Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
ゾーン フィルタとポリシー テ ンプレートの設定
ゾーン フィルタとポリシー テンプレートの設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーン フィルタとポリシー テンプレートの設定

ゾーン フィルタ

ユーザ フィルタの設定

バイパス フィルタの設定

フレックス フィルタの設定

ポリシー テンプレート

ポリシー テンプレートの設定

ゾーン フィルタとポリシー テンプレートの設定

ここでは、Web-Based Management(WBM)を使用して Cisco Guard で高度なゾーン設定タスクを実行する方法について説明します。この章は、次の項で構成されています。

ゾーン フィルタ

ポリシー テンプレート

ゾーン フィルタ

ゾーンのフィルタは、宛先変更されたトラフィックを関連保護モジュールに転送するメカニズムです。Guard を使用してフィルタを設定すると、さまざまなケース別にトラフィック転送メカニズムおよび DDoS 攻撃防止メカニズムをカスタマイズできます。Guard では、次の 4 タイプのフィルタを使用します。

ユーザ フィルタ:ユーザ フィルタは、特定のトラフィック フローを関連する Guard 保護モジュールに転送するために使用します。詳細については、「ユーザ フィルタの設定」を参照してください。

バイパス フィルタ:バイパス フィルタは、特定のトラフィック フローを Guard の保護メカニズムで処理しないようにするために使用します。詳細については、「バイパス フィルタの設定」を参照してください。

フレックス フィルタ:フレックス フィルタは、特定のパケット フローをカウントまたはドロップするために使用します。このフィルタは、IP ヘッダーおよび TCP ヘッダーのフィールドに基づいたフィルタリングや、コンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能を提供するバークリー パケット フィルタです。複雑なブール式を使用できますが、1 つのゾーンに対して設定できるフレックス フィルタは 1 つのみです。詳細については、「フレックス フィルタの設定」を参照してください。

動的フィルタ:動的フィルタは、トラフィック フローを分析した結果として Guard が作成します。Detector は、この一連のフィルタをゾーンのトラフィックおよび特定の DDoS 攻撃に合わせて継続的に調整します。動的フィルタは有効期間が限定されているため、攻撃が終了すると消去されます。詳細については、「動的フィルタ」を参照してください。


) ゾーンのフィルタ設定は、変更するとただちに有効になります。


Guard のフィルタの詳細については、『 Cisco Guard User Guide 』を参照してください。

ユーザ フィルタの設定

ユーザ フィルタはゾーン設定で構成され、DDoS 攻撃の疑いがあるトラフィック フローの処理方法を定義します。このフィルタを使用すると、Guard 保護をカスタマイズして、攻撃の疑いがある場合のトラフィック フロー処理規則を設定できます。特定のトラフィック フローを関連保護モジュールに転送し、スプーフィング防止メカニズムおよびゾンビ防止メカニズムを設定できます。また、特定のトラフィックをドロップすることもできます。

ゾーン設定には、一連のデフォルト ユーザ フィルタが含まれています。Guard は、保護対象のゾーンが送信先になっているトラフィックを継続的に分析します。疑わしいトラフィックが検出されると、保護サイクルを初期化し、一連のデフォルト ユーザ フィルタを使用して疑わしいトラフィックをフィルタリングします。


) ユーザ フィルタは、順序に従って有効化されます。新しいユーザ フィルタを追加するときは、必ずリスト内の適切な位置に配置してください。


図 5-1 ユーザ フィルタ

 

ユーザ フィルタを設定するには、設定の対象となるゾーンを選択し、ゾーンのメイン メニューの Configuration > User filters を選択します。

既存のユーザ フィルタを削除するには、ユーザ フィルタの説明の隣にあるチェックボックスをオンにし、 Delete をクリックします。

新しいユーザ フィルタを追加するには、次の手順を実行します。


ステップ 1 Add をクリックします。図 5-2 が表示されます。

図 5-2 ユーザ フィルタの追加

 

ステップ 2 新しいユーザ フィルタの位置を決定し、 Insert カラムにあるオプション ボタンを選択します。新しいユーザ フィルタは、選択した行の上に追加されます。

ステップ 3 Next をクリックし、 User Filter Form にパラメータを入力します。 表 5-1 に、パラメータの説明を示します。


 

 

表 5-1 ユーザ フィルタのパラメータ

パラメータ
説明

Source IP

特定の IP アドレスから送信されるトラフィックをユーザ フィルタに転送します。ブランクのままにするか、「すべて」を表す * を入力します。

Source subnet

特定のサブネットから送信されるトラフィックをユーザ フィルタに転送します。サブネットをドロップダウン リストから選択します。

Protocol

特定のプロトコルで送信されるトラフィックをユーザ フィルタに転送します。プロトコルはウェルノウン番号で指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Dst Port

