このガイドでは、インライン モードで McAfee® Network Security Platform NS7100/NS7200/NS7300 Sensor をすばやく
セットアップして有効にする方法について説明します。 これらのモデルのスループットはそれぞれ 1.5 Gbps、3 Gpbs、 5 Gbps です。
このガイドに記載されているすべての製品マニュアルは、McAfee Service Portal から入手できます。 NS7100/NS7200/NS7300 Sensor モデル 図 1 Sensor のフロント パネル 1 コンソール ポート (1) 2 スロット G0 内にある 2 個の内蔵 SFP+ ポートのフェールオープン コントロール用 RJ-11 ポート (1)。 RJ-11 ポート は、1 Gbps (SFP) 銅線または光ファイバー、および 10 Gbps (SFP+) (SR と LR) をサポートします。 3 SFP+ 1/10 Gigabit Ethernet ポート (2) RJ-11 ポートはパッシブ フェールオープン モードの SFP+ 1/10 ポート ペアのみを制御します。 4 I/O モジュール用のスロット 2 個 (任意のインターフェース モジュールの組み合わせを使用することができます) • SFP/SFP+ 1/10 GigE モニタリング ポート (8) • 内部フェールオープン機能搭載 RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート (6) • 内部フェールオープン機能搭載 10/1 GigE SM 8.5 ミクロン モニタリング ポート (4) • 内部フェールオープン機能搭載 10/1 GigE MM 50 ミクロン モニタリング ポート (4) • 内部フェールオープン機能搭載 10/1 GigE MM 62.5 ミクロン モニタリング ポート (4) 5 RJ-45 10/100/1000 Mbps Ethernet モニタリング ポート (8)
NS7x00 クイック スタート ガイド
改訂 Bサポートされているトランシーバー モジュールは、SFP+ (M2M と SM)、SFP ファイバー (MM と SM)、SFP 銅線です。 図 2 Sensor のリア パネル 1 補助ポート (1) 2 USB ポート (2) 3 電源装置 (2) NS7x00 Sensor には、1 台の電源装置が同梱されています。 冗長性を確保するため、もう 1 台の電源装置 もオプションでサポートされています。 4 RJ-45 10/100/1000 レスポンス ポート (R1) (1) 5 RJ-45 10/100/1000 管理ポート (Mgmt) (1)
1
梱包箱の内容の確認
NS7x00 Sensor の梱包箱には以下が同梱されています。 • Sensor • 電源コード (McAfee は国際規格に準拠している標準的な電源ケーブルを提供しています) • ラック マウント レール セット • クイック スタート ガイド (冊子)2
ハードウェア要件とソフトウェア要件の確認
以下のハードウェア要件を満たしていることを確認します。 詳細については、『McAfee Network Security Platform Installation Guide』 (『McAfee Network Security Platform インストール ガイド』) を参照してください。
最小要件 推奨 オペレーティン
グ システム 以下のいずれかの Microsoft オペレーティング システム。• Windows Server 2008 R2 Standard または Enterprise Edition SP1 (完全インストール) 英語版オペレーティング システム
• Windows Server 2008 R2 Standard または Enterprise Edition SP1 (完全インストール) 日本語版オペレーティング システム
• Windows Server 2012 Standard Edition (GUI 使用サーバー) 英語版 オペレーティング システム
• Wndows Server 2012 Standard Edition (GUI 使用サーバー) 日本語版 オペレーティング システム
• Wndows Server 2012 R2 Standard Edition (GUI 使用サーバー) 英語 版オペレーティング システム
• Wndows Server 2012 R2 Standard Edition (GUI 使用サーバー) 日本 語版オペレーティング システム
• Wndows Server 2012 R2 Datacenter Edition (GUI 使用サーバー) 英 語版オペレーティング システム
• Wndows Server 2012 R2 Datacenter Edition (GUI 使用サーバー) 日 本語版オペレーティング システム
X64 アーキテクチャのみサポートされています。
最小要件と同じで す。
メモリ 8 GB 8 GB 以上
