この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Guard モジュールのゾーンを作成し、管理する方法について説明します。
• ゾーンの概要
• ゾーン保護のアクティベーション方式と保護範囲のオプション
• ゾーンの削除
ゾーンは、Guard モジュールで DDoS 攻撃からの保護の対象となるネットワーク要素です。次のいずれかまたはすべてのネットワーク オブジェクトを表現するゾーンを作成できます。
• ネットワーク サーバ、ネットワーク クライアント、ルータ
• ネットワーク リンクまたはサブネット、またはネットワーク全体
Guard モジュールは、ゾーンのネットワーク アドレスの範囲が重なっていなければ、複数のゾーンを同時に保護できます。次のアトリビュートを含むゾーン設定を作成して、新しいゾーンを定義します。
• ゾーンのネットワーク定義:ゾーンのネットワーク IP アドレスとサブネット マスクを含んだ、ゾーンのネットワーク アトリビュートを定義します。
• ポリシー テンプレート:ラーニング プロセスの実行時に Guard モジュールが作成するポリシーのタイプを定義します。各ゾーン テンプレートには、一連のポリシー テンプレートが含まれています。
• ポリシー:ゾーンのトラフィックを分析し、ゾーンが異常なトラフィックを受信したときにアクションを実行します。各ゾーンの設定は、それぞれ独自のポリシー セットで構成されています。これらのポリシーは、ゾーン テンプレートから作成されたデフォルトのポリシー、またはラーニング プロセス実行中に作成されたゾーン固有のポリシーのいずれかです。ゾーンのトラフィックがいずれかのポリシーのしきい値を超過すると、攻撃と見なされ、そのポリシーはアクションを実行します。ポリシーのアクションは、通知の送信から、トラフィックへの Guard モジュールのスプーフィング防止機能またはゾンビ防止機能の適用や、悪意のあるトラフィックのドロップにまで及びます。
• ゾーン フィルタ:ゾーン トラフィックを必要な保護レベルに誘導し、特定のトラフィック フローを Guard モジュールが処理する方法を定義します。ゾーン フィルタを使用すると、特定のトラフィック フローをカウントすることや、Guard モジュールの異常検出機能をバイパスすることができます。デフォルトのフィルタ設定を変更することで、トラフィック フローに Guard モジュールがどの異常検出機能を適用するかを判別するようにカスタマイズしたゾーン フィルタ設定を作成できます。
• 定義済みのゾーン テンプレートを使用する:Guard モジュールのゾーン テンプレートのいずれかに関する設定に基づいてゾーンを作成します。各ゾーン テンプレートには、ネットワーク サービスおよびポリシーしきい値を定義する、あらかじめ定義された一連のポリシーがあります。これらのポリシーは、オンデマンド保護に使用されます。また、ゾーン テンプレートには、ラーニング プロセス中にゾーン トラフィックを分析して、検出した各サービスのポリシーを作成するときに Guard モジュールが使用する、一連のポリシー テンプレートもあります。ラーニング プロセス中に Guard モジュールが作成する新しいポリシーは、ぞれぞれ対応するポリシー テンプレートの規則を使用して構築されます。
• 既存のゾーンをテンプレートとして使用する:既存のゾーンのポリシーとポリシーのしきい値を含んでいる、既存のゾーン設定に基づいて新しいゾーンを作成します。新しいゾーンのトラフィック特性が既存のゾーンと一致している場合は、新しいゾーンに対してラーニング プロセスを実行する必要はありません。2 つのゾーンのトラフィック特性が異なる場合は、Guard モジュールがゾーン トラフィックを分析して、新しいゾーン設定に必要なポリシー変更を加えることができるよう、新しいゾーンに対してラーニング プロセスを実行する必要があります。
ゾーン設定を定義する場合は、ゾーン保護を自動的にアクティブにするために Guard モジュールが使用するトリガー(アクティベーション方式)を定義するオプションを使用できます。また、Guard モジュールが保護する領域の範囲を定義することもできます。たとえば、Guard モジュールでは、ゾーン全体を保護することも、ゾーン内の特定の領域だけを保護することもできます。
• ゾーン保護の範囲
Guard モジュールでは、ゾーン名、または宛先変更されたトラフィックから抽出する情報に基づいて、ゾーン保護をアクティブにできます。
• ゾーン名:Guard は、ゾーン名に基づいてゾーン保護をアクティブにします。保護がアクティブになるには、外部から示される攻撃の兆候にゾーン名が含まれている必要があります。これは、ゾーン保護をアクティブにするために Guard モジュールが使用するデフォルトの方式です。
