Auto Update Server 4.2 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: AUS の紹介
AUS の紹介
Auto Update Server(AUS)を使用すると、自動アップデート機能を使用する PIX ファイアウォールおよび Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)上でデバイス コンフィギュレーション ファイルやソフトウェア イメージをアップグレードする際に Web ベースのインターフェイスを利用できます。
自動更新機能を使用するセキュリティ アプライアンスは、定期的に AUS に接続して、デバイス コンフィギュレーション ファイルを更新し、デバイスおよびステータス情報を渡します。
(注) AUS およびその他の関連サーバ アプリケーションのインストール方法については、『Installation Guide for Cisco Security Manager』を参照してください。
Auto Update Server の概要
Cisco Security Management Suite のコンポーネントである Auto Update Server(AUS)は、PIX ファイアウォール ソフトウェア イメージ、ASA ソフトウェア イメージ、PIX Device Manager(PDM)イメージ、Adaptive Security Device Manager(ASDM)イメージ、および PIX ファイアウォールと ASA の各コンフィギュレーション ファイルを更新するツールです。
ASA または PIX デバイスすべてのソフトウェアおよび ASDM/PDM イメージを更新できますが、コンフィギュレーション ファイルの更新には、Security Manager アプリケーションを使用してコンフィギュレーションを作成および展開する必要があります。
AUS は Security Manager でサポートされている任意の ASA または PIX デバイスおよびオペレーティング システムのバージョンで使用できます(デバイスのリストについては、Cisco.com の『 Supported Devices and Software Versions for Cisco Security Manager 』を参照してください)。ただし、デバイスはシングルコンテキスト モードで実行されている必要があります。セキュリティ コンテキストをホストするデバイスでは AUS は使用できません。AUS サーバ 1 台でデバイスを 1000 台まで管理できます。
AUS はスタティック IP アドレスを使用するデバイスまたは DHCP を介してダイナミックに IP アドレスを取得するデバイスで使用できます。DHCP を使用するデバイスでコンフィギュレーションを更新する場合は、AUS を使用してください。ネットワーク管理サーバでは IP アドレスを事前に知ることができないため、DHCP を使用してインターフェイス アドレスを取得するデバイスとは直接通信を開始できません。さらに、管理システムで変更が必要な場合にこれらのデバイスが実行されていないか、ファイアウォールおよび NAT 境界をまたいで実行されている可能性があります。
自動更新機能を使用するように設定した場合、デバイスがスタティックまたはダイナミック IP アドレスのいずれを使用していても、デバイスは定期的に AUS に接続します。デバイスによって AUS に現在の状態とデバイス情報が提供されます。それに対して AUS は、デバイスで実行するべきソフトウェア イメージおよびコンフィギュレーション ファイルのバージョン リストを提供してデバイスに答えます。デバイスによってファイル バージョンは、実行しているファイル バージョンと比較されます。バージョンが異なる場合は、デバイスによって新しいバージョンが AUS によって提供された URL からダウンロードされます。新しいファイル バージョンによってデバイスが最新の状態になると、デバイスによって AUS に状態およびデバイス情報が再度送信されます。
また、AUS を使用して、デバイスがサーバに接続するのを待たず、オンデマンドでデバイスのコンフィギュレーションまたはソフトウェア イメージを更新できます。この機能は、緊急の驚異に対応するためデバイスを更新する場合に有用です。
NAT 境界をまたいだ AUS の展開
NAT 境界をまたいで企業ネットワーク内またはエンタープライズ DMZ 内のいずれかで AUS を展開する場合、AUS によって管理される PIX ファイアウォールおよび ASA デバイスは NAT 境界をまたぐことはできません。たとえば、NAT 境界をまたいだ DMZ で AUS を展開して、インターネット上でのみ展開されたデバイスを管理できますが、一部のデバイスが境界内でプライベート アドレスを使用し、一部のデバイスがインターネット上の外部にある場合、NAT 境界をまたいだ DMZ 上に AUS を展開できません。
AUS が NAT 境界をまたいでいる場合、デバイスが AUS への接続に使用するアドレスは多くの場合、AUS サーバの実際の IP と異なります。したがって、NAT 境界のパブリック側のデバイスが AUS のアクセスに使用する IP アドレスを指定する必要があります。たとえば、通常の設定は次のようになります。
