Cisco Guard Web-Based Management 3.1(0) ユーザ ガイド
ゾーンの保護
ゾーンの保護
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンの保護

概要

ゾーンの保護

保護の有効化

オンデマンド保護

保護の無効化

ゾーン保護の確認

動的フィルタ

動的フィルタの終了

動的フィルタの詳細

動的フィルタの設定

動的フィルタの削除

動的フィルタの追加

インタラクティブ推奨モード

インタラクティブ推奨モードの有効化

新しい推奨事項の表示

推奨事項への対応

保留中の動的フィルタ

ゾーンの保護

ここでは、Web-Based Management(WBM)を使用して、Cisco Guard でゾーンを保護する方法について説明します。

ゾーンの保護を開始する前に、Guard とゾーンを設定しておく必要があります。

この章は、次の項で構成されています。

概要

ゾーンの保護

動的フィルタ

インタラクティブ推奨モード

概要

ゾーンで検出を有効にする前に、Guard でゾーンのトラフィック パターンをラーニングすることをお勧めします。ラーニング プロセスにより、Guard は、各ゾーンのトラフィック パターンをラーニングおよび分析してから一連の推奨しきい値を作成することができます。

ラーニング フェーズが完了する前にゾーンに攻撃があり、Guard がまだ保護ポリシーを採用していない場合、Guard はオンデマンドの保護を開始することができます。ゾーン保護は、すぐに Guard のスプーフィング防止およびゾンビ防止メカニズムを有効にします。新しいゾーン用に設定されたデフォルトのしきい値により、効果的な保護を実行できます。詳細については、『 Cisco Guard User Guide 』を参照してください。

ゾーンのトラフィック特性をラーニングすると、Guard はゾーンを保護できる状態になります。Cisco Traffic Anomaly Detector などの外部システムから攻撃の兆候が示されてから Guard でゾーンを保護するように設定することも、ゾーンの設定完了後すぐに Guard でゾーンを保護することもできます。ゾーン保護の間、
Guard はゾーンのトラフィックの宛先を変更し、保護ポリシーを適用します。

保護ポリシーは、異常または悪意のあるトラフィックを示すしきい値超過を検出すると、一連のフィルタを動的に設定し、攻撃の重大度に応じて適切な保護モジュールにそのトラフィックを転送します。

Guard の保護は、次の 2 つの方法で有効にできます。

自動保護モード :動的フィルタは、ユーザが介入しなくても有効になります。

インタラクティブ保護モード :動的フィルタは手動で有効になります。動的フィルタは推奨事項としてグループ化され、ユーザの決定待ちになります。ユーザは、これらの推奨事項を確認して、どの推奨事項を受け入れるか、無視するか、自動有効化に切り替えるかを決定できます。

各ゾーンの運用モードは、個別に設定することができます。詳細については、「ゾーンの管理」を参照してください。


) Guard の保護を有効にする前に、ゾーンのトラフィックの宛先変更を設定しておく必要があります。ゾーンの宛先変更設定の詳細については、『Cisco Guard User Guide』を参照してください。


ゾーンの保護

ゾーンのトラフィック特性をラーニングすると、Guard はゾーンを保護できる状態になります。ゾーン保護の間、Guard はゾーンのトラフィックの宛先を変更し、保護ポリシーを適用します。

保護の有効化

ゾーン保護を有効にするには、次のいずれかの手順を実行します。

ゾーンのホーム ページで、 Protect をクリックします。

ゾーンのメイン メニューの Protection > Protect を選択します。図 7-1 を参照してください。

図 7-1 Protection メニュー

 

オンデマンド保護

ゾーンが攻撃にさらされているときに、Guard がまだラーニング フェーズを完了しておらず、そのゾーンのトラフィックに適した保護ポリシーを採用していない場合は、オンデマンドでゾーンを保護することができます。システム定義のゾーン テンプレートには、このような場合のための事前定義された保護ポリシーとユーザ フィルタが含まれています。これらのテンプレートのデフォルトのしきい値は、Guard がゾーンのトラフィックに異常を発見した場合に Guard のスプーフィング防止メカニズムがすぐに有効になるように調整されています。

