パッシブフェールオープンキットクイックスタートガイド改訂 A McAfee Network Security Platform McAfee Network Security Platform IPS Sensor はインラインで配備されると 指定したポートペア経由ですべての受信トラフィックをルーティングします ただし メンテナンスを行う場合や停電でポートが使用できない場合など Sensor をオフにしなければならないときがあります このようなとき トラフィックを中断せず継続させたい場合があります このような条件下では フェールオープンスイッチと呼ばれる外部デバイスを使用できます フェールオープンスイッチには アクティブフェールオープンスイッチとパッシブフェールオープンスイッチがあります パッシブフェールオープンスイッチは Sensor からコントロールケーブル経由で供給される電気信号により動作します Sensor のコントロールポートは コントロールケーブルによってフェールオープンスイッチのコントロールポートに接続されています Sensor の動作中 スイッチは オン になり すべてのトラフィックが Sensor を通じて直接ルーティングされます Sensor で障害が発生すると スイッチが自動的にバイパス状態に切り替わります インラインのトラフィックは引き続きネットワークリンクを通過しますが Sensor を通じてルーティングされなくなります Sensor の動作が回復すると スイッチが オン の状態に戻り インラインモードでの監視が再度有効になります 各 Sensor のコントロールポート数は Sensor モデルに応じて決まります 各 Sensor のコントロールポートは 対応するモニタリングポートペアに内部的に配線されます たとえば コントロールポート X2 は常にモニタリングポートペア 2A-2B とともに使用する必要があります 以下の表に パッシブフェールオープンスイッチの各種モデルを示します フェールオープンスイッチ パッシブ光ファイバー (850 nm) 10G (50 µm) SKU NS9x00 NS7x00 M-8000 M-6050 KT1 M-4050 M-3050 M-2950 M-2850 いいえはいはいはいいいえ パッシブ光ファイバー (850 nm) 10/1G (62.5 µm) パッシブ光ファイバー (1310 nm) 10/1G (8.5 µm) パッシブ銅線 10/100/1000 IAC-PF85050- IAC-PF85062- KT1 IAC-PF131010- KT1 IAC-PFOCG- KT2 いいえはいはいはいはい いいえはいはいはいはい いいえはいはいはいはい 1
光ファイバーフェールオープンスイッチは シングルモード光ファイバーとマルチモード光ファイバーの 2 種類で構成されています これらの種類の光ファイバーフェールオープンスイッチに関する詳細を表に示します この情報は重要です 使用するフェールオープンスイッチの種類を決める前に 組織のネットワークが使用する光ファイバーの種類を決める必要があるためです また 光ファイバーフェールオープンキットのすべての製品マニュアルと フェールオープンスイッチのステッカーには これらのパラメーターが表記されているため 各種類について理解することも重要です シングルモード光ファイバーとマルチモード光ファイバーの仕様の違いを以下の表に示します 種類光ファイバーの太さ波長帯 シングルモード ( ロングリーチ ) 8.5 µm 1300 nm から 1550 nm マルチモード ( ショートリーチ ) 50 µm または 62.5 µm 850 nm から 1300 nm NS-9x00 Sensor にはコントロールポートがないため パッシブフェールオープンキットをサポートしません 各種フェールオープンキットと Sensor との互換性の詳細については Fail-Open operation in Sensors ( Sensor でのフェールオープン操作 ) の章 ( McAfee Network Security Platform IPS Administration Guide ( McAfee Network Security Platform IPS 管理ガイド )) を参照してください フェールオープンキットの詳細については Fail-Open operation in Sensors ( Sensor でのフェールオープン操作 ) の章 ( McAfee Network Security Platform IPS Administration Guide ( McAfee Network Security Platform IPS 管理ガイド )) を参照してください この章には 本クイックスタートガイドの内容と関連する情報が多く記載されています このガイドのコピーを準備しておくと フェールオープンスイッチの取り付けと構成を行う際に役立ちます 1 梱包箱の内容 すべてのフェールオープンキットは同じコンポーネントで構成されています モデルによってケーブルやスイッチの種類は異なりますが