1. No category

この章

CHAPTER
58
SSM と SSC の管理
この章では、適応型セキュリティ アプライアンスにインストールされた Security Services Card(SSC;
セキュリティ サービス カード)または Security Services Module(SSM; セキュリティ サービス モ
ジュール)を管理する方法について説明します。SSM および SSC は、IPS や Content Security and
Control などの高度なセキュリティ アプリケーションを実行します。
(注)
インターフェイス モジュールでありインテリジェントなソフトウェアを実行しない 4GE SSM の詳細
については、第 6 章「インターフェイスの設定」を参照してください。
この章には、次の項があります。
• 「SSM および SSC に関する情報」(P.58-1)
• 「ガイドラインと制限事項」(P.58-3)
• 「デフォルト設定」(P.58-4)
• 「SSC 管理インタフェースの設定」(P.58-4)
• 「SSM または SSC へのセッション接続」(P.58-6)
• 「SSM または SSC のトラブルシューティング」(P.58-6)
• 「SSM と SSC の監視」(P.58-9)
• 「関連情報」(P.58-10)
• 「SSM および SSC の機能履歴」(P.58-11)
SSM および SSC に関する情報
この項では、SSM と SSC について説明します。次の項目を取り上げます。
• 「サポートされているアプリケーション」(P.58-1)
• 「管理アクセスに関する情報」(P.58-2)
サポートされているアプリケーション
SSM では次のアプリケーションがサポートされています。
• IPS ソフトウェア(AIP SSM 上)
• Content Security and Control ソフトウェア(CSC SSM 上)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-1
第 58 章
SSM と SSC の管理
SSM および SSC に関する情報
SSC では次のアプリケーションがサポートされています。
• IPS ソフトウェア(AIP SSC 上)
(注)
SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入し
た場合は、後でその上に CSC ソフトウェアをインストールできません。
管理アクセスに関する情報
ASDM を使用して、またはモジュール アプリケーション CLI を使用してモジュール アプリケーション
を管理できます。この項は、次の内容で構成されています。
• 「モジュールへのセッション接続」(P.58-2)
• 「ASDM の使用」(P.58-2)
• 「SSH または Telnet の使用」(P.58-2)
• 「モジュール管理インターフェイスのその他の用途」(P.58-3)
• 「管理インターフェイスへのアクセスにおけるルーティングの注意事項」(P.58-3)
モジュールへのセッション接続
適応型セキュリティ アプライアンスに CLI アクセスが可能な場合は、バックプレーンを経由してモ
ジュールにセッション接続し、そのモジュール CLI にアクセスできます。「SSM または SSC へのセッ
ション接続」(P.58-6)を参照してください。
ASDM の使用
適応型セキュリティ アプライアンスで ASDM を起動した後、ASDM は SSM または SSC 管理イン
ターフェイスに接続し、モジュール アプリケーションを設定します。
SSM では、ASDM は外部ギガビット イーサネット ポートに接続します。デフォルトのアドレスを使
用できない場合は、モジュールにセッション接続し、モジュール CLI でパラメータを設定することに
より、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。詳細について
は、モジュール アプリケーションのマニュアルを参照してください。
SSC では、管理 VLAN として VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのア
クセスを許可できます。ネットワーク パラメータを変更するには、「SSC 管理インタフェースの設定」
(P.58-4)を参照してください。
「デフォルト設定」
(P.58-4)を参照してく
デフォルトの管理インターフェイス パラメータについては、
ださい。
SSH または Telnet の使用
モジュール管理インターフェイスに SSH または Telnet を使用することで、モジュール CLI に直接アク
セスできます (Telnet アクセスでは、SSM/SSC アプリケーションで追加の設定が必要になります)。
管理インターフェイスの詳細については、「ASDM の使用」(P.58-2)を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-2
OL-18970-01-J
第 58 章
SSM と SSC の管理
ガイドラインと制限事項
モジュール管理インターフェイスのその他の用途
