この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
パケットダンプ キャプチャ機能を使用すると、ネットワークの動作を阻害しないネットワーク タップを使用して、ゾーンのトラフィックのパターンを記録および観察することができます。
Guard モジュールがゾーン トラフィックを記録し、記録したトラフィックからデータベースを作成するように設定できます。記録されたトラフィックのデータベースをクエリーすると、過去のイベントの分析やトラフィック シグニチャの抽出ができます。または、以前に通常のトラフィック状況で Guard モジュールが記録したトラフィック パターンと現在のネットワーク トラフィック パターンを比較することが可能です。
Guard モジュールが特定の基準を満たすトラフィックだけを記録するように、フィルタを設定できます。または、すべてのトラフィック データを記録し、Guard モジュールが表示するトラフィックをフィルタリングすることもできます。Guard モジュールは、gzip 圧縮された Packet Capture(PCAP)形式のトラフィックを、記録されたデータについて記述する Extensible Markup Language(XML)形式の付属ファイルと一緒に保存します。
パケットダンプ機能の重要な用途は、パケットダンプ キャプチャに含まれている攻撃パケットのペイロードに、共通のパターン(シグニチャ)が現れているかどうかを特定することです。Guard モジュールでは、パケットダンプ キャプチャを分析し、検出したシグニチャをすべて抽出することができます。シグニチャ情報を使用してフレックスコンテンツ フィルタを作成すると、シグニチャに一致するパケット ペイロードを含んでいるトラフィックをすべてブロックできます。
Guard モジュールがトラフィックを記録する方法には、次の 2 つがあります。
• 自動パケットダンプ キャプチャ:Guard モジュールは常にトラフィック データをパケットダンプ キャプチャ ファイルに記録します。以前のパケットダンプ キャプチャ ファイルは新しいファイルに置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存しておくには、それらのファイルを FTP サーバにエクスポートする必要があります。
• 手動パケットダンプ キャプチャ:ユーザが機能をアクティブにすると、Guard モジュールがトラフィックをパケットダンプ キャプチャ ファイルに記録します。
新しい自動パケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。記録されたトラフィックを保存するには、Guard モジュールによるトラフィックの記録を再度アクティブにする前に、パケットダンプ キャプチャ ファイルを FTP サーバにエクスポートします。ゾーンに対して同時にアクティブにできる手動パケットダンプ キャプチャは、1 つのみです。ただし、手動パケットダンプ キャプチャと自動パケットダンプ キャプチャを同時にアクティブにすることはできます。Guard モジュールでは、同時に 4 つまでのゾーンのトラフィックを手動で記録できます。
デフォルトでは、Guard モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、古いパケットダンプ キャプチャ ファイルを削除します。
自動パケットダンプ機能は、オンまたはオフに設定します。自動パケットダンプを オン に設定した場合、Guard モジュールは常にゾーン トラフィックを記録します。新しいパケットダンプ キャプチャ ファイルによって、以前のファイルは置き換えられます。以前のパケットダンプ キャプチャ ファイルを保存しておくには、それらのファイルを FTP サーバにエクスポートする必要があります(「パケットダンプ キャプチャ ファイルのエクスポート」の項を参照)。
自動パケットダンプ機能を設定するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。 General 画面が表示され、ゾーンの現在の設定が示されます。
ステップ 3 Config をクリックします。Config 画面が表示されます。
ステップ 4 Zone Form の Packet-Dump parameters 領域で、次のいずれかのオプションをクリックします。
• On :自動パケットダンプ キャプチャ機能をイネーブルにします。
• Off :自動パケットダンプ キャプチャ機能をディセーブルにします。
• OK :自動パケットダンプの設定をゾーンの設定の一部として保存します。自動パケットダンプ キャプチャ機能をイネーブルにすると、Guard モジュールはすべてのゾーン トラフィックの記録を開始します。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Config 画面を終了します。
この項の手順は、Guard モジュールが手動パケットダンプ キャプチャを開始および終了するタイミングの制御方法を示しています。手動パケットダンプ キャプチャは、ゾーンごとに 1 つのみアクティブにできます。自動パケットダンプ キャプチャとともにアクティブにすることもできます。
