I-2700 Sensor Product Guide 改訂 1.0 McAfee® Network Security Platform Network Security Sensor McAfee® Network Protection 業界トップのネットワーク セキュリティ ソリューション 著作権 Copyright © 2001 - 2009 McAfee, Inc. All Rights Reserved. この印刷物のいかなる部分についても、McAfee, Inc.、または供給業者あるいは関連会社の書面による許可なしには、 複製、送信、複写、検索システムへの格納、他言語への翻訳、あるいはいかなる形態による使用も禁止されています。 商標 ActiveSecurity、アクティブセキュリティ、Entercept、Enterprise Secure Cast、エンタープライズセキュアキャスト、E-Policy Orchestrator、イーポリシー・オーケストレイター、 GroupShield、グループシールド、IntruShield、McAfee、マカフィー、NetShield、ネットシールド、SpamKiller、VirusScan、WebShield、ウェブシールドは米国法人 McAfee, Inc. またはその関係会社の登録商標です。McAfee ブランドの製品は赤を基調としています。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。 ライセンス情報と特許情報 ライセンス条項 お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) を よくお読みください。どのような種類のライセンスを取得したか不明である場合は、販売およびその他関連のライセンス証書を参照するか、ソフトウェア パッケージに含まれて いる注文書または購入製品の一部として個別に受け取った文書 (ブックレット、製品 CD のファイル、またはソフトウェア パッケージをダウンロードした Web サイトから入手 できるファイル) を確認してください。本契約の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返品いただけれ ば、所定の条件を満たすことによりご購入額全額をお返しいたします。 帰属 本製品には下記のソフトウェアおよびテクノロジーが含まれている場合があります。 * OpenSSL Toolkit で使用するために OpenSSL Project によって開発されたソフトウェア (http://www.openssl.org/)。* Eric A. Young によって記述された暗号化ソフトウェアお よび Tim J. Hudson に記述されたソフトウェア。* ユーザが特定のプログラムまたはその一部をコピー、修正、再配布したり、そのソース コードにアクセスを許諾する GNU GPL (General Public License) またはその他の同様のフリー ソフトウェア ライセンス下のユーザに対して、その他の権利において、使用許諾 (または二次使用許諾) されているいく つかのソフトウェア プログラム。GPL では、ソフトウェアを実行可能なバイナリ形式で配布する場合に、そのソースコードも一緒に提供することが定められています。本製品 に GPL で配布されているソフトウェアが含まれている場合、そのソースコードが製品 CD に収録されています。この使用許諾契約で認められた権利を超えて、ソフトウェア プ ログラムを使用、コピーまたは変更する権利を McAfee が付与することを無償ソフトウェア ライセンスが義務付けている場合は、この契約にある権利と制限より優先されます。 * Henry Spencer によって作成されたソフトウェア。Copyright 1992, 1993, 1994, 1997 Henry Spencer. * Robert Nordier によって作成されたソフトウェア。Copyright (C) 1996-7 Robert Nordier. * Douglas W. Sauder によって作成されたソフトウェア。* Apache Software Foundation (http://www.apache.org/) によって開発されたソフトウェア。このソフト ウェアの使用許諾条件については、www.apache.org/licenses/LICENSE-2.0.txtを参照。* International Components for Unicode ("ICU") Copyright (C) 1995-2002 International Business Machines Corporation and others. * CrystalClear Software, Inc. によって開発されたソフトウェア。Copyright (C) 2000 CrystalClear Software, Inc. * FEAD (R) Optimizer (R) technology, Copyright Netopsystems AG, Berlin, Germany. * Outside In (R) Viewer Technology (C) 1992-2001 Stellent Chicago, Inc. および/または Outside In (R) HTML Export, (C) 2001 Stellent Chicago, Inc. * Thai Open Source Software Center Ltd. および Clark Cooper が著作権を所有するソフトウェア。 (C) 1998, 1999, 2000. * Expat maintainers が著作権を所有するソフトウェア。* The Regents of the University of California が著作権を所有するソフトウェア。 (C) 1996, 1989, 1998-2000. * Gunnar Ritter が 著作権を所有するソフトウェア。* Sun Microsystems, Inc., 4150 Network Circle, Santa Clara, California 95054, U.S.A が著作権を所有するソフトウェア。 (C) 2003. * Gisle Aas が 著作権を所有するソフトウェア。(C) 1995-2003. * Michael A. Chase に著作権のあるソフトウェア (C) 1999-2000. * Neil Winton に著作権のあるソフトウェア (C) 1995-1996. * RSA Data Security, Inc., に著作権のあるソフトウェア (C) 1990-1992. * Sean M. Burke に著作権のあるソフトウェア (C) 1999, 2000. * Martijn Koster に著作権のあるソフト ウェア (C) 1995). * Brad Appleton に著作権のあるソフトウェア (C) 1996-1999. * Michael G. Schwern に著作権のあるソフトウェア (C) 2001. * Graham Barr に著作権のあるソ フトウェア (C) 1998). * Larry Wall および Clark Cooper に著作権のあるソフトウェア (C) 1998-2000. * Frodo Looijaard に著作権のあるソフトウェア (C) 1997. * Python Software Foundation. Copyright (C) 2001, 2002, 2003) に著作権のあるソフトウェア。このソフトウェアの使用許諾契約のコピーはwww.python.orgで参照できます。* Beman Dawes に著作権のあるソフトウェア (C) 1994-1999, 2002. * Andrew Lumsdaine、Lie-Quan Lee、Jeremy G. Siek が作成したソフトウェア (C) 1997-2000 University of Notre Dame. * Simone Bordet および Marco Cravero が著作権を所有するソフトウェア。(C) 2002。* Stephen Purcell が著作権を所有するソフトウェア。(C) 2001。* インディアナ大 学 Extreme! 研究室 (http://www.extreme.indiana.edu/) によって開発されたソフトウェア。* International Business Machines Corporation およびその関係会社が著作権を所有す るソフトウェア (C) 1995-2003. * カリフォルニア大学バークレー校によって開発されたソフトウェア。* mod_sslプロジェクト (http://www.modssl.org/) で使用するために Ralf S. Engelschall <[email protected]> が開発したソフトウェア。* Kevlin Henney の著作権で保護されているソフトウェア (C) 2000-2002. * Peter Dimov と Multi Media Ltd. の著 作権で保護されているソフトウェア (C) 2001, 2002. * David Abrahams の著作権で保護されているソフトウェア (C) 2001, 2002. ドキュメントについては、 http://www.boost.org/libs/bind/bind.htmlを参照。* Steve Cleary、Beman Dawes、Howard Hinnant および John Maddock の著作権で保護されているソフトウェア (C) 2000. * Boost.orgの著作権で保護されているソフトウェア (C) 1999-2002. * Nicolai M. Josuttis の著作権で保護されているソフトウェア (C) 1999. * Jeremy Siek の著作権で保護されて いるソフトウェア (C) 1999-2001. * Daryle Walker の著作権で保護されているソフトウェア (C) 2001. * Chuck Allison および Jeremy Siek の著作権で保護されているソフト ウェア (C) 2001, 2002. * Samuel Kremppの著作権で保護されているソフトウェア (C) 2001. アップデート、ドキュメント、改定履歴については、http://www.boost.org を参照。 * Doug Gregor ([email protected]) の著作権で保護されているソフトウェア (C) 2001, 2002. * Cadenza New Zealand Ltd.