注意： 本製品は既に生産⁄販売を終了しております。

Web サイトのセキュリティおよび DoS（Denial-of-Service）保護

• Cisco CSS 11000 シリーズ Content Services Switch の製品情報ページ

パブリック Web サイトを成功させるには、望ましくないまたは不審なトラフィックを排除し、サイトのパフォーマンスやスケーラビリティを制限せずに必要なレベルのセキュリティを十分に提供しつつ、そのサイトへのアクセスを促進することです。

DoS（Denial-of-Service）攻撃によるサービスの混乱は、ポータル・サイトや e コマース・サイトなどの Web 主導型企業にとって「災いの種」です。『1999 Computer Crime and Security Survey』によると、部外者によるシステム侵入は 3 年連続で増加し、回答者の 30 パーセントが（不正）侵入を報告しています。インターネット接続が頻繁に攻撃されると報告した回答者も 3 年連続して増加し、1996 年には 37 パーセントであった回答が 1999 年には 57 パーセントに上がりました。

DoS 攻撃の防止は、ほとんどの Web サイトにとって重要な課題です。これらの攻撃の意図は、特に、通常のネットワーク・トラフィックに見せかける方法を使用して Web サイトを停止させ、手遅れにすることにあります。Web サイトの管理者は、IP ルータに基本的なアクセス制御を提供するパケット・フィルタリングを使用してきましたが、これは、多くの場合、ルータのパフォーマンスを受け入れがたいほど遅くするだけでなく、多数の一般的な DoS 攻撃を排除できません。

DoS 攻撃を防ぐためには、セキュリティ専用装置である Cisco PIX 等のファイアウォール装置や、Cisco IDS 等の進入検地装置を組み合わせて使うのが一般的ですが、Cisco CSS 11000 シリーズのコンテント・サービス・スイッチは、単独で基本的な DoS 攻撃に対するプロテクション機能を持ちます。 以下のようなセキュリティ機能が含まれます。図 1 を参照してください。

• DoS 攻撃の防止 - Cisco CSS Web スイッチは、フローの初期セットアップ時にセッション・フローを検証し、Cisco CSS Web 接続ベースの DoS 攻撃や、他の不審な接続または異常な接続の試行を排除します。
• FlowWall セキュリティ - Cisco CSS Web スイッチでは、IP アドレス、TCP ポート、ホスト・タグ、完全 URL、またはファイル・タイプによる特定のコンテント要求を阻止するアクセス・コントロール・リスト（ACL）を含むファイアウォール・サービスを提供します。
• ネットワーク・アドレス変換（NAT） - Cisco CSS Web スイッチにおける NAT 機能により、事実上、Web サーバおよびキャッシュなどの Web スイッチの背後にあるすべてのデバイスの IP アドレスが隠されるので、ハッカによる明示的な IP アドレスを使用したサーバへの直接攻撃を排除できます。

• ファイアウォール・ロード・バランシング - インターネットからのパスまたは必要不可欠なバックエンド・システムおよびネットワークを保護するために、冗長化されたファイアウォール・セキュリティが必要な場合、Cisco CSS 11000 シリーズ・スイッチでは、ロード・バランスされた複数のファイアウォールにトラフィックを分散することで、ボトルネックを回避したり、障害の単一ポイントを排除したりできます。

図 1：Web サイトのセキュリティ DoS 攻撃

注意：上記の図は概念図です。CSS 11000 シリーズは Content Switch の専用装置ですので、この装置をインターネット側の GateWay として使用することは推奨いたしておりません。

