IDS 4.0/AIP-SSM/IPS 5.0 以降に関する FAQ

概要

このドキュメントでは、Cisco Secure Intrusion Detection System（IDS）4.0、Advanced Inspection and Prevention Security Services Module（AIP SSM）、および Cisco Intrusion Prevention System（IPS）5.0 以降に関連する、最もよくある質問（FAQ）に回答しています。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

IDS 4.0

Q. IDS MCとSecMonを新しいサーバにインストールしたので、すべての設定（ユーザ、デバイスなど）を古いサーバから新しいサーバにインポートします。具体的な手順

A.これを行う最も簡単な方法は、新しいVMSサーバを起動し、この新しいボックスでセンサを検出することです。

注：センサを追加する場合は、手動で追加しないでください。[検出設定] ボックスをオンにします。

センサーが検出されたら、それを SecMon にインポートします。すべての設定は、センサーに保存されます。シグニチャの設定やフィルタなどについては、新しいサーバを構築した後に作業を行います。IDS MC は必ず、最新のシグニチャにアップデートしてください。

Q. IDS-4215はidsPackageMgr:invalid argument] エラー メッセージを受信します。この問題を解決するには、どうすればよいですか。

A.これは製造上の問題です。一部のお客様は、悪い状態のベース イメージ（4.0）の IDS 4215 を受信しています。 次に示す手順を実行します。

1. リカバリ パーティション イメージ（登録ユーザ専用）をダウンロードします。
2. CLI を使用してリカバリ パーティション イメージのアップグレードを適用します。

   sensor#configure terminal 
   sensor(config)#upgrade METHOD://USERNAME@SERVER/PATH/
       IDS-4215-K9-r-1.1-a-4.1-1-S47.tar.pkg
   

3. リカバリ パーティション イメージが適用されたら、4215 が、正常に動作する 4.1(1) 4215 ベースに復元されます。

   sensor(config)#recover application-partition
   

Q. S100以降、たとえば4.1(4)S99から4.1(4)S100など、2桁から3桁のシグニチャレベルパッケージにアップグレードすると、自動更新機能が失敗します。これはどのように解決すればよいですか。

注：Cisco VMSおよびCLIのお客様では、この問題は発生しません。

この問題の原因は、ファイル名が解析されたときに使用されるソートのロジックです。このロジックでは、数字でのソートが必要な場合でも英数字ソートが実行されます。回避策は、S100 以降などの 3 桁のシグニチャ レベルのパッケージにアップグレードする場合は、CLI（または VMS）を使用することです。これを完了すると、自動アップデートが再び機能し始めます。詳細については、Cisco Bug ID CSCef07999（登録ユーザ専用）を参照してください。

Q.「認証トークン操作エラー」とは何ですか。エラー メッセージの意味は何ですか。

A.この問題を解決するには、デフォルトのパスワード(cisco)を2回使用してから、設定モードからパスワードを変更します。IDS では、デフォルトのパスワードを 2 回入力する必要があります。

以下に、いくつかの例を示します。

login:cisco 
Password:cisco
Enter current password:cisco
Enter new password: *** 
Re-enter new password: *** 

Q.スイッチからIDSMを削除するにはどうすればよいのですか。

A.このモジュールは、電源をオフにした後にのみ取り外してください。次のステップを実行します。

1. センサーの CLI から reset powerdown コマンドを発行します。
2. センサーのシャットダウンが完了したら、スイッチ CLI から、no power enable module (module_number) コマンド（Cisco IOS の場合）または set module power down (module_number) コマンド（CatOS の場合）を発行します。
3. ブレードの shutdown ボタンを押します。
4. 物理的にシャーシの電源を落とします。ステータス ライトが緑色に長く点灯したら、モジュールを安全に削除できます。

IPS 5.0 以降

Q.シャニングが設定されていますが、シグニチャにブロッキングを設定する方法について混乱しています。ホストのブロッキングと接続のブロッキングの違いは何ですか。

A.ブロックホストは、その送信元アドレスからのすべてのパケットをブロックします。接続のブロッキングは、発信元と宛先の IP/ポートに基づいて接続を 1 つだけブロックします。PIX は、わずかに異なる方法で機能します。自動回避の場合は、センサーが発信元 IP、宛先 IP、発信元ポート、および宛先ポートを送信します。PIX は、その IP アドレスから送信されるすべてのパケットをブロックします。追加情報を使用して、PIX は、その 1 つの接続を接続テーブルから削除します。接続が接続テーブルから削除されていない場合、理論的には、回避が適用後にすぐに削除されると、元の接続がタイムアウトされていないことがあり得ます。この場合は、攻撃者が元の接続への攻撃を続行できます。テーブルから接続を削除すると、回避の削除後は確実に、元の接続を使用して攻撃を続行できなくなります。センサーは、1 つの接続を PIX で回避できません。PIX では、shun コマンドを使用して 1 つの接続を回避することをサポートしていないためです。PIX shun コマンドは、追加の接続情報が提供されているかどうかにかかわらず、発信元アドレスを回避します。

