Cisco Traffic Anomaly Detector ユーザ ガイド
ゾーンの設定
ゾーンの設定
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーンの設定

概要

基本的なゾーン設定

ゾーンの作成

ゾーンの複製

ゾーン トラフィックの特性のラーニング

ポリシーの構築

ポリシー構築フェーズの終了

しきい値の調整

しきい値調整フェーズの終了

ゾーンのリモート Guard リストの設定

インタラクティブ推奨モード

ゾーンのトラフィックの異常の検出

Guard 保護のアクティベーション形態の設定

ゾーンのトラフィックの分析

ゾーンのカウンタの表示

ゾーンのステータスの表示

ゾーンの設定

この章では、ゾーンを作成し、管理する方法について説明します。これらの手順は、Detector を設定してゾーンを保護するために必要です。

この章には、次の主要な項があります。

概要

基本的なゾーン設定

ゾーン トラフィックの特性のラーニング

ゾーンのリモート Guard リストの設定

インタラクティブ推奨モード

ゾーンのトラフィックの異常の検出

ゾーンのトラフィックの分析

概要

ゾーンの設定処理には、次の手順があります。


ステップ 1 基本的なゾーン設定:基本設定には、ゾーンの作成のほか、ゾーンの名前と説明、ゾーンのネットワーク アドレスと動作の定義、およびゾーンの帯域幅をはじめとする基本的なネットワーク特性の設定があります。詳細については、「基本的なゾーン設定」を参照してください。

ステップ 2 ゾーンのトラフィックのラーニングとポリシーの調整:保護ポリシーを作成します。ポリシーは、特定のトラフィック フローを測定し、しきい値超過の結果としてそのフローに対してアクションを実行するメカニズムです。Detector では、テンプレートを使用して、2 つのフェーズのゾーン トラフィック ラーニング プロセスの中で保護ポリシーを作成します。ポリシーが実行するアクションは、単なる通知から、ゾーンを DDoS 攻撃から保護するためのリモート Guard のアクティブ化に及びます。詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

ステップ 3 Detector のフィルタの設定:ゾーンのフィルタは、宛先変更されたトラフィックを目的の分析モジュールに誘導するメカニズムです。Detector では、ユーザが自分に都合の良いフィルタを設定して、カスタマイズされたトラフィック誘導や DDoS に対する検出メカニズムをさまざまに設計できるようになっています。詳細については、 第 5 章「ゾーンのフィルタの設定」 を参照してください。


 

基本的なゾーン設定

新しいゾーンを作成するときには、システム定義のテンプレートに基づいてゾーンを作成するか、既存のゾーンをテンプレートとして使用することができます。テンプレートには、ゾーンの初期設定が定義されています。

新しいゾーンを作成し、その基本特性を設定するには、次の手順を実行します。


ステップ 1 システム定義のテンプレートに基づいて新しいゾーンを作成します。「ゾーンの作成」を参照してください。

または

既存のゾーンに基づいてゾーンを作成します。「ゾーンの複製」を参照してください。


) 既存のゾーンの設定を変更するには、ゾーン設定モードに入ります。zone zone-name コマンドを使用してください。


ステップ 2 ゾーンの IP アドレスを定義します。Detector でトラフィックのラーニングと検出を可能にするには、この定義が必要です。

最初に定義する場合、ゾーンの IP アドレスは、ゾーンが 検出モードでないときに挿入する必要があります。ただし、ゾーンのサブネットや追加の IP アドレスは、ゾーンが検出モードでも追加できます。

IP アドレスを追加するには、次のコマンドを複数回入力します。各ゾーンに 100 個まで IP エントリ(特定の IP アドレスまたはサブネット)を追加できます。

次のように入力します。

ip address ip-addr [ip-mask]
 

表 4-1 に、 ip address コマンドの引数を示します。

表 4-1 ip address コマンドの引数

パラメータ
説明
ip-addr

ゾーンの IP アドレス。ゾーンは、サブネットでもかまいません。

ip-mask

(オプション)IP マスク。デフォルトのサブネット マスクは、255.255.255.255 です。

ステップ 3 (オプション)識別の目的で、ゾーンの説明を追加します。次のように入力します。

description string
 

文字列の長さは最大 80 文字です。

ゾーンの説明を変更するには、ゾーンの説明を再入力します。前の説明は新しい説明で上書きされます。


 

admin@DETECTOR-conf-zone-scannet# ip address 192.168.100.34 255.255.255.252
admin@DETECTOR-conf-zone-scannet# description This zone is used for demonstration purposes
 