• IP アドレス:Guard は、ゾーンの一部である IP アドレスまたはサブネットで構成された外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。Guard はゾーンのデータベースをスキャンし、受信 IP アドレスまたはサブネットを含むアドレス範囲を持つゾーンをアクティブにします。受信 IP アドレスを含むアドレス範囲を持つ複数のゾーンが設定されている場合、Guard は、プレフィックスが最も長く一致するゾーンをアクティブにすることを選択します。つまり、受信した IP アドレスが含まれていて、アドレス範囲が最も詳細に特定されるゾーンです。受信した IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に全体が含まれている必要があります。
• パケット:Guard は、データベースでゾーンのパケットを受信した場合に、ゾーン保護をアクティブにします。Guard がパケットを受信すると、ゾーンのデータベースをスキャンし、受信パケットの IP アドレスを含むアドレス範囲を持つゾーンをアクティブにします。受信パケットの IP アドレスを含むアドレス範囲を持つ複数のゾーンが設定されている場合、Guard は、プレフィックスが最も長く一致するゾーンをアクティブにします。つまり、受信したパケットの IP アドレスが含まれていて、アドレス範囲が最も詳細に特定されるゾーンです。受信した IP アドレスまたはサブネットは、ゾーンの IP アドレス範囲に全体が含まれている必要があります。
• IP アドレスまたはパケット:Guard モジュールは、ゾーンを宛先とするトラフィック(パケット)を受信した場合、またはゾーンのアドレス範囲の一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、ゾーン保護をアクティブにします。詳細については、上記の「パケット」および「IP アドレス」の説明を参照してください。
アクティベーション範囲は、Guard が外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部に対して保護モードをアクティブにするかどうかを定義します。この兆候は、Cisco Traffic Anomaly Detector などの外部デバイスまたはゾーン(パケット)を宛先とするトラフィックからのコマンドで示されます。
Guard は、次のアクティベーション範囲をサポートします。
• ゾーン全体:ゾーン全体の保護をアクティブにします。Guard は、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合に、保護をアクティブにします。
• IP アドレスのみ:ゾーン内部の指定した IP アドレスまたはサブネットのみ保護をアクティブにします。Guard は、ゾーンを宛先とするトラフィックを受信した場合、またはゾーンの一部である IP アドレスまたはサブネットで構成される外部からの攻撃の兆候を受信した場合、サブゾーンと呼ばれる新しいゾーンを作成します(次の項の「サブゾーンについて」を参照)。これが、アクティベーション範囲パラメータのデフォルト設定です。
ゾーンの一部(ソース ゾーンのすべての IP アドレス範囲を含まないゾーン)に対して保護モードをアクティブにした場合、Guard はサブゾーンを作成します。サブゾーンの IP アドレス範囲は、ソース ゾーンのアドレス範囲に含まれています。
サブゾーンの設定は、IP アドレスと名前を除いてソース ゾーンの設定と同じです。サブゾーンの名前は、ソース ゾーンの名前の最初の 30 文字、IP アドレス、およびサブネットで構成され、名前、IP アドレス、およびサブネットはアンダースコアで連結されています。サブゾーンが単一の IP アドレスで構成されている場合には、サブネットは付加されません。たとえば、ソース ゾーンの名前が scannet で、アドレス範囲 10.10.10.0 とサブネット 255.255.255.0 を持つとき、Guard が IP アドレス 10.10.10.192 の内部範囲およびサブネット 255.255.255.252 に対して保護モードをアクティブにする場合、サブゾーンの名前は
scannet_10.10.10.192_255.255.255.252 となります。
サブゾーンの IP アドレスおよびサブネットは、Guard が外部からの攻撃の兆候で受信したもの、または Guard が保護モードをアクティブにする原因となったパケットの IP アドレスです。
サブゾーンの保護モードが終了すると、Guard はサブゾーンを消去します。サブゾーンの保護モードは、通常のゾーンの保護モードを終了するときと同様に、アクティベーション方式および保護の終了のタイムアウトに基づいて終了します。
ゾーン テンプレートを使用して新しいゾーンを作成するには、次の手順を実行します。
ステップ 1 次のいずれかの方法で、Create Zone 画面を表示します。