デフォルトでは、Guard モジュールは、すべてのゾーンの手動パケットダンプ キャプチャ ファイル用に 20 MB のディスク スペースを割り当てています。すべてのゾーンの手動および自動パケットダンプ キャプチャ ファイルは、80 MB まで保存できます。将来のパケットダンプ キャプチャ ファイルのためにディスク スペースを解放するには、不要になったパケットダンプ キャプチャファイルをすべて削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
手動パケットダンプ キャプチャを開始するには、事前にゾーンをアクティブ(ゾーンのトラフィックをラーニングしているか、ゾーンを保護している)にする必要があります。
手動パケットダンプ キャプチャを開始するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Start Packet-Dump を選択します。
Start Packet-Dump 画面が表示されます。
ステップ 3 パケットダンプ キャプチャのパラメータを設定します。 表 11-1 に、Start Packet-Dump Form に表示されるパラメータの説明を示します。
|
|
---|---|
パケットダンプに割り当てられる名前。1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
(オプション)記録するトラフィックを指定するために定義するフィルタ。Guard モジュールは、フィルタの式に適合するトラフィックだけをキャプチャします。この式の規則は、フレックスコンテンツ フィルタの式の規則と同じです(「ゾーンのフィルタの設定」の「フレックスコンテンツの式の構文について」の項を参照)。 |
|
Guard モジュールがキャプチャするゾーン トラフィック。トラフィックのタイプをドロップダウン リストから選択します。 • Forwarded :Guard モジュールがゾーンに転送する正当なトラフィックだけをキャプチャします。 • Dropped :Guard モジュールがドロップしたトラフィックだけをキャプチャします。 • Replied :検証の試行で Guard モジュールのスプーフィング防止機能およびゾンビ防止機能が送信元に返送したトラフィックだけをキャプチャします。 |
|
サンプリング レート(pps 単位)。1 ~ 10000 の値を入力します。 Guard モジュールは、同時に実行されるすべての手動キャプチャ用に、累積で最大 10,000 パケット/秒のパケットダンプ キャプチャ レートをサポートします。 パケットダンプ キャプチャのサンプリング レートを大きな値に設定すると、リソースの消費量が多くなります。パフォーマンスが低下する可能性があるため、大きいサンプリング レート値を使用する場合は注意してください。 |
|
記録するパケットの数。Guard モジュールは、指定されたパケットの数を記録すると、手動パケットダンプ キャプチャを停止し、キャプチャ バッファ内の情報をファイルに保存します。1 ~ 5000 の整数を入力します。 |
• OK :手動パケットダンプ キャプチャのパラメータを保存します。Guard モジュールはキャプチャを開始し、情報をローカル データベースに記録します。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Start Packet-Dump 画面を終了します。
Guard モジュールは、キャプチャをアクティブにするときにユーザによって指定されたパケットの数を記録すると、手動パケットダンプ キャプチャを停止します。ただし、指定されたパケットの数を Guard モジュールが記録する前に、ユーザは手動パケットダンプ キャプチャを停止できます。
手動パケットダンプ キャプチャを停止するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Stop Packet-Dump を選択します。 Guard モジュールが手動パケットダンプ キャプチャを停止します。
この項の手順では、パケットダンプ キャプチャの詳細の表示、2 つのパケットダンプ キャプチャの比較など、さまざまなパケットダンプ キャプチャ表示オプションにアクセスする方法について説明します。
• Packet-Dump Capture details 画面の表示の変更
パケットダンプ キャプチャのリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
表 11-2 に、パケットダンプのリストに含まれているフィールドの説明を示します。
表 11-3 に、Packet-Dump list 画面の機能ボタンの説明を示します。
|
|
---|---|
手動パケットダンプの動作を制御します。現在の動作ステータスに応じて、手動パケットダンプ機能を Stop または Start に切り替えます。 • Start :手動パケットダンプ キャプチャを開始します。このボタンは、手動パケットダンプが動作していないときのみ表示されます。 • Stop :現在の手動パケットダンプ キャプチャを終了します。このボタンは、手動パケットダンプ機能が動作しているときのみ表示されます。 |
|
パケットダンプ キャプチャの詳細情報を 2 つまで表示します(「パケットダンプ キャプチャの詳細の表示」および「2 つのパケットダンプ キャプチャの比較」の項を参照)。 |
|
パケットダンプ キャプチャに新しいファイル名を適用します(「手動パケットダンプ キャプチャ ファイルの名前変更」の項を参照)。 |
|