AUS のパブリック アドレス 209.165.201.1 で、AUS の内部アドレス、192.168.0.1 に対応します。
デバイスはすべてパブリック アドレスに接続するため、[NAT Settings] ページの IP アドレスを 209.165.201.1 に設定する必要があります。NAT 境界がかかわらない場合は、ローカル マシンの IP アドレスであるデフォルト値のままにします。
(注) デバイスはすべて NAT 境界をまたぐことはできません。NAT 境界をまたいだデバイスのコンフィギュレーションでは、AUS サーバが 2 台必要です。
[Admin] > [NAT Settings] を選択します。[NAT Settings] ページが表示されます。
ステップ 2 [NAT Address] を選択して、サーバの IP アドレスに変換される IP アドレスを入力します。
(NAT を使用しない場合、または後で NAT の使用をやめる場合は [Actual Host Address] を選択します)
デバイスの AUS への追加
Security Manager を使用してデバイスに AUS を介してコンフィギュレーションを展開する場合、デバイスが正常に AUS に接続してコンフィギュレーションを取得した後、デバイスは自動的に AUS インベントリに追加されます。これは、デバイスを追加する通常の方法です。
ただし、AUS を使用して Security Manager によって管理されていないデバイスのソフトウェアおよび ASDM/PDM イメージの更新を管理する場合、またはトラブルシューティングする場合には、手動でデバイスを追加できます。詳細については、 デバイスを直接 AUS に追加するを参照してください。
デバイスを AUS に追加する場合、Security Manager にはイネーブル パスワードおよび HTTP ユーザ名/パスワード(AUS では TACACS+ ユーザ名およびパスワードとして定義)が含まれます。これらのクレデンシャルは、デバイスで即時にコンフィギュレーションを更新するために [Update Now] アクションを実行する場合(即時自動更新)に使用されます。詳細については、「即時自動更新の要求」を参照してください。
AUS データベースのバックアップおよび復元
AUS データベースをバックアップおよび復元するには、標準の Security Manager/CiscoWorks バックアップおよび復元ユーティリティを使用します。データベース バックアップは、AUS をサーバ新しいサーバにインストールして、データベースを復元する場合に使用できます。
これらのツールの使用方法については、『 User Guide for Cisco Security Manager 』を参照してください。
ユーザ ロールおよび権限について
AUS では、CiscoWorks Server または Cisco Secure Access Control Server(ACS)を使用した 2 種類の認証方式がサポートされます。AUS および Security Manager をインストールすると、使用する方式を設定できます。詳細については、 付録 B「ユーザ ロールおよび権限」 を参照してください。
自動アップデート サーバへのログインと終了
Auto Update Server には、Cisco Security Management Suite のホーム ページからログインできます。また、ホーム ページから Security Manager クライアントをインストールしたり、Common Services、Performance Manager、RME、および Common Services にインストールされたその他のソフトウェアにアクセスしたりできます。
Web ブラウザで、次のいずれかの URL を開きます。
AUSServer は AUS がインストールされたコンピュータの名前を表します。いずれかのセキュリティ アラート ウィンドウで [Yes]
をクリックします。
• SSL を使用しない場合は、http:// AUSServer :1741 を開きます。
• SSL を使用する場合は、https:// AUSServer :443 を開きます。
Cisco Security Management Suite のログイン画面が表示されます。ページ上で、JavaScript と cookie がイネーブルになっていることと、サポートされているバージョンの Web ブラウザを実行していることを確認します。Security Manager を実行するためのブラウザの設定方法については、『 Installation Guide for Cisco Security Manager 』を参照してください。
(注) セキュリティを確保するためには SSL の使用を推奨します。また、Security Manager と AUS 間で適切に通信できるようにするため、AUS を実行するマシンのブラウザのセキュリティ モードをイネーブルにしてください。詳細については、「ブラウザとサーバ間のセキュリティの設定」を参照してください。