Q. 「Error:Could not restart the network services.Fatal Error has occurred.Node MUST be rebooted to enable alarming]エラー メッセージの意味は何ですか。

A.このエラーは、デフォルトゲートウェイが正しくないか、IP、ネットマスク、またはデフォルトゲートウェイが正しくないことを意味する一般的なエラーメッセージを意味します。メッセージの重大な部分は、最初に障害が発生した後に以前の設定が適用され、それが失敗したことを意味します。センサーは ifconfig および route コマンドを発行し、そのいずれかまたは両方が失敗します。

Q. Autoupdateが「mainApp[343] Cid/E errSystemError http error response:500」というエラーメッセージで失敗します。このエラー メッセージはどういう意味ですか。

A.この問題は、自動アップデート機能が動作しない場合があります。これは、偶数時間でダウンロードするように設定されているためです。自動アップデートをランダムな時間に設定してみてください。8 の小さなオフセットまたは夜間の時間でも、この問題が修正される場合があります。

通常、この問題は解決され、正時でない時間に取得時間を変更した場合は [Error:http error response:500] エラー メッセージが表示されます。

注：IPSは署名の自動更新に失敗し、次のエラーメッセージを返します。

AutoUpdate exception:HTTP connection failed [1,110] name=errSystemError

この問題を解決するには、次の項目を確認します。

• センサーが Cisco.com に到達するのをファイアウォールが妨げているかどうかを確認します。

• ルーティングに問題があるかどうかを確認します。

• ダウンストリーム デバイス用のゲートウェイ デバイスで NAT が適切に設定されているかどうかを確認します。

• ユーザ クレデンシャルが正しいかどうかを確認します。

• アップデートの開始時刻を奇数時に変更します。

Q. 「Error:execUpgradeSoftware:AnalysisEngine is currently busy and unable to process this update.更新を再試行する前に数分待ってください。」というエラーメッセージが表示されます。

A.この問題を解決するには、センサーをリロードするか、センサーを再イメージングしてください。

Q.エラーメッセージ「Cid/W Warning - DNSまたはHTTP proxy is required for global correlation inspection and reputation filtering but no DNS or proxy servers are defined. Add an HTTP proxy server or DNS server in the 'host' service configuration?」

A.この問題を解決するには、次のタスクを実行します。

• グローバル相関を無効にします。

• プロキシ/dns 設定を追加します。

Q. IPSがグローバル相関の健全性の問題で受け取る次のエラーを解決するにはどうすればよいのですか。[23Jan2010 15:50:39.831 38.001 collaborationApp[655] rep/E A global correlation update failed:Failed to open a TLS connection to HTTP server at X.X.82.127:443 :TLS connection failed] および [collaborationApp[459] rep/E A global correlation update failed:Failed download of ibrs/1.1/drop/default/1296529950 :URI does not contain a valid ip address]

A. IPSは、ポートの問題が原因でインターネットに接続できません。たとえば、インターネットアクセス用に正しいポートが開いていないパス内のファイアウォールや、NATの問題である可能性があります。

グローバル相関が完全に機能するためにセンサーは、最初に https update-manifests.ironport.com を介して接続してユーザを認証し、次に HTTP 接続で GC のアップデートをダウンロードします。センサーが HTTP（updates.ironport.com）からダウンロードするファイルは、グローバル相関で使用されるレピュテーション データです。https update-manifests.ironport.com は X.X.82.127 アドレスに解決される必要がありますが、アクセスするインターネットに応じて、http updates.ironport.com の IP アドレスが変わる場合があります。そのため、IP アドレスを確認する必要があります。URL フィルタリングが有効な場合は、IPS がインターネットに接続できるように、URL フィルタの IPS 管理インターフェイス IP の例外を追加します。

次のエラーは、前の GC のアップデートが破損している場合に発生します。

collaborationApp[459] rep/E A global correlation update failed:Failed download of ibrs/1.1/drop/default/1296529950 :URI does not contain a valid ip address

この問題は、通常、GC サービスの電源をオフにした後、オンにすると修正できます。IDM で [Configuration] > [Policies] > [Global Correlation] > [Inspection/Reputation] を選択し、[Global Correlation Inspection]（[On] になっている場合は [Reputation Filtering] も）を [Off] にします。そして、変更を適用し、10 分待って、機能をオンにして監視します。

