Cisco Traffic Anomaly Detector Web-Based Manager コンフィギュレーション ガイド Software Release 6.1
ゾーンの作成と設定
ゾーンの作成と設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーンの作成と設定

ゾーンについて

Guard ゾーンの設定

Guard ゾーンの設定の表示

保護の特性の設定

保護のアクティベーション方式について

ゾーン保護の範囲について

ゾーンの作成

ゾーン テンプレートからのゾーンの作成

既存のゾーンからのゾーンの作成

ゾーンの IP アドレス範囲の設定

ゾーンの IP アドレス範囲への IP アドレスの追加

ゾーンの IP アドレス範囲からの IP アドレスの削除

ゾーン ポリシーのアップデート

ゾーン設定の表示と変更

ゾーンの削除

ゾーンの作成と設定

この章では、Cisco Traffic Anomaly Detector(Detector)上にゾーンを作成し、管理する方法について説明します。

ここでは、Detector の付属製品である Cisco Guard(Guard)について説明します。Guard は、Distributed Denial of Service(DDoS; 分散型サービス拒絶)攻撃を検出および軽減するデバイスです。トラフィックがゾーンを通過するときに、攻撃トラフィックをドロップして正当なトラフィックをネットワークに再び注入することにより、ゾーン トラフィックをクリーンにします。Detector は、ゾーンが攻撃を受けていると判断したときに、Guard の攻撃軽減サービスをアクティブにすることができます。また、Detector はゾーンの設定を Guard と同期させることもできます。Guard の詳細については、『 Cisco Anomaly Guard Module Configuration Guide 』または『 Cisco Guard Configuration Guide 』を参照してください。

この章は、次の項で構成されています。

ゾーンについて

Guard ゾーンの設定

ゾーンの作成

ゾーンの IP アドレス範囲の設定

ゾーン設定の表示と変更

ゾーンの削除

ゾーンについて

ゾーンは、 Detector によって DDoS 攻撃を監視する対象として定義するネットワーク要素です。ゾーンは、次の要素の任意の組み合せです。

ネットワーク サーバ、ネットワーク クライアント、ルータ

ネットワーク リンク、サブネット、またはネットワーク全体

個々のインターネット ユーザまたは企業

インターネット サービス プロバイダー(ISP)

DDoS 攻撃を感知すると、 Detector は Guard を自動的にアクティブにしてゾーンを攻撃から保護するか、Guard を手動でアクティブにするようユーザに通知することができます。 Detector は、ゾーンのネットワーク アドレスの範囲が重なっていなければ、複数のゾーンのトラフィックを同時に分析できます。

ゾーンの設定には、次のアトリビュートが含まれます。

ゾーンの説明:ゾーンの名前と説明を定義します。

ゾーンのネットワーク定義:ゾーンのネットワーク IP アドレスとサブネット マスクを含んだ、ゾーンのネットワーク アトリビュートを定義します。

ポリシー テンプレート:ラーニング プロセスの実行時に Detector が作成するポリシーのタイプを定義します。

ポリシー:ゾーンのトラフィックを分析し、Detector がゾーンのトラフィックに異常があることを検出したときにアクションを実行します。ゾーン ポリシーには、ゾーン テンプレートに含まれているデフォルトのポリシーと、ラーニング プロセス中に Detector が作成したゾーン固有のポリシーがあります。

ゾーン フィルタ:ゾーンのトラフィックを必要な保護レベルに誘導し、Detector で特定のトラフィック フローを処理する方法を定義します。

次のいずれかの方法を使用してゾーンを作成することができます。

定義済みのゾーン テンプレートを使用する:事前定義されているゾーン テンプレートのいずれかを使用して新しいゾーンを作成できます。事前定義のゾーン テンプレートは、ゾーンにデフォルトのポリシーおよびフィルタのセットを設定します。

新しいゾーンを作成したら、そのゾーンのアトリビュートを設定する必要があります。

既存のゾーンをテンプレートとして使用する:既存のゾーンのコピーを作成して新しいゾーンを作成します。新しいゾーンが既存のゾーンと類似のトラフィック パターンを持つ場合は、この方法を使用します。

Guard ゾーンの設定

Guard ゾーン テンプレートを使用し、ゾーン設定を Guard と同期させることで、ゾーンを作成することができます。Guard ゾーン テンプレートを使用して作成するゾーンには、Detector 用と Guard 用という 2 つの定義セットがあります。ゾーン設定には、Guard にのみ影響する追加のパラメータが含まれます。