キット自体のアイテムの内容は同じです アイテムのリストを表に示します 数量 アイテム 説明 1 フェールオープンスイッチ 1 19 インチラックマウントパネル ( 最大 3 つのスイッチを設置可能 ) 1 RJ-45/RJ-11 ケーブル (3 m) 4 銅線 : RJ-45/RJ-45 ケーブル (3 m) 光ファイバー : LC-LC (3 m) 銅線 : 1000Base-T スイッチ Sensor に内蔵のコントロールポート経由で すべての該当する Sensor モデルの GE ポートに接続します 光ファイバー : Sensor に内蔵のコントロールポート経由で すべての該当する Sensor モデルの 1-Gigait または 10-Gigait ポートに接続します 標準のラックに最大 3 つのバイパススイッチを設置できる 1RU のマウンティングハードウェアです Sensor のコントロールポートをフェールオープンスイッチに接続します ネットワークデバイスと Sensor にフェールオープンスイッチを接続します 光ファイバーフェールオープンキットでは 購入時の要件に応じてこれらのケーブルがシングルモードケーブルになるかマルチモードケーブルになるかが決まります 2
2 パッシブフェールオープンスイッチのラックへの取り付け 開始する前に フェールオープンスイッチの取り付け先となるラックを決めます 物理的な Sensor を使用している場合は モニタリングポートを使用してフェールオープンスイッチに物理的に接続できることを確認します ラックマウントパネルには フェールオープンスイッチを 3 つまで取り付けることができます このセクションで説明するラックマウントパネルは フェールオープンキットに同梱されています ラックへの取り付けは任意です フェールオープンスイッチをラックに取り付けたくない場合は Sensor または他のネットワークデバイスの上部にスイッチを直接取り付けることもできます a ラックマウントパネルの真ん中の開口部にスイッチを差し込みます スイッチの前面プレートがパネルに接するまで差し込んでください フェールオープンスイッチの前面プレートの穴とパネルの穴を重ねて付属のネジを差し込み ラックマウントパネルにスイッチを固定します 追加のフェールオープンスイッチを取り付ける場合は ラックマウントパネルをラックに設置したままの状態で取り付けることができます c d e 標準の 19 インチラックの前面に 1U パネルを取り付けます パネルの前面の穴とラックの側面の穴を重ねてネジ ( ラックマウントパネルに同梱 ) を回し入れ ラックマウントパネルを固定します ( 任意 ) スイッチを追加するには ( 最大 2 つまで ) 次の手順に従います a パネルの前面で 開口部をカバーしている取り外し可能なプレートを固定しているネジを外します この手順の 1 と 2 に従い ラックマウントパネルにフェールオープンスイッチを取り付けて追加します これで フェールオープンスイッチを Sensor に接続できるようになります 3
3 フェールオープンスイッチの接続 攻撃を正確に検知するには Sensor でネットワークの外部からのトラフィックと内部からのトラフィックを識別する必要があります トラフィックの方向を正確に識別するには フェールオープンスイッチを適切に配線し Manager で Sensor のモニタリングポートを適切に構成する必要があります パッシブフェールオープンスイッチは 以下の画像に示されているポートで構成されます フィールド 説明 1 Sensor のフェールオープンコントロールポートに接続 2 ネットワークデバイス ( 内部 ) に接続 3 ネットワークデバイス ( 外部 ) に接続 4 PTx/SRx - 内部 (Sensor ポート xa に接続 ) 5 STx/PRx - 外部 (Sensor ポート xb に接続 ) 4
ネットワークデバイスへのフェールオープンスイッチの接続 開始する前に 銅線フェールオープンスイッチを接続する場合は 2 つの Cat 5/Cat 5e Ethernet ケーブルがあることを確認します 光ファイバーフェールオープンスイッチを接続する場合は 2 つの LC-LC ケーブルがあることを確認します 番号 説明 1 パッシブフェールオープンスイッチ 2 フェールオープンコントロールポート (RJ-11) 3 フェールオープンスイッチのコントロールポート (RJ-45) 4 コントロールケーブル (RJ-45 から RJ-11 に接続 ) 5 ネットワークデバイスに接続 6 ネットワークデバイスに接続 7 Sensor のモニタリングポート 5A への PTx/SRx ( 内部 ) 接続 8 Sensor のモニタリングポート 5B への STx/PRx ( 外部 ) 接続 以下に 銅線および光ファイバーフェールオープンスイッチの両方を接続する手順を示します a 銅線の場合は フェールオープンスイッチの [Network 0] または [Net 0] とラベル付けされた Cat 5/Cat 5e/LC ポートに 光ファイバーの場合は フェールオープンスイッチの [Network A] ( 三角形付き ) とラベル付けされた Cat 5/Cat 5e/LC ポートに内部ネットワークケーブルコネクタを接続します このケーブルのもう一方の端を該当するネットワークデバイスに接続します 5
