データ シート

---

Cisco Traffic Anomaly Detector モジュール

---

Cisco® Traffic Anomaly Detector モジュールは、Cisco Catalyst® 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータに搭載するサービス モジュールです。このモジュールでは、軽減対策サービスをすばやく実行して攻撃を阻止し、ビジネスへの悪影響を未然に防ぐことにより、大規模企業を Distributed Denial of Service（DDoS; 分散型サービス拒否）攻撃から保護します。

特許取得済みのシスコ独自の多層検証処理アーキテクチャに基づく、Cisco Traffic Anomaly Detector モジュール（図 1）は、最新の動作分析と攻撃検出テクノロジーを利用して、あらゆる種類のオンライン攻撃をプロアクティブに検知して識別します。Cisco Traffic Anomaly Detector モジュールは、Web サーバや e- コマース アプリケーション サーバなどの保護対象デバイス宛のトラフィックを常時監視し、各デバイスが正常に動作しているときの詳細なプロファイルを作成します。プロファイルから逸脱したフローが検出されると、攻撃の可能性があると判断され、ユーザ設定に基づいた措置がとられます。これらの措置では、オペレータに警告を送信して手動での対応を促したり、既存の管理システムを起動したり、Cisco Anomaly Guard モジュールを起動して直ちに軽減対策サービスを開始したりします。

Cisco Traffic Anomaly Detector モジュールと Cisco Anomaly Guard モジュールを併用することにより、業界最高峰の総合性を兼ね備えた DDoS 防御システムを実現できます。Cisco Traffic Anomaly Detector モジュールと Cisco Anomaly Guard モジュールは多層検証処理アーキテクチャを使用して、正規のトランザクションに影響を与えることなく、悪意のある攻撃フローの検出、迂回、隔離、および削除を行い、ネットワークと業務上重要なトラフィックを確実に保護します。

概要

DDoS 攻撃は、現代のオンライン ビジネスが直面する攻撃の中で最も大きく急増しています。この種の攻撃は、当初は注目を集めるための単純な破壊行為でしたが、現在では企業の業務を混乱させることを狙った明確な目的を持つ行為へと変貌し、悪質さも増して、多くの企業が甚大な被害を受けています。

また、攻撃手法の高度化も進んでいます。攻撃者は有効な要求を模倣し、送信元の ID になりすまし、「ゾンビ」ホストを踏み台にしてインターネット データセンターや既存の防御システムに攻撃を仕掛け、不正なトラフィック フローを実質的に識別および阻止できないようにしています。

Cisco Traffic Anomaly Detector モジュールと Cisco Anomaly Guard モジュールを併用することで、企業、ホスティング センター、公共機関、およびサービス プロバイダーは、DDoS 攻撃を防御する優れた検出/軽減対策ソリューションを実現できます。Cisco Traffic Anomaly Detector モジュールが既知の「正常」動作から逸脱した動作を見つけ、攻撃の可能性を検出すると、Cisco Anomaly Guard モジュールに警告を送り、対象デバイス宛のトラフィック（該当するトラフィックのみ）を迂回処理し、検査します。その他のすべてのトラフィックは正常にフローを続けるので、単一の Cisco Anomaly Guard モジュールだけで多くのデバイスやゾーンを保護できます。

迂回処理されたトラフィックは Cisco Anomaly Guard に再ルーティングされ、詳細な検査を受けて「不正な」フローと正規のトランザクションに分類されます。識別された攻撃パケットは削除されますが、正規のトラフィックは元の宛先に転送されます。この処理により、正規のユーザおよびトランザクションは正常に処理され、アベイラビリティを最大限に活かすことができます。

Cisco Traffic Anomaly Detector モジュールの利点

認識と学習

Cisco Traffic Anomaly Detector モジュールは、Cisco Catalyst 6500 シリーズまたは Cisco 7600 シリーズのシャーシを通過する保護対象宛の特定のトラフィックのコピーを監視して、スイッチやルータの貴重なリソースを使うことなく、保護対象デバイスの「正常な」動作に関する詳細なプロファイルを作成します。

