CHAPTER 58 SSM と SSC の管理 この章では、適応型セキュリティ アプライアンスにインストールされた Security Services Card(SSC; セキュリティ サービス カード)または Security Services Module(SSM; セキュリティ サービス モ ジュール)を管理する方法について説明します。SSM および SSC は、IPS や Content Security and Control などの高度なセキュリティ アプリケーションを実行します。 (注) インターフェイス モジュールでありインテリジェントなソフトウェアを実行しない 4GE SSM の詳細 については、第 6 章「インターフェイスの設定」を参照してください。 この章には、次の項があります。 • 「SSM および SSC に関する情報」(P.58-1) • 「ガイドラインと制限事項」(P.58-3) • 「デフォルト設定」(P.58-4) • 「SSC 管理インタフェースの設定」(P.58-4) • 「SSM または SSC へのセッション接続」(P.58-6) • 「SSM または SSC のトラブルシューティング」(P.58-6) • 「SSM と SSC の監視」(P.58-9) • 「関連情報」(P.58-10) • 「SSM および SSC の機能履歴」(P.58-11) SSM および SSC に関する情報 この項では、SSM と SSC について説明します。次の項目を取り上げます。 • 「サポートされているアプリケーション」(P.58-1) • 「管理アクセスに関する情報」(P.58-2) サポートされているアプリケーション SSM では次のアプリケーションがサポートされています。 • IPS ソフトウェア(AIP SSM 上) • Content Security and Control ソフトウェア(CSC SSM 上) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-1 第 58 章 SSM と SSC の管理 SSM および SSC に関する情報 SSC では次のアプリケーションがサポートされています。 • IPS ソフトウェア(AIP SSC 上) (注) SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入し た場合は、後でその上に CSC ソフトウェアをインストールできません。 管理アクセスに関する情報 ASDM を使用して、またはモジュール アプリケーション CLI を使用してモジュール アプリケーション を管理できます。この項は、次の内容で構成されています。 • 「モジュールへのセッション接続」(P.58-2) • 「ASDM の使用」(P.58-2) • 「SSH または Telnet の使用」(P.58-2) • 「モジュール管理インターフェイスのその他の用途」(P.58-3) • 「管理インターフェイスへのアクセスにおけるルーティングの注意事項」(P.58-3) モジュールへのセッション接続 適応型セキュリティ アプライアンスに CLI アクセスが可能な場合は、バックプレーンを経由してモ ジュールにセッション接続し、そのモジュール CLI にアクセスできます。「SSM または SSC へのセッ ション接続」(P.58-6)を参照してください。 ASDM の使用 適応型セキュリティ アプライアンスで ASDM を起動した後、ASDM は SSM または SSC 管理イン ターフェイスに接続し、モジュール アプリケーションを設定します。 SSM では、ASDM は外部ギガビット イーサネット ポートに接続します。デフォルトのアドレスを使 用できない場合は、モジュールにセッション接続し、モジュール CLI でパラメータを設定することに より、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。詳細について は、モジュール アプリケーションのマニュアルを参照してください。 SSC では、管理 VLAN として VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのア クセスを許可できます。ネットワーク パラメータを変更するには、「SSC 管理インタフェースの設定」 (P.58-4)を参照してください。 「デフォルト設定」 (P.58-4)を参照してく デフォルトの管理インターフェイス パラメータについては、 ださい。 SSH または Telnet の使用 モジュール管理インターフェイスに SSH または Telnet を使用することで、モジュール CLI に直接アク セスできます (Telnet アクセスでは、SSM/SSC アプリケーションで追加の設定が必要になります)。 管理インターフェイスの詳細については、「ASDM の使用」(P.58-2)を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-2 OL-18970-01-J 第 58 章 SSM と SSC の管理 ガイドラインと制限事項 モジュール管理インターフェイスのその他の用途 モジュール管理インターフェイスは、syslog メッセージの送信や、AIP SSM または SSC での署名デー タベースのアップデートなど、モジュール アプリケーションのアップデートの許可に使用できます。 管理インターフェイスへのアクセスにおけるルーティングの注意事項 ASDM が SSC を確実に管理できるように、適応型セキュリティ アプライアンスがモジュール管理イン ターフェイス アドレスにアクセスできることを確認します。 SSC では、SSC 管理インターフェイスにも使用する適応型セキュリティ アプライアンス VLAN の IP アドレスを必ず設定し、その VLAN をスイッチ ポートに割り当て、SSC インターフェイスがネット ワークに物理的に接続されるようにします。