パケットダンプ キャプチャをコピーします(「パケットダンプ キャプチャの全体コピーの保存」の項を参照)。 |
|
パケットダンプ キャプチャをアップロードまたはダウンロードします(「パケットダンプ キャプチャ ファイルのエクスポート」および「パケットダンプ キャプチャ ファイルのインポート」の項を参照)。 |
|
パケットダンプ キャプチャをリストおよびデータベースから削除します(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。 |
パケットダンプ キャプチャの詳細を表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 表示するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 View をクリックします。Packet-Dump capture analysis 画面が表示されます。表示される情報に画面フィルタを適用する方法の詳細については、「Packet-Dump Capture details 画面の表示の変更」の項を参照してください。
表 11-4 に、Guard モジュールが Packet-Dump capture analysis 画面の Capture parameter 領域と View parameter 領域に表示する情報の説明を示します。
|
|
|
---|---|---|
Guard モジュールが記録したトラフィックのタイプ。次の 4 つのタイプがあります。 • Dropped :Guard モジュールがドロップしたトラフィックのみ。 • Forwarded :Guard モジュールがゾーンに転送する正当なトラフィックのみ。 • Replied :検証の試行で Guard モジュールのスプーフィング防止機能およびゾンビ防止機能が送信元に返送したトラフィックのみ。 |
||
キャプチャ情報を表示するために Guard モジュールが使用するデータ プロファイル。 • Top 20: SrcIP / DstIP / SrcPort / DstPort / Protocol • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length クエリーのタイプごとに Guard モジュールが表示する情報の詳細については、 表 11-5 を参照してください。 |
||
表示パラメータを変更します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。 |
||
パケットダンプ キャプチャのコピーを別のファイル名で保存します(「パケットダンプ キャプチャの全体コピーの保存」の項を参照)。 |
||
パケットダンプ キャプチャからトラフィック シグニチャを抽出します(「パケットダンプ キャプチャのシグニチャの抽出」の項を参照)。 |
表 11-5 に、選択されたクエリーのタイプに応じて Guard モジュールが表示するキャプチャ情報の説明を示します(「Packet-Dump Capture details 画面の表示の変更」の項を参照)。
|
|
|
---|---|---|
Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length |
||
(注) カラムの情報を基準として Top 20 テーブルと Packets List テーブルの情報をソートするには、テーブルのカラム ヘッダーをクリックします。
Packet-Dump Capture details 画面の表示を変更するには、次の手順を実行します。
ステップ 1 Packet-Dump Capture details 画面で、 Change View をクリックします。Change Packet-Dump View Parameters ウィンドウが表示されます。
ステップ 2 パケットダンプ キャプチャの表示パラメータを設定します。 表 11-6 に、Change Packet-Dump View Parameters フォームに表示されるパラメータの説明を示します。
|
|
---|---|
表示するデータ プロファイル。プロファイルによって表示形式も決まります(テーブルまたはグラフ)。使用するプロファイルを Query ドロップダウン リストから選択します。 • TOP 20: SrcIP / DstIP / SrcPort / DstPort / Protocol : 送信元 IP アドレス(SrcIP)や宛先ポート(DstPort)などの選択した Query アトリビュートに関連しているイベントを、多いものから順に 20 個表示します。この情報はテーブル形式で表示されます。 • Distribution: SrcIP / DstIP / SrcPort / DstPort / SrcReservedPorts / DstReservedPorts / Protocol / TTL / Length : 選択した Query アトリビュートに関して、パケットがどのように分布しているかを示すグラフを表示します。 • Packet View :送信元 IP アドレスと宛先 IP アドレス、送信元ポートと宛先ポートなど、パケットの詳細を表示します。 この情報はテーブル形式で表示されます。 |
|