Cisco Traffic Anomaly Detector モジュールは、動作ベースの高度な異常検出テクノロジーを使用して、作成されたプロファイルから逸脱した動作をグローバルおよび個別のセッション レベルの両方で検出し、あらゆるタイプの既知の攻撃および Day Zero 攻撃を極めて正確に識別します。すべてのパケットをコネクションごとに分析することにより、サーバ リソース消費の少ない巧妙な攻撃から無数のゾンビ ホストを使用する大規模な攻撃に至るまで、検出しにくく巧妙な攻撃を迅速かつ完全に識別することができます。

Cisco Traffic Anomaly Detector モジュールの動作認識方式では、シグニチャを継続的に更新する必要がなく、スタティックなシグニチャベース方式を使用した場合に発生しがちな警告やフォールト ポジティブの量が軽減されます。さらに、Cisco Traffic Anomaly Detector モジュールにはデフォルト プロファイルが事前設定されているため、即座に使用できます。また、自動学習機能を使用すると、チューニングに関する推奨事項が作成されます。この推奨事項はあとでオペレータがレビューすることができます。

マルチギガビット パフォーマンス

高性能な Cisco Traffic Anomaly Detector モジュールは攻撃フローをフル ギガビット ライン レートで監視し、1 つの攻撃に対してモジュールあたり 10 万以上の送信元を識別する機能を備えているため、大規模なトラフィック量を持つ環境を分散攻撃から確実に保護できます。

また、トラフィックの完全なミラー コピーを多段階方式で解析するため、見つけにくい低速攻撃でもすばやく識別できます。可能な限り優れた保護を実現するには、Cisco Traffic Anomaly Detector モジュールをデータセンター内の保護対象リソースの近くにあるダウンストリームの Cisco Catalyst シャーシ内で展開します。より広範囲な保護を実現するには、アップストリームのシャーシ内で展開します。

レポート機能および管理

Cisco Traffic Anomaly Detector モジュールは、Web ベースの GUI（グラフィカル ユーザ インターフェイス）で、情報を簡素でわかりやすく表示するので、設定、運用、および攻撃の識別と分析を容易に行うことができます。

マルチレベルのリアルタイム レポート機能および履歴レポート機能は、攻撃の検出、ポリシー設定、および軽減対策サービスを実行するための詳細な情報をネットワーク オペレータ、セキュリティ管理者、およびクライアントに提供します（図 2）。レポートの統計情報は、テキスト形式または XML スキーマ形式のファイルとしてエクスポートし、最終的なカスタマイズを行ったり、あとでレビューしたりすることができます。

Cisco Traffic Anomaly Detector モジュールでは、ネットワーク オペレータや Cisco Anomaly Guard モジュールに対し、警告をプロアクティブに送信して、攻撃をすばやく阻止する自動軽減対策サービスなどの措置をとるよう設定することもできます。また、SNMP（簡易ネットワーク管理プロトコル）MIB を使用すると、デバイスレベル、保護対象ゾーンレベル、および攻撃レベルのすべての統計情報を標準ベースのシステムで利用できます。

Cisco Traffic Anomaly Detector モジュールのパフォーマンス メトリック

表 1 に、Cisco Traffic Anomaly Detector モジュールのパフォーマンスとキャパシティの詳細を示します。

表 1 Cisco Traffic Anomaly Detector モジュールのパフォーマンスとキャパシティ

機能	説明
パフォーマンス	オプション 1：1 Gbps モジュールあたり 1 Gbps のスループット 150 万の同時接続 500 の保護ゾーン（異なるポリシーと基準 [コンテキスト]） 90 のゾーンを同時に保護 1 ミリ秒未満の遅延とジッタ オプション 2：2 Gbps モジュールあたり 2 Gbps のスループット 300 万の同時接続 500 の保護ゾーン（異なるポリシーと基準 [コンテキスト]） 150 のゾーンを同時に保護 1 ミリ秒未満の遅延とジッタ