CPU サーバー モデル プロセッサ (Intel Xeon など) 同じ
ディスク容量 100 GB 300 GB 以上 ネットワーク 100 Mbps カード 1000 Mbps カー ド モニター 32 ビット カラー、1440 x 900 の解像度 1440 x 900 (以上) Manager アプリケーションに接続するクライアント システムの要件は、以下のとおりです。 最小 推奨 オペレーティ ング システム •• Windows 7 英語版または日本語版Windows 8 英語版または日本語版 • Windows 8.1 英語版または日本語版 Manager クライアンの表示言語は Manager サーバー オペ レーティング システムの表示言語と同じである必要があり ます。 RAM 2 GB 4 GB
最小 推奨
CPU 1.5GHz プロセッサ 1.5GHz 以上
ブラウザー • Microsoft Internet Explorer 9、10、11 • Mozilla Firefox
• Google Chrome (Windows 8 は App モードに対応していません) Google Chrome を使用している場合は、信頼できる証明書リ ストに Manager 証明書を追加します。 • Internet Explorer 11 • Mozilla Firefox 20.0 以降 • Google Chrome 24.0 以降 以下のソフトウェアをインストールします。 • Sensor イメージ • Manager イメージ • 署名セット
3
Sensor をスライド レールとラックに取り付ける
McAfee では、Sensor をラックに取り付けることをお勧めします。 メンテナンスしやすいように、Sensor の前面 と背面で作業できる状態にしておく必要があります。 ラックに Sensor を取り付ける前に、電源がオフになっていることを確認してください。 電源ケーブルと すべてのネットワーク インターフェース ケーブルを Sensor から取り外します。 アプライアンスは重いため、McAfee ではシャーシをレール キャビネットに取り付ける場合は 2 人で作業 することを お勧めします。 a 内側のスライド レール部材をキャビネットから取り外します。 a 内側部材をいっぱいまで引き出します。 b QD ラッチを押し込んで、内側部材を完全に外します。
b 内側部材をシャーシに取り付けます。 a 各内側部材をシャーシの両側に配置します。 内側部材の下部の取り付け穴を、シャーシの取り付け穴に合 わせます。 b ネジを使用して、内側部材を所定の位置に固定します。 シャーシの両側で同じ作業を行います。 c スライド キャビネットをラックに取り付けます。 a 工具不要のスライド レール セットを使用して、各スライド キャビネットの前面部をラックに取り付けま す。 ラック レールに対してブラケットを押し込むと、工具不要ラッチが回転します。 b ラック レールの位置に合わせて背面ブラケットを取り付けます。
d 固定されたキャビネットにシャーシを取り付けます。 a 事前に取り付けられているキャビネットにシャーシを入れます。 事前に取り付けられている内側部材を 外側部材に挿入し、所定の位置に固定します。 b 両側の QD ラッチを押し、完全に閉まるまでシャーシを押し込みます。 e ラック レールにシャーシが乗っていることを確認します。 a シャーシが完全に閉じている状態で、2 本のトラス ネジを使用してシャーシを固定します。 b 内側部材のフランジとラック レールにネジを差し込みます。 ネジは、キャビネットのスライド部材の方 向に向かって締まります。 ネジを締めます。
4
インターフェイス モジュールの取り付け
以下のインターフェイス モジュールを購入して、NS7x00 Sensor の関連スロットに差し込むことができます。 • 8 ポート SFP/SFP+ 1/10 Gigabit インターフェース モジュール • 内部フェールオープン機能搭載 6 ポート RJ-45 10/100/1000 Mbps インターフェース モジュール • 内部フェールオープン機能搭載 4 ポート 10/1 GigE SM 8.5 ミクロン インターフェース モジュール• 内部フェールオープン機能搭載 4 ポート 10/1 GigE MM 50 ミクロン インターフェース モジュール • 内部フェールオープン機能搭載 4 ポート 10/1 GigE MM 62.5 ミクロン インターフェース モジュール a モジュールを保護パッケージから取り出します。 b 親指と人差し指でモジュールをつまんでスロットに差し込みます。 c モジュールの両側に固定されているネジを入れ込み、Sensor に取り付けます。
5
管理ポートとコンソール ポートの接続
a NS7x00 Sensor のリヤ パネルで、Category 5e Ethernet ケーブルを管理ポート (Mgmt) に差し込みます。
