Cisco Traffic Anomaly Detector Web-Based Manager コンフィギュレーション ガイド (Software Release 5.1)
ポリシー テンプレートの設定
ポリシー テンプレートの設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ポリシー テンプレートの設定

ポリシー テンプレートの使用

ポリシー テンプレートの設定の変更

ポリシー テンプレートの設定

ポリシー テンプレートは、ゾーン ポリシーを作成するために Detector がポリシー構築フェーズ中に使用するポリシー構築規則を集めたものです。ポリシー構築フェーズの終わりに、各テンプレートからポリシーのグループが出力されます。新しいゾーンを作成すると、Detector はゾーンの設定に一連のポリシー テンプレートを含めます。

この章では、ポリシー テンプレートを設定する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー構築フェーズが影響を受けます。WBM を使用してゾーンのポリシー テンプレートをイネーブルまたはディセーブルにするか、変更すると、Detector がポリシー構築フェーズ中に作成するポリシーを制御できます。

この章は、次の項で構成されています。

ポリシー テンプレートの使用

ポリシー テンプレートの設定の変更

ポリシー テンプレートの使用

Detector がポリシー構築フェーズ中に使用するポリシー テンプレートには、トラフィック フローのサービスと適合させるために、いくつかのタイプがあります。ポリシー テンプレートの名前は、作成するすべてのポリシーに共通の特性に由来し、プロトコル(DNS など)、アプリケーション(HTTP など)、または目的(ip_scan など)になります。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。

表6-1 に、Detector の各ポリシー テンプレート タイプの説明を示します。

 

表6-1 ポリシー テンプレート

ポリシー
テンプレート
作成される一連のポリシーの関連先

dns_tcp

DNS-TCP プロトコル トラフィック。

dns_udp

DNS-UDP プロトコル トラフィック。

fragments

断片化されたトラフィック。

http

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ip_scan

other_protocols

TCP と UDP 以外のプロトコル。

port_scan

tcp_connections

TCP 接続の特性。

tcp_not_auth

Detector のスプーフィング防止機能で認証されなかった TCP 接続。

tcp_outgoing

ゾーンによって開始された TCP 接続。

tcp_ratio

SYN パケットと FIN/RST パケットの比率など、各種の TCP パケットの比率。

tcp_services

HTTP 関連ポート(ポート 80 や 8080 など)以外のポートの TCP サービス。

udp_services

UDP サービス。

Detector には、指定したゾーン テンプレートから作成されたゾーン用の追加のポリシー テンプレートがあります。

表6-2 は、特定のゾーン テンプレートに基づいて Detector がゾーン設定に追加するポリシー テンプレートについての説明を示します。

 

表6-2 特定のポリシー テンプレート

ゾーン テンプレート
ポシリー テンプレート

DETECTOR_WORM

worm_tcp: TCP ワームに関連しているポリシーのグループを構築します。Worm TCP ポリシーはワーム攻撃を管理します。ワーム攻撃では、1 つまたは複数の送信元 IP アドレスが、同一ポート上に数多くの宛先 IP アドレスとの不完全な接続を多数作成します。このポリシー テンプレートは、主に、IP アドレス定義がサブネットであるゾーンのために設計されています。

Detector は、このポリシー テンプレートから作成されたポリシーに対して、ポリシー構築フェーズではなくラーニング プロセスのしきい値調整フェーズでサービスを追加します。ポリシー テンプレートのパラメータ
max_services と min_threshold は、このポリシー テンプレートには適用されません。

GUARD_SIP

sip_udp:SIP1 over UDP を使用して VoIP セッションを確立し、セッション確立後に RTP/RTCP 2を使用して SIP エンドポイント間のボイス データを送信する VoIP3 セッションに関する一連のポリシーを構築します。