Cisco Traffic Anomaly Detector モジュールの全体的な機能の概要

表 2 に、Cisco Traffic Anomaly Detector モジュールの機能を示します。

表 2 Cisco Traffic Anomaly Detector モジュールの機能

機能	説明
攻撃の認識	なりすまし攻撃および非なりすまし攻撃 TCP（SYN、SYN-ACK、ACK、FIN、フラグメント）攻撃 UDP 攻撃（ランダム ポート フラッド、フラグメント） Internet Control Message Protocol（ICMP）攻撃（到達不能、エコー、フラグメント） Domain Name System（DNS; ドメイン ネーム システム）攻撃 クライアント攻撃 非アクティブおよび Total Connections 攻撃 HTTP Get フラッド攻撃 Border Gateway Protocol（BGP）攻撃 Session Initiation Protocol（SIP）Voice over IP（VoIP）攻撃
継続的なラーニングと検出	ラーニングおよび検出モードで継続的に稼働可能（リリース 5.0 以上） しきい値の調整と攻撃の検出を同時に実行 ラーニングと検出モード間の切り替えは自動 攻撃の収束後ラーニング モードに戻る
Anomaly Guard モジュールに対応した学習機能	保護デバイスで定義されたゾーンに対応したトラフィック プロファイルを学習 学習した情報を保護デバイスへ自動でアップロード
トラフィックの分析	保護デバイスを通過するパケットをキャプチャし pcap ファイルとして保存 GUI によりキャプチャしたパケットを詳しく分析 キャプチャの対象を特定の決定値（転送、廃棄、応答）を持つパケットに限定可能 tcpdump 式を使用してキャプチャをフィルタ可能
通信プロトコル	SSH（Secure Shell）、SSL（Secure Sockets Layer）、FTP（File Transfer Protocol; ファイル転送プロトコル）、SFTP（Secure FTP）
管理	CLI（コマンドライン インターフェイス）コンソール CLI への SSH アクセス Cisco Device Manager への SSL アクセス SNMP MIB、MIB II、およびトラップ
Authentication, Authorization, Accounting（AAA; 認証、許可、アカウンティング）のサポート	TACACS+ による AAA との統合 特権レベルおよびコマンドレベルの許可とアカウンティング
セキュリティ	管理インターフェイス上の IP テーブルと DDoS への自己防衛
ロギング	包括的な Syslog 機能およびイベント

構成および展開オプション

Cisco Traffic Anomaly Detector モジュールには、統合モードと専用モードの 2 つの異なる展開オプションが用意されています。

統合モードの場合、1 つまたは複数の Cisco Traffic Anomaly Detector モジュールが、既存の Cisco Catalyst 6500 シリーズまたは Cisco 7600 シリーズ シャーシ（データセンター内に展開され、通常のレイヤ 3 データ パス上に存在）に搭載されます。この構成では、Switched Port Analyzer（SPAN; スイッチド ポート アナライザ）セッション、物理ポートまたは VLAN、あるいは VLAN Access Control List（VACL）キャプチャを使用して、監視対象であるリソース宛のトラフィックのコピーを Cisco Traffic Anomaly Detector モジュールに送信する必要があります。

専用モードの場合、保護対象デバイスまたはゾーンの近くにあるダウンストリーム スイッチまたはルータに隣接する専用の Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに Cisco Traffic Anomaly Detector モジュールを搭載します。これにより、スケーラブルなソリューションを大規模企業または成長企業の環境に提供します。この構成では、リモート SPAN または光ファイバ リンク スプリッタ経由で専用のスイッチまたはルータにトラフィックのコピーを送信する必要があります。

Cisco Traffic Anomaly Detector モジュールは統合モードまたは専用モードのいずれかで設置できますが、監視対象トラフィックのコピーを受信するため、1 段階または 2 段階のパケットキャプチャ処理を要求します。統合モードまたは専用モードのいずれの場合でも、攻撃が検出されると、Cisco Traffic Anomaly Detector モジュールは、3 つの方法のうちの 1 つを用いて防御策を講じます。これらの方法では、警告を送信して手動での措置を促したり、既存の管理システムを起動して対処したり、Cisco Anomaly Guard モジュールを起動して直ちに軽減対策サービスを開始したりします。

