Cisco Anomaly Guard Module コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG
- Updated:
- 2017年6月8日
章のタイトル: インタラクティブ 保護 モードの使用 方法
インタラクティブ保護モードの使用方法
Cisco Anomaly Guard Module(Guard モジュール)をアクティブにして、次のいずれかの動作モードでゾーン保護を実行できます。
•
自動保護モード:攻撃中に作成した動的フィルタを自動的にアクティブにします。
• インタラクティブ保護モード:攻撃中に動的フィルタを作成します。ただし、動的フィルタをアクティブにはしません。代わりに Guard モジュールは、動的フィルタを推奨処置としてグループ化します。ユーザは、これらの推奨事項を確認して、推奨事項を受け入れるか、無視するか、または自動アクティベーションの対象にするかを決定できます。
この章では、インタラクティブ保護モード、および 2 つの動作モードの切り替え方法について説明します。
• インタラクティブ保護モードのイネーブル化とゾーン保護のアクティブ化
• 推奨事項の管理
インタラクティブ保護モードについて
ゾーンに対して DDoS 攻撃(分散型サービス拒絶攻撃)が開始されると、ゾーン ポリシーによって攻撃を軽減するための動的フィルタが作成されます。ゾーンがインタラクティブ保護モードで動作するように設定した場合、Guard モジュールは動的フィルタを自動的にアクティブにせず、どのようなアクションを取るかをユーザが決定するのを待ちます。ユーザの決定を待つフィルタは、 保留動的フィルタ と呼ばれます。保留動的フィルタは生成元のポリシーに応じてグループ化され、そのグループは Guard モジュールの 推奨事項 として表示されます。この推奨事項には、次の情報が提供されます。
• 保留動的フィルタの作成の元になるポリシーの名前についての情報など、保留フィルタの要約
• ポリシーのアクティベーションの原因となったトラフィック異常に関するデータ
ゾーン設定でインタラクティブ保護モードをイネーブルにすると、攻撃の進行中に Guard モジュールで実行される軽減アクションを制御できます。ユーザは、どの保留動的フィルタを受け入れるか、無視するか、または自動アクティベーションの対象にするかを決定します。ゾーンをインタラクティブ保護モードで動作するように設定できるのは、ゾーンの定義時、ゾーン保護をアクティブにする前、またはゾーン保護をアクティブにした後です。
Guard モジュールは、ゾーンをインタラクティブ保護モードで保護していて、ゾーンが攻撃を受けている限り、保留動的フィルタの生成を続けます。ゾーンの保護中は、いつでもインタラクティブ保護モードをイネーブルにできます。
Guard モジュールでは最大 1,000 までの保留動的フィルタを管理できます。保留動的フィルタの数がこの上限に到達すると、次のアクションが実行されます。
• ゾーンを非アクティブにして自動保護モードで再度アクティブにするよう指示するエラー メッセージを表示する。
• ゾーンのログ ファイルおよびレポートに推奨事項を記録してから、推奨事項を廃棄する。
ゾーンの保護中は、ゾーンが攻撃を受けている場合でも、いつでもインタラクティブ保護モードから自動保護モードに切り替えることができます。攻撃中に自動保護モードに切り替えると、次のアクションが実行されます。
• ユーザが推奨事項を受け入れた結果として追加された動的フィルタが保持される。
インタラクティブ保護モードのイネーブル化とゾーン保護のアクティブ化
この項では、次のタスクを実行するために必要な手順の概要を説明します。
• ゾーンがインタラクティブ保護モードで動作するように設定する。
• ラーニング プロセスをイネーブルにして、Guard モジュールがゾーン トラフィックをラーニングできるようにする。
各手順には、タスクを完了するために必要な CLI コマンドが含まれています。
ゾーンがインタラクティブ保護モードで動作するように設定して、ゾーン保護をアクティブにするには、次の手順を実行します。
ステップ 1 次のうち適切なコマンドを使用して、新しいゾーンまたは既存のゾーンがインタラクティブ保護モードで動作するように設定します。
• 新しいゾーン:ゾーン設定モードで zone new-zone-name interactive コマンドを入力します。
「インタラクティブ保護モード用に設定された新しいゾーンの作成」を参照してください。
• 既存のゾーン:ゾーン設定モードで interactive コマンドを入力します。
「インタラクティブ保護モード用の既存のゾーンの設定」を参照してください。
ステップ 2 (オプション)グローバル モードで event monitor コマンドを使用すると、新しい推奨事項が使用可能になったときに Guard モジュールが通知を表示するように設定できます。
外部の syslog サーバを使用して、新しい保留動的フィルタの通知を受信することや、ステップ 5 のようにゾーン設定モードで show コマンドを使用して、ゾーンのステータスを手動で表示することもできます。Guard モジュールの推奨事項を表示する方法の詳細については、「Guard モジュールの推奨事項の追跡」を参照してください。
