Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
ゾーンの作成と設定
ゾーンの作成と設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーンの作成と設定

概要

ゾーンのホーム ページ

ゾーンのステータス バー

ゾーン トラフィックの要約

ゾーンのステータスの要約

ゾーンの最近のイベント

ゾーンの管理

ゾーンの再設定

ゾーンの削除

ゾーンのステータス アイコン

ゾーンの作成と設定

ここでは、ゾーンを作成および管理する方法について説明します。この章は、次の項で構成されています。

概要

ゾーンのホーム ページ

ゾーンの管理

ゾーンのステータス アイコン

概要

ゾーンは、 Detector で DDoS 攻撃の監視対象となるネットワーク要素です。ゾーンは、ネットワーク サーバ、クライアント、ルータ、ネットワーク リンク、サブネット、ネットワーク全体、個々のインターネット ユーザ、企業、インターネット サービス プロバイダー(ISP)、またはこれらを組み合わせたものを包含できます。DDoS 攻撃を感知したとき、Detector ではリモート Guard を自動的に有効にしてゾーンを攻撃から保護することも、ユーザに対して Guard を手動で有効にするように通知することもできます。

Detector では、ゾーンのネットワーク アドレス範囲が互いに重複していない場合に限り、複数のゾーンのトラフィックを同時に分析できます。

ゾーンは、ゾーンに対する DDoS 攻撃を Detector が検出できるようにするために、ゾーン要素の定義を設定したものです。ゾーンに名前を割り当てて、この名前でゾーンを参照することができます。ゾーンの設定には、次の項目が含まれます。

ゾーンの基本設定:ゾーンの名前、説明、ネットワーク アドレス、操作定義、および基本的なネットワーク特性(帯域幅など)が含まれます。詳細については、「ゾーンの管理」を参照してください。

検出ポリシー:ポリシーは、特定のトラフィック フローを Detector で分析できるようにして、しきい値を超過した場合にフローに対してアクションを実行するメカニズムです。検出ポリシーは、処理規則を提供するポリシー テンプレートに基づいて構築されます。このポリシーは 2 つのラーニング フェーズ中に構築されます(詳細については、「トラフィックの異常の検出」を参照)。ポリシーに基づいて実行されるアクションの範囲は、単なる通知から、リモート Guard を有効にしてゾーンを DDoS 攻撃から保護することにまで及びます。詳細については、「ゾーン フィルタとポリシー テンプレートの設定」を参照してください。

フィルタ:ゾーンのフィルタは、宛先変更されたトラフィックを必要な分析モジュールに転送するためのメカニズムです。フィルタを設定すると、さまざまな場合に合わせてトラフィック転送メカニズムおよび DDoS 防止用の検出メカニズムをカスタマイズできます。詳細については、 「ゾーン フィルタとポリシー テンプレートの設定」 を参照してください。

ゾーンのホーム ページ

ゾーンのホーム ページ図 4-1)には、ゾーンのステータスの要約が示されます。

このページには、次に示すさまざまな方法で移動することができます。

ナビゲーション ペインの All Zones リストでゾーンを選択する。

ゾーンが検出モードになっている場合は、ナビゲーション ペインの Under detection リストでゾーンを選択する。

ゾーンのページで、ナビゲーション パスの Zone を選択する。

ゾーンのリスト( Detector Summary > Zones > Zone list )でゾーンを選択する。

ゾーンのホーム ページは、次の 4 つのセクションに分けられています。

ゾーンのステータス バー

ゾーン トラフィックの要約

ゾーンのステータスの要約

ゾーンの最近のイベント

特定の状況では、ゾーンのステータス バーの下に次のボタンが表示されます。

Detect :ゾーンを検出モードに切り替えます。これは、ゾーンのメイン メニューで Detection > Detect を選択するのと同じ操作です。ゾーンがスタンバイ状態の場合のみ使用できます。

Deactivate :ゾーンの検出状態を無効にします。これは、ゾーンのメイン メニューで Detection > Deactivate を選択するのと同じ操作です。ゾーンが検出モードの場合に限り使用できます。

Report :現在の攻撃レポートにリンクしています。これは、ゾーンのメイン メニューで Diagnostics > Attack レポートを選択し、現在の攻撃(終了時刻が attack in progress になっている攻撃)をクリックするのと同じ操作です。進行中の攻撃がある場合のみ使用できます。詳細については、「ゾーンの統計情報と診断」を参照してください。