特定のポートが送信先となっているトラフィックをユーザ フィルタに転送します。ブランクのままにするか、「すべて」を表す * を入力します。

Fragments

フィルタで処理するトラフィックのタイプ。使用可能な値は、次のいずれかです。

without :ユーザ フィルタは、断片化されていないトラフィックに対して作用します。

with :ユーザ フィルタは、断片化されているトラフィックに対して作用します。

* :ユーザ フィルタは、断片化されているトラフィックおよび断片化されていないトラフィックに対して作用します。

Rate

レートの制限値を指定します。ユーザ フィルタは、トラフィックの量を指定したレート以下に制限します。レートの単位をドロップダウン リストから選択してください。
unlimit
単位を選択した場合は、トラフィック レートは制限されません。

Burst

トラフィックのバースト制限値を指定します。単位は、レートの単位と同じものにしてください。

Action

このトラフィック タイプに対してフィルタが実行するアクションを指定します。使用可能な値は、次のいずれかです。

permit :トラフィックを転送して、Guard のスプーフィング防止メカニズムおよびゾンビ防止メカニズムを回避する場合に使用します。permit ユーザ フィルタを使用する場合は、レート制限値およびバースト制限値を設定することをお勧めします。

basic/redirect :http を介したアプリケーションの認証に使用します。

basic/reset :TCP(http を除く)を介したアプリケーションの認証に使用します。

basic/safe-reset :TCP(http を除く)を介した、TCP 接続リセットが許容されないアプリケーションの認証に使用します。

basic/default :UDP トラフィックに対して使用します。または、選択する必要のあるアクションが不明な場合に使用します。basic/default フィルタがフローを検査し、どのアクションを実行するかを決定します。

basic/dns-proxy :TCP DNS アプリケーションの認証に使用します。

strong :トラフィック フローについて厳格な認証が必要となる場合、または以前のフィルタが対象アプリケーションに適していないと判断した場合に使用します。すべての接続について認証が実行されます。

Guard はプロキシとして動作します。このフィルタは、アクセス コントロール リスト(ACL)を使用している場合など、IP アドレスに基づいてネットワークを運用している場合は使用しないでください。

drop :トラフィック フローをドロップする場合に使用します。

ユーザ フィルタのパラメータの詳細および例については、『 Cisco Guard User Guide 』を参照してください。

バイパス フィルタの設定

バイパス フィルタは、Guard の保護メカニズムを利用しない保護ポリシーの採用をサポートするためのフィルタです。バイパス フィルタを使用するのは、Guard の動的フィルタ、保護モジュール、およびレート リミッタで特定のトラフィック フローが処理されないようにする場合です。たとえば、信頼済みのトラフィック フローについては、スプーフィング防止メカニズムおよびゾンビ防止メカニズムを含めて Guard の保護モジュールをバイパスするように指定できます。バイパス フィルタを使用すると、信頼済みのトラフィックを Guard の保護メカニズムの対象から除外して、ゾーンに直接送信できるようになります。


) バイパス フィルタで処理されるトラフィックは、レート リミッタ モジュールを経由しません。


バイパス フィルタを作成するには、ゾーンのメイン メニューの Configuration > Bypass filters を選択し、 Add をクリックして、パラメータを Bypass Filter Form に入力します。

デフォルトでは、バイパス フィルタは定義されていません。 表 5-2 に、バイパス フィルタのパラメータの説明を示します。

 

表 5-2 バイパス フィルタのパラメータ

パラメータ
説明

Source IP

特定の IP アドレスから送信されるトラフィックについて、Guard のフィルタ システムをバイパスするように指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Source subnet

特定のサブネットから送信されるトラフィックについて、Guard のフィルタ システムをバイパスするように指定します。サブネットをドロップダウン リストから選択します。

Protocol

特定のプロトコルで送信されるトラフィックについて、Guard のフィルタ システムをバイパスするように指定します。プロトコルはウェルノウン番号で指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Dst Port

特定の宛先ポートが送信先になっているトラフィックについて、Guard のフィルタ システムをバイパスするように指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Fragments