c NS7x00 Sensor のフロント パネルで、DB9 コンソール ケーブルをケーブル ポート (Console) に差し込みま す。 d Sensor の設定に使用する PC またはターミナル サーバー (正しく設定された Windows ハイパーターミナルを 実行する PC など) の COM ポートに、コンソール ポート ケーブルのもう一方の端を直接接続します。 Sensor を初めて設定する場合は、コンソールに直接接続してください。リモートから Sensor を設定することはでき ません。 コンソール アクセス用にターミナル サーバーが提供されています。 ハイパーターミナルを使用する場合は、以下のように設定します。 • ボー レート: 115200 • ストップ ビット: 1 • データ ビット: 8 • フロー制御: なし • パリティ: なし e 電源ケーブルの一方を電源装置に差し込み、もう一方をコンセントに差し込みます。 Sensor に同梱の電源ケ ーブルは米国および世界標準の仕様です。 NS シリーズ Sensor に電源スイッチはありません。 電源ケーブルはコンセントに直接差し込むこ とができます。
6
モニタリング ポートの接続
以下では、インライン モードで Sensor を実行する場合のケーブルの接続方法について説明します。 a X (1 など) のラベルの付いたモニタリング ポートにトランシーバー モジュール用の適切なケーブルを差し込 みます。 b y (2 など) のラベルの付いたモニタリング ポートにトランシーバー モジュール用の適切なケーブルを差し込み ます。 c 監視するネットワーク デバイスに各ケーブルのもう一方の端を接続します。 たとえば、スイッチとルーター間 のトラフィックを監視するには、1 に差し込んだケーブルをルーターに接続し、2 に差し込んだケーブルをス イッチに接続します。7
Manager ソフトウェアのインストール
詳細については、『McAfee Network Security Platform Installation Guide』 (『McAfee Network Security Platform インストール ガイド』) を参照してください。 Manager ソフトウェアをインストールするには、インストール先の Windows サーバーの管理者権限が必 要です。 Manager には MySQL データベースが収録されています。このプロセスを実行すると、インストール先の Windows サーバーに MySQL データベースが自動的にインストールされます。 以下では、Manager のインストール手順について説明します。
a システムを準備します。要件の詳細については、『McAfee Network Security PlatformInstallation Guide』 (『イ ンストール ガイド』) と『McAfee Network Security Platform リリース ノート』を参照してください。
b 開いているアプリケーションをすべて閉じます。
c McAfee 更新サーバー (https://menshen1.intruvert.com/) に移動し、承認番号とパスワードを使用してログオ ンします。
d [Manager Software Updates] フォルダーに移動して、Manager ソフトウェアの最新バージョンを選択します。 e zip ファイルを Windows サーバーにダウンロードし、セットアップ ファイルを抽出します。
f Manager _<version>_[setup.exe] をダブルクリックし、画面の指示に従います。
8
Manager の開始
[スタート] 、 [プログラム] 、 [McAfee] 、 [Network Security Manager] 、 [Network Security Manager]の順にクリ ックします。
9
Manager への Sensor の追加
Manager が起動すると、[Logon] (ログオン) ページが表示されます。
a デフォルトのユーザー名(admin) とパスワード (admin123) を入力し、Manager にログインします。
b [Devices] (デバイス) をクリックします。
c Manager に Sensor を追加するには、 [Global (グローバル)] 、 [Add and Remove Devices (デバイスの追加と
削除)][New (新規作成)] の順にクリックします。
NS シリーズ Sensor で IPS を有効にする場合、ライセンス ファイルは不要です。
[Add New Device] (新しいデバイスの追加) ページが表示されます。 [Add Device wizard] (デバイス追加ウィ ザード) を使用してデバイスを追加することをお勧めします。
d 該当するフィールドに以下の必須情報を入力します。
1) [Device Name] (デバイス名) - Sensor 名の先頭は英文字にしてください. 名前の長さは最大で 25 文字で す。
