このガイドでは、In-Line モードで McAfee® Network Security Platform NS シリーズ Sensor をセットアップして実行する方法について説明します。
このガイドに記載されているすべてのマニュアルは、McAfee Service Portal から入手できます。
NS9100/NS9200 Sensor モデル
図 1 Sensor のフロント パネル
1 コンソール ポート(1)
2 QSFP+ 40 Gigabit Ethernet ポート(2)
3 I/O モジュール用のスロット 2 個 (次のインターフェース モジュールのどの組み合わせでも使用可能)
• QSFP+ 40 Gigabit Ethernet ポート (4)
• QSFP+ 40 Gigabit Ethernet ポート(2)
• SFP/SFP+ 1/10 Gigabit Ethernet モニタリング ポート(8)
• RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート (6)
4 RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート(8)
NS9x00 クイック スタート ガイド改訂 C
McAfee® Network Security Platform
1
サポートされているトランシーバー モジュールは、QSFP+、SFP+ (M2M と SM)、SFP ファイバー (MM と SM)、銅線 SFPです。
図 2 Sensor のリア パネル
1 USB ポート(2) 4 RJ-45 100/1000/10000 管理ポート(Mgmt)(1)
2 電源装置 A (Pwr A) 5 RJ-45 100/1000/10000 レスポンス ポート(R1)(1)
3 電源装置 B (Pwr B) (オプションで NS9100) 6 RJ-45 補助ポート(Aux)(1)
NS9300 Sensor モデル
図 3 Sensor のフロント パネル
NS9300 Sensor は NS9300P のプライマリ センサーと NS9300S のセカンダリ センサーで構成されています。
2
1 NS9300P Sensor と NS9300S Sensor のコンソール ポート (2)
2 QSFP+ 40 Gigabit Ethernet 相互接続ポート (4)。NS9300P Sensor では G0/1 および G0/2、NS9300S Sensor ではG4/1 および G4/2。
3 I/O モジュール用のスロット 4 個 (次のインターフェース モジュールのどの組み合わせでも使用可能)
• QSFP+ 40 Gigabit Ethernet ポート (4)
• QSFP+ 40 Gigabit Ethernet ポート(2)
• SFP/SFP+ 1/10 Gigabit Ethernet モニタリング ポート(8)
• RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート (6)
4 RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート (16)
サポートされているトランシーバー モジュールは、QSFP+、SFP+ (MM と SM)、SFP ファイバー (MM と SM)、銅線 SFPです。
図 4 Sensor のリア パネル
1 USB ポート(4)
2 電源装置 A (Pwr A)
3 電源装置 B (Pwr B)
4 RJ45,100/1000/10000 管理ポート(Mgmt)(2)。NS9300S Sensor の Mgmt は相互接続ポートとして使用されます。
5 RJ45,100/1000/10000 レスポンス ポート(R1)(2)。NS9300P Sensor の R1 は相互接続ポートとして使用されます。
6 RJ-45 補助ポート(Aux)(2)
3
1 梱包箱の内容の確認
NS シリーズ Sensor の梱包箱には以下が同梱されています。
• Sensor • ラック マウント レール セット
• 電源装置 • クイック スタート ガイド(冊子)
• 電源コード。国際規格に準拠している標準的な電源ケーブルです。
2 ハードウェア要件とソフトウェア要件の確認
以下のハードウェア要件を満たす必要があります。詳細については、『Installation Guide』(インストール ガイド)を参照してください。
マネージャー サーバーのシステム要件は、以下のとおりです。
必要最小限 推奨
OS 以下のいずれか:
• Windows Server 2008 R2 Standard または Enterprise Edition(英語版)、SP1(64 ビット)(完全インストール)
• Windows Server 2008 R2 Standard または Enterprise Edition(日本語版)、SP1(64 ビット)(完全インストール)
X64 アーキテクチャのみサポートされています。
必要最小限と同じ
メモリ 4GB 8GB
CPU サーバー モデル プロセッサ(Intel Xeon など) 同じ
ディスク容量 100GB 300GB 以上