この項は、次の内容で構成されています。

Guard ゾーンの設定の表示

保護の特性の設定

保護のアクティベーション方式について

ゾーン保護の範囲について

Guard ゾーンの設定の表示

Detector 用と Guard 用の両方のゾーン設定の定義セットを表示できます。画面の最上部にトグル フィルタが表示され、次のように、2 つの定義セットの表示を切り替えることができます。

Detector でゾーンの設定を表示するには、 View Guard をクリックします。トグル ボタンに「View Detector」と表示されている場合、Detector の設定が表示されていることを示します。

Guard のゾーンの設定を表示するには、 View Detector をクリックします。トグル ボタンに「View Guard」と表示されている場合、Guard の設定が表示されていることを示します。

保護の特性の設定

Guard がゾーン保護をアクティブ化する方法を定義できます。ゾーンの設定に対するゾーン保護をアクティブ化するには、事前に、ゾーンの設定が Guard と同期化されていることを確認する必要があります。次の保護の特性を定義することができます。

動作モード:Guard がゾーン保護を実行する方法を設定できます。また、Guard がゾーンを保護するための措置を自動的に適用するか、インタラクティブな方法で適用するかを定義できます。インタラクティブな方法では、Guard が適用する保護措置をユーザが決定する必要があります。

アクティべーション方式:ゾーンのアクティブ化を、ゾーン名、ゾーンのアドレス範囲、または受信したトラフィックのどれに応じて行うかを定義できます。詳細については、「保護のアクティベーション方式について」を参照してください。

アクティべーション範囲:ゾーンの保護をアクティブにする対象を、ゾーンのアドレス範囲全体またはゾーン内の特定の IP アドレスのどちらにするかを定義できます。アクティべーション範囲は、Detector などの外部デバイスによってゾーンの保護がアクティブになるゾーンに適用されます。詳細については、「ゾーン保護の範囲について」の項を参照してください。

保護の終了のタイムアウト:Guard がゾーンの保護を終了するタイムアウトを定義できます。

保護のアクティベーション方式について

保護のアクティベーション方式は、外部からの攻撃の兆候を受信したときに、ゾーン保護をアクティブにするゾーンを Guard がどのように識別するかを定義します。この兆候には、外部デバイス(Detector など)からのコマンドや、ゾーンを宛先とするトラフィック パケットがあります。

Guard が保護をアクティブにする方法は、次のいずれかです。

IP アドレス:ゾーンの一部である IP アドレス、またはサブネットで構成された外部デバイス(Detector など)からコマンドを受信したときに、ゾーン保護をアクティブにします。

パケット:ゾーンが宛先となっているトラフィックを受信したときに、ゾーン保護をアクティブにします。

パケットまたは IP アドレス:ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスやサブネットで構成される外部デバイス(Detector など)からコマンドを受信した場合に、ゾーン保護をアクティブにします。

ゾーン名のみ:ゾーン名に基づいてゾーン保護をアクティブにします。

パケットによる保護アクティベーション方式、あるいはパケットまたは IP アドレスによる保護アクティベーション方式を指定してゾーンを設定する場合、次の規則が適用されます。

外部デバイスを使用して、ゾーン トラフィックの宛先を Guard に手動で宛先変更する必要があります。宛先変更しないと、Guard はゾーン トラフィックを監視できません。

Guard がゾーン保護をアクティブにするために必要な最小受信トラフィック レートを、CLI コマンド protect-packet activation-sensitivity を使用して設定できます。アクティベーションの詳細度は、Guard の CLI を使用してのみ設定できます。

詳細については、『 Cisco Guard Configuration Guide 』または『 Cisco Anomaly Guard Module Configuration Guide 』を参照してください。

同じアドレス範囲に複数のゾーンを設定しないでください。複数のゾーンを設定すると、ゾーン保護が正常に機能しない場合があります。

ゾーン保護の範囲について

アクティベーション範囲は Guard が外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部のどちらに対してゾーン保護をアクティブにするかを定義します。この兆候には、外部デバイス(Detector など)からのコマンドや、ゾーンを宛先とするトラフィック パケットがあります。

Guard は、次のアクティベーション範囲をサポートします。

ゾーン全体:ゾーン全体の保護をアクティブにします。Guard は、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、保護をアクティブにします。

IP アドレスのみ:指定された IP アドレスまたはサブネットのみ、ゾーン保護をアクティブにします。Guard が、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される Detector のような外部デバイスからコマンドを受信した場合、Guard は新しいゾーン(サブゾーン)を作成します。このアクティベーション範囲がデフォルトです。

