この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Detector では、ゾーンの設定のポリシーを変更することができます。この章では、ゾーンの設定の保護機能を手動で微調整する方法について説明します。
ゾーンの設定のポリシーを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policies > View を選択します。Policies 画面が表示されます( 図 8-1 および 表8-1 を参照)。
ステップ 3 (オプション)表示したいポリシー、または設定するポリシーだけが表示されるように、画面フィルタを設定します。画面フィルタを設定するには、次の手順を実行します。
a. Set screen filter をクリックします。Policy Filter ウィンドウが表示されます。
b. 使用する画面フィルタを設定し、 OK をクリックします。 表8-1 に、Policy Filter ウィンドウに表示される画面フィルタ パラメータの説明を示します。目的の表示パラメータを、対応するドロップダウン リストから選択します。
複数のフィルタ パラメータを変更するには、Policy Filter ウィンドウの一番上のパラメータから開始して、下方向に順に変更していきます。
(注) フィルタ パラメータを 1 つ変更すると、そのパラメータの下にあるすべてのパラメータが、デフォルト設定に自動的にリセットされます。
|
|
---|---|
指定した基準を満たす、ポリシーのリストの一部が表示されます。選択したパス、状態、およびアクションの詳細が Screen Filter フレームに表示されます。
図 8-1 に、Policy 画面の例を示します。
表8-2 に、ポリシー テーブルに含まれているフィールドの説明を示します。
|
|
---|---|
Detector がポリシーの構築に使用したポリシー テンプレート。各ポリシー テンプレートは、Detector が特定の DDoS 攻撃の検出で必要とする特性を処理します。 |
|
トラフィック フローに含まれていて、ポリシーが監視しているサービス。 サービスは、ポート番号またはプロトコル番号のいずれかです。 「サービスの追加または削除」を参照してください。 Detector では、同じポリシー テンプレートから作成された他のサービスと特に一致しないすべてのトラフィックのサービスの値に any が表示されます。 |
|
• auth_pkts :TCP ハンドシェイクまたは UDP 認証のいずれかが実行されたパケット。 • auth_tcp_pkts :TCP ハンドシェイクが実行されたパケット。 • auth_udp_pkts :UDP 認証が実行されたパケット。 • in_nodata_conns :ゾーンへの着信接続のうち、接続時にデータ転送が行われない(データ ペイロードのないパケット)もの。 • in_pkts :ゾーンに着信する DNS クエリー パケット。 • in_unauth_pkts :ゾーンに着信する未認証の DNS クエリー。 • out_pkts :ゾーンに着信する DNS 応答パケット。 • syns :同期パケット(TCP SYN フラグの付いたパケット)。 • syn_by_fin :SYN フラグ付きパケットと FIN フラグ付きパケット。Detector は、SYN フラグの付いたパケット数と FIN フラグの付いたパケット数の比率を確認します。 • unauth_pkts :TCP ハンドシェイクを受けていないパケット。 • pkts :同じ保護レベルになっている他のいずれのカテゴリにも該当しない、すべてのパケット タイプ。 • non_estb_conns :確立されていない接続。失敗したゾーン着信接続。要求に対する応答がなかった TCP 接続要求(SYN パケット)。 |
|
ポリシーの集約に使用されたトラフィック特性。キー名をクリックすると詳細が表示されます。 • dst_ip :ゾーンの IP アドレスが宛先となっているトラフィック。 • dst_ip_ratio :特定の IP アドレスが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。 • dst_port_ratio :特定のポートが宛先となっている SYN フラグ付きパケットと FIN フラグ付きパケットの比率。 • global :他のポリシー セクションによって定義された、すべてのトラフィック フローの合計。 • src_ip :送信元 IP アドレスに基づいて集計された、ゾーンが宛先となっているトラフィック。 • dst_port :ゾーンの特定のポートが宛先となっているトラフィック。 • protocol :プロトコルに基づいて集計された、ゾーンが宛先となっているトラフィック。 • src_ip_many_dst_ips :同一のポートで多数のゾーン IP アドレスをプローブする 1 つの IP アドレスからのトラフィック。このキーは IP スキャニングに使用されます。 • src_ip_many_ports :ゾーンの宛先 IP アドレスで多数のポートをプローブする 1 つの IP アドレスからのトラフィック。このキーはポート スキャニングに使用されます。 • scanners :特定の宛先ポート上でゾーンの宛先 IP アドレスをスキャンする送信元 IP アドレスのヒストグラム。 |