ネットワーク 100Mbps カード 100/1000/10000 Mbps カード
モニター 32 ビット カラー、1024 x 768 の解像度 1280 x 1024
Manager アプリケーションに接続するクライアント システムの要件は、以下のとおりです。
最小 推奨
OS Windows 7
RAM 2GB 4GB
CPU 1.5GHz プロセッサ 1.5GHz 以上
ブラウザー • Internet Explorer 8.0 または 9.0
• Mozilla Firefox 4.0 以降
Internet Explorer 9.0
4
最小 推奨
OS Windows XP SP3
RAM 1GB 2GB
ブラウザー • Internet Explorer 7.0 または 8.0
• Mozilla Firefox 4.0 以降
Internet Explorer 8.0
以下のソフトウェアをインストールする必要があります。
• Sensor イメージ
• Manager イメージ
• シグネチャ セット
3 スライド レールの取り付けスライド レールを組み立てて Sensor を設置するには、以下の手順に従います。a ラックの取り付け - スライド内側部材を取り外す
a フロント ブラケット d 内側部材
b 外側部材 e セーフティ ロック ピン
c リア ブラケット f リリース ボタン
リリース ボタンを引っ張り、スライドの内側部材を取り外します。
5
b ラックの取り付け - スライドをラックに取り付ける
ラックで希望の垂直位置にブラケットを合わせ、留め具を挿入します。 ボール リテーナーをスライドの前部に移動させます。
固定用ブラケットは NS シリーズ アプライアンスに使用しないでください
c シャーシの取り付け - 内側部材をシャーシに取り付ける
6
内側部材の鍵穴をシャーシのスタンドオフに合わせ、内側部材を移動させます(図の方向を参照)。
d シャーシの取り付け - シャーシを固定スライドに取り付ける
内側部材のリリース ボタンを引っ張り、ロックを解除してシャーシが閉じるようにします。
e シャーシの取り外し - スライドを伸ばす
ロックされた位置までスライドを完全に伸ばし、リリース ボタンを引っ張り、ロックを解除して内側部材がスライドから外れるようにします。
7
f シャーシの取り外し - シャーシから内側部材を取り外す
セーフティ ロック ピンを押し、内側部材をシャーシから取り外します。
NS9300 の設置中、プライマリとセカンダリの両 Sensor でこの手順を実行します。
4 インターフェース モジュールの取り付け
次のインターフェース モジュールを購入して、NS シリーズ Sensor の適切なスロットに挿入することができます。• 2 ポート QSFP+ 40 Gigabit インターフェース モジュール
• 4 ポート QSFP+ 40 Gigabit インターフェース モジュール
• 4 ポート SFP/SFP+ 10/1 ギガビット 8.5 µm (SM) インターフェース モジュール (内部フェールオープン付き)
• 4 ポート SFP/SFP+ 10/1 ギガビット 50/62.5 µm (MM) インターフェース モジュール (内部フェールオープン付き)
• 8 ポート SFP/SFP+ 1/10 Gigabit インターフェース モジュール
• 6 ポート RJ-45 10/100/1000 Mbps Ethernet インターフェイス モジュール
a モジュールを保護パッケージから取り出します。
b 親指と人差し指でモジュールの両側を持ち、スロットに挿入します。
c モジュールの両側に固定されているネジを入れ込み、Sensor に取り付けます。
8
5 管理ポートとコンソール ポートの配線
a Category 5e Ethernet ケーブルを管理ポート(Mgmt) に差し込みます。a これは、NS9100 Sensor と NS9200
Sensor のリア パネルにあります。
b これは、NS9300P Sensor のリア パネルにあります。
b マネージャー サーバーに接続されているネットワーク デバイスにケーブルのもう一方の端を差し込みます。
c DB9 コンソール ケーブルをコンソール ポート (Console) に差し込みます。a これは、NS9100 Sensor と NS9200
Sensor のフロント パネルにあります。
b これは、NS9300P Sensor と NS9300SSensor のフロント パネルにあります。
d Sensor の設定に使用する PC またはターミナル サーバー (正しく設定された Windows ハイパーターミナルを実行する PC など) の COM ポートに、コンソール ポート ケーブルのもう一方の端を直接接続します。Sensorを初めて設定する場合には、コンソールに直接接続してください。リモートから Sensor を設定することはできません。コンソール アクセス用にターミナル サーバーが提供されています。ハイパーターミナルを使用する場合は、以下のように設定します。• ボー レート: 115200 • ストップ ビット: 1
• データ ビット: 8 • フロー制御:なし
• パリティ:なし