(オプション)表示するパケットダンプ情報を指定するユーザ定義のフィルタ。表示フィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです(「ゾーンのフィルタの設定」の「フレックスコンテンツの式の構文について」の項を参照)。使用する表示フィルタを入力します。 |
|
(オプション)パケットの内容と照合するための正規表現データ パターン(「ゾーンのフィルタの設定」の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照)。使用する表示パターンを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを開始する位置までのオフセット(バイト単位)。デフォルトは 0(ペイロードの先頭)です。使用する開始オフセットを入力します。 |
|
(オプション)パケット ペイロードの先頭から、パターン マッチングを終了する位置までのオフセット(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。使用する終了オフセットを入力します。 |
• OK :表示パラメータを保存します。Guard モジュールは、選択された表示パラメータに基づいて、Packet-Dump Capture details 画面をアップデートします。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに View Parameter ウィンドウを閉じます。
2 つのパケットダンプ キャプチャの詳細を比較するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 パケットダンプ キャプチャの隣にあるチェックボックスをオンにして、基準キャプチャとして表示します。
ステップ 4 パケットダンプ キャプチャの隣にあるチェックボックスをオンにして、参照キャプチャとして表示します。
ステップ 5 View をクリックします。Packet-Dump capture analysis 画面が表示され、基準と参照のパケットダンプ キャプチャの詳細が示されます。
ステップ 6 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。この機能は、シグニチャを抽出するときに使用します(Guard モジュールは基準キャプチャからシグニチャを抽出します)。シグニチャの抽出については、「パケットダンプのシグニチャの抽出と使用」の項を参照してください。
Guard モジュールが Packet-Dump capture analysis 画面に表示する情報については、「パケットダンプ キャプチャの詳細の表示」の項を参照してください。
• パケットダンプ キャプチャ ファイルのフィルタ適用済みコピーの保存
名前を変更できるのは、手動パケットダンプ キャプチャのみです。
手動パケットダンプ キャプチャの名前を変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 名前を変更するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Rename をクリックします。Rename ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャに適用する名前を New name フィールドに入力します。パケットダンプ キャプチャの名前は英数字にします。アンダースコア(_)とハイフン(-)を含めることができますが、スペースを含めることはできません。
• OK :パケットダンプ キャプチャを新しい名前でローカル データベースに保存します。
• Clear :Rename Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Rename ウィンドウを閉じます。
保存機能を使用すると、パケットダンプ キャプチャの全体コピーをローカル データベースに作成できます。自動パケットダンプのコピーを保存する場合、Guard モジュールはそのコピーを手動パケットダンプ ファイルとして保存します。
保存機能を使用しても、元のパケットダンプ キャプチャはデータベースから削除されません。このため、新しいキャプチャのために追加のディスク スペースが必要な場合は、元のパケットダンプ キャプチャを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
パケットダンプ キャプチャの全体コピーを保存するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 5 Save をクリックします。Save ウィンドウが表示されます。
ステップ 6 新しいファイル名を New name フィールドに入力します。
• OK :パケットダンプ キャプチャの全体コピーをローカル データベースに保存します。
• Clear :Save Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Save ウィンドウを閉じます。
コピー機能を使用すると、パケットダンプ キャプチャ ファイルのコピーを作成してフィルタを適用し、元のパケットダンプ キャプチャを一部のみ選択してコピーすることができます。
コピー機能を使用しても、元のパケットダンプ キャプチャはデータベースから削除されません。このため、新しいキャプチャのために追加のディスク スペースが必要な場合は、元のパケットダンプ キャプチャを手動で削除する必要があります(「パケットダンプ キャプチャ ファイルの削除」の項を参照)。