使用例

シスコの DDoS 異常検出および軽減対策ソリューションは、企業およびサービス プロバイダーのさまざまなトポロジで利用できます（図 3 ～ 5）。

セキュリティ サービスの統合化による利点

セキュリティ サービスの統合

Cisco Traffic Anomaly Detector モジュールは、FWSM（Firewall Services Module）、IDSM（Intrusion Detection Services Module）-2、CSM（Content Switching Module）、NAM（Network Analysis Module）-1 および NAM-2 などの他のシスコ セキュリティ サービス モジュールと組み合わせることができます。これらのサービス モジュールを一緒に使用すると、完全な自己防衛型ネットワーク ソリューションを実現できます。

柔軟性のある展開

Cisco Traffic Anomaly Detector モジュールを、Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータ内に搭載すると、DDoS 検出機能のすべてがネットワーク インフラストラクチャと統合されます。モジュールは既存のスイッチやルータに容易に搭載できるため、インターフェイス ポートを使用することなく、必要なときに必要な場所で強力な DDoS 保護サービスを使用できます。また、DC 電源、Network Equipment Building Standards（NEBS）などの可用性に優れたオプションを使用して、高密度専用アプライアンスやマルチサービス セキュリティ スイッチを、さまざまなサイズのシャーシで展開することもできます。ライン カードは相互運用可能なので、媒体を柔軟に使用できます。パケット キャプチャは完全にシャーシ内で実行するか、またはリモート SPAN やファイバ リンク スプリッタによって複数のデバイスで実行できます。

スケーラビリティ

大容量の保護が必要な場合は、1 台のスイッチに最大 4 つのモジュールを搭載して、大規模で急速に拡大する環境に対応します。また、Cisco Traffic Anomaly Detector モジュールのマルチプロセッサ アーキテクチャとマルチギガビットのバックプレーン インターフェイスは、ライセンス付きソフトウェアの将来的なアップグレードを、モジュールあたり数ギガビットのパフォーマンスまでサポートしています。

信頼性とハイ アベイラビリティ

Cisco Traffic Anomaly Detector モジュールは、優れた性能、信頼性、および強固なアーキテクチャを備えています。Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータで使用する Cisco Traffic Anomaly Detector モジュールは、冗長スーパーバイザ エンジン、バックプレーン、電源装置、およびファンなどの信頼性の高い冗長構成をサポートしています。また、Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータでは、DDoS に対抗するためのコントロール プレーン ポリシングと可用性の高い各種オプションが提供されています。

所有コストの削減

これらのモジュールは、他のサービス モジュールとともに Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに搭載されるため、管理対象デバイスの数と運用コストが削減されます。また、モジュールのアプリケーション ソフトウェアとアプライアンスのアプリケーション ソフトウェアは類似しているため、研修費を最小限に抑えることができます。モジュールを利用することで、ユーザは既存のスイッチングやルーティング インフラストラクチャを使用できるため、費用対効果の高い環境を実現できます。同時に、業界で最高のパフォーマンスを発揮するとともに、安全な IP サービスとマルチレイヤ LAN/WAN スイッチング/ルーティング機能を提供することができます。

まとめ

Cisco Traffic Anomaly Detector モジュールと Cisco Anomaly Guard モジュールを併用すると、最も悪質な DDoS 攻撃に直面しても、業務の継続性を損なわせない完全なセキュリティ ソリューションを実現できます。これにより、企業は大きな競争力を獲得して、最も価値の高いビジネス資産を最大限に活かし、比類のない防御力を身につけることができます。

システム要件

• Cisco Traffic Anomaly Detector モジュール ソフトウェア リリース 5.03 以降
• Multilayer Switch Feature Card 2（MSFC2; マルチレイヤ スイッチ フィーチャ カード 2）が搭載された Cisco Catalyst 6500 シリーズ Supervisor Engine 2 または Cisco Catalyst 6500 シリーズ Supervisor Engine 720（Cisco Catalyst 6500 シリーズ Supervisor Engine 1 はサポート対象外）
• Supervisor Engine 2 の Switch Fabric Module（SFM）（1 Gbps を超えるトラフィックを処理する場合）
• ネイティブの Cisco IOS® ソフトウェア リリース 12.2(18)SXD3 以降。Cisco 7600 シリーズ ルータを使用する場合、正式なサポートの対象となるのは Cisco IOS ソフトウェア リリース 12.2(18)SXE 以降
• Cisco Catalyst 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータのスロットを 1 つ使用
• シャーシあたり最大 4 つの Cisco Traffic Anomaly Detector モジュールが使用可能（同じ宛先を負荷分散モードで保護する場合、またはさまざまな宛先を保護する場合）。同じシャーシ内で Cisco Anomaly Guard モジュールと Cisco Traffic Anomaly Detector モジュールを使用する場合、合計 8 つのモジュールの併用が可能。標準以外の構成でインストールする場合は、リリース ノートを参照するか、またはシスコのテクニカル サポート担当者に相談してください。
• 冗長スーパーバイザ エンジンは Stateful Switchover（SSO）モードの Nonstop Forwarding（NSF）で使用することが必要（Route Processor Redundancy [RPR] または RPR+ の場合は不要）

