Cisco Traffic Anomaly Detector コンフィギュレーション ガイド Software Release 6.1
ゾーン トラフィックの異常の検出
ゾーン トラフィックの異常の検出
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ゾーン トラフィックの異常の検出

ゾーンの異常検出について

がゾーンのを行う方法の設定

Guard 保護のアクティベーション方式の設定

ゾーンの異常検出のアクティブ化

ゾーンの異常検出の非アクティブ化

リモート Guard のアクティブ化によるゾーン保護

リモート Guard リストを使用したリモート Guard のアクティブ化

リモート Guard のアクティブ化とゾーン設定の同期

デフォルトのリモート Guard リストの設定

ゾーンのリモート Guard リストの設定

BGP を使用したリモート Guard のアクティブ化

BGP アナウンスメントを送信するための の設定

ゾーン トラフィックをリモート Guard に宛先変更するためのルータの設定

BGP アナウンスメントを送信するためのリモート Guard の設定

リモート Guard のオフラインでのアクティブ化

リモート Guard の手動でのアクティブ化

ゾーン トラフィックの異常の検出

この章では、トラフィックの異常を検出するように Cisco Traffic Anomaly Detector(Detector)を設定する方法について説明します。

この章では、Detector の関連製品である Cisco Guard(Guard)についても言及します。Guard は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃検出および軽減デバイスです。トラフィックが通過するときにゾーン トラフィックを清浄化して、攻撃トラフィックをドロップし、正当なトラフィックをネットワークに流入させます。Detector は、ゾーンが攻撃を受けていると判断した時点で、Guard の攻撃軽減サービスをアクティブ化できます。また、Detector は Guard とゾーン設定を同期させることができます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ゾーンの異常検出について

Detector がゾーンの異常検出を行う方法の設定

Guard 保護のアクティベーション方式の設定

ゾーンの異常検出のアクティブ化

ゾーンの異常検出の非アクティブ化

リモート Guard のアクティブ化によるゾーン保護

ゾーンの異常検出について

ゾーンの異常検出とは、Detector がゾーン トラフィックのコピーをアクティブに監視し、ゾーン上の DDoS 攻撃の兆候を探すことです。トラフィックの異常がポリシーしきい値を超える(攻撃の兆候)ことによってポリシー アクションをトリガーすると、Detector は次のいずれかのタスクを実行します。

Detector のリモート Guard リストに定義されている Guard をアクティブにして、攻撃を軽減する。

通知が送信される。

異常検出をアクティブにする前に、次の要件と推奨事項を確認してください。

スイッチにポート ミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する:これらのいずれかの方法を使用して、ゾーン トラフィックのコピーを分析のために Detector に提供する必要があります。

ラーニング プロセスを実行する:Detector が、通常のトラフィック特性に基づいて、一連のゾーン固有のポリシーおよびポリシーしきい値を作成できるようにすることをお勧めします。ラーニング プロセスを実行するには、次の手順を実行します。

1. ポリシー構築フェーズをアクティブにする:Detector が、ゾーン トラフィックで検出したサービスに基づいて、一連のポリシーを作成します。詳細については、「ポリシー構築フェーズのアクティブ化」を参照してください。

2. 検出およびラーニング機能をアクティブにする:Detector が、最後に受け入れたポリシーしきい値を使用してトラフィックの異常を監視しながら、ラーニング プロセスのしきい値調整フェーズを実行します。Detector は、ゾーンに対する攻撃を検出すると、しきい値調整フェーズを停止しますが、ゾーン トラフィックの異常検出は続行します。詳細については、「検出およびラーニング機能のイネーブル化」を参照してください。


) 検出およびラーニングのオプションは、ゾーンが攻撃を受けていないと確信できるときにのみアクティブにします。


Guard とゾーン設定を同期させる:Guard を Detector に関連付けてゾーン保護を行う場合は、Detector のゾーン設定を Guard のゾーン設定と同期させることができます。詳細については、「Guard とのゾーン設定の同期」および 「リモート Guard のアクティブ化によるゾーン保護」を参照してください。

異常検出特性を定義する:次のオプションの異常検出特性を設定できます。

動作モード:Detector がゾーンの異常検出を行う方法(Detector がゾーン トラフィックの異常を自動的に検出するか、インタラクティブに検出するか)を定義します。インタラクティブ方式では、Detector が実行するアクションをユーザが決定します。詳細については、「Detector がゾーンの異常検出を行う方法の設定」を参照してください。

Guard 保護アクティベーション方式:Detector がどのようにリモート Guard をアクティブにしてゾーンを保護するかを定義します。Detector は、リモート Guard をアクティブにしてゾーン全体の一部であるゾーン(たとえば、保護されたネットワーク環境の一部である特定のサーバ)を保護することも、リモート Guard をアクティブにしてゾーン全体を保護することもできます。