• DoS 攻撃 - DoS 攻撃には、一般的に、標準プロトコルの悪用や、ターゲット Web サーバに過負荷をかけサーバを使用不能にする目的での接続プロセスが含まれます。以下に、例を示します。
• TCP SYN フラッド - この攻撃は、TCP 接続要求が、完了せずに、繰り返し送信されることで発生し、ターゲット・システムでリソースが使い果たされるまで TCP コントロール・ブロックが割り当てられます。
• 「smurf」および「fraggle」攻撃 - これらの攻撃には、対象となる被害者の発信元アドレスであるかのように偽装して、大量の ICMP（Internet Control Message Protocol）エコー（PING）メッセージの IP ブロードキャスト・アドレスへの送信が含まれます。これらのブロードキャスト・アドレスにトラフィックを転送するルーティング・デバイスは、レイヤ 2 ブロードキャスト機能で、IP ブロードキャストを実行します。その結果、ほとんどのネットワーク・ホストでは、ICMP エコー要求を受け取り、エコー応答を発行するため、応答するホストの数に応じてトラフィックが増えます。「fraggle」攻撃は、UDP（User Datagram Protocol） エコー・メッセージを使用する点を除いて「smurf」に類似しています。マルチアクセス・ブロードキャスト・ネットワークでは、潜在的に、何百というマシンが各パケットに応答する可能性があります。
• UNIX プロセス・テーブル DoS 攻撃 - この攻撃は、UNIX サーバにオープン接続要求の繰り返し送信することが含まれます。インターネット・デーモン、セキュア・シェル・デーモン、およびインターネット・メッセージ・アクセス・プロトコル・デーモンなどのサブプログラムは、すべての接続に自動的に応答し、要求を実行するように作成されています。ただし、要求なしに接続が開始されると、ほとんどのデーモンではサーバのプロセス・テーブルからリソースを使用しながらラインが開かれたままになり、600～1500 の同時タスクを処理する準備が整えられます。接続が繰り返されると、プロセス・テーブルに直ちに過負荷がかかり、サーバがクラッシュする場合があります。
• 「Finger of death」攻撃 - この攻撃には、特定のコンピュータへのフィンガ要求の継続送信が含まれます。ただし、接続が解除されることはありません。接続を終了するプログラム障害が発生すると、直ちに UNIX サーバの「プロセス・テーブル」に過負荷がかかり、ISP's（Internet service provider's）のサービスが何時間も停止する場合があります。

Cisco CSS 11000 シリーズ・スイッチは、サイトに対する一般的な DoS 攻撃を排除する機能を提供します。この機能によって、サーバへの直接的な攻撃を防御するとともに、サイトの総合的なセキュリティを向上させることが可能となります。

Cisco CSS 11000 シリーズ・スイッチでは、次の場合にフレームが廃棄されます。

• 長さが短すぎる
• フレームがフラグメント化されている
• 発信元 IP アドレス = IP 宛先（LAND 攻撃）
• 発信元アドレス = CISCO のアォレス、または、発信元がサブネット・ブロードキャストである
• 発信元アドレスがユニキャスト・アドレスではない
• 発信元 IP アドレスがループバック・アドレスである
• 送信先 IP アドレスがループバック・アドレスである
• 送信先アドレスが有効なユニキャスト・アドレスまたはマルチキャスト・アドレスではない

HTTP（Hypertext Transfer Protocol）フロー（スイッチ内のレイヤ 5 のルールを持つ VIP（Virtual IP address）が宛先）の場合、Web スイッチでは、フローの開始から 16 秒以内に有効なコンテント・フレームを受信する必要があります。これが正常に受信されない場合は、そのフレームが廃棄され、フローが切断されます。サーバには、有効なコンテント・フレームが受信されるまで伝達されません。したがって、Cisco CSS 11000 シリーズ・スイッチによって負荷分散されるサーバ上で、TCP がブロック状態に陥る危険性を大幅に減少させることが可能となります。

TCP フロー（スイッチ内のレイヤ 4 のルールを持つ VIP（Virtual IP address）が宛先）の場合、Web スイッチでは、16 秒以内に 3 方向 TCP ハンドシェイク用のリターン ACK を受信する必要があります。受信しないと、その TCP フローは切断されます。これで、プロセステーブルに対する、サーバへのオープン要求接続を繰り返し試行する DoS 攻撃が排除されます。