) 新しく設定されたゾーンの設定ファイルを表示するには、ゾーンのプロンプトで show running-config コマンドを使用します。


ゾーンの作成

システム定義のテンプレートに基づいてゾーンを作成するには、次のように入力します。

zone new-zone-name [template] [interactive]

このコマンドを実行すると、Detector は新しいゾーンの設定モードに入ります。既存のゾーンの名前を入力すると、Detector はそのゾーンの設定モードに入ります。

表 4-2 に、zone コマンドの引数とキーワードを示します。

 

表 4-2 zone コマンドの引数とキーワード

パラメータ
説明

new-zone-name

新しいゾーンの名前。名前は、最大 63 文字の英数字の文字列です。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。

template

(オプション)ゾーンの設定を定義するテンプレート。デフォルトでは、Detector の DEFAULT ゾーン テンプレートを使用してゾーンが作成されます。

詳細については、 表 4-3 を参照してください。

interactive

新しいゾーンの動作モードをインタラクティブ モードに設定します。このモードでは、ポリシーによって生成される動的フィルタが推奨事項として表示されます。各動的フィルタをアクティブにするかどうかを決定する必要があります。詳細については、 第 7 章「インタラクティブ推奨モード」 を参照してください。

表 4-3 に、Detector のゾーン テンプレートを示します。

表 4-3 Detector のゾーン テンプレート

テンプレート
説明

DEFAULT

Detector のデフォルトのゾーン テンプレート。

帯域幅限定リンク テンプレート


ゾーン テンプレートを表示するには、show templates コマンドを使用します。テンプレートのデフォルト ポリシーを表示するには、show templates template-name policies コマンドを使用します。


admin@DETECTOR-conf# zone scannet interactive
admin@DETECTOR-conf-zone-scannet#

ゾーンの複製

既存のゾーンに基づいて、新しいゾーンを作成することができます。

ゾーンを複製するには、次のいずれかを実行します。

設定プロンプトで次のように入力します。

zone new-zone-name copy-from base-zone-name

引数 base-zone-name には、新しいゾーンのテンプレートとして使用するゾーンの名前を指定します。

admin@DETECTOR-conf#zone scanserver copy-from scannet admin@DETECTOR-conf-zone-scanserver#
 

または

関連するゾーンのプロンプトで次のように入力します。

zone new-zone-name copy-from-this

現在のゾーンから新しいゾーンに設定がコピーされます。

admin@DETECTOR-conf-zone-scannet# zone mailserver copy-from-this
admin@DETECTOR-conf-zone-mailserver#
 

引数 new-zone-name には、新しいゾーンの名前を指定します。ゾーン名は、最大 63 文字の英数字の文字列です。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。

このコマンドを実行すると、Detector は新しいゾーンの設定モードに入ります。

ゾーン トラフィックの特性のラーニング

ラーニング フェーズでは、Detector はゾーンのトラフィックの特性を学習します。結果は、検出のポリシーに変換されます。これらのポリシーは、Detector の検出システムに対して、ゾーンのトラフィック フローにどのように注意を向けるかを指示します。


) ラーニング フェーズを発生させるには、スイッチにポート ミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する必要があります。


ポリシー テンプレートは、Detector のポリシー構築用ツールです。ポリシー テンプレートは、トラフィックの特性に従って、作成するゾーン ポリシーのタイプを定義します。また、ポリシー テンプレートは、与えられたガイド パラメータに従って、各サービス ポリシーの最大サービス数と最小しきい値も定義します(詳細については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照)。

ラーニング プロセスは、次の 2 つのフェーズで構成され、この中で Detector はゾーンのトラフィックを学習し、自身を特定の特性に適合させます。

1. ポリシーの構築 :このフェーズでは、Detector はポリシー テンプレートを使用してゾーン ポリシーを作成します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。

2. しきい値の調整 :このフェーズでは、Detector はゾーンのサービスのトラフィック レートに合わせてポリシーを調整します。トラフィックが透過的に Detector を通過し、Detector はゾーン ポリシー構築中に検出されたサービスのしきい値を調整できます。

Detector は、ゾーンのトラフィックの特性を学習して、ゾーンのトラフィックを比較する基準とし、悪意の攻撃となる可能性のあるあらゆる異常をトレースします。

ポリシーの作成後は、ポリシーを追加または削除したり、しきい値、サービス、タイムアウト、アクションなどのポリシーのパラメータを変更することができます。

ポリシーの構築

このフェーズでは、Detector はポリシー テンプレートを使用してゾーン ポリシーを作成します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。ポリシー構築の指針となるルールを設定することもできます。詳細については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照してください。