モジュール管理インターフェイスは、syslog メッセージの送信や、AIP SSM または SSC での署名デー
タベースのアップデートなど、モジュール アプリケーションのアップデートの許可に使用できます。
管理インターフェイスへのアクセスにおけるルーティングの注意事項
ASDM が SSC を確実に管理できるように、適応型セキュリティ アプライアンスがモジュール管理イン
ターフェイス アドレスにアクセスできることを確認します。
SSC では、SSC 管理インターフェイスにも使用する適応型セキュリティ アプライアンス VLAN の IP
アドレスを必ず設定し、その VLAN をスイッチ ポートに割り当て、SSC インターフェイスがネット
ワークに物理的に接続されるようにします。その結果、適応型セキュリティ アプライアンスの直接接
続されたネットワーク上に SSC 管理インターフェイスが置かれるため、ルーティング設定を追加する
ことなく、ASDM が管理インタフェースにアクセスできます。
SSM では、外部管理インターフェイスは適応型セキュリティ アプライアンス インターフェイスとは見
なされないため、直接接続されたネットワーク上に自動的には置かれません。ネットワークをケーブル
接続する方法に応じて、SSM 外部インターフェイスを適応型セキュリティ アプライアンス インター
フェイスと同じネットワーク上に置くことも(スイッチを通じて)、別のネットワーク上に置くことも
(ルータを通じて)できます。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキスト モードのガイドライン
コンテキスト モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参照し
てください。
ファイアウォール モードのガイドライン
ファイアウォール モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参
照してください。
フェールオーバーのガイドライン
SSC では、同一のサブネットおよび VLAN 上に置かれる両方の装置で管理 IP アドレスを設定したこと
を確認します。
モデルのガイドライン
「モデルごとの SSM および SSC サポート」
(P.1-1)を参
SSC と SSM のモデルのサポートについては、
照してください。
追加のガイドライン
SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入し
た場合は、後でその上に CSC ソフトウェアをインストールできません。
NAT 経由の IP アドレスを使用している場合は、ASDM で SSC を設定できません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-3
第 58 章
SSM と SSC の管理
デフォルト設定
デフォルト設定
表 58-1 に、SSM と SSC のデフォルトのネットワーク設定を示します。
表 58-1
(注)
デフォルトのネットワーク パラメータ
パラメータ
デフォルト
管理 VLAN(SSC 限定)
VLAN 1
管理 IP アドレス
192.168.1.2/24
管理ホスト(SSC 限定)
192.168.1.0/24
ゲートウェイ
192.168.1.1
適応型セキュリティ アプライアンスのデフォルトの管理 IP アドレスは 192.168.1.1/24 です。
SSC 管理インタフェースの設定
SSC には外部インターフェイスはありません。管理 VLAN として VLAN を設定し、バックプレーン
経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトでは、VLAN 1 は SSC 管理ア
ドレスでイネーブルになります。SSC 管理 VLAN として割り当てることができるのは 1 つの VLAN
だけです。この項では、管理 VLAN を変更する方法について説明します。デフォルトの管理 IP アドレ
ス、許可されたホスト、ゲートウェイを変更する方法についても説明します。デフォルトの詳細につい
ては、「デフォルト設定」(P.58-4)を参照してください。
前提条件
SSC 管理インタフェースを使用する VLAN では、第 6 章「インターフェイス コンフィギュレーション
の開始(ASA 5505)」で説明する手順に従って ASA 5505 でスイッチ ポートと VLAN インターフェイ
スを設定します。この設定は、SSC インターフェイスをネットワークに物理的に接続するために必要
です。
制限事項
ASDM を使用してアクセスする場合は、管理アドレス用に NAT を設定しないでください。ASDM の
初期セットアップでは、実際のアドレスにアクセスする必要があります。初期セットアップ後(SSC
でパスワードを設定した後)は、NAT を設定し、SSC にアクセスするときの変換アドレスを ASDM
に提供できます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-4
OL-18970-01-J
第 58 章
SSM と SSC の管理
SSC 管理インタフェースの設定
詳細な手順
ステップ 1
コマンド