Guard はゾーンのトラフィック パターンの知識を持たないため、送信元 IP アドレスのブロック(ドロップ)に使用されるしきい値は、比較的高い値に設定されています。このことは、オンデマンドの保護ではスプーフィング以外の攻撃を無力化する場合にはユーザの介入が必要であることを意味します。ユーザは、ゾーンの正当なトラフィック レートと悪意のあるトラフィック レートを監視し、Guard の無力化アクションを確認する必要があります。

オンデマンド保護を開始するには、次の手順を実行します。


ステップ 1 Guard モジュールのメイン メニューの Zones > Create Zone を選択し、新しいゾーンを作成します。

ステップ 2 ゾーンのホーム ページの Protect をクリックし、保護を有効にします。

ステップ 3 ゾーンのトラフィック パターンを分析します。詳細については、「トラフィックの分析」を参照してください。


 

保護の無効化

ゾーンの保護を無効にするには、次のいずれかの手順を実行します。

ゾーンのホーム ページで、 Deactivate をクリックします。

ゾーンのメイン メニューの Protection > Deactivate を選択します。

ゾーン保護の確認

ゾーンのステータスを表示して、保護プロセスが適切に機能していることを確認することができます。

ゾーンのカウンタを表示するには、ゾーンのメイン メニューの Diagnostics > Counters を選択します。

攻撃が進行中かどうかを確認するには、悪意のあるトラフィック レートがゼロより大きいかどうかを確認します。

攻撃の進行中にゾーン保護が適切に機能していることを確認するには、次のことを確認します。

有効になっている動的フィルタの数(ゾーンのホーム ページに表示されるもの)がゼロより大きい。

正当なトラフィック レートがゼロより大きい。

ゾーンに対する攻撃がなく、疑わしいトラフィックの兆候もない場合、Guard はすべての宛先変更されたトラフィックを正当なトラフィックと見なし、ゾーンに転送します。正当なトラフィックのカウンタは、その後 Received トラフィック カウンタと同じになります。詳細については、「ゾーンの統計情報と診断」を参照してください。

動的フィルタ

Guard は、ポリシーのしきい値違反がないかを調べることで、宛先変更されたゾーンのトラフィックを分析します。ポリシーのしきい値超過を検出すると、Guard はその結果を分析し、一連のフィルタを作成します。これらのフィルタは、ゾーンのトラフィックおよび DDoS 攻撃のタイプに合わせて継続的に調整されます。この一連のフィルタは、動的フィルタで構成されています。異常なトラフィックが検出されると、動的フィルタは、Guard がユーザ フィルタを参照して、ユーザ フィルタによって提案されるアクションと Guard で推奨される保護を比較するようにします。ユーザは、動的フィルタにアクセスし、ニーズに合わせてフィルタを設定することができます。

動的フィルタの詳細については、『 Cisco Guard User Guide 』を参照してください。

動的フィルタを表示するには、次のいずれかの手順を実行します。

ゾーンのメイン メニューの Protection > Dynamic filters を選択します。

ゾーンのホーム ページで、ゾーンのステータス要約テーブルの Active
dynamic filters
をクリックします。

図 7-2 動的フィルタのテーブル

 

動的フィルタのテーブル(図 7-2)には、動的フィルタを作成したポリシーに基づいてフィルタリングされた動的フィルタが示され、進行中の攻撃に関する情報が表示されます。 表 7-1 に、このテーブルのフィールドの説明を示します。

 

表 7-1 動的フィルタのテーブルに含まれているフィールドの説明

フィールド
説明

Created by

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシー」を参照してください。

Activation

フィルタが有効になった日時。

Expiration

フィルタの満了時間。フィルタの有効期限が満了すると、Guard は動的フィルタの終了基準に従って、そのポリシーによって作成された動的フィルタを無効にするかどうかを決定します。

