この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、 setup コマンドを使用してセンサーを初期化する方法を説明します。この章は、次の項で構成されています。
• 「概要」
• 「System Configuration Dialog」
• 「初期化の確認」
センサーをネットワークに設置した後、 setup コマンドを使用してセンサーを初期化する必要があります。 setup コマンドを使用すると、ホスト名、IP インターフェイス、Telnet サーバ、Web サーバ ポート、アクセス コントロール リスト、時間設定、およびインターフェイスの割り当てと有効化など、センサーの基本的な設定を行います。センサーを初期化すると、ネットワーク経由でセンサーと通信できるようになります。その時点で、侵入防御を設定する準備が整います。
setup コマンドを入力すると、システムのコンソール画面に System Configuration Dialog という対話型のダイアログが表示されます。この System Configuration Dialog によって、設定プロセスの手順が示されます。
変更するオプションに到達するまで System Configuration Dialog 全体を実行する必要があります。変更しない項目のデフォルト設定を使用するには、 Enter キーを押します。
変更を行わず、System Configuration Dialog 全体を実行しないで EXEC プロンプトに戻るには、 Ctrl+C キーを押します。
System Configuration Dialog では、各プロンプトのヘルプ テキストを表示できます。ヘルプ テキストにアクセスするには、プロンプトで疑問符(?)を押します。
変更が完了したら、セットアップ セッション中に作成した設定が System Configuration Dialog に表示されます。また、この設定を使用するかどうかを尋ねるメッセージが表示されます。 yes を入力すると、その設定が保存されます。 no を入力すると、設定は保存されずに、プロセスが再度開始されます。このプロンプトにはデフォルトはありません。 yes または no を入力する必要があります。
サマータイムは、recurring モードまたは date モードのいずれかで設定できます。recurring モードを選択すると、開始日および終了日は、週、日、月、および時間がベースになります。date モードを選択すると、開始日および終了日は、月、日、年、および時間がベースになります。Disable を選択すると、サマータイムがオフになります。
System Configuration Dialog では、デフォルトの仮想センサー vs0 を編集できます。仮想センサーには、混合モードとインライン ペアの両方またはどちらかを割り当てることができます。またこれは、割り当てられたインターフェイスを使用可能にします。セットアップが完了すると、仮想センサーはトラフィックを監視するように設定されています。
(注) システムがアプライアンスで NTP を使用していない場合は、System Configuration Dialog で日付と時間を設定するだけで済みます。
ステップ 1 管理者特権を持つアカウントを使用して次のようにセンサーにログインします。
• シリアル接続、またはモニタとキーボードを使用して、アプライアンスにログインします。
(注) IDS-4215、IPS-4240、または IPS-4255 では、モニタとキーボードは使用できません。
cat6k> enable
cat6k> (enable) session
module_number
switch# session slot
slot_number processor 1
router# service-module IDS-Sensor
slot_number/port_number session
asa# session 1
(注) デフォルトのユーザ名とパスワードはどちらも cisco です。
ステップ 2 センサーへの初回ログインでは、デフォルト パスワードの変更を求められます。
パスワードは最低 8 文字で、強力なパスワードにする必要があります。辞書にある単語は使用しないでください。
パスワードを変更すると、 sensor#
プロンプトが表示されます。
System Configuration Dialog が表示されます。
(注) System Configuration Dialog は対話型のダイアログです。デフォルトの設定が表示されています。
ステップ 4 Space キーを押して次の質問を表示します。
Continue with configuration dialog?[yes]:
一度に 1 ページずつ表示するには Space キーを押します。一度に 1 行ずつ表示するには Enter キーを押します。
ホスト名は 64 文字までの文字列で、大文字と小文字が区別されます。数字、「_」、および「-」は有効ですが、スペースは入力できません。デフォルトは sensor です。
IP インターフェイスは、IP アドレス/ネットマスク、ゲートウェイ(X.X.X.X/nn,Y.Y.Y.Y)の形式で指定します。ここでの X.X.X.X(X は 0 ~ 255)は、32 ビット アドレスのセンサーの IP アドレスで、ピリオドで区切った 4 つのオクテットで記述されています。nn はネットマスクの番号です。Y.Y.Y.Y(Y は 0 ~ 255)は、32 ビット アドレスのデフォルト ゲートウェイで、ピリオドで区切った 4 つのオクテットで記述されています。
ステップ 8 Telnet サーバのステータスを指定します。
Telnet サービスは disable または enable に設定できます。デフォルトは disable です。
Web サーバ ポートは Web サーバが使用する TCP ポートです(1 ~ 65535)。デフォルトは 443 です。
(注) Web サーバ ポートを変更した場合は、IDM への接続時にブラウザの URL アドレスでそのポートを指定する必要があります。指定する形式は https://
sensor_ip_address:port
(たとえば、https://10.1.9.201:1040
)です。
(注) デフォルトでは、Web サーバは TLS および SSL の暗号化を使用するように設定されています。ポートを 80 に設定しても、暗号化は無効になりません。
ステップ 10 yes を入力してネットワーク アクセス リストを修正します。
a. エントリを削除する場合は、エントリの番号を入力して Enter キーを押すか、または Enter キーを押して Permit 行に進みます。
b. アクセス リストに追加するネットワークの IP アドレスおよびネットマスクを指定します。
IP ネットワーク インターフェイスは、IP アドレス/ネットマスク(X.X.X.X/nn)の形式で指定します。ここでの X.X.X.X(X は 0 ~ 255)は、32 ビット アドレスのセンサーの IP アドレスで、ピリオドで区切った 4 つのオクテットで記述されています。nn は、そのネットワークのネットマスクの番号です。
