Cisco Traffic Anomaly Detector コンフィギュレーション ガイド (Software Release 5.0)
ゾーンの設定
ゾーンの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ゾーンの設定

概要

ゾーンの作成

新しいゾーンの作成

ゾーンの複製

ゾーンのアトリビュートの設定

ゾーン トラフィックの特性のラーニング

ラーニング プロセスの概要

ゾーンのラーニング プロセスの結果と の同期

ポリシーの構築

しきい値の調整

ラーニング パラメータの設定

定期的なアクションの設定

しきい値選択方式の設定

ポリシーに対する調整済みのマーク付け

ゾーンのポリシーしきい値調整とゾーンイネーブル化の同時実行

と のゾーン設定の同期

設定のガイドライン

シナリオ例

同期用のゾーンの設定

ゾーンの自動的な同期とエクスポート パラメータの設定

ゾーン設定の自動的な同期

に対するゾーン設定の同期

からのゾーン設定の同期

ゾーン設定の自動エクスポート

ゾーン設定の手動エクスポート

ゾーン設定のオフラインでの同期

リモート Guard のアクティブ化

設定のガイドライン

デフォルトのリモート Guard リストの設定

ゾーンのリモート Guard リストの設定

ゾーンのトラフィックの異常の検出

ゾーン検出のアクティブ化

ゾーン検出の非アクティブ化

検出動作モードの定義

Guard 保護のアクティベーション方式の設定

ゾーンの設定

この章では、Cisco Traffic Anomaly Detector(Detector)でゾーンを作成し、管理する方法について説明します。これらの手順は、ゾーン検出をイネーブルにするために必要です。

この章には、次の項があります。

概要

ゾーンの作成

ゾーンのアトリビュートの設定

ゾーン トラフィックの特性のラーニング

ゾーンのポリシーしきい値調整とゾーン検出イネーブル化の同時実行

Detector と Guard のゾーン設定の同期

リモート Guard のアクティブ化

ゾーンのトラフィックの異常の検出

概要

ゾーンは、Detector で DDoS 攻撃の監視対象となるネットワーク要素です。ゾーンは、ネットワーク サーバ、クライアント、ルータ、ネットワーク リンク、サブネット、ネットワーク全体、個々のインターネット ユーザ、企業、インターネット サービス プロバイダー(ISP)、またはこれらを組み合せたものを包含できます。Detector は、DDoS 攻撃を発見すると、リモートの Guard を自動的にアクティブにしてゾーンを攻撃から保護するか、手動で Guard をアクティブにするようにユーザに通知することができます。Detector では、ゾーンのネットワーク アドレス範囲が互いに重複していない場合に限り、複数のゾーンのトラフィックを同時に分析できます。

ゾーンには、名前を割り当て、この名前を使用してゾーンを参照します。

ゾーンの設定処理には、次のタスクがあります。

ゾーンの作成:ゾーンを作成し、ゾーン名、説明、およびネットワーク IP アドレスなど、ゾーンのアトリビュートを設定します。詳細については、「ゾーンの作成」を参照してください。

ゾーン フィルタの設定:さまざまなゾーン フィルタを設定します。ゾーン フィルタは、ゾーン トラフィックを必要な検出レベルに誘導し、Detector が特定のトラフィック フローを処理する方法を定義します。詳細については、「ゾーンのフィルタの設定」を参照してください。

ゾーンのトラフィック特性のラーニング:ゾーンの検出ポリシーを作成します。このポリシーにより、Detector は、特定のトラフィック フローを分析し、そのトラフィック フローがポリシーのしきい値を超過した場合にアクションを実行できます。ポリシーは、ポリシー構築およびしきい値調整という 2 つのフェーズで構成されるラーニング プロセスの中で構築されます。詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。

ゾーンの作成

ゾーンを作成し、ゾーンのアトリビュートを設定します。ゾーンのアトリビュートは、ゾーン名、ゾーンの説明、ゾーンのネットワーク アドレス、ゾーンの動作定義、およびネットワーク定義で構成されています。

新しいゾーンを作成するときには、既存のゾーンをテンプレートとして使用するか、またはシステム定義のゾーン テンプレートからゾーンを作成することができます。ゾーン テンプレートには、ゾーンの初期ポリシーおよびフィルタ設定が定義されています。

新しいゾーンは、次の 2 つの方法で作成できます。

新しいゾーンの作成:システム定義のゾーン テンプレートから新しいゾーンを作成します。この方式は、デフォルトのポリシーおよびフィルタを使用して新しいゾーンを作成する場合に使用します。

新しいゾーンを作成したら、ゾーンの特性を設定する必要があります。

ゾーンの複製:既存のゾーンからゾーンを作成します。この方式は、新しいゾーンに既存のゾーンと同様のトラフィック パターンを割り当てる場合に使用します。

ゾーンの設定内容を変更する方法については、「ゾーンのアトリビュートの設定」を参照してください。

新しいゾーンの作成

システム定義のゾーン テンプレートから新しいゾーンを作成するには、次のコマンドのいずれかを入力します。

zone new-zone-name [template-name] [ interactive ]:Detector によって新しいゾーンが作成されます。 template-name 引数を挿入しない場合、新しいゾーンは DETECTOR_DEFAULT ゾーン テンプレートから作成されます。

zone zone-name [template-name] [ interactive ]:Detector によって既存のゾーンが削除され、同じ名前で新しいゾーンが作成されます。

システム定義のゾーン テンプレートを使用する場合、Detector によって、すべてのゾーン アトリビュートにデフォルト設定が適用されます。

コマンドが正常に実行されると、Detector は新しいゾーンの設定モードに入ります。

ゾーン テンプレートを指定せずに既存のゾーンの名前を入力すると、Detector は、指定したゾーンの設定モードに入ります。

表 4-1 で、 zone コマンドの引数とキーワードについて説明します。

 

表 4-1 zone コマンドの引数とキーワード

パラメータ
説明

new-zone-name

新しいゾーンの名前。名前は、1 ~ 63 文字の英数字の文字列です。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。

zone-name

既存のゾーンの名前。

template-name

(オプション)ゾーンの設定を定義するゾーン テンプレート。デフォルトでは、DETECTOR_DEFAULT ゾーン テンプレートを使用してゾーンが作成されます。

詳細については、 表 4-2 を参照してください。

interactive

インタラクティブにゾーン検出を実行するように Detector を設定します。ポリシーが作成する動的フィルタは、推奨事項として表示されます。各動的フィルタをアクティブにするかどうかを決定する必要があります。詳細については、「インタラクティブ検出モード」を参照してください。

Detector には、次のプレフィックスを持つ 2 つのゾーン テンプレート セットが含まれています。

DETECTOR_:Detector 専用に設計されたゾーン テンプレート。ゾーン設定を Cisco Guard と共有しない場合は、DETECTOR_ バージョンのゾーン テンプレートを選択します。

GUARD_:Detector と Cisco Guard 用に設計されたゾーン テンプレート。ゾーン設定を Cisco Guard と同期させる場合は、GUARD_ バージョンのゾーン テンプレートを選択します。

これらのテンプレートから作成されたゾーンを設定する方法の詳細については、「同期用のゾーンの設定」を参照してください。

表 4-2 で、ゾーン テンプレートについて説明します。

 

表 4-2 ゾーン テンプレート

テンプレート
説明

DETECTOR_DEFAULT

デフォルトのゾーン テンプレート。このゾーン テンプレートを使用してゾーンを作成した場合、ゾーンに対する TCP ワーム攻撃は検出できません。

DETECTOR_WORM

ゾーンに対する TCP ワーム攻撃の検出が可能になるゾーン テンプレート。

帯域幅限定リンク テンプレート

帯域幅のわかっているゾーンに応じてセグメント化された大規模なサブネットの検出用に設計されたゾーン テンプレート。これらのゾーン テンプレートによって定義されたゾーンに対しては、ラーニング プロセスを行わずにゾーン検出をアクティブにすることができます。このようなゾーンは、protect-ip state を dst-ip-by-name にして定義することをお勧めします。詳細については、「Guard 保護のアクティベーション方式の設定」を参照してください。

ゾーンへのトラフィック レートが指定のレートを超えると Detector がゾーンに対する攻撃を識別するように、ポリシーのしきい値が調整されます。

帯域幅限定リンク ゾーン テンプレートは、128 Kb、1 Mb、4 Mb、および 512 Kb のリンクをそれぞれ対象とした次のものが用意されています。

DETECTOR_LINK_128K

DETECTOR_LINK_1M

DETECTOR_LINK_4M

DETECTOR_LINK_512K

これらのテンプレートから作成されたゾーンに対してポリシー構築を実行することはできません。

Guard ゾーン テンプレート

Guard とのゾーン設定の同期をイネーブルにするために設計されたゾーン テンプレート。これらのテンプレートから作成されたゾーンに Detector と Guard の両方のアトリビュートを設定して、ゾーン設定を Guard にコピーできます。Guard ゾーン テンプレートは次のとおりです。

GUARD_DEFAULT :Guard のデフォルトのゾーン テンプレート。

GUARD_LINK テンプレート:帯域幅のわかっているゾーン用に設計されたテンプレート。テンプレートは、128 Kb、1 Mb、4 Mb、および 512 Kb のリンクをそれぞれ対象とした
GUARD_LINK_128K、GUARD_LINK_1M、
GUARD_LINK_4M、および GUARD_LINK_512K
が用意されています。

これらのテンプレートから作成されたゾーンに対してポリシー構築を実行することはできません。GUARD_LINK ゾーン テンプレートから作成されたゾーンに対しては、しきい値調整フェーズを実行せずにゾーン検出をアクティブにすることができます。このようなゾーンは、protect-ip-state を dst-ip-by-name にして定義することをお勧めします。

GUARD_TCP_NO_PROXY :TCP プロキシを使用しないゾーン用に設計されたテンプレート。このテンプレートは、ゾーンが IP アドレスに従って管理される場合(Internet Relay Chat(IRC; インターネット リレー チャット)サーバ タイプのゾーンなど)や、ゾーンで実行されているサービスのタイプが不明な場合に使用することができます。

次の例は、新しいゾーンを作成する方法を示しています。

user@DETECTOR-conf# zone scannet interactive
user@DETECTOR-conf-zone-scannet#
 

ゾーンを削除するには、 no zone コマンドを使用します。ゾーンを削除するときは、ゾーン名の末尾に、ワイルドカード文字としてアスタリスク(*)を使用できます。ワイルドカードを使用すると、同じプレフィクスを持つ複数のゾーンを 1 つのコマンドで削除できます。