その結果、適応型セキュリティ アプライアンスの直接接 続されたネットワーク上に SSC 管理インターフェイスが置かれるため、ルーティング設定を追加する ことなく、ASDM が管理インタフェースにアクセスできます。 SSM では、外部管理インターフェイスは適応型セキュリティ アプライアンス インターフェイスとは見 なされないため、直接接続されたネットワーク上に自動的には置かれません。ネットワークをケーブル 接続する方法に応じて、SSM 外部インターフェイスを適応型セキュリティ アプライアンス インター フェイスと同じネットワーク上に置くことも(スイッチを通じて)、別のネットワーク上に置くことも (ルータを通じて)できます。 ガイドラインと制限事項 この項では、この機能のガイドラインと制限事項について説明します。 コンテキスト モードのガイドライン コンテキスト モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参照し てください。 ファイアウォール モードのガイドライン ファイアウォール モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参 照してください。 フェールオーバーのガイドライン SSC では、同一のサブネットおよび VLAN 上に置かれる両方の装置で管理 IP アドレスを設定したこと を確認します。 モデルのガイドライン 「モデルごとの SSM および SSC サポート」 (P.1-1)を参 SSC と SSM のモデルのサポートについては、 照してください。 追加のガイドライン SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入し た場合は、後でその上に CSC ソフトウェアをインストールできません。 NAT 経由の IP アドレスを使用している場合は、ASDM で SSC を設定できません。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-3 第 58 章 SSM と SSC の管理 デフォルト設定 デフォルト設定 表 58-1 に、SSM と SSC のデフォルトのネットワーク設定を示します。 表 58-1 (注) デフォルトのネットワーク パラメータ パラメータ デフォルト 管理 VLAN(SSC 限定) VLAN 1 管理 IP アドレス 192.168.1.2/24 管理ホスト(SSC 限定) 192.168.1.0/24 ゲートウェイ 192.168.1.1 適応型セキュリティ アプライアンスのデフォルトの管理 IP アドレスは 192.168.1.1/24 です。 SSC 管理インタフェースの設定 SSC には外部インターフェイスはありません。管理 VLAN として VLAN を設定し、バックプレーン 経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトでは、VLAN 1 は SSC 管理ア ドレスでイネーブルになります。SSC 管理 VLAN として割り当てることができるのは 1 つの VLAN だけです。この項では、管理 VLAN を変更する方法について説明します。デフォルトの管理 IP アドレ ス、許可されたホスト、ゲートウェイを変更する方法についても説明します。デフォルトの詳細につい ては、「デフォルト設定」(P.58-4)を参照してください。 前提条件 SSC 管理インタフェースを使用する VLAN では、第 6 章「インターフェイス コンフィギュレーション の開始(ASA 5505)」で説明する手順に従って ASA 5505 でスイッチ ポートと VLAN インターフェイ スを設定します。この設定は、SSC インターフェイスをネットワークに物理的に接続するために必要 です。 制限事項 ASDM を使用してアクセスする場合は、管理アドレス用に NAT を設定しないでください。ASDM の 初期セットアップでは、実際のアドレスにアクセスする必要があります。初期セットアップ後(SSC でパスワードを設定した後)は、NAT を設定し、SSC にアクセスするときの変換アドレスを ASDM に提供できます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-4 OL-18970-01-J 第 58 章 SSM と SSC の管理 SSC 管理インタフェースの設定 詳細な手順 ステップ 1 コマンド 目的 interface vlan number SSC 管理をディセーブルにする現在の管理 VLAN を指定しま す。デフォルトでは、これは VLAN 1 です。 例: hostname(config)# interface vlan 1 ステップ 2 no allow-ssc-mgmt 別の VLAN についてイネーブルにできるように、古い VLAN の SSC 管理をディセーブルにします。 例: hostname(config-if)# no allow-ssc-mgmt ステップ 3 interface vlan number SSC 管理 VLAN として使用する VLAN を指定します。 例: hostname(config)# interface vlan 20 ステップ 4 allow-ssc-mgmt このインターフェイスを SSC 管理インタフェースとして設定し ます。 例: hostname(config-if)# allow-ssc-mgmt ステップ 5 hw-module module 1 ip ip_address netmask gateway SSC の管理 IP アドレスを設定します。このアドレスが ASA 5505 VLAN インターフェイスと同じサブネット上にあることを 確認します。 直接接続された適応型セキュリティ アプライアンス ネットワー ク上に管理ステーションがある場合は、ゲートウェイを ASA 5505 VLAN インターフェイス アドレスに設定します。管理ス テーションがリモート ネットワーク上にある場合は、ゲート ウェイを、管理 VLAN のアップストリーム ルータのアドレスに 設定します。 