フィルタで処理するトラフィックのタイプを指定します。使用可能な値は、次のいずれかです。

without :バイパス フィルタは、断片化されていないトラフィックに対して作用します。

with :バイパス フィルタは、断片化されているトラフィックに対して作用します。

* :バイパス フィルタは、断片化されているトラフィックおよび断片化されていないトラフィックに対して作用します。

バイパス フィルタ テーブルには、バイパス フィルタでフィルタリングされた現在のバイパス フィルタ トラフィックのレートが、カウンタにパケット/秒(pps)単位で示されます。

バイパス フィルタを削除するには、バイパス フィルタの説明の隣にあるチェックボックスをオンにし、 Delete をクリックします。

バイパス フィルタのパラメータの詳細および例については、『 Cisco Guard User Guide 』を参照してください。

フレックス フィルタの設定

フレックス フィルタは、強力な選別フィルタリング機能を持つバークリー パケット フィルタです。フレックス フィルタを使用するのは、特定のパケット フローをドロップまたはカウントする場合、および悪意のあるトラフィックの発信元を詳細に定義して識別対象にする場合です。このフィルタはパラメータが多数あり、非常に柔軟であるため、特定のトラフィック フローに合わせて簡単に調整することができます。ただし、フレックス フィルタは 1 つしか設定できず、リソースの消費量も多くなります。フレックス フィルタはパフォーマンスに影響を及ぼす可能性があるため、十分に注意して使用してください。

フレックス フィルタを設定するには、ゾーンのメイン メニューの Configuration > General を選択し(ゾーンを定義済みの場合)、フレックス フィルタの情報が示された 2 番目のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。

フレックス フィルタは、新しいゾーンを作成するときに設定することもできます。詳細については、「ゾーンの管理」を参照してください。

バークリー パケット フィルタの設定オプションの詳細については、http://www.freesoft.org/CIE/Topics/56.htm を参照してください。

フレックス フィルタのパラメータの詳細および例については、『 Cisco Guard User Guide 』を参照してください。

ポリシー テンプレート

ポリシー テンプレートは、ゾーンのポリシーを構築するためにラーニング プロセス中に使用される、規則およびガイドラインをまとめたものです。詳細については、「ゾーン トラフィックのラーニングとポリシーの構築」を参照してください。

表 5-3 に、ポリシー テンプレートのリストを示します。

 

表 5-3 ポリシー テンプレート

ポリシー テンプレート
説明

dns_tcp

このポリシー テンプレートは、DNS-TCP プロトコル トラフィックに関連する一連のポリシーを作成します。

dns_udp

このポリシー テンプレートは、DNS-UDP プロトコル トラフィックに関連する一連のポリシーを作成します。

fragments

このポリシー テンプレートは、断片化されたトラフィックに関連する一連のポリシーを作成します。

http

このポリシー テンプレートは、ポート 80(またはユーザ設定ポート)を経由する HTTP トラフィック(デフォルト)に関連する一連のポリシーを作成します。

ip_scan

このポリシー テンプレートは、IP スキャニング(送信元の IP が、ゾーン内の多数の宛先 IP にアクセスしようとしている状況)に関連する一連のポリシーを作成します。このポリシー テンプレートは、ゾーンをサブネットとして定義した場合に適しています。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、 notify です。


注意 ip_scan ポリシー テンプレートに基づいて作成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。

 

other_protocols

このポリシー テンプレートは、TCP および UDP 以外のプロトコルに関連する一連のポリシーを作成します。

port_scan

このポリシー テンプレートは、ポート スキャニング(送信元の IP が、ゾーン内の多数のポートにアクセスしようとしている状況)に関連する一連のポリシーを作成します。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、 notify です。


注意 port_scan ポリシー テンプレートに基づいて作成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。

 

tcp_connections

このポリシー テンプレートは、TCP 接続の特性に関連する一連のポリシーを作成します。

tcp_not_auth

このポリシー テンプレートは、Guard のスプーフィング防止メカニズムで認証されていない TCP 接続に関連する一連のポリシーを作成します。

tcp_outgoing

このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。

tcp_ratio

このポリシー テンプレートは、さまざまなタイプの TCP パケットの比率に関連する一連のポリシーを作成します。たとえば、SYN パケットと FIN/RST パケットの比率に関連するものです。

tcp_services

このポリシー テンプレートは、HTTP(ポート 80 やポート 8080 など)に関連しないポート上の TCP サービスに関連する一連のポリシーを作成します。

tcp_services_ns

このポリシー テンプレートは、TCP サービスに関連する一連のポリシーを作成します。デフォルトでは、ポリシーは IRC ポート(666X)、ssh、および telnet に関連するものになります。このポリシー テンプレートでは、トラフィック フローを Strong 保護モジュールに転送するアクションを実行するポリシーは作成されません。

udp_services

このポリシー テンプレートは、UDP サービスに関連する一連のポリシーを作成します。


) Guard は、まず専用ポート 6660 ~ 6670 および 21 ~ 23 上の TCP トラフィックのインジケータになります。

これらのポート上のトラフィックをトレースする場合は、tcp_services_ns ポリシー テンプレートが一連のポリシーを作成し、tcp_services ポリシー テンプレートが他のポート上の TCP サービスを担当します。