ステップ 2 ユーザ名とパスワードを使用して、Cisco Security Management Suite サーバにログインします。初めてサーバをインストールする場合は、ユーザ名の admin と製品のインストール中に定義されたパスワードを使用してログインできます。
ステップ 3 ログインすると Cisco Security Management Suite のホームページが開きます。このホームページには、サーバにインストールされているスイートのアプリケーションがリストされます。AUS を実行するサーバでは、少なくとも次の機能を使用できます。製品のインストール内容によっては、他の機能も使用できる場合があります。
• Auto Update Server:この項目をクリックすると、Auto Update Server インターフェイスが開きます。
• Server Administration:この項目をクリックすると、CiscoWorks Common Services Server のページが開きます。CiscoWorks Common Services は、サーバを管理する基盤ソフトウェアです。このソフトウェアを使用して、サーバの保守とトラブルシューティングやローカル ユーザ定義などのバックエンド サーバ機能を設定して管理します。
• CiscoWorks リンク(ページ右上):このリンクをクリックすると、CiscoWorks Common Services のホームページが開きます。このページからは AUS にもアクセスできます。
ステップ 4 アプリケーションを終了するには、画面右上にある [Logout] をクリックします。サーバのいずれかのウィンドウ([AUS] ウィンドウまたは Security Manager ホーム ページなど)からログアウトすると、すべてのウィンドウからログアウトされます。
ログイン セッションは、非アクティブな状態が 2 時間続くとタイムアウトになります。
ブラウザとサーバ間のセキュリティの設定
Security Manager で AUS に適切にコンフィギュレーション ファイルを展開するため、Security Manager デバイス インベントリに追加する、AUS によって管理されるデバイスでは、ブラウザとサーバ間のセキュリティ モードがイネーブルである必要があります。
Common Services では、クライアント ブラウザと AUS 間および AUS とデバイス間でセキュアなアクセスを提供するため、SSL を使用します。Common Services では次でセキュアなアクセスを実現します。
SSL はアプリケーションレベルのプロトコルで、プライバシー、認証、およびデータ整合性により、データのセキュアなトランザクションを実現します。SSL は、証明書、公開キー、および秘密キーに依存しています。SSL によってクライアントとサーバ間の転送チャネルが暗号化されます。CiscoWorks サーバでは、クライアント ブラウザと管理サーバ間のセキュア アクセスの認証に証明書を使用します。
クライアント ブラウザと管理サーバ間および AUS と Security Manager 間のアクセスをセキュアにするには、SSL をイネーブルにしてください。ただし、スタンドアロン AUS アプリケーション(Security Manager に統合されていない AUS)を実行する場合は、SSL をディセーブルにできます。
ステップ 1 Cisco Security Management Suite ホーム ページで、[Server Administration] をクリックして、Common Services を開きます。
ステップ 2 Common Services で、[Server] > [Security] > [Browser-Server Security Mode Setup] を選択します。
ステップ 3 [Enable] チェックボックスをオンにします。
ステップ 5 CiscoWorks セッションからログアウトして、すべてのブラウザ セッションを終了します。
ステップ 6 CiscoWorks サーバ CLI を使用して Daemon Manager を再起動します。
ユーザ インターフェイスについて
Auto Update Server アプリケーションはブラウザ上で実行されます。アプリケーションの操作には、ブラウザのボタンではなく、インターフェイスのリンクおよびボタンを使用します。図 1-1 にインターフェイスの図と、詳細な説明を示します。
|
|
|
|
|---|---|---|
|
|
表示されたページのコンテキストが表示されます。タブ、オプション、および現在のページが表示されます。リンクをクリックすると階層の中のそのページに移動できます。 |
|
|
|
||
|
|
製品の主な機能にアクセスできます。タブをクリックしてそのオプションにアクセスします。 • • • • • |
|
|
|
• |
|
|
|
||
|
|
画像で示すような多くのページには表があります。表の項目を操作するには、左端のカラムにあるチェックボックスをオンにして、表の下にある実行したいアクションに対応するボタンをクリックします。 ソートするカラムの見出しをクリックすると、表をソートできます。検索文字列を入力して、[Go] をクリックすると、表の項目を検索できます。 また、表の上にあるフィールドを選択することで、表の項目をフィルタ(関心のある項目のみを表示する)できます。この操作によって、表のみがフィルタされ、データベースからデータは削除されません。 |