例: hostname# hw-module module 1 ip 209.165.200.225 255.255.255.224 209.165.200.245 (注) これらの設定は、ASA 5505 コンフィギュレーションでは なく SSC アプリケーション コンフィギュレーションに書 き込まれます。これらの設定は、show module details コ マンドを使用して ASA 5505 から表示できます。 または、SSC アプリケーションの setup コマンドを使用 して、この設定を SSC CLI から設定することもできます。 ステップ 6 hw-module module 1 allow-ip ip_address netmask 例: hostname# hw-module module 1 allow-ip 209.165.201.29 255.255.255.224 管理 IP アドレスにアクセスできるホストを設定します。 (注) これらの設定は、ASA 5505 コンフィギュレーションでは なく SSC アプリケーション コンフィギュレーションに書 き込まれます。これらの設定は、show module details コ マンドを使用して ASA 5505 から表示できます。 または、SSC アプリケーションの setup コマンドを使用 して、この設定を SSC CLI から設定することもできます。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-5 第 58 章 SSM と SSC の管理 SSM または SSC へのセッション接続 例 次の例では、VLAN 20 を SSC 管理 VLAN として設定します。この VLAN は管理トラフィックだけに 制限されています。10.1.1.30 のホストだけが SSC 管理 IP アドレスにアクセスできます。VLAN 20 は スイッチ ポート Ethernet 0/0 に割り当てられます。ASA インターフェイス 10.1.1.1 上の ASDM に接 続すると、ASDM は 10.1.1.2 上の SSC にアクセスします。 hostname(config)# interface vlan 1 hostname(config-if)# no allow-ssc-mgmt hostname(config-if)# hostname(config-if)# hostname(config-if)# hostname(config-if)# hostname(config-if)# hostname(config-if)# hostname(config-if)# interface vlan 20 nameif inside ip address 10.1.1.1 255.255.255.0 security-level 100 allow-ssc-mgmt no shutdown management-only hostname(config-if)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1 hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255 hostname(config)# interface ethernet 0/0 hostname(config-if)# switchport access vlan 20 hostname(config-if)# no shutdown SSM または SSC へのセッション接続 SSM または SSC の設定を開始するには、適応型セキュリティ アプライアンスからモジュールにセッ ション接続します。適応型セキュリティ アプライアンスからモジュールにセッション接続するには、 次のコマンドを入力します。 コマンド 目的 session 1 バックプレーン経由で SSM または SSC にアクセスします。ユー ザ名とパスワードの入力を求められます。デフォルトのユーザ名 は「cisco」、デフォルトのパスワードは「cisco」です。 例: hostname# session 1 (注) Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. 初めてモジュールにログインしたときに、デフォルトの パスワードの変更を要求するプロンプトが表示されます。 パスワードは 8 文字以上で、辞書に載っていない単語に する必要があります。 SSM または SSC のトラブルシューティング この項では、モジュールの回復またはトラブルシューティングに役立つ手順について説明します。次の 項目を取り上げます。 • 「モジュールへのイメージのインストール」(P.58-7) • 「パスワードのリセット」(P.58-8) • 「モジュールのリロードまたはリセット」(P.58-8) • 「モジュールのシャットダウン」(P.58-8) Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-6 OL-18970-01-J 第 58 章 SSM と SSC の管理 SSM または SSC のトラブルシューティング モジュールへのイメージのインストール SSM または SSC に障害が発生し、モジュール アプリケーション イメージを実行できない場合は、適 応型セキュリティ アプライアンス CLI を使用して、アプリケーション イメージを TFTP サーバからモ ジュールに転送できます。適応型セキュリティ アプライアンスはモジュール ROMMON アプリケー ションと通信し、イメージを転送できます。 (注) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがありま す。 SSM または SSC ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使 用しないでください。 