の著作権で保護されているソフトウェア (C) 2000. * Jens Maurer の著作権で保護されているソフトウェア (C) 2000, 2001. * Jaakko Järvi ([email protected]) の著作権で保護されているソフトウェア (C) 1999, 2000. * Ronald Garciaの著作権で保護されているソフトウェア (C) 2002. * David Abrahams、Jeremy Siek とDaryle Walker の著作権で保護されているソフトウェア (C) 1999-2001. * Stephen Cleary ([email protected]) の著作権で保護されているソフトウェア (C) 2000. * Housemarque Oy <http://www.housemarque.com> の著作権で保護されているソフトウェ ア (C) 2001. * Paul Moore の著作権で保護されているソフトウェア (C) 1999. * Dr. John Maddock の著作権で保護されているソフトウェア (C) 1998-2002. * Greg Colvin と Beman Dawes の著作権で保護されているソフトウェア (C) 1998, 1999. * Peter Dimov の著作権で保護されているソフトウェア (C) 2001, 2002. * Jeremy Siek とJohn R. Bandela の著作権で保護されているソフトウェア (C) 2001. * Joerg Walter と Mathias Koch の著作権で保護されているソフトウェア (C) 2000-2002. * Carnegie Mellon Universityの著作権で保護されているソフトウェア (C) 1989, 1991, 1992. * Cambridge Broadband Ltd.の著作権で保護されているソフトウェア (C) 2001-2003. * Sparta, Inc.の著 作権で保護されているソフトウェア (C) 2003-2004. * Cisco, Inc. および Information Network Center of Beijing University of Posts and Telecommunicationsの著作権で保護され ているソフトウェア (C) 2004. * Simon Josefsson の著作権で保護されているソフトウェア。(C) 2003. * Thomas Jacob の著作権で保護されているソフトウェア (C) 2003-2004. * Advanced Software Engineering Limitedの著作権で保護されているソフトウェア (C) 2004. * Todd C. Miller の著作権で保護されているソフトウェア (C) 1998. * The Regents of the University of Californiaの著作権で保護されているソフトウェア (C) 1990, 1993. BerkeleyにChris Torek より寄贈されたソフトウェアから生成したコードを含む。 2009 年 12 月発行/ I-2700 Sensor Product Guide 700-2387-16 / 1.0 - 日本語 目次 まえがき .......................................................................................................... v McAfee Network Security Platform について .............................................................. v 本書について ............................................................................................................... v このガイドの構成................................................................................................. v 対象読者 ......................................................................................................................vi 本書の表記規則............................................................................................................vi 関連資料 .....................................................................................................................vii テクニカル サポートの連絡先 .................................................................................. viii 第 1 章 Network Security Sensor の概要 .................................................. 1 Network Security Sensor とは .................................................................................... 1 センサの機能 ............................................................................................................... 1 センサ プラットフォーム............................................................................................ 1 Network Security Platform I-2700 Sensor .................................................................... 2 センサのポート .................................................................................................... 2 I-2700 のフロント パネルの LED ....................................................................... 4 第 2 章 インストール前の準備...................................................................... 6 I-2700 センサの仕様 ................................................................................................... 6 ネットワーク トポロジの考慮事項 ............................................................................. 7 安全対策 ...................................................................................................................... 7 光ファイバー ポートの併用................................................................................. 8 使用上の制限 ............................................................................................................... 8 センサの開梱 ............................................................................................................... 9 センサの梱包箱の内容.......................................................................................... 9 第 3 章 設定前のセンサのセットアップ ..................................................... 10 セットアップの概要 .................................................................................................. 10 センサの設置 ............................................................................................................. 10 シャーシへのラック マウントの取り付け................................................................. 10 ラックへの I-2700 センサの取り付け ............................................................... 11 I-2700 への冗長電源の設置....................................................................................... 12 GBIC の挿入 ............................................................................................................. 12 GBIC の挿入 ...................................................................................................... 13 GBIC の取り外し ............................................................................................... 13 センサの配線 ............................................................................................................. 14 センサの電源オン ...................................................................................................... 14 センサの電源オフ............................................................................................... 14 iii 第 4 章 センサへのケーブルの接続 ............................................................ 