コンフィギュレーション ファイルの更新
Security Manager では、管理されている PIX ファイアウォールおよび ASA デバイスのコンフィギュレーションを更新する媒体として AUS が使用されます。これらのコンフィギュレーションの作成および展開には、Security Manager を使用する必要があります。AUS のみを使用して、コンフィギュレーションの展開を実行できません。
図 1-2 に仕組みを示します。また、後続の手順では、Security Manager および AUS を併用して、コンフィギュレーションを展開する方法を説明します。
図 1-2 Security Manager および AUS を使用したコンフィギュレーション ファイルの更新
AUS サーバを使用するようにデバイスを設定します。
付録 C「AUS と連動するためのデバイスのブートストラップ」 を参照してください。
ステップ 2 Security Manager で New Device ウィザードで利用できる任意の方法を使用してデバイスを追加します。
• [Add New Device] または [Add Device from File] を選択すると、ウィザード上でデバイスを管理する AUS サーバを選択できます。これは、ブートストラップ時に設定したサーバと同じです。AUS サーバがインベントリですでに定義されていない場合は、デバイスの追加時に定義できます。
• [Add Device from Network] または [Add from Configuration Files] を選択すると、ウィザード上で AUS サーバを選択できません。代わりに、デバイスを追加した後に、[Tools] > [Device Properties] を選択して、[General] タブで AUS サーバを選択します。AUS サーバがインベントリですでに定義されていない場合は、デバイスのプロパティから定義できます。
デバイスを管理する AUS サーバを指定する他に、次の情報をウィザードまたはデバイスのプロパティで定義してください。
• デバイス ID:デバイスをブートストラップする際、ID として使用する文字列を設定します。これは通常、デバイスのホスト名です。ウィザードまたはデバイスのプロパティのいずれかに ID を入力します。
• クレデンシャル:イネーブル パスワードを入力します。AAA を使用してデバイスへのアクセスを制御している場合、デバイスで要求される HTTP のユーザ名およびパスワードを入力してください。
デバイスおよび AUS サーバをインベントリに追加する手順、およびこの手順で説明したその他の Security Manager のタスクについては、Security Manager のオンライン ヘルプを参照してください。
ステップ 3 Security Manager でデバイスの AUS ポリシーを設定します。次のいずれかを実行します。
• 単一のデバイスのポリシーを設定します。デバイス ビューで、デバイスを選択し、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。
• 同じ AUS を共有する多くのデバイスに割り当てることができる共有ポリシーを設定します。ポリシー ビューで、ポリシー タイプ セレクタから [PIX/ASA/FWSM Platform] > [Device Admin] > [Server Access] > [AUS] を選択します。[AUS] を右クリックし、[New AUS Policy] を選択してポリシーを作成するか、またはポリシー セレクタから既存のポリシーを選択してポリシーを変更します。[Assignments] タブを選択して、ポリシーを特定のデバイスに割り当てます。
必要に応じてデバイスに展開するコンフィギュレーションを実装するために、他のポリシーも設定します。
ヒント AUS を使用するために Security Manager が他のファイルをデバイスにダウンロードする必要がある場合、その AUS には設定を正常に展開できません。たとえば、リモート アクセス VPN ポリシーによっては、プラグイン、Anyconnect クライアント、および Cisco Secure Desktop 設定を設定できます。このようなファイルは AUS に送信されません。このようなタイプのポリシーを設定する場合は、AUS を使用しないでください。
ステップ 4 Security Manager で、[Deploy to Device] 展開方式を使用して設定を展開します。Security Manager によってコンフィギュレーションが AUS に送信され、そこでネットワーク デバイスによって取得されます。
デバイスを初めて展開すると、Security Manager によってデバイスが AUS インベントリに追加されます。デバイスで AUS インターフェイスを使用して即時自動更新などの(Update Now アクション)操作を実行する前に、AUS を介してデバイスを正常に展開する必要があります。正常に展開するには、デバイスが AUS に接続して、コンフィギュレーションを取得する必要があります。