Q. Aグローバル相関の更新に失敗しました： openConnection:Caught IpAddrException badAddrString.Unable to use the Global Correlation HTTP proxy and DNS settings.Verify connection and try again.]エラー メッセージを、レピュテーション アップデートの失敗」のカテゴリで受信します。これを解決するにはどうすればよいですか。

A.次の項目を確認します。

• グローバル相関の機能が動作するには、有効な IPS ライセンスが必要です。

• グローバル相関の機能が動作するには、HTTP プロキシ サーバまたは DNS サーバが設定されていることが必要です。

• グローバル相関のアップデートはセンサー管理インターフェイスを介して実行されるため、ファイアウォールで tcp 443/80 および udp 53 トラフィックを許可する必要があります。

• センサーがグローバル相関機能をサポートすることを確認します。この機能が不要な場合は、IDM でグローバル コラボレーション機能を無効にしてください。

  • [Configuration] > [Policies] > [Global Correlation] > [Inspection/Reputation] を選択し、[Global Correlation Inspection]（[On] になっている場合は [Reputation Filtering] も）を [Off] にします。

Q. 「A global correlation update failed: openConnection:Caught IpAddrException badAddrString] エラーを解決する方法を教えてください。

A.グローバル相関(GC)を使用する場合は、名前解決が機能することを確認します。たとえば、DNSに到達できます。また、ファイアウォールでブロックされたポート53があるかどうかを確認します。それ以外の場合は、このメッセージを削除したい場合にGC機能をオフにすることができます。

Q.ブラウザからIMEを起動すると表示される「Exception when initializing the connection to MySQL」エラーメッセージを解決するにはどうすればよいのですか。

A.この問題は、通常、Windows 7などのサポートされていないオペレーティングシステムでIMEを実行しようとすると発生します。

Q. "タイトル：IDM on 88-nsmc-c1 Vendor:Cisco Systems, Inc. Category:Launch File Error JAR resources in JNLP file are not signed by same certificate]または [Error connecting to sensor, Failed to create sensor x.x.x.x:443 exiting idm] というエラーを解決する方法を教えてください。これは、アプリケーションの起動時に発生します。

A.この問題を解決するには、ブラウザのキャッシュをクリアします。

Q. GUIを使用すると、IPSの非対称モードを設定できますか。

A.バージョン6.0では、CLIのみを使用して設定でき、GUIでは使用できないIPS上の非対称モード。しかし、バージョン 6.1 では、この機能を GUI でも使用できます。

Q. IPSセンサーで遅延の問題を解決するにはどうすればよいのですか。

A.この問題を解決するには、非対称モード処理を有効にして、センサーの状態をフローと同期させ、両方向を必要としないエンジンの検査を維持します。次の設定を使用ます。

IPS_Sensor#configure terminal
IPS_Sensor(config)#service analysis-engine
IPS_Sensor(config-ana)#virtual-sensor vs0
IPS_Sensor(config-ana-vir)#inline-TCP-evasion-protection-mode asymmetric

遅延の問題は、VS0のすべてのシグニチャに対してインラインおよび拒否パケットが有効になっている場合に発生します。すべてのシグニチャを有効にすると、IPSが通過するすべてのパケットを検査するため、遅延が発生します。遅延の問題を解決するには、ネットワーク トラフィック フローに従って、必要な特定のシグニチャのみを有効にすることをお勧めします。

Q. AIP-SSMはSkypeのブロックに役立ちますか。

A. PIX/ASAはSkypeトラフィックをブロックできません。Skype には、ダイナミック ポートとネゴシエートし、暗号化されたトラフィックを使用する機能があります。トラフィックが暗号化されているので、検索するパターンが存在せず、事実上 Skype を検出するのは不可能です。

最終的には、Cisco IPS（Intrusion Prevention System）/AIP SSM を使用できます。これには、バージョンを同期させるために Skype サーバに接続する Windows Skype Client を検出できるいくつかの署名があります。これは通常はクライアントが接続を開始するときに行われます。センサーが最初の Skype 接続をピックアップするときに、そのサービスを誰が使用しているのかを発見でき、その IP アドレスから開始されたすべての接続をブロックすることができます。

Q. IPSでは、センシングインターフェイスがフラップしたり頻繁にダウン状態になるのはなぜですか。

A.シグニチャの更新および再設定中に、sensorAppは更新で新しいシグニチャを処理するときにパケットの処理を停止します。ネットワーク ドライバは、sensorApp が停止したことを検出し、バッファからの新しいパケットをプルします。そして、ネットワーク ドライバはさまざまな処理を行いますが、これは、設定およびセンサー モデルによって異なります。