15 コンソール ポートの配線.......................................................................................... 15 補助ポートの配線 ...................................................................................................... 15 レスポンス ポートの配線.......................................................................................... 16 マネジメント ポートの配線 ...................................................................................... 16 モニタリング ポートの配線 ...................................................................................... 17 ピア ポートの使用 ............................................................................................. 17 モニタリング ポートのデフォルトの速度設定 .................................................. 18 ルータ、スイッチ、ハブ、PC 用のケーブルの種類.......................................... 19 フェールクローズ ドングルの使用 .................................................................... 19 フェールオープン ハードウェアの使用 ............................................................. 19 In-Line モードで監視する場合のセンサの配線 ......................................................... 19 In-Line モードで監視する場合のセンサの配線 ......................................................... 20 内部 TAP モードで監視する場合のセンサの配線 .................................................... 21 外部 TAP モードでのセンサの GBIC ポートの配線 ............................................... 22 SPAN/Hub モードで監視する場合の I-2700 センサの配線 ..................................... 22 I-2700 センサでのフェールオーバー用相互接続ポートの配線.......................... 22 索引 ............................................................................................................... 25 iv まえがき 以下では、本製品について簡単に説明し、本書の内容および構成について説明します。ま た、本書をサポートするマニュアルおよび McAfee テクニカル サポートへの連絡方法に ついても説明します。 McAfee Network Security Platform について McAfee® Network Security Platform (旧 McAfee® IntruShield®) は、大企業、電話会社、サー ビス プロバイダ ネットワーク向けの最も包括的で高性能な、拡張可能なネットワーク ア クセス制御 (NAC)、ネットワーク侵入防御システム (IPS) および Network Threat Behavior Analysis (NTBA) を提供します。スパイウェアや既知のゼロデイ攻撃や暗号化に よる攻撃に対して、比類なき保護対策を実現します。 McAfee® Network Threat Behavior Analysis アプライアンスは、ネットワーク上で送受信さ れている NetFlow 情報をリアルタイムに分析し、ネットワーク トラフィックを監視しま す。McAfee Network Security Sensor、NAC センサ、NTBA アプライアンスをインストー ルして単一のマネージャで管理することで、NAC と IPS の機能を補完することができま す。 本書について このガイドでは、McAfee® Network Security Sensor に必要な情報が記載されています。実 物と殆ど同じ McAfee Network Security Sensor (センサ) の画像を使用し、センサの開梱か らユーザの要件ごとの製品環境への配備まで、分かりやすい手順で説明します。 このガイドの構成 このガイドの内容は次のとおりです。 • 第 1 章、「Network Security Sensorの概要」 (1ページ) では、センサの機能とポート の構成、およびフロント パネルの LED について説明します。 • 第 2 章、「インストール前の準備」 (6ページ) では、システムの仕様と、安全性およ び使用に関するセンサの要件を説明します。 • 第 3 章、「センサのセットアップ」 (10 ページ) では、センサを設定する前に実行す る必要のある手順について説明します。 • 第 4 章、「センサへのケーブルの接続」 (15ページ) では、センサとネットワーク、 モニタリングおよびレスポンス ケーブルとの接続方法や、さまざまな動作モードに対 するセンサの配線方法について説明します。 v まえがき McAfee® Network Security Platform 対象読者 本書は、センサのインストール、設定、メンテナンスを行うネットワークの専門家および メンテナンス担当者を対象としています。IPS 関連のタスク、タスク同士の関係、特定の タスクを実行するコマンドなどに精通している必要はありません。 本書の表記規則 本書は次の表記規則に従っています。 規則 例 ユーザ インターフェース (UI) と [Properties] (プロパティ) タブの [Service] (サービ して表示されるフィールド、ボタ ス) フィールドに、必要なサービスの名前を指定 ン、タブ、オプション、選択項目、 します。 コマンドなどは Arial Narrow の太字 で表記しています。 メニュー項目やグループを順番に 選択するときの手順を表します。 [My Company]、[Admin Domain] (管理ドメイン)、 [Summary] (サマリ) の順に選択します。 操作手順を表す場合には、番号付 1. [Configuration] (設定) タブで [Backup] (バック きの箇条書きを使用しています。 アップ) をクリックします。 キーボードのキーの名前を示す場 合に、大文字を使用しています。 ENTER キーを押します。 ユーザがそのまま入力する構文、 キーワード、値は Courier New フォントで表記しています。 setup と入力して ENTER を押します。 特定の状況や環境に基づいて入力 センサの IP アドレスを入力して ENTER キー する必要のある可変情報は、イタ を押します。 リック体 で表記しています。 必須で入力するパラメータは不等 号括弧で囲んであります。 set Sensor ip <A.B.C.D> 操作を行う前に必ず参照しなけれ ばならない情報や、データの削除 など、操作を行うと問題が発生す ることを警告する場合に、この マークを使用しています。 警告: 電気機器を取り扱う場合に怪我や 事故に繋がるような操作や行為を 記述する場合に、このマークを使 用しています。 危険: vi まえがき McAfee® Network Security Platform 規則 例 関連する情報を示す場合に、この マークを使用しています。 注意: 関連資料 本書のほかに、以下のマニュアルとオンライン ヘルプが用意されています。これらの資料 の詳細については、『Quick Tour』 (クイック ツアー) を参照してください。 • Quick Tour (クイック ツアー) • Installation Guide (インストール ガイド) • Upgrade Guide (アップグレード ガイド) • Getting Started Guide (スタート ガイド) • IPS Deployment Guide (IPS 配備ガイド) • Manager Configuration Basics Guide (マネージャ コンフィグレーション ベーシック ガイド) • Administrative Domain Configuration Guide (管理ドメイン コンフィグレーション ガ イド) • Manager Server Configuration Guide (マネージャ サーバ コンフィグレーション ガ イド) • IPS Configuration Guide (IPS コンフィグレーション ガイド) • CLI Guide (CLI ガイド) • Device Configuration Guide (デバイス コンフィグレーション ガイド) • System Status Monitoring Guide (システムの状態の監視ガイド) • Reports Guide (レポート ガイド) • Custom Attack Definitions Guide (カスタム攻撃定義ガイド) • Central Manager Administrator's Guide (セントラル マネージャ管理者ガイド) • Troubleshooting Guide (トラブルシューティング ガイド) • NAC Configuration Guide (NAC コンフィグレーション ガイド) • Integration Guide (インテグレーション ガイド) • Best Practices Guide (考慮事項ガイド) • I-1200 Sensor Product Guide (I-1200 センサ製品ガイド) • I-1400 Sensor Product Guide (I-1400 センサ製品ガイド) • I-3000 Sensor Product Guide (I-3000 センサ製品ガイド) • I-4000 Sensor Product Guide (I-4000 センサ製品ガイド) • I-4010 Sensor Product Guide (I-4010 センサ製品ガイド) • Gigabit Optical Fail-Open Bypass Kit Guide (Gigabit 光フェールオープン バイパス キット ガイド) • Gigabit Copper Fail-Open Bypass Kit Guide (Gigabit 銅線フェールオープン バイパス キット ガイド) vii まえがき McAfee® Network Security Platform • Special Topics Guide—In-line Sensor Deployment (関連トピック ガイド - In-line センサ配備) • Special Topics Guide—Sensor High Availability (関連トピック ガイド - 高可用性セ ンサ) • Special Topics Guide—Virtualization (関連トピック ガイド - 仮想化) • Special Topics Guide—Denial-of-Service (関連トピック ガイド - サービス拒否) テクニカル サポートの連絡先 テクニカルサポートの連絡先及びサポート内容については、購入サポート窓口までお問い 合わせください。 