ステップ 3 (オプション) Guard モジュールがまだゾーン トラフィックをラーニングしておらず、ゾーンが攻撃を受けていない場合は、ラーニング プロセスを実行します。ラーニング プロセスの詳細については、「ゾーン トラフィックの特性のラーニング」を参照してください。
Guard モジュールがすでにゾーン トラフィックをラーニングしたか、またはオンデマンド保護に対するゾーンを作成した場合は、このステップを省略します。オンデマンド保護の詳細については、「オンデマンド保護のアクティブ化」を参照してください。
ステップ 4 ゾーン設定モードで protect コマンドを使用して、ゾーン保護をアクティブにします。
詳細については、「ゾーンの保護」を参照してください。
ステップ 5 ゾーン設定モードで show recommendations コマンドを使用して、ゾーンが攻撃を受けているときに Guard モジュールの推奨事項と保留動的フィルタを表示します。
詳細については、「show コマンドを使用した推奨事項の表示」を参照してください。
ステップ 6 ゾーン設定モードで recommendation コマンドを使用して、推奨事項の管理方法を指定します。新しい推奨事項を受け入れるか、無視するか、または Guard モジュールで自動的にアクティブにするかを決定できます。
詳細については、「推奨事項の管理」を参照してください。
ゾーン設定モードで no interactive コマンドを使用すると、インタラクティブ保護モードをいつでも非アクティブにできます。詳細については、「インタラクティブ保護モードの非アクティブ化」を参照してください。
ゾーンをインタラクティブ保護モードで動作するように設定
新しいゾーンを作成する際に、インタラクティブ保護モードで動作するように設定できます。また、既存のゾーンの設定を変更して、インタラクティブ保護モードでの動作をイネーブルにすることもできます。
• インタラクティブ保護モード用に設定された新しいゾーンの作成
インタラクティブ保護モード用に設定された新しいゾーンの作成
新しいゾーンを作成して、ゾーン保護をアクティブにしたときにインタラクティブ保護モードで動作するように設定するには、設定モードで次のコマンドを使用します。
zone new-zone-name interactive
new-zone-name 引数には、新しいゾーンの名前を指定します。ゾーン名は英数字の文字列とし、必ず英字で入力を開始してください。スペースは使用できません。また、63 文字以内で入力してください。
次の例は、インタラクティブ保護モードで動作するように設定された新しいゾーンを作成する方法を示しています。
新しいゾーンは Guard モジュールのデフォルトのゾーン テンプレートで作成されます。詳細については、「新しいゾーンの作成」を参照してください。
ゾーン保護をアクティブにしたときにインタラクティブ保護モードで動作するように既存のゾーンを設定するには、次の例に示すように、ゾーン設定モードで interactive コマンドを使用します。
インタラクティブ保護モード用の既存のゾーンの設定
新しいゾーンを作成して、ゾーン保護をアクティブにしたときにインタラクティブ保護モードで動作するように設定するには、設定モードで次のコマンドを使用します。
zone new-zone-name interactive
new-zone-name 引数には、新しいゾーンの名前を指定します。ゾーン名は英数字の文字列とし、必ず英字で入力を開始してください。スペースは使用できません。また、63 文字以内で入力してください。
次の例は、インタラクティブ保護モードで動作するように設定された新しいゾーンを作成する方法を示しています。
新しいゾーンは Guard モジュールのデフォルトのゾーン テンプレートで作成されます。詳細については、「新しいゾーンの作成」を参照してください。
Guard モジュールの推奨事項の追跡
この項では、Guard モジュールがインタラクティブ保護モードでゾーンを保護する際に作成される推奨事項の追跡に使用できるオプションについて説明します。
show コマンドを使用した推奨事項の表示
ゾーン設定モードで次のコマンドを入力すると、すべての推奨事項のリスト、保留動的フィルタのリスト、およびゾーンに固有の推奨事項を表示できます。
show recommendations [recommendation-id] [pending-filters]
表11-1 に、 show recommendations コマンドのキーワードと引数を示します。
|
|
|
|---|---|
|
|
|
次の例は、すべての推奨事項のリストを表示する方法を示しています。
表11-2 に、 show recommendations コマンド出力のフィールドを示します。
|
|
|
|---|---|
攻撃フローの特性。この特性には、プロトコル番号、送信元 IP アドレス、送信元ポート、宛先 IP アドレス、宛先ポートが含まれています。トラフィックが断片化されているかどうかを示しています。 any の値は、断片化されたトラフィックと断片化されていないトラフィックの両方があることを示します。 |