c d 銅線の場合は フェールオープンスイッチの [Network 1] または [Net 1] とラベル付けされた Cat 5/Cat 5e/LC に 光ファイバーの場合は フェールオープンスイッチの [Network B] ( 三角で表示 ) とラベル付けされた Cat 5/Cat 5e/LC に外部ネットワークケーブルコネクタを接続します このケーブルのもう一方の端を該当するネットワークデバイスに接続します このフェールオープンスイッチが 内部ネットワークおよび外部ネットワークのネットワークデバイスに接続されます 次に フェールオープンスイッチを Sensor に接続します ( いずれか ) 銅線フェールオープンスイッチの接続 開始する前に フェールオープンスイッチを Sensor に接続するには 2 つの Cat 5/Cat 5e Ethernet ケーブルが必要です 2 つの銅線 SFP モジュールを Sensor 上の対応する 2 つの未使用のモジュラーソケットに差し込みます Sensor と SFP モジュールの詳細については 該当するモデルの Sensor Product Guide ( Sensor 製品ガイド ) を参照してください フェールオープンキットに同梱されるコントロールケーブル a c d e f ポート [xa] (x は 1 から 6 まで ) の銅線 SFP に Cat 5/Cat 5e Ethernet ケーブル ( 内部 ) を接続します フェールオープンスイッチで [Monitor 0] というラベルの付いたポートにケーブルのもう一方の端を接続します 対応する [xb] ピアポートに Cat 5/Cat 5e Ethernet ケーブル ( 外側 ) を接続します たとえば 手順 1 で [2A] を使用した場合は ケーブルをポート [2B] に差し込みます フェールオープンスイッチの [Monitor 1] というラベルの付いたポートにケーブルのもう一方の端を接続します コントロールケーブルの片側の端をフェールオープンスイッチの [ コントロール ] ポートに接続します もう一方の端を Sensor のコントロールポート [Xy] に接続します [y] はいずれかのモニタリングポートに対応するポート番号です 接続する Sensor のコントロールポートは 使用するポートペアに対応している必要があります たとえば Sensor で 2A-2B のポートペアを使用する場合は X2 を使用する必要があります この配線では Sensor のモニタリングポート [xa] でネットワークの内部から送信されるトラフィックが監視され ポート [xb] でネットワークの外部から送信されるトラフィックが監視されます この構成 ([xa] が外部で [xb] が内部 ) は Sensor のポート構成と一致させる必要があります また これらのポートがそのように構成されている必要があります ( または ) 光ファイバーフェールオープンスイッチの接続 開始する前に フェールオープンスイッチを Sensor に接続するには 2 つの LC-LC ケーブルが必要です 1-Gigait フェールオープンスイッチを接続する場合は 2 つの光ファイバー SFP モジュールを Sensor 上の対応する 2 つの未使用のモジュラーソケットに差し込みます 6
10 Gigait フェールオープンスイッチを接続する場合は 2 つの光ファイバー XFP/SFP+ モジュールを Sensor 上の対応する 2 つの未使用のモジュールソケットに差し込みます Sensor または SFP/XFP/SFP+ モジュールの詳細については 該当するモデルの Sensor 製品ガイド を参照してください フェールオープンキットに同梱されるコントロールケーブル a LC-LC ケーブルをポート [xa] または [Gx/a] の LC レセプタクルに接続します x および a は 対応する 1 Gigait または 10 Gigait ポート番号です c d e フェールオープンスイッチの [Monitor A] というラベルの付いた LC レセプタクルに LC ケーブルのもう一方の端を接続します 対応するピアポート [xb] または [Gx/] に LC-LC ケーブルを接続します たとえば 手順 1 で [G1/1] を使用した場合は ケーブルをポート [G1/2] に差し込みます フェールオープンスイッチの [Monitor B] というラベルの付いたポートにケーブルのもう一方の端を接続します コントロールケーブルの片側の端をフェールオープンスイッチの [ コントロール ] ポートに接続します 接続する Sensor のコントロールポートは 使用するポートペアに対応している必要があります