オンライン 弊社テクニカル サポート: 登録ユーザの方は、最新のドキュメントや技術情報を入手したり、McAfee KnowledgeBase にいつでもアクセスすることができます。また、技術的な問題をオンラインで解決したり、 ソフトウェアのダウンロードやシグネチャのアップデートを行うこともできます。 電話 テクニカル サポートの受付時間は米国太平洋標準時の月曜日から金曜日の午前 7 時から 午後 5 時までです。Gold または Platinum サービスを契約している場合には、曜日時間 にかかわらずサポートを受けることができます。世界各国の電話連絡先については、 http://www.mcafee.com/us/about/contact/index.html を参照してください。 注意: McAfee テクニカル サポートの受付時に、承認番号とシステムのシリアル番 号が必要になります。また、オンラインの問い合わせでは、ユーザ名とパスワード を入力する必要があります。 viii 第 1章 Network Security Sensor の概要 このセクションでは、McAfee® Network Security Sensor を詳しく説明します。 Network Security Sensor とは McAfee Network Security Sensor (センサ) は、拡張性と柔軟性に優れた高性能なコンテン ツ処理アプライアンスで、侵入、誤使用、分散型サービス拒否 (DDoS) 攻撃を正確に検知 し、防御することができます。 センサは、ワイヤレベルの速度でトラフィックを処理し、非常に高い精度で侵入を検知し ます。また、企業環境のセキュリティ要件に合わせて柔軟に対応できるように設計されて います。センサを重要なアクセス ポイントに配備することにより、リアルタイムにトラ フィックを監視し、管理者の設定に従って不正な活動を検知し、対応することが可能です。 センサを配備して接続が確立すると、センサの設定や管理をMcAfee® Network Security Managerサーバから行うことができます。 センサの設定方法および McAfee Network Security Manager (マネージャ) との接続方法 については、本書の以降の章で説明します。マネージャ サーバの詳細については、『Getting Started Guide』 (スタート ガイド) を参照してください。 センサの機能 デバイスの基本的な機能は、特定のネットワーク セグメントのトラフィックを分析し、攻 撃を検知した場合にレスポンスを実行することです。デバイスはネットワークを通過する パケットのヘッダ情報とデータ部分を検査し、不正な活動を示すパターンや不審な動作が ないかを調査します。デバイスは、ユーザが設定したポリシー (ルール セット) に従って パケットを検査します。ルール セットには、検知の対象とする攻撃や、攻撃が検知された 場合の対応方法を定義します。 攻撃が検知されると、センサは設定されたポリシーに従って対応します。センサは、攻撃 に対してさまざまな処理を実行します。たとえば、アラートやパケット ログの生成、TCP 接続のリセットの遮断などを実行します。また、不正なパケットを「スクラビング」した り、宛先に到達する前に攻撃パケット全体をドロップしたりします。 センサ プラットフォーム 弊社では、さまざまな帯域幅や配備方針に対応するため、複数のセンサ プラットフォーム を提供しています。 1 Network Security Sensor の概要 McAfee® Network Security Platform 本書では、センサについて説明します。 Network Security Platform I-2700 Sensor Network Security Platform I-2700 Sensor (センサ) には、6 個の Fast Ethernet ポート (イ ンターフェース) と 2 個の GBIC スロットが装備され、最大 600 Mbps までの集約トラ フィックを監視できます。6 個の Fast Ethernet ポートを使用することにより、全二重モー ド 10/100 Mbps Ethernet セグメントを 3 つまで監視することができます (TAP または In-Line モード) 。半二重モードでは 6 つのセグメントが監視できます (SPAN ポートま たはハブ)。全二重リンクと半二重リンクを組み合わせて監視することも可能です。このセ ンサは、インターフェースの他のポートが In-Line モードで動作していても、スニッフィ ング モード (全二重または半二重リンク) で監視することができます。 センサのポート I-2700 は 2 ラックユニット (2RU) で、次のポートを装備しています。 図 1:I-2700 センサ 名前 説明 1 コンソール ポート 2 補助ポート 3 マネジメント ポート 4 外部コンパクト フラッシュ ポート 5 GBIC モニタリング ポートまたはフェール オーバー用相互接続ポート (4A のみ) 6 10/100 モニタリング ポート 7 レスポンス ポート 2 Network Security Sensor の概要 McAfee® Network Security Platform 1 RS-232C コンソール ポート 1 個。センサのセットアップと設定に使用します。 2 RS-232C 補助ポート 1 個。ダイアルアップ接続でセンサのセットアップと設定を行 う場合に使用します。 3 10/100 マネジメント ポート 1 個。マネージャ サーバとセキュア接続を確立するた めに使用します。センサとマネージャ サーバ間の通信ではセキュア チャネルが使用 されます。これらのチャネルでは、公開鍵認証によってセンサとマネージャ間の接続 が暗号化され、相互認証が行われます。この Ethernet ポートは、インストール時に ユーザによって IP アドレスが割り当てられます。 4 外部コンパクト フラッシュ ポート 1 個。このポートは 2 つの用途で使用することが できます。オプションのフェールオープン ハードウェアの制御に使用されます (『Gigabit Optical Fail-Open Bypass Kit Guide』 (Gigabit光フェールオープン バイパス キッ ト ガイド) を参照) 。また、センサの内部フラッシュが破損し、外部コンパクト フラッ シュを使用して再起動する必要がある場合に使用します。詳細については、McAfee サ ポート サイトの KnowledgeBase (https://mysupport.mcafee.com) を参照してくださ い。 5 GBIC モニタリング ポート 2 個。最大 600 Mbps までの連続したトラフィックを転 送する Gigabit Ethernet セグメントを監視できます。センサにフェールオーバー機能 を実装する場合には、このポートの一方 (4A) を相互接続ポートとして使用します。 注意: In-Line モードで実行中の場合、センサの GBIC インターフェースは フェールクローズに対応しています。センサに障害が発生すると接続は切断さ れ、データフローは中断または遮断されます。フェールオープン機能を使用す るには Optical Fail Open Kit が必要です。17 ページの「モニタリング ポート の配線」を参照してください。 6 10/100 モニタリング ポート 6 個。SPAN モードで使用すると 6 つのセグメントを 監視できます。TAP モードで使用すると、全二重モードのセグメントを 3 つ監視で きます。In-Line モードでは 3 つのセグメントを監視できます。また、2 個のポート を全二重モード用に、4 個のポートを半二重モード用に組み合わせて使用することが できます。これらのポートはステルス モードで動作します。つまり、これらのポート には IP アドレスは割り当てられていません。IDS 検知方法に応答する TCP/IP ス タックも存在しないため、侵入者からは完全に見えない状態になります。 7 レスポンス ポート 3 個。SPAN モードで実行しているときに、応答パケットをネッ トワークに (スイッチまたはルータ経由で) 戻すことができます。 8 電源装置。センサの電源ポートはセンサの背面にあります。この電源装置には標準の IEC ポート (IEC320-C13) を使用します。2 m の標準的な NEMA 5-15P (US) 電源 ケーブル (3 線) が付属しています。米国以外のユーザは、適切な電源ケーブルを使用 してください。 9 冗長電源 (別売)。I-2700 は冗長電源をサポートしています。電源ポートはセンサの背 面にあります。冗長電源の仕様は、上記で説明しているセンサを含む電源装置の仕様 と同じです。 10 内部 TAP (見えません)。10/100 ポートとの併用により、ステルス モードでの監視が 可能になります。SPAN ポートまたはハブに接続したり、外付けの TAP を用意する 必要はありません。ピア モードでネットワーク セグメントを監視するように 10/100 ポートのペアを構成している場合には、内部 TAP を使用してネットワーク セグメン トを直接センサに接続することができます。片方のポートは装置 A (ファイアウォー ル、ルータ、スイッチなど) からのパケットを送受信し、もう一方のポートは装置 B か らのパケットを送受信します。内部 TAP モードは、必要に応じて In-Line モードに 切り替えることができます。 3 Network Security Sensor の概要 McAfee® Network Security Platform 注意: GBIC ポートには他社製の外部 TAP を使用する必要があります。正規の販売 代理店から提供されている TAP を使用してください。認定メーカーについては、 McAfee サポート サイトの KnowledgeBase (https://mysupport.mcafee.com) を参 照してください。 注意: 内部 TAP はフェールオープンに対応しています。内部 TAP モードでの実行 中にセンサで物理的な障害が発生してもネットワーク トラフィックの流れは止ま らず、パケットはそのまま送信されます (ただし、ネットワーク デバイスの接続が 確立されるまで中断が発生する場合があります)。 フェールクローズ機能を使用する場合には、配線を変える必要があります。通常の Cat 5/Cat 5e ケーブルはフェールオープンに対応しています。弊社提供のフェール クローズ ドングルを使用することにより、フェールクローズ機能が有効になります。 詳細については、「モニタリング ポートの配線」を参照してください。 