e 電源ケーブルの一方を電源装置に差し込み、もう一方をコンセントに差し込みます。Sensor に同梱の電源ケーブルは米国および世界標準の仕様です。
NS シリーズ Sensor には電源スイッチがありません。コンセントに電源ケーブルを差し込むだけで電源が投入されます。
9
6 モニタリング ポートの配線
以下では、In-Line モードで Sensor を使用する場合の配線方法について説明します。
a x (1 など) のラベルの付いたモニタリング ポートにトランシーバー モジュール用の適切なケーブルを差し込みます。
b y (2 など) のラベルの付いたモニタリング ポートにトランシーバー モジュール用の適切なケーブルを差し込みます。
c 監視するネットワーク デバイスに各ケーブルのもう一方の端を接続します。たとえば、スイッチとルーター間のトラフィックを監視するには、1 に差し込んだケーブルをルーターに接続し、2 に差し込んだケーブルをスイッチに接続します。
NS9300P Sensor では G0/1 および G0/2 のポートを使用しないでください。NS9300S Sensor ではG4/1 および G4/2 のポートを使用しないでください。これらのポートは NS9300P Sensor とNS9300S Sensor 間の相互接続用に予約されています。
10
7 ポートを相互接続する
この手順では、NS9300P Sensor を NS9300S Sensor に接続する方法を説明します。
a 付属の 40G 直接接続ケーブルを NS9300P Sensor のポート G0/1 に差し込み、ケーブルのもう一端をNS9300S Sensor のポート G4/1 に接続します。
b 付属の 40G 直接接続ケーブルを NS9300P Sensor のポート G0/2 に差し込み、ケーブルのもう一端をNS9300S Sensor のポート G4/2 に接続します。
c
付属のケーブルを NS9300P Sensor のレスポンス ポート (R1) に差し込み、ケーブルのもう一端を NS9300SSensor の管理ポート (Mgmt) に接続します。
11
8 Manager ソフトウェアのインストール
詳細については、『McAfee Network Security Platform Installation Guide』(インストール ガイド)を参照してください。
Manager ソフトウェアをインストールするには、インストール先の Windows サーバーの管理者権限が必要です。
Manager には MySQL データベースが収録されています。このプロセスを実行すると、インストール先のWindows サーバーに MySQL データベースが自動的にインストールされます。
以下では、Manager のインストール手順について説明します。
a 『McAfee Network Security Platform Installation Guide』(インストール ガイド)および『McAfee NetworkSecurity Platform リリース ノート』に記載されている要件に従って、システムを準備します。
b 開いているアプリケーションをすべて閉じます。
c 承認番号とパスワードを使用して、McAfee 更新サーバー(https://menshen.intruvert.com/)にログオンします。
d [Manager Software Updates] フォルダに移動して、Manager ソフトウェアの最新バージョンを選択します。
e zip ファイルを Windows サーバーにダウンロードし、セットアップ ファイルを抽出します。
f Manager_<バージョン番号>_setup.exe をダブルクリックします。以降は、画面の指示に従って操作してください。
9 Manager の開始
[スタート] 、 [プログラム] 、 [McAfee] 、 [Network Security Manager] 、 [Network Security Manager] の順にクリックします。
10 Manager への Sensor の追加
Manager が起動すると、[Logon](ログオン)ページが表示されます。
a デフォルトのユーザー名(admin)とパスワード(admin123)を使用して、Manager にログオンします。
b [Configure](構成)をクリックします。
c Manager に Sensor を追加するには、[Device List](デバイス リスト)、[Devices](デバイス)の順にクリックし、[New](新規)をクリックします。
NS シリーズ Sensor で IPS を有効にする場合、ライセンス ファイルは不要です。
12
[Add New Device](新しいデバイスの追加)ページが表示されます。
d 該当するフィールドに以下の必須情報を入力します。1) Device Name(デバイス名)
Sensor の名前は文字で開始してください。名前の長さは、最大で 25 文字です。
2) Device Type(デバイス タイプ)追加するデバイスのタイプを指定します。[IPS or NAC Sensor](IPS または NAC Sensor)を選択してください。