3) [Shared Secret] (共有秘密鍵) - Shared Secret (共有秘密鍵) は 8 文字以上、25 文字以下にしてください。 秘密鍵は感嘆符で開始したり、間にスペースを入れたりすることはできません。 秘密鍵に使用できる文字 は以下のとおりです。 • アルファベット: 大文字 A ~ Z および小文 字 a ~ z • 32 種類の記号 (~ ` ! @ # $ % ^ & * ( ) _ + ‑= [ ] { } \ | ; : " ' , . <? /) • 数字 (0 ~ 9)
Manager に入力する Sensor 名と共有秘密鍵は、後 (「 『手順 10 - Sensor 情報の設定』) で Sensor を設置して初期化 (CLI を使用) するときに入力する共有秘密鍵と同じである必要があ ります。 入力が異なると、Manager に Sensor を登録できません。
4) [Updating Mode ](アップデート モード) - [Online] (オンライン) または [Offline] (オフライン) を選択し ます。
[Offline] (オフライン) を選択すると、オフライン Sensor の更新が有効になります。 デフォル トのモードは [Online] (オンライン) です。
e [Save] (保存) をクリックします。 追加された Sensor が [Add and Remove Devices] (デバイスの追加と削除) ページに表示されます。
10 Sensor 情報の設定
Manager とのセキュア通信を確立するためのネットワーク情報、名前、共有秘密鍵を Sensor に設定します。 「『手 順 9 - Manager への Sensor の追加』」で設定した名前と鍵を使用します。
設定中に ? と入力すると、Sensor の CLI コマンドのヘルプが表示されます。 コマンドの一覧を表示するには、 commands と入力します。
a コンソール ポートに接続されているターミナルを使用して Sensor にログオンします。
b プロンプトで、Sensor のデフォルトのユーザー名 (admin) とパスワード (admin123) を入力し、ログオンしま す。 c この操作は必須ではありませんが、実行することをお勧めします。 Sensor のパスワードを変更します。 プロ ンプトで、passwd と入力します。新しいパスワードと古いパスワードの入力が要求されます。 パスワードは 8 ~ 25 文字にし、英数字と記号を組み合わせます。大文字と小文字は区別されます。 d Sensor の名前を設定します。 プロンプトで setup コマンドを入力できます。 これにより、アイテム 『d』 からアイテム 『g』 と、アイテム 『j』 の情報を入力するように要求するプロンプトが自動的に表示されます。 または、 set コマンドを使用できます。 set コマンドを使用する場合は、アイテム 『d』 からアイテム 『g』 と、アイテム『 j』 の情報に、完全なコマンド構文を手動で入力します。
プロンプトで set sensor name <word> と入力します。 例: set sensor name HR_sensor1
Sensor 名は、25 文字以内の英数字の文字列です。大文字と小文字は区別されます。 文字列にはハ イフン、下線、ピリオドを使用できますが、先頭は文字にしてください。
e Sensor が Manager とは異なるネットワーク上にある場合は、デフォルト ゲートウェイのアドレスを設定しま す。 プロンプトで set sensor gateway <A.B.C.D> と入力します。
g Sensor の IP アドレスとサブネット マスクを設定します。 プロンプトで set sensor ip <A.B.C.D> <E.F.G.H> と入力します。 例: set Sensor ip 192.168.2.12 255.255.255.0 IP アドレスは、X.X.X.X のように 4 つのオクテットをピリオドで区切って指定します。X は 0 から 255 までの数字です。IP アドレスの後にサブネット マスクを同じ形式で指定します。 h プロンプトが表示されたら、Sensor を再起動します。 reboot と入力します。 Sensor の再起動には最大 5 分かかります。
i Sensor から Manager に ping を実行し、ここまでの設定でネットワーク上に Sensor が正しく設置されている かを確認します。 プロンプトで
ping <manager IP address> と入力します。
ping が成功した場合は、以下の手順を続行します。 失敗した場合は、show と入力して、すべての設定情報が 正しいか確認します。
j Sensor の共有秘密鍵の値を設定します。 プロンプトで set sensor sharedsecretkey と入力します。
プロンプトで共有秘密鍵の値を入力します。確認を求めるプロンプトが表示されたら、値を再入力します。 この値は Sensor と Manager との間の信頼関係を確立する際に使用されます。 秘密鍵の値は 8 ~ 25 文字の ASCII テキストで設定します。 共有秘密鍵の値では、大文字と小文字が区別されます。 『手順 9 - Manager への Sensor の追加』」で、Manager インターフェースで指定した共有秘密鍵と