たとえば Sensor で 2A-2B のポートペアを使用している場合は コントロールポート X2 を使用する必要があります この配線では Sensor のモニタリングポート [xa] でネットワークの内部から送信されるトラフィックが監視され ポート [xb] でネットワークの外部から送信されるトラフィックが監視されます この構成 ([xa] が外部で [xb] が内部 ) は Sensor のポート構成と一致させる必要があります また これらのポートがそのように構成されている必要があります 4 Sensor のモニタリングポートの構成 開始する前に Sensor は Manager サーバーと信頼関係を確立するよう設定する必要があります Sensor にはインラインフェールオープンモードで配備できるフリーなポートペアが備わっています Sensor およびフェールオープンスイッチの配線を完了している場合 必要なトランシーバーモジュールは Sensor に挿入されています 初めて Sensor を設定する場合 ポートはデフォルトで無効になっています インラインフェールオープン動作を有効にするには Sensor のポートを手動で構成する必要があります a Manager で [Devices ( デバイス )] [<Admin_Domain_Name>] [Devices ( デバイス )] [<Device_Name>] [Setup ( セットアップ )] [Physical Ports ( 物理ポート )] の順に選択します いずれかの構成可能なポート ([G0/1] など ) をダブルクリックします ウィンドウの右側に構成パネルが表示されます 7
c [State] ( 状態 ) ドロップダウンをクリックし [Enaled] ( 有効 ) を選択します この構成はポート [G0/2] にも影響するため 続行するかどうか確認されます d [Yes] ( はい ) をクリックして続行します これで ポート G0/1-G0/2 が有効になります e f g h [Auto Negotiate] ( オートネゴシエーション ) チェックボックスをオンにし [Speed (Duplex)] ( 速度 ( 二重モード )) が [1 Gps (Full)] (1 Gps ( 全 )) に設定されていることを確認します [Mode] ( モード ) ドロップダウンをクリックし [In-line Fail-Open Passive] ( インラインフェールオープンパッシブ ) を選択します [Placement] ( 配置 ) ドロップダウンをクリックし ポートの構成方法に応じて [Inside Network] ( 内部ネットワーク ) または [Outside Network] ( 外部ネットワーク ) を選択します McAfee[Gx/1] または [xa] を内部ネットワークとして [Gx/2] または [xb] を [ 外部ネットワーク ] として選択することをお勧めします [Response Port] ( 応答ポート ) ドロップダウンをクリックし 割り当てるポートを選択します インラインフェールオープンまたはインラインフェールクローズ設定では 同一のポートを応答ポートとして構成できます i [Save] ( 保存 ) をクリックします Sensor およびフェールオープンスイッチが設定されます トラフィックがポートを通過するときは ポートリンクのステータスが [Up] に変わって緑色になります 5 取り付けの確認 これらの手順に従って 設定が想定どおりに動作していることを確認します a Manager で インラインフェールオープンパッシブとして構成したポートの横にあるアイコンを確認します [Up] と表示されている必要があります フェールオープンスイッチの電源の LED を確認します 8
LED ステータス ON ( オン ) OFF ( オフ ) 説明 スイッチはフェールオープンモードになっておらず Sensor のモニタリングポートは通常どおり動作しています スイッチはフェールオープンモードになっており Sensor のモニタリングポートはトラフィックを監視していません c Gigait インラインフェールオープンモードのポートのステータスと動作モードのステータスを確認します インラインフェールオープンポートのステータス インラインフェールオープン - パッシブ (a/ とペア ) Sensor の ポートの色 緑 動作モードのステータス インラインフェールオープンデバイスはインラインフェールオープンモードです バイパス 黄 インラインフェールオープンデバイスはインラインバイパスモードで す バイパススイッチはアクティブになっています この間 Sensor は監視を行いません スイッチが存在しない 赤 フェールオープンコントロール コントロールケーブル またはバイパススイッチが存在しません 3 つのコンポーネントがすべて正しく接続されているか確認します すべてのコンポーネントが正しく接続されている場合は 動作ステータスを確認します 該当なし グレー 