パケットダンプ キャプチャのフィルタ適用済みコピーを保存するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 コピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 Copy をクリックします。Copy (save as) ウィンドウが表示されます。
ステップ 4 パケットダンプ キャプチャのコピーの名前を New name フィールドに入力します。パケットダンプ キャプチャの名前は英数字にします。アンダースコア(_)とハイフン(-)を含めることができますが、スペースを含めることはできません。
ステップ 5 (オプション)キャプチャ全体をコピーしない場合は、パケットダンプ キャプチャのコピーに適用するフィルタを定義します。フィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです(「ゾーンのフィルタの設定」の「フレックスコンテンツの式の構文について」の項を参照)。
• OK :パケットダンプ キャプチャのフィルタ適用済みコピーをローカル データベースに保存します。
• Clear :Copy (save as) Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Copy (save as) ウィンドウを閉じます。
パケットダンプ キャプチャ ファイルを手動で FTP サーバまたは SFTP サーバにエクスポートできます。パケットダンプ キャプチャ ファイルを 1 つエクスポートすることも、特定のゾーンのパケットダンプ キャプチャ ファイルをすべてエクスポートすることもできます。Guard モジュールは、パケットダンプ キャプチャ ファイルを gzip 圧縮された PCAP 形式でエクスポートし、記録されたデータについて記述する XML ファイルを付属します。XML スキーマについては、このバージョンに付属の Capture.xsd ファイルを参照してください。
パケットダンプ キャプチャをエクスポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 FTP サーバにコピーするパケットダンプ キャプチャの隣にあるチェックボックスをオンにして、 Export をクリックします。すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。Export FTP Server Parameters ウィンドウが表示されます。
ステップ 4 Export FTP Server Parameters フォームで、使用する FTP 方式を選択します。
– FTP:File Transfer Protocol(ファイル転送プロトコル)
– SFTP :Secure File Transfer Protocol(セキュア ファイル転送プロトコル)
ステップ 5 Export FTP Server Parameters フォームで、使用する FTP サーバを選択します。
• Use default FTP definitions :CLI を使用して Guard モジュールの設定に定義した FTP サーバに、パケットダンプ キャプチャをエクスポートします。
• Use temporary FTP server :Guard モジュールの設定に定義されていない FTP サーバに、パケットダンプ キャプチャをエクスポートします。FTP サーバに関する次の情報を入力します。
– Path :Guard がパケットダンプ キャプチャ ファイルを保存する FTP サーバ上ディレクトリのフル パス。
– Username :(オプション)FTP サーバのログイン名。ユーザ名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
– Password :(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Guard モジュールはパスワードを入力するように求めます。
• OK :パケットダンプ キャプチャを FTP サーバに保存します。
• Clear :Select FTP Server Parameters フォームに追加した情報をすべて消去します。
• Cancel:パケットダンプ キャプチャを保存せずに Export FTP Server parameters ウィンドウを閉じます。
パケットダンプ キャプチャ ファイルを FTP サーバまたは SFTP サーバから Guard モジュールにインポートできます。インポートすると、過去のイベントを分析したり、以前に通常のトラフィック状況で Guard モジュールが記録したトラフィック パターンと現在のネットワーク トラフィック パターンを比較したりできます。Guard モジュールは、パケットダンプ キャプチャ ファイルを XML と PCAP の両方の形式でインポートします。
パケットダンプ キャプチャをインポートするには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 Import をクリックします。Import FTP Server Parameters ウィンドウが表示されます。
ステップ 4 Select FTP Server Parameters フォームで、File name フィールドにパケットダンプ キャプチャのファイル名を入力します。