I-2700 のフロント パネルの LED フロント パネルの LED は、センサの状態とポート上のアクティビティを示します。次の 表に、センサのフロント パネルの LED を示します。 LED Power ステータス 緑色 説明 センサは電源が入り、機能していま す。 オフ センサに電源が入っていない。 Management Port Speed 黄色 ポート速度は 100 Mbps です。 オフ ポート速度は 10 Mbps です。 Management Port Link 緑色 リンクは接続されています。 オフ リンクは切断されています。 Sys 緑色 センサは動作しています。 黄色 センサは起動中です。 緑色 ファンは動作しています。 黄色 ファンは動作していません。 緑色 ファンは動作しています。 黄色 ファンは動作していません。 緑色 シャーシ内で計測された吸気温度は 正常です。(シャーシ温度は正常です。) 黄色 シャーシ内で計測された吸気温度は 高すぎます。(シャーシ温度が高すぎま す。) Fan A Fan B Temp 4 Network Security Sensor の概要 McAfee® Network Security Platform LED Flash ステータス 緑色 説明 外部コンパクト フラッシュ上のアク ティビティがあります。(フェールオー プン コントローラの挿入など) オフ 外部コンパクト フラッシュ上のアク ティビティはありません。 Gigabit Port 4A and 4B Act 黄色 データを転送中です。 オフ 転送中のデータはありません。 Gigabit Port 4A and 4B Link 緑色 リンクは接続されています。 オフ リンクは切断されています。 10/100 Monitoring Ports Speed 黄色 ポート速度は 100 Mbps です。 オフ ポート速度は 10 Mbps です。 10/100 Monitoring Ports Link 緑色 リンクは接続されています。 オフ リンクは切断されています。 Response Port Speed 黄色 Response Port Link ポート速度は 100 Mbps です。 オフ ポート速度は 10 Mbps です。 緑色 リンクは接続されています。 オフ リンクは切断されています。 5 第 2章 インストール前の準備 センサの仕様、安全対策、センサの開梱 この章では、McAfee® Network Security Sensors (センサ) をネットワークに配備する前の 考慮事項について説明します。ここでは、システム要件、設置計画、センサの取り扱いに 関する安全上の考慮事項、およびセンサに適用される使用上の制限について説明します。 I-2700 センサの仕様 次の表では、センサの仕様について説明します。 センサの仕様 寸法 説明 (ラック マウントおよびケーブル マネジメントを除く) • 幅:17.32 in. (43.99 cm.) • 高さ:3.46 in. (8.8 cm.) • 奥行:20.4 in. (51.81 cm.) (ラック マウントおよびケーブル マネジメントを含む) • 幅:19.00 in. (48.26 cm.) • 高さ:1.69 in. (4.29 cm.) • 奥行:18.50 in. (46.99 cm.) ケーブルおよび電源コードは寸法に含まれていません。 重量 20 lb. (9.09 kg.) 電圧 100-240 VAC 周波数 50/60 Hz 振動、動作時 5 - 200 Hz、0.5 g(1oct/min) 振動、非動作時 5 - 200 Hz、1 g(1oct/min) 200 - 500 Hz、2 g(1oct/min) 電源要件 250 W 周囲温度 (結露なし) 動作時 0C (32F) - 40C (104F) 非動作時 -40C (-40F) - 70C (158F) 6 インストール前の準備 McAfee® Network Security Platform センサの仕様 相対湿度 (結露なし) 説明 動作時 10% - 90% 結露なし 非動作時 5% - 95% 結露なし システムの熱損失 854 BTU/hr 排気量 200 lfm (1 m/s) 高度 海抜 0 - 10,000 ft (3050 m) スループット 600 Mbps ケーブルの仕様: センサで使用するケーブルについて、以下の仕様に注意してください。 • 伝送速度を毎秒 1 Gigabit (Gigabit Ethernet) に上げるためには、カテゴリ 5E (Cat 5e) ケーブルが必要です。 • 10 または 100 Mbps で実行する Ethernet ネットワークでは、カテゴリ 5 (Cat 5) ま たは Cat 5e ケーブルを使用できます。 注意: 本書の説明では、ケーブルの仕様は Cat 5 または Cat 5e です。 ネットワーク トポロジの考慮事項 McAfee® Network Security Platform (旧 McAfee® IntruShield® Network Intrusion Prevention System) を配備する場合、ネットワークを保護するために必要な構成レベルや設置するセ ンサとマネージャの数を決定するために、ネットワークに関する基本的な知識が必要です。 McAfee Network Security Platform Sensor は、1 つ以上のネットワーク セグメントのト ラフィックを監視するための専用センサです。Network Security Platform の配備でのネッ トワーク トポロジの考慮事項については、『IPS Deployment Guide』 (IPS 配備ガイド) の「配 備前の考慮事項」を参照してください。 安全対策 特に断りのない限り、これらの安全対策はすべてのセンサ モデルに適用されます。製品を 設置する前に、以下をよくお読みください。 これらの安全性に関する警告に従わない場合、怪我をする危険があります。 7 インストール前の準備 McAfee® Network Security Platform 危険: • 電源につなぐ前に、設置手順をよくお読みください。 • センサの電源をすべて切る場合は、冗長電源を含めたすべての電源コードを抜いてく ださい。 • この装置の設置、交換、修理は、訓練を受けた相応の資格のある人物のみが行ってく ださい。 • 電源が入っている装置に触れる前に、貴金属類 (指輪、ネックレス、時計など) を外し てください。電源および接地に接続すると金属部分が発熱し、やけどをしたり、端子 の金属部分が溶ける場合があります。 • この装置は接地接続してください。通常の使用中には、確実にホストを接地接続して ください。 • センサのカバーを外さないでください。カバーを外すと保証の対象外となります。 • この装置はテストの結果、FCC 規定の Part 15 に記載されている Class A デジタル 装置の規制に適合するものとして認定されています。これらの規制は、機器を住宅環 境で使用した場合に発生し得る有害な電波障害に対して適切な防止策を講じることを 目的としています。この装置は、電磁波を使用、発生、および外部に放出することが あります。そのため、取り扱い説明書に従って設置および使用しない場合には、無線 通信に重大な受信障害を起こすことがあります。また、この装置を住宅環境で使用す ると有害な電波障害を起こすことがあります。その場合には、ユーザの責任において、 電波障害の対策を講じる必要があります。 光ファイバー ポートの併用 • 光ファイバー ポート (FDDI、OC-3、OC-12、OC-48、ATM、GBIC、100BaseFX な ど) は、Class 1 レーザー ポートまたは Class 1 LED ポートとみなされます。 • これらの製品はテストの結果、IEC 60825-1、IEC 60825-2、EN 60825-1、EN 60825-2、 21CFR1040 における Class 1 の規制に適合するものとして認定されています。 危険: 光ファイバー ポートの開口部を凝視しないでください。ケーブルが接続され ていない場合、ポートの開口部から不可視の放射線が放射されている場合がありま す。 使用上の制限 センサの使用上の制限は次のとおりです。 • センサのカバーを外さないでください。カバーを外すと保証の対象外となります。 • センサ アプライアンスは多目的のワークステーションではありません。 • センサ アプライアンスを Network Security Platform の機能以外に使用しないでくだ さい。 • Network Security Platform の通常の機能に含まれていないハードウェアやソフトウェ アをセンサ アプライアンスに設置したり、変更しないでください。 8 インストール前の準備 McAfee® Network Security Platform センサの開梱 センサを開梱するには、以下の手順に従います。 1 設置する場所からできるだけ近い場所にセンサの入った箱を置きます。 2 表面の文字が正しい向きになるように箱を置きます。 3 箱の上部の蓋を開けます。 4 付属品の箱を取り出します。 5 部品が揃っているかどうかを確認します。部品の一覧は、梱包明細書と 9 ページの「セ ンサの梱包箱の内容」に記載されています。 6 センサの周囲の梱包材を取り除きます。 7 静電防止用の袋からセンサを取り出します。 8 後でセンサを輸送しなければならない場合に備えて、箱や梱包材は保存しておいてく ださい。 センサの梱包箱の内容 センサの梱包箱には以下が同梱されています。 • センサ 1 台 • 電源コード 1 本。2 m の標準的な NEMA 5-15p (US) 電源ケーブル (3 線) が付属し ています。米国以外のユーザは、適切な規格の電源ケーブルを使用してください。 • ラック マウント一式 • フェールクローズ ドングル (I-1200 では 2 個、I-1400 では 4 個、I-2700 では 6 個) • Quick Start Guide (クイック スタート ガイド) • リリース ノート 9 第 3章 設定前のセンサのセットアップ この章では、Network Security Manager (マネージャ) を介してMcAfee® Network Security Sensor (センサ) を設定する前のセンサのセットアップ方法を説明します。 セットアップの概要 センサをセットアップするには、以下の手順に従います。 1 センサを設置します。10 ページの「センサの設置」を参照してください。 2 GBIC を挿入します。 3 電源、ネットワーク、モニタリング ケーブルを接続します。15 ページの「センサへ のケーブルの接続」を参照してください。 4 センサの電源を入れます。「センサの電源をオン」を参照してください。 センサをセットアップして電源を入れたら、設定を行うことができます。 センサの設置 監視するスイッチやルータに近く、物理的に安全な場所にセンサを配置します。通信ラッ クを使用することをお勧めします。 センサをラックに設置する場合、ラック マウントをセンサに取り付けてからラックに設置 します。ラック マウントは、シャーシの前方部分もしくは中央部分のどちらかに取り付け ます。 センサは、2RU (2 ラック ユニット) です。 シャーシへのラック マウントの取り付け 警告: シャーシにラック マウントを取り付ける前に、電源がオフになっていること を確認してください。