1.SIP = Session Initiation Protocol

2.RTP/RTCP = Real-Time Transport Protocol/Real-Time Control Protocol

3.VoIP = Voice over IP

GUARD_ ゾーン テンプレートからゾーンを作成する場合は、Cisco Guard との同期が可能な追加のポリシー テンプレートのパラメータを設定することができます。Cisco Guard は、次の追加のポリシー テンプレートをサポートします。

tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。

tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Guard には、TCP プロキシのスプーフィング防止機能を使用しないゾーンを保護するための追加のポリシー テンプレートが用意されています。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、これらのポリシー テンプレートを使用できます。

GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義すると、Cisco Guard は、http、tcp_connections、tcp_outgoing の各ポリシー テンプレートを、http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートにそれぞれ置き換えます。http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートでは、Cisco Guard で強化保護レベルの使用を必要とするアクションを実行するポリシーは作成されません。

ポリシー テンプレートの設定の変更

ラーニング プロセス中、ゾーンのトラフィックは Detector を透過的に流れます。アクティブなポリシー テンプレートはそれぞれ、ポリシー定義とゾーンのトラフィック特性に基づいてポリシーのグループを生成します。Detector は、ポリシー テンプレートが監視するサービス(プロトコルとポート番号)をトラフィック量のレベルによってランク付けします。次に Detector は、トラフィック量が最大のサービス、および定義済みの最小しきい値を超えたサービスを選択し、各サービスのポリシーを作成します。ポリシー テンプレートの中には、特定のポリシーが any というサービスで追加されなかったすべてのトラフィック フローを処理する追加のポリシーを作成するものもあります。

ポリシー構築フェーズを管理するには、ポリシー テンプレートのパラメータを次の方法で変更します。

ポリシー テンプレートをイネーブルまたはディセーブルにします。ポリシー構築フェーズ中にポリシーを生成するのは、イネーブルになっているポリシー テンプレートだけです。

ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。

ラーニング プロセス中に Detector がポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。

ポリシー テンプレートの設定を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy Templates > View を選択します。Policy Templates 画面が表示されます。

ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。

ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表6-3 に、Policy
Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。

 

表6-3 ポリシー テンプレートのパラメータ

パラメータ
説明

State

Min Threshold

最小しきい値パラメータは、サービスの最小トラフィック量を定義します。このしきい値を超えると、Detector は、しきい値を超えた特定のトラフィック フローに応じて、サービス トラフィックに関連するポリシーを構築します。このしきい値を設定することにより、異常検出動作をより適切にゾーン サービスのトラフィック量に合わせることができます。

適切なゾーン異常検出に不可欠で、常にポリシーを構築するポリシー テンプレート(tcp_services、udp_services、other_protocols、http、fragments など)には、最小しきい値パラメータを設定することはできません。

最小しきい値レートを入力します(パケット/秒単位)。同時接続および SYN/FIN 比率を測定する場合、しきい値は接続の合計数です。

Max Services

Max Services(続き)

最大サービス数パラメータは、tcp_services、tcp_services_ns、udp_services、および他のプロトコルなどのサービスを検出するポリシー テンプレートだけに定義できます。このパラメータは、特定のサービスを監視するポリシー テンプレート(サービス 53 を監視する dns_tcp など)や、特定のトラフィック特性に関連するポリシー テンプレート( fragments など)には設定できません。

Detector は、ポリシーのトラフィック特性に基づいて、サービスのトラフィック レートを測定します。トラフィック特性は、送信元 IP アドレスまたは宛先 IP アドレスです。サービス any を監視するポリシーは、特定のポリシーによって処理されないために精密ではないすべてのサービス上の送信元 IP アドレスのレートを測定します。

サービス数を制限することにより、独自のトラフィック フロー要件に合わせて Detector ポリシーを設定できます。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。


 

特定のポリシー テンプレートから作成されたすべてのポリシーを対象としてサービスを追加または削除するには、 第 8 章「ゾーンのポリシーの管理」 「サービスの追加または削除」の項を参照してください。