|
ポリシーの動作状態。ポリシーは、次のいずれかの状態で動作します。 アクティブ:Detector はトラフィック フローにポリシーを適用します。トラフィック フローがポリシーのしきい値を超過すると、ポリシーがアクションを実行します。 非アクティブ:Detector はトラフィック フローにポリシーを適用します。トラフィック フローがポリシーのしきい値を超過しても、ポリシーはアクションを実行しません。 |
|
ポリシーに割り当てられているアクション。トラフィック フローがポリシーのしきい値を超過すると、ポリシーがこのアクションを実行します。詳細については、「ポリシーのパラメータの変更」の項を参照してください。 |
|
ポリシーのしきい値となるトラフィック レート。トラフィック フローがポリシーのこのしきい値を超過すると、ポリシーは割り当てられているアクションを実行します。ポリシーのしきい値は、手動で設定するか、Detector によってラーニング プロセスのしきい値調整フェーズで設定することができます。 |
|
ポリシーのしきい値の動作ステータス。チェック マークは、このしきい値が固定値であり、ラーニング プロセスのしきい値調整フェーズ実行中に変更できないことを示します。 x は、このしきい値が固定値ではないことを示し、Detector がしきい値調整プロセス中にポリシーのしきい値を変更する可能性があることを意味します。 |
|
この項の手順では、ポリシーのパラメータを変更する方法について説明します。ゾーンのポリシーを変更できるのは、Detector がゾーンのトラフィックをラーニングしていないとき、またはゾーンを保護していないときのみです。1 つのポリシーのパラメータを変更することも、一度に複数のポリシーのパラメータを変更することもできます。
(注) ポリシーのパラメータを変更した後にポリシー構築フェーズを実行すると、パラメータに行った変更が失われることがあります。これは、ポリシー構築フェーズの結果を受け入れた場合に、Detector が現在のゾーン ポリシーを新しいポリシーで置き換えるためです。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policies > View を選択します。Policies 画面が表示されます。
ステップ 3 次のいずれかの方法で、設定するポリシーを選択します。
• 1 つのポリシーを設定するには、目的のポリシーの Key をクリックします(Policy details 画面が表示されます)。次に、Learning parameters テーブルの下にある Configure をクリックします。Zone Policy Form が表示されます。
• 複数のポリシーを設定するには、設定し直すポリシーの隣にあるチェックボックスをオンにし、 Config Selection をクリックします。Zone Policy Parameter Form が表示されます。
ポリシー セクションの Multiple という値は、選択したすべてのポリシーに、そのポリシー セクションと同じ値を持つポリシーがないことを指定します。
ステップ 4 目的のポリシー パラメータを設定し直して、 OK をクリックします。
ポリシー パラメータのフィールドをブランクのままにしておくと、Detector は選択したポリシーのパラメータの値を変更しません。
表8-3 に、 Zone Policies Parameter Form の設定済みポリシー パラメータの説明を示します。
特定の送信元または宛先 IP アドレスとの間に大量のトラフィックがあることがわかっている場合に、Detector が誤って攻撃を検出しないようにするために、その IP アドレスに関連するトラフィック用のしきい値をポリシーに設定することができます。次のネットワーク事情が当てはまる場合に、IP アドレスとしきい値をポリシーに追加します。
• 送信元 IP アドレスからの大量のトラフィック:ゾーンが通常特定の送信元 IP アドレスから大量のトラフィックを受信する場合は、その送信元 IP アドレスからのトラフィックに適用されるしきい値をポリシーに設定します。
• 宛先 IP アドレスへの大量のトラフィック:ゾーンに複数の IP アドレスが定義され、ゾーンの複数のセクションが通常大量のトラフィックを受信する場合は、そのゾーン内の IP アドレスを宛先とするトラフィックに適用されるしきい値をポリシーに設定できます。
WBM で IP しきい値を設定できる対象は、次のような特性を持つポリシーのみです。
• Key のタイプが src_ip (送信元 IP アドレス)で、Action のタイプが drop のポリシー。
• Key のタイプが dst_ip (宛先 IP アドレス)で、Action のタイプが to-user 、 strong 、 notify 、または drop のポリシー。