Src IP

動的フィルタの適用対象となる送信元 IP アドレス。

Protocol

動的フィルタの適用対象となるプロトコルの番号。

Dst Port

動的フィルタの適用対象となる宛先ポート。

Fragments

攻撃ストリームの中に、断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。動的フィルタには、次のアクションが適用されます。

to-user-filters :トラフィックをユーザが設定したユーザ フィルタに転送します。

filter/strong :指定されたトラフィックに Strong 保護スプーフィング防止メカニズムを適用します。

filter/drop :トラフィックをドロップします。

block-unauthenticated-basic :Basic スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップします。

block-unauthenticated-strong :Strong スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップします。

block-unauthenticated-dns :DNS スプーフィング防止メカニズムで認証されていない、DNS サーバ宛ての未認証トラフィック フローをドロップします。

redirect/zombie :ポリシーは、すべてのユーザ フィルタの認証を拡張し、リダイレクト アクションを備えるフィルタを追加します。

Rate (pps)

概算の攻撃レート。

Details

このフィルタに関する追加情報を表示できるかどうかを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

フィルタのパラメータとして、複数の値が計測された。

フィルタの詳細情報を表示するには、Details カラムの i をクリックします。

詳細については、「動的フィルタの詳細」を参照してください。

動的フィルタの終了

動的フィルタのタイムアウトが満了すると、Guard は動的フィルタを無効にするかどうかを決定します。Guard が動的フィルタを無効にしないことを決定した場合は、そのフィルタが有効となる新たなタイムアウト期間が再開されます。動的フィルタは、次の いずれか に当てはまる場合に無効になります。

ゾーンにおける悪意のあるトラフィックの合計レート(スプーフィングされたトラフィックとドロップされたトラフィックの合計)が、Malicious-rate
termination しきい値以下である。

動的フィルタのアクションが to-user-filter でない(フィルタのレート カウンタに N/A と表示されていない)場合で、Filter-rate termination しきい値が次の 両方 の値以上である。

動的フィルタの現在のトラフィック レート

ユーザが設定した期間内(ポリシーの Timeout パラメータで定義)における動的フィルタの平均トラフィック レート

しきい値設定の詳細については、「ゾーンの管理」を参照してください。

動的フィルタの詳細

フィルタの詳細情報を表示するには、動的フィルタ テーブルの Details カラムにある i をクリックします。図 7-3 が表示されます。

図 7-3 動的フィルタの詳細画面

 

動的フィルタの詳細画面には、次の 3 つのテーブルが含まれています。

フィルタを作成したポリシーに関する情報。

攻撃フローに関する情報:無力化された攻撃に関する情報。


) 無力化されたフローは、検出された攻撃フローよりも範囲が広い可能性があります。たとえば、ポート 80 に対するスプーフィング以外の攻撃では、ポート 80 だけでなく、送信元 IP から発信されるすべての TCP トラフィックがブロックされます。


フィルタを作成したトリガーに関する情報。 表 7-2 を参照してください。

 

表 7-2 トリガーに含まれているフィールドの説明

フィールド
説明

Policy Threshold

ポリシーで定義され、攻撃によって超過したしきい値。

Triggering Rate

フィルタの作成原因となった攻撃の概算レート。

動的フィルタの設定

ユーザは、動的フィルタを追加または削除し、ニーズに合わせてフィルタを設定することができます。

Guard は、ゾーンの保護が終了すると動的フィルタを削除します。

動的フィルタの削除

動的フィルタを削除するには、動的フィルタの詳細テーブルで、フィルタの隣にあるチェックボックスをオンにし、 Delete をクリックします。

動的フィルタは、すべて削除することができます。ただし、削除が有効になる期間は限られています。Guard は、保護モードになっている場合、継続的に新しい動的フィルタを設定して、動的に変化するトラフィック状態に合わせて保護を調整するためです。

必要のない動的フィルタが再作成されないようにするには、それらのフィルタを作成しているポリシーを無効にします。詳細については、「ポリシーの設定」を参照してください。不要な動的フィルタを作成したポリシーを発見するには、この章の動的フィルタの表示に関する項を参照してください。または、次のいずれかの手順を実行します。