ゾーンの作成

ゾーンを作成し、ゾーンの名前、説明、ネットワーク アドレス、動作定義、およびネットワーク アドレスを設定することができます。

ゾーンは、次の 2 つの方法で作成できます。

定義済みのゾーン テンプレートを使用する:定義済みのゾーン テンプレートを使用して新しいゾーンを作成できます。デフォルトのポリシーとフィルタでゾーンを新しく作成するには、この方法を使用します。


) 発生率の低いゾンビ攻撃監視用の PPH ポリシーを含むゾーン テンプレートを使用してゾーンを作成する場合、PPH ポリシーはデフォルトでディセーブル状態に設定されます。これは、PPH ポリシーによりゾーンで使用されるメモリの量が増えたり、Guard モジュールのパフォーマンスに影響を与えたりするおそれがあるからです。ゾーンの PPH ポリシーをイネーブルにするには、ポリシーの状態をアクティブに変更する必要があります(第8章「ゾーンのポリシーの管理」「ポリシーのパラメータの変更」の項を参照)。


既存のゾーン設定をテンプレートとして使用する:既存のゾーンを複製して新しいゾーンを作成できます。新しいゾーンが既存のゾーンと類似のトラフィック パターンを持つ場合は、この方法を使用します。

ゾーンの設定内容の変更については、「ゾーンの IP アドレス範囲の設定」の項を参照してください。

この項は、次の内容で構成されています。

ゾーン テンプレートからのゾーンの作成

既存のゾーンからのゾーンの作成

ゾーン テンプレートからのゾーンの作成

ゾーン テンプレートを使用して新しいゾーンを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。

ステップ 2 Detector のメイン メニューで Zones > Create Zone を選択します。Zone Definition Form が表示されます。

Zone Definition Form は、 Zones > Zone list を選択して Add をクリックするか、ゾーンのメイン メニューから Main > Create Zone を選択することによっても表示できます。

ステップ 3 ゾーン設定パラメータの最初のセットを定義します。 表4-1 に、Zone Definition Form の各フィールドの説明を示します。

 

表4-1 Zone Definition Form のフィールド

フィールド
説明

Name

新しいゾーンの名前。名前は 1 ~ 63 文字の英数字文字列です。この文字列は英字で始める必要があります。アンダースコアを含めることができますが、スペースを含めることはできません。

Description

ゾーンについて説明するテキスト。1 ~ 80 文字の英数字文字列を入力します。

Zone Template

ゾーンの設定で使用されるポリシーを定義するゾーン テンプレート。Detector には、次のプレフィックスを持つ 2 セットのゾーン テンプレートがあります。

DETECTOR_:Detector 専用のゾーン テンプレート。ゾーンの設定を Guard と共有させない場合は、DETECTOR_ バージョンのゾーン テンプレートを選択します。

GUARD_:Detector と Guard で使用するためのゾーン テンプレート。これらのテンプレートから作成されたゾーンには Detector および Guard の両方のアトリビュートを設定できます。このゾーン設定は、Guard にコピーできます。ゾーンの設定を Guard と同期させる予定の場合は、ゾーン テンプレートの GUARD_ バージョンを選択します。

次のいずれかのゾーン テンプレートを選択します。

DETECTOR_DEFAULT:デフォルトのゾーン テンプレート。このゾーン テンプレートを使用して、Voice-over-IP サーバを保護することができます。このゾーン テンプレートを使用してゾーンを作成する場合、ゾーンに対する TCP ワーム攻撃は検出できません。

DETECTOR_WORM:Detector モジュールがゾーンに対する TCP ワーム攻撃を検出できるようにするためのゾーン テンプレート。
DETECTOR_WORM ゾーン テンプレートから作成されたゾーンには、worm_tcp ポリシー テンプレートから作成されたポリシーが含まれています。

DETECTOR_LINK テンプレート:Detector モジュールが、既知の帯域幅を持つゾーンに応じてセグメント化された大規模なサブネットを検出できるようにするゾーン テンプレート。これらのゾーン テンプレートによって定義されたゾーンに対しては、ラーニング プロセスを実行することなく、ゾーン検出をアクティブにすることができます。Detector が、攻撃を受けた IP アドレスまたはサブネットだけを対象に Guard 上のゾーン保護をアクティブにできるようにするには、Protect-IP State パラメータを Only Dst IP に設定します。詳細については、Protect-IP State パラメータの説明を参照してください。

帯域幅限定リンク ゾーン テンプレートは、128 Kbps、1 Mbps、4 Mbps、および 512 Kbps のリンクをそれぞれ対象とした次のものが用意されています。

