Cisco Traffic Anomaly Detector Web-Based Management ユーザ ガイド
ゾーン フィルタとポリシー テ ンプレートの設定
ゾーン フィルタとポリシー テンプレートの設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ゾーン フィルタとポリシー テンプレートの設定

ゾーン フィルタ

バイパス フィルタの設定

フレックス フィルタの設定

ポリシー テンプレート

ポリシー テンプレートの設定

ゾーン フィルタとポリシー テンプレートの設定

ここでは、Web-Based Management (WBM)を使用して Cisco Traffic Anomaly Detector で高度なゾーン設定タスクを実行する方法について説明します。この章は、次の項で構成されています。

ゾーン フィルタ

ポリシー テンプレート

ゾーン フィルタ

ゾーンのフィルタは、ゾーンのミラーリングされたトラフィックを Detector の検出モジュールに転送するメカニズムです。Detector を使用してフィルタを設定すると、さまざまなケース別にトラフィック転送メカニズムおよび DDoS 攻撃検出メカニズムをカスタマイズできます。Detector では、次の 3 タイプのフィルタを使用します。

バイパス フィルタ:バイパス フィルタは、特定のトラフィック フローを Detector の検出メカニズムで処理しないようにするために使用します。詳細については、「バイパス フィルタの設定」を参照してください。

フレックス フィルタ:フレックス フィルタは、指定したパケット フローをカウントするために使用します。このフィルタは、IP ヘッダーおよび TCP ヘッダーのフィールドに基づいたフィルタリングや、コンテンツのバイト数に基づいたフィルタリングなど、非常に柔軟なフィルタリング機能を提供するバークリー パケット フィルタです。複雑なブール式を使用できますが、1 つのゾーンに対して設定できるフレックス フィルタは 1 つのみです。詳細については、「フレックス フィルタの設定」を参照してください。

動的フィルタ:動的フィルタは、トラフィック フローを分析した結果として Detector が作成します。動的フィルタは、Detector の syslog にイベントを記録するか、リモート Guard を有効にします。詳細については、「動的フィルタ」を参照してください。


) ゾーンのフィルタ設定は、変更するとただちに有効になります。


Detector のフィルタの詳細については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

バイパス フィルタの設定

バイパス フィルタは、Detector で特定のトラフィック フローが処理されないようにするために使用します。バイパス フィルタを設定すると、信頼済みのトラフィックを Detector の検出メカニズムの対象から除外して、そのトラフィックを直接ドロップできるようになります。

バイパス フィルタを作成するには、ゾーンのメイン メニューの Configuration > Bypass filters を選択し、 Add をクリックして、パラメータを Bypass Filter Form に入力します。

デフォルトでは、バイパス フィルタは定義されていません。 表 5-1 に、バイパス フィルタのパラメータの説明を示します。

 

表 5-1 バイパス フィルタのパラメータ

パラメータ
説明

Source IP

特定の IP アドレスから送信されるトラフィックについて、Detector のフィルタ システムをバイパスするように指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Source subnet

特定のサブネットから送信されるトラフィックについて、Detector のフィルタ システムをバイパスするように指定します。サブネットをドロップダウン リストから選択します。

Protocol

特定のプロトコルで送信されるトラフィックについて、Detector のフィルタ システムをバイパスするように指定します。プロトコルはウェルノウン番号で指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Dst Port

特定の宛先ポートが送信先になっているトラフィックについて、Detector のフィルタ システムをバイパスするように指定します。ブランクのままにするか、「すべて」を表す * を入力します。

Fragments

フィルタで処理するトラフィックのタイプを指定します。使用可能な値は、次のいずれかです。

without :バイパス フィルタは、断片化されていないトラフィックに対して作用します。

with :バイパス フィルタは、断片化されているトラフィックに対して作用します。

* :バイパス フィルタは、断片化されているトラフィックおよび断片化されていないトラフィックに対して作用します。

バイパス フィルタ テーブルには、バイパス フィルタでフィルタリングされた現在のバイパス フィルタ トラフィックのレートが、カウンタにパケット/秒(pps)単位で示されます。

バイパス フィルタを削除するには、バイパス フィルタの説明の隣にあるチェックボックスをオンにし、 Delete をクリックします。

バイパス フィルタのパラメータの詳細および例については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

フレックス フィルタの設定

フレックス フィルタは、強力な選別フィルタリング機能を持つバークリー パケット フィルタです。フレックス フィルタを使用するのは、特定のパケット フローをカウントする場合、および悪意のあるトラフィックの発信元を詳細に定義して識別対象にする場合です。このフィルタはパラメータが多数あり、非常に柔軟であるため、特定のトラフィック フローに合わせて簡単に調整することができます。ただし、フレックス フィルタは 1 つしか設定できず、リソースの消費量も多くなります。フレックス フィルタはパフォーマンスに影響を及ぼす可能性があるため、十分に注意して使用してください。

フレックス フィルタを設定するには、ゾーンのメイン メニューの Configuration > General を選択し(ゾーンを定義済みの場合)、フレックス フィルタの情報が示された 2 番目のテーブルの下にある Config ボタンをクリックし、パラメータを Zone Form に入力します。

フレックス フィルタは、新しいゾーンを作成するときに設定することもできます。詳細については、「ゾーンの管理」を参照してください。

バークリー パケット フィルタの設定オプションの詳細については、
http://www.freesoft.org/CIE/Topics/56.htm を参照してください。

