Cisco Guard コンフィギュレーション ガイド Software Version 6.1
製品概要
製品概要
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

製品概要

について

DDos 攻撃について

スプーフィング攻撃について

非スプーフィング攻撃について

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

ゾーンについて

ゾーン ポリシーについて

ラーニング プロセスについて

ゾーン保護について

トラフィック フィルタについて

さまざまな保護モードについて

およびラーニング機能について

オンデマンド保護について

攻撃レポートについて

保護サイクルについて

製品概要

この章では、Cisco Guard(Guard)の概要について説明します。概要には、Guard の主要コンポーネントについての説明、および悪意のある攻撃トラフィックからネットワーク要素を保護するための主要コンポーネントの連携方法についての説明などが含まれます。

この章は、次の項で構成されています。

Guard について

DDos 攻撃について

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

ゾーン保護について

保護サイクルについて

Guard について

Guard は、DDoS 攻撃(分散型サービス拒絶攻撃)を軽減するデバイスです。Guard は、疑わしいトラフィックをクリーニングのために通常のネットワーク パスから自分宛に宛先変更します。トラフィック クリーニング プロセス中に、 Guard は、攻撃パケットを識別してドロップし、正当なパケットを目的の宛先ネットワークに転送します。

通常 Guard は、分散型のアップストリーム構成にバックボーン レベルで導入します。

Guard が DDoS 攻撃から保護するネットワーク要素(つまり ゾーン )を定義します。ゾーンが攻撃を受けている場合、Guard はそのターゲット ゾーン宛のネットワーク トラフィックだけを宛先変更し、特定の攻撃パケットを識別してドロップし、正当なトラフィック パケットをゾーンに転送します。Guard は常にゾーン トラフィックをフィルタリングし、新たに発生する攻撃に対する警戒を続けます。Guard は、ゾーンに対する攻撃が終了したと判断すると、ゾーン トラフィックを自分宛に宛先変更することを停止します。Guard は、必要なときだけネットワーク トラフィックを宛先変更することにより、攻撃時には保護の役割を果たし、それ以外のときにはネットワーク バックグラウンドに控えた状態を保つことができます。

Guard では、次のタスクを実行できます。

トラフィックのラーニング:アルゴリズムに基づくプロセスを使用して、通常のゾーン トラフィックの特性(サービスおよびトラフィック レート)をラーニングします。Guard は、ラーニング プロセス中、デフォルトのゾーン トラフィック ポリシーおよびポリシーしきい値を通常のゾーン トラフィックの特性に合うように変更します。トラフィック ポリシーおよびしきい値は、ゾーン トラフィックが正常か異常(ゾーンに対する攻撃の可能性)かを判別するために Guard が使用する参照ポイントを定義します。

トラフィック保護:正当なトラフィックと悪意のあるトラフィックを区別し、悪意のあるトラフィックをフィルタリングして、正当なトラフィックだけがゾーンに渡されるようにします。

トラフィックの宛先変更:ゾーン トラフィックを通常のネットワーク パスから Guard のラーニング プロセスおよび保護プロセスに宛先変更し、正常なゾーン トラフィックをネットワークに戻します。

図1-1 に、ネットワークでの適用例を示します。ここで、 Guard は、ゾーン トラフィックをラーニングしたり、ゾーンを攻撃から保護したりできるように、ゾーン トラフィックを自分宛に宛先変更しています。

図1-1 Cisco Guard の動作

 

DDos 攻撃について

DDoS 攻撃は、正当なユーザが特定のコンピュータまたはネットワーク リソースにアクセスできないようにします。このような攻撃は、個人が悪意のある要求をターゲットに送信してネットワーク サービスの質を低下させ、サーバやネットワーク デバイスのネットワーク サービスを妨害し、不要なトラフィックでネットワーク リンクを飽和状態にすることで発生します。