ゾーン テンプレートを表示するには、グローバル モードまたは設定モードで show templates コマンドを使用します。ゾーン テンプレートのデフォルト ポリシーを表示するには、グローバル モードまたは設定モードで show templates template-name policies コマンドを使用します。

ゾーンの複製

既存のゾーンに基づいて、新しいゾーンを作成することができます。既存のゾーンを新しいゾーンのテンプレートとして使用すると、既存のゾーンのプロパティすべてが、新しく定義したゾーンにコピーされます。スナップショットを指定すると、ゾーン ポリシーはスナップショットからコピーされます。

ゾーンを複製するには、次のコマンドのいずれかを入力します。

zone new-zone-name copy-from-this [ snapshot-id ]:このコマンドは、現在のゾーンの設定を使用して新しいゾーンを作成するときに、 ゾーン設定モードで使用します。

zone new-zone-name copy-from zone-name [ snapshot-id ]:このコマンドは、特定のゾーンの設定を使用して 新しいゾーンを作成するときに、設定モードで使用します。

表 4-3 で、 zone コマンドの引数について説明します。

 

表 4-3 zone コマンドの引数

パラメータ
説明

new-zone-name

新しいゾーンの名前。名前は、1 ~ 63 文字の英数字の文字列です。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。

zone-name

既存のゾーンの名前。

snapshot-id

既存のスナップショットの ID。詳細については、「スナップショットの表示」を参照してください。

次の例は、現在のゾーンに関連して新しいゾーンを作成する方法を示しています。

user@DETECTOR-conf-zone-scannet# zone mailserver copy-from-this
user@DETECTOR-conf-zone-mailserver#
 

コマンドが正常に実行されると、Detector は新しいゾーンの設定モードに入ります。

新しいゾーンのポリシーには、未調整のマークが付けられます。ラーニング プロセスのしきい値調整フェーズを実行して、ポリシーのしきい値をゾーンのトラフィックに合せて調整する方法をお勧めします。新しいゾーンのトラフィック特性が、元になるゾーンのトラフィック特性と同じか、よく似ていれば、ポリシーのしきい値に調整済みのマークを付けることができます。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

ゾーンのアトリビュートの設定

ゾーンを作成したら、ゾーンのアトリビュートを設定できます。

ゾーンのアトリビュートを設定するには、次の手順を実行します。


ステップ 1 ゾーン設定モードに入ります。すでにゾーン設定モードになっている場合、このステップは省略してください。

ゾーン設定モードに入るには、次のコマンドのいずれかを入力します。

conf zone-name: グローバル モードから入力

zone zone-name: 設定モードまたはゾーン設定モードから入力

zone-name 引数には、既存のゾーンの名前を指定します。

ステップ 2 ゾーンの IP アドレスを定義します。Detector でゾーン トラフィックのラーニングとゾーンの検出をイネーブルにするには、ゾーンの IP アドレスを定義する必要があります。

ゾーンの IP アドレスを設定するには、次のコマンドを入力します。

ip address ip-addr [ip-mask]
 

表 4-4 で、 ip address コマンドの引数について説明します。

 

表 4-4 ip address コマンドの引数

パラメータ
説明
ip-addr

ゾーンの IP アドレス。ゾーンは、サブネットでもかまいません。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

ip-mask

(オプション)IP サブネット マスク。サブネット マスクをドット区切り 10 進表記で入力します(たとえば 255.255.255.0)。デフォルトのサブネット マスクは、255.255.255.255 です。

ゾーン検出をアクティブにするには、IP アドレスを少なくとも 1 つ定義する必要があります。ゾーンの IP アドレスおよびサブセットはいつでも追加できます。

ゾーンの IP アドレスまたはサブセットを変更する場合は、次のタスクのいずれかを実行します。

新しい IP アドレスまたはサブネットが新しいサービスで構成され、そのサービスがゾーンのネットワークで定義されていない場合は、ゾーン検出をアクティブにする前にポリシー構築をアクティブにするか、サービスを手動で追加します。詳細については、「ポリシーの構築」および 「サービスの追加」を参照してください。

ゾーンが保護およびラーニング状態にある場合は、 no learning-params
threshold-tuned
コマンドを使用して、ゾーン ポリシーに未調整のマークを付けます。ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、変更すると Detector で攻撃が検出されなくなり、Detector が悪意のあるトラフィックのしきい値をラーニングするためです。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

ゾーンが検出およびラーニングの動作状態になく、検出およびラーニングの動作状態をアクティブにする予定がない場合は、しきい値調整フェーズをアクティブにしてから、ゾーン検出をアクティブにします。「しきい値の調整」を参照してください。

ステップ 3 (オプション)識別の目的で、ゾーンの説明を追加します。次のコマンドを入力します。

description string
 

文字列の長さは最大 80 文字です。

ゾーンの説明を変更するには、ゾーンの説明を再入力します。前の説明は新しい説明で上書きされます。

ステップ 4 新しく設定されたゾーンの設定を表示します。ゾーン設定モードで show running-config コマンドを使用します。

設定情報は、Detector を現在の設定値で設定するために実行される CLI コマンドで構成されています。詳細については、特定のコマンド エントリを参照してください。


 

次の例は、新しいゾーンを作成し、ゾーンのアトリビュートを設定する方法を示しています。

user@DETECTOR-conf# zone scannet
user@DETECTOR-conf-zone-scannet# ip address 192.168.100.34 255.255.255.252
user@DETECTOR-conf-zone-scannet# description Demonstration zone
 

ゾーン トラフィックの特性のラーニング

この項では、Detector のラーニング プロセスを使用して、ゾーンのトラフィック特性を分析し、Detector がゾーンの検出に使用するポリシーを作成および微調整する方法について説明します。

この項では、次のトピックについて取り上げます。

ラーニング プロセスの概要

ゾーンのラーニング プロセスの結果と Cisco Guard の同期

ポリシーの構築

しきい値の調整

ラーニング パラメータの設定

ラーニング プロセスの概要

ラーニング プロセスでは、Detector が通常のゾーン トラフィックの特性をラーニングします。Detector は、ラーニング プロセスの結果を使用して、ゾーン検出用のポリシーを作成します。これらのポリシーは、ゾーンのトラフィック フローの処理方法を Detector に指示します。

ポリシーを構築する最初のラーニング プロセスが終了したら、ラーニング プロセスとゾーン検出を同時にアクティブにできます。Detector は、ポリシーのしきい値を調整すると同時に、ポリシーのしきい値を監視してトラフィック異常がないか調べます。このプロセスでは、Detector がゾーンのトラフィック特性に応じてポリシーのしきい値を常にアップデートしながら、ゾーン トラフィックの異常を検出でき、Detector で悪意のあるトラフィックのしきい値がラーニングされません。

ラーニング プロセスを発生させるには、スイッチにポート ミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する必要があります。

ラーニング プロセスは、次の 2 つのフェーズで構成されています。

1. ポリシー構築:Detector はポリシー テンプレートを使用してゾーン ポリシーを作成します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。既存のポリシーが新しいポリシーで上書きされます。

ポリシー テンプレートは、Detector のポリシー構築用ツールです。このテンプレートは、Detector が作成するゾーン ポリシーのタイプを定義します。また、ポリシー テンプレートは、Detector が厳密に監視するサービスの最大数と、Detector による新しいポリシーの作成をトリガーする最小しきい値も定義します。ゾーン ポリシーを構築するための指針となる規則を変更するには、ポリシー テンプレート パラメータを変更してから、ポリシー構築フェーズを開始します。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

2. しきい値の調整:Detector はゾーンのサービスのトラフィック レートに合せてポリシーを調整します。トラフィックが透過的に Detector を通過し、Detector はゾーン ポリシー構築中に検出されたサービスのしきい値を調整できます。既存のしきい値が新しいしきい値で上書きされます。

しきい値調整フェーズとゾーン検出を同時にアクティブにして(検出およびラーニング モード)、Detector で悪意のあるトラフィックのしきい値がラーニングされないようにすることができます。Detector が常にポリシーを調整するように設定し、Detector がポリシーのしきい値を更新するときの間隔を定義することができます。

Detector は、ゾーンのトラフィックの特性をラーニングして、ゾーンのトラフィックを比較する基準とし、悪意の攻撃となる可能性のあるあらゆる異常をトレースします。Detector は、ラーニング プロセス中は、現在のゾーン ポリシーを変更しません。Detector がポリシーを更新するのは、ラーニング フェーズのいずれかの段階における結果を受け入れるように指定した場合のみです。

ポリシーが作成された後は、ポリシーを追加または削除できます。また、しきい値、サービス、タイムアウト、アクションなどのポリシー パラメータを変更することもできます。

snapshot threshold-selection cur-thresholds コマンドを使用すると、現在のゾーン ポリシーをいつでもバックアップできます。詳細については、「スナップショットの作成」を参照してください。

Detector は、ポリシー構築フェーズ中ではなく、しきい値調整フェーズ中にワーム ポリシーの新しいサービスをラーニングします。したがって、しきい値調整フェーズ中に、ワーム ポリシーに追加された新しいサービス(ポート)が表示される場合があります。

複数のゾーンに対して同時に ラーニング 関連のコマンドを発行できます。これには、グローバル モードで、ワイルドカードにアスタリスク(*)を使用してコマンドを発行します。たとえば、すべてのゾーンについてポリシー構築フェーズを開始する場合は、グローバル モードで learning policy-construction * コマンド を入力します。scan で始まる名前を持つ Detector のすべてのゾーン(scannet や scanserver など)のポリシー構築フェーズの結果を受け入れるには、グローバル モードで no learning scan * accept と入力します。

ゾーンのラーニング プロセスの結果と Cisco Guard の同期

ゾーン トラフィックを常にラーニングし、ゾーン ポリシーで Cisco Guard(Guard)をアップデートするように、Detector を設定できます。

Detector は、ゾーンに対する攻撃を検出すると、ラーニング プロセスを停止し、Guard をアクティブにしてゾーンを保護します。攻撃が終了すると、ゾーン トラフィックのラーニングを再開します。このプロセスにより、ゾーンのポリシーしきい値を継続的に調整できる一方で、ゾーン トラフィックを常に Guard に宛先変更することを回避できます。

