Cisco Traffic Anomaly Detector Web-Based Manager コンフィギュレーション ガイド (Software Release 5.0)
ポリシー テンプレートの設定
ポリシー テンプレートの設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

ポリシー テンプレートの設定

ポリシー テンプレートのタイプ

ポリシー テンプレートの設定の変更

ポリシー テンプレートの設定

ポリシー テンプレートは、ラーニング プロセスのポリシー構築フェーズで Detector が使用する規則とガイドラインの集まりで、ゾーンのトラフィック フローで検出されたサービスに関する新しいゾーン ポリシーを構築するためのものです。各ポリシー テンプレートからは、Detector がゾーン トラフィック内の DDoS 攻撃の検出に使用する一連のゾーン ポリシーが出力されます。新しいゾーンを作成すると、Detector は新しいゾーンの設定に一連のポリシー テンプレートを組み込みます。

この章では、高度なポリシー テンプレート設定作業を実施する方法について説明します。ゾーンのポリシー テンプレートの設定を変更すると、ラーニング プロセスのポリシー生成フェーズが影響を受けます。WBM を使用すると、ゾーンのポリシー テンプレートをイネーブルまたはディセーブルにしたり、変更することによって、Detector がポリシー生成フェーズで作成するポリシーを制御することができます。

この章は、次の項で構成されています。

ポリシー テンプレートのタイプ

ポリシー テンプレートの設定の変更

ポリシー テンプレートのタイプ

ポリシー構築フェーズでは、Detector はトラフィック フローのサービスに応じて数種類のポリシー テンプレートを使用できるようになっています。ポリシー テンプレートの名前は、Detector がそのテンプレートから作成するすべてのポリシーに共通の特性に由来しています。この特性は、プロトコル(DNS など)やアプリケーション(http など)、目的(ip_scan など)です。たとえば、ポリシー テンプレート tcp_connections は、同時接続数など、接続に関連するポリシーを作成します。

表 6-1 に、Detector のポリシー テンプレートの各タイプについて説明を示します。

 

表 6-1 ポリシー テンプレート

ポリシー テンプレート
作成される一連のポリシーの関連先

dns_tcp

DNS-TCP プロトコル トラフィック。

dns_udp

DNS-UDP プロトコル トラフィック。

fragments

断片化されたトラフィック。

http

ポート 80(デフォルト)またはその他のユーザ設定ポートを通過する HTTP トラフィック。

ip_scan

other_protocols

TCP および UDP 以外のプロトコル。

port_scan

tcp_connections

TCP 接続の特性。

tcp_not_auth

Detector のスプーフィング防止機能で認証されなかった TCP 接続。

tcp_outgoing

ゾーンによって開始された TCP 接続。

tcp_ratio

SYN パケットと FIN/RST パケットの比率など、各種の TCP パケットの比率。

tcp_services

HTTP 関連ポート(ポート 80 や 8080 など)以外のポートの TCP サービス。

udp_services

UDP サービス。

DETECTOR_WORM ゾーン テンプレートを使用してゾーンを定義する場合、Detector は追加のポリシー テンプレートを組み込むことができます。

表 6-2 に、DETECTOR_WORM 用の Detector のポリシー テンプレートについて説明を示します。

 

表 6-2 DETECTOR_WORM 用のポリシー テンプレート

ポリシー
テンプレート
構築される一連のポリシーの関連先

worm_tcp

TCP ワーム。これらのポリシーはワーム攻撃を管理します。ワーム攻撃では、1 つまたは複数の送信元 IP アドレスが、同一ポート上にゾーンの数多くの宛先 IP アドレスとの不完全な接続を多数作成します。このポリシー テンプレートは、主に IP アドレス定義がサブネットであるゾーンのために設計されています。

DETECTOR_WORM ゾーン テンプレートから作成されたゾーンのみです。

Detector は、worm_tcp ポリシー テンプレートから作成されたポリシーに対して、ポリシー構築フェーズではなくしきい値調整フェーズでサービスを追加します。ポリシー テンプレートのパラメータ max_services と min_threshold は、worm_tcp ポリシー テンプレートには適用されません。

GUARD_ ゾーン テンプレートからゾーンを作成する場合は、Cisco Guard との同期が可能な追加のポリシー テンプレートのパラメータを設定することができます。Cisco Guard は、次の追加のポリシー テンプレートをサポートします。

tcp_services_ns:TCP サービス。デフォルトでは、tcp_services_ns テンプレートによって作成されたポリシーは IRC ポート(666X)、SSH、および Telnet に関連します。このポリシー テンプレートは、トラフィック フローに強化保護レベルを適用するアクションを持つポリシーを作成しません。

tcp_connections_ns、tcp_outgoing_ns、および http_ns:Cisco Guard には、TCP プロキシのスプーフィング防止メカニズムを使用しないゾーンを保護するための追加のポリシー テンプレートが用意されています。ゾーンが IP アドレスに応じて管理される場合(Internet Relay Chat(IRC; インターネット リレー チャット)サーバタイプ ゾーンなど)、またはゾーンでどのようなタイプのサービスが実行されているか分からない場合は、このようなポリシー テンプレートを使用できます。