前提条件 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。 詳細な手順 コマンド ステップ 1 hw-module module 1 recover configure 目的 TFTP サーバの URL、管理インターフェイス IP アドレスおよび ネットマスク、ゲートウェイ アドレス、VLAN ID(SSM 限定。 SSC では、「SSC 管理インタフェースの設定」(P.58-4)での管 理用に設定した VLAN)の入力を求められます。これらのネッ トワーク パラメータは ROMMON モジュールで設定されます。 例: hostname# hw-module module 1 recover configure モジュール アプリケーション コンフィギュレーションで設定し Image URL [tftp://127.0.0.1/myimage]: たネットワーク パラメータ(「SSC 管理インタフェースの設定」 tftp://10.1.1.1/ids-newimg (P.58-4)など)は ROMMON では使用できないため、ここで個 Port IP Address [127.0.0.2]: 10.1.2.10 Port Mask [255.255.255.254]: 255.255.255.0 別に設定する必要があります。 Gateway IP Address [1.1.2.10]: 10.1.2.254 コンフィギュレーションを修正する場合は、入力を求められた VLAN ID [0]: 100 ときに Enter キーを押すことにより、以前の設定値を保持する ことができます。 show module 1 recover コマンドを使用してリカバリ コンフィ ギュレーションを表示できます。 マルチコンテキスト モードでは、システム実行スペースでこの コマンドを入力します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-7 第 58 章 SSM と SSC の管理 SSM または SSC のトラブルシューティング コマンド 目的 ステップ 2 hw-module module 1 recover boot TFTP サーバから SSM にイメージを転送し、SSM を再起動しま す。 例: hostname# hw-module module 1 recover boot ステップ 3 show module 1 details イメージ転送の進捗と SSM の再起動プロセスを確認します。 出力の [Status] フィールドは SSM の動作ステータスを示します。 SSM の動作ステータスは、通常は「Up」と表示されます。適応 例: hostname# show module 1 details 型セキュリティ アプライアンスはアプリケーション イメージを SSM に転送しますが、出力の [Status] フィールドには [Recover] と表示されます。適応型セキュリティ アプライアンスがイメー ジの転送を完了し、SSM を再起動すると、新たに転送されたイ メージが実行されます。 パスワードのリセット モジュールのパスワードをデフォルトの「cisco」に戻すには、次のコマンドを入力します。 コマンド 目的 hw-module module 1 password-reset モジュールのパスワードを「cisco」にリセットします。 例: hostname# hw-module module 1 password-reset モジュールのリロードまたはリセット モジュールをリロードまたはリセットするには、次のいずれかのコマンドを入力します。 コマンド 目的 hw-module module 1 reload モジュール ソフトウェアをリロードします。 例: hostname# hw-module module 1 reload hw-module module 1 reset ハードウェアをリセットし、モジュールをリロードします。 例: hostname# hw-module module 1 reset モジュールのシャットダウン モジュールをシャットダウンするには、次のコマンドを入力します。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-8 OL-18970-01-J 第 58 章 SSM と SSC の管理 SSM と SSC の監視 コマンド 目的 hw-module module 1 shutdown モジュールをシャットダウンします。 例: hostname# hw-module module 1 shutdown SSM と SSC の監視 SSM または SSC のステータスをチェックするには、次のいずれかのコマンドを入力します。 コマンド 目的 show module ステータスを表示します。 show module 1 details ステータスの追加情報を表示します。 show module 1 recover イメージをモジュールに転送するためのネットワーク パラメータを表示 します。 例 次に、CSC SSM がインストールされている適応型セキュリティ アプライアンスでの show module コ マンドの出力例を示します。 hostname# show module Mod Card Type --- -------------------------------------------0 ASA 5520 Adaptive Security Appliance 1 ASA 5500 Series Content Security Services Mo Model -----------------ASA5520 ASA-SSM-CSC-10 Serial No. ----------JMX1241L05S AF1234BQQL Mod SSM Application Name Status SSM Application Version --- ------------------------------ ---------------- -------------------------1 CSC SSM Down 6.2.1599.0 次に、show module details コマンドの出力例を示します。