ラーニング プロセスの結果と Guard を同期させるには、次のタスクを実行する必要があります。

1. Guard を Detector のリモート Guard SSL リストのいずれかに追加する(「リモート Guard のアクティブ化」を参照)

2. Guard との SSL 通信チャネルを確立する(「SSL 通信チャネルの設定」を参照)

3. GUARD ゾーン テンプレートを使用して、Detector にゾーンを作成する(「新しいゾーンの作成」を参照)

ゾーン設定を Guard と同期させることも、ゾーン設定を自動的に Guard と同期させるように Detector を設定することもできます。詳細については、「Detector と Guard のゾーン設定の同期」を参照してください。

ポリシーの構築

ポリシー構築フェーズでは、Detector はポリシー テンプレートを使用してゾーン ポリシーを作成します。トラフィックが透過的に Detector を通過し、Detector はゾーンによって使用される主なサービスを検出できます。ポリシー構築の指針となる規則を設定することもできます。たとえば、Detector で特定のタイプのポリシーが作成されないようにするには、関連するポリシー テンプレートをディセーブルにします。ゾーン ポリシーを構築するための規則を変更するには、ポリシー テンプレート パラメータを変更してから、ポリシー構築フェーズを開始します。詳細については、「ポリシー テンプレートについて」を参照してください。

Detector は、ポリシー パラメータ(タイムアウト、アクション、およびしきい値)のデフォルト値を設定します。動作パラメータのデフォルト値を設定する方法については、「ポリシー テンプレートとポリシーの設定」を参照してください。

このフェーズで Detector が作成する新しいポリシーは、既存のポリシーを上書きします。


) 帯域幅限定リンク ゾーン テンプレート(DETECTOR_LINK_128K、
DETECTOR_LINK_1M、DETECTOR_LINK_4M、GUARD_LINK_512K、
GUARD_LINK_128K、GUARD_LINK_1M、GUARD_LINK_4M、および
GUARD_LINK_512K)に基づくゾーンに対しては、ポリシー構築を実行できません。


ゾーン ポリシーを構築するには、次の手順を実行します。


ステップ 1 ポリシー構築フェーズを開始します。ゾーン設定モードで次のコマンドを入力します。

learning policy-construction
 

ヒント Detector がゾーンのトラフィックのコピーを受信していることを確認してください。ポリシー構築またはしきい値調整を開始してから少なくとも 10 秒待ってから、show rates コマンドを発行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定、または Detector からルータへの光スプリッタを使用した接続を確認してください。


ステップ 2 (オプション)Detector が構築しているポリシーを表示します。ポリシー構築
フェーズの任意の段階でラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存しておいて、後で確認することができます。単一のスナップショットを保存するか、定期的なスナップショットを(指定した間隔で)保存することができます。詳細については、「スナップショットを使用したラーニング プロセスの結果の確認」を参照してください。

ステップ 3 (オプション)ポリシー構築フェーズを長期間実行する場合、ポリシー構築フェーズを停止しなくても、Detector によって提案されたポリシーを受け入れることができます。ポリシーを 1 回受け入れるか、提案されたポリシーを Detector が指定された間隔で自動的に受け入れるように定義できます。このようにすると、ゾーンが最新のポリシーを持つと同時に、継続してゾーンのトラフィックをラーニングすることを保証できます。

Detector によって提案されたポリシーを受け入れ、ポリシー構築フェーズを継続するには、次のコマンドを入力します。

learning accept
 

Detector によって提案されたポリシーを 指定した間隔で自動的に受け入れるには、次のコマンドを入力します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 4 十分に時間をおいてからポリシー構築フェーズを終了し、新しく構築されたポリシーの取り扱いを決定します。

ポリシー構築フェーズを終了する前に、少なくとも 2 時間はこのフェーズを続けることを推奨します。

次のいずれかを行うことができます。

提案されたポリシーの受け入れ: Detector によって提案されたポリシーを受け入れるには、 ゾーン設定モードで次のコマンドを入力します。

no learning accept
 

Detector は、以前にラーニングしたポリシーとしきい値を消去します。

新しく構築されたポリシーを受け入れた後は、手動でポリシーを追加または削除できます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

提案されたポリシーの拒否 :Detector によって提案されたポリシーを拒否するには 、ゾーン設定モードで次のコマンドを入力します。

no learning reject
 

Detector はプロセスを停止し、ラーニングした新しいポリシーを保存しません。ゾーンのポリシーは、ラーニング プロセスを開始する前のままになるか、ポリシー構築フェーズの結果を最後に受け入れる前のままになります。


 

次の例は、ポリシー構築フェーズを開始し、提案されたポリシーを 12 時間 間隔で受け入れる方法を示しています。例では、次に、ポリシー構築フェーズを停止し、提案されたポリシーを受け入れます。

user@DETECTOR-conf-zone-scannet# learning policy-construction
user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 12 0
user@DETECTOR-conf-zone-scannet# no learning accept

しきい値の調整

しきい値調整フェーズでは、Detector がゾーンのトラフィックを分析し、ポリシー構築フェーズで構築されたポリシーのしきい値を定義します。

最後に受け入れたポリシーしきい値を監視してトラフィック異常がないか調べながらゾーン トラフィックをラーニングするように Detector を設定できます。Detector は、ゾーンに対する攻撃を検出すると、しきい値調整フェーズを停止しますが、ゾーンの検出は続行します。この結果、Detector では悪意のあるトラフィックのしきい値がラーニングされなくなります。

Detector は、攻撃が終了すると、ラーニング プロセスを再開します。


) しきい値調整フェーズは、トラフィックのピーク時(最も忙しい日)に、少なくとも 24 時間実行することを推奨します。


ポリシーのしきい値を調整するには、次の手順を実行します。


ステップ 1 しきい値調整フェーズを開始します。

検出およびラーニング モードを開始すること、つまり、しきい値調整フェーズをアクティブにすると同時に Detector がゾーンを検出するように設定することをお勧めします。ゾーン設定モードで次のコマンドを入力します。

detect learning
 

または、 learning threshold-tuning コマンドと detect コマンドを順番に発行します(順序は問いません)。


ヒント Detector がゾーンのトラフィックのコピーを受信していることを確認してください。ポリシー構築またはしきい値調整を開始してから少なくとも 10 秒待ってから、show rates コマンドを発行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定、または Detector からルータへの光スプリッタを使用した接続を確認してください。


Detector は、ゾーンに対する攻撃を検出すると、しきい値調整フェーズを停止しますが、ゾーンの検出は続行します。


) ゾーンへのトラフィックが中程度のときに検出およびラーニング モードを開始した場合は、Detector がピーク時のトラフィックを攻撃と見なす可能性があります。このような場合は、次のいずれかを行うことができます。

ポリシーのしきい値の状態を未調整に設定する。ゾーン設定モードで
learning-params threshold-tuned
コマンドを使用します。詳細については、「ポリシーに対する調整済みのマーク付け」を参照してください。

ゾーン検出を非アクティブにし、継続してポリシーのしきい値をラーニングする。ゾーン設定モードで no detect コマンドを使用します。


 

ゾーン検出としきい値調整フェーズを同時に非アクティブにするには、ゾーン設定モードで deactivate コマンドを使用します。

しきい値調整フェーズだけをアクティブにするには、 learning threshold-tuning コマンドを使用します。

ステップ 2 (オプション)Detector が調整しているポリシーを表示します。しきい値調整フェーズの任意の段階で、ラーニング パラメータ(サービス、しきい値、およびポリシー関連のその他のデータ)のスナップショットを保存できます。後でスナップショットを確認することや、ラーニング パラメータを別のスナップショットと比較することができます。単一のスナップショットを保存するか、定期的なスナップショットを(指定した間隔で)保存することができます。詳細については、「スナップショットを使用したラーニング プロセスの結果の確認」を参照してください。

ステップ 3 Detector によって提案されたポリシーを受け入れ、 しきい値調整 フェーズを継続することができます。ポリシーを 1 回受け入れるか、提案されたポリシーを Detector が指定された間隔で自動的に受け入れるように定義できます。このようにすると、ゾーンが最新のポリシーを持つと同時に、継続してゾーンのトラフィックをラーニングすることを保証できます。

Detector によって提案されたポリシーを受け入れ、 しきい値調整 フェーズを継続するには、次のコマンドを入力します。

learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、 表 4-6 を参照してください。

Detector によって提案されたポリシーを 指定した間隔で自動的に受け入れるには、次のコマンドを入力します。

learning-params periodic-action auto-accept learn_params_days learn_params_hours learn_params_minutes
 

詳細については、「ラーニング パラメータの設定」を参照してください。

定期的なアクションを終了するには、 no learning-params periodic-action コマンドを使用します。

ステップ 4 十分な時間が経過してから、しきい値調整フェーズを終了し、新しく調整されたポリシーの処理方法を決定します。

ゾーンを検出およびラーニング モードのままにして、しきい値調整フェーズを終了しないことをお勧めします。

次のアクションのいずれかを行うことができます。

提案されたポリシーの受け入れ: Detector によって提案されたポリシーのしきい値を受け入れるには、 ゾーン設定モードで次のコマンドを入力します。

no learning accept [threshold-selection {new-thresholds | max-thresholds | weighted weight}]
 

threshold-selection の引数とキーワードについては、 表 4-6 を参照してください。

Detector は、以前にラーニングしたしきい値を消去します。

新しく調整されたポリシーを受け入れた後は、手動でポリシーのパラメータを変更することができます。詳細については、「ポリシー テンプレートとポリシーの設定」を参照してください。

提案されたポリシーの拒否 :Detector によって提案されたポリシーのしきい値を拒否するには 、ゾーン設定モードで次のコマンドを入力します。

no learning reject
 

この場合、Detector はしきい値調整フェーズを停止し、しきい値調整フェーズを開始する前のしきい値の状態に戻ります。その結果、新しく構築されたポリシーには、以前のトラフィック特性に基づいて取得したしきい値が使用される場合があります。


 

次の例は、しきい値調整フェーズを開始し、提案されたポリシーを 1 時間 間隔で受け入れる方法を示しています。例では、次に、しきい値調整フェーズを停止し、しきい値が現在の値よりも大きい場合に、提案されたポリシーを受け入れます( max-thresholds 方式)。

user@DETECTOR-conf-zone-scannet# learning threshold-tuning
user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0
user@DETECTOR-conf-zone-scannet# no learning accept threshold-selection max-thresholds
 

ラーニングの結果を表示するには、 show policies statistics コマンドを使用します。

詳細については、「ポリシーの表示」を参照してください。

ラーニングしたしきい値を確認した後は、結果の一部を変更できます。この変更がその後のしきい値調整フェーズで上書きされないようにするには、次のアクションのいずれかを実行します。