フレックス フィルタのパラメータの詳細および例については、『 Cisco Traffic Anomaly Detector User Guide 』を参照してください。

ポリシー テンプレート

Detector のポリシーは、特定のトラフィック フローを計測します。Detector が疑わしいしきい値超過を感知すると、ポリシーがアクションを実行します。リモートで Guard を有効にするか、Detector の syslog にイベントを記録することができます。Detector のポリシーを利用することで、Detector をゾーンのトラフィックに合わせて常に調整し、トラフィックの異常を検出して、対応するアクションを実行できます。検出ポリシーは、ポリシー テンプレートに基づいて構築されます。

ポリシー テンプレートは、ゾーンのポリシーを構築するためにラーニング プロセス中に使用される、規則およびガイドラインをまとめたものです。詳細については、「ゾーン トラフィックのラーニングとポリシーの構築」を参照してください。

表 5-2 に、ポリシー テンプレートのリストを示します。

 

表 5-2 ポリシー テンプレート

ポリシー
テンプレート
説明

dns_tcp

このポリシー テンプレートは、DNS-TCP プロトコル トラフィックに関連する一連のポリシーを作成します。

dns_udp

このポリシー テンプレートは、DNS-UDP プロトコル トラフィックに関連する一連のポリシーを作成します。

fragments

このポリシー テンプレートは、断片化されたトラフィックに関連する一連のポリシーを作成します。

http

このポリシー テンプレートは、ポート 80 (またはユーザ設定ポート)を経由する HTTP トラフィック(デフォルト)に関連する一連のポリシーを作成します。

ip_scan

このポリシー テンプレートは、IP スキャニング(送信元の IP が、ゾーン内の多数の宛先 IP にアクセスしようとしている状況)に関連する一連のポリシーを作成します。このポリシー テンプレートは、ゾーンをサブネットとして定義した場合に適しています。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、 notify です。


注意 ip_scan ポリシー テンプレートに基づいて作成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。

other_protocols

このポリシー テンプレートは、TCP および UDP 以外のプロトコルに関連する一連のポリシーを作成します。

port_scan

このポリシー テンプレートは、ポート スキャニング(送信元の IP が、ゾーン内の多数のポートにアクセスしようとしている状況)に関連する一連のポリシーを作成します。

デフォルトでは、このポリシー テンプレートはディセーブルになっています。このポリシー テンプレートのデフォルトのアクションは、 notify です。


注意 port_scan ポリシー テンプレートに基づいて作成されたポリシーはリソース消費量が多いため、パフォーマンスに影響を及ぼす可能性があります。

tcp_connections

このポリシー テンプレートは、TCP 接続の特性に関連する一連のポリシーを作成します。

tcp_not_auth

このポリシー テンプレートは、Detector のスプーフィング防止メカニズムで認証されていない TCP 接続に関連する一連のポリシーを作成します。

tcp_outgoing

このポリシー テンプレートは、ゾーンで開始された TCP 接続に関連する一連のポリシーを作成します。

tcp_ratio

このポリシー テンプレートは、さまざまなタイプの TCP パケットの比率に関連する一連のポリシーを作成します。たとえば、SYN パケットと FIN/RST パケットの比率に関連するものです。

tcp_services

このポリシー テンプレートは、HTTP (ポート 80 やポート 8080 など)に関連しないポート上の TCP サービスに関連する一連のポリシーを作成します。

udp_services

このポリシー テンプレートは、UDP サービスに関連する一連のポリシーを作成します。

ポリシー テンプレートの設定

ポリシー テンプレートを設定するには、ゾーンのメイン メニューの
Configuration > Policy templates
を選択し、リスト(図 5-1)からポリシー テンプレートを選択して名前をクリックし、パラメータを Policy Template Form に入力します。

図 5-1 ポリシー テンプレート

 

サービスを追加または削除するには、「ゾーン トラフィックのラーニングとポリシーの構築」を参照してください。

表 5-3 に、各ポリシー テンプレートについて設定可能なパラメータの説明を示します。

 

表 5-3 ポリシー テンプレートのパラメータ

パラメータ
説明

State

ポリシー テンプレートの状態。使用可能な値は、次のいずれかです。

enabled :Detector がポリシー構築フェーズに入ると、ポリシー テンプレートは継続的にポリシーを作成します。

disabled :Detector がポリシー構築フェーズに入ってもポリシー テンプレートはポリシーを作成しません。

Min Threshold

サービスのトラフィック量の下限しきい値。このしきい値を超過すると、しきい値を超過した特定のトラフィック フローに基づいて、Detector がサービスのトラフィックに関連するポリシーを作成します。

このパラメータは、特定のゾーンの検出に不可欠で常にポリシーを作成するポリシー テンプレート(fragments など)については設定できません。

Max Services

特定のポリシー テンプレートに基づいて Detector で検出できるサービスの最大数。Detector は、ポリシーに関連付けられているサービスをトラフィック量に基づいてランク付けします。次に、トラフィック量が最大のサービスを検出します。

このパラメータを設定できる対象は、サービスを検出する tcp_services などのポリシー テンプレートのみです。特定のサービスに関連するポリシー テンプレート(サービス 53 に関連する dns_tcp など)、および特定のトラフィック特性に関連するポリシー テンプレート(fragments など)については、サービス最大数を設定できません。


注意 ポリシー テンプレートをディセーブルにすると、Detector はポリシー テンプレートに関連付けられているトラフィックをゾーンで検出できなくなります。このため、検出の実効性が大幅に低下する可能性があります。