) 帯域幅限定リンク テンプレート(LINK_128K、LINK_1M、LINK_4M、および LINK_512K)に基づいたゾーンに対しては、ポリシー構築を実行することはできません。


ゾーン ポリシーを構築するには、次の手順を実行します。


ステップ 1 次のように入力します。

learning policy-construction
 

ヒント Detector がゾーンのトラフィックのコピーを受信していることを確認してください。ポリシー構築フェーズを開始してから少なくとも 10 秒待ってから、show rates コマンドを発行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定、または Detector からルータへの光スプリッタを使用した接続を確認してください。

ステップ 2 十分な時間が経過してからポリシー構築フェーズを終了し、新しく作成されたポリシーの処理方法を決定します。


) 次のフェーズに進む前に、少なくとも 2 時間はポリシー構築フェーズを続けることを推奨します。


詳細については、次の項、「ポリシー構築フェーズの終了」を参照してください。


 

admin@DETECTOR-conf-zone-scannet# learning policy-construction

ワンポイント・アドバイス 複数のゾーンに対して同時にポリシー ラーニング コマンドを発行することができます。これには、グローバル プロンプトで、ワイルドカードにアスタリスク(*)を使用してコマンドを発行します。たとえば、すべてのゾーンについてポリシーの構築を開始する場合は、グローバル プロンプトで learning
policy-construction *
と入力します。scan で始まる名前を持つ Detector のすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル プロンプトで no learning scan* accept と入力します。


ポリシー構築フェーズの終了

ポリシー構築フェーズを終了するには、3 つの方法があります。

提案されたポリシーの受け入れ: Detector で 提案されたポリシーを受け入れるには、 関連するゾーンのプロンプトで次のように入力します。

no learning accept
 

Detector は、以前に学習したポリシーとしきい値を消去します。

新しく構築されたポリシーを受け入れた後は、手動でポリシーを追加または削除したり、ポリシーのパラメータを変更することができます。詳細については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照してください。

提案されたポリシーの拒否 :Detector で提案されたポリシーを拒否するには、関連するゾーンのプロンプトで次のように入力します。

no learning reject
 

この場合、Detector はプロセスを停止し、学習したすべてのデータを消去します。その結果、Detector はデフォルトの設定に戻る(新しいゾーンの場合)か、このラーニング フェーズの前のゾーンのトラフィック設定に戻ります。

提案されたポリシーの表示 :決定の前に、ラーニング プロセスの結果を表示することができます。詳細については、「スナップショットの作成とポリシーの比較」を参照してください。

admin@DETECTOR-conf-zone-scannet# no learning accept
 

しきい値の調整

この段階では、Detector はゾーンのトラフィックをさらに分析し、前のフェーズで構築したポリシーのしきい値を定義します。Detector は、ポリシーの動作パラメータ(Timeout および Action)のデフォルト値を設定します。動作パラメータの値の設定方法については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照してください。

ポリシーのしきい値を調整するには、次の手順を実行します。


ステップ 1 関連するゾーンのプロンプトで次のように入力します。

learning threshold-tuning
 

ステップ 2 十分な時間が経過してから、しきい値調整フェーズを終了し、新しく構築されたポリシーの処理方法を決定します。


) しきい値調整フェーズは、トラフィックのピーク時(最も忙しい日)に、少なくとも 24 時間実行することを推奨します。


詳細については、次の項、「しきい値調整フェーズの終了」を参照してください。


 

admin@DETECTOR-conf-zone-scannet# learning threshold-tuning

ワンポイント・アドバイス 複数のゾーンに対して同時にポリシー ラーニング コマンドを発行することができます。これには、グローバル プロンプトで、ワイルドカードにアスタリスク(*)を使用してコマンドを発行します。たとえば、すべてのゾーンについてしきい値の調整を開始する場合は、グローバル プロンプトで learning
threshold-tuning *
と入力します。scan で始まる名前を持つ Detector のすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル プロンプトで no learning scan* accept と入力します。


ラーニングの結果を表示するには、 show policies statistics コマンドを使用します。

詳細については、「ポリシーの表示」を参照してください。

しきい値調整フェーズの終了

しきい値調整フェーズを終了するには、3 つの方法があります。

提案されたポリシーの受け入れ: Detector で 提案されたポリシーを受け入れるには、 関連するゾーンのプロンプトで次のように入力します。

no learning accept
 

Detector は、以前に学習したしきい値を消去します。

新しく構築されたポリシーを受け入れた後は、手動でポリシーのパラメータを変更することができます。詳細については、 第 6 章「ポリシー テンプレートとポリシーの設定」 を参照してください。