ポリシーのしきい値を固定値として設定する:Detector は新しいしきい値を無視し、現在のしきい値を保持します。詳細については、「固定値としてのしきい値の設定」を参照してください。

ポリシーの固定乗数を設定する:新しいポリシーのしきい値を計算する場合は、ラーニングしたしきい値に指定の乗数を掛け、その結果にしきい値選択方式を適用します。詳細については、「しきい値の乗数の設定」を参照してください。

ラーニング パラメータの設定

ラーニング パラメータでは、Detector が実行できるラーニング関連のアクション、および Detector が指定のポリシーを処理する方法を設定できます。次のパラメータを定義できます。

periodic-action :指定した間隔で、ポリシーのスナップショットを保存してポリシーを自動的に受け入れるように Detector を設定することも、ポリシーのスナップショットの保存だけを行うように Detector を設定することもできます。「定期的なアクションの設定」を参照してください。

threshold-tuned :ゾーンのポリシーに調整済みのマークを付けます。ゾーンのポリシーに調整済みのマークが付いていない場合、Detector は、ゾーンに対する攻撃を検出しません。「ポリシーに対する調整済みのマーク付け」を参照してください。

threshold-selection :Detector がしきい値調整フェーズの結果を受け入れるときに、新しいポリシーしきい値の生成に使用するデフォルトの方式を設定します。「しきい値選択方式の設定」を参照してください。

fixed-threshold :ポリシーのしきい値を固定値として設定します。Detector は、将来のしきい値調整フェーズでポリシーのしきい値の値を変更しません。「固定値としてのしきい値の設定」を参照してください。

threshold-multiplier :ポリシーのしきい値の固定乗数を設定します。Detector は、現在のポリシーしきい値、ラーニングされたしきい値、および固定乗数に基づいて、将来のしきい値調整フェーズでポリシーのしきい値を計算します。「しきい値の乗数の設定」を参照してください。

ラーニング パラメータの設定を表示するには、ゾーン設定モードで show learning-params コマンドを使用します。

定期的なアクションの設定

指定した間隔で、ポリシーのスナップショットを保存してポリシーを自動的に受け入れるように Detector を設定することも、ポリシーのスナップショットの保存だけを行うように Detector を設定することもできます。スナップショットの詳細については、「ポリシーの監視」を参照してください。

定期的なアクションを設定するには、次のコマンドを入力します。

learning-params periodic-action {auto-accept | snapshot-only} learn_params_days learn_params_hours learn_params_minutes

表 4-5 で、 learning-params コマンドの引数とキーワードについて説明します。

 

表 4-5 learning-params periodic-action コマンドの引数とキーワード

パラメータ
説明

auto-accept

Detector によって提案されたポリシーを 、指定された間隔で受け入れます。Detector は新しく提案されたゾーン ポリシーを受け入れた後で、ゾーン ポリシーのスナップショットを保存します。

snapshot-only

指定された間隔でポリシーのスナップショットを保存します。Detector は新しいポリシーを受け入れず、ポリシーのしきい値を変更しません。

learn_params_days

間隔(日単位)。0 ~ 1000 の整数を入力します。

learn_params_hours

間隔(時間単位)。0 ~ 1000 の整数を入力します。

learn_params_minutes

間隔(分単位)。0 ~ 1000 の整数を入力します。

間隔の値は、 learn_params_days learn_params_hours 、および learn_params_minutes の合計となります。

次の例は、 1 時間 ごとにポリシーを受け入れるように Detector を設定する方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params periodic-action auto-accept 0 1 0

しきい値選択方式の設定

しきい値調整フェーズ中に新しいポリシーしきい値が受け入れられるときに、Detector が新しいしきい値の生成に使用するデフォルト方式を設定できます。しきい値調整フェーズの結果を手動で受け入れることも、指定した間隔でしきい値調整フェーズの結果を自動的に受け入れるように Detector を設定することもできます。

次のコマンドを入力します。

learning-params threshold-selection {new-thresholds | max-thresholds | weighted weight}

表 4-6 で、 learning-params threshold-selection コマンドの引数とキーワードについて説明します。

 

表 4-6 learning-params threshold-selection コマンドの引数とキーワード

パラメータ
説明

new-thresholds

Detector は、ラーニング プロセスの結果をゾーン設定に保存します。

max-thresholds

Detector は、現在のポリシーのしきい値をラーニングされたしきい値と比較し、値の大きい方をゾーン設定に保存します。

これがデフォルトの方式です。

weighted weight

Detector は、次の数式に基づいて、保存するポリシーのしきい値を計算します。

新しいしきい値 =(ラーニングしたしきい値 * 重み + 現在のしきい値 *(100 - 重み )) / 100

次の例は、ラーニングされたしきい値が現在のポリシーしきい値よりも大きい場合に、提案されたポリシーを受け入れるように Detector を設定する方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params threshold-selection max-thresholds

ポリシーに対する調整済みのマーク付け

Detector は、ポリシーしきい値のステータスのマーク、つまりポリシーしきい値が調整済みであるかどうかのマークを付けます。保護およびラーニング モードのときは、このステータスに関連付けられます。ポリシーしきい値のステータスは、ポリシーしきい値の超過が発生した場合に Detector がゾーンに対する攻撃を識別するかどうかを示します。

新しいゾーンが作成される場合、またはゾーンのポリシー構築フェーズの結果を受け入れた後、Detector は、ゾーンのポリシーしきい値に未調整のマークを付けます。ゾーン テンプレートのデフォルトのしきい値は、Detector がゾーン トラフィックに異常を発見した場合にスプーフィング防止メカニズムをすぐにアクティブにするように調整されています。Detector が保護およびラーニング モードである場合、これによりラーニング プロセスが停止する可能性があります。このような状況を避けるために、Detector は、保護およびラーニング モードであり、ゾーン ポリシーが未調整である場合(つまり、ゾーンのポリシーしきい値が一度受け入れられるまで)、ゾーン トラフィック内の攻撃を検出しません。

ゾーン ポリシーが未調整である場合、Detector は、accept-new しきい値選択方式だけをアクティブにします(「しきい値選択方式の設定」を参照)。
Detector は、新しいしきい値を受け入れる場合、以前のしきい値を無視します。これは、そのゾーンに関するラーニング プロセスのしきい値調整フェーズの結果を受け入れるときに、accept-new 以外のしきい値選択方式を使用すると、ポリシーのしきい値の集合が不適切になる場合があるためです。

Detector は、次のような場合、ゾーン ポリシーに未調整のマークを付けます。

新しいゾーンを作成する場合

ポリシー構築フェーズの結果を受け入れた場合

ゾーン ポリシーに対してサービスの削除または新しいサービスの追加を行った場合

Detector は、しきい値調整フェーズの結果を受け入れた後、ゾーン ポリシーに調整済みのマークを付けます。

ユーザは、ゾーン ポリシーの設定を変更できます。ゾーン ポリシーに調整済みのマークを付けるには、ゾーン設定モードで次のコマンドを入力します。

learning-params threshold-tuned

ゾーンのポリシーに未調整のマークを付けるには、このコマンドの no 形を使用します。

次のどちらかの場合は、ゾーン ポリシーのステータスを調整済みに変更してもかまいません。

新しいゾーンが既存のゾーンまたはスナップショットから複製されており、両方のゾーンのトラフィック特性が似ている場合

ポリシーのしきい値をすべて手動で設定した場合

次のいずれかの場合は、ゾーン ポリシーのステータスを未調整に変更してもかまいません。

ゾーンのネットワークに重要な変更を加えた場合

ゾーンの IP アドレスまたはサブネットを変更した場合

トラフィックのピーク時に検出およびラーニング モードを開始しなかった場合(Detector がピーク時のトラフィックを攻撃と見なすことを防ぐため)

Detector は、現在のポリシーしきい値に関連付けされず、そのしきい値が超過してもゾーンに対する攻撃を検出しません。


) ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、変更すると Detector で攻撃が検出されなくなり、Detector が悪意のあるトラフィックのしきい値をラーニングするためです。


次の例は、ゾーン ポリシーのステータスに調整済みのマークを付ける方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params threshold-tuned

ゾーンのポリシーしきい値調整とゾーン検出イネーブル化の同時実行

ポリシーを構築する最初のラーニング プロセスが終了したら、ラーニング プロセスをアクティブにし、同時にゾーン検出をイネーブルにすることができます。Detector は、ポリシーのしきい値を調整すると同時に、ポリシーのしきい値を監視してトラフィック異常がないか調べます。この状態では、Detector がゾーンのトラフィック特性に応じてポリシーのしきい値を常にアップデートしながらゾーンを検出でき、Detector で悪意のあるトラフィックのしきい値がラーニングされません。

新しいゾーンを作成する場合、ゾーンのポリシーに対してサービスを追加または削除する場合、あるいはゾーンのポリシー構築フェーズの結果を受け入れた後、Detector は、ゾーンのポリシーしきい値に未調整のマークを付けます。Detector は、ラーニング プロセスのしきい値調整フェーズの結果を受け入れた後にだけ、ゾーンのポリシーに調整済みのマークを付けます。

ラーニング プロセスとゾーン検出を同時にイネーブルにし、ゾーンのポリシーが未調整の場合、Detector は次のように機能します。

Detector は、ゾーン トラフィック内の攻撃を検出しない(ゾーンのポリシーしきい値が一度受け入れられるまで)

Detector は、accept-new しきい値選択方式だけをアクティブにする(「しきい値選択方式の設定」を参照)

Detector は、ゾーンに対する攻撃を識別すると、ラーニング プロセスを停止します。Detector は、Cisco Guard(Guard)をアクティブにしてゾーンを保護した場合、Guard を定期的にポーリングします。Detector は、Guard がゾーンの保護を非アクティブにしたことを識別すると、他のトラフィック異常が存在しないことを確認します。次に、検出およびラーニング モードを再度アクティブにします。Detector は、Guard をアクティブにしなかった場合、攻撃が終了すると検出およびラーニング モードを再度アクティブにします。このオプションを使用できるのは、SSL 通信チャネルを設定した場合のみです。

ラーニング プロセスとゾーン検出を同時にアクティブにするには、 detect
learning
コマンドを使用するか、 learning threshold-tuning コマンドと detect コマンドを順番に入力します(順序は問いません)。

詳細については、「しきい値の調整」および 「ゾーンのトラフィックの異常の検出」を参照してください。

Detector と Guard のゾーン設定の同期

ゾーンの設定およびポリシーを Guard のゾーンと同期させることができます。Detector は、完全なゾーン設定をコピーします。このようにして、一度ゾーンを設定し、Detector と Guard の両方で同じ設定およびポリシーを保持できます。