GUARD_TCP_NO_PROXY ゾーン テンプレートを使用してゾーンを定義すると、Cisco Guard は、http、tcp_connections、tcp_outgoing の各ポリシー テンプレートを、http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートにそれぞれ置き換えます。http_ns、tcp_connections_ns、tcp_outgoing_ns の各ポリシー テンプレートでは、Cisco Guard で強化保護レベルの使用を必要とするアクションを実行するポリシーは作成されません。

ポリシー テンプレートの設定の変更

ポリシー構築フェーズを管理するには、ポリシー テンプレートの特定のパラメータを次の方法で変更して、ポリシー生成フェーズを管理します。

ポリシー テンプレートをイネーブルまたはディセーブルにします。イネーブルのポリシー テンプレートのみが、Detector が検出するサービスに基づいて、ポリシー生成フェーズでポリシーを作成します。一部のポリシー テンプレートは、特定のポリシーが追加されていないすべてのトラフィック フローを処理するために、追加のポリシーを作成します。このようなポリシーは、 any というサービスで追加されます。

ラーニング プロセスのどの時点で(サービスのトラフィック量に基づいて)ポリシー テンプレートがポリシーを作成するかを制御します。

ラーニング プロセスの実行中に、Detector がポリシー テンプレートを使用して作成できるポリシーの最大数を定義します。

ポリシー テンプレートの設定を変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。

ステップ 2 ゾーンのメイン メニューの Configuration > Policy templates を選択します。Policy Templates 画面が表示されます。

ステップ 3 ポリシー テンプレートを選択します。Config Policy template 画面が表示されます。

ステップ 4 ポリシー テンプレートの目的のパラメータを変更します。 表 6-3 に、Policy
Template Form に表示されるポリシー テンプレートのパラメータの説明を示します。選択したポリシー テンプレートのタイプに応じて、このテーブルに表示されている一部または全部のパラメータが編集対象として表示されます。

 

表 6-3 ポリシー テンプレートのパラメータ

パラメータ
説明

State

Min Threshold

サービスのトラフィック量の下限しきい値。最小しきい値のレートを定義する整数をパケット/秒(pps)単位で入力します。同時接続および syn/fin 比率を測定する場合、しきい値は接続の合計数です。サービスのトラフィック フローがしきい値を超過すると、Guard は、しきい値を超過した特定のトラフィック フローに基づいてサービスのためのポリシーを作成します。正しいゾーン検出に不可欠であるためにポリシーを常に構築するポリシー テンプレート(tcp_services、udp_services、other_protocols、http、および
fragments)に、このパラメータを設定することはできません。

Max Services

ポリシー テンプレートが検出して、ポリシーの作成対象にするサービス(プロトコル番号またはポート番号)の最大数。サービスの最大数を定義する整数を入力します。

Detector は、ポリシー テンプレートが適用するサービスをトラフィック量のレベルによってランク付けします。
Detector は、定義済みの最小しきい値(Min Threshold パラメータで定義)を超えたサービスの中で最大のトラフィック量を持ついくつかのサービスを選択して、各サービスのポリシーを作成します。Guard は、そのポリシー テンプレートの特性を備えた他のすべてのトラフィック フローを処理する追加のポリシーを、 any というサービス パラメータ設定で追加することがあります。設定するサービスの最大数が大きいほど、ゾーンで必要とされる Detector のメモリが多くなります。

このパラメータを定義できる対象は、tcp_services ポリシー テンプレートなど、サービスを検出するポリシー テンプレートです。次のポリシー テンプレートに対しては、このパラメータを設定できません。

サービス 53 に関連する dns_tcp ポリシー テンプレートなど、特定のサービスに関連するポリシー テンプレート。

fragments ポリシー テンプレートなど、特定のトラフィック特性に関連するポリシー テンプレート。

ステップ 5 次のいずれかのオプションを選択します。

OK :新しいポリシー テンプレートの設定を保存します。Policy Template 画面が表示されます。

Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。

Cancel:情報を保存せずに Config policy template 画面を終了します。 Policy Template 画面が表示されます。


 

特定のポリシー テンプレートから作成されたすべてのポリシーを対象としてサービスを追加または削除するには、 第 8 章「ゾーンのポリシーの管理」 「サービスの追加または削除」の項を参照してください。