3) Shared Secret(共有秘密鍵)共有秘密鍵は 8 文字以上 25 文字以内にしてください。秘密鍵を感嘆符で開始したり、鍵の途中にスペースを入れることはできません。秘密鍵に使用できる文字は以下のとおりです。• アルファベット:大文字 A ~ Z および小文字 a ~ z
• 数字: 0 1 2 3 4 5 6 7 8 9
• 32 種類の記号: ~ ` ! @ # $ % ^ & * ( ) _ + ‑ = [ ] { } \ | ; : " ' , . <? /
Manager に入力する Sensor 名と共有秘密鍵は、後(「『手順 10 - Sensor 情報の設定』」)でSensor を設置して初期化 (CLI を使用) するときに入力する共有秘密鍵と同一である必要があります。入力が異なると、Manager に Sensor を登録できません。
4) Updating Mode(更新モード)[Online](オンライン)または[Offline](オフライン)を選択してください。
[Offline](オフライン)を選択すると、オフライン Sensor の更新が有効になります。デフォルトのモードは[Online](オンライン)です。
e [Save](保存)をクリックします。
13
11 Sensor 情報の設定
Manager とのセキュア通信を確立するためのネットワーク情報、名前、および共有秘密鍵を Sensor に設定します。「『手順 9 - Manager への Sensor の追加』」で設定した名前と鍵を使用します。
Sensor を初めて設定する場合には、Sensor に物理的にアクセスする必要があります。
設定中に ? と入力すると、Sensor の CLI コマンドのヘルプが表示されます。コマンドの一覧を表示するには、commands と入力します。
a コンソール ポートに接続されているターミナルを使用して Sensor にログオンします。
b プロンプトで、Sensor のデフォルトのユーザー名(admin)とパスワード(admin123)を使用してログオンします。
c (この操作は必須ではありませんが、推奨事項です。)Sensor のパスワードを変更します。プロンプトでpasswd と入力します。新しいパスワードと古いパスワードの入力が要求されます。
パスワードは 8 ~ 25 文字にし、英数字と記号を組み合わせてください。パスワードでは、大文字と小文字が区別されます。
d Sensor の名前を設定します。
プロンプトで setup コマンドを入力すると、アイテム 『d』 ~ 『g』 とアイテム 『j』 で示されている情報を入力するように指示されます。または、set コマンドを使用することもできます。setコマンドを使用する場合、アイテム 『d』 ~ 『g』 およびアイテム 『j』 で示されている完全なコマンド構文を手動で入力してください。
プロンプトで set sensor name <語> と入力します。例:set sensor name HR_sensor1
Sensor 名は、25 文字以内の英数字の文字列で設定します。この名前では、大文字と小文字が区別されます。文字列にはハイフン、アンダースコア、およびピリオドを使用できますが、先頭は文字にしてください。
14
e Sensor が Manager とは異なるネットワーク上にある場合には、デフォルト ゲートウェイのアドレスを設定します。プロンプトで set sensor gateway <A.B.C.D> と入力します。例:set sensor gateway 192.168.3.68
f マネージャー サーバーの IP アドレスを設定します。プロンプトで set manager ip <A.B.C.D> と入力します。例:set manager ip 192.168.2.8
g Sensor の IP アドレスとサブネット マスクを設定します。プロンプトで set sensor ip <A.B.C.D><E.F.G.H> と入力します。例:set sensor ip 192.168.2.12 255.255.255.0
IP アドレスは、X.X.X.X のように 4 つのオクテットをピリオドで区切って指定します。X は 0 ~ 255の数字です。IP アドレスの後にサブネット マスクを同じ形式で指定します。
h プロンプトが表示されたら、Sensor を再起動します。reboot と入力します。
Sensor の再起動には 5 分ほどかかる場合があります。
i Sensor から Manager に ping を実行し、ここまでの設定でネットワーク上に Sensor が正しく設置されているかを確認します。プロンプトで
ping <Manager の IP アドレス> と入力します。ping が成功したら、以降の手順を続行します。失敗した場合には show と入力して、すべての設定情報が正しいかどうかを確認します。
j Sensor の共有秘密鍵の値を設定します。プロンプトでset sensor sharedsecretkey と入力します。プロンプトで共有秘密鍵の値を入力します。確認用のプロンプトが表示されたら、値を再入力します。