初期 SYN を 9 回以上試行したフローの場合、Web スイッチではそのフローが切断され、同一初期シーケンス番号、送信元および送信先アドレス、ポートのペアを持つ送信元からの SYN 処理が停止されます。これで、SYN フラッド DoS 攻撃が排除されます。

CSS 11000 シリーズでは、基本的な DoS 攻撃に対するプロテクション機能を持っています。Distributed DOS（DDOS）攻撃のような大規模な攻撃につきましては、Cisco IDS 等のセキュリティ専用装置による対応が必要となります。

NAT では、スイッチの背後にあるすべてのデバイスの IP アドレスが隠され、無制限に使用できる何千ものプライベート IP アドレス（10.xxx.xxx.xxx）を、グローバルに一意の割り当て済み IP アドレスに基づく 1 つまたは複数の外部 VIP にマップできるようになります。また、NAT は、既存の割り当て済み IP アドレス、不十分なリソースの管理においても重要で、ネットワーク拡張時に追加アドレスを取得する必要性を減らします。

NAT は、RFC 1631 に記述された業界標準実装に基づいていますが、CSS 11000 シリーズ・スイッチでは完全な双方向 NAT を任意のポートで実行することができます。スイッチにおいても、ソース・グループ NAT がサポートされており、クライアントに戻るサーバ開始フロー（ポートベースのダイナミック FTP（File Transfer Protocol））またはクライアント以外の場所に流れるサーバ開始フロー用に NAT が提供されています。結果として、サイトのパフォーマンスにマイナス影響を与えることなく、より高いレベルのセキュリティを実現できます。

新しいフローの検出時に、ACL およびフロー・アドミッション制御を含む、Web スイッチのファイアウォール・ルールが呼び出されます。これらのポリシがフローのセットアップの一部として確認されると、そのフロー期間中すべてのトラフィックが切り替えられます。CSS では、Cisco PIX Firewall に迫る機能を提供していますが、高速処理を優先した作りであるため、あらゆるパケットを検査する従来のソフトウェアベース型ファイアウォールに取って代わるものではありません。たとえば、FlowWall では、インターネットでは一般的な Java や Active-X トラフィック（ただし、セキュア・エンタープライズ・ネットワークでは受け入れられません）はスキャンされません。

また、従来の重要なファイアウォール・ルールのほか、Web スイッチは、任意の特定のドメイン名または URL のポリシ用に設定することもできます。Cisco CSS 11000 シリーズ・スイッチにより、以下の項目のいくつかまたはすべてに一致する要求に対しアクション（組み込み⁄バイパス⁄ブロック）を指定するように ACL を構成できます。

• 発信元アドレス
• 送信先アドレス
• TCP ポート
• ホスト・タグ
• URL
• ファイル拡張子

「ブロッキング」ルールは、特定のコンテントに対する要求が元のサーバまたはキャッシュに伝達されないようにします。この機能は、インターネットの特定のコンテントへのアクセスがブロックされるよう、PoP に配置されたフロント・エンド・キャッシュ・サーバまたはケーブルのヘッドエンドにあるスイッチで使用できます。

また、ACL を使用すると、透過的な拡張キャッシング・ポリシを有効にすることもできます。次に例を示します。

• 「組み込み」ルールを使用すると、特定のコンテントに対するすべての要求がキャッシュに誘導され、それ以外のすべての要求がキャッシュをバイパスすることにより、特定のカスタマのコンテント配信を最適化できます。
• 「バイパス」ルールを使用すると、特定のコンテントに対するすべての要求がキャッシュをバイパスし、それ以外のすべてがキャッシュに誘導されます。カスタマに、トラフィックをキャッシュさせるための技術上、法律上、または哲学上の理由がある場合、この機能により、特定のカスタマのコンテントのすべてまたは一部がキャッシュに転送されないようにする、詳細な制御が可能になります。