ヒント ポリシー構築フェーズを開始してから少なくとも 10 秒待ってから show rates コマンドを入力して、Detector がゾーン トラフィックのコピーを受信していることを確認できます。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定を確認するか、または光スプリッタを使用して Detector からルータへの接続を確認してください。


Detector がゾーンの異常検出を行う方法の設定

ゾーンの攻撃中、Detector では、攻撃中に実行するアクションを決定する動的フィルタが作成されます。それぞれの動的フィルタに関連付けられたアクションを自動的に実行するか、または提案されたアクションを実行するかどうかをユーザが決定するのを待つように、Detector を設定できます。アクションの実行を制御するには、次のいずれかのモードで異常検出が実行されるように Detector を設定します。

自動保護モード:Detector で動的フィルタが作成されるとすぐにフィルタのアクションが実行されます。この動作モードはデフォルトです。

インタラクティブ保護モード:Detector の動的フィルタは 推奨事項 として保存されます。ユーザは推奨事項のリストを確認して、どの推奨事項を受け入れるか、無視するか、自動アクティベーションの対象にするかを決定します。

ゾーン設定モードで show コマンドを使用して、ゾーンの現在の動作モードを表示します。

インタラクティブ検出モードをイネーブルにするには、ゾーン設定モードで次のコマンドを使用します。

interactive

インタラクティブ検出モードをディセーブルにして、自動検出モードを使用するには、ゾーン設定モードで次のコマンドを使用します。

no interactive

次のインタラクティブ保護動作の詳細については、「インタラクティブ検出モードの使用方法」を参照してください。

新しいゾーンを作成する際のインタラクティブ保護モードのイネーブル化

保護の推奨事項の管理

自動保護モードへの切り替えが必要なタイミングの判断

Guard 保護のアクティベーション方式の設定

Guard 保護のアクティベーション方式とは、Detector に関連付けられているリモート Guard が、ゾーン保護をどのようにアクティブにするかを定義するものです。Guard 保護のアクティベーション方式は、ゾーン保護要件に応じて選択され、Guard のリソースを節約します。

Guard 保護アクティベーション方式をアクティブにするには、ゾーン設定モードで次のコマンドを使用します。

protect-ip-state { entire-zone | dst-ip-by-name | dst-ip-by-ip | policy-type }

Detector は、次の Guard 保護のアクティベーション方式をサポートします。

entire-zoneゾーン トラフィックの異常を検出すると、Guard をアクティブにしてゾーン全体を保護します。この方式では、Guard が保護するアクティブなゾーンの数が減るため、Guard のリソースが節約されます。ゾーンが関連性のあるサブゾーンで構成されている場合は、この方式を使用します。

dst-ip-by-name特定の IP アドレス宛のゾーン トラフィックで異常を検出すると、Guard をアクティブにしてその IP アドレスを保護します。Guard をアクティブにして攻撃の対象となる IP アドレスを保護できる一方で、ゾーン全体のトラフィックを Guard に宛先変更することを回避できます。Detector は、トラフィックの異常を特定の IP アドレスに関連付けることができない場合、Guard をアクティブにしないため、ゾーンが保護されません。ゾーンが関連性のないサブゾーンで構成されている場合は、この方式を使用します。

dst-ip-by-ip :特定の IP アドレス宛のゾーン トラフィックの異常を検出すると、Guard をアクティブにしてその IP アドレスを保護します。IP アドレスは、Guard に定義されているいずれかのゾーンのアドレス範囲内である必要があります。ただし、Detector 上のゾーン名は Guard 上のゾーン名と同じである必要はありません。 dst-ip-by-ip Guard 保護アクティベーション方式は、Guard で protect ip-address コマンドを使用することと同じです。Detector 上のゾーン名が Guard 上のゾーン名と一致しない場合、またはゾーンが関連性のないサブゾーンで構成されている場合は、この方式を使用します。


) Guard が攻撃対象の IP アドレスだけのゾーン保護をアクティブにし、ゾーン全体のトラフィックを Guard 自身に宛先変更しないようにするには、Guard でゾーンに ip-address-only というアクティベーション範囲を定義しておく必要があります。


policy-typeGuard をアクティブにし、Detector が Guard をアクティブにする原因となったポリシーに応じて、ゾーン全体を保護するか、またはゾーンのアドレス範囲内の特定の IP アドレスを保護します。Detector は、特定の IP アドレス宛のゾーン トラフィックで異常を検出した場合(たとえば、リモート アクティベーションの原因となったポリシーのトラフィック特性が dst_ip である場合)、Guard をアクティブにしてその IP アドレスを保護します。トラフィックの異常を特定の IP アドレスと関連付けることができない場合(たとえば、リモート アクティベーションの原因となったポリシーのトラフィック特性が global である場合)、Detector は Guard をアクティブにしてゾーン全体を保護します。