図 4-1 ゾーンのホーム ページ

 

ゾーンのステータス バー

ゾーンのステータス バーを使用すると、ゾーンのステータスをすばやく参照することができます。また、次の情報が示されます。

ゾーンの名前。

ゾーンの動作モード。動作モードはカッコで囲まれています。ゾーンが、自動検出モードまたはインタラクティブ検出モードのどちらになっているかを示します。動作モードが表示されるのは、ゾーンがアクティブになっている場合のみです。詳細については、「ゾーンの管理」を参照してください。

ゾーンのステータス。ゾーンが検出モードとラーニング モードのどちらになっているかを示し、under detection、inactive、constructing policy、tuning
thresholds のいずれかの値を示します。詳細については、「ゾーンのステータスの要約」を参照してください。

新しい推奨事項の通知。ゾーンがインタラクティブ モードになっている場合は、新しい推奨事項があることを示すインジケータがゾーンのステータス バーに表示されます。 詳細については、「インタラクティブ推奨モード」を参照してください。

ゾーン トラフィックの要約

ゾーン トラフィックの要約グラフには、最近 2 時間に受信したトラフィックのレートが bps 単位で表示されます。

表 4-1 に、ゾーン トラフィックの要約グラフの下に表示されるフィールドの説明を示します。

 

表 4-1 ゾーン トラフィックの要約グラフの下に表示されるフィールドの説明

フィールド
説明

Min

最近 2 時間に計測されたトラフィック レートの最小値(bps 単位)。

Max

最近 2 時間に計測されたトラフィック レートの最大値(bps 単位)。

Avg

最近 2 時間に計測されたトラフィック レートの平均値(bps 単位)。

Cur

現在のトラフィック レート(bps 単位)。

ゾーンのステータスの要約

ゾーンのステータスの要約では、次の情報が提供されます。

有効な動的フィルタの数。

Active dynamic filters は、動的フィルタのページへのリンクを提供します。詳細については、「動的フィルタ」を参照してください。

保留中の動的フィルタの数。

保留中の動的フィルタの数は、ゾーンがインタラクティブ検出モードになっていて新しい推奨事項がある場合は、1 以上になります。

Pending dynamic filters は、推奨事項のページへのリンクを提供します。動的フィルタの詳細については、「動的フィルタ」を参照してください。推奨事項の詳細については、「インタラクティブ推奨モード」を参照してください。

Last attack time :ゾーンが最後に攻撃を受けた日時。

Activation Time :検出が有効になった日時。

ゾーンの最近のイベント

最近のイベント テーブルには、ゾーンで最近発生した notify 以上の重大度を持つイベントが表示されます。これらのイベントは、ゾーンのイベント ログと Detector イベント ログにも表示されます。

ゾーンの管理

ゾーンのトラフィックに合わせて Detector を常にチューニングし、トラフィックの異常および DDoS 攻撃を検出するには、ゾーンのネットワークの特性を Detector で設定する必要があります。

新しいゾーンを作成するには、次のいずれかの手順を実行します。

Detector のメイン メニューの Zones > Create Zone を選択する。

Detector のメイン メニューの Zones > Zone list を選択し、 Add をクリックする。

ゾーンのメイン メニューの Main > Create Zone を選択する。

ゾーンのメイン メニューの Main > Save as を選択する。

上の操作を実行すると、現在のゾーンの基本設定が新しいゾーンにコピーされます。これは、CLI コマンド zone に copy-from-this オプションを指定して実行するのと同じ操作です。詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

表 4-2 に、ゾーンの基本設定フィールドの説明を示します。

 

表 4-2 ゾーン設定のフィールドの説明

フィールド
説明

Name

ゾーンの名前。

Description

ゾーンの説明。

From Template

ゾーン設定を定義したテンプレート。このテンプレートは、次のいずれかになります。

DEFAULT :Detector のデフォルト ゾーン テンプレート。

帯域幅限定リンク テンプレート :既知の帯域幅を持つゾーンごとにセグメント化された、大規模なサブネットを検出するためのテンプレート。これらのテンプレートで定義したゾーン検出は、ラーニング プロセスを経ずに実行できます。このようなゾーンは、protect-ip state を only-dest-ip にして定義することをお勧めします。詳細については、この表にある Protect-IP state の説明を参照してください。