DETECTOR_LINK_128K、DETECTOR_LINK_1M、DETECTOR_LINK_4M、DETECTOR_LINK_512K

これらのテンプレートから作成されたゾーンでは、ラーニング プロセスのポリシー構築フェーズを実行することはできません( 第7章「ゾーン トラフィックのラーニング」 「ラーニング プロセスについて」の項を参照してください)。

Zone Template
(続き)

GUARD_DEFAULT:Guard のデフォルトのゾーン テンプレート。Guard は、パケットの送信元 IP アドレスを、Guardの TCP プロキシ IP アドレスに変更することがあります。このテンプレートは、該当のゾーン ネットワークの着信 IP アドレスに基づくアクセス コントロール リスト、アクセス ポリシー、またはロード バランシング ポリシーを使用しない場合に使用できます。

GUARD_VOIP:Voice over IP(VoIP)サーバが含まれているゾーン用に設計されたゾーン テンプレート。このサーバは、Session Initiation Protocol(SIP)over UDP を使用して VoIP セッションを確立し、セッション確立後に Real-time Transport Protocol/Real-time Control Protocol(RTP/RTCP)を使用して SIP エンドポイント間のボイス データを送信するものです。

GUARD_VOIP ゾーン テンプレートから作成されたゾーンには、VoIP トラフィックを処理するための、sip_udp ポリシー テンプレートから生成された特定のポリシーが含まれています。

GUARD_LINK テンプレート:既知の帯域幅を持つゾーン用のゾーン テンプレート。128 Kbps、1 Mbps、4 Mbps、および 512 Kbps の各リンク用に次のテンプレートが用意されています。

GUARD_LINK_128K、GUARD_LINK_1M、GUARD_LINK_4M、GUARD_LINK_512K

これらのテンプレートから作成したゾーンに対して、ポリシー構築を実行することはできません。GUARD_LINK ゾーン テンプレートから作成されたゾーンに対しては、しきい値調整フェーズを実行することなく、ゾーン検出をアクティブにすることができます。

Detector が、攻撃を受けた IP アドレスまたはサブネットだけを対象に Guard 上のゾーン保護をアクティブにできるようにするには、Protect-IP State パラメータを Only Dst IP に設定します。詳細については、Protect-IP State パラメータの説明を参照してください。

GUARD_TCP_NO_PROXY:TCP プロキシを使用しないゾーン用のテンプレート。Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて制御されている場合や、ゾーン上で実行されているサービスのタイプが不明な場合、このゾーン テンプレートを使用できます。

Operation mode

Detector がゾーン保護を実行するモード。動作モードは、次のいずれかです。

Automatic:Detector は、攻撃の進行中に作成する動的フィルタを、すべて自動的にアクティブにします。

Interactive:Detector は、ポリシーが推奨事項として作成する動的フィルタを表示します。各動的フィルタをアクティブにするかどうかをユーザが決定する必要があります。

ゾーンの動作モードの詳細については、 第9章「異常の検出のアクティブ化」 「自動検出モードまたはインタラクティブ検出モードのアクティブ化」の項を参照してください。

IP address

ゾーンの IP アドレス。ゾーンを作成した後で、IP アドレスの変更や IP アドレスの追加ができます(「ゾーンの IP アドレス範囲の設定」の項を参照)。

IP mask

ゾーンのアドレス マスク。アドレス マスクを Mask ドロップダウン リストから選択します。ゾーンを作成した後で、アドレス マスクを変更できます(「ゾーンの IP アドレス範囲の設定」の項を参照)。

IP List

追加の IP アドレス。ゾーンの IP アドレスのリストを作成します。リストはスペース区切りで、ドット付き 10 進表記です(a.b.c.d/x の形式を使用。x はサブネット マスク)。

ステップ 4 OK をクリックします。Zone Configuration Form に、ゾーン設定パラメータの 2 つ目のセットが表示されます。このフォームには、前のステップで選択したゾーン テンプレートに関連付けられているデフォルトのパラメータ値が含まれています。

ステップ 5 ゾーン設定パラメータの 2 つ目のセットを定義します。 表4-2 に、Zone Configuration Form の各フィールドの説明を示します。

 

表4-2 Zone Configuration Form のフィールド

フィールド
説明

一般的なパラメータ

Description

ゾーンについて説明するテキスト。1 ~ 80 文字の英数字文字列を入力します。

Operation mode

Detector がゾーン保護を実行するモード。動作モードは、次のいずれかです。

Automatic:Detector は、攻撃の進行中に作成する動的フィルタを、すべて自動的にアクティブにします。

Interactive:Detector は、ポリシーが推奨事項として作成する動的フィルタを表示します。各動的フィルタをアクティブにするかどうかをユーザが決定する必要があります。