ゾーンが関連性のあるサブゾーンで構成され、攻撃対象となったゾーンがゾーン全体に損害を与えるのを回避できる場合は、この方式を使用します。

次の例は、Guard 保護アクティベーション方式を設定する方法を示しています。

user@DETECTOR-conf-zone-scannet# protect-ip-state entire-zone

ゾーンの異常検出のアクティブ化

ゾーンの異常検出をアクティブにするには、ゾーン設定モードで次のコマンドを使用します。

detect [learning]

オプションの learning キーワードは、検出およびラーニング機能(詳細については、「検出およびラーニング機能のイネーブル化」を参照)によって、Detector がゾーン トラフィックの異常を検出しながらゾーンのポリシーしきい値を調整できるようにします。

次の例は、ゾーン scannet の異常検出をアクティブにする方法を示しています。

user@DETECTOR-conf-zone-scannet# detect

ゾーンの異常検出の非アクティブ化

ゾーンの異常検出を非アクティブにするには、ゾーン設定モードで次のコマンドのいずれかを使用します。

no detect :ゾーンの異常検出を終了します。検出およびラーニング機能がイネーブルであるときに no detect コマンドを入力すると、Detector は、ゾーン異常検出を終了しますが、ラーニング プロセスのポリシーしきい値フェーズは継続します(詳細については、「検出およびラーニング機能のイネーブル化」を参照)。

deactivate :ゾーンの異常検出と、ラーニング プロセスのしきい値調整フェーズの両方を終了します。

リモート Guard のアクティブ化によるゾーン保護

Detector は、ゾーン トラフィックの異常を検出すると、Detector に関連付けられている Guard をアクティブにできる動的フィルタを作成します。Detector に Guard が 1 つも関連付けられていない場合、Detector は、動的フィルタによって、イベントの記録だけを行うように指示されます。

次のいずれかの方法で、Detector を使用してリモート Guard をアクティブにできます。

リモート Guard リストの使用:Secure Sockets Layer(SSL)を使用してリモート アクティベーションとゾーン同期をイネーブルにするか、または SSH を使用してリモート アクティベーションだけをイネーブルにします。

Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の使用:ゾーン トラフィックをリモート Guard に宛先変更するために、BGP メッセージを隣接ルータに送信するよう Detector を設定します。

オフラインでのアクティブ化:ゾーンに対する攻撃が発生した場合に通知を発行するよう Detector を設定します。

手動でのアクティブ化:動的フィルタを作成して、リモート Guard をアクティブにします。

Detector は、Guard からダウンストリームに配置します。攻撃が進行中でない場合、Detector は保護対象のゾーンを宛先とするすべてのインバウンド トラフィックを監視します。攻撃を受けている最中に、Guard が攻撃対象のゾーンからトラフィックを宛先変更して軽減すると、Detector は Guard がゾーンに転送する正当なトラフィックを監視します。

この項では、次のトピックについて取り上げます。

リモート Guard リストを使用したリモート Guard のアクティブ化

BGP を使用したリモート Guard のアクティブ化

リモート Guard のオフラインでのアクティブ化

リモート Guard の手動でのアクティブ化

リモート Guard リストを使用したリモート Guard のアクティブ化

Detector に、ゾーンを保護するためにアクティブにする Guard のリスト(リモート Guard リストとも呼ばれます)を設定できます。Detector は、次の 2 つのタイプのリモート Guard リストを保持します。

ゾーンのリモート Guard リスト:ゾーン固有のリストであり、Detector は、このリストに定義されている Guard をアクティブにしてゾーンを保護します。また、ゾーン設定を Guard と同期させる場合もあります。

デフォルトのリモート Guard リスト:ゾーンのリモート Guard リストが空である場合、あるいは SSL または Secure Shell のどちらかの通信方式しか含んでいない場合にだけ、Detector はデフォルトのリストを検索します。

複数のリモート Guard リストに Guard を設定できます。


) リモート Guard リストに Guard を追加する場合は、そのリモート Guard との通信チャネルを確立する必要があります。詳細については、「Guard との通信の確立」を参照してください。


各リモート Guard リストは、次の 2 つの通信方式をサポートしています。

SSL:Detector は SSL を使用して Guard と通信します。Detector は、Guard をアクティブにしてゾーンを保護し、ゾーン設定を Guard と同期させることができます。

Detector は、Guard をアクティブにしてゾーンを保護する前に、ゾーン設定をリモート Guard リストに含まれる Guard と同期させることができます。詳細については、「Guard とのゾーン設定の同期」を参照してください。

セキュア シェル(SSH):Detector は SSH(バージョン 2)を使用して Guard と通信します。Detector は、Guard をアクティブにしてゾーンを保護できますが、ゾーン設定を Guard と同期させることはできません。