提案されたポリシーの拒否 :Detector で提案されたしきい値を拒否するには、関連するゾーンのプロンプトで次のように入力します。

no learning reject
 

この場合、Detector はしきい値調整フェーズを停止し、ポリシー構築フェーズの結果と以前のしきい値の状態に戻ります。その結果、新しく構築されたポリシーは、オンデマンドの保護用に調整されたしきい値か、過去のトラフィック特性に従って取得されたしきい値を持つ状況になります。

提案されたポリシーの表示 :決定の前に、ラーニング プロセスの結果を表示することができます。詳細については、「スナップショットの作成とポリシーの比較」を参照してください。

admin@DETECTOR-conf-zone-scannet# no learning accept

ゾーンのリモート Guard リストの設定

Detector は、ゾーンのトラフィックの異常を検出すると、そのイベントをログに記録するか(通知として知られるアクション)、ゾーンを保護するためのアクションを開始するリモートの Guard をアクティブにします。

次のようなリモート Guard のリストを設定できます。

ゾーン固有のリモート Guard リスト:そのゾーンの保護用にアクティブにされるリモート Guard のリスト。

Detector のデフォルト リスト:リモート Guard のデフォルト リスト。ゾーン固有のリモート Guard リストが空の場合、Detector はこれらの Guard をアクティブにします。詳細については、「デフォルトのリモート Guard リストの設定」を参照してください。

Detector は、ゾーン固有のリモート Guard リストにある Guard をアクティブにします。リストが空の場合、Detector は Detector のデフォルトのリモート Guard リストを参照します。

リモート Guard のアクティベーションを可能にするには、次の手順を実行します。

1. リモート Guard リストを設定します。

2. Guard のアクティベーション接続を設定します(詳細については、「リモート Guard のアクティベーション接続の設定」を参照)。

Detector では、デフォルトのリモート Guard リストまたはゾーン固有のリモート Guard リストの中に、リモートでアクティブにできる少なくとも 1 つの Guard が含まれていることを確認してください(「ゾーンのリモート Guard リストの設定」を参照)。どちらのリストにもリモートの Guard が定義されていない場合、Detector はログ ファイルにイベントを記録します。


注意 リモート Guard リストを変更する場合は、Detector の公開 SSH キーを再生成するか、既存のキーを手動でリモートの Guard に追加する必要があります。詳細については、「SSH キーの管理」を参照してください。

ゾーン固有のリモート Guard リストに Guard を追加するには、次のように入力します。

remote-guard remote-guard-address [ description ]

表 4-4 に、remote-guard コマンドの引数とキーワードを示します。

 

表 4-4 remote-guard コマンドの引数とキーワード

パラメータ
説明
remote-guard-address

リモートの Guard の IP アドレス。

description

リモートの Guard の説明(オプション)。説明は、最大 63 文字です。

admin@DETECTOR-conf-zone-scannet# remote-guard 192.168.100.33
 

) ゾーンのリモート Guard リストを表示するには、show zone コマンドを使用します。


インタラクティブ推奨モード

インタラクティブ推奨モードを使用すると、ポリシーによって起動されるフィルタをアクティブにするかどうかを決定できます。Detector は、フィルタのアクティベーションの受け入れ、無視、または時間指定の決定に従って機能します。このように、Detector では、検出措置の稼働をリアルタイムに決定できるようになっており、DDoS 攻撃の進行に伴ってユーザが保護措置をアクティブにする際の制御機能が強化されています。詳細については、 第 7 章「インタラクティブ推奨モード」 を参照してください。

推奨事項は、保留中の動的フィルタを、そのフィルタを作成したポリシーごとに要約したものです。この情報には、推奨元のポリシー名、そのポリシーがアクティブになる原因となったトラフィックの異常に関するデータ、保留中のフィルタ数、推奨されるアクションなどが含まれます。

インタラクティブ推奨モードは、ゾーンの属性の 1 つです。

インタラクティブ推奨モードをアクティブにした状態でゾーンを作成することができます。次のように入力します。

zone new-zone-name interactive

詳細については、「ゾーンの作成」を参照してください。

また、既存のゾーンのインタラクティブ推奨モードをアクティブにすることもできます。関連するゾーンのプロンプトで次のように入力します。

interactive

ゾーンのインタラクティブ推奨モードを非アクティブにすると、Detector は自動的にすべての既存の推奨事項を受け入れ、自動検知を行います。

ゾーンのトラフィックの異常の検出

ゾーンのトラフィックの特性を学習した後、Detector はゾーンのトラフィックの異常を検出することができます。

ゾーンの検出をアクティブにするには、関連するゾーンのプロンプトで次のように入力します。

detect

admin@DETECTOR-conf-zone-scannet# detect

Guard 保護のアクティベーション形態の設定

異なる Guard 保護形態を適用することができます。これらの形態は、Guard 保護リソースを節約し、ゾーンの検出と保護の要件により正確に焦点を当てることを目的としたものです。保護形態は、ゾーン全体の一部である特定のゾーン(保護されたネットワーク環境内の特定のサーバなど)を保護するものから、ゾーン全体を保護するものまであります。

