および AIP SSC-5 には次の条件が適用されます。
• [Bypass] が [Auto] または [Off]:AIP SSM および AIP SSC-5 がシャットダウンまたはリセットされると、適応型セキュリティ アプライアンスは、設定されているフェールオープンまたはフェールクローズ ルールに従ってトラフィックの通過を許可またはブロックします。
• [Bypass] が [Auto]:SensorApp が AIP SSM および AIP SSC-5 で停止した場合、AIP SSM および AIP SSC-5 NIC ドライバ(複数も可)は機能し続け、ハートビート パケットを通過させるので、設定されているフェールオープンまたはフェールクローズ ルールに関係なく、適応型セキュリティ アプライアンスはすべてのトラフィックを許可します。
• [Bypass] が [Off]:設定されているフェールオープンまたはフェールクローズ ルールに関係なく、SensorApp が AIP SSM および AIP SSC-5 で停止すると、適応型セキュリティ アプライアンスはトラフィックの通過を停止します。
• IPS ソフトウェアのバイパス モードの詳細については、「バイパス モードの設定」を参照してください。
• 適応型セキュリティ アプライアンスと AIP SSM の詳細については、『 Configuring the AIP SSM 』を参照してください。
• 適応型セキュリティ アプライアンスと AIP SSC-5 の詳細については、『 Configuring the AIP SSC-5 』を参照してください。
• ASA ソフトウェアの詳細については、次の URL に掲載されている ASA ユーザ マニュアルを参照してください。
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html
適応型セキュリティ アプライアンス、IPS SSP、およびバイパス モード
IPS SSP は、バイパス モードをサポートしていません。適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスの設定と IPS SSP 上で行われているアクティビティのタイプによって、フェールオープン、フェールクローズ、またはフェールオーバーします。
IPS SSP を再設定するか、シグニチャまたはエンジンの更新を実行すると、適応型セキュリティ アプライアンスは、適応型セキュリティ アプライアンスで設定されているフェールオープンまたはフェールクローズ ポリシーに基づいてトラフィックを許可または停止し、フェールオーバーはトリガーしません。
IPS SSP をリセットまたはリロードするか、サービス パック更新、メジャー更新、またはマイナー更新を実行するか、IPS SSP でコントロール プレーンまたはデータ プレーンの障害が発生すると、フェールオーバーが設定されている場合、適応型セキュリティ アプライアンスはフェールオーバーします。フェールオーバーが設定されていない場合、または適応型セキュリティ アプライアンスがフェールオーバーできない場合、適応型セキュリティ アプライアンスはフェールオープンまたはフェールクローズ ポリシー設定に基づいて、トラフィックを許可または停止します。
• 適応型セキュリティ アプライアンスと IPS SSP の詳細については、『 Configuring the IPS SSP 』を参照してください。
• ASA ソフトウェアの詳細については、次の URL に掲載されている ASA ユーザ マニュアルを参照してください。
http://www.cisco.com/en/US/products/ps6120/tsd_products_support_series_home.html
トラフィック フロー通知の設定
ここでは、トラフィック フロー通知の設定方法について説明します。内容は次のとおりです。
• 「[Traffic Flow Notifications] ペイン」
• 「[Traffic Notifications] ペインのフィールド定義」
[Traffic Flow Notifications] ペイン
(注) トラフィック フロー通知を設定するには、管理者である必要があります。
インターフェイス上のパケットのフローをモニタし、そのフローが指定した間隔中に変更(開始および停止)された場合に通知を送信するようにセンサーを設定できます。特定の通知間隔内に失われたパケットのしきい値を設定でき、ステータス イベントがレポートされる前のインターフェイス アイドル遅延も設定できます。
[Traffic Notifications] ペインのフィールド定義
[Traffic Flow Notifications] ペインには、次のフィールドがあります。
• [Missed Packets Threshold]:通知が送信されるまでに、指定された時間中に失われる必要のあるパケットのパーセント。
• [Notification Interval]:センサーが失われたパケットの割合をチェックする間隔。
• [Interface Idle Threshold]:通知が送信されるまでに、インターフェイスがアイドル状態となってパケットを受信しない秒数。
トラフィック フロー通知の設定
トラフィック フロー通知を設定するには、次の手順を実行します。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [Traffic Flow Notifications] を選択します。
ステップ 3 [Missed Packets Threshold] フィールドでは、通知を受け取るまでに失われる必要のあるパケットのパーセントを決定し、量を入力します。
ステップ 4 [Notification Interval] フィールドでは、失われたパケットのパーセントをチェックする秒数を決定し、数値を入力します。
ステップ 5 [Interface Idle Threshold] フィールドでは、通知を受けるまでにインターフェイスがアイドル状態となってパケットを受信しない秒数を決定し、入力します。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 6 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
CDP モードの設定
(注) IPS SSP は、CDP モードをサポートしていません。
(注) CDP モードを設定するには、管理者である必要があります。
CDP パケットの転送のイネーブルまたはディセーブルにするようにセンサーを設定できます。このアクションは、すべてのインターフェイスにグローバルに適用されます。
Cisco Discovery Protocol は、メディアおよびプロトコルに依存しないデバイス検出プロトコルであり、すべてのシスコ製装置(ルータ、アクセス サーバ、ブリッジ、スイッチなど)上で動作します。CDP を使用することにより、デバイスはその存在を他のデバイスにアドバタイズし、同じ LAN 上または WAN のリモート サイト上の他のデバイスに関する情報を受信できます。CDP は、SNAP をサポートするすべてのメディア(LAN、フレーム リレー、ATM メディアなど)で稼動します。
• [Drop CDP Packets]:センサーは CDP パケットを転送しません。
• [Forward CDP Packets]:センサーは CDP パケットを転送します。
管理者権限を持つアカウントを使用して IME にログインします。
ステップ 2 [Configuration] > sensor_name > [Interfaces] > [Interfaces] > [CDP Mode] を選択します。
ステップ 3 [CDP Mode] ドロップダウン リストから、[Drop CDP Packets](デフォルト)または [Forward CDP Packets] を選択します。
ヒント 変更を破棄するには、[Reset] をクリックします。
ステップ 4 変更を適用し、変更後の設定を保存するには、[Apply] をクリックします。
フィードバック