ステップ 5 Select FTP Server Parameters フォームで、使用する FTP 方式を選択します。
– FTP:File Transfer Protocol(ファイル転送プロトコル)
– SFTP :Secure File Transfer Protocol(セキュア ファイル転送プロトコル)
ステップ 6 Select FTP Server Parameters フォームで、次のいずれかのオプションから使用する FTP サーバを選択します。
• Use default FTP definitions :CLI を使用して Guard モジュールの設定に定義した FTP サーバから、パケットダンプ キャプチャをインポートします。
• Use temporary FTP server :Guard モジュールの設定に定義されていない FTP サーバから、パケットダンプ キャプチャをインポートします。FTP サーバに関する次の情報を入力します。
–Path:FTP サーバ上のパケットダンプ キャプチャのフル パス名。
–Username:(オプション)FTP サーバのログイン名。ユーザ名を入力しない場合、FTP サーバは匿名ログインであると想定し、パスワードを要求しません。
–Password:(オプション)リモート FTP サーバのパスワード。ユーザ名を入力してパスワードを入力しなかった場合、Guard モジュールはパスワードを入力するように求めます。
• OK :パケットダンプ キャプチャを FTP サーバに保存します。
• Clear :Select FTP Server Parameters フォームに追加した情報をすべて消去します。
• Cancel:パケットダンプ キャプチャを保存せずに Import FTP Server Parameters ウィンドウを閉じます。
ゾーンごとに保存できる手動パケットダンプ キャプチャ ファイルは 1 つだけです。Guard モジュールには、10 を超えるパケットダンプ キャプチャ ファイルを保存できません。新しいキャプチャのためにディスク スペースを確保するには、以前のパケットダンプ キャプチャを削除する必要があります。
パケットダンプ キャプチャを削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 削除するパケットダンプ キャプチャの隣にあるチェックボックスをオンにして、 Delete をクリックします。すべてのパケットダンプ キャプチャを選択するには、テーブルのヘッダーにあるチェックボックスをオンにします。Guard モジュールがパケットダンプ キャプチャをローカル データベースから削除します。
シグニチャは、パケットダンプ キャプチャに含まれている攻撃パケットのペイロードに、共通して現れるパターンです。Guard モジュールをアクティブにして、異常トラフィックのシグニチャを抽出してから、シグニチャを使用して同じタイプの将来の攻撃を迅速に識別することができます。この機能を使用すると、ウィルス対策ソフトウェア会社からシグニチャやメーリング リストが発行される前に、新しい攻撃とインターネット ワームを検出することができます。
シグニチャ抽出プロセスでは、Guard モジュールはフレックスコンテンツ フィルタのパターン式の構文を使用して、攻撃シグニチャを生成します。このシグニチャをフレックスコンテンツ フィルタのパターンとして使用し、異常なトラフィックをフィルタリングして排除できます。詳細については、「ゾーンのフィルタの設定」の「フレックスコンテンツ フィルタのパターンの構文について」の項を参照してください。
• 参照キャプチャを使用したパケットダンプ キャプチャのシグニチャの抽出
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 シグニチャの抽出元となるパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 4 Extract Signatures をクリックします。Guard モジュールがパケットダンプからシグニチャを抽出し、Packet-Dump signature extraction ウィンドウを開きます。 表 11-7 に、Guard モジュールが Packet-Dump signature extraction ウィンドウに表示するシグニチャ情報の説明を示します。
Guard モジュールが表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の手順を参照してください。
パケットダンプ キャプチャ ファイルからシグニチャを抽出して、別のパケットダンプ キャプチャ ファイルを参照ファイルとして指定することができます。この参照ファイルは、トラフィックが通常状態のときに記録されたトラフィック キャプチャ ファイルである必要があります。Guard は、トラフィックが通常状態のときに記録されたトラフィックの中に、シグニチャが存在している時間の割合を特定します。正常のトラフィック状態で記録されたトラフィックに攻撃シグニチャが高い確率で出現しても、攻撃のパターンを意味するとは限りません。
参照ファイルを使用して攻撃シグニチャを抽出するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Diagnostics > Packet Dump list を選択します。 Packet-Dump list 画面が表示されます。