電源ケーブルおよびネットワーク インターフェース ケーブ ルをすべてセンサから取り外してください。 ラック マウントには、シャーシへの取り付けに使用する穴があります。 10 設定前のセンサのセットアップ McAfee® Network Security Platform ► シャーシにラック マウントを取り付けるには、次の手順に従います。 1 必要な部品がすべて揃っているかどうかを確認します。(ラック マウント 2 つ、皿ね じ 12 本)。 2 シャーシの右側面にラック マウントを取り付けます。プラスドライバーを使用して シャーシに皿ねじを固定します。 3 同様に、左側面にもラック マウントを取り付けます。 図 2:センサのシャーシへラック マウントの取り付け ラックへの I-2700 センサの取り付け センサはラックに設置することをお勧めします。センサなどラックに設置するハードウェ アの多くは、19 インチの機器ラックや Telco タイプのラックに適合しています。センサ の前面と背面の両方をメンテナンス可能な状態で設置する必要があります。 注意: ラックにセンサを設置する前に、電源がオフになっていることを確認してくだ さい。電源ケーブルおよびネットワーク インターフェース ケーブルをすべてセン サから取り外してください。 2 本のラック ポストまたは帯状の設置部分にラック マウントを固定して、センサをラッ クに設置します。ラック マウントにより 2 本のラックポストにセンサが固定されます。 センサの残りの部分は、ラック マウントから飛び出している状態になります。 注意: センサをラックに設置する作業は 2 人で行ってください。1 人がセンサを持 ち、もう 1 人がセンサをラックに固定します。 2 本のラック ポストまたは帯状の設置部分にラック マウントを固定してセンサを設置し ます。ラック マウントでセンサ全体の重量を支えます。確実にラックに固定してください。 11 設定前のセンサのセットアップ McAfee® Network Security Platform 図 3:ラックへの I-2700 センサの取り付け I-2700 への冗長電源の設置 標準的なセンサには、ホットスワップ可能な電源装置が 1 つ含まれています。冗長性を強 化するため、ホットスワップ可能な電源装置 (弊社より別途購入) を追加することができま す。 各モジュールには、ユニットへの出し入れに使用するハンドルと固定用ねじがあります。 図 4:I-2700 への電源装置の取り付け GBIC の挿入 GBIC は、ホットスワップが可能な入出力デバイスです。Gigabit Ethernet ポートに接続し、 光ファイバ ネットワークのモジュール ポートをリンクします。弊社または認定メーカー から入手した McAfee® Network Security Platform 対応の GBIC を使用してください。 注意: 互換性を保証するため、Network Security Platform は Network Security Platform または Network Security Platform 認定ベンダー経由で購入した GBIC の みをサポートしています。認定メーカーのリストについては、Network Security Platform サポート サイトの KnowledgeBase (https://mysupport.mcafee.com) を参 照してください。 ここでは、2 つのクリップを使用してセンサに固定する GBIC の挿入方法について説明し ます。使用している GBIC によって手順が多少異なる場合があります。詳細については、 メーカーによる挿入手順を参照してください。 12 設定前のセンサのセットアップ McAfee® Network Security Platform GBIC の挿入 ► クリップが付いている GBIC を挿入するには、以下の手順に従います。 1 GBIC を保護パッケージから取り出します。 2 GBIC のモデルがネットワークに適しているかを確認します。 3 親指と人差し指で GBIC の両側を持ち、モジュール ソケットに挿入します。 通常、GBIC には正しく挿入されるようにロックキーが付いています。 図 5:センサの GBIC スロットへの GBIC の挿入 4 ソケットについているフラップを押しながら GBIC をスライドさせ、カチッという音 がするまで差し込みます。カチッという音が聞こえれば、GBIC はスロットに固定さ れています。 5 通常、GBIC の光ケーブル差込口には保護プラグが付いています。ネットワーク イン ターフェース ケーブルを取り付ける準備ができたら、GBIC の光ケーブル差込口につ いているプラグは取り外してください。取り外したプラグは、今後の使用に備えて保 管してください。 GBIC の取り外し ► クリップが付いている GBIC を取り外すには、以下の手順に従います。 1 GBIC コネクタからネットワークの光ファイバ ケーブルの接続を切ります。 2 GBIC の両側にある 2 つのプラスチックのタブを同時につまみ、GBIC のロックを解 除します。 3 Gigabit Ethernet モジュール スロットから GBIC を取り出します。Gigabit Ethernet モジュール コネクタを保護するフラップが下ります。 4 GBIC の光ケーブル差込口に GBIC プラグを差し込んで GBIC スロットを保護しま す。 13 設定前のセンサのセットアップ McAfee® Network Security Platform センサの配線 センサのモニタリング ポート、レスポンス ポート、コンソール ポート、マネジメント ポートにケーブルを接続するには、15 ページの「センサへのケーブルの接続」の手順に従っ てください。 センサの電源オン センサをラックに設置し、必要なネットワーク接続と電源装置の接続が完了するまでは、 センサに電源を入れないでください。 1 センサの電源装置に電源ケーブルを接続します。 2 電源ケーブルを電源に接続します。 センサの電源オフ 電源をオフにする前に、CLI の shutdown コマンドを使用してセンサを停止してください。 14 第 4章 センサへのケーブルの接続 この章の手順に従って、McAfee® Network Security Sensor (センサ) の各ポートにケーブル を接続します。 コンソール ポートの配線 コンソール ポートは、センサのセットアップと設定に使用します。 1 コンソールを接続するには、付属の DB9 コンソール ケーブルをコンソールポート (センサのフロント パネルの Console) に差し込みます。 2 センサの設定に使用する PC またはターミナル サーバ (正しく設定された Windows ハイパーターミナルを実行する PC など) の COM ポートに、コンソール ポート ケーブルのもう一方の端を直接接続します。最初の設定時にはコンソールに直 接接続する必要があります。 ハイパーターミナルを使用する場合は、次のように設定します。 名前 3 設定 ボーレート 9600 データ ビット 8 パリティ なし ストップ ビット 1 フロー制御 なし センサの電源を入れます。 補助ポートの配線 補助ポート (Aux) はセンサのセットアップと設定に使用します。設定するにはモデムにア クセスします。 センサの最初の設定時には、モデムを使用することはできません。 15 センサへのケーブルの接続 McAfee® Network Security Platform 1 モデムを接続するには、ストレート モデム ケーブルを補助ポート (センサのフロン ト パネルのAux) に差し込みます。 2 補助ポートにモデムを接続します。 3 モデムに電話線を接続します。 Aux ポートを次のように設定します。 名前 設定 ボーレート 9600 データ ビット 8 パリティ なし ストップ ビット 1 フロー制御 なし モデムを次のように設定します。 • 9600 bps のポート速度 • 1 回目の呼び出しで応答 • NVRAM に設定を保存 レスポンス ポートの配線 センサのレスポンス ポートは、TAP または SPAN モードで動作させる場合に、攻撃に対 する応答を送信するために使用します。スイッチまたはルータに応答パケットを挿入する ため、レスポンス ポートを使用する必要があります。 ► 次の手順に従って、レスポンス ポートをネットワーク デバイスに接続 します。 1 Cat 5/Cat 5e ケーブルをレスポンス ポート (センサのフロント パネルの Rx) に差し 込みます。 2 攻撃に対する応答を送信するネットワーク デバイス (ハブ、スイッチ、ルータなど) に ケーブルのもう一方の端を接続します。 マネジメント ポートの配線 マネジメント ポート (Mgmt) は、McAfee® Network Security Manager (マネージャ) サー バとの通信に使用します。 16 センサへのケーブルの接続 McAfee® Network Security Platform ► 次の手順に従って、センサをマネージャ サーバに接続します。 1 Cat 5/Cat 5e ケーブルをマネジメント ポート (センサのフロント パネルの Mgmt) に差し込みます。 2 ケーブルのもう一方の端をマネージャ サーバに接続するネットワーク デバイス (ハ ブ、スイッチ、ルータなど) に接続します。 注意: 管理トラフィックを隔離して保護するために、センサとマネージャの通信には 専用の管理サブネットを使用してください。 モニタリング ポートの配線 Sensor のモニタリング ポートを介して監視するネットワーク デバイスに接続します。セ ンサは、次の表に示す動作モードで配備できます。センサのモニタリング ポートの配線手 順については、該当するページを参照してください。 センサの配線モード 参照 In-Line モード (10/100 ポート、 フェールクローズ) In-Line モードで監視する場合のセンサの配線 (19 ページ) In-Line モード (GBIC ポート、 フェールオープン) フェールオープン ハードウェアの使用 (19 ページ) 内部 TAP モード (10/100 ポー ト) 内部 TAP モードで監視する場合のセンサの配線 外部 TAP モード (GBIC ポート) 外部 TAP モードでのセンサの GBIC ポートの配線 (22 ページ) SPAN/Hub モード SPAN/Hub モードで監視する場合のセンサの配線 フェールオーバー センサのフェールオーバー用配線 (23 ページ) ピア ポートの使用 全二重モードでセンサを配備するには、センサ上の 2 つのモニタリング ピア ポートを使 用する必要があります。センサでは、2 つ 1 組で配線されたポートがトラフィックを処理 します。 次のポートはペアで配線されており、共に使用する必要があります。 17 センサへのケーブルの接続 McAfee® Network Security Platform ポートのペア 1A と 1B (10/100 ポート) 2A と 2B (10/100 ポート) 3A と 3B (10/100 ポート) 4A と 4B の GBIC ポート 注意: 1A と 2A のようなペアを設定して連動させることはできません。 図 6:I-2700 のピア ポート モニタリング ポートのデフォルトの速度設定 スイッチまたはルータのポートは、センサの設定に一致するモニタリング ポートに接続し てください。 