無差別インターフェイス - インターフェイスでリンクを停止し、sensorApp がモニタリングを再開すると、リンクを再起動します。

インライン インターフェイスまたはインライン VLAN ペア - バイパス設定によって異なります。

• Bypass Auto：ドライバはリンクを動作中のままにし、分析せずにパケットを通過させます。そして、sensorApp がモニタリングを再開すると、sensorApp を通過するパケット送信に戻ります。

• Bypass Off：ドライバは、無差別モードの場合と同様にインターフェイスでリンクを停止し、sensorApp がモニタリングを再開すると、リンクを再起動します。

したがって、センサー アプリケーションがバッファからパケットをプルしない場合、ドライバはインターフェイスをダウン状態にすることができます。これは、パケットを処理するように設定されているインターフェイスがないために発生する可能性があります。

次のログは、センシング インターフェイスがフラップすると生成されます。

28Jun2011 09:03:09.483 6050.885 interface[409] Cid/W errWarning Inline
    databypass has started.
28Jun2011 09:03:13.639 4.156 interface[409] Cid/W errWarning Inline databypass
    has stopped.
28Jun2011 09:19:23.922 970.283 interface[409] Cid/W errWarning Inline databypass
    has started.
28Jun2011 09:19:27.486 3.564 interface[409] Cid/W errWarning Inline databypass 
    has stopped.

Q. IDSまたは侵入防御システム(IPS)センサーはパスワード履歴を維持しますか。

A.いいえ、センサーはパスワード履歴を維持しません。パスワードが表示されることはありません。

Q. IDSまたは侵入防御システム(IPS)センサーは、syslogサーバをサポートしてログを送信しますか。

A. いいえ。

Q. IPSにイベントを保存する上限はどのくらいですか。

A.センサのローカルイベントは30 MBしか保存せず、30 MBの制限に達すると上書きを開始します。この制限は設定できません。

Q.着信または発信メールでfoto[a-z]\.zipファイルを検出するシグニチャを書くには？

A.添付ファイルを検出するシグニチャを書き込むには、STRING.TCPを使用します。次の記述に似た部分を探してください。

Engine STRING.TCP 
Enabled True 
Severity informational 
AlarmThrottle Summarize 
CapturePacket False 
Direction ToService 
MinHits 1 
Protocol =TCP 
RegexString [Ff][Ii][Ll][Ee][Nn][Aa][Mm][Ee][=]["][Ff][Oo]
             [Tt][Oo][a-zA-Z][.][Zz][Ii][Pp]["] 
ResetAfterIdle 15 
ServicePorts 25 
StorageKey =STREAM

Q. FTPクライアントタイムアウトを設定するにはどうすればよいのですか。

A.次のコマンドを発行します。

configure terminal
service host
networkParams
ftpTimeout 300 <timeout is in seconds>

Q. iplog-statusの開始時刻と終了時刻を読み取り可能な形式に変換するにはどうすればよいのですか。

A.この出力は、UNIXエポック以降の現在の時刻を10進数で表したものです。UNIXのDate/Time CalculatorサイトにあるようなUNIXエポックカルキュレータを使用し ます。最初の 10 桁を入力します。これは、この計算ツールで使用できるのは秒単位までであり、IDS ではナノ秒単位で保存されるためです。つまり、最後の 9 桁は削除されます。この出力にある開始時間は、1084798479 = Mon May 17 12:54:39 2004 (GMT) に変換されます。

CLI で iplog-status と入力すると、次の出力を受信します。

"
Log ID:             138343946
IP Address:         xxx.xxx.xxx.xxx
Group:              0
Status:             completed
Start Time:         1084798479512524000
End Time:           1084798510136582000
Bytes Captured:     2833
Packets Captured:   14
"

Q.証明書を取得しようとする際の「IOException:java.security.cert.CertificateExpiredException] 」というエラー メッセージが表示されます。どうすれば、これを解決できますか。

A.このエラーメッセージを解決するには、AIP-SSMにログインし、次の例に示すように特権EXECモードでtls generate-keyコマンドを発行します。

sensor#tls generate-key

注：このコマンドのtls generate-keyを使用する解決策でも、AIP-SSMがIMEに接続できない問題が解決されます。

Q.「IOException:接続が拒否されました：接続。IME IME server is not responding.Please check if it is running] エラー メッセージが、IME で IPS を追加すると表示されます。どうすれば、この問題を解決できますか。

A.このエラーメッセージを解決するには、[Control Panel] > [Admin Tools] > [Services]の順に選択して、IMEサービスを再起動します。

Q. Could not verify config username/password[IOEXception - connect timed out]エラーメッセージが表示されます。どうすれば、この問題を解決できますか。

A. IMEとIPSセンサーの間の通信が切断されたことを示します。SDEE をブロックするソフトウェアがないことを確認してください。

Q.「Error response from IME server:Unknown error (check log file in installation's log directory)」というエラーメッセージが表示されます。どうすれば、この問題を解決できますか。