この項では、次のトピックについて取り上げます。

スプーフィング攻撃について

非スプーフィング攻撃について

スプーフィング攻撃について

スプーフィング攻撃は DDoS 攻撃の一種で、パケットのヘッダーに送信元デバイスの実際の IP アドレスではない IP アドレスが含まれます。スプーフィングされたパケットの送信元 IP アドレスは、ランダムである場合も、特定の限定されたアドレスを持つ場合もあります。スプーフィング攻撃は、ターゲット サイトのリンクおよびサーバ リソースを飽和状態にします。コンピュータ ハッカーは、1 つのデバイスからでも、大量のスプーフィング攻撃を簡単に生成できます。

スプーフィング攻撃を撃退するために、Guard はスプーフィング防止プロセスを実行します。このプロセスでは、スプーフィングされたトラフィックとスプーフィングされていないトラフィックを区別できるチャレンジ/レスポンス アルゴリズムを使用します。Guard は、スプーフィング防止メカニズムを通過したトラフィックを認証済みトラフィックと見なします。

非スプーフィング攻撃について

非スプーフィング攻撃(クライアント攻撃)は、ほとんどの場合実際の TCP 接続による TCP ベースの攻撃で、ネットワーク リンクやオペレーティング システムではなく、サーバ上でアプリケーション レベルを利用不能にすることができます。

Guard は、まず、スプーフィング防止メカニズムをアクティブにして、スプーフィングされたパケットをすべてブロックします。その後、Guard はトラフィックの統計分析を行い、異常な数の SYN パケット、多数の同時接続、高いトラフィック レートなど、スプーフィングされていないトラフィックの異常を検出してブロックします。

多数のクライアント(ゾンビ)からのクライアント攻撃は、個々のクライアントが異常を作り出さなくても、サーバ アプリケーションを利用不能にすることができます。ゾンビ プログラムは、ターゲット サイトにアクセスする正当なブラウザのふりをしようとします。Guard のゾンビ防止プロセスは、チャレンジ/レスポンス認証プロセスを使用して、正当なブラウザと、攻撃対象サイトにアクセスするゾンビ プログラムを区別することで、そのような HTTP 攻撃を軽減します。

ゾーン、ゾーン ポリシー、およびラーニング プロセスについて

この項では、Guard のゾーンとは何か、ゾーン ポリシーがトラフィック異常を検出する方法、および Guard がゾーンのトラフィック特性をラーニングする方法について説明します。

この項では、次のトピックについて取り上げます。

ゾーンについて

ゾーン ポリシーについて

ラーニング プロセスについて

ゾーンについて

Guard が保護するゾーンは、次のいずれかの要素です。

ネットワーク サーバ、クライアント、またはルータ

ネットワーク リンク、サブネット、またはネットワーク全体

個々のインターネット ユーザまたは企業

インターネット サービス プロバイダー(ISP)

上記の要素の任意の組み合せ

新しいゾーンを作成する場合は、ゾーンに名前を割り当て、ネットワーク アドレスを設定します。ゾーン トラフィックの異常を検出するデフォルトのポリシーおよびポリシーしきい値のセットが Guard によりゾーンに設定されます。

Guard は、ゾーンのネットワーク アドレス範囲が重なっていなければ、複数のゾーンを同時に保護できます。

ゾーンの詳細については、「ゾーンの設定」を参照してください。

ゾーン ポリシーについて

Guard は、ゾーンを保護する場合、ゾーン設定に関連付けられているポリシーによって、ゾーン トラフィックの異常を検出し、ゾーンに対する攻撃を軽減できます。トラフィック フローがポリシーしきい値を超えると、Guard はこれを異常または悪意のあるトラフィックとして認識し、フィルタ セットを動的に設定し、攻撃の重大度に応じて適切な保護レベルをこのトラフィック フローに適用します。ゾーン ポリシーの詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

ラーニング プロセスについて

Guard は、ラーニング プロセスにより、通常のゾーン トラフィックを分析し、分析したトラフィックに基づいてゾーン固有のポリシーおよびポリシーしきい値のセットを作成できます。Guard は、ゾーン固有のポリシーおよびポリシーしきい値を使用して、ゾーン トラフィックの異常をより正確に検出できます。