Detector と Guard の間の通信には、認証と暗号化を提供する Secure Socket Layer(SSL)プロトコルが必要です。ゾーンを同期させる前に、SSL 通信接続チャネルを設定する必要があります。詳細については、「Cisco Guard との通信のイネーブル化」を参照してください。

ゾーンのポリシーを最新に保つためにゾーンのトラフィック特性を常にラーニングする一方で、ゾーン トラフィックを常に Guard に宛先変更することを回避するように Detector を設定できます。

この項では、次のトピックについて取り上げます。

設定のガイドライン

シナリオ例

同期用のゾーンの設定

ゾーンの自動的な同期とエクスポート パラメータの設定

ゾーン設定の自動的な同期

Detector に対するゾーン設定の同期

Detector からのゾーン設定の同期

ゾーン設定の自動エクスポート

ゾーン設定の手動エクスポート

ゾーン設定のオフラインでの同期

設定のガイドライン

Guard と Detector の間でゾーンを同期させるには、次のガイドラインを使用します。

Guard と Detector の間でゾーンを同期させるには、Guard と Detector の両方に適したゾーン テンプレート(GUARD ゾーン テンプレート)を使用して、Detector に新しいゾーンを作成する必要があります。

ゾーンのポリシーを正しく同期させることを保証するため、Guard がトラフィックを宛先変更するときに、Guard と Detector の両方に同じタイプのトラフィックが流れることを保証する必要があります。それ以外の場合は、ゾーンのグローバル ポリシーが高すぎるか、または低すぎるため、スプーフィングを利用した DDoS 攻撃から適切に保護されることを保証できません。

中央の設定ポイントとして Detector を使用します。Detector でゾーンを設定し、Detector の設定のバックアップを保持します。Detector から Guard にゾーン設定をコピーします。

デバイスを物理的に変更する場合、または Detector と Guard が通信に使用するインターフェイスの IP アドレスを変更する場合は、Detector と Guard が安全な通信に使用する SSL 証明書を再生成する必要があります。

Guard 上のゾーン設定を確認します。アクティベーション範囲が
ip-address-only であり、アクティベーション方式が zone-name-only でない場合は、 protection-end-timer コマンドを使用して、Detector がゾーンに対する攻撃の終了を識別するために使用するタイマーを設定することをお勧めします。 protection-end-timer の値が forever の場合、Detector は、ゾーンに対する攻撃が終了したことを識別せず、特定の IP アドレスを保護するために作成したサブゾーンを削除しません。

シナリオ例

次の設定プロセスの例は、同期を使用して、現在のトラフィック特性に応じてゾーンが保護されることを保証する方法を示しています。

1. GUARD ゾーン テンプレートのいずれかを使用して、Detector で新しいゾーンを作成および設定します。

Detector は、ゾーン設定モードの show コマンドの出力で、ゾーン ID フィールドの隣に( Guard/Detector )と表示することにより、このようなゾーンを識別します。

詳細については、「新しいゾーンの作成」を参照してください。

2. Detector で、ゾーンの SSL リモート Guard リストまたはデフォルトの SSL リモート Guard リストに Guard を追加します。

詳細については、「デフォルトのリモート Guard リストの設定」および 「ゾーンのリモート Guard リストの設定」を参照してください。

3. ゾーンのポリシーを構築するように Detector を設定します。 learning policy-construction コマンドを使用します。

4. トラフィック異常を検出する一方で、ゾーン トラフィックをラーニングし、ポリシーのしきい値を調整するように Detector を設定します。 detect learning コマンドを使用します。

詳細については、「ゾーンのトラフィックの異常の検出」を参照してください。

5. ラーニングしたポリシーのしきい値を 24 時間ごとに受け入れるように Detector を設定します。これにより、ゾーンのポリシーが、変化するトラフィック パターンで更新されることが保証されます。

learning-params periodic-action auto-accept コマンドを使用します。

詳細については、「定期的なアクションの設定」を参照してください。

6. ラーニングしたばかりの新しいポリシーしきい値を受け入れるたびにゾーン設定を Guard と同期させるように Detector を設定します。これにより、Detector がゾーンのポリシーをラーニングする限り、Guard 上のゾーンのポリシーがアップデートされることが保証されます。

learning-params sync コマンドを使用します。

詳細については、「ゾーンの自動的な同期とエクスポート パラメータの設定」を参照してください。

7. Guard をアクティブにしてゾーンを保護する前に、ゾーン設定を Guard 上の設定と同期させるように Detector を設定します。これにより、Guard がゾーンを保護するときに、Guard 上のゾーンが最新の設定とポリシーを持つことが保証されます。

learning-params sync コマンドを使用します。

詳細については、「ゾーンの自動的な同期とエクスポート パラメータの設定」を参照してください。

8. Detector は、ゾーンに対する攻撃を検出すると、次のアクションを実行します。

Guard 上のゾーン設定が最新であることを確認する。Guard 上のゾーン設定が Detector 上のゾーン設定と同じでない場合、Detector はゾーン設定を同期させます。

Guard をアクティブにしてゾーンを保護する(Guard がゾーン保護をアクティブにします)。

ゾーンのラーニング プロセスを停止し、ゾーン トラフィックの異常の検出を継続する。この結果、Detector では悪意のあるトラフィックのしきい値がラーニングされなくなります。

攻撃が進行中でも、Guard 上でゾーンのポリシーを変更できます。

Detector は、定期的に Guard をポーリングします。攻撃が終了すると、Guard はゾーン保護を非アクティブにします。Detector は、Guard がゾーン保護を非アクティブにしたことを識別すると、他のトラフィック異常が存在しないことを確認してから、検出およびラーニングの動作状態を再度アクティブにします。

9. Guard 上のゾーンのポリシーを手動で変更し、攻撃の特性に合せてゾーンのポリシーを調整した場合は、これまでとは反対に Detector をその新しいポリシーに同期させることができます。このことは、ゾーン トラフィックによって、特定のポリシーのしきい値を固定値として設定することや、ポリシーのしきい値の固定乗数を設定することが必要になった場合に重要になります。このようにすると、Detector が以後のしきい値調整フェーズでポリシーのしきい値に正しく関連し、Guard のポリシーが正しいしきい値で更新されることが保証されます。

詳細については、「固定値としてのしきい値の設定」および 「しきい値の乗数の設定」を参照してください。

ゾーンの設定およびポリシーを Guard に同期させるには、次のアクションを実行します。

deactivate コマンドを使用して、ゾーンを非アクティブにする。

sync コマンドを入力して、Detector のゾーン設定を Guard に同期させる。

detect コマンドを使用して、ゾーン検出を再度アクティブにする。

詳細については、「Detector に対するゾーン設定の同期」および 「ゾーンのトラフィックの異常の検出」を参照してください。

同期用のゾーンの設定

Guard と Detector の間でゾーンを同期させるには、GUARD ゾーン テンプレートを使用して、Detector に新しいゾーンを作成する必要があります。Guard と Detector の両方で、このテンプレートから作成されたゾーンを設定できます。

新しいゾーンには、Guard 用と Detector 用の 2 つの定義セットがあります。ゾーンの特性は、次の設定モードで設定できます。

ゾーン設定モード:リモート Guard など、Detector に固有の定義を設定します。ゾーン設定モードに入るには、設定モードで zone コマンドを使用します。コマンド プロンプトでの表示は、次のようになります。

user@DETECTOR-conf-zone-scannet#

Guard 設定モード:ユーザ フィルタなど、Guard に固有の定義を設定します。guard 設定モードに入るには、ゾーン設定モードで guard-conf コマンドを使用します。コマンド プロンプトでの表示は、次のようになります。

user@DETECTOR-conf-zone-scannet(guard)#
 

ゾーン設定モードまたは guard 設定モード:IP アドレスなど、Guard と Detector の両方に共通の定義を設定します。

Guard と Detector の両方に共通の設定を変更する場合、その変更は両方の定義セットに適用されます。たとえば、ゾーン設定モードでゾーンの IP アドレスを変更する場合、Guard のゾーン定義でも新しい IP アドレスに変更されます。guard 設定モードで Guard の新しいゾーン定義を表示できます。guard 設定モードでポリシーの動作状態を変更する場合、Detector のゾーン定義でもその動作状態が変更されます。

ゾーンを作成し、その同期について設定するには、次の手順を実行します。


ステップ 1 Guard ゾーン テンプレートのいずれかを使用して、Detector に新しいゾーンを作成します。

「新しいゾーンの作成」を参照してください。

Detector は、 show コマンドの出力で、ゾーン ID フィールドの隣に ( Guard/Detector ) と表示することにより、このようなゾーンを識別します。

ステップ 2 ゾーンの特性を設定します。「ゾーンのアトリビュートの設定」を参照してください。

ステップ 3 Guard に固有の特性を設定するには、guard 設定モードに入ります。次のいずれかのコマンドを入力します。

guard-conf :ゾーン設定モードから入力

configure zone-name guard-conf :グローバル モードから入力

zone zone-name guard-conf :設定モードから入力

zone-name 引数には、既存のゾーンの名前を指定します。

Detector が guard 設定モードに入ります。CLI プロンプトでは、モードを示すため、カッコで囲まれた guard という単語(guard)がプロンプトに追加されます。

次の例は、guard 設定モードに入る方法を示しています。

user@DETECTOR-conf-zone-scannet# guard-conf
user@DETECTOR-conf-zone-scannet(guard)#
 

guard 設定モードでは、ユーザ フィルタ、フィルタ終了、ポリシー アクションまたはフィルタ アクションの drop など、Guard に固有のすべてのゾーン特性を設定できます。詳細については、『 Cisco Guard Configuration Guide 』を参照してください。


 

ゾーンの自動的な同期とエクスポート パラメータの設定

ゾーン設定をリモート Guard と自動的に同期させるように、またはゾーン設定を自動的に FTP サーバまたは SFTP サーバにエクスポートするように Detector を設定できます。

Detector は、次のアクションを実行します。

Detector は、ゾーンの設定を、ゾーンのリモート Guard リストにあるすべてのリモート Guard と同期させます。ゾーンのリモート Guard リストが空の場合、Detector はゾーンの設定を、Detector のデフォルトのリモート Guard リストに定義されているリモート Guard と同期させます。1 つのリモート Guard との同期に失敗すると、Detector はリスト内の次のリモート Guard から続行します。

ゾーンのリモート Guard リストと Detector のデフォルトのリモート Guard リストが両方とも空の場合、Detector はゾーンの設定を同期化しません。