ステップ 3 基準キャプチャとして使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにします。
ステップ 4 参照キャプチャとして使用するパケットダンプ キャプチャの隣にあるチェックボックスをオンにし、 View をクリックします。Packet-Dump capture analysis 画面が表示されます。
ステップ 5 (オプション) Swap Base and Reference をクリックして、2 つのパケット キャプチャを切り替えます。基準キャプチャを参照キャプチャにして、参照キャプチャを基準キャプチャにします。基準キャプチャからシグニチャが抽出されます。
ステップ 6 Extract Signatures をクリックします。Guard モジュールがパケットダンプからシグニチャを抽出し、Packet-Dump signature extraction ウィンドウを開きます。 表 11-8 に、Guard モジュールが Packet-Dump signature extraction ウィンドウに表示するシグニチャ情報の説明を示します。
Guard モジュールが表示するシグニチャの 1 つをフレックスコンテンツ フィルタに追加するには、「フレックスコンテンツ フィルタへの攻撃シグニチャの追加」の手順を参照してください。
Guard モジュール では、パケットダンプ キャプチャから抽出するシグニチャを使用して、フレックスコンテンツ フィルタを構築することができます。 このフレックスコンテンツ フィルタを使用して、攻撃シグニチャに一致するゾーン トラフィックをブロックすることができます。
攻撃シグニチャをフレックスコンテンツ フィルタに追加するには、次の手順を実行します。
ステップ 1 次のいずれかの手順を実行して、パケットダンプ キャプチャからシグニチャを抽出します。
• 参照キャプチャを使用したパケットダンプ キャプチャのシグニチャの抽出
ステップ 2 Packet-Dump signature extraction ウィンドウで、フレックスコンテンツ フィルタで使用するシグニチャを選択します。
ステップ 3 Add をクリックします。Flex-Content Filters > Add filters - step 2 画面が表示されます。
ステップ 4 フレックスコンテンツ フィルタのパラメータを設定します。 表 11-9 に、Flex-Content Filter Form に表示されるフィルタのパラメータの説明を示します。
|
|
---|---|
特定のプロトコルを使用しているトラフィックを処理します。0 ~ 255 のプロトコル番号を入力します。すべてのプロトコル タイプを指定するには、アスタリスク(*)を入力します。 有効なプロトコル番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
特定の宛先ポートに向かうトラフィックを処理します。0 ~ 65535 の宛先ポート番号を入力します。すべての宛先ポートを指定するには、アスタリスク(*)を入力します。 有効なポート番号のリストについては、次の Internet Assigned Numbers Authority(IANA)の Web サイトを参照してください。 |
|
指定した式に基づいてトラフィックをフィルタリングします。フィルタの式の規則は、フレックスコンテンツ フィルタの式の規則と同じです(「ゾーンのフィルタの設定」の「フレックスコンテンツの式の構文について」を参照)。使用する式を入力します。 |
|
Guard モジュールは、選択されたパケットダンプのシグニチャを Pattern フィールドにコピーします。この結果、パケットの内容と照合するための正規表現データ パターンが指定されます。 |
|
データ パターン式で大文字と小文字を区別するかどうかを指定します。大文字と小文字を区別するデータ パターン式として定義するには、チェックボックスをオンにします。 |
|
パケットの内容の先頭から、パターン マッチングを開始する位置までのオフセットを指定します(バイト単位)。デフォルトは 0(ペイロードの先頭)です。開始オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
パケットの内容の先頭から、パターン マッチングを終了する位置までのオフセットを指定します(バイト単位)。デフォルトは、パケット長(ペイロードの末尾)です。終了オフセットは、pattern フィールドに適用されます。0 ~ 2047 の整数を入力します。 |
|
トラフィックに対してフレックスコンテンツ フィルタが実行するアクションを指定します。 アクションを Action ドロップダウン リストから選択します。 |
|
動作状態を State ドロップダウン リストから選択します。 • enable :Guard モジュールはフレックスコンテンツ フィルタをトラフィック フローに適用し、一致が検出されると設定されたアクションを実行します。 |
• OK :新しいフレックスコンテンツ フィルタを保存します。Flex-Content filters 画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel: 情報を保存せずに Flex-Content filters 画面を終了します。