• ナビゲーション ペインの Guard Summary をクリックして Guard モジュールの要約メニューを表示し、次のメニュー オプションのいずれかを選択します。
– Zones > Zone list を選択し、Zone list 画面で Add をクリックする
• ナビゲーション ペインで任意のゾーンをクリックしてゾーンのメイン メニューを表示し、そのメニューから Main > Create Zone を選択します。
ステップ 2 表 4-1 の説明に従って、ゾーンの設定のパラメータを設定します。
|
|
---|---|
新しいゾーンの名前。先頭を英字にして、1 ~ 63 文字の英数字文字列を入力します。文字列にアンダースコア(_)を含めることはできますが、スペースを含めることはできません。 |
|
攻撃の進行中に Guard モジュールが操作するゾーンの動作モード。Operation mode ドロップダウン リストから、次のいずれかを選択します。 • Automatic :Guard モジュールは、攻撃の進行中に動的フィルタを作成し、そのすべてを自動的にアクティブにします。 • Interactive: 攻撃の進行中に Guard モジュールが作成し、Guard モジュールの推奨事項として表示する動的フィルタを受け入れるか、無視するかをユーザが決定します。 ゾーンの動作モードの詳細については、「ゾーン保護のアクティブ化」の「ゾーンの動作モードの変更」の項を参照してください。 |
|
ゾーンの設定で使用されるポリシーを定義するゾーン テンプレート。Template ドロップダウン リストから、次のいずれかを選択します。 • GUARD_DEFAULT :デフォルトのゾーン テンプレート。Guard モジュールは、パケットの送信元 IP アドレスを Guard モジュールの TCP プロキシ IP アドレスに変更する場合があります。このゾーン テンプレートは、該当のゾーン ネットワークの着信 IP アドレスに基づく IP ベースのアクセス リスト(ACL)、アクセス ポリシー、またはロード バランシング ポリシーを使用しない場合に使用することができます。 • GUARD_TCP_NO_PROXY:TCP プロキシを使用しないゾーン用に設計されたゾーン テンプレート。このテンプレートは、インターネット リレー チャット(IRC)サーバ タイプ ゾーンなど、ゾーンが IP アドレスに基づいて運用されている場合に使用できます。 |
|
• 帯域幅限定リンク テンプレート :小規模なカスタマー(ゾーン)による大規模なネットワークに関係するアプリケーションを主な対象として、特定のサーバまたはサービスではなく、リンクに対する攻撃を検出するために設計されたゾーン テンプレート。リンク テンプレートをこの目的で使用するには、カスタマー(ゾーン)を既知の帯域幅ごとにセグメント化できる必要があります。リンク テンプレートを使用して新しいゾーンを作成するときは、protect-ip state を only-dest-ip にしてゾーンを定義することをお勧めします。帯域幅限定リンク ゾーン テンプレートは、128 Kbps、1 Mbps、4 Mbps、および 512 Kbps の各リンク用が用意されています。 リンク テンプレートで作成されるポリシーは、オンデマンドの保護を必要とするアプリケーションに使用できるように設定されます。リンク テンプレートを使用するときは、ラーニング プロセスのポリシー構築フェーズを実行することはできません。ただし、しきい値調整フェーズは実行できます(「ゾーンのトラフィックのラーニング」の「ラーニング プロセスの概要」の項を参照)。 これらのゾーンについては、ステップ 4 で |
|
Guard モジュールがネットワークに再び注入できるトラフィックの量。帯域幅の値は、ゾーンへの送信で測定された最大の帯域幅に設定します。帯域幅の最大値が不明な場合は、 Max. Rate フィールドおよび Burst フィールドをブランクのままにして、ドロップダウン リストから無制限の単位( unlimit )を選択します。 最大レートの整数を入力し、ドロップダウン リストから次のいずれかの測定単位を選択します。 • unlimit :このデフォルト設定は、Guard モジュールがネットワークに再び注入するトラフィックのレートを制限しない場合に使用します。unlimit を選択した場合、最大レート値を入力しないでください。 |
|
最大レート(上記の Max. Rate を参照)を超えない範囲で Guard モジュールがゾーンに再び注入できるトラフィックの最大バースト サイズ。バースト サイズ レートの整数を入力します。Guard モジュールでは、バースト パラメータ用に、最大レート(Max. Rate)の測定単位を使用します。 |
|