ステップ 5 コンフィギュレーションが更新されたことを確認します。Event Report を表示すると、AUS に接続したデバイスに関する情報を表示できます。「Event Report の表示」を参照してください。
デバイスの更新には少し時間がかかる場合があります。更新情報が表示されない場合は、数分待機してから再度レポートを確認してください。それでも情報が更新されない場合は、 付録 A「AUS のトラブルシューティング」 を参照してください。
PIX セキュリティ アプライアンス、ASA、ASDM、および PDM イメージの更新
AUS を使用して PIX ファイアウォール ソフトウェア、ASA ソフトウェア、ASDM、および PDM イメージを更新できます。これらのイメージ更新には、Security Manager は使用しません。したがって、更新は Security Manager でコンフィギュレーションが管理されていないデバイスで実行できます。
ソフトウェアまたはデバイス マネージャ イメージを更新する際、次の点に注意してください。
• 新しい PIX または ASA ソフトウェア イメージがデバイスで実行されているコンフィギュレーション ファイルで使用できることを確認します。互換性のないソフトウェア イメージがダウンロードされると、デバイスによってすべてのサポートされないコマンドがドロップされ、コンフィギュレーション エラーが発生する場合があります。
• 新しい PDM または ASDM イメージが、デバイスで実行されている既存のソフトウェア イメージで使用できることを確認します。互換性のない PDM または ASDM イメージがダウンロードされると、PDM または ASDM が起動しない可能性があります。
(注) AUS を使用して ASDM および ASA ソフトウェア イメージを管理するには、asdm image および boot system コマンドを使用して ASA デバイスをブートストラップする必要があります。詳細については、「起動するソフトウェア イメージおよび ASDM イメージのコンフィギュレーション」を参照してください。
図 1-3 AUS を使用した PIX セキュリティ アプライアンス、ASA、ASDM、および PDM イメージの更新
|
|
|
|
|
|
|
|
AUS によってイメージ ファイルまたはコンフィギュレーション ファイル(または両方)の URL リストと一緒にデバイスで実行すべきファイルのチェックサムが送信されます。 |
|
|
デバイスによって AUS から受信したチェックサムが参照され、実行中のファイルが正しいことが検証されます。正しくない場合は、AUS にファイルが要求されます。 |
|
|
AUS サーバを使用するようにデバイスを設定します。
付録 C「AUS と連動するためのデバイスのブートストラップ」 を参照してください。
ステップ 2 デバイスが Security Manager によるコンフィギュレーションの展開時、または「デバイスを直接 AUS に追加する」の手順に従って手動で AUS に追加されたことを確認してください。
ステップ 3 イメージを AUS に追加します。詳細については、「ソフトウェア イメージの追加」を参照してください。
ステップ 4 ファイルを 1 つ以上のデバイスに追加します。
• ファイルを単一のデバイスに追加する方法ついては、「単一デバイスへのファイルの割り当て/割り当て解除」を参照してください。
• ファイルを複数のデバイスに追加する方法ついては、「複数のデバイスへのファイルの割り当て/割り当て解除」を参照してください。
設定したスケジュールに基づいてセキュリティ アプライアンスは AUS に接続して、新しいソフトウェア、ASDM、または PDM イメージをダウンロードします。これらのアクションにはユーザの介入は不要です。
ソフトウェア イメージを更新すると、デバイスは自動的に再起動されます。再起動によって接続が切断され、ファイアウォールを通じたすべての既存のセッションは中断されます。
このことから、トラフィックのピークを避けた時間帯にセキュリティ アプライアンス イメージ更新してください。すべてのファイアウォールがピークを避けた時間帯に更新されるようにするため、制限のあるポーリング時間を設定できます。たとえば、3 時間のポーリング時間を設定して、更新が午前 12 時に実行されるように設定できます。ファイアウォールはすべて午前 12 時から午前 3 時の間に更新されます。ポーリング間隔の設定に関する詳細については、「セキュリティ アプライアンスのブートストラップ」を参照してください。デバイスが Security Manager によって管理されている場合は、これらの設定を AUS ポリシーで設定してください(「コンフィギュレーション ファイルの更新」を参照)。
ステップ 5 イメージが更新されたことを確認します。Event Report を表示すると、AUS に接続したデバイスに関する情報を表示できます。「Event Report の表示」を参照してください。
デバイスの更新には少し時間がかかる場合があります。更新情報が表示されない場合は、数分待機してから再度レポートを確認してください。それでも情報が更新されない場合は、 付録 A「AUS のトラブルシューティング」 を参照してください。
フィードバック