Guard 上に同じ名前のゾーンが存在する場合、既存の設定は新しい設定によって上書きされます。

しきい値調整フェーズの結果が受け入れられる場合、Detector は、ゾーンの FTP サーバ リストに記載されているすべての FTP サーバまたは SFTP サーバにゾーン設定をエクスポートします。リストが空の場合、Detector はデフォルトの FTP リストを参照します。詳細については、「ゾーン設定の自動エクスポート」を参照してください。

ゾーンの FTP サーバ リストと Detector のデフォルトの FTP サーバ リストが両方とも空の場合、Detector はゾーンの設定をエクスポートしません。

ゾーンの設定の自動的な同期とエクスポートをイネーブルにするには、ゾーン設定モードで次のコマンドを入力します。

learning-params sync {accept | remote-activate}

表 4-7 で、 learning-params sync コマンドのキーワードについて説明します。

 

表 4-7 learning-params sync コマンドのキーワード

パラメータ
説明

accept

ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、ゾーンの設定を同期化およびエクスポートします。

remote-activate

ゾーンの設定を同期させてから、リモート Guard をアクティブにします。リモート Guard 上の設定が最新でない場合にだけ、Detector はゾーン設定を同期させます。

Detector は、ゾーン設定を FTP サーバにも SFTP サーバにもエクスポートしません。

次の例は、ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、ゾーンの設定を自動的に同期化およびエクスポートする方法を示しています。

user@DETECTOR-conf-zone-scannet# learning-params sync accept
 

自動的な同期とエクスポートをディセーブルにするには、 no learning-params sync コマンドを使用します。

ゾーン設定の自動的な同期

ゾーン設定をリモート Guard と自動的に同期させるように Detector を設定できます。Detector は、ゾーン設定を Guard にコピーします。Guard 上に同じ名前のゾーンが存在する場合、既存の設定は新しい設定によって上書きされます。

Detector は、ゾーンの設定を、ゾーンのリモート Guard リストにあるすべてのリモート Guard と同期させます。ゾーンのリモート Guard リストが空の場合、
Detector はゾーンの設定を、Detector のデフォルトのリモート Guard リストに定義されているリモート Guard と同期させます。1 つのリモート Guard との同期に失敗すると、Detector はリスト内の次のリモート Guard から続行します。

ゾーンのリモート Guard リストと Detector のデフォルトのリモート Guard リストが両方とも空の場合、Detector はゾーンの設定を同期化しません。

Detector がいつゾーン設定を同期させるかを定義するには、learning-params sync コマンドを使用します。詳細については、「ゾーンの自動的な同期とエクスポート パラメータの設定」を参照してください。

Detector に対するゾーン設定の同期

Guard から Detector にゾーン設定をコピーすることにより、Guard 上のゾーン設定と Detector 上のゾーン設定を同期させることができます。これは、攻撃の特性に合せてゾーン ポリシーを調整するために Guard 上のゾーン ポリシーを手動で変更し、その変更で Detector をアップデートして、将来の DDoS 攻撃の正しい検出を保証する場合、または将来 Guard 上のゾーン設定を Detector に同期させるときに Guard 上のゾーン設定が保持されることを保証する場合に必要となることがあります。このことは、ゾーン トラフィックによって、特定のポリシーのしきい値を固定値として設定することや(「固定値としてのしきい値の設定」を参照)、ポリシーのしきい値の固定乗数を設定すること(「しきい値の乗数の設定」を参照)が必要になった場合に特に当てはまります。このようにすると、Detector が以後のしきい値調整フェーズでポリシーのしきい値に正しく関連し、Guard のポリシーが正しいしきい値で更新されることが保証されます。

Detector は、Guard からゾーンの設定をコピーします。既存の設定が新しい設定で上書きされます。

Detector からゾーンの設定およびポリシーを同期させるには、次の手順を実行します。


ステップ 1 ゾーンが現在アクティブになっている場合は、ゾーン設定モードで deactivate コマンドを使用して、ゾーンを非アクティブにします。

ステップ 2 Detector のゾーン設定を Guard に同期させます。 グローバル モードで次のコマンドを入力します。

sync zone zone-name remote-guard-address local
 

表 4-8 で、 sync zone コマンドの引数について説明します。

 

表 4-8 sync zone コマンドの引数とキーワード

パラメータ
説明

zone-name

既存のゾーンの名前。

remote-guard-address

ゾーンの設定を、指定されたリモート Guard と同期させます。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

ステップ 3 同期プロセスを開始する前にゾーンがアクティブになっていた場合は、ゾーンを再度アクティブにします。ゾーン設定モードで detect コマンド(「ゾーンのトラフィックの異常の検出」を参照)または learning コマンド(「ゾーン トラフィックの特性のラーニング」を参照)を使用します。


 

次の例は、ゾーン scannet を非アクティブにし、Detector のゾーン設定を IP アドレス 192.168.55.10 の Guard に同期させる方法を示しています。次に、ゾーンを再度アクティブにする方法を示しています。

user@DETECTOR-conf-zone-scannet# deactivate
user@DETECTOR-conf-zone-scannet# end
user@DETECTOR# sync zone scannet 192.168.55.10 local
user@DETECTOR# conf scannet
user@DETECTOR-conf-zone-scannet# detect learning

Detector からのゾーン設定の同期

ゾーンの設定およびポリシーを Guard 上のゾーンと同期させることができます。このようにして、Detector で一度ゾーンを設定し、ゾーンのトラフィック特性を常にラーニングする一方で、Detector と Guard の両方で同じ設定およびポリシーを保持し、ゾーン トラフィックを常に Guard に宛先変更することを回避できます。

Detector は、ゾーンの設定を Guard にコピーします。Guard 上に同じ名前のゾーンが存在する場合、既存の設定は新しい設定によって上書きされます。このようにして、Guard がアクティブになってゾーンを保護するときに、Guard 上のゾーンが最新のポリシーを持つことを保証できます。


) 同期プロセスを開始する前に、Guard 上のゾーンを非アクティブにする必要があります。


Detector からゾーンの設定およびポリシーを同期させるには、 グローバル モードで次のコマンドを入力します。

sync zone zone-name local {remote-guards | remote-guard-address }

表 4-9 で、 sync zone コマンドの引数とキーワードについて説明します。

 

表 4-9 sync zone コマンドの引数とキーワード

パラメータ
説明

zone-name

既存のゾーンの名前。

remote-guards

ゾーンの設定を、ゾーンのリモート Guard リストにあるすべてのリモート Guard と同期させます。ゾーンのリモート Guard リストが空の場合は、ゾーンの設定を、
Detector のデフォルトのリモート Guard リストに定義されているリモート Guard と同期させます。

remote-guard-address

ゾーンの設定を、指定されたリモート Guard と同期させます。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

次の例は、ゾーンの設定を、ゾーンのリモート Guard リストにあるすべてのリモート Guard と同期させる方法を示しています。

user@DETECTOR# sync zone scannet local remote-guards

ゾーン設定の自動エクスポート

ゾーン設定を FTP サーバまたは SFTP サーバに自動的にエクスポートするように Detector を設定できます。ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、Detector はゾーンの設定をエクスポートします。

ゾーンの設定を自動的にエクスポートするには、FTP または SFTP サーバを設定する必要があります。FTP または SFTP サーバは、次のリストに設定できます。

ゾーンの FTP サーバ リスト:Detector がゾーン設定をエクスポートする先の FTP サーバまたは SFTP サーバのリスト。

Detector のデフォルトの FTP サーバ リスト:FTP サーバまたは SFTP サーバのデフォルトのリスト。ゾーンの FTP サーバ リストが空の場合、Detector は、このリスト上のサーバにゾーンの設定をエクスポートします。

ゾーン設定を FTP サーバまたは SFTP サーバに自動的にエクスポートするように Detector を設定するには、次の手順を実行します。


ステップ 1 FTP サーバを定義します。設定モードで、次のいずれかのコマンドを入力します。

ftp-server ftp-server-name description ftp server remote-path login password :FTP サーバを定義します。

ftp-server ftp-server-name description sftp server remote-path login :SFTP サーバを定義します。

Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。

表 4-10 で、 ftp-server コマンドの引数について説明します。

 

表 4-10 ftp-server コマンドの引数とキーワード

パラメータ
説明

ftp

FTP サーバを定義します。

sftp

SFTP サーバを定義します。

ftp-server-name

FTP または SFTP サーバの名前。1 ~ 63 文字の英数字の文字列を入力します。文字列にはアンダースコアを含めることができますが、スペースを含めることはできません。

description

FTP または SFTP サーバを説明する文字列。文字列の長さは最大 80 文字です。

server

FTP または SFTP サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

FTP または SFTP サーバのログイン名。

password

リモート FTP サーバのパスワード。

このオプションは、FTP サーバ専用です。Detector は、公開鍵を使用して、SFTP サーバを認証します。

次の例は、FTP サーバを定義する方法を示しています。

user@DETECTOR-conf# ftp-server MyFTP-Server Description ftp 10.0.0.191 /root/ConfigFiles <user> <password>
 

) Detector が特定の FTP サーバまたは SFTP サーバにゾーン設定を自動的にエクスポートできるようにするには、Detector のデフォルトの FTP サーバ リストまたはゾーンの FTP サーバ リストにそのサーバを設定する必要があります。


ステップ 2 (オプション)FTP または SFTP サーバをゾーンの FTP サーバ リストに追加します。

FTP または SFTP サーバをゾーンの FTP サーバ リストに追加するには、ゾーン設定モードで次のコマンドを入力します。

ftp-server ftp-server-name
 

ftp-server-name 引数には、FTP または SFTP サーバの名前を指定します。

次の例は、FTP サーバをゾーンの FTP サーバ リストに追加する方法を示しています。

user@DETECTOR-conf-zone-scannet# ftp-server default MyFTP-Server
 

リストから FTP サーバを削除するには、コマンドの no 形を使用します。

ステップ 3 (オプション)FTP または SFTP サーバを Detector のデフォルトの FTP サーバ リストに追加します。

Detector は、ゾーンの FTP サーバ リストに記載されている FTP サーバにゾーン設定をエクスポートします。リストが空の場合、Detector はデフォルトの FTP リストを参照します。