Detector は、次の Guard 保護のアクティベーション形態をサポートします。

all-zoneDetector は、異常が検出されると、必ず Guard をアクティブにしてゾーン全体に対して保護を行います。ゾーン全体が危険にさらすことのできない相互に関連したゾーンで構成されている場合は、この方法を推奨します。

only-dest-ipDetector は、トラフィックの異常がトレースされ、特定のサブゾーンを宛先にしていると判断されると、そのサブゾーンに対して Guard 保護をアクティブにします。ゾーン全体が関連性のないサブゾーンで構成されている場合には、この方法を推奨します。この方法では、攻撃対象のサブゾーン単位で保護を実行できるので、ゾーン全体の保護ほど貴重な保護リソースを消費しません。

policy-typeDetector は、トラフィックの異常がトレースされ、特定のサブゾーンを宛先にしていると判断されると、そのサブゾーンに対して Guard 保護をアクティブにします。Detector がトラフィックの異常を特定のサブゾーンに関連付けることができない場合は、ゾーン全体に対して Guard 保護がアクティブになります。ゾーン全体が関連性の高いサブゾーンで構成されている場合には、この方法を推奨します。この方法では、攻撃対象となったゾーンがゾーン全体に損害を与える状況を避けることができます。

Guard 保護形態をアクティブにするには、関係するゾーンのプロンプトで次のように入力します。

protect-ip-state { all-zone | only-dest-ip | policy-type }

admin@DETECTOR-conf-zone-scannet# protect-ip-state all-zone

ゾーンのトラフィックの分析

ゾーンのステータスや、ゾーンの各種レートまたはカウンタの概要を表示することができます。

ゾーンのカウンタの表示

ゾーンのトラフィックの分析には、次のコマンドを使用できます。

show rates :Received カウンタ の平均トラフィック レートを表示します。

show rates deta ils:Received カウンタ の平均トラフィック レートを表示します。

show rates history:Received カウンタ の平均トラフィック レートを過去 24 時間にわたり 1 分ごとに表示します。

show counters:Received カウンタ を表示します。

show counters details:Received カウンタ を表示します。

show counters history:過去の Received カウンタの値を 1 分ごとに表示します。

レートの単位は、 ビット/秒(bps)およびパケット/秒(pps)です。


ゾーンのレートは、ゾーンがラーニング中または検出モードの場合にのみ使用可能です。


Guard は、トラフィックの合計を測定し、平均のトラフィック レートを計算します。値が cleared のレートは、ゾーンが検出されていなかった時間を示します。

カウンタの単位はパケットおよびキロビットです。カウンタは、検出の開始時にゼロにリセットされます。

表 4-5 に Detector のカウンタを示します。

表 4-5 Detector のカウンタ

カウンタ
説明

Received

Detector が処理した、そのゾーンを宛先としたパケットの合計。

admin@GUARD-conf-zone-scannet# show rates
 

ゾーンのステータスの表示

特定のゾーンの概要を表示して、そのゾーンの全般的な状況と現在のステータスを知ることができます。ゾーンの概要を表示するには、 show コマンドを使用します。概要には、次の情報が含まれます。

ゾーンのステータス :ゾーンが現在保護されているか、ラーニング フェーズのいずれかにあるか、または非アクティブであるかを示します。

ゾーンの基本設定 :動作モード(自動またはインタラクティブ)、しきい値とタイマー、IP アドレスなど、ゾーンの基本的な設定を示します。詳細については、「基本的なゾーン設定」を参照してください。

ゾーンのフィルタ :フレックス フィルタの設定も含めて、動的フィルタおよびユーザ フィルタの設定数を示します。ゾーンがインタラクティブ モードの場合、概要には推奨事項の数が表示されます。詳細については、「フレックス フィルタの設定」および「動的フィルタの設定」を参照してください。

ゾーンのトラフィック レート :ゾーンの正当なトラフィックと悪意あるトラフィックのレートを表示します。詳細については、「ゾーンのカウンタの表示」を参照してください。

admin@DETECTOR-conf-zone-scannet# show