ドロップされるゾーン パケットの最小レート。レートがこのしきい値より低くなった場合、Guard がゾーンの保護モードを終了することがあります。Guard は、保護メカニズム(動的フィルタ、フレックスコンテンツ フィルタ、およびレート リミッタ)が攻撃の一部として識別したゾーン パケットをドロップします。ドロップされるパケットは、ゾーンの Dropped カウンタを使用してカウントされます。Malicious-rate detection threshold のデフォルトは、10 パケット/秒(pps)です。 |
|
Guard モジュールが保護モードを終了できる時刻。Guard モジュールでは、作成する動的フィルタをチェックすることで攻撃が終了したかどうかを確認します。使用中になっている動的フィルタがなく、事前定義されている期間内に新しい動的フィルタが作成されなかった場合、Guard モジュールは保護モードを非アクティブにします。1 秒以上の値を入力します。無期限にすることもできます。 |
|
このしきい値は、Malicious-rate termination threshold とともに使用して、Guard モジュールが動的フィルタを非アクティブにできるタイミングを指定します。このしきい値は、パケット/秒(pps)単位で定義します。 |
|
このしきい値は Filter-rate termination threshold とともに使用して、 Guard モジュール が動的フィルタを非アクティブにできるタイミングを指定します。このしきい値は、パケット/秒(pps)単位で定義します。 |
|
• OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示され、ゾーンの設定情報が示されます。
全般ビュー画面に表示される Activation および Packet-Dump のパラメータを設定するには、 Config をクリックして Config 画面を表示し、次のステップに進みます。
–Activation のパラメータを設定する場合は、ステップ 4
–Packet Dump のパラメータを設定する場合は、ステップ 5
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Create Zone 画面を終了します。Zone List 画面が表示されます。
ステップ 4 表 4-2 の説明に従って、Activation 領域のパラメータを設定します。
|
|
---|---|
保護のアクティベーション方式。この方式により、外部からの攻撃の兆候を受信した場合に Guard モジュールがゾーン保護をアクティブにするゾーンを特定する方法が決まります。デフォルトでは、Guard モジュールは、ゾーン名に基づいてゾーン保護をアクティブにします。ゾーン名を使用せずにゾーンの保護をアクティブにするには、代替となる次のアクティベーション方式のいずれかまたは両方を選択します。 • By packet :Guard モジュールは、受信パケットの宛先 IP アドレスに基づいて、ゾーン保護をアクティブにします。Guard モジュールはゾーンのデータベースをスキャンし、受信パケットの宛先 IP アドレスを含むアドレス範囲を持つゾーンをアクティブにします。 • By IP address :Guard モジュールは、受信 IP アドレスに基づいてゾーン保護をアクティブにします。Guard モジュールはゾーンのデータベースをスキャンし、受信 IP アドレスまたはサブネットを含むアドレス範囲を持つゾーンをアクティブにします。 パケットまたは IP アドレスによる保護のアクティベーションを選択した場合、ゾーンが攻撃されたときは、トラフィックを Guard モジュールに手動で宛先変更する必要があります。Activation interface のオプションの詳細については、「保護のアクティベーション方式」の項を参照してください。 |
|
Guard が、外部からの攻撃の兆候を受信した場合に、ゾーン全体またはゾーンの一部のどちらに対してゾーン保護をアクティブにするかを定義します。 • IP address only :ゾーン内部の指定した IP アドレスまたはサブネットのみ保護をアクティブにします。これがデフォルトのアクティベーション範囲設定です。 • Entire zone :ゾーン全体の保護をアクティブにします。 Activation extent のオプションの詳細については、「ゾーン保護の範囲」の項を参照してください。 |
|
ステップ 5 表 4-3 の説明に従って、Packet Dump 領域のパラメータを設定します。
|
|
---|---|
既存のゾーンをテンプレートとして使用して新しいゾーンを作成するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで、ゾーン テンプレートとして使用するゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Main > Save as を選択します。 Zone Save as 画面が表示されます。
