Cisco Traffic Anomaly Detector Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.0)
ポリシー テンプレートの設定
ポリシー テンプレートの設定
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ポリシー テンプレートの設定

ポリシー テンプレートのタイプ

ポリシー テンプレートの設定の変更

ポリシー テンプレートの設定

ポリシー テンプレートは、ゾーンのトラフィック フローで検出するサービスに対して新しいゾーン ポリシーを構築するために Detector モジュールがラーニング プロセスのポリシー構築フェーズ実行中に使用する規則およびガイドラインをまとめたものです。各ポリシー テンプレートの出力は、ゾーン トラフィック内の DDoS 攻撃を検出するために Detector モジュールが使用するゾーン ポリシーのセットです。新しいゾーンを作成する場合、Detector モジュールは新しいゾーン設定にポリシー テンプレートのセットを組み込みます。

この章では、高度なポリシー テンプレート設定作業を実施する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー生成フェーズが影響を受けます。WBM を使用すると、ゾーンのポリシー テンプレートをイネーブルやディセーブルにしたり、または変更したりして、Detector モジュールがポリシー生成フェーズ中に作成するポリシーを制御できます。

この章は、次の項で構成されています。

ポリシー テンプレートのタイプ

ポリシー テンプレートの設定の変更

ポリシー テンプレートのタイプ

トラフィック フローのサービスに一致させるために、Detector モジュールがポリシー構築フェーズ中に使用できるポリシー テンプレートには、いくつかのタイプがあります。ポリシー テンプレートの名前は、Detector モジュールがテンプレートから作成するすべてのポリシーに共通の特性に由来しています。この特性は、プロトコル(DNS など)やアプリケーション(http など)、目的(ip_scan など)です。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。

表 6-1 に、Detector モジュールのポリシー テンプレートの各タイプを示します。

 

表 6-1 ポリシー テンプレート

ポリシー テンプレート
作成される一連のポリシーの関連先

dns_tcp

DNS-TCP プロトコル トラフィック。

dns_udp

DNS-UDP プロトコル トラフィック。

fragments

断片化されたトラフィック。

http

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ip_scan

other_protocols

TCP および UDP 以外のプロトコル。

port_scan

tcp_connections

TCP 接続の特性。

tcp_not_auth

Detector モジュールのスプーフィング防止機能が認証していない TCP 接続。

tcp_outgoing

ゾーンによって開始された TCP 接続。

tcp_ratio

SYN パケットと FIN/RST パケットの比率など、各種の TCP パケットの比率。

tcp_services

HTTP 関連ポート(ポート 80 や 8080 など)以外のポートの TCP サービス。

udp_services

UDP サービス。

ユーザが DETECTOR_WORM ゾーン テンプレートを使用してゾーンを定義する場合、Detector モジュールには追加のポリシー テンプレートが用意されています。

表 6-2 で、DETECTOR_WORM に関する Detector モジュールのポリシー テンプレートについて説明します。

 

表 6-2 DETECTOR_WORM 用のポリシー テンプレート

ポリシー
テンプレート
構築される一連のポリシーの関連先

worm_tcp

TCP ワーム。これらのポリシーはワーム攻撃を管理します。ワーム攻撃では、1 つまたは複数の送信元 IP アドレスが、同一ポート上にゾーンの数多くの宛先 IP アドレスとの不完全な接続を多数作成します。このポリシー テンプレートは、主として、IP アドレス定義がサブネットであるゾーンを対象に設計されています。


) このポリシー テンプレートを使用できる対象は、
DETECTOR_WORM ゾーン テンプレートから作成されたゾーンのみです。


Detector モジュールは、ポリシー構築フェーズ中ではなく、しきい値調整フェーズ中に worm_tcp ポリシー テンプレートから作成されたポリシーにサービスを追加します。ポリシー テンプレートのパラメータ max_services と min_threshold は、worm_tcp ポリシー テンプレートには適用されません。