目的
interface vlan number
SSC 管理をディセーブルにする現在の管理 VLAN を指定しま
す。デフォルトでは、これは VLAN 1 です。
例:
hostname(config)# interface vlan 1
ステップ 2 no allow-ssc-mgmt
別の VLAN についてイネーブルにできるように、古い VLAN の
SSC 管理をディセーブルにします。
例:
hostname(config-if)# no allow-ssc-mgmt
ステップ 3 interface vlan number
SSC 管理 VLAN として使用する VLAN を指定します。
例:
hostname(config)# interface vlan 20
ステップ 4 allow-ssc-mgmt
このインターフェイスを SSC 管理インタフェースとして設定し
ます。
例:
hostname(config-if)# allow-ssc-mgmt
ステップ 5 hw-module module 1 ip ip_address netmask
gateway
SSC の管理 IP アドレスを設定します。このアドレスが ASA
5505 VLAN インターフェイスと同じサブネット上にあることを
確認します。
直接接続された適応型セキュリティ アプライアンス ネットワー
ク上に管理ステーションがある場合は、ゲートウェイを ASA
5505 VLAN インターフェイス アドレスに設定します。管理ス
テーションがリモート ネットワーク上にある場合は、ゲート
ウェイを、管理 VLAN のアップストリーム ルータのアドレスに
設定します。
例:
hostname# hw-module module 1 ip
209.165.200.225 255.255.255.224
209.165.200.245
(注)
これらの設定は、ASA 5505 コンフィギュレーションでは
なく SSC アプリケーション コンフィギュレーションに書
き込まれます。これらの設定は、show module details コ
マンドを使用して ASA 5505 から表示できます。
または、SSC アプリケーションの setup コマンドを使用
して、この設定を SSC CLI から設定することもできます。
ステップ 6 hw-module module 1 allow-ip ip_address
netmask
例:
hostname# hw-module module 1 allow-ip
209.165.201.29 255.255.255.224
管理 IP アドレスにアクセスできるホストを設定します。
(注)
これらの設定は、ASA 5505 コンフィギュレーションでは
なく SSC アプリケーション コンフィギュレーションに書
き込まれます。これらの設定は、show module details コ
マンドを使用して ASA 5505 から表示できます。
または、SSC アプリケーションの setup コマンドを使用
して、この設定を SSC CLI から設定することもできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-5
第 58 章
SSM と SSC の管理
SSM または SSC へのセッション接続
例
次の例では、VLAN 20 を SSC 管理 VLAN として設定します。この VLAN は管理トラフィックだけに
制限されています。10.1.1.30 のホストだけが SSC 管理 IP アドレスにアクセスできます。VLAN 20 は
スイッチ ポート Ethernet 0/0 に割り当てられます。ASA インターフェイス 10.1.1.1 上の ASDM に接
続すると、ASDM は 10.1.1.2 上の SSC にアクセスします。
hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
hostname(config-if)#
interface vlan 20
nameif inside
ip address 10.1.1.1 255.255.255.0
security-level 100
allow-ssc-mgmt
no shutdown
management-only
hostname(config-if)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown
SSM または SSC へのセッション接続
SSM または SSC の設定を開始するには、適応型セキュリティ アプライアンスからモジュールにセッ
ション接続します。適応型セキュリティ アプライアンスからモジュールにセッション接続するには、
次のコマンドを入力します。
コマンド
目的
session 1
バックプレーン経由で SSM または SSC にアクセスします。ユー
ザ名とパスワードの入力を求められます。デフォルトのユーザ名
は「cisco」、デフォルトのパスワードは「cisco」です。
例:
hostname# session 1
(注)
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is
'CTRL-^X'.