これらのポート上のトラフィックをトレースしない場合、tcp_services_ns ポリシー テンプレートは利用されません。

このポリシーには、他のポリシーにサービスを追加する場合と同じ方法でサービスを追加できます。


 

表 5-4 に、プロキシを使用しないゾーン用に設計されたその他のポリシー テンプレートを示します。これらのテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。

 

表 5-4 プロキシを使用しないゾーン用のポリシー テンプレート

ポリシー テンプレート
説明

tcp_connections_ns

このポリシー テンプレートは、TCP 接続の特性に関連する一連のポリシーを作成します。ただし、このポリシーは、トラフィック フローを Strong 保護モジュールに転送するアクションは実行しません。

tcp_outgoing_ns

このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。ただし、このポリシーは、トラフィック フローを Strong 保護モジュールに転送するアクションは実行しません。

http_ns

このポリシー テンプレートは、ポート 80(またはユーザ設定ポート)を経由する HTTP トラフィック(デフォルト)に関連する一連のポリシーを作成します。ただし、このポリシーは、トラフィック フローを Strong 保護モジュールに転送するアクションは実行しません。

ポリシー テンプレートの設定

ポリシー テンプレートを設定するには、ゾーンのメイン メニューの Configuration > Policy templates を選択し、リスト(図 5-3)からポリシー テンプレートを選択して名前をクリックし、パラメータを Policy Template Form に入力します。

図 5-3 ポリシー テンプレート

 

サービスを追加または削除するには、「ゾーン トラフィックのラーニングとポリシーの構築」を参照してください。

ラーニング フェーズでは、ゾーンのトラフィックは Guard をそのまま通過します。有効になっているポリシー テンプレートは、ゾーンのトラフィックの特性に基づいて一連のポリシーを作成します。Guard では、特定のポリシー テンプレートに基づいて Guard で作成されるポリシーの最大数を Max Services パラメータで定義することができます。Guard はサービスをトラフィック量に基づいてランク付けし、下限しきい値( Min Threshold パラメータで定義)を超過した、トラフィック量が最大のサービスを検出し、それらのサービスごとにポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。これらのポリシーは、サービス any を保持しています。

表 5-5 に、各ポリシー テンプレートについて設定可能なパラメータの説明を示します。

 

表 5-5 ポリシー テンプレートのパラメータ

パラメータ
説明

State

ポリシー テンプレートの状態。使用可能な値は、次のいずれかです。

enabled :Guard がポリシー構築フェーズに入ると、ポリシー テンプレートは継続的にポリシーを作成します。

disabled :Guard がポリシー構築フェーズに入ってもポリシー テンプレートはポリシーを作成しません。

Min Threshold

サービスのトラフィック量の下限しきい値。このしきい値を超過すると、しきい値を超過した特定のトラフィック フローに基づいて、Guard がサービスのトラフィックに関連するポリシーを作成します。

このパラメータは、特定のゾーンの保護に不可欠で常にポリシーを作成するポリシー テンプレート(fragments など)については設定できません。

Max Services

特定のポリシー テンプレートからポリシーを作成するときに、作成の基礎となるサービスの最大数。この数を大きくすると、ゾーンで使用されるメモリの量も大きくなります。 Guard は、ポリシーに関連付けられているサービスをトラフィック量に基づいてランク付けします。定義済みの下限しきい値(Min Threshold パラメータで定義)を超過した、トラフィック量が最大のサービスを検出し、それらのサービスごとにポリシーを作成します。

このパラメータを設定できる対象は、サービスを検出する tcp_services などのポリシー テンプレートのみです。特定のサービスに関連するポリシー テンプレート(サービス 53 に関連する dns_tcp など)、および特定のトラフィック特性に関連するポリシー テンプレート(fragments など)については、サービス最大数を設定できません。


注意 ポリシー テンプレートをディセーブルにすると、Guard はポリシー テンプレートに関連付けられているトラフィックをゾーンで保護できなくなります。このため、保護の実効性が大幅に低下する可能性があります。