対象となるトラフィック フローにバイパス フィルタを設定する。詳細については、「バイパス フィルタの設定」を参照してください。

不要な動的フィルタを作成したポリシーのしきい値を大きくする。詳細については、「パラメータの設定」を参照してください。

動的フィルタの追加

動的フィルタを追加するには、動的フィルタの詳細テーブル(図 7-2)で Add をクリックし、関連する情報を入力します。

表 7-3 に、動的フィルタに含まれているフィールドの説明を示します。

 

表 7-3 動的フィルタに含まれているフィールドの説明

フィールド
説明

Source IP

特定の IP アドレスから送信されるトラフィックを動的フィルタに転送します。ブランクのままにするか、「すべて」を表す * を入力します。

Source Subnet

特定のサブネットから送信されるトラフィックを動的フィルタに転送します。サブネットをドロップダウン リストから選択します。

Protocol

特定のプロトコルで送信されるトラフィックを動的フィルタに転送します。プロトコルはウェルノウン番号で指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Dst Port

特定のポートを宛先とするトラフィックを動的フィルタに転送します。ブランクのままにするか、「すべて」を表す * を入力します。

Fragments

フィルタの操作対象となる特定のトラフィック タイプを指定します。指定可能な値は、次のいずれかです。

without :動的フィルタは、断片化されていないトラフィックに対して作用します。

with :動的フィルタは、断片化されているトラフィックに対して作用します。

* :動的フィルタは、断片化されているトラフィックおよび断片化されていないトラフィックに対して作用します。

Action

特定のトラフィック タイプに対してフィルタが実行するアクションを指定します。指定可能な値は、次のいずれかです。

to-user-filters :特定のトラフィックをユーザが設定したユーザ フィルタに転送します。

filter/strong :指定されたトラフィックに Strong 保護スプーフィング防止メカニズムを適用します。

filter/drop :トラフィックをドロップします。

block-unauthenticated-basic :Basic スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップします。

block-unauthenticated-strong :Strong スプーフィング防止メカニズムで認証されていない未認証トラフィック フローをドロップします。

block-unauthenticated-dns :DNS スプーフィング防止メカニズムで認証されていない、DNS サーバ宛ての未認証トラフィック フローをドロップします。

redirect/zombie :ポリシーは、すべてのユーザ フィルタの認証を拡張し、リダイレクト アクションを備えるフィルタを追加します。

Timeout (Sec)

フィルタが有効である最低限の時間。詳細については、「動的フィルタの終了」を参照してください。

時間を指定する場合は整数(秒単位)を入力し、無制限にする場合はブランクのままにします。保護が打ち切られた場合は、時間が無制限の動的フィルタも削除されます。

インタラクティブ推奨モード

インタラクティブ推奨モードでは、Guard でポリシーのどのフィルタを有効にするかについて、推奨事項が発生したときに決定できます。Guard はユーザの決定に基づいて動作し、それに従ってフィルタの有効化を受け入れるか、無視します。このように、Guard では保護手段をリアルタイムで決定できます。インタラクティブ モードでは、Guard で保護手段を有効にするかどうかを DDoS 攻撃の進行中に制御できます。

推奨事項は、動的フィルタを作成したポリシーに基づいて保留になっている、動的フィルタの要約です。この情報には、推奨事項を提示したポリシーの名前、ポリシー有効化の原因になった異常なトラフィックのデータ、保留中のフィルタの数、および推奨アクションが含まれています。

インタラクティブ推奨モードの詳細については、『 Cisco Guard User Guide 』を参照してください。

保留中のフィルタ数が 1,000 を超える場合、新しく追加された推奨事項は Guard のログ ファイルに記録され、その後廃棄されます。次の手順を実行することをお勧めします。

1. ゾーンを無効にします(ゾーンのホーム ページの Deactivate をクリックします)。

2. 運用モードを自動に変更します。詳細については、「ゾーンの管理」を参照してください。

3. ゾーン保護をもう一度有効にします(ゾーンのホーム ページの Protect をクリックします)。

インタラクティブ推奨モードの有効化

運用モードは、ゾーンごとに設定します。

インタラクティブ推奨モードを有効にするには、次の手順を実行します。


ステップ 1 ゾーンのメイン メニューの Configuration > General を選択します。

ステップ 2 最初のテーブルの下にある Config ボタンをクリックします。

ステップ 3 運用モードを interactive に設定し、 OK をクリックします。


 