A.このエラーメッセージを解決するには、IMEにIPSを追加するときに正しいIPアドレスが使用されていることを確認し、IMEコンピュータで実行されているソフトウェアファイアウォールもチェックします。接続がブロックされる可能性があります。

Q. IDSまたは侵入防御システム(IPS)センサーは電子メールアラートを送信できますか。

A. IDSセンサには、電子メールアラートを独自に送信する機能がありません。IDS と併用しているセキュリティ モニタには、イベント ルールがセンサーによってトリガーされたときに電子メール通知を送信する機能があります。

セキュリティ モニタで電子メール通知を設定する方法の詳細については、「電子メール通知の設定」を参照してください。

Cisco IPS Manager Express（IME）は、イベント ルールが Cisco IPS センサーによってトリガーされたときに電子メール通知メッセージ（アラート）を送信するように設定できます。詳細については、「IPS 6.X 以降：IME を使用した電子メール通知の設定例」を参照してください。

Q.エラー:Cannot communicate with mainApp (getVersion). システム管理者にお問い合わせください。エラー メッセージが、センサーに接続しようとすると表示されます。どうすれば、この問題を解決できますか。

A.この問題を解決するには、センサーを再起動します。

Q.警告:警告：Insufficient resources available to combine all currently active custom regexes.Some alerts will not fire.Consider retiring signatures until this message no longer occurs.]エラー メッセージが、センサーでのシグニチャ調整時に表示されます。どうすれば、この問題を解決できますか。

A.この問題を解決するために使用されていないシグニチャをリタイアし、また正規表現を使用する顧客シグニチャの数を減らす必要があります。さらに、* および + というメタ文字を regex で使用することもお勧めします。

Q. Cisco Intrusion Prevention System(IPS)センサーで遅延の問題が発生するのはなぜですか。どうすれば、この問題を解決できますか。

A.遅延の問題は、非対称ルーティングが原因で発生する可能性があります。この問題を解決するには、シグニチャ 1330 を無効にしてみてください。

Q. SSHv1を無効にして、Cisco Intrusion Prevention System(IPS)センサーでSSHv2のみを有効にすることは可能ですか。

A.現在は、SSHv1を無効にして、SSHv2のみを有効にすることはできません。SSHv1 および SSHv2 の両方がイネーブルにされ、個別にディセーブルにすることはできません。

Q.エラー:An error occurred at the sensor during the update, sensor message = The update requires 115000 KB in /usr/cids/idsRoot/var, there are only 110443 KB available.]メッセージが、センサーをバージョン 4.1(5) にアップグレードすると表示されます。 どうすれば、この問題を解決できますか。

A.このエラーメッセージは、センサーのメモリ不足が原因で発生します。

この問題を解決するには、次の手順を実行します。

1. サービス アカウントにログインし、ルートになります。
2. 以下に示すように、次のディレクトリを削除します。

   # rm -rf /usr/cids/idsRoot/var/updates/files/S69
   # rm -rf /usr/cids/idsRoot/var/updates/files/common
   # rm /usr/cids/idsRoot/var/virtualSensor/*
   # rm /usr/cids/idsRoot/var/.tmp/*

3. ここでセンサーをアップグレードします。詳細については、Cisco Bug ID CSCsb81288（登録ユーザ専用）を参照してください。

Q. ASAのログにmainApp[396] cplane/E Error - accept()call returned -1エラーメッセージが表示されます。このエラーはどうすれば解決しますか。

A. mainApp[396] cplane/E Error - accept()呼び出しが–1を返したエラーメッセージは、Webサーバがファイルを読み取ることができず、accept()プログラムが失敗し、TLS接続が存在する場合にファイル記述子を生成することをします。ただし、このファイルは、通常の動作には必要ではありません。したがって、問題はありません。

Q. tls/W errTransport WebSession::sessionTask TLS接続の例外を解決する方法を教えてください。handshake incomplete] エラー メッセージの解決方法を教えてください。

A.このエラーメッセージは、証明書がモジュールで有効でなくなったことを示します。この問題を解決するには、次の手順を実行します。

1. 次の手順で、CLI から証明書を再生成します。

   1. センサーのコマンドラインにログインします。

   2. tls generate コマンドを発行し、Enter キーを押します。表示されたフィンガープリントに注意してください。

2. 次の手順で、新しい証明書を IME にプルします。

   1. IME を開き、ホーム ページにあるリストでセンサー名を見つけます。

   2. センサーを右クリックし、[Edit] をクリックします。

   3. [Edit Device] 画面が表示されたら、[OK] をクリックします。センサーの時間を取得できないことに関する警告をバイパスします。

   4. 新しいセキュリティ証明書（今、生成した）の確認を促されます。 フィンガープリントが一致することを確認し、[Yes] をクリックします。

   5. 数秒後に、センサーの [Event Status] に再び [Connected] が表示されます。

Q. IPSにログインしようとすると、次のエラーメッセージが表示されます。[errSystemError-ct-sensorAPP.450 not responding, clientpipe failed.]このエラーを解決するにはどうすればよいのですか。