初めてモジュールにログインしたときに、デフォルトの
パスワードの変更を要求するプロンプトが表示されます。
パスワードは 8 文字以上で、辞書に載っていない単語に
する必要があります。
SSM または SSC のトラブルシューティング
この項では、モジュールの回復またはトラブルシューティングに役立つ手順について説明します。次の
項目を取り上げます。
• 「モジュールへのイメージのインストール」(P.58-7)
• 「パスワードのリセット」(P.58-8)
• 「モジュールのリロードまたはリセット」(P.58-8)
• 「モジュールのシャットダウン」(P.58-8)
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-6
OL-18970-01-J
第 58 章
SSM と SSC の管理
SSM または SSC のトラブルシューティング
モジュールへのイメージのインストール
SSM または SSC に障害が発生し、モジュール アプリケーション イメージを実行できない場合は、適
応型セキュリティ アプライアンス CLI を使用して、アプリケーション イメージを TFTP サーバからモ
ジュールに転送できます。適応型セキュリティ アプライアンスはモジュール ROMMON アプリケー
ションと通信し、イメージを転送できます。
(注)
ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがありま
す。
SSM または SSC ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使
用しないでください。
前提条件
指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。
詳細な手順
コマンド
ステップ 1 hw-module module 1 recover configure
目的
TFTP サーバの URL、管理インターフェイス IP アドレスおよび
ネットマスク、ゲートウェイ アドレス、VLAN ID(SSM 限定。
SSC では、「SSC 管理インタフェースの設定」(P.58-4)での管
理用に設定した VLAN)の入力を求められます。これらのネッ
トワーク パラメータは ROMMON モジュールで設定されます。
例:
hostname# hw-module module 1 recover
configure
モジュール アプリケーション コンフィギュレーションで設定し
Image URL [tftp://127.0.0.1/myimage]:
たネットワーク パラメータ(「SSC 管理インタフェースの設定」
tftp://10.1.1.1/ids-newimg
(P.58-4)など)は ROMMON では使用できないため、ここで個
Port IP Address [127.0.0.2]: 10.1.2.10
Port Mask [255.255.255.254]: 255.255.255.0 別に設定する必要があります。
Gateway IP Address [1.1.2.10]: 10.1.2.254
コンフィギュレーションを修正する場合は、入力を求められた
VLAN ID [0]: 100
ときに Enter キーを押すことにより、以前の設定値を保持する
ことができます。
show module 1 recover コマンドを使用してリカバリ コンフィ
ギュレーションを表示できます。
マルチコンテキスト モードでは、システム実行スペースでこの
コマンドを入力します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-7
第 58 章
SSM と SSC の管理
SSM または SSC のトラブルシューティング
コマンド
目的
ステップ 2 hw-module module 1 recover boot
TFTP サーバから SSM にイメージを転送し、SSM を再起動しま
す。
例:
hostname# hw-module module 1 recover boot
ステップ 3 show module 1 details
イメージ転送の進捗と SSM の再起動プロセスを確認します。
出力の [Status] フィールドは SSM の動作ステータスを示します。
SSM の動作ステータスは、通常は「Up」と表示されます。適応
例:
hostname# show module 1 details
型セキュリティ アプライアンスはアプリケーション イメージを
SSM に転送しますが、出力の [Status] フィールドには [Recover]
と表示されます。適応型セキュリティ アプライアンスがイメー
ジの転送を完了し、SSM を再起動すると、新たに転送されたイ
メージが実行されます。
パスワードのリセット
モジュールのパスワードをデフォルトの「cisco」に戻すには、次のコマンドを入力します。
コマンド
目的
hw-module module 1 password-reset
モジュールのパスワードを「cisco」にリセットします。
例:
hostname# hw-module module 1 password-reset
モジュールのリロードまたはリセット
モジュールをリロードまたはリセットするには、次のいずれかのコマンドを入力します。
コマンド
目的
hw-module module 1 reload
モジュール ソフトウェアをリロードします。
例:
hostname# hw-module module 1 reload
hw-module module 1 reset
ハードウェアをリセットし、モジュールをリロードします。
例:
hostname# hw-module module 1 reset
モジュールのシャットダウン
モジュールをシャットダウンするには、次のコマンドを入力します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-8
OL-18970-01-J
第 58 章
SSM と SSC の管理
SSM と SSC の監視
コマンド
目的
hw-module module 1 shutdown
モジュールをシャットダウンします。
例:
hostname# hw-module module 1 shutdown
SSM と SSC の監視
SSM または SSC のステータスをチェックするには、次のいずれかのコマンドを入力します。
コマンド
目的
show module
ステータスを表示します。
show module 1 details
ステータスの追加情報を表示します。
show module 1 recover
イメージをモジュールに転送するためのネットワーク パラメータを表示
します。
例
次に、CSC SSM がインストールされている適応型セキュリティ アプライアンスでの show module コ
マンドの出力例を示します。
hostname# show module
Mod Card Type
--- -------------------------------------------0 ASA 5520 Adaptive Security Appliance
1 ASA 5500 Series Content Security Services Mo
Model
-----------------ASA5520
ASA-SSM-CSC-10
Serial No.