同じ通信方式の Guard がゾーンのリモート Guard リストに定義されていない場合にだけ、Detector はデフォルトのリモート Guard リスト内の Guard をアクティブにします。


注意 リモート Guard リストを変更する場合は、Detector がリモート Guard との通信チャネルに使用する SSL 証明書を再生成する必要があります。再生成しないと、通信が失敗します。詳細については、「SSL 証明書の再生成」を参照してください。

Detector のリモート Guard リストのいずれか(デフォルトのリモート Guard リストまたはゾーンのリモート Guard リスト)に少なくとも 1 つの Guard が定義されていることを確認してください。どのリモート Guard リストにもリモート Guard が定義されていない場合、Detector はログ ファイルにイベントを記録します。

この項では、次のトピックについて取り上げます。

リモート Guard のアクティブ化とゾーン設定の同期

デフォルトのリモート Guard リストの設定

ゾーンのリモート Guard リストの設定

リモート Guard のアクティブ化とゾーン設定の同期

リモート Guard をアクティブにし、かつゾーン設定を同期させるには、次の手順を実行します。


ステップ 1 Guard ゾーン テンプレートのいずれかを使用して、新しいゾーンを作成し、設定します。

「新しいゾーンの作成」を参照してください。

ステップ 2 リモート Guard の IP アドレスを、次のいずれかのリストに追加します。

ゾーンのリモート Guard リスト:そのゾーンの保護用に Detector によってアクティブにされるリモート Guard のリスト。

詳細については、「ゾーンのリモート Guard リストの設定」を参照してください。

Detector のデフォルト リモート Guard リスト:リモート Guard のデフォルト リスト。ゾーンのリモート Guard リストが空の場合、Detector はこれらのリモート Guard をアクティブにします。

詳細については、「デフォルトのリモート Guard リストの設定」を参照してください。

ステップ 3 リモート Guard との通信チャネルを設定します。

詳細については、「Guard との通信の確立」を参照してください。

ステップ 4 ゾーンの Guard 保護の形態( protect-ip-state )を設定し、Detector がリモート Guard のアクティブ化に使用する方式を決定します。

詳細については、「Guard 保護のアクティベーション方式の設定」を参照してください。

ステップ 5 次のいずれかの方法を使用して、リモート Guard に新しいゾーンを作成します。

SSL を使用して、Detector のゾーン設定を Guard に同期させます。

詳細については、「Guard とのゾーン設定の同期」を参照してください。

リモート Guard に新しいゾーンを作成します。Guard でのゾーン名は、Detector でのゾーン名と同一である必要があります。ただし、 protect-ip-state dst-ip-by-ip コマンドを使用して、攻撃対象の IP アドレスだけに基づいて Guard による保護をアクティブにするように Detector を設定した場合を除きます。

protect-ip-state コマンドの詳細については、「Guard 保護のアクティベーション方式の設定」を参照してください。

ステップ 6 リモート Guard で protection-end-timer コマンドを使用して、リモート Guard がゾーン保護の終了に使用するタイマーを設定します。protection-end-timer の値が forever の場合、攻撃が終了してもリモート Guard はゾーンの保護を終了しません。


 

デフォルトのリモート Guard リストの設定

次の両方の条件に該当する場合、Detector は、デフォルトのリモート Guard リスト内のリモート Guard をアクティブにします。

ゾーンのリモート Guard リストが空であるか、あるいは SSL または SSH のどちらかの通信方式の Guard しか含んでいない場合。

デフォルト リスト内のリモート Guard に、ゾーン固有のリモート Guard リストに定義されていない通信方式が設定されている場合。

Detector は、同じ通信方式のすべてのリモート Guard をアクティブにします。

デフォルトのリモート Guard リストに Guard を追加するには、設定モードで次のコマンドを使用します。

remote-guard { ssh | ssl} remote-guard-address [ description ]

表8-1 に、 remote-guard コマンドの引数とキーワードを示します。

 

表8-1 remote-guard コマンドの引数とキーワード

パラメータ
説明

ssh

SSH 通信方式を指定します。

ssl

SSL 通信方式を指定します。

remote-guard-address

リモート Guard の IP アドレス。

description

(オプション)リモート Guard の説明。説明は、63 文字以内の英数文字です。

次の例は、デフォルトのリモート Guard リストに SSL 通信方式のリモート Guard を追加する方法を示しています。

user@DETECTOR-conf# remote-guard ssl 192.168.100.33
 

リモート Guard のデフォルト リストを表示するには、グローバル モードまたは設定モードで show remote-guards コマンドを使用します。

ゾーンのリモート Guard リストの設定

Detector は、ゾーンのリモート Guard リストに定義されているリモート Guard をすべてアクティブにします。

ゾーンのリモート Guard リストに Guard を追加するには、ゾーン設定モードで次のコマンドを使用します。

remote-guard { ssh | ssl} remote-guard-address [ description ]