Cisco CSS 11000 シリーズ・スイッチでは、Web サイト、バックエンド・データベース、ネットワーク、または他のリソースを保護するため、パフォーマンス上のボトルネックや障害の単一ポイントを排除して、複数のファイアウォール間でトラフィックをロード・バランスします。

Cisco CSS 11000 シリーズ・スイッチは、ロード・バランスされたファイアウォールの前後に配備されます。物理的に一意なスイッチは、ファイアウォールのそれぞれの側に配備されますが、ファイアウォールのロード・バランシングには使用されないスイッチのポートは、図 2 に示すような他の用途で設定できます。

図 2：エンタープライズ・ファイアウォールのロード・バランシング例

Cisco ファイアウォール・ロード・バランシングは、それぞれ固有の IP アドレスを持つステートフルなファイアウォール間でトラフィックが分散されるように設計されています。

図 3：ロード・バランスされたファイアウォール構成

Cisco CSS 11000 シリーズ・スイッチを使用すれば、1 組の IP アドレス間で指定された Web フロー用のすべてのトラフィックが、いずれの方向でも、同じファイアウォールを通過します。図 3 に示すように、これは、隣接したファイアウォール・ポート（A）、リモート・ファイアウォール・ポート（B）、およびリモート Web スイッチ・ポート（C）の IP アドレスを持つ各スイッチ上のスタティック IP ルートを設定することで実現します。さらに、ロード・バランスされたファイアウォ－ルの各側にあるすべてのポートでは、異なる IP サブネット・アドレスが使用されます。この構成では、ファイアウォールで NAT を実行するように構成できません。すべての NAT 処理は、ファイアウォールのプライベート・ネットワーク側にある Web スイッチ上で実行されます。

Cisco CSS 11000 シリーズの各スイッチでは、ヘルス・チェックを実行することで、ファイアウォールを通るパスを確保します。ヘルス・チェックは、パスの各ステージが応答し、隣接するファイアウォール・ポート、リモート・ファイアウォール・ポート、およびリモート Web スイッチ・ポートが組み込まれていることを確認します。パスに利用できない部分がある場合、残りのパスを通じてすべてのトラフィックが別の経路に切り替えられます。Cisco CSS 11000 シリーズ・スイッチは、システム管理者に障害を通知するため、アラームを送信またはイベントをログ記録するように設定できます。ファイアウォールが、セッション状態情報を共有して相互に物理的な接続を持つように構成されている場合、ユーザ・セッションは、任意のパスまたはファイアウォールに障害が発生しても中断されません。

冗長性を追加するために、複数の Cisco CSS 11000 シリーズ・スイッチを、ロード・バランスされたファイアウォールの両側にアクティブまたは受動コンフィギュレーションで配備できます。これで、図 4 に示すように、ファイアウォールと Web スイッチの両方における障害の単一ポイントが排除されます。この構成では、受動 Web スイッチにより、アクティブな Cisco CSS 11000 シリーズ・スイッチの状態が監視され、スイッチまたはアップリンクの障害の検出時に、VRRP（Virtual Router Redundancy Protocol）が受動スイッチ・ペアに制御を移すために使用されます。

図 4：完全冗長型ファイアウォールのロード・バランシング例

Cisco CSS 11000 シリーズ・スイッチは、ミッションクリティカルなサーバファームの可用性を向上させるとともに、一般的な DoS 保護機能によって、サーバへの直接的攻撃からサーバファームを保護します。又、これらの攻撃が加えられた場合、それを SNMP トラップで管理者へ伝達する機能を備えています。又、個々の Web サイトごとにカスタム・セキュリティ・ポリシを構成できる柔軟性と、DoS 攻撃を排除する固有の能力を組み合わせ、お客様や正規ユーザに対しサイトの持続的なアベイラビリティを提供します。