たとえば、10.0.0.0/8 は 10.0.0.0 ネットワーク上のすべての IP アドレス(10.0.0.0 ~ 10.255.255.255)を許可し、10.1.1.0/24 は 10.1.1.0 サブネット上の IP アドレス(10.1.1.0 ~ 10.1.1.255)だけを許可します。
ネットワーク全体ではなく、1 つの IP アドレスへのアクセスを許可する場合は、32 ビット ネットマスクを使用します。たとえば、10.1.1.1/32 は、アドレス 10.1.1.1 だけを許可します。
c. アクセス リストに追加するネットワークの入力がすべて終わるまで、ステップ b を繰り返します。
d. 空白の Permit 行で Enter キーを押して、次の手順に進みます。
ステップ 11 システム クロックの設定値を修正するには、 yes を入力します。
NTP サーバの IP アドレス、NTP キー ID、および NTP キー値が必要です。これらがこの時点で存在しない場合は、後で NTP を設定できます。手順については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 5.1 』の「Configuring the Sensor to Use an NTP Server as its Time Source」を参照してください。
b. サマータイム設定を修正するには、 yes を入力します。
(注) サマータイムは DST とも呼びます。サマータイムを採用していない地域の場合は、ステップ n に進みます。
c. サマータイムの設定方法を指定するには、recurring、date、または disable を入力します。
d. recurring を選択した場合は、サマータイム設定の開始月を入力します。
有効な値は、january、february、march、april、may、june、july、august、september、october、november、および december です。
有効な値は first、second、third、fourth、fifth、および last です。
有効な値は、sunday、monday、tuesday、wednesday、thursday、friday、および saturday です。
(注) デフォルトの定期的なサマータイム パラメータはアメリカ合衆国の時間帯用です。デフォルト値は、開始時刻が 4 月の第 1 日曜日午前 2 時、終了時刻が 10 月の第 4 日曜日午前 2 時と指定します。デフォルトのサマータイム オフセットは 60 分です。
有効な値は、january、february、march、april、may、june、july、august、september、october、november、および december です。
有効な値は first、second、third、fourth、fifth、および last です。
有効な値は、sunday、monday、tuesday、wednesday、thursday、friday、および saturday です。
ゾーン名は、最長で 24 文字の文字列で、[A-Za-z0-9()+:,_/-]+$ を使用できます。
世界標準時(UTC)からのサマータイム オフセットを分単位で指定します(負数は、グリニッジ子午線より西側の時間帯を示します)。
n. システムの時間帯を修正するには、 yes を入力します。
世界標準時(UTC)からの標準時間帯のオフセットを分単位で指定します(負数は、グリニッジ子午線より西側の時間帯を示します)。
ステップ 12 yes を入力して、仮想センサーの設定を修正します(vs0)。
ステップ 13 混合インターフェイスまたはモニタリング インターフェイスを追加するには、 yes と入力します。
ステップ 14 たとえば GigabitEthernet0/1 のように、追加するインターフェイスを入力します。
ステップ 15 yes と入力して、インライン インターフェイス ペアを追加します(プラットフォームがインライン インターフェイス ペアをサポートしている場合だけ表示されます)。
a. インライン インターフェイス ペアの名前を入力します。
b. インライン インターフェイス ペアの説明を入力します。
デフォルトは、 Created via setup by user <yourusername>
です。
c. インライン ペアの最初のインターフェイスの名前 interface1 を入力します。
d. インライン ペアの 2 番目のインターフェイスの名前 interface2 を入力します。
e. a ~ d のステップを繰り返して、さらにインライン インターフェイス ペアを追加するか、 Enter を押して次のオプションに進みます。
ステップ 16 yes と入力して、インライン VLAN ペアを追加します(プラットフォームがインライン VLAN ペアをサポートしている場合だけ表示されます)。
インライン VLAN ペアに使用できるインターフェイスのリストが、次のように表示されます。
ステップ 17 さらに分割してインライン VLAN ペアにするインターフェイスの番号を入力します。
そのインターフェイスの現在のインライン VLAN ペア設定が、次のように表示されます。
d. 2 番目の VLAN 番号(vlan2)を入力します。
e. a ~ d のステップを繰り返して、このインターフェイス上にさらにインライン VLAN ペアを追加するか、 Enter を押して次のオプションに進みます。
ステップ 18 別のインターフェイスをさらに分割するには、 yes と入力します。インライン VLAN ペアの追加を終了するには、 no と入力するか、 Enter を押します。
ステップ 20 システムの日付と時刻を修正するには、 yes を入力します。
(注) このオプションは、モジュールでは使用できません。また NTP が設定されている場合も使用できません。このモジュールは、設置されているルータまたはスイッチ、あるいは設定済みの NTP サーバから時刻を取得します。
ステップ 23 自己署名 X.509 証明書を表示します(TLS で必要です)。
この情報は、Web ブラウザでこのセンサーへ接続した際に証明書の信頼性を確認するために必要になります。
ステップ 25 最新のサービス パックおよびシグニチャ アップデートを適用します。
最新版のソフトウェアを入手する方法については、 「Cisco IPS ソフトウェアの入手方法」 を参照してください。最新のソフトウェア アップデートを適用する方法は Readme で説明されています。
setup コマンドを実行した後で、センサーが正しく初期化されたことを確認する必要があります。
センサーが初期化されていることを確認するには、次の手順を実行します。
手順については、『 Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface 5.1 』の「Logging In to the Sensor」を参照してください。
(注) また、more current-config コマンドを使用して設定を表示することもできます。
ステップ 3 自己署名 X.509 証明書を表示します(TLS で必要です)。
この情報は、Web ブラウザでこのセンサーへ接続した際に証明書の信頼性を確認するために必要になります。