表8-2 に、remote-guard コマンドの引数とキーワードを示します。

 

表8-2 remote-guard コマンドの引数

パラメータ
説明

ssh

SSH 通信方式を指定します。

ssl

SSL 通信方式を指定します。

remote-guard-address

リモート Guard の IP アドレス。

description

(オプション)リモート Guard の説明。説明は、63 文字以内の英数文字です。

次の例は、ゾーンのリモート Guard リストに SSL 通信方式の Guard を追加する方法を示しています。

user@DETECTOR-conf-zone-scannet# remote-guard ssl 192.168.100.33
 

ゾーンのリモート Guard リストを表示するには、ゾーン設定モードで show remote-guards コマンドを使用します。

BGP を使用したリモート Guard のアクティブ化

Detector とリモート Guard との通信チャネルを確立しない場合は、ボーダー ゲートウェイ プロトコル(BGP)を使用して、リモート Guard をアクティブにしてゾーンを保護します。たとえば、Detector がユーザ側に置かれ、リモート Guard が Internet Service Provider(ISP; インターネット サービス プロバイダー)側に置かれている場合に、BGP を使用してリモート Guard をアクティブにできます。Detector がゾーンに対する攻撃を検出した場合に、ゾーン トラフィックをリモート Guard に宛先変更するために、BGP アップデート メッセージを隣接ルータに送信するよう Detector を設定できます。さらに、リモート Guard がゾーン宛のトラフィックを識別した場合は、ゾーン保護をアクティブにするようリモート Guard を設定できます。

Detector は、remote-activate アクションを使用する動的フィルタを作成すると、BGP アップデート メッセージを隣接ルータに送信してゾーン トラフィックをリモート Guard に宛先変更します。また、その動的フィルタが削除されると、Detector は隣接ルータに BGP 取り消しメッセージを送信します。

Detector とリモート Guard の間に通信チャネルが存在しないため、リモート Guard はゾーンに対する攻撃が終了したことを Detector に通知できません。攻撃の終了後 Detector が引き続きゾーン トラフィックを監視できるようにするには、次の各タスクを実行します。

remote-activate アクションを使用する動的フィルタにタイムアウトを設定する。デフォルトでは、各ポリシーのタイムアウトは 600 秒です。

詳細については、「ポリシーのタイムアウトの設定」および 「動的フィルタの削除」を参照してください。

ゾーン トラフィックをリモート Guard に宛先変更するために、BGP アップデート メッセージを隣接ルータに送信するようリモート Guard を設定する。隣接ルータはリモート Guard をゾーンへのネクストホップとしてリストするため、Detector が BGP 取り消しメッセージを隣接ルータに送信しても、ルータは引き続きゾーン トラフィックをリモート Guard に宛先変更します。

攻撃が終了したら、ゾーン トラフィックをリモート Guard に宛先変更することを停止するために、BGP 取り消しメッセージを隣接ルータに送信するようリモート Guard を設定する。

リモート Guard がバックボーン レベルでインストールされており、Detector がゾーンのサイトにインストールされている場合、トラフィックが元のデータ パスでのフローを再開するまで、Detector はリモート Guard によって処理されたトラフィックだけを監視します。


) Detector が BGP を使用してリモート Guard をアクティブにできるようにするには、Detector、隣接ルータ、およびリモート Guard 上でルーティングを設定するアクセス権を持っている必要があります。


Detector が BGP を使用してリモート Guard をアクティブにできるようにするには、次の手順を実行します。


ステップ 1 ゾーン トラフィックで異常を検出するたびに BGP アナウンスメントを隣接ルータに送信するよう Detector を設定します。

詳細については、「BGP アナウンスメントを送信するための Detector の設定」を参照してください。

ステップ 2 隣接ルータが Detector から BGP アナウンスメントを受信した場合、ゾーン トラフィックをリモート Guard に宛先変更するよう隣接ルータを設定します。

詳細については、「ゾーン トラフィックをリモート Guard に宛先変更するためのルータの設定」を参照してください。

ステップ 3 リモート Guard がゾーン宛のトラフィックを受信した場合は保護をアクティブにし、かつゾーンへのネクストホップとしてリモート Guard 自身がリストされている BGP アナウンスメントを隣接ルータに送信するよう、リモート Guard を設定します。

詳細については、「BGP アナウンスメントを送信するためのリモート Guard の設定」を参照してください。


 