ポリシーごとに、IP アドレスとしきい値を 5 つまで設定できます。
ポリシーの IP アドレスとしきい値を設定するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policies> View を選択します。 Policies 画面が表示されます。
ステップ 3 GUARD ゾーン テンプレートを使用してゾーンを作成した場合は、ポリシーのリストの上に View Detector / View Guard トグル ボタンが表示されます。使用するポリシー ビューを選択します。
–Detector で使用するポリシーに IP アドレスとしきい値を設定するには、 View Detector をクリックします。
–Cisco Guard で使用するポリシーに IP アドレスとしきい値を設定するには、 View Guard をクリックします。
ステップ 4 目的のポリシーの(Key カラムの下にある)Key タイプをクリックします。Policy details 画面が表示されます。
ステップ 5 Threshold list テーブルの下にある Add をクリックします。Add threshold entry 画面が表示されます。
ステップ 6 送信元または宛先の IP アドレスとしきい値を定義します。
表8-4 に、 Threshold IP Entry Form のパラメータの説明を示します。
|
|
---|---|
IP アドレスのしきい値。トラフィックがこのしきい値を超過すると、ポリシーは設定されているアクションを実行します。しきい値は、次のタイプのポリシーを除いてパケット/秒(pps)単位で入力します。 |
• OK :ポリシーの設定とゾーンの設定に、ポリシーの IP アドレス情報を保存します。 Threshold IP Entry Form が閉じて Policy details 画面が表示され、変更のあったポリシーの設定がすべて示されます。
• Clear : Threshold IP Entry Form に追加した情報をすべて消去します。
• Cancel:ポリシーの設定を変更せずに Threshold IP Entry Form を終了します。
ポリシーの IP アドレスとしきい値を削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > Policies> View を選択します。 Policies 画面が表示されます。
ステップ 3 GUARD ゾーン テンプレートを使用してゾーンを作成した場合は、ポリシーのリストの上に View Detector / View Guard トグル ボタンが表示されます。使用するポリシー ビューを選択します。
–Detector で使用するポリシーから IP アドレスとしきい値を削除するには、 View Detector をクリックします。
–Cisco Guard で使用するポリシーから IP アドレスとしきい値を削除するには、 View Guard をクリックします。
ステップ 4 目的のポリシーの Key パラメータをクリックします。Policy details 画面が表示されます。
ステップ 5 Threshold list テーブルから削除する IP リストのチェックボックスをオンにします。
ステップ 6 Threshold list テーブルの下にある Delete をクリックします。変更されたポリシーの設定情報が、ポリシーの設定とゾーンの設定に保存されます。
Detector がポリシー構築フェーズで検出しなかったサービスを手動でゾーンの設定に追加することができます。サービスを追加すると、 Detector はそのサービス用に選択したポリシー テンプレートを使用して、そのサービス用の新しいポリシーを作成します。 次のポリシー テンプレートに新しいサービスを追加できます。
http、tcp_services、および udp_services については、追加するサービスをポート番号で指定します。other_protocols については、追加するサービスをプロトコル番号で指定します。
GUARD_ ゾーン テンプレートで作成したゾーンの設定でサービスを追加または削除すると、Detector と Cisco Guard のポリシーの設定でサービスが変更されます。
ゾーンの設定でサービスを追加または削除すると、 Detector はゾーンを 未調整 としてマークします。ゾーンが未調整であるため、Detect and Learn をアクティブにしても、次のアクションを実行するまで Detector でゾーンの異常を検出することはできません。
• ラーニング プロセスのしきい値調整フェーズを実行して、その結果を受け入れる( 第 7 章「ゾーン トラフィックのラーニング」 の「しきい値調整フェーズの開始」の項を参照)。
• ゾーンを調整済みとしてマークする( 第 7 章「ゾーン トラフィックのラーニング」 の「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照)。
• サービスの追加
• サービスの削除
