ASA での Adaptive Security Device Manager(ASDM)の起動
(ASA 5505)管理用 IPS モジュールのセットアップ
• ASA に関連するすべてのドキュメントには、次の URL からアクセスできます。
• IPS に関連するすべてのドキュメントには、次の URL からアクセスできます。
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_documentation_roadmaps_list.html
ASA モデルのソフトウェアおよびハードウェアと IPS モジュールとの互換性については、 http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html の『 Cisco ASA Compatibility 』を参照してください。
IPS モジュールは、フル機能の予防的な侵入防御サービスを提供する高度な IPS ソフトウェアを実行して、ワームやネットワーク ウイルスなどの悪意のあるトラフィックがネットワークに影響を与える前にこれらを阻止します。
IPS モジュールは ASA から個別のアプリケーションを実行します。IPS モジュールに外部管理インターフェイスが搭載されている場合は、IPS モジュールに直接接続することができます。管理インターフェイスが搭載されていない場合は、ASA インターフェイスを介して IPS モジュールに接続できます。お使いのモデルで、IPS モジュールのその他のインターフェイスを利用できる場合、それらのインターフェイスは ASA トラフィックのみに使用されます。
トラフィックは、ファイアウォール検査を通過してから IPS モジュールへ転送されます。ASA で IPS インスペクションのトラフィックを識別する場合、トラフィックは次のように ASA および IPS モジュールを通過します。
注:この例は「インライン モード」に対応しています。ASA でトラフィックのコピーを IPS モジュールに送信するだけの「無差別モード」については、『ASA Configuration Guide』を参照してください。
次の図に、IPS モジュールをインライン モードで使用する場合のトラフィック フローを示します。この例では、IPS モジュールが攻撃と見なしたトラフィックは、自動的にブロックされています。それ以外のトラフィックは、ASA を経由して転送されます。
ASA 5505 には専用の管理インターフェイスがありません。内部 IP 管理アドレスにアクセスするには、バックプレーン経由で ASA VLAN を使用する必要があります。管理 PC をイーサネット 0/1 ~ 0/7 のいずれかのポートに接続します。
• ASA 5510、ASA 5520、ASA 5540、ASA 5580、ASA 5585-X
管理 PC、ASA 管理インターフェイス、IPS 管理インターフェイスをスイッチに接続します。
(注) デフォルト以外のネットワークを使用して管理を行いたい場合は、ASA と IPS CLI にアクセスし、各デバイス上で setup コマンドを実行して管理 IP アドレスを変更する必要があります。setup の詳細については、ASA および IPS ソフトウェアのコンフィギュレーション ガイドを参照してください。
ASA 5505 の場合は、CLI で setup を使用して ASA IP アドレスを変更した後、ASA CLI または ASDM を使用して IPS 管理 IP アドレスを設定できます。IPS CLI にアクセスする必要はありません。
ステップ 1 管理 PC で Web ブラウザを起動します。
ステップ 2 [Address] フィールドに https://192.168.1.1/admin と入力します。
ステップ 3 [Run ASDM] をクリックして Java Web Start アプリケーションを実行します。あるいは、ASDM-IDM Launcher をダウンロードすることもできます(Windows のみ)。詳細については、『ASA Configuration Guide』を参照してください。
ステップ 4 表示されたダイアログボックスに従って、任意の証明書を受け入れます。[Cisco ASDM-IDM Launcher] ダイアログボックスが表示されます。
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し、[OK] をクリックします。メイン ASDM ウィンドウが表示されます。
ステップ 1 IPS モジュールを初めて設定する場合は、ASDM のメイン ウィンドウで [Configuration] > [Device Setup] > [SSC Setup] を選択します。
(注) IPS モジュールの設定完了前に [IPS] タブをクリックすると、[Stop] ダイアログボックスが表示されます。ASDM で [SSC Setup] ペインを再度表示するには、[OK] をクリックします。GUI のいずれかの部分にアクセスするには、まず [SSC Setup] ペインで設定を定義する必要があります。
ステップ 2 [Management Interface] および [Management Access List] エリアで、デフォルト設定を受け入れます。
ステップ 3 [IPS Password] エリアで、次の手順を実行します。