この項では、次のトピックについて取り上げます。

BGP アナウンスメントを送信するための Detector の設定

ゾーン トラフィックをリモート Guard に宛先変更するためのルータの設定

BGP アナウンスメントを送信するためのリモート Guard の設定

BGP アナウンスメントを送信するための Detector の設定

Detector に BGP ルーティングが設定されている場合は、remote-activate アクションを使用する動的フィルタが存在する限り、Detector は BGP アップデート メッセージを送信します。Detector がゾーンに対する攻撃を検出した場合、ルータによってゾーン トラフィックがリモート Guard に宛先変更されるように、BGP アップデート メッセージを隣接ルータに送信するよう Detector を設定できます。


) Detector は、Detector のルーティング設定に基づいて BGP アップデート メッセージを送信します。Detector のルーティング設定が global で、ゾーンの IP アドレスを指定していない場合、Detector は、ゾーン設定に関係なく、攻撃を検出したすべてのゾーンに同じ BGP アップデート メッセージを送信します。


ゾーンに対する攻撃を検出したときに BGP ルーティング メッセージを送信するよう Detector を設定するには、次の手順を実行します。


ステップ 1 設定モードで service router コマンドを入力して、ルーティング サービスをイネーブルにします。

詳細については、「Detector のサービスのアクティブ化」を参照してください。

ステップ 2 設定モードで router コマンドを入力して、ルータ設定モードに入ります。

user@DETECTOR-conf# router
 

次のプロンプト行が表示されます。

router>
 

Detector は、Zebra アプリケーションを使用して、ルーティングを設定します(Zebra アプリケーションの詳細については、 http://www.zebra.org を参照)。


ヒント このモードで使用できるコマンドのリストを表示するには、ルータ設定モードの各コマンド レベルで疑問符(?)のキーを押してください。


ステップ 3 次のコマンドを入力して、特権モードに切り替えます。

router> enable
 

次のプロンプト行が表示されます。

router#
 

) ルータ設定モードを終了するには、ルータ設定モードで exit コマンドを使用します。現在の設定モードを終了して以前の設定モードに移るには、exit コマンドを使用します。


ステップ 4 次のコマンドを入力して、端末設定モードに入ります。

router# config terminal
 

次のプロンプト行が表示されます。

router(config)#
 

ステップ 5 コミュニティ ストリングによって識別される BGP ルーティング メッセージを隣接ルータに送信するよう Detector を設定し、かつ redistribute detector コマンドを使用して Detector によって定義されたルートを再配布するよう設定します。

ステップ 6 write memory コマンドを入力して、ルーティング設定のすべての変更を Detector のメモリに保存します。

ステップ 7 隣接ルータ上で次の情報を確認します。

ルータが BGP メッセージを受信したこと: show ip bgp neighbors detector-ip-address received-routes コマンドを使用します。

ルータが正しいプレフィックスをラーニングしたこと: show ip bgp コマンドを使用します。

ステップ 8 (オプション) protect-ip-state コマンドを入力して、ゾーンで使用される Guard 保護アクティベーション方式を設定します。Guard 保護アクティベーション方式は、ゾーン保護要件に対処し、リモート Guard のリソースを節約するように設計されています。Detector は、Guard 保護アクティベーション方式の値に基づいて、ゾーン全体のトラフィック、あるいは攻撃対象の IP アドレスまたはサブネットのトラフィックをリモート Guard に宛先変更するために、BGP アナウンスメントを送信します。


) リモート Guard に対して activation-extent コマンドを使用することにより、ゾーン全体の保護をアクティブにするか、あるいは攻撃対象の IP アドレスまたはサブネットだけの保護をアクティブにするようにリモート Guard を設定できます。


詳細については、「Guard 保護のアクティベーション方式の設定」を参照してください。

ステップ 9 (オプション) policy set-timeout コマンドまたは timeout コマンドを使用して、remote-activate アクションを使用する動的フィルタのタイムアウトを設定します。

詳細については、「ポリシーのタイムアウトの設定」および 「動的フィルタの削除」を参照してください。

ポリシーおよびポリシーが生成する動的フィルタのタイムアウトが forever である場合、Detector は、ゾーン トラフィックをリモート Guard に宛先変更するために、継続して BGP アップデート メッセージを隣接ルータに送信します。

各ポリシーのデフォルトのタイムアウトは 600 秒です。

remote-activate アクションを使用するすべてのポリシーを表示するには、 show policies | include remote-activate コマンドを使用します。動的フィルタを表示するには、 show dynamic-filters コマンドを使用します。


 