ゾーンの動作モードの詳細については、 第9章「異常の検出のアクティブ化」 「自動検出モードまたはインタラクティブ検出モードのアクティブ化」の項を参照してください。

Protect-IP state

Detector がリモートの Guard をアクティブにするために使用する Guard 保護方式。ここで選択する Guard 保護方式により、Guard が特定のゾーン保護要件に集中するようにして、Guard のリソースを節約することができます。

Protect-IP state ドロップダウン リストから選択できる状態は、次のとおりです。

Entire Zone:ゾーン トラフィックで異常を検出したら、Guard をアクティブにしてゾーン全体を保護します。この方法を使用すると、Guard が保護するアクティブ ゾーンの数が減るので、Guard リソースは節約されます。ゾーンが関連するサブゾーンから構成されている場合、この方法をお勧めします。

Only Dst IP:ゾーン トラフィックで異常が検出され、特定の IP アドレスが宛先になっていた場合、Guard をアクティブにして特定の IP アドレスを保護します。Guard をアクティブにして攻撃の対象となる IP アドレスを保護できますが、ゾーン全体のトラフィックを Guard に宛先変更することを回避できます。Detector が特定の IP アドレスで異常が発生したトラフィックに関連付けられない場合、ゾーンを保護するために、Guard をアクティブ化しません。

ゾーンが関連性のないサブゾーンから構成されている場合、この方法をお勧めします。

Policy type:Detector が Guard をアクティブ化するために使用するポリシーに基づいて、Guard をアクティブにしてゾーン全体を保護するか、ゾーン アドレス範囲内の特定の IP アドレスを保護します。Detector は、Guard をアクティブにして、特定の IP アドレスが宛先となっているゾーン トラフィックで異常を検出した場合、その IP アドレスを保護します(たとえば、リモート アクティベーションの原因であるポリシーが dst_ip のトラフィックの特性を持つ場合)。Detector がトラフィックの異常を特定の IP アドレスに関連付けられない場合、Guard をアクティブ化して、ゾーン全体を保護します(たとえば、リモート アクティベーションの原因となったポリシーがグローバルなトラフィックの特性を持つ場合)。

ゾーンが関連するサブゾーンで構成されていて、対象となるゾーンがゾーン全体に損失を発生させるような状況を避ける場合は、この方法をお勧めします。

Only Dst IP by address:ゾーン トラフィックで異常が検出され、特定の IP アドレスが宛先になっていた場合、Guard をアクティブにして特定の IP アドレスを保護します。この IP アドレスは、該当の Guard で定義されたゾーンのいずれかの範囲内にある必要があります。ただし、Detector でのゾーン名は Guard でのゾーン名と同じである必要はありません。Only Dst IP by address を選択することは、ゾーン名が不明な場合に Guard のメイン メニューで
Main > Protect IP
を選択して IP アドレスを保護することと同じです。Detector でのゾーン名が Guard でのゾーン名と同じでない場合や、ゾーン全体が関連性のないサブゾーンで構成されている場合は、この方法をお勧めします。

Guard が攻撃を受けた IP アドレスだけに対するゾーン保護をアクティブにして、ゾーン トラフィックの自身への宛先変更を停止していることを確認するには、ゾーンが IP アドレスのみのアクティベーション範囲を持つ Guard で定義されていることを確かめます。

Rate

(GUARD_ テンプレートのみ)Guard がネットワークに再び注入できるトラフィックの量。帯域幅の値は、ゾーンへの送信で測定された最大の帯域幅に設定します。帯域幅の最大値が不明な場合は、Rate フィールドおよび Burst フィールドをブランクのままにして、ドロップダウン リストから無制限の単位( unlimit )を選択します。

最大レートの整数を入力し、ドロップダウン リストから次のいずれかの測定単位を選択します。

unlimit:Guard がネットワークに再び注入するトラフィックのレートを制限しない場合は、このデフォルト設定を使用します。unlimit を選択した場合、最大レート値を入力しないでください。

mbps:メガビット/秒

kbps:キロビット/秒

bps:ビット/秒

kpp:キロパケット/秒

pps:パケット/秒

Burst

(GUARD_ テンプレートのみ)Guard がゾーンに転送できる最大のトラフィック ピーク。バースト サイズ レートの整数を入力します。単位は、ビット、キロビット、キロパケット、メガビット、およびパケットです。各単位は、レート(Rate)で測定単位に指定したレート単位に対応します。

攻撃検出/終了のパラメータ (GUARD_ テンプレートのみ)