A.このエラーを解決するには、resetコマンドを使用してIPSをリブートします。

Q. AIP-SSMの時間は、Cisco適応型セキュリティアプライアンス(ASA)の時間と異なります。 どうすれば、この問題を解決できますか。

A.この問題を解決するには、NTPサーバを使用して、Cisco適応型セキュリティアプライアンス(ASA)とAIP-SSMの時刻を同期します。

詳細については、「IPS センサーでの NTP の設定」を参照してください。

Q. AIP-SSMに複数の仮想センサーを適用するにはどうすればよいのですか。

A. AIP-SSMにはインターフェイスが1つしかないため、AIP-SSMの仮想センサーはインターフェイスごとに適用できません。複数の仮想センサーを作成する場合は、このインターフェイスを 1 つの仮想センサーにだけ割り当てる必要があります。他の仮想センサーのインターフェイスを指定する必要はありません。

仮想センサーの作成後に、allocate-ips コマンドを使用して、センサーを Adaptive Security Appliance（ASA）のセキュリティ コンテキストにマッピングする必要があります。複数のセキュリティ コンテキストを複数の仮想センサーにマッピングできます。詳細については、「AIP-SSM の設定」の「Adaptive Security Appliance コンテキストへの仮想センサーの適用」セクションを参照してください。

Q. AIP-SSMでサポートされる仮想センサーの最大数はいくつですか。

A.仮想センサは最大4個までサポートできます。

Q. SSHまたはIDMを使用してIPSにログインする場合、RADIUS/TACACS+サーバに対して管理ユーザを検証するためにIPS 4240/IDSM/IDSM2を設定できますか。

A. TACACS+サーバでは使用できませんが、RADIUSはIPS 7.0.(4)E4リリースからサポートされています。詳細については、『Cisco Intrusion Prevention System 7.0(4)E4のリリリース・ノート』の「新規および変更された情報と制限」セクションを参照してください。また、設定例については、「IPS 7.X：RADIUS サーバとして ACS 5.X を使用したユーザ ログイン認証の設定例」を参照してください。

Q. IPS機能に対する期限切れライセンスの影響は何ですか。

A.期限切れのライセンスがセンサーに与える影響は、シグニチャの更新を停止することだけです。

Q. IPSシグニチャのアップデートは、サービスまたはネットワーク接続に影響を与えますか。

A.いいえ。IPSシグニチャのアップデートは、サービスやネットワーク接続に影響を与えません。

Q. IPSモジュールを最新のシグニチャで自動的に更新するために入力する必要がある正確なURLは何ですか。

A. IPSモジュールを最新のシグニチャで自動的に更新するために必要なリンクは次のとおりです。https://198.133.219.25/cgi-bin/front.x/ida/locator/locator.pl です。

IPS モジュールの更新を完了するには、Cisco ユーザ ID とパスワードを使用する必要があります。

注：6.xコードトレインでは、Cisco.comからの自動更新はサポートされていません。シグニチャ ファイルを手動でダウンロードし、センサーに適用する必要があります。6.x コードには、自動アップデートの機能があります。ただし、この機能を使用できるのは、ローカル ファイル サーバからだけです。このサーバにも、シグニチャ ファイルを手動でダウンロードする必要があります。

Q. IPSセンサーは、X11ポート転送セッションのハイジャックの脆弱性に対して脆弱ですか。

A.いいえ。次の理由により、この脆弱性は存在しません。

• センサーには、X11 ライブラリがありません。そのため、乗っ取られるセッションはありません。

• X11 ポート フォワーディングは、SSH 設定では有効になっていません。

• IPv6 は、センサーのカーネルにコンパイルされていません。これは、脆弱性を利用するために必要なことです。

Q. ASAに多数の警告ログと攻撃ログが表示されている場合、AIP-SSMにログが表示されないのはなぜですか。

A.これは、ASAが何かをブロックするときに、IPSに渡されて重複インスペクションが行われないために発生します。したがって、ASA と IPS で、重複するログは表示されません。

Q.ユーザがS518シグニチャセットを導入すると、「invalidValue:Editng string-xl-tcp sig XXXX has NO effect in this version」エラーメッセージが表示されます。これは、なぜですか。