----------JMX1241L05S
AF1234BQQL
Mod SSM Application Name
Status
SSM Application Version
--- ------------------------------ ---------------- -------------------------1 CSC SSM
Down
6.2.1599.0
次に、show module details コマンドの出力例を示します。この出力は、CSC SSM がインストールさ
れている適応型セキュリティ アプライアンスに関する追加情報を提供します。
hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 1.0
Serial Number: JAF10333331
Firmware version: 1.0(10)0
Software version: Trend Micro InterScan Security Module Version 6.2
App. name: Trend Micro InterScan Security Module
App. version: Version 6.2
Data plane Status: Up
Status: Up
HTTP Service: Up
Mail Service: Up
FTP Service: Up
Activated: Yes
Mgmt IP addr: 209.165.200.225
Mgmt web port: 8443
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-9
第 58 章
SSM と SSC の管理
関連情報
次に、show module recover コマンドの出力例を示します。この出力には、CSC SSM がインストール
されている適応型セキュリティ アプライアンスの回復の詳細が含まれます。
hostname# show module 1 recover
Module 1 recover parameters. . .
Boot Recovery Image: Yes
Image URL: tftp://10.21.18.1/ids-oldimg
Port IP Address: 209.165.200.230
Port Mask: 255.255.224.0
Gateway IP Address: 209.165.200.254
次に、show module details コマンドの出力例を示します。この出力は、SSC がインストールされてい
る適応型セキュリティ アプライアンスに関する追加情報を提供します。
hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Card-5
Hardware version: 0.1
Serial Number: JAB11370240
Firmware version: 1.0(14)3
Software version: 6.2(1)E2
MAC Address Range: 001d.45c2.e832 to 001d.45c2.e832
App. Name: IPS
App. Status: Up
App. Status Desc: Not Applicable
App. Version: 6.2(1)E2
Data plane Status: Up
Status: Up
Mgmt IP Addr: 209.165.201.29
Mgmt Network Mask: 255.255.224.0
Mgmt Gateway: 209.165.201.30
Mgmt Access List: 209.165.201.31/32
209.165.202.158/32
209.165.200.254/24
Mgmt Vlan: 20
関連情報
AIP SSM または SSC を設定するには、第 59 章「AIP SSM と SSC での IPS アプリケーションの設定」
を参照してください。
CSC SSM を設定するには、第 60 章「CSC SSM での Content Security and Control アプリケーション
の設定」を参照してください。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-10
OL-18970-01-J
第 58 章
SSM と SSC の管理
SSM および SSC の機能履歴
SSM および SSC の機能履歴
表 58-2 に、この機能のリリース履歴の一覧を示します。
表 58-2
SSM および SSC の機能履歴
機能名
リリース
機能情報
SSM
ASA 7.0(1)、 複数のアプリケーションをサポートするために SSM が導入されました。SSM を
ASDM 5.0(1) 管理するために hw-module module {recover | reload | reset | shutdown}、show
module、および session コマンドが導入されました。
パスワードのリセット
ASA 7.2(2)、 hw-module module password-reset コマンドが導入されました。
ASDM 5.2(2)
SSC
ASA 8.2(1)、 SSC が導入されました。allow-ssc-mgmt、hw-module module ip、および
ASDM 6.2(1) hw-module module allow-ip コマンドが導入されました。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
58-11
第 58 章
SSM と SSC の管理
SSM および SSC の機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
58-12
OL-18970-01-J

 Download  Report

Paperzz.com

Your Paperzz

© Copyright 2024 Paperzz