ラーニング プロセスにより、デフォルトのゾーン ポリシー セットを置き換えることができます。また、現在のゾーン ポリシー セットが現在の正常なトラフィック サービスとトラフィック量を認識するように正しく設定されていない可能性がある場合、そのポリシー セットをアップデートすることもできます。ポリシーしきい値が、現在の正常なトラフィック量に比べて大きすぎる値に設定されていると、Guard がトラフィック異常(攻撃)を検出できない可能性があります。ポリシーしきい値が小さすぎると、Guard が正常なトラフィックを攻撃トラフィックと取り違えてしまう可能性があります。

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

ポリシー構築フェーズ:ゾーン トラフィックが使用する主なサービスのゾーン ポリシーを作成します。ゾーン ポリシーを作成する場合、Guard は、各ゾーン設定に含まれるポリシー テンプレートによって設定された規則に従います。

しきい値調整フェーズ:ゾーン ポリシーのしきい値を、ゾーン サービスの通常のトラフィック レートを認識するための適切な値に調整します。

ラーニング プロセスの詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

ゾーン保護について

次のいずれかの方法で、Guard でゾーン保護をアクティブにできます。

手動:Guard に手動でアクセスし、ゾーンの保護をアクティブにできます。

自動:ネットワーク攻撃検出デバイス(Cisco Traffic Anomaly Detector(Detector)など)からの保護アクティベーション メッセージを受け入れるように Guard を設定できます。


) Detector は、Guard の関連製品です。Detector は、DDoS 攻撃を検出するデバイスで、ゾーン トラフィックのコピーを分析し、ゾーンが攻撃を受けていると判断すると Guard の攻撃軽減サービスをアクティブにできます。また、Detector は Guard とゾーン設定を同期させることができます。Detector の詳細については、『Cisco Traffic Anomaly Detector Module Configuration Guide』および『Cisco Traffic Anomaly Detector Configuration Guide』を参照してください。


この項では、次のトピックについて取り上げます。

トラフィック フィルタについて

さまざまな保護モードについて

保護およびラーニング機能について

オンデマンド保護について

攻撃レポートについて

トラフィック フィルタについて

Guard は、4 種類のトラフィック フィルタを使用して、必要な保護レベルをゾーン トラフィックに適用します。これらのフィルタは、トラフィック フローをカスタマイズし、DDoS 保護操作を制御するように設定できます。

Guard では、次のタイプのフィルタが使用されます。

ユーザ フィルタ:必要な保護レベルを指定されたトラフィック フローに適用します。

バイパス フィルタ:Guard が特定のトラフィック フローに DDoS 保護措置を適用しないようにします。

フレックスコンテンツ フィルタ:指定されたトラフィック フローをカウントまたはドロップします。IP ヘッダーと TCP ヘッダー内のフィールドに応じたフィルタリング、およびコンテンツ バイト数に応じたフィルタリングを実行します。

動的フィルタ:指定されたトラフィック フローに必要な保護レベルを適用します。Guard は、ゾーンに対する攻撃を検出したときにだけ動的フィルタを作成し、トラフィック フローの分析に基づいて動的フィルタを設定します。Guard は、ゾーン トラフィック、DDoS 攻撃のタイプ、および攻撃特性の変化に基づいて、このフィルタ セットを常に変更します。

Guard には次の 3 つの保護レベルがあり、各レベルでさまざまなプロセスをトラフィック フローに適用できます。

分析保護レベル:トラフィックの通過を許可します。ゾーン保護中、通過するトラフィックは、監視された状態ですが、異常が検出されない限り遮断されません。Guard は、異常を検出すると、適切な保護レベルをそのトラフィックに適用します。