帯域幅限定リンク テンプレートは、128 Kbps、1 Mbps、4 Mbps、および 512 Kbps のリンクを対象とした次のものが用意されています。

LINK_128K

LINK_1M

LINK_4M

LINK_512K

これらのテンプレートに対してポリシー構築を実行することはできません。

Operation mode

ゾーンの動的フィルタの有効化に使用するモードを示します。表示される値は、次のいずれかです。

Automatic :動的フィルタは自動的に有効になります。

Interactive :インタラクティブ モードでは、各動的フィルタで実行されるアクションを定義できます。ポリシーが推奨する動的フィルタは、推奨事項として表示されます。各動的フィルタを受け入れるか、拒否するかを指定できます。

詳細については、「インタラクティブ推奨モード」を参照してください。

Flex filter

(オプション)フレックス フィルタを設定します。詳細については、「フレックス フィルタの設定」を参照してください。

Filter Action

(オプション)フレックス フィルタのアクションを設定します。使用可能な値は、次のいずれかです。

disable :フレックス フィルタをディセーブルにします。

count :フレックス フィルタをフローの計数に使用します。

Protect-IP state

使用する Guard 保護方式を示します。Guard 保護方式は、Guard 保護リソースを節約して、ゾーンの検出と保護に必要となるリソースに充てるために設計されています。状態をドロップダウン リストから選択してください。

状態には、次のいずれかを選択できます。

All-Zone :トラフィックの異常が検出されると、Detector はすべてのゾーンにわたって Guard を有効にし、保護します。このオプションは、ゾーンがすべてイントラネット関連のゾーンで構成され、危険にさらされる可能性がない場合にお勧めします。

only-dst-ip :トラフィックの異常が検出され、指定したゾーンが送信先になっていた場合は、Detector はそのゾーンに対する Guard 保護を有効にします。攻撃を受けるゾーンを保護の対象にしながら、すべてのゾーンを対象として貴重な保護リソースを消費しなくても済みます。

policy-type :トラフィックの異常が検出され、指定したゾーンが送信先になっていた場合は、Detector はそのゾーンに対する Guard 保護を有効にします。検出した異常トラフィックの送信先が指定ゾーンかどうか判断できない場合にも、Detector はすべてのゾーンにわたって Guard 保護を有効にします。このオプションは、すべてのゾーンが密接に関連している場合にお勧めします。対象となるゾーンが攻撃を受けたときに、すべてのゾーンに悪影響が及ぶことを防止できます。

IP address

ゾーンの IP アドレス。

Mask

ゾーンのアドレス マスク。アドレス マスクをドロップダウン リストから選択します。

ゾーンを作成すると、設定が 3 つのテーブルに表示されます。

ゾーンの基本設定を変更するには、最初のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。

フレックス フィルタの設定を変更するには、フレックス フィルタの情報が示された 2 番目のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。「フレックス フィルタの設定」を参照してください。

IP アドレスおよびサブネットを追加するには、3 番目の(IP)テーブルの下にある Add ボタンをクリックします。ゾーンの IP アドレスまたはサブネットごとにこの手順を繰り返す必要があります。ゾーンが有効になっている間も、追加の IP アドレスおよびサブネットを入力または削除することができます。

ゾーンの再設定

既存のゾーンを再設定するには、ゾーンのメイン メニューの Configuration > General を選択し、最初のテーブルの下にある Config ボタンをクリックします。

ゾーンの削除

ゾーンを削除するには、 Detector のメイン メニューの Zones > Zone list を選択し、ゾーンのチェックボックスをオンにして、 Delete をクリックします。

ゾーンのステータス アイコン

アイコンはゾーンのステータスを表し、ナビゲーション ペインおよびゾーンのステータス バーに表示されます。 表 4-3 に、ゾーンのステータス アイコンの説明を示します。

表 4-3 ゾーンのステータス アイコン

アイコン
ステータス

 

 

スタンバイ ゾーン。

 

 

いずれかのラーニング フェーズに入っているゾーン。

 

 

検出モードになっているゾーン。

 

ゾーンの新しい推奨事項が利用可能になっていることを示します。このアイコンは、ゾーンのアイコンに加えて表示されます。