FTP または SFTP サーバを Detector のデフォルトの FTP サーバ リストに追加するには、設定モードで次のコマンドを入力します。

ftp-server default ftp-server-name
 

ftp-server-name 引数には、FTP または SFTP サーバの名前を指定します。

次の例は、FTP サーバを Detector のデフォルトの FTP サーバ リストに追加する方法を示しています。

user@DETECTOR-conf# ftp-server default MyFTP-Server
 

リストから FTP サーバを削除するには、コマンドの no 形を使用します。

ステップ 4 (オプション)ラーニング プロセスのしきい値調整フェーズの結果が受け入れられるたびに、ゾーン設定を FTP サーバまたは SFTP サーバに自動的にエクスポートするように Detector を設定します。learning-params sync accept コマンドを使用します。詳細については、「ゾーン設定の自動エクスポート」を参照してください。


 

ゾーン設定の手動エクスポート

Detector をアクティブにして、FTP サーバまたは SFTP サーバにゾーン設定をエクスポートできます。Detector は、ゾーンの設定のうち、Guard にゾーンを設定するために必要な部分をエクスポートします。

グローバル モードで次のコマンドのいずれかを入力します。

copy zone zone-name guard-running-config ftp server remote-path [login password]] :ゾーンの設定を FTP サーバにエクスポートします。

copy zone zone-name guard-running-config sftp server remote-path login :ゾーンの設定を SFTP サーバにエクスポートします。

Detector が SFTP 通信に使用する SSH 鍵を設定する必要があります。詳細については、「SFTP 接続用の鍵の設定」を参照してください。

表 4-11 で、 copy guard-running-config コマンドの引数について説明します。

 

表 4-11 copy guard-running-config コマンドの引数とキーワード

パラメータ
説明

ftp

ゾーンの設定を FTP サーバにエクスポートします。

sftp

ゾーンの設定を SFTP サーバにエクスポートします。

zone-name

既存のゾーンの名前。Detector は、Guard に適用される、指定されたゾーン設定の一部をエクスポートします。

server

FTP または SFTP サーバの IP アドレス。

remote-path

ファイルの完全な名前。パスを指定しない場合、サーバはユーザのホーム ディレクトリにファイルを保存します。

login

FTP または SFTP サーバのログイン名。

FTP の場合、この引数はオプションです。ログイン名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。

password

(オプション)リモート FTP サーバのパスワード。パスワードを入力しない場合、Detector によって入力するよう要求されます。

このオプションは、FTP サーバ専用です。SFTP サーバは、Detector の公開鍵を使用して、Detector を認証します。

次の例は、ゾーンの設定を FTP サーバにエクスポートする方法を示しています。

user@DETECTOR-conf# copy zone scannet guard-running-config ftp 10.0.0.191 /root/ConfigFiles/scannet.txt <user> <password>
 

ゾーン設定のオフラインでの同期

Guard と Detector の間に安全な通信チャネルが確立できない場合でも、ゾーン設定を同期させることができます。次のいずれかの場合は、ゾーン設定をオフラインで同期させることが必要になる場合があります。

Guard が Detector にアクセスできない場合

Detector が Guard にアクセスできない場合

Detector が Network Address Translation(NAT; ネットワーク アドレス変換)デバイスを介して Guard と通信する場合

ゾーン設定をオフラインで同期させるには、まず Detector から FTP サーバまたは Secure FTP(SFTP)サーバにゾーン設定をエクスポートしてから、ゾーン設定を Guard に手動でインポートする必要があります。

Guard と Detector の間に安全な通信チャネルが存在しないため、Detector によってゾーン トラフィック内で異常が検出された場合は、Guard を手動でアクティブにしてゾーンを保護する必要があります。

Detector がゾーン設定を同期できるようにするには、次のタスクを実行する必要があります。

GUARD ゾーン テンプレートのいずれかを使用して、Detector にゾーンを作成する。「新しいゾーンの作成」を参照してください。

設定を SFTP サーバにエクスポートするために、Detector が SFTP 通信に使用する SSH 鍵を設定する。「SFTP 接続用の鍵の設定」を参照してください。

ゾーンの設定をオフラインで同期させるには、次の手順を実行します。


ステップ 1 ゾーン設定をソース デバイスからエクスポートします。

ゾーン設定は、次の 2 つの方法でエクスポートできます。

自動:特定の状態が発生すると必ずゾーン設定をエクスポートするように Detector を設定します(「ゾーン設定の自動エクスポート」を参照)。

一度:Detector をアクティブにして、ゾーン設定のエクスポートを開始します(「ゾーン設定の手動エクスポート」を参照)。

ステップ 2 ゾーンの設定を FTP または SFTP サーバからターゲット デバイスにインポートします。 copy ftp running-config コマンドまたは copy sftp running-config コマンドを使用します。

ゾーン設定をインポートする前に、ゾーンを非アクティブにすることをお勧めします。詳細については、「設定のインポートとアップデート」を参照してください。


 

リモート Guard のアクティブ化

Detector は、ゾーンのトラフィックの異常を検出すると、そのイベントをログに記録するか(通知として知られるアクション)、ゾーンを保護するためのアクションを開始する Guard(リモート Guard)をアクティブにします。

Detector は、ゾーンを保護するためにアクティブにされる Guard のリストを保持します。このリストは、リモート Guard リストと呼ばれます。また、Detector は、リモート Guard リスト上の Guard とゾーン設定を同期させることもできます。Detector は、次の 4 つのタイプのリモート Guard リストを保持します。

1. ゾーン固有の SSL リモート Guard リスト:Detector は、SSL 通信チャネルを使用して、SSL リモート Guard リスト内の Guard と通信します。Detector は、Guard をアクティブにして、ゾーンを保護し、ゾーン設定を同期させることができます。

2. ゾーン固有の SSH リモート Guard リスト:Detector は、SSH 通信チャネルを使用して、SSH リモート Guard リスト内の Guard と通信します。Detector は、Guard をアクティブにして、ゾーンの保護だけを行います。

3. デフォルトの SSL リモート Guard リスト:Detector は、SSL 通信チャネルを使用して、SSL リモート Guard リスト内の Guard と通信します。ゾーンの SSL リモート Guard リストが空の場合、Detector は、デフォルトの SSL リモート Guard リストにある Guard をアクティブにし、ゾーンの設定を同期させます。

4. デフォルトの SSH リモート Guard リスト:Detector は、SSH 通信チャネルを使用して、SSH リモート Guard リスト内の Guard と通信します。ゾーンの SSH リモート Guard リストが空の場合、Detector は、デフォルトの SSH リモート Guard リストにある Guard をアクティブにします。

複数のリモート Guard リストに Guard を設定できます。

次の各項では、リモートの Guard を設定し、アクティブにする方法について説明します。

設定のガイドライン

デフォルトのリモート Guard リストの設定

設定のガイドライン

リモート Guard のアクティベーションと、ゾーン情報の同期をイネーブルにするには、次のタスクを実行する必要があります。

1. GUARD ゾーン テンプレートのいずれかを使用して、新しいゾーンを作成および設定します。


) SSH 通信チャネルだけを使用してリモート Guard をアクティブにする必要がある場合は、Guard と Detector の両方にゾーンを作成してください。GUARD ゾーン テンプレートと DETECTOR ゾーン テンプレートのいずれかを使用して、Detector にゾーンを作成できます。ゾーン名は同一である必要があります。ただし、protect-ip-state コマンドを使用して、リモート Guard の Guard 保護のアクティベーション形態を dst-ip-by-ip に設定した場合を除きます。


「新しいゾーンの作成」を参照してください。

2. Detector で、ゾーンのリモート Guard リストまたはデフォルトのリモート Guard リストにリモート Guard の IP アドレスを追加します。

ゾーンのリモート Guard リスト:そのゾーンの保護用に Detector によってアクティブにされるリモート Guard のリスト。詳細については、「ゾーンのリモート Guard リストの設定」を参照してください。

Detector のデフォルト リスト:リモート Guard のデフォルト リスト。ゾーンのリモート Guard リストが空の場合、Detector はこれらの Guard をアクティブにします。詳細については、「デフォルトのリモート Guard リストの設定」を参照してください。

3. リモート Guard との通信チャネルを設定します(詳細については、「Cisco Guard との通信のイネーブル化」を参照)。

4. (オプション)Detector と Guard のゾーンを同期させます。ゾーンの設定を同期化できるのは、SSL 通信チャネルを使用する場合のみです。

5. アクティベーションのタイプを決定するために、ゾーンの Guard 保護の形態(protect-ip-state)を設定します。詳細については、「Guard 保護のアクティベーション方式の設定」を参照してください。

デフォルトのリモート Guard リストの設定

ゾーン固有のリモート Guard リストが空の場合、Detector はデフォルトのリモート Guard リストをアクティブにします。Detector には、次の 2 つのタイプのデフォルト リモート Guard リストがあります。

1. デフォルトの SSL リモート Guard リスト:Detector は、SSL 通信チャネルを使用して、SSL リモート Guard リスト内の Guard と通信します。ゾーンの SSL リモート Guard リストが空の場合、Detector は、デフォルトの SSL リモート Guard リストにある Guard をアクティブにし、ゾーンの設定を同期させます。

2. デフォルトの SSH リモート Guard リスト:Detector は、SSH 通信チャネルを使用して、SSH リモート Guard リスト内の Guard と通信します。ゾーンの SSH リモート Guard リストが空の場合、Detector は、デフォルトの SSH リモート Guard リストにある Guard をアクティブにします。

Detector において、リモート Guard リストのいずれかにリモート Guard が少なくとも 1 つ含まれていることを確認します(リモート Guard リストは、デフォルトの SSL リモート Guard リスト、デフォルトの SSH リモート Guard リスト、ゾーンの SSL リモート Guard リスト、またはゾーンの SSH リモート Guard リスト)。どのリモート Guard リストにもリモート Guard が定義されていない場合、Detector はログ ファイルにイベントを記録します。

デフォルトのリモート Guard リストに Guard を追加するには、設定モードで次のコマンドのいずれかを入力します。

remote-guard ssh remote-guard-address [ description ]

remote-guard ssl remote-guard-address [ description ]

表 4-12 で、 remote-guard コマンドの引数について説明します。

 

表 4-12 remote-guard コマンドの引数

パラメータ
説明

ssh

デフォルトの SSH リモート Guard リストにリモート Guard を追加します。

ssl

デフォルトの SSL リモート Guard リストにリモート Guard を追加します。

remote-guard-address

リモートの Guard の IP アドレス。

description

(オプション)リモートの Guard の説明。説明は、最大 63 文字です。

次の例は、デフォルトの SSL リモート Guard リストにリモート Guard を追加する方法を示しています。

user@DETECTOR-conf# remote-guard ssl 192.168.100.33

注意 リモート Guard リストを変更する場合は、Detector がリモート Guard との通信チャネルに使用する SSL 証明書を再生成する必要があります。詳細については、「SSL 証明書の再生成」を参照してください。