同じ値を使用してください。
k 設定情報を確認するには、show と入力します。 すべての情報が正しいことを確認します。
11 インストールの確認
a Sensor の CLI で status と入力します。 ステータス レポートが表示されます。
Sensor パラメーターの System Initialized は yes になっている必要があります。また、Manager との通 信の Trust Established も yes になっている必要があります。
b Manager の[Dashboard] (ダッシュボード) を開き、[System Health] (システム正常性) モニターで Manager の 状態を確認します。
c Manager を開き、 [Devices (デバイス)] 、 [<Device_Name>] 、 [Setup (セットアップ)] 、 [Physical Ports (物 理ポート)] の順にクリックし、[Physical Ports] (物理ポート) ページを開きます。
<Device_Name> は、追加した Sensor の名前です。
d Sensor の追加時には、Default Inline IPS (デフォルトのインライン IPS) というポリシーが有効になっていま す。 このポリシーを表示するには、 [Intrusion Prevention (侵入防止)] 、 [Policy (ポリシー)] 、 [IPS Policies (IPS ポリシー)]の順に選択します。 リストから [Default Inline IPS] (デフォルト インライン IPS) を選択し、 [View / Edit] (表示/編集) をクリックします。
Default Inline IPS (デフォルト インライン IPS) ポリシーには、Sensor の「ブロック」レスポンス
アクションが設定された攻撃が定義されています。 ポリシーに定義された攻撃を検出すると、 Sensor はその攻撃を自動的にブロックします。 このポリシーや McAfee 提供の別のポリシーを調 整するには、ポリシーを複製してカスタマイズします。『McAfee Network Security Platform IPS Administration Guide』 (『McAfee Network Security Platform IPS 管理ガイド』) を参照してくだ さい。
e [Devices (デバイス)] 、 [<Device_Name>] 、 [Setup (セットアップ)] 、 [Physical Ports (物理ポート)]の順にク リックします。
f 配線した Sensor のポートを選択し、ポートの設定を表示します。 ポートの設定が配線と一致していることを 確認してください。たとえば、インライン モードでポート 1 が配線されている場合、ポートの設定で
[Operating Mode] (動作モード) がインライン モードになっている必要があります。
ポートの設定の詳細については、『McAfee Network Security Platform IPS Administration Guide』 (『McAfee Network Security Platform IPS 管理ガイド』) の Configuring the monitoring and response ports of a Sensor (「Sensor のモニタリング ポートとレスポンス ポートの構成」) を参照 してください。
12 セットアップの完了
セットアップが完了した Sensor は接続されているセグメントを積極的に監視し、管理や操作のために Manager と 通信を行います。
a 使用方法の詳細については、『McAfee Network Security Platform IPS Administration Guide』 (『McAfee Network Security Platform IPS 管理ガイド』) を参照してください。または、Manager の各ウィンドウの右上 隅にある [Detailed Help] (詳細ヘルプ) ボタンをクリックしてください。
b 攻撃が検知されたら、 [Analysis (解析)] 、 [Threat Analyzer (脅威アナライザー)] を起動し、アラート統計を表 示します。 アラートのサマリーが、Manager の [Dashboard] (ダッシュボード) ページの [Unacknowledged Alert Summary] (未確認アラートのサマリー) 領域に表示されます。
c 問題が発生している場合は、 『McAfee Network Security PlatformTroubleshooting Guide』 (『トラブルシュ ーティング ガイド』) でトラブルシューティング情報を参照してください。
d 配備上の問題のほとんどは、Sensor の構成と、Sensor に接続されているネットワーク デバイスの構成との不
一致が原因です。 両方のデバイスで二重モードとオートネゴシエーションの設定が一致していることを確認 してください。