モニタリング ポー ト 10/100 ポート 動作モード SPAN 速度と全二重/半二重の設定 オート ネゴシエーションはオフ。 速度と全二重/半二重は設定可能 TAP オート ネゴシエーションはオフ。 速度は設定可能。 外部 TAP は常に半二重、内部 TAP は全二重、 半二重 In-Line オート ネゴシエーションはオフ。 速度と全二重/半二重は設定可能 GBIC ポート SPAN オート ネゴシエーションはオン TAP オート ネゴシエーションはオフ In-Line オート ネゴシエーションはオン 18 センサへのケーブルの接続 McAfee® Network Security Platform ルータ、スイッチ、ハブ、PC 用のケーブルの種類 この章で使用する配線方法は次のとおりです。 • ルータのポートを 10/100 モニタリング ポートに接続する場合は、クロスオーバー Ethernet RJ45 ケーブルを使用します。 • スイッチ/ハブのポートを 10/100 モニタリング ポートに接続する場合は、ストレー ト Ethernet RJ45 ケーブルを使用します。 • PC のルータのポートをセンサのマネジメント ポートに接続する場合は、クロスオー バー Ethernet RJ45 ケーブルを使用します。 注意: PC をセンサのモニタリング ポートに接続する場合も、クロスオーバー Ethernet RJ45 ケーブルを使用する必要があります。 フェールクローズ ドングルの使用 センサに付属のフェールクローズ ドングルは、センサの 10/100 モニタリング ポートの 機能を補うものです。センサの 10/100 モニタリング ポートにドングルを差し込み、ドン グルに Cat 5/Cat 5e ケーブルを接続します。 次の表に、ドングルが必要な動作モードを示します。 SPAN TAP In-Line フェールオープン (トラ フィックは通過) なし ドングルは不 要 ドングルは不要 フェールクローズ (トラ フィックは停止) ドングル なし ドングル フェールオープン ハードウェアの使用 センサの GE ポートはフェールクローズで機能します。フェールオープン機能を使用する には、オプションの Gigabit Fail-Open Bypass Kit を使用する必要があります。このキッ トには、バイパス スイッチとこのスイッチをセンサに接続する装置が含まれています。こ のキットは別売りです。 このキットのインストール方法およびトラブルシューティングについては、キットのマ ニュアルを参照してください。キットを使用した場合のフェールオープン動作については、 23 ページの「Gigabit Fail-Open kitの使用」を参照してください。 In-Line モードで監視する場合のセンサの配線 In-Line モードでは、センサ ポートをペアで使用する必要があります。「ピア ポートの使 用」を参照してください。 19 センサへのケーブルの接続 McAfee® Network Security Platform 警告: In-Line モードでセンサを配線する場合は、トラフィック フローにセンサを挿 入するためにネットワークを一時的に中断する必要があります。ネットワークの中 断時間を短縮するには、他の設定をすべて完了してから In-Line モードのセンサの 配線を行ってください。 センサの内蔵 10/100 ポートはフェールオープンに対応しています。センサに障害が発生 してもトラフィック フローは中断されずに継続します。トラフィックを中断させるには、 センサに付属のフェールクローズ ドングルを使用する必要があります。 ► In-Line モードで監視するデバイスにセンサを接続するには、次の手順に 従います。 注意: この手順では例として 1A と 1B のポート ペアを使用します。 1 次のいずれかを実行します。 フェールクローズで動作させるには、Cat 5/Cat 5e ケーブルとフェールクローズ ドングルをポート 1A に差し込みます。センサで問題が発生すると、フェールク ローズ ドングルによってトラフィックが中断されます。 フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し 込みます。 注意: ネットワーク デバイスごとのケーブルの種類については、19 ページの 「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。 2 別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。 3 監視するネットワーク デバイスに各ケーブルのもう一方の端を接続します。たとえば、 スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを スイッチに接続し、1B に差し込んだケーブルをルータに接続します。 In-Line モードで監視する場合のセンサの配線 In-Line モードでは、センサ ポートをペアで使用する必要があります。17 ページの「ピア ポートの使用」を参照してください。 警告: In-Line モードでセンサを配線する場合は、トラフィック フローにセンサを挿 入するためにネットワークを一時的に中断する必要があります。ネットワークの中 断時間を短縮するには、他の設定をすべて完了してから In-Line モードのセンサの 配線を行ってください。 センサの内蔵 10/100 ポートはフェールオープンに対応しています。センサに障害が発生 してもトラフィック フローは中断されずに継続します。トラフィックを中断させるには、 センサに付属のフェールクローズ ドングルを使用する必要があります。 ► In-Line モードで監視するデバイスにセンサを接続するには、次の手順に 従います。 注意: この手順では例として 1A と 1B のポート ペアを使用します。 20 センサへのケーブルの接続 McAfee® Network Security Platform 1 次のいずれかを実行します。 フェールクローズで動作させるには、Cat 5/Cat 5e ケーブルとフェールクローズ ドングルをポート 1A に差し込みます。センサで問題が発生すると、フェールク ローズ ドングルによってトラフィックが中断されます。 フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し 込みます。 注意: ネットワーク デバイスごとのケーブルの種類については、19 ページの 「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。 2 別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。 3 監視するネットワーク デバイスに各ケーブルのもう一方の端を接続します。たとえば、 スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを スイッチに接続し、1B に差し込んだケーブルをルータに接続します。 内部 TAP モードで監視する場合のセンサの配線 内部 TAP モードでは、センサの両方のポートを使用する必要があります。「ピア ポート の使用」を参照してください。 センサの内部 TAP はフェールオープンに対応しています。センサに障害が発生してもト ラフィック フローは中断されずに継続します。ただし、センサでのエラー発生時や再起動 時には、センサに接続されていた 2 つのデバイス間で接続が確立されるまで、ネットワー クが一時的に (数秒から数分) 中断する場合があります。 注意: フェールオープンで動作させる場合は、2 個の TAP ポート (たとえば、1A と 1B) に接続する 2 本の LAN ケーブルの長さの合計を 100m 以下にしてください。 警告: In-Line モードの配線と同様に、内部 TAP モードではセンサをトラフィック フローに挿入するために一時的にネットワークを中断する必要があります。ネット ワークの中断時間を短縮するには、他の設定をすべて完了してから内部TAPモード のセンサの配線を行ってください。 内部 TAP は機械的にループバックするように設計されています。センサのエラー 発生時や再起動時には、センサに接続されていた 2 つのデバイス間で接続が確立さ れるまで、ネットワークが一時的に中断します。 ► 内部 TAP モードで監視するデバイスにセンサを接続するには、次の手 順に従います。 1 フェールオープンで動作させるには、Cat 5/Cat 5e ケーブルをポート 1A に差し込み ます。 2 別の Cat 5/Cat 5e ケーブルをポート 1B に差し込みます。 注意: ネットワーク デバイスごとのケーブルの種類については、19 ページの 「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。 21 センサへのケーブルの接続 McAfee® Network Security Platform 3 監視するネットワーク デバイスに各ケーブルのもう一方の端を接続します。たとえば、 スイッチとルータ間のトラフィックを監視する場合は、1A に差し込んだケーブルを スイッチに接続し、1B に差し込んだケーブルをルータに接続します。 外部 TAP モードでのセンサの GBIC ポートの配線 センサの GBIC ポートは、他社製の外部 TAP と併用する必要があります。 注意: 認定メーカーのリストについては、Network Security Platform サポート サイ トの KnowledgeBase (https://mysupport.mcafee.com) を参照してください。外部 TAP モードでは、ポートをペアで使用する必要があります (1A および 1B など)。 ► 外部 TAP モードで監視するデバイスにセンサを接続するには、次の手 順に従います。 1 GBIC 用の適切なケーブルを xA (1A など) というラベルの付いた GBIC ポートに差 し込みます。 2 xB (1B など) というラベルの付いたもう一方の GBIC ポートに別のケーブルを差し 込みます。 3 各ケーブルのもう一方の端を TAP に接続します。 4 監視対象のネットワーク デバイスを TAP に接続します。 SPAN/Hub モードで監視する場合の I-2700 センサの配線 SPAN/Hub モードで監視する場合は、ポートをペアで使用する必要はありません。ポート を単独で使用できます。SPAN ポートまたはハブ ポートに 10/100 ポートを接続するに は、センサに付属のフェールクローズ ドングルを使用する必要があります。 ► SPAN ポートまたはハブにセンサを接続するには、次の手順に従います。 1 いずれかのモニタリング ポートに、SC タイプの光ファイバ ケーブルとフェールク ローズ ドングルを差し込みます。 2 ケーブルのもう一方の端を SPAN ポートまたはハブに接続します。 注意: ネットワーク デバイスごとのケーブルの種類については、19 ページの 「ルータ、スイッチ、ハブ、PC 用のケーブルの種類」を参照してください。 I-2700 センサでのフェールオーバー用相互接続ポートの配線 フェールオーバーで動作させるには、全く同じ 2 台のセンサ (同一ソフトウェアを使用す る同一モデル) を相互接続ケーブルで接続する必要があります。 