リモート Guard のデフォルト リストを表示するには、 show detector コマンドを使用します。

ゾーンのリモート Guard リストの設定

Detector は、ゾーンのトラフィックの異常を検出すると、そのイベントをログに記録するか(通知として知られるアクション)、ゾーンを保護するためのアクションを開始するリモートの Guard をアクティブにします。Detector には、次の 2 つのタイプのゾーン リモート Guard リストがあります。

1. ゾーンの SSL リモート Guard リスト:Detector は、SSL 通信チャネルを使用して、SSL リモート Guard リスト内の Guard と通信します。

2. ゾーンの SSH リモート Guard リスト:Detector は、SSH 通信チャネルを使用して、SSH リモート Guard リスト内の Guard と通信します。

Detector は、両方のゾーン リモート Guard リストに記載されているリモート Guard をアクティブにします。リストが空の場合、Detector は、対応するデフォルトのリモート Guard リストも参照します。

Detector において、リモート Guard リストのいずれかにリモート Guard が少なくとも 1 つ含まれていることを確認します(リモート Guard リストは、デフォルトの SSL リモート Guard リスト、デフォルトの SSH リモート Guard リスト、ゾーンの SSL リモート Guard リスト、またはゾーンの SSH リモート Guard リスト)。どのリモート Guard リストにもリモート Guard が定義されていない場合、Detector はログ ファイルにイベントを記録します。


注意 リモート Guard リストを変更する場合は、リモート Guard との通信チャネルを確立する必要があります。詳細については、「Cisco Guard との通信のイネーブル化」を参照してください。

ゾーンのリモート Guard リストに Guard を追加するには、ゾーン設定モードで次のコマンドのいずれかを入力します。

remote-guard ssh remote-guard-address [ description ]

remote-guard ssl remote-guard-address [ description ]

表 4-13 で、remote-guard コマンドの引数について説明します。

 

表 4-13 remote-guard コマンドの引数

パラメータ
説明

ssh

ゾーンの SSH リモート Guard リストにリモート Guard を追加します。

ssl

ゾーンの SSL リモート Guard リストにリモート Guard を追加します。

remote-guard-address

リモート Guard の IP アドレス。

description

(オプション)リモートの Guard の説明。説明は、最大 63 文字です。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# remote-guard ssl 192.168.100.33
 

) ゾーンのリモート Guard リストを表示するには、show zone コマンドを使用します。


ゾーンのトラフィックの異常の検出

ゾーンの異常検出をアクティブにすると、Detector は、受信するゾーン トラフィックのコピーを監視します。トラフィック異常がポリシーしきい値を超える(攻撃を示す)ことによってポリシー アクションをトリガーすると、Detector は、通知を送信するか、または Cisco Guard(Guard)をアクティブにしてゾーンを保護します。

ゾーンの異常検出をアクティブにする前に、Detector にゾーンのトラフィック パターンを学習させます。ラーニング プロセスにより、Detector で各ゾーンのトラフィック パターンをラーニングし、ゾーン トラフィックの統計分析に従って推奨のしきい値のセットを作成することができます。

ゾーンが攻撃されていない場合は、 learning policy-construction コマンドを使用して Detector にゾーンのポリシーを構築させてから、検出およびラーニング モードで Detector をアクティブにすることをお勧めします。Detector は、ゾーン トラフィックをラーニングすると同時に、最後に受け入れられたポリシーしきい値を監視してトラフィック異常がないか調べます。Detector は、ゾーンに対する攻撃を検出すると、しきい値調整フェーズを停止しますが、ゾーン トラフィック内の異常の検出は続行します。この結果、Detector では悪意のあるトラフィックのしきい値がラーニングされなくなります。「ゾーンのポリシーしきい値調整とゾーン検出イネーブル化の同時実行」を参照してください。

Guard をアクティブにしてゾーンを保護する前に、Detector 上のゾーン設定と Guard 上のゾーン設定を同期させることができます。詳細については、「Detector と Guard のゾーン設定の同期」および 「リモート Guard のアクティブ化」を参照してください。

ゾーン検出をアクティブにする前に、スイッチにポート ミラーリングを設定するか、光スプリッタを使用して Detector をルータに接続する必要があります。


ヒント Detector がゾーンのトラフィックのコピーを受信していることを確認してください。ポリシー構築フェーズを開始してから少なくとも 10 秒待ってから、show rates コマンドを発行します。Received traffic レートの値がゼロより大きいことを確認します。値がゼロの場合は、Detector がゾーンのトラフィックのコピーを受信していないことを示します。スイッチのポート ミラーリングの設定、または Detector からルータへの光スプリッタを使用した接続を確認してください。


次の検出特性を定義できます。

動作モード :Detector がゾーンを保護する手段を自動的に適用するか、インタラクティブに適用するかを定義します。

Guard 保護アクティベーション方式 :Detector がゾーンを保護するためにリモート Guard のアクティブ化に使用する方式を定義します。Detector は、リモート Guard をアクティブにしてゾーン全体の一部である特定のゾーン(たとえば、保護されたネットワーク環境の一部である特定のサーバ)を保護することも、リモート Guard をアクティブにしてゾーン全体を保護することもできます。

この項では、次のトピックについて取り上げます。

ゾーン検出のアクティブ化

ゾーン検出の非アクティブ化

検出動作モードの定義

Guard 保護のアクティベーション方式の設定

ゾーン検出のアクティブ化

ゾーン検出をアクティブにするには、ゾーン設定モードで次のコマンドを入力します。

detect [learning]

learning キーワードでは、ゾーン トラフィック内の異常を検出すると同時に、ポリシーのしきい値を調整するように Detector が設定されます。詳細については、「しきい値の調整」を参照してください。

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# detect
 

ゾーン検出の非アクティブ化

ゾーン検出を非アクティブにするには、ゾーン設定モードで次のコマンドのいずれかを入力します。

no detect: ゾーン検出を終了します。ゾーンが検出およびラーニング モードである場合、Detector はポリシーのしきい値のラーニングを続行します。

deactivate: ゾーン検出と、ラーニング プロセスのしきい値調整フェーズの両方を終了します。

検出動作モードの定義

Detector の保護は、次の 2 つの動作モードにおいてアクティブにできます。

自動検出モード :動的フィルタはユーザの操作なしでアクティブになります。これはデフォルトの動作モードです。

インタラクティブ検出モード :動的フィルタは、インタラクティブ モードにおいて手動でアクティブになります。動的フィルタは推奨事項としてグループ化され、ユーザの決定を待ちます。ユーザは、これらの推奨事項を確認して、どの推奨事項を受け入れるか、無視するか、自動アクティベーションに切り替えるかを決定できます。

詳細については、「インタラクティブ検出モード」を参照してください。

Guard 保護のアクティベーション方式の設定

Guard 保護アクティベーション方式は、Cisco Guard(Guard)がゾーン保護をアクティブにする方法を定義します。この方式は、ゾーンの保護要件に、より正確に焦点を当て、Guard のリソースを節約するために設計されています。アクティベーション方式は、ゾーン全体の一部である特定のゾーン(保護されたネットワーク環境内の特定のサーバなど)のゾーン保護をアクティブにするものから、ゾーン全体のゾーン保護をアクティブにするものまであります。

Detector は、次の Guard 保護のアクティベーション方式をサポートします。

entire-zoneDetector は、ゾーン宛てのトラフィック内で異常を検出すると必ず、Guard をアクティブにしてゾーン全体を保護します。この方式では、Guard が保護するアクティブなゾーンの数が減るため、Guard のリソースが節約されます。ゾーン全体が関連性のあるサブゾーンで構成されている場合には、この方法を推奨します。

dst-ip-by-nameDetector は、特定の IP アドレス宛てのトラフィック異常がトレースされると、Guard をアクティブにしてその IP アドレスを保護します。ゾーン全体が関連性のないサブゾーンで構成されている場合には、この方法を推奨します。このように定義すると、Guard をアクティブにして攻撃の対象となる IP アドレスを保護できる一方で、ゾーン全体のトラフィックを Guard に宛先変更することを回避できます。Detector は、トラフィック異常を特定の IP アドレスに関連付けることができない場合、Guard をアクティブにしないため、ゾーンが保護されません。

dst-ip-by-ip :Detector は、特定の IP アドレス宛てのトラフィック異常がトレースされると、Guard をアクティブにしてその IP アドレスを保護します。IP アドレスは、Guard に定義されているいずれかのゾーンのアドレス範囲内である必要があります。ただし、Detector 上のゾーン名が、Guard 上のゾーン名と一致する必要はありません。これは、Guard で protect ip-address コマンドを使用するのと同じ操作です。Detector 上のゾーン名が Guard 上のゾーン名と一致しない場合、またはゾーン全体が関連性のないサブゾーンで構成されている場合は、この方法をお勧めします。


) Guard が攻撃対象の IP アドレスだけのゾーン保護をアクティブにするようにするには、Guard でゾーンに ip-address-only というアクティベーション範囲が定義されていることを確認してください。このように定義すると、Guard をアクティブにして攻撃の対象となる IP アドレスを保護できる一方で、ゾーン全体のトラフィックを Guard に宛先変更することを回避できます。


policy-typeDetector は、Guard をアクティブにし、リモート アクティベーションの原因となったポリシーに応じて、ゾーン全体を保護するか、またはゾーン内の特定の IP アドレスを保護します。特定の IP アドレス宛てのトラフィック異常がトレースされた場合(たとえば、リモート アクティベーションの原因となったポリシーのトラフィック特性が dst_ip である場合)、Detector は Guard をアクティブにしてその IP アドレスを保護します。トラフィック異常を特定の IP アドレスと関連付けることができない場合(たとえば、リモート アクティベーションの原因となったポリシーのトラフィック特性が global である場合)、Detector は Guard をアクティブにしてゾーン全体を保護します。

ゾーン全体が関連性の高いサブゾーンで構成されている場合には、この方法を推奨します。この方法では、攻撃対象となったゾーンがゾーン全体に損害を与える状況を避けることができます。

Guard 保護アクティベーション方式をアクティブにするには、関係するゾーンの設定モードで次のコマンドを入力します。

protect-ip-state { entire-zone | dst-ip-by-name | dst-ip-ip | policy-type }

次の例を参考にしてください。

user@DETECTOR-conf-zone-scannet# protect-ip-state entire-zone