詳細については、「ゾーンの管理」を参照してください。

インタラクティブ モードは、いつでも運用を停止して自動運用モードに戻すことができます。Guard は、インタラクティブ モードで決定した設定をすべて破棄します。ポリシーは、再びフィルタを自動的に作成して有効にするようになり、保留になっている動的フィルタおよび推奨事項もすべて自動的に受け入れます。

新しい推奨事項の表示

次のアイコンは、新しい推奨事項があることを示しています。

 

推奨事項のアイコンは、次の位置に表示されます。

ナビゲーション ペインにある、 All Zones リストのゾーン アイコンの隣

ナビゲーション ペインにある、 Protected Zones リストのゾーン アイコンの隣

ゾーンのホーム ページにある、ゾーンのステータス バー

ゾーン リストのテーブル

Guard に新しい推奨事項がある場合は、保留中の動的フィルタの数が 0 を超えています。このフィルタは、ゾーンのホーム ページにあるゾーンのステータス要約の Pending Dynamic filters で確認できます。

新しい推奨事項を表示するには、次のいずれかの手順を実行します。

ゾーンのメイン メニューの Protection > Recommendations を選択します。

ゾーンのホーム ページで、ゾーンのステータス要約の Pending Dynamic filters をクリックします。

図 7-4 推奨事項

 

表 7-4 に、推奨事項テーブルに含まれているフィールドの説明を示します。

 

表 7-4 推奨事項テーブルに含まれているフィールドの説明

フィールド
説明

ID

保護に関する推奨事項の ID 番号。

Recommendation

推奨されているアクション。

Created By

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「パラメータの設定」を参照してください。

# of PFs

推奨事項を構成している保留中の動的フィルタの数。保留になっている各フィルタは、トラフィック フローがポリシーのしきい値を超過した結果、作成されたものです。数値をクリックすると、推奨事項を構成している保留中の動的フィルタが表示されます。

Attack flow

攻撃フローに関する情報。次の情報が提供されます。

Src IP :攻撃ストリームの送信元 IP アドレス。

Protocol :攻撃ストリームのプロトコル番号。

Dst Port :攻撃ストリームの宛先ポート。

Dst IP :攻撃ストリームの宛先 IP アドレス。

Thr.

超過したポリシーしきい値。

Min.

攻撃レートの最小値。いくつかの保留中フィルタを含んでいる推奨事項において、保留中のフィルタの最小のレートが表示されます。

Max.

攻撃レートの最大値。いくつかの保留中フィルタを含んでいる推奨事項において、保留中のフィルタの最大のレートが表示されます。

Creation

推奨事項が作成された日時。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

フィルタのパラメータとして、複数の値が計測された。異なる値を表示するには、すべての保留フィルタのリストを確認します。

推奨事項への対応

Guard では、推奨事項にどのように対応するかをユーザが決定できます。決定した内容によって、保留中のフィルタが有効になるかどうかと、その期間が決まります。また、特定のポリシーの保留フィルタを Guard で常に自動的に有効にすることもできます。このように設定すると、Guard はそのポリシーのフィルタを決定対象として表示しなくなります。

Guard では、ポリシーが推奨事項および保留フィルタを作成しないように指定することができます。ポリシーが推奨事項を作成しないようにするには、ポリシーをディセーブルにするか、無効にします。詳細については、「パラメータの設定」を参照してください。

DDoS 攻撃は持続的なもので、その特性も変化するため、Guard のポリシーは継続的に推奨事項を作成し、ユーザの確認と対応を待ちます。攻撃の進行中に、運用モードを自動運用モードに変更することもできます。

Guard では、ポリシーによって作成された動的フィルタは、少なくともユーザが定義した期間中( Filters timeout )は有効になります。詳細については、「動的フィルタ」を参照してください。

フィルタのタイムアウト期限が満了すると、Guard はチェックアウト プロシージャを実行して、ポリシーが作成した動的フィルタを無効にするかどうかを決定します。詳細については、「動的フィルタの終了」を参照してください。