該当なし 動作モードがインラインフェールオープンモードではありま せん 6 トラブルシューティング Sensor が通常のインラインフェールオープンで動作している間 フェールオープンスイッチは常にハートビート信号を Sensor に送信します フェールオープンスイッチが設定された間隔で信号を受信しない場合 フェールオープンスイッチはデータパスから Sensor を除外し バイパスモードに移行します このため ネットワークはほとんど中断されません フェールオープンスイッチがバイパスモードで動作している間 トラフィックは Sensor をバイパスして直接スイッチを通過します Sensor で通常の動作が回復したら Manager のインターフェースから手動でモニタリングポートを有効にする必要があります ただし Sensor で発生した障害の原因によっては 手動で有効にする必要がない場合もあります 次のセクションでは Sensor をインラインモードに戻す方法について説明します 9
Sensor に障害が発生するとどうなりますか? Sensor でフェールオープンスイッチの障害が発生すると 次のイベントが 示されている順に発生します Manager の [System Health] ( 動作ステータス ) ウィンドウに [Sensor in ad health] エラーまたは [Port pair is in ypass mode] エラーが表示されます Sensor が再起動し フェールオープンスイッチがトラフィックの転送を開始します すべてのトラフィックが Sensor をバイパスし フェールオープンスイッチを経由します これにより トラフィックの中断を最小限に抑えることができます Sensor が再起動すると Sensor と接続されているデバイス間のリンクが切断されます 2 つのデバイス間のネットワークリンクを再度ネゴシエーションする必要があります ネットワークの中断は数秒から数分続く場合があります これは 使用しているネットワークデバイスによって異なります 再起動が完了すると Sensor はハートビートを再開します 次のいずれかが実行されます 前述のような通常の動作で再起動が行われた場合 フェールオープンスイッチは再び Sensor にデータを送信し Sensor はインラインフェールオープンモードに戻ります エラーにより再起動が行われた場合 管理者が Manager で Sensor のポートを手動で再度有効にするまで フェールオープンスイッチは Sensor にトラフィックを送信しません ポートが有効になると フェールオープンスイッチが Sensor 経由でのデータ送信を再開し Sensor がインラインモードに戻ります Sensor がインラインモードに切り替わる際にもリンクの再ネゴシエーションが行われるため 接続が短時間中断する場合があります Manager でエラーが発生しなくなり 通常の動作状態であることが報告されます よくある問題と解決方法 このセクションでは 設置に関する一般的な問題と解決方法について説明します 問題考えられる原因解決方法 ネットワークまたはリンクに問題がある Sensor の LED がオフになっている 配線が適切でないか ポートの構成が適切でない Sensor の電源が入っていない Sensor のポートにケーブルが接続されていない 送信ケーブルと受信ケーブルがフェールオープンスイッチに適切に接続されているかどうか確認してください Sensor の電源を入れてください Sensor にケーブルが接続されているかどうか確認してください Sensor は動作しているが トラフィックの監視を行っていない ネットワークデバイスのケーブルが接続されていない Sensor で Sensor のポートが有効になっていない ケーブルがネットワークデバイスとフェールオープンスイッチの両方に適切に接続されているかどうか確認してください Sensor で発生した障害によりポートが無効になっています Sensor での監視を再開するには Manager でポートを再度有効にしてください 10
問題考えられる原因解決方法 スイッチとルーターでエラーが発生する Manager の [Operational Status] ( 動作ステータス ) ページに Switch asent というエラーが表示される 配線が適切でないか ポートの構成が適切でない 配線が適切でない 送信ケーブルと受信ケーブルがフェールオープンスイッチに適切に接続されているかどうか確認してください 送信ケーブルと受信ケーブルがフェールオープンスイッチに適切に接続されているかどうか確認してください 11
Copyright 2015 McAfee, Inc. www.intelsecurity.com Intel および Intel のロゴは Intel Corporation における登録商標です McAfee および McAfee のロゴは McAfee, Inc. における登録商標です その他すべての登録商標および商標はそれぞれの所有者に帰属します 12 700-4419A16