a. パスワードを入力します。デフォルトのパスワードは cisco です。
ステップ 4 [Apply] をクリックし、実行コンフィギュレーションの設定を保存します。[SSC Setup completed] ダイアログボックスは、初期設定後にだけ表示されます。
ステップ 1 ASDM から IPS Device Manager(IDM)にアクセスするには、[Configuration] > [IPS] をクリックします。ユーザ名とパスワードのほか、IPS モジュールの IP アドレスまたはホスト名の入力を要求されます。
ステップ 2 デフォルトの IP アドレスとポート(192.168.1.2:443)を受け入れます。デフォルトのユーザ名は cisco です。デフォルトのパスワードは cisco です。ASA 5505 でモジュールの初期設定時にパスワードを変更した場合は、その新しいパスワードをここに入力します。お使いのローカル PC にログイン情報を保存するには、[Save IPS login information on local host] チェックボックスをオンにします。
ステップ 3 [Continue] をクリックします。[Startup Wizard] ペインが表示されます。
(注) IPS モジュールで 5.x 以前のバージョンが実行されている場合、ASDM に IDM へのリンクが表示されます。
ステップ 4 [Launch Startup Wizard] をクリックします。プロンプトに従って画面を完了します。詳細については、IDM オンライン ヘルプを参照してください。
バックプレーン経由で IPS モジュールに送信されたすべてのトラフィックには、IPS セキュリティ ポリシーが適用されています。次の手順を実行し、IPS モジュールに送信するトラフィックを定義します。
ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] を選択します。
ステップ 2 [Add] > [Add Service Policy Rule] を選択します。[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。
ステップ 3 [Service Policy] ダイアログボックスを完了してから、必要に応じて [Traffic Classification Criteria] を完了します。これらの画面の詳細については、ASDM オンライン ヘルプを参照してください。
ステップ 4 [Next] をクリックして [Add Service Policy Rule Wizard - Rule Actions] ダイアログボックスを表示します。
ステップ 5 [Intrusion Prevention] タブをクリックします。
ステップ 6 [Enable IPS for this traffic flow] チェックボックスをオンにします。
ステップ 7 [Mode] エリアで、[Inline Mode] または [Promiscuous Mode] をクリックします。
ステップ 8 [If IPS Card Fails] エリアで、[Permit traffic] または [Close traffic] をクリックします。[Close traffic] オプションを選択すると、ASA は IPS モジュールが使用できない場合にすべてのトラフィックをブロックします。[Permit traffic] オプションを選択すると、ASA は IPS モジュールが使用できない場合に、すべてのトラフィックの通過を検査なしで許可します。[IPS Sensor Selection] エリアの詳細については、ASDM オンライン ヘルプを参照してください。
ステップ 9 [OK] をクリックし、次に [Apply] をクリックします。
ステップ 10 この手順を繰り返して、追加のトラフィック フローを必要に応じて設定します。
• (任意)仮想センサーなどの高度な IPS オプションを設定します。IDM オンライン ヘルプを参照するか、次の URL でお使いのバージョンに対応したドキュメント ロードマップを確認してください。
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/products_documentation_roadmaps_list.html
• (任意)ASA で仮想センサーを設定します。オンライン ヘルプを参照するか、次の URL でお使いの ASA バージョンに対応したコンフィギュレーション ガイドで IPS の章を確認してください。
マニュアルの入手方法、テクニカル サポート、その他の有用な情報については、次の URL で、毎月更新される『 What's New in Cisco Product Documentation 』を参照してください。シスコの新規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
『 What's New in Cisco Product Documentation 』は RSS フィードとして購読できます。また、リーダー アプリケーションを使用してコンテンツがデスクトップに直接配信されるように設定することもできます。RSS フィードは無料のサービスです。シスコは現在、RSS バージョン 2.0 をサポートしています。