Guard の推奨事項への対応を決定するには、次の手順を実行します。


ステップ 1 Filters timeout ボックスに、フィルタのタイムアウトを秒単位で入力します。

ステップ 2 推奨事項の隣にあるチェックボックスをオンにします。

ステップ 3 必要なアクションを選択します。


 

表 7-5 に、推奨事項への対応として可能なアクションの説明を示します。

 

表 7-5 推奨事項への対応アクション

アクション
説明

Accept

特定の推奨事項を受け入れます。推奨されている保留中のフィルタが有効になります。

Always accept

特定の推奨事項を受け入れます。この推奨事項を作成したポリシーが新しい推奨事項を作成するたびに、自動的に受け入れます。


) Guard は、always-accept 推奨事項を表示しません。


 

Always ignore

特定の推奨事項を無視します。この推奨事項に基づく動的フィルタおよびフィルタは作成されません。現在の保護の間のみ、この推奨事項を作成したポリシーが作成する将来の推奨事項はすべて自動的に無視されます。ポリシーが推奨事項を作成しないようにするには、ポリシーをディセーブルにするか、無効にします。

推奨事項を受け入れるのではなく、保留中の動的フィルタの一部を選択して受け入れることもできます。詳細については、「保留中の動的フィルタ」を参照してください。


) 特定の推奨事項への対応として決定した always-ignore は、その推奨事項の保留フィルタを作成したポリシーのインタラクティブ状態を変更することによって変更できます。


保留中の動的フィルタ

保留中の動的フィルタは、しきい値を超過した各フローを計測します。同じポリシーが作成した保留中の動的フィルタは、1 つの推奨事項として表示されます。

保留中の動的フィルタを表示するには、推奨事項テーブル(図 7-5)にある保留中フィルタの数(「# of PFs」カラム)をクリックします。

図 7-5 保留中の動的フィルタ

 

表 7-6 に、保留中の動的フィルタのテーブルに含まれているフィールドの説明を示します。

 

表 7-6 保留中の動的フィルタに含まれているフィールドの説明

フィールド
説明

Created by

フィルタを作成したポリシー。ポリシーの名前をクリックすると、ポリシーの詳細が表示されます。詳細については、「ゾーンのポリシー」を参照してください。

Activation

フィルタが作成された日時。

Src IP

攻撃ストリームの送信元 IP アドレス。

Protocol

攻撃ストリームのプロトコル番号。

Dst Port

攻撃ストリームの宛先ポート。

Fragments

攻撃ストリームの中に、断片化されたパケットが含まれているかどうかを示します。

Action

フィルタが実行するアクション。

Recent rate

フィルタによって計測された現在の攻撃レート。

Rate (pps)

トリガー レート。動的フィルタの作成原因となった攻撃の概算レート。

Details

このフィルタに関する追加情報が存在するかどうかを示します。 i をクリックすると、追加情報が表示されます。

パラメータの値が * となっている場合は、次のいずれかの状態であることを示します。

値が定義されていない。

フィルタのパラメータとして、複数の値が計測された。

Guard では、ポリシーが作成した動的フィルタは少なくともユーザが定義した期間中(フィルタ タイムアウト)は有効になります。


) フィルタのタイムアウト期限が満了すると、Guard はチェックアウト プロシージャを実行して、ポリシーが作成した動的フィルタを無効にするかどうかを決定します。詳細については、「動的フィルタの終了」を参照してください。


保留中の動的フィルタの一部を選択して受け入れるには、次の手順を実行します。


ステップ 1 Filters timeout ボックスに、タイムアウトを秒単位で入力します。

ステップ 2 目的のフィルタの隣にあるボックスをオンにして、 Accept をクリックします。


 

フィルタの詳細情報を表示するには、Details カラムの i をクリックします。図 7-6 が表示されます。

図 7-6 保留中の動的フィルタの詳細

 

保留中の動的フィルタの詳細には、次の 3 つのテーブルが含まれています。

フィルタを作成したポリシーに関する情報。

攻撃フローに関する情報。

フィルタを作成したトリガーに関する情報。 表 7-2 にフィールドの説明を示します。