基本保護レベル:スプーフィング防止機能やゾンビ防止機能をアクティブにし、疑わしいトラフィック フローを調べてトラフィックを認証し、その送信元を確認します。

強化保護レベル:強力なスプーフィング防止機能をアクティブにします。この機能により、トラフィック フローのパケットが調べられ、その正当性が確認されます。

Guard はトラフィックを分析し、ゾーン トラフィックの異常を監視するゾーン ポリシーの動作とゾーン フィルタを調整します。また、ゾーンに注入するトラフィックのレートを制限し、トラフィック フローが一杯にならないようにします。

フィルタの詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

さまざまな保護モードについて

次の方法で、Guard をアクティブにしてゾーン保護を行うことができます。

自動保護モード:攻撃中に作成する動的フィルタを自動的にアクティブにします。

インタラクティブ保護モード:攻撃中に動的フィルタを作成します。ただし、動的フィルタをアクティブにはしません。代わりに Guard は、動的フィルタを推奨処置としてグループ化します。ユーザは、これらの推奨事項を確認して、推奨事項を受け入れるか、無視するか、または自動アクティベーションの対象にするかを決定できます。

保護モードの詳細については、「インタラクティブ保護モードの使用方法」を参照してください。

保護およびラーニング機能について

ラーニング プロセスのしきい値調整フェーズとゾーン保護を同時にアクティブにして(保護およびラーニング機能)、ゾーン ポリシーのしきい値のラーニングとトラフィック異常の監視を Guard が同時に行うようにできます。Guard は、攻撃を検出するとラーニング プロセスを停止し、攻撃の軽減を開始します。攻撃が終了すると、Guard はラーニング プロセスを再開します。このプロセスにより、Guard では、攻撃中に悪意のあるトラフィックのしきい値がラーニングされなくなります。

保護およびラーニング機能の詳細については、「保護およびラーニング機能のイネーブル化」を参照してください。

オンデマンド保護について

デフォルトのゾーン テンプレートおよび関連付けられているデフォルト ポリシーを使用すると、Guard によるゾーン トラフィック特性のラーニングをイネーブルにしなくても、ゾーンを保護することができます。Guard のゾーン テンプレート内のデフォルトのポリシーとフィルタは、Guard にとって未知のトラフィック特性を持つゾーンを保護できます。

オンデマンド保護の詳細については、「オンデマンド保護のアクティブ化」を参照してください。

攻撃レポートについて

Guard は、各ゾーンの攻撃レポートを提供します。攻撃レポートでは、最初の動的フィルタの生成から保護の終了まで、ゾーンのステータス情報と攻撃の詳細な情報が提供されます。

攻撃レポートの詳細については、「攻撃レポートの使用方法」を参照してください。

保護サイクルについて

Guard の保護サイクルは、ゾーン フィルタ、ゾーン ポリシー、およびトラフィック フローに対する Guard の保護レベルに適用され、ゾーン トラフィックを分析してクリーンにし、正当なトラフィックのみをゾーンに戻します。図1-2 に Guard の保護サイクルを示します。

図1-2 Guard の保護サイクル

 

手動でまたは Detector などの異常検出デバイスによってゾーン保護がアクティブにされると、Guard はゾーン トラフィックを自分宛に宛先変更し、ゾーン設定のポリシーによってトラフィック フローを監視します。ポリシーは、特定のトラフィック フローがポリシーのしきい値を超過すると、そのフローに対してアクションを実行します。ポリシー アクションは、通知の発行から、新しいフィルタ(動的フィルタ)の作成にまで及びます。このフィルタは、トラフィックを適切な保護レベルに転送するものです。Guard はトラフィック フローを分析し、ゾーンで対応可能な定義済みのレートを超えたトラフィックをドロップし、正当なトラフィックをゾーンに戻します。

攻撃中、Guard は、クローズド ループのフィードバック サイクルを実行します。このサイクルで、Guard は、動的に変化するゾーン トラフィック特性に合せてゾーン保護措置を調整します。Guard は、保護戦略を調整し、DDoS 攻撃やトラフィック フローの変化に対応します。事前定義された期間中に、使用されている動的フィルタがなく、ゾーンへのトラフィックがドロップされず、新しい動的フィルタが追加されなかった場合、Guard はゾーン保護を停止します。