サービスをポリシーのタイプに追加するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 次のいずれかの方法で、Add Service プロセスを開始します。
• ゾーンのメイン メニューの Configuration > Policy Templates > Add Service を選択します。
• ゾーンのメイン メニューの Configuration > Policies > View を選択し、Policies 画面で Add service をクリックします。GUARD ゾーン テンプレートを使用してゾーンを作成した場合は、 現在 Detector と Cisco Guard のどちらのポリシーの設定が表示されているかに関係なく、 両方のポリシーの設定でサービスが変更されます。
• ゾーンのメイン メニューの Configuration > Policy templates > View を選択し、Policies Templates 画面の Add service をクリックします。
ステップ 3 Policy Template リストからポリシー テンプレートを選択し、 Next をクリックします(ポリシー テンプレートのタイプの詳細については、 第 6 章「ポリシー テンプレートの設定」 の「ポリシー テンプレートの使用」の項を参照)。Add service step 2 画面の Add Service Form が表示されます。
ステップ 4 新しいサービスを Add Service Form に入力します。
• OK :サービスのための新しいポリシーをゾーンの設定に追加します。Policies 画面に追加されたサービスのポリシーが表示され、Detector はゾーンを未調整としてマークします。
• Clear : Add Service Form の情報を消去します。
• Cancel:新しいサービスをゾーンの設定に追加せずに Add Service Form を終了します。
ステップ 6 (オプション)サービスを追加した後にゾーンの設定を未調整から調整済みに変更するには、次のいずれかの操作を実行します。
• ラーニング プロセスのしきい値調整フェーズを実行して、フェーズの結果を受け入れる( 第 7 章「ゾーン トラフィックのラーニング」 の「しきい値調整フェーズの開始」の項を参照)。
• ゾーンを調整済みとしてマークする( 第 7 章「ゾーン トラフィックのラーニング」 の「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照)。
新しいサービスのポリシーは、デフォルトのしきい値を使用して設定されます。各ポリシーのしきい値を手動で定義することもできますが、しきい値調整フェーズを実行して、ポリシーをゾーンのトラフィックに合せて調整することをお勧めします( 第 7 章「ゾーン トラフィックのラーニング」 の「しきい値調整フェーズの開始」の項を参照)。
ポリシーのタイプに関連する特定のサービスを削除できます。Detector は、選択したポリシー テンプレートから作成されたすべてのポリシーを削除します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 次のいずれかの方法で、Remove Service プロセスを開始します。
• ゾーンのメイン メニューの Configuration > Policy Templates > Remove Service を選択します。
• ゾーンのメイン メニューの Configuration > Policies > View を選択し、Policies 画面で Remove service をクリックします。GUARD_ ゾーン テンプレートを使用してゾーンを作成した場合は、 現在 Detector と Cisco Guard のどちらのポリシーの設定が表示されているかに関係なく、 両方のポリシーの設定でサービスが変更されます。
• ゾーンのメイン メニューの Configuration > Policy templates > View を選択し、Policies Templates 画面の Remove service をクリックします。
ステップ 3 リストから削除するサービスを選択し、 Delete をクリックします。削除の確認画面が表示されます。
• OK :選択したサービスをゾーンの設定から削除します。Policies 画面が表示され、Detector はゾーンを未調整としてマークします。
• Cancel:選択したサービスをゾーンの設定から削除せずに Remove Service Form を終了します。
ステップ 5 (オプション)サービスを削除した後にゾーンの設定を未調整から調整済みに変更するには、次のいずれかの操作を実行します。
• ラーニング プロセスのしきい値調整フェーズを実行して、フェーズの結果を受け入れる( 第 7 章「ゾーン トラフィックのラーニング」 の「しきい値調整フェーズの開始」の項を参照)。
• ゾーンを調整済みとしてマークする( 第 7 章「ゾーン トラフィックのラーニング」 の「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照)。