A.完全なエラーメッセージは次のとおりです。

evError: eventId=1284051856322985135 vendor=Cisco severity=warning
  originator:
    hostId: vbintestids03
    appName: sensorApp
    appInstanceId: 700
  time: offset=-240 timeZone=GMT-05:00 1286305251136551000
errorMessage: name=errWarning invalidValue:Editing string-xl-tcp 
sig 21619 has NO effect

この問題は、string-xl-tcp または string-tcp-xl エンジンがハードウェアでサポートされていないために発生します。詳細については、『IPS エンジン E4 リリース ノート』を参照してください。

Q.自動更新機能を使用してASA-SSM-10のシグニチャを自動的に更新すると、次のエラーメッセージが表示されます。[No installable auto update package found on server status=true.]。この問題を解決するには、どうすればよいですか。

A.この出力は、完全なエラーメッセージを示しています。

autoUpgradeServerCheck:   
    uri: https://XX.XX.XX.XX//cgi-bin/front.x/ida/locator/locator.pl  
    packageFileName:   
    result: No installable auto update package found on server  status=true

このエラーが生成されると、シグニチャは自動的にアップデートされません。これは、S479 より後のシグニチャ定義アップデートには E4 エンジンが必要であるためです。これを解決するには、センサーを手動で 7.0(2) E4 にアップグレードする必要があります。

注：センサは7.0(2)とセンサーのリブートが必要なため、E4に自動的にアップグレードできません。

Q. IPS 5.0 for NIDSモジュールの自動更新機能が動作していません。。この問題を解決するには、どうすればよいですか。

A.この出力は、完全なエラーメッセージを示しています。

autoUpgradeServerCheck:   
    uri: ftp://hfcu-inet01@192.168.1.12//ips-update/  
    packageFileName:   
    result: No installable auto update package found on server  status=true

この問題は、FTP サーバでの不適切なディレクトリ リスト表示形式が原因で発生します。この問題を解決するには、既存の MS-DOS 形式のディレクトリ リスト表示から UNIX 形式のディレクトリ リスト表示に切替えてください。

ディレクトリ リスト表示設定を変更するには、[Start] > [Program Files] > [Administrative Tools] を選択して Internet Services Manager を開きます。[Home Directory] タブに移動し、MS-DOS から UNIX にリスト表示スタイルを変更します。

Q. IPS-4255は、アップグレード中にSensorApp fails in TcpRootNode::expireNow()エラーメッセージを受信します。これを解決するにはどうすればよいですか。

A.この問題は、分析エンジンの障害が原因で、Cisco Bug ID CSCtb39179(登録ユーザ専用)で対処されています。 この問題を修正するには、センサーをバージョン 7.0(4)E4 にアップグレードします。

Q.新しいライセンスを購入した後でライセンスの更新を実行しようとすると、デバイスから次のエラーが報告されます。[Failed to update license on sensor.] [errExpiredLicense-The new license expire date is older than current license expire date.] 。この問題を解決するには、どうすればよいですか。

A.この問題は、受信したライセンスファイルが無効な場合に発生します。有効なライセンス ファイルを入手するには、登録ユーザとして Cisco.com にログインし、適切なライセンス ファイルをダウンロードします。有効なライセンス ファイルを入手したら、センサーにインストールします。

新しいライセンス ファイルをインストールしてもエラーが表示される場合は、既存の無効なライセンス ファイルの問題である可能性があります。この問題を解決するには、次の手順を実行して、既存の無効なライセンス ファイルを削除します。

1. サービス アカウント ユーザ名を入力して、サービス アカウントにログインします。

   サービス アカウントがない場合は、IPS コマンドラインを開き、コンフィギュレーション モードにして、次のコマンドを入力します。

   username name privilege service password password

   ciscoasa# session 1
   Opening command session with slot 1.
   
   Connected to slot 1. Escape character sequence is 'CTRL-^X'.
   login:
   Password:
   
   IPS#
   IPS#conf t
   IPS(config)# username name privilege service password password
   

2. サービス アカウントにログインしたら、su コマンドを入力して root に移動します（サービス アカウントと同じパスワードを使用します）。

3. /usr/cids/idsRoot/shared/ ディレクトリのファイルを削除します。

   注： host.confファイルは削除しないでください。

   1. cd /usr/cids/idsRoot/shared/ コマンドを入力して共有ディレクトリに移動します。

   2. ls コマンドを入力して、ディレクトリにあるファイルを表示します。

   3. rm file_name コマンドを入力してファイルを削除します。

      注： host.confファイルは削除しないでください。

4. /etc/init.d/cids restart コマンドを入力してセンサーを再起動します。

5. 新しいライセンスをインストールします。

Cisco バグが、この動作に対処するために報告されています。詳細については、CSCtg76339（登録ユーザ専用）を参照してください。

Q. errorMessage:IpLog 1712041197 terminated early due to lack of file handles.name=ErrLimitExceeded] エラー メッセージの意味は何ですか。これを解決するにはどうすればよいですか。