この値は Manager との通信を確立する際に使用されます。秘密鍵の値は 8 ~ 25 文字の ASCII テキストで設定します。共有秘密鍵の値では、大文字と小文字が区別されます。「『手順 9 - Manager への Sensor の追加』」にて Manager インターフェースで指定した共有秘密鍵と同じ値を使用してください。
k show と入力して、設定情報を確認します。すべての情報が正しいことを確認してください。
l セッションを終了するには、exit と入力します。
12 インストールの確認
a Sensor の CLI で、status と入力します。
15
ステータス レポートが表示されます。
Sensor パラメーターの System Initialized は yes になっている必要があります。また、Manager との通信の Trust Established も yes になっている必要があります。
b Manager に戻ります。Manager の[Home](ホーム)ページを開き、[System Health](システムの状態)セクションで Manager の状態を確認します。Manager の状態は[Up](アップ)、Sensor の状態は[Active](アクティブ)になっている必要があります。
c Manager の[Home](ホーム)ページで[Configure](構成)をクリックし、[Configuration](構成)ページを開きます。
16
d [Device List](デバイス リスト)、[<デバイス名>]の順に選択し、追加した Sensor を選択します。この Sensorのポートが[<デバイス名>]ノードの下に表示されます。
<デバイス名> は、追加した Sensor の名前です。
e Sensor の追加時には、Default Inline IPS というポリシーが有効になっています。このポリシーを表示するには、[IPS Settings](IPS 設定)、[Policies](ポリシー)、[IPS Policy Editor](IPS ポリシー エディター)の順に選択します。リストから[Default Inline IPS](デフォルト インライン IPS)を選択し、[View / Edit](表示/編集)をクリックします。
Default Inline IPS ポリシーには、Sensor の「ブロック」レスポンス アクションが設定された攻撃が定義されています。ポリシーに定義された攻撃を検出すると、Sensor はその攻撃を自動的にブロックします。このポリシーや McAfee 提供の別のポリシーを調整するには、ポリシーを複製してカスタマイズします。詳細については、『McAfee Network Security Platform IPS AdministrationGuide』(IPS 管理ガイド)を参照してください。
f [Device List](デバイス リスト)、[<デバイス名>]、[Port Settings](ポートの設定)の順にクリックします。
g ポートの設定を表示するには、配線した Sensor のポートを選択します。ポートの設定が配線に一致していることを確認してください。たとえば、In-Line モードに対してポート 1 が配線されている場合、ポートの設定の[Operating Mode](動作モード)は In-Line モードになっている必要があります。
ポートの設定の詳細については、『McAfee Network Security Platform Device AdministrationGuide』(デバイス管理ガイド)の「Configuration Sensor monitoring and response ports(Sensorのモニタリング ポートとレスポンス ポートの設定)」を参照してください。
17
13 セットアップの完了
セットアップが完了した Sensor は、接続されているセグメントを監視し、管理や操作のために Manager と通信を行います。
a 使用方法については、『McAfee Network Security Platform Device Administration Guide』(デバイス管理ガイド)を参照してください。または、Manager の各ウィンドウの右上隅にある[Detailed Help](詳細ヘルプ)ボタンをクリックしてください。
b 攻撃が検知されたら、[Home](ホーム)ページから Threat Analyzer を起動し、アラート統計を表示します。アラートのサマリーは、Manager の[Home](ホーム)ページの[Unacknowledged Alert Summary](未確認のアラートのサマリー)領域に表示されます。
c 問題が発生している場合は、トラブルシューティング情報について『McAfee Network Security PlatformTroubleshooting Guide』(トラブルシューティング ガイド)を参照してください。
d 配備上の問題の大部分は、Sensor と接続されているネットワーク デバイスの構成の不一致が原因で発生します。両方のデバイスで二重モードとオートネゴシエーションの設定が一致していることを確認してください。テクニカル サポートに連絡する場合は、https://mysupport.mcafee.com にアクセスしてください。
18