GUARD_ ゾーン テンプレートからゾーンを作成する場合、Cisco Anomaly Guard Module に同期させることができる追加のポリシー テンプレートのパラメータを設定できます。Cisco Anomaly Guard Module は、次の追加のポリシー テンプレートをサポートします。

tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。

tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Anomaly Guard Module には、TCP プロキシのスプーフィング防止メカニズムを使用しないゾーンを保護するための追加のポリシー テンプレートが用意されています。ゾーンが IP アドレスに応じて管理される場合(Internet Relay Chat(IRC; インターネット リレー チャット)サーバタイプ ゾーンなど)、またはゾーンでどのようなタイプのサービスが実行されているか分からない場合は、このようなポリシー テンプレートを使用できます。

GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義する場合、Cisco Anomaly Guard Module は、http、tcp_connections、および
tcp_outgoing のポリシー テンプレートをそれぞれ http_ns、tcp_connections_ns、および tcp_outgoing_ns のポリシー テンプレートに置き換えます。http_ns、tcp_connections_ns、および tcp_outgoing_ns の各ポリシー テンプレートは、Cisco Anomaly Guard Module に対して強化保護レベルの使用を要求するアクションを実行するポリシーを作成しません。

ポリシー テンプレートの設定の変更

ポリシー構築フェーズを管理するには、ポリシー テンプレートの特定のパラメータを次の方法で変更して、ポリシー生成フェーズを管理します。

ポリシー テンプレートをイネーブルまたはディセーブルにします。イネーブルにされたポリシー テンプレートだけが、Detector モジュールがポリシー生成フェーズ中に検出するサービスに基づいてポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。このようなポリシーは、 any というサービスで追加されます。

ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。

ラーニング プロセス中に Detector モジュールがポリシー テンプレートを使用して作成するポリシーの最大数を定義します。

ポリシー テンプレートの設定を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates を選択します。Policy Templates 画面が表示されます。

ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。

ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表 6-3 に、Policy
Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。

 

表 6-3 ポリシー テンプレートのパラメータ

パラメータ
説明

State

Min Threshold

サービスのトラフィック量の下限しきい値。最小しきい値のレートを定義する整数をパケット/秒(pps)単位で入力します。同時接続および syn/fin 比率を測定する場合、しきい値は接続の合計数です。サービスのトラフィック フローがしきい値を超過すると、Guard は、しきい値を超過した特定のトラフィック フローに基づいてサービスのためのポリシーを作成します。正しいゾーン検出に不可欠であるためにポリシーを常に構築するポリシー テンプレート(tcp_services、udp_services、other_protocols、http、および fragments)に、このパラメータを設定することはできません。

Max Services

ポリシー テンプレートが検出して、ポリシーの作成対象にするサービス(プロトコル番号またはポート番号)の最大数。サービスの最大数を定義する整数を入力します。

Detector モジュールは、ポリシー テンプレートが適用されるサービスをトラフィック量のレベルによってランク付けします。Detector モジュールは、定義済みの最小しきい値(Min Threshold パラメータで定義)を超えたサービスの中で最大のトラフィック量を持ついくつかのサービスを選択して、各サービスのポリシーを作成します。Guard は、そのポリシー テンプレートの特性を備えた他のすべてのトラフィック フローを処理する追加のポリシーを、 any というサービス パラメータ設定で追加することがあります。設定するサービスの最大数が大きいほど、ゾーンが必要とする Detector モジュールのメモリが多くなります。

このパラメータを定義できる対象は、tcp_services ポリシー テンプレートなど、サービスを検出するポリシー テンプレートです。次のポリシー テンプレートに対しては、このパラメータを設定できません。

サービス 53 に関連する dns_tcp ポリシー テンプレートなど、特定のサービスに関連するポリシー テンプレート。

fragments ポリシー テンプレートなど、特定のトラフィック特性に関連するポリシー テンプレート。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。


 

特定のポリシー テンプレートから作成されたすべてのポリシーを対象としてサービスを追加または削除するには、 第 8 章「ゾーンのポリシーの管理」 「サービスの追加または削除」の項を参照してください。