この出力は、CSC SSM がインストールさ れている適応型セキュリティ アプライアンスに関する追加情報を提供します。 hostname# show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Module-20 Model: ASA-SSM-20 Hardware version: 1.0 Serial Number: JAF10333331 Firmware version: 1.0(10)0 Software version: Trend Micro InterScan Security Module Version 6.2 App. name: Trend Micro InterScan Security Module App. version: Version 6.2 Data plane Status: Up Status: Up HTTP Service: Up Mail Service: Up FTP Service: Up Activated: Yes Mgmt IP addr: 209.165.200.225 Mgmt web port: 8443 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-9 第 58 章 SSM と SSC の管理 関連情報 次に、show module recover コマンドの出力例を示します。この出力には、CSC SSM がインストール されている適応型セキュリティ アプライアンスの回復の詳細が含まれます。 hostname# show module 1 recover Module 1 recover parameters. . . Boot Recovery Image: Yes Image URL: tftp://10.21.18.1/ids-oldimg Port IP Address: 209.165.200.230 Port Mask: 255.255.224.0 Gateway IP Address: 209.165.200.254 次に、show module details コマンドの出力例を示します。この出力は、SSC がインストールされてい る適応型セキュリティ アプライアンスに関する追加情報を提供します。 hostname# show module 1 details Getting details from the Service Module, please wait... ASA 5500 Series Security Services Card-5 Hardware version: 0.1 Serial Number: JAB11370240 Firmware version: 1.0(14)3 Software version: 6.2(1)E2 MAC Address Range: 001d.45c2.e832 to 001d.45c2.e832 App. Name: IPS App. Status: Up App. Status Desc: Not Applicable App. Version: 6.2(1)E2 Data plane Status: Up Status: Up Mgmt IP Addr: 209.165.201.29 Mgmt Network Mask: 255.255.224.0 Mgmt Gateway: 209.165.201.30 Mgmt Access List: 209.165.201.31/32 209.165.202.158/32 209.165.200.254/24 Mgmt Vlan: 20 関連情報 AIP SSM または SSC を設定するには、第 59 章「AIP SSM と SSC での IPS アプリケーションの設定」 を参照してください。 CSC SSM を設定するには、第 60 章「CSC SSM での Content Security and Control アプリケーション の設定」を参照してください。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-10 OL-18970-01-J 第 58 章 SSM と SSC の管理 SSM および SSC の機能履歴 SSM および SSC の機能履歴 表 58-2 に、この機能のリリース履歴の一覧を示します。 表 58-2 SSM および SSC の機能履歴 機能名 リリース 機能情報 SSM ASA 7.0(1)、 複数のアプリケーションをサポートするために SSM が導入されました。SSM を ASDM 5.0(1) 管理するために hw-module module {recover | reload | reset | shutdown}、show module、および session コマンドが導入されました。 パスワードのリセット ASA 7.2(2)、 hw-module module password-reset コマンドが導入されました。 ASDM 5.2(2) SSC ASA 8.2(1)、 SSC が導入されました。allow-ssc-mgmt、hw-module module ip、および ASDM 6.2(1) hw-module module allow-ip コマンドが導入されました。 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) OL-18970-01-J 58-11 第 58 章 SSM と SSC の管理 SSM および SSC の機能履歴 Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用) 58-12 OL-18970-01-J
© Copyright 2024 Paperzz