製品仕様

表 3 に、Cisco Traffic Anomaly Detector モジュールの製品仕様を示します。

表 3 製品仕様

仕様	説明
メモリ	7 GB DDRAM、1 GB コンパクト フラッシュ
重量	最小：1.36 kg（3 ポンド） 最大：2.27 kg（5 ポンド）
高さ	40 mm（1.6 インチ）
幅	379 cm（15.3 インチ）
奥行	403 cm（16.3 インチ）
動作温度	0 ～ 40°C（32 ～ 104°F）
保管温度	-40 ～ 75°C（-40 ～ 167°F）
湿度	10 ～ 90%（結露しないこと）
管理機能	安全な Web ベースの GUI CLI（コンソール、Telnet、SSH） Cisco（Riverhead）SNMP MIB および MIB II TACACS+ Syslog
認定	UL 認定 CE FCC パート 15 との適合性

発注情報

表 4 に、Cisco Traffic Anomaly Detector モジュールの発注情報を示します。

表 4 発注情報

製品名	製品番号
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール	WS-SVC-ADM-1-K9
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール（スペア）	WS-SVC-ADM-1-K9=
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール ソフトウェア リリース 5.1	SC-ADM-5.1-K9
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール ソフトウェア リリース 6.0 1G	SC-ADM-6.0-1G-k9
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール ソフトウェア リリース 6.0 2G	SC-ADM-6.0-2G-k9
Cisco Catalyst 6500 シリーズ/Cisco 7600 シリーズ Traffic Anomaly Detector モジュール ソフトウェア リリース 6.0 2G ライセンス	LIC-ADM-2G-k9

シスコ製品の購入方法の詳細は、「購入案内」を参照してください。

テクニカル サポート サービス

企業規模、業態、またはサービス プロバイダーであるか否かを問わず、シスコはお客様のネットワークへの投資を最大限に活かせるようサポートします。シスコでは、シスコ製品の効率的な運用、ハイ アベイラビリティの維持、および最新のシステム ソフトウェアの活用を支援するための豊富なテクニカル サポート サービスを用意しています。

シスコのテクニカル サポート サービス部門は、以下に挙げるサービスを提供しています。これらのサービスを利用すると、ネットワークへの投資を保護し、ミッションクリティカルなアプリケーションが稼働しているシステムの停止時間を最小限に抑えることができます。

• シスコのネットワーキング技術をオンラインおよび電話で提供します。
• 不具合が発生した場合の対応だけでなく、ネットワークの運用に不可欠なソフトウェアのアップデートとアップグレードによるプロアクティブなサポート体制を用意しています。
• 必要に応じてシスコの専門知識とリソースをご利用いただけます。
• お客様の技術スタッフのリソースを補強して、生産性を向上させます。
• 遠隔地のテクニカル サポートでは、オンサイトのハードウェア交換を実施します。

シスコのテクニカル サポート サービスには、次の内容が含まれます。

• Cisco SMARTnet® サポート
• Cisco SMARTnet オンサイト サポート
• Cisco Software Application Services（Software Application Support [SAS] および Software Application Support plus Upgrades [SASU] など）

サポート サービスについての詳細は、以下の URL を参照してください。
http://www.cisco.com/jp/services/

関連情報

Cisco Traffic Anomaly Detector モジュールの詳細については、http://www.cisco.com/jp/product/hs/ifmodule/csm/tadm/ をご覧ください。