次の例は、ルーティング サービスをイネーブルにして、ルーティング設定モードに入り、BGP ルーティング メッセージを隣接ルータに送信するよう Detector を設定する方法を示しています。

user@DETECTOR-conf# service router
user@DETECTOR-conf# router
router> enable
router# config terminal
router(config)# router bgp 64555
router(config-router)# bgp router-id <Detector-IP>
router(config-router)# redistribute detector
router(config-router)# neighbor <router-IP> remote-as 55
router(config-router)# neighbor <router-IP> advertisement-interval 1
router(config-router)# neighbor <router-IP> ebgp-multihop 255
router(config-router)# neighbor <router-IP> send-community
router(config-router)# neighbor <router-IP> route-map COMMUNITY out
router(config-router)# exit
router(config)# route-map COMMUNITY permit 10
router(config-route-map)# set community 55:55
router(config-route-map)# exit
router(config)# write memory
router(config)# exit
router# exit
user@DETECTOR-conf# zone <zonename>
user@DETECTOR-conf-zone-<zonename># protect-ip-state dst-ip-by-ip
user@DETECTOR-conf-zone-<zonename># policy * set-timeout 900

ゾーン トラフィックをリモート Guard に宛先変更するためのルータの設定

ルータが指定のコミュニティ ストリングを含む BGP アップデート メッセージを受信した場合、リモート Guard をゾーンへのネクストホップとして使用するようルータを設定します。コミュニティ ストリングは、Detector およびリモート Guard に設定したコミュニティ ストリングと同じである必要があります。

次の例は、ゾーン トラフィックを Guard に宛先変更するよう隣接ルータを設定する方法を示しています。

RouterR0# conf term
RouterR0(config)# router bgp 55
RouterR0(config-router)# neighbor <Detector-IP> remote-as 64555
RouterR0(config-router)# neighbor <Detector-IP> route-map COMMUNITY in
RouterR0(config-router)# neighbor Detectors peer-group
RouterR0(config-router)# neighbor <Detector-IP> peer-group Detectors
RouterR0(config-router)# neighbor <Detector-IP> route-map COMMUNITY in
RouterR0(config-router)# exit
RouterR0(config)# ip community-list 55 permit 55:55
RouterR0(config)# route-map COMMUNITY permit 10
RouterR0(config-route-map)# match community 55
RouterR0(config-route-map)# set ip next-hop <remote-Guard-IP>

BGP アナウンスメントを送信するためのリモート Guard の設定

Detector は、BGP 取り消しメッセージを隣接ルータに送信して、Detector がリストしたルートをルータが削除するようにすることができます。隣接ルータが引き続きゾーン トラフィックをリモート Guard に転送することで、リモート Guard が継続してゾーンを保護できるようにするには、リモート Guard をゾーンへのネクストホップとしてリストする BGP アップデート メッセージを隣接ルータに送信するようリモート Guard を設定します。

攻撃が終了すると、リモート Guard は BGP 取り消しメッセージを隣接ルータに送信します。隣接ルータは、BGP 取り消しメッセージを受信すると、リモート Guard が追加したルートを削除してリモート Guard がゾーンへのネクストホップとしてリストされないようにし、ゾーン トラフィックが元のパスでフローを再開するようにします。リモート Guard はバックグラウンドでの動作に戻り、Detector はゾーン トラフィックを監視して他の異常がないか調べます。


) リモート Guard の CLI コマンドの詳細については、『Cisco Guard Configuration Guide』または『Cisco Anomaly Guard Module Configuration Guide』を参照してください。


ゾーンに対する攻撃を検出すると BGP ルーティング メッセージを隣接ルータに送信するようリモート Guard を設定し、かつリモート Guard がゾーン保護をアクティブにする方法を設定するには、リモート Guard に対して次の手順を実行します。


ステップ 1 activation-interface コマンドを packet-or-ip-address divert キーワードまたは packet divert キーワードと共に入力し、リモート Guard がゾーン保護をアクティブにする場合に使用する方式を設定します。


) リモート Guard が BGP アナウンスメントを隣接ルータに送信するようにするには、divert キーワードを使用する必要があります。


リモート Guard は、ゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成されるゾーン宛のトラフィックを受信した場合、ゾーン保護をアクティブにします。

受信パケット IP アドレスを含むアドレス範囲を持つ複数のゾーンが設定されている場合、リモート Guard は、プレフィックスが最も長く一致するゾーン(受信 IP アドレスを含むアドレス範囲が最も限定的なゾーン)をアクティブにします。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

ステップ 2 (オプション) activation-extent コマンドを入力して、保護アクティベーション範囲を設定します。保護アクティベーション範囲では、リモート Guard がゾーン全体に対してゾーン保護をアクティブにするか、ゾーンの一部に対してゾーン保護をアクティブにするかを定義します。

ステップ 3 (オプション) protect-packet activation-sensitivity コマンドを使用して、リモート Guard がゾーン保護をアクティブにするための最小パケット レートを設定します(デフォルトは 0 pps です)。パケット レートは、1 つのゾーン宛先 IP アドレスへのレートとして測定されます。