A.このエラーは、IPロギングのパケット量が多すぎることが原因で発生します。この問題を解決するには、IP ロギング機能を無効にしてください。IP ロギングの目的は、トラブルシューティングだけです。シスコでは、すべてのシグニチャに対しては IP ロギングを有効にしないことをお勧めします。

Q.センサーをs550からs551に更新すると、次のエラーが表示されます。[Cannot parse the current config for the component "signatureDefinition" and the instance "sig0".] 。この問題を解決するには、どうすればよいですか。

A.シグニチャ23899.0の変更により、この問題が発生します。詳細については、Cisco Bug ID CSCtn84552（登録ユーザ専用）を参照してください。

Q.センサーで次のエラーが発生します。エラー:autoUpdate successfully selected a package from the cisco.com locator service, however, package download failed:Failed to receive the HTTP response.]。この問題を解決するには、どうすればよいですか。

A. autoUpdateをブロックしているURLフィルタリング、コンテンツフィルタリング、またはプロキシサーバがあるかどうかを確認します。autoUpdate がブロックされていないことを確認し、提供されたユーザ クレデンシャルが正しいことも確認してください。

Q.バージョン6.2(3)E4で稼働するIPSセンサーで、次のXMLエラーメッセージが表示されます。[errorMessage: IPS software attempted to write invalid XML data for (token). Invalid XML character(s) were replaced with '*'.] 。この問題を解決するには、どうすればよいですか。

A.この動作は、Cisco Bug ID CSCsq50873(登録ユーザ専用)で対処されています。 これは表面的な問題であり、受信されるログが多すぎることを除いては、運用上のオーバーヘッドは作成されません。一時的な回避策は、センサーの NTP 関連の設定を削除することです。根本的に解決するには、この不具合が修正されているバージョンにアップグレードします。

Q. IMEワークステーションがクライアントを閉じても、管理対象サーバに常時接続するのはなぜですか。

A. IMEは2つのWindowsサービスとGUIクライアントとして機能します。クライアントが終了したときに、2 つの Windows サービス（Cisco IPS Manager Express と MySQL-IME）は動作を続行し、管理対象センサーからイベントを収集し、ローカルの MySQL データベースに格納し続けます。これにより、履歴レポートの作成が可能になります。

IME クライアントは、管理対象センサーへの単一の SDEE サブスクリプションを開き、後続のイベント取得アクティビティのために、それを再利用する必要があります。IME ワークステーションから管理対象センサーへの継続する接続は正常な動作です。

Q. AIP-SSMモジュールはSPANターゲットとして使用できますか。

A.いいえ。AIP-SSMモジュールは、ASAインターフェイスを通過するトラフィックの監視にのみ使用されるため、SPANターゲットとして使用することはできません。

Q. IPSをE3エンジンにアップグレードした後、CPU使用率が高くなるのはなぜですか。

A. E3エンジンアップデートでは、IPSはアイドル時間を管理するために異なるアルゴリズムを使用し、パケットのポーリングに時間を費やして遅延を削減します。このように、増加した検査処理に対応して、使用率が上がることになります。E3 で CPU を測定する適切な方法は、使用率ではなく、正しい CPU 使用率を示すパケット負荷パーセンテージを使用することです。

Q. IPSアプライアンスでヘルスステータスLEDが断続的に赤色に点灯するのはなぜですか。

A.これはCS-MARS、CSM、IEV、VMS-IDS/IPSMCなどのソフトウェアを実行しているリモート管理ステーションの証明書が正しくないために発生する可能性があります。この問題を解決するには、次の手順を実行します。

1. センサーの TLS 証明書をリモート管理ステーションに適用します。

2. 有効な DNS サーバを設定します。

Q. IPSがインターフェイスを通過する間にHTTPのトラフィックを遅延させないようにするには、どうすればよいのですか。

A.センサを非対称モードで動作するように設定すると、問題が解決します。非対称モード保護にセンサーを設定するには、次の手順を実行します。

1. [Configuration] > [Policies] > [IPS policies] に移動します。

2. 仮想センサーをダブルクリックします。

3. 高度なオプションに移動します。

4. 標準化モードで [Asymmetric mode protection] を選択します。

5. [OK] をクリックします。

6. 変更を有効にするために、装置をリブートします。

関連情報

• Cisco Secure Intrusion Prevention System に関するサポート ページ
• AIP-SSM のトラブルシューティング
• セキュリティ製品に関する Field Notices（CiscoSecure Intrusion Detection を含む）
• テクニカル サポートとドキュメント – Cisco Systems