GenieATM本体のセキュリティを高めたい

以下の方法があります。

  1. 経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする
  2. アクセス制限により必要な通信のみ許可する
  3. システム管理者(GUI)のアクセス制限を行う
  4. CLIログイン失敗時にsyslog出力を行う。
  5. Telnetを無効化する
  6. HTTP通信をHTTPS通信に強制的にリダイレクトする
  7. ログインパスワードおよびenableパスワードを変更する(CLI)

経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする

デフォルト経路を設定すると意図しないグローバルインターネット空間への通信が発生する場合があります。GenieATMへアクセスする端末が管理セグメント等の特定のアドレス空間のみであれば、その特定空間への経路を設定します。

設定例:192.168.0.0/16 からのみアクセスを許可する(ゲートウェイアドレスを192.168.0.1とする)

ip route 192.168.0.0 255.255.0.0 192.168.0.1 0

補足: デフォルト経路を設定する場合は以下です。

     ip route 0.0.0.0 0.0.0.0 192.168.0.1 0

アクセス制限により必要な通信のみ許可する

GenieATMへのアクセスを必要なホストやセグメントのみに限定します。

GenieATMシステム管理に必要な通信を除外しないようにご注意