|
特定の推奨事項の保留フィルタを表示する前に、すべての推奨事項とその ID のリストを表示するには、 show recommendations コマンドを使用します。
表11-3 に、 show recommendations pending-filters コマンド出力のフィールドを示します。
Guard モジュールでは、次の場合に、ワイルドカードとしてのアスタリスク(*)がパラメータのいずれかに表示されます。
(注) Guard モジュールがインタラクティブ保護モードで、ゾーンに対する DDoS 攻撃が進行中である場合にだけ、推奨事項およびその保留動的フィルタを表示できます。
次の例は、推奨事項 135 の保留動的フィルタを表示する方法を示しています。
イベント ログを使用した保留動的フィルタの通知の受信
Guard モジュールのイベント ログを使用すると、 event monitor コマンドを実行することで、新しい保留動的フィルタの作成時に通知を受け取ることができます。外部 syslog サーバを使用して、新しい保留動的フィルタの通知を受け取ることもできます。イベント ログを使用する方法の詳細については、「Guard モジュールのログの管理」を参照してください。
推奨事項の管理
Guard モジュールがインタラクティブ保護モードでゾーンを保護する場合、Guard モジュールの推奨事項を受け入れるかどうかをユーザが決定します。すべての推奨事項、特定の推奨事項、または特定の保留動的フィルタに対して決定を行うことができます。その決定によって、ポリシーの保留動的フィルタがアクティブな動的フィルタになるかどうか、およびその期間が決まります。
特定のポリシーの保留動的フィルタを自動的にアクティブにするよう Guard モジュールに設定できます。また、ポリシーによって推奨事項が生成されないよう Guard モジュールに設定することもできます。Guard モジュールのポリシーは、ゾーンがインタラクティブ保護モードで、DDoS 攻撃が進行中の場合、推奨事項を生成し続けます。現在のゾーンのステータスを検証して、さらにアクションが必要かどうかを判断するために推奨事項を管理する場合、ゾーンのステータスを表示することをお勧めします。
(注) 推奨事項を受け入れると、受け入れた推奨事項と同じまたは受け入れた推奨事項に含まれるフローを持ち、アクションとタイムアウトが同じである、その他の推奨事項も同様に受け入れられます。重複する推奨事項は Guard モジュールで削除されます。
ゾーンの推奨事項を決定するには、ゾーン設定モードで次のコマンドを使用します。
recommendation recommendation-id [pending-filters pending-filter-id] decision [timeout]
表11-4 に、 recommendation コマンドの引数とキーワードを示します。
|
|
|
|---|---|
推奨事項に対するアクション。指定できる値は、次のとおりです。 • • always-accept を指定すると、推奨事項が表示されなくなります。 • |
|
(オプション)決定が適用される期間。指定できる値は、次のとおりです。 • • |
次の例は、推奨事項 135 を受け入れる方法を示しています。
特定のポリシーまたはポリシーの任意の部分のインタラクティブ ステータスを設定し、ポリシーのその部分が推奨事項と保留動的フィルタを生成するかどうかを決定できます。ポリシーのインタラクティブ ステータスを設定することで、軽減プロセスの制御が可能になり、ポリシーをトラフィック フローによりよく適合させることができます。詳細については、「ポリシーのインタラクティブ ステータスの設定」を参照してください。
Guard モジュールでは、 always-accept および always-ignore に指定された推奨事項は表示されません。推奨事項を常に無視するまたは常に受け入れると決定した場合、その決定は、推奨事項を作成したポリシーのインタラクティブ ステータスの一部となります。
ポリシーをディセーブルまたは非アクティブにして、ポリシーが推奨事項と保留動的フィルタを生成しないようにできます。ポリシーをディセーブルまたは非アクティブにするには、ポリシー設定モードで state コマンドを使用します。詳細については、「ポリシーの状態の変更」を参照してください。
次の例では、dns_tcp/53/analysis のインタラクティブ ステータスを always-accept に設定しています。
インタラクティブ保護モードの非アクティブ化
インタラクティブ保護モードを非アクティブにするには、ゾーン設定モードで no interactive コマンドを使用します。ユーザがインタラクティブ保護モードを非アクティブにすると、Guard モジュールはすべての新しい動的フィルタを自動的にアクティブにし、ポリシーのインタラクティブ ステータスを always-accept に設定します(ゾーン ポリシーの表示方法の詳細については、「ポリシーの表示」を参照)。
次の例は、ゾーン scannet のインタラクティブ保護モードを非アクティブにする方法を示しています。
フィードバック