ステップ 4 protection-end-timer コマンドを入力して、リモート Guard がゾーンに対する攻撃が終了したことを識別するために使用するタイマーを設定します。

protection-end-timer の値が forever の場合、攻撃が終了してもリモート Guard はゾーン保護を終了せず、BGP 取り消しメッセージを隣接ルータに送信しません。その結果、隣接ルータは引き続きゾーン トラフィックをリモート Guard に宛先変更し、元のデータ パスへのゾーン トラフィックの転送を再開しません。

ステップ 5 設定モードで router コマンドを入力して、ルータ設定モードに入ります。

admin@GUARD-conf# router
 

次のプロンプト行が表示されます。

router>
 

Detector は、Zebra アプリケーションを使用して、ルーティングを設定します(Zebra アプリケーションの詳細については、 http://www.zebra.org を参照)。


ヒント このモードで使用できるコマンドのリストを表示するには、ルータ設定モードの各コマンド レベルで疑問符(?)のキーを押してください。


ステップ 6 次のコマンドを入力して、特権モードに切り替えます。

router> enable
 

次のプロンプト行が表示されます。

router#
 

) ルータ設定モードを終了するには、ルータ設定モードで exit コマンドを使用します。現在の設定モードを終了して以前の設定モードに移るには、exit コマンドを使用します。


ステップ 7 次のコマンドを入力して、端末設定モードに切り替えます。

router# config terminal
 

次のプロンプト行が表示されます。

router(config)#
 

ステップ 8 コミュニティ ストリングによって識別される BGP ルーティング メッセージを隣接ルータに送信するようリモート Guard を設定し、かつ redistribute guard コマンドを使用してリモート Guard によって定義されたルートを再配布するよう設定します。

ステップ 9 write memory コマンドを使用して、ルーティング設定のすべての変更をリモート Guard のメモリに保存します。

ステップ 10 隣接ルータ上で次の情報を確認します。

ルータが BGP メッセージを受信したこと: show ip bgp neighbors remote-Guard-IP received-routes コマンドを使用します。

ルータが正しいプレフィックスをラーニングしたこと: show ip bgp コマンドを使用します。


 

次の例は、ルーティング設定モードに入り、BGP ルーティング メッセージを隣接ルータに送信するよう Guard を設定する方法を示しています。

user@GUARD# zone <zonename>
user@GUARD-conf-zone-<zonename># activation-interface packet divert
user@GUARD-conf-zone-<zonename># activation-extent ip-address-only
user@GUARD-conf-zone-<zonename># protection-end-timer 600
user@GUARD-conf-zone-<zonename># exit
user@DETECTOR-conf# router
router> enable
router# config terminal
router(config)# router bgp 64555
router(config-router)# bgp router-id <Detector-IP>
router(config-router)# redistribute guard
router(config-router)# neighbor <router-IP> remote-as 55
router(config-router)# neighbor <router-IP> advertisement-interval 1
router(config-router)# neighbor <router-IP> ebgp-multihop 255
router(config-router)# neighbor <router-IP> send-community
router(config-router)# neighbor <router-IP> route-map COMMUNITY out
router(config-router)# exit
router(config-route-map)# route-map COMMUNITY permit 10
router(config-route-map)# set community 55:55
router(config-route-map)# exit
router(config-router)# write memory

リモート Guard のオフラインでのアクティブ化

Detector は、ゾーン トラフィックの異常を検出すると、イベントをログに記録します。また、簡易ネットワーク管理プロトコル(SNMP)トラップを生成できます(「SNMP トラップのイネーブル化」を参照)。その後、Guard を手動でアクティブにして、ゾーンを保護できます。

Guard をオフラインでアクティブにするには、次の手順を実行します。


ステップ 1 Detector と Guard の両方にゾーンを設定するか、またはゾーン設定をオフラインで同期させます。

詳細については、「同期用のゾーンの作成」を参照してください。

ステップ 2 (オプション)リモート Guard で protection-end-timer コマンドを使用して、リモート Guard がゾーン保護の終了に使用するタイマーを設定します。 protection-end-timer の値を forever に設定すると、攻撃が終了してもリモート Guard はゾーン保護を終了しません。

ステップ 3 protect コマンドを使用して、Guard でゾーンをアクティブにします。


 

リモート Guard の手動でのアクティブ化

Detector がゾーン トラフィックの異常を検出する前でも、Detector からリモート Guard を手動でアクティブにしてゾーンを保護できます。

リモート Guard を手動でアクティブにするには、Detector で次の手順を実行します。


ステップ 1 ゾーンのリモート Guard リストまたはデフォルトのリモート Guard リストにリモート Guard を追加します。

詳細については、「リモート Guard リストを使用したリモート Guard のアクティブ化」を参照してください。

ステップ 2 dynamic-filter remote-activate コマンドを入力して、動的フィルタを作成します。

詳細については、「動的フィルタの追加」を参照してください。