ステップ 3 新しいゾーンの名前を定義します。Name テキスト フィールドに、ゾーン名を 1 ~ 63 文字の英数字文字列で入力します。この文字列は英字で始まる必要があり、アンダースコアを含むことができますが、スペースを含むことはできません。
• OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Zone Save as 画面を終了します。 ゾーンの全般ビュー画面が表示されます。
ゾーンの設定のパラメータを変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビューが表示されます。
ステップ 3 最初のテーブルの下にある Config をクリックします。Config Zone 画面が表示されます。
ステップ 4 目的のゾーン パラメータを変更します(パラメータについては、 表 4-1 を参照)。
• OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。
• Clear :フォームの情報をデフォルト値に戻し、追加した情報をすべて消去します。
• Cancel:情報を保存せずに Zone Save as 画面を終了します。 ゾーンの全般ビュー画面が表示されます。
ゾーンの設定に IP アドレスを追加するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビューが表示されます。
ステップ 3 2 番目のテーブルの下にある Add をクリックします。Add Zone IP 画面が表示されます。
• OK :新しいゾーン設定を保存します。ゾーンの全般ビュー画面が表示されます。
• Cancel :情報を保存せずに Add Zone IP 画面を終了します。ゾーンの全般ビュー画面が表示されます。
ゾーンの IP アドレスまたはサブネットを変更する場合は、次のいずれかの作業を実施します。
• 新しい IP アドレスまたはサブネットが、ゾーンのネットワークに定義されていなかった新しいサービスで構成されている場合は、ゾーンで検出をアクティブにする前にポリシー構築フェーズをアクティブにするか、サービスを手動で追加します。詳細については、次の項を参照してください。
–「ゾーンのトラフィックのラーニング」の「ポリシー構築フェーズの開始」 の項
• ゾーンの動作状態が Detect and Learn である場合は、ゾーンのポリシーを未調整としてマークします。ゾーンに対する攻撃がある場合は、ゾーン ポリシーのステータスを未調整に変更しないでください。これは、ステータスを変更すると Guard モジュールで攻撃が検出されなくなり、Guard モジュールが悪意のあるトラフィックのしきい値をラーニングするためです。詳細については、「ゾーンのトラフィックのラーニング」の「ゾーンのポリシーに対する調整済みまたは未調整のマーク付け」の項を参照してください。
• ゾーンの動作状態が Detect and Learn ではなく、Detect and Learn 動作状態をアクティブにする予定もない場合は、ゾーンで検出をアクティブにする前にしきい値調整フェーズをアクティブにします。詳細については、「ゾーンのトラフィックのラーニング」の「しきい値調整フェーズの開始」の項を参照してください。
ゾーンの設定から IP アドレスを削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインでゾーンを選択します。ゾーンのメイン メニューが表示されます。
ステップ 2 ゾーンのメイン メニューの Configuration > General を選択します。ゾーンの全般ビューが表示されます。
ステップ 3 削除する各 IP アドレスの隣にあるチェックボックスをオンにします。表示されている IP アドレスをすべて削除するには、ヘッダーの IP カラムの隣にあるチェックボックスをオンにします。
ステップ 4 2 番目のテーブルの下にある Delete をクリックします。ゾーンの設定とゾーンの全般ビュー画面から IP アドレスが削除されます。
1 つまたはそれ以上のゾーンを削除するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュール のメイン メニューの Zones > Zone list を選択します。Zone list 画面が表示されます。
ステップ 3 削除する各ゾーンの隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているゾーンをすべて削除するには、Zone の隣にあるチェックボックスをオンにし、 Delete をクリックします。削除の確認画面が表示されます。
• OK :ゾーンを削除して Zone list 画面を表示します。
• Cancel :ゾーンの削除要求を無視して Zone list 画面を表示します。