Protection-end Timer

ゾーンに攻撃がない場合に Guard がゾーン保護を終了するために使用する非アクティビティ タイムアウト。Guard は、動的フィルタの非アクティビティとドロップされたトラフィックに基づいて非アクティビティを測定します。 1 秒以上の値を入力します。無期限にすることもできます。

Malicious-rate detection threshold

ドロップされるゾーン パケットの最小レート。レートがこのしきい値より低くなった場合、Guard はゾーン保護を終了することがあります。レートがこのしきい値を超えた場合、Guard は、ゾーンに対する攻撃と見なし、攻撃レポートを作成します。

Malicious-rate detection threshold のデフォルトは、10 パケット/秒(pps)です。

Filter-rate termination threshold

Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。Malicious-rate termination threshold とともに使用します。このしきい値は、パケット/秒(pps)単位で定義します。詳細については、 第9章「異常の検出のアクティブ化」 「動的フィルタの管理」の項を参照してください。

Filter-rate-pph termination threshold

Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。Malicious-rate termination threshold とともに使用します。このしきい値は、パケット/時間(pph)単位で定義します。詳細については、 第9章「異常の検出のアクティブ化」 「動的フィルタの管理」の項を参照してください。

Malicious-rate termination threshold

Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。Filter-rate termination threshold とともに使用します。このしきい値は、パケット/秒(pps)単位で定義します。詳細については、 第9章「異常の検出のアクティブ化」 「動的フィルタの管理」の項を参照してください。

アクティベーションのパラメータ (GUARD_ テンプレートのみ)

Activation interface

保護のアクティベーション方式。外部からの攻撃の兆候を受信したときに、ゾーン保護をアクティブにするゾーンを Guard がどのように識別するかを定義します。この兆候には、外部デバイス(Detector など)からのコマンドや、ゾーン(パケット)を宛先とするトラフィックがあります。アクティベーション方式は、次のいずれかです。

Zone name:ゾーン名に基づいてゾーン保護をアクティブにします。これがデフォルトのアクティベーション方式です。

ゾーン名によるアクティベーション方式を設定するには、両方のチェックボックスをオフにします。

By packet:ゾーンが宛先となっているトラフィックを受信したときに、ゾーン保護をアクティブにします。Guard はゾーンのデータベースをスキャンし、受信パケットの IP アドレスを含むアドレス範囲を持つゾーンをアクティブにします。受信パケットの IP アドレスを含むアドレス範囲を持つゾーンが複数設定されている場合、Guard は、プレフィックスが最も長く一致するゾーン(受信 IP アドレスを含むアドレス範囲が最も限定的なゾーン)をアクティブにします。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。


) パケットによる保護アクティベーション方式をゾーンに設定すると、Guard はアクティブなゾーンを宛先としないトラフィックの処理方法を変更します。これに該当するトラフィックの注入を設定した場合、Guard はそのトラフィックをドロップせずに転送します。


パケットによるアクティベーション方式を設定するには、 By packet チェックボックスをオンにします。

By IP address:ゾーンの一部である IP アドレス、またはサブネットで構成された外部デバイス(Detector など)からコマンドを受信したときに、ゾーン保護をアクティブにします。Guard はゾーンのデータベースをスキャンし、受信 IP アドレス、またはサブネットを含むアドレス範囲を持つゾーンをアクティブにします。受信 IP アドレスを含むアドレス範囲を持つゾーンが複数設定されている場合、Guard は、プレフィックスが最も長く一致するゾーン(受信 IP アドレスを含むアドレス範囲が最も限定的なゾーン)をアクティブにします。受信 IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に完全に含まれている必要があります。

IP アドレスによるアクティベーション方式を設定するには、 By IP address チェックボックスをオンにします。

Activation interface
(続き)

By IP Address or By Packet:ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスやサブネットで構成される外部デバイス(Detector など)からコマンドを受信した場合に、ゾーン保護をアクティブにします。詳細については、この項の「By IP address」および「By packet」の説明を参照してください。

IP アドレスまたはパケットによるアクティベーション方式を設定するには、 By IP address チェックボックスと By packet チェックボックスの両方をオンにします。


) 保護アクティベーションを By Packet または By IP Address or By Packet に設定した場合は、ゾーンが攻撃を受けたときに、トラフィックの宛先を手動で Guard に変更する必要があります。Activation interface のオプションの詳細については、「保護のアクティベーション方式について」の項を参照してください。


Activation extent

Guard が、外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部のどちらに対してゾーン保護をアクティブにするかを定義します。アクティベーション範囲は、次のいずれかです。