以前は、プライマリ センサのモニタリング ポートのペアが In-Line モードである場合に のみ、センサのフェールオーバー ペアを作成できました。センサのフェールオーバー ペ アの作成が柔軟になり、プライマリ センサのモニタリング ポートのペアが In-Line モー ドではない場合 (TAP または SPAN) も作成可能となりました。 22 センサへのケーブルの接続 McAfee® Network Security Platform たとえば、I-2700 で、1A-1B と 2A-2B のポート ペアが In-Line モードで設定されてい て、ポート 3A-3B が SPAN モードで設定されている場合です。 注意: センサを In-Line のフェールクローズ モードで実行する場合には、製品に付 属のフェールクローズ ドングルを使用する必要があります。 TAP モードで接続すると、TCP reset は使用できません。 フェールオーバーのセンサの配線 Gigabit ポート 4A は、センサの相互接続ポートです。2 台のセンサ間でフェールオーバー 通信を行う場合、追加する必要があるハードウェアはフェールオーバー ケーブルのみです。 ► 2 台のセンサをフェールオーバー接続するには、次の手順に従います。 1 GBIC 用の適切なケーブルをアクティブなセンサのポート 4A に差し込みます。 2 ケーブルのもう一方の端をスタンバイ状態のセンサのポート 4A に接続します。 図 7:フェールオーバー接続の 2 台の I-2700 Gigabit Fail-Open kit の使用 Gigabit Fail-Open Kit (別売り) を使用すると、重要なネットワーク リンク上に配備された In-Line モードの Network Security Platform センサで障害が発生した場合に、リスクを最 小限に抑えることができます。このキットは、銅線バージョンでも光ファイバ バージョン でも使用可能です。 デフォルトでは、Network Security Platform センサの Gigabit Ethernet (GE) モニタリング ポートはフェールクローズ対応に設定されています。センサを In-Line モードで配備した 場合、ハードウェアで障害が発生するとネットワークが停止します。GE ポートをフェー ルオープンで動作させるには、オプションのキットに含まれる外部バイパス スイッチを使 用する必要があります。 センサが正常に動作している場合、設置したバイパス スイッチにはコントロール ケーブ ルを介してセンサから電源が供給されます。センサが動作中の場合、スイッチは「オン」 になり、すべてのトラフィックがセンサに直接ルーティングされます。センサで障害が発 23 センサへのケーブルの接続 McAfee® Network Security Platform 生すると、スイッチは自動的にバイパス状態に移行します。In-Line のトラフィックはネッ トワーク リンクを通過しますが、センサへはルーティングされません。センサがオンライ ンになった後も、ユーザが手動でフェールオープンに戻すまで、フェールオープンとして 設定されたポートは迂回モードになります。 警告 1: センサが停止すると、センサに接続しているデバイス間のリンクが少しの間 切断されます。ピア デバイス間のネットワーク リンクを再ネゴシエーションする 必要があります。2 つのピア デバイス間の再ネゴシエーションによる接続の中断は 数秒間継続します。ネットワーク デバイスの種類によっては、数分間継続する場合 もあります。 警告 2: センサが In-Line モードに切り替わる際にも、センサと各ピア デバイス間 で再ネゴシエーションが行われ、接続が中断する場合があります。この状態が継続 する時間もデバイスによって異なりますが、数秒から数分継続します。 このキットのインストール方法とトラブルシューティングについては、キットに付属のク イック スタート ガイドを参照してください。詳細については、『Gigabit Optical Fail-Open Bypass Kit Guide』 (光フェールオープン バイパス キット ガイド) または、『Gigabit Copper Fail-Open Bypass Kit Guide』 (銅線フェールオープン バイパス キット ガイド) を参照してく ださい。 24 索引 1 き 10/100 ポート.......................................................... 2 起動 LED ................................................................. 4 10/100 マネジメント ポート ........................... 16 10/100 モニタリング ポートのリンク LED ...... 4 こ 10/100 レスポンス ポート ............................... 16 コンソール ポート .................................................. 2 10/100 レスポンス ポートの速度 LED ............. 4 コンソール ポートの配線...................................... 15 10/100 レスポンス ポートのリンク LED.......... 4 コンパクト フラッシュ ポート............................... 2 G せ GBIC の挿入.................................................... 12, 13 センサの機能 ........................................................... 1 GBIC の取り外し................................................... 13 センサの説明 ........................................................... 1 GBIC ポートの Act LED ......................................... 4 センサの電源オン .................................................. 14 GBIC ポートのリンク LED..................................... 4 センサへの接続...................................................... 16 GBIC ポート用センサの配線................................. 22 GBIC モニタリング ポート .................................... 2 そ 速度 LED ................................................................. 4 I I-2700 のポート....................................................... 2 て In-Line モード........................................................ 19 テクニカル サポート............................................. viii In-Line モードでの配備 ......................................... 19 電源 LED ................................................................. 4 L な LED の説明.............................................................. 4 内部 TAP モード .................................................. 21 内部 TAP モードの配線........................................ 21 S Sys LED ................................................................... 4 ね 熱要件 ...................................................................... 6 T TAP モード............................................................. 21 は 配線............................................................ 14, 15, 16 お 配線方法................................................................. 14 温度 LED ................................................................. 4 ひ 表記規則...................................................................vi ふ ファンの LED .......................................................... 4 フェールオーバー用相互接続ポート........................ 2 フェールオープン .................................................... 2 フェールオープン ハードウェアの使用 ................ 23 フェールクローズ .................................................... 2 フェールクローズ機能の使用 .................................. 2 フェールクローズ ドングル .................................... 2 フェールクローズ ドングルが必要な場合....... 19, 21 フェールクローズ ドングルの使用、TAP モード 21 フラッシュ LED ...................................................... 4 フロント パネルの LED.......................................... 4 ほ 補助ポート ............................................................... 2 補助ポートの配線 .................................................. 15 り リンク LED.............................................................. 4
© Copyright 2024 ExpyDoc