IP address only:ゾーン内部の指定した IP アドレスまたはサブネットに対してのみ、保護をアクティブにします。これがデフォルトのアクティベーション範囲設定です。

Entire zone:ゾーン全体の保護をアクティブにします。

Activation extent のオプションの詳細については、「ゾーン保護の範囲について」の項を参照してください。

パケット ダンプのパラメータ

Auto Packet Dump

次のいずれかのオプションの隣にあるチェックボックスをオンにします。

On:自動パケット ダンプをイネーブルにします。

Off:自動パケット ダンプをディセーブルにします(デフォルト設定)。

Max. disk space

自動パケット ダンプに使用するディスク スペースの最大容量をメガバイト単位で入力します。

このフィールドは Cisco Guard(アプライアンス)だけに適用され、Cisco Traffic Anomaly Detector には影響しません。

ステップ 6 OK をクリックして新しいゾーンを保存します。


 

既存のゾーンからのゾーンの作成

既存のゾーンをテンプレートとして使用し、新しいゾーンを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで、ゾーン テンプレートとして使用するゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Main > Save as を選択します。Zone Save as 画面が表示されます。

ステップ 3 新しいゾーンの名前を定義します。Name テキスト フィールドに、ゾーン名を 1 ~ 63 文字の英数字文字列で入力します。この文字列は英字で始める必要があります。アンダースコアを含めることができますが、スペースを含めることはできません。

ステップ 4 OK をクリックして新しいゾーンを保存します。ゾーンの全般ビュー画面が表示されます。


 

ゾーンの IP アドレス範囲の設定

ゾーン異常の検出をアクティブにする前に、除外しない IP アドレスを少なくとも 1 つ設定する必要がありますが、ゾーンの IP アドレス範囲に対する IP アドレスの追加または削除は、いつでも可能です。

この項は、次の内容で構成されています。

ゾーンの IP アドレス範囲への IP アドレスの追加

ゾーンの IP アドレス範囲からの IP アドレスの削除

ゾーン ポリシーのアップデート

ゾーンの IP アドレス範囲への IP アドレスの追加

大きなサブネットを設定し、その後にそのサブネットから特定の IP アドレスを除外することで、それらがゾーンの IP アドレス範囲に入らないように設定できます。

ゾーンの設定に IP アドレスを追加するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビュー画面が表示されます。

ステップ 3 2 番目のテーブルの下にある Add をクリックします。Add Zone IP 画面が表示されます。

ステップ 4 次の IP アドレス情報を入力します。

IP Address:ゾーンの IP アドレス。IP アドレスをドット付き 10 進表記で入力します(たとえば、192.168.100.32)。

IP Mask:ゾーンの IP アドレス マスク。サブネット マスクを、ドット付き 10 進表記で入力します(たとえば、255.255.255.224)。デフォルトのサブネット マスクは 255.255.255.255 です。

ステップ 5 (オプション) Exclude チェックボックスをオンにして、ゾーンの IP アドレス範囲から IP アドレスを除外します。

ステップ 6 OK をクリックしてゾーンの設定を保存します。ゾーンの全般ビュー画面が表示されます。

ステップ 7 ゾーン ポリシーをアップデートします。詳細については、「ゾーン ポリシーのアップデート」の項を参照してください。


 

ゾーンの IP アドレス範囲からの IP アドレスの削除

ゾーンの IP アドレス範囲から IP アドレスを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビュー画面が表示されます。

ステップ 3 削除する各 IP アドレスの隣にあるチェックボックスをオンにし、 Delete をクリックします。

ステップ 4 ゾーン ポリシーをアップデートします。詳細については、「ゾーン ポリシーのアップデート」の項を参照してください。


 

ゾーン ポリシーのアップデート

ゾーンの IP アドレスまたはサブネットを変更する場合は、次のいずれかの作業を実施します。

新しい IP アドレスまたはサブネットが、ゾーンのネットワークに定義されていなかった新しいサービスで構成されている場合は、ゾーン保護をアクティブにする前に Detector でポリシー構築フェーズをアクティブにするか、サービスを手動で追加します。詳細については、次の項を参照してください。

第7章「ゾーン トラフィックのラーニング」 「ポリシー構築フェーズの開始」

第8章「ゾーンのポリシーの管理」 「サービスの追加」

ゾーン保護とラーニング プロセスがイネーブルの場合は、ゾーン ポリシーを未調整としてマークします。ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、ステータスを変更すると Detector で攻撃が検出されなくなり、Detector が悪意のあるトラフィックのしきい値をラーニングするためです。詳細については、「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。

Detect and Learn の選択によってゾーンの異常検出とラーニングのプロセスをイネーブルにしていない状態で、この 2 つのプロセスを同時にアクティブにする予定もない場合は、ゾーン保護をアクティブにする前にしきい値調整フェーズをアクティブにします。詳細については、「しきい値調整フェーズの開始」の項を参照してください。

ゾーン設定の表示と変更

ゾーン設定のパラメータ設定は、いつでも表示して現在の設定を確認したり、必要に応じて変更したりできます。

ゾーン設定の現在のパラメータ設定を表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。General Configuration ビュー画面が表示され、ゾーン設定のパラメータ設定値が表示されます。


 

表4-3 に、General Configuration 領域に表示される情報の説明を示します。

 

表4-3 General Configuration の情報

項目
説明

ゾーンの基本情報

Name

ゾーンに割り当てた名前

Description

ゾーンを識別するための説明。

Operation mode

ゾーンに設定された動作モード(自動またはインタラクティブ)。

Zone template

ゾーンの作成に使用されたテンプレート。

Rate

(GUARD_ テンプレートのみ)Guard がネットワークに再び注入できるトラフィックの量。

Burst

(GUARD_ テンプレートのみ)Guard がゾーンに転送できる最大のトラフィック ピーク。

攻撃検出/終了のパラメータ (GUARD_ テンプレートのみ)

Protection-end timer

ゾーンに攻撃がない場合に Guard がゾーン保護を終了するために使用する非アクティビティ タイムアウト。

Malicious-rate detection threshold

ドロップされるゾーン パケットの最小レート。

Filter-rate termination threshold

トラフィック レートをパケット/秒単位で測定するポリシーによって作成された動的フィルタを Guard が非アクティブにできるタイミングを指定するしきい値(パケット/秒単位で定義)。Malicious-rate termination threshold とともに使用します。

Filter-rate-pph termination threshold

トラフィック レートをパケット/時間単位で測定するポリシーによって作成された動的フィルタを Guard が非アクティブにできるタイミングを指定するしきい値(パケット/時間単位で定義)。Filter-rate termination threshold とともに使用します。

Malicious-rate termination threshold

Guard が動的フィルタを非アクティブにできるタイミングを指定するしきい値。Filter-rate termination threshold とともに使用します。

アクティベーションのパラメータ (GUARD_ テンプレートのみ)

Activation interface

保護のアクティベーション方式。外部からの攻撃の兆候を受信したときに、ゾーン保護をアクティブにするゾーンを Guard がどのように識別するかを定義します。

Activation extent

Guard がゾーン保護をアクティブにする対象である外部からの攻撃の兆候を受信した場合に、Guard がゾーン保護の対象とする範囲(ゾーン全体またはゾーンの一部)。

パケット ダンプのパラメータ

Auto Packet Dump

自動パケット ダンプ キャプチャ機能の状態(オンまたはオフ)。

Max. disk space

自動パケット ダンプに使用するディスク スペースの最大容量(メガバイト単位)。

表4-4 に、IP address テーブルに表示される情報の説明を示します。

 

表4-4 ゾーンの IP アドレス

項目
説明

IP

ゾーンの IP アドレス。

Mask

ゾーンの IP アドレス マスク。

Type

ゾーンの IP アドレス範囲に含める、または範囲から除外する IP アドレス(regular または excluded)。

ゾーンの設定を変更するには、次の機能ボタンのいずれかを選択します。

Config:一般的な設定パラメータを変更します。Zone Configuration Form が表示されます。ゾーン設定関連の編集可能な各フィールドについては、「ゾーン テンプレートからのゾーンの作成」の項の 表4-2 を参照してください。

Add:ゾーンの設定に IP アドレスを追加します。Zone IP Form が表示されます。IP アドレス関連の編集可能な各フィールドについては、「ゾーンの IP アドレス範囲への IP アドレスの追加」の項を参照してください。

Delete:ゾーンの設定から IP アドレスを削除します。ゾーンの設定からの IP アドレスの削除については、「ゾーンの IP アドレス範囲からの IP アドレスの削除」の項を参照してください。

ゾーンの削除

1 つまたは複数のゾーンを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Detector Summary をクリックします。Detector の要約メニューが表示されます。

ステップ 2 Detector のメイン メニューの Zones > Zone list を選択します。Zone list 画面が表示されます。

ステップ 3 削除する各ゾーンの隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているゾーンをすべて削除するには、ヘッダー(Zone の隣)にあるチェックボックスをオンにし、 Delete をクリックします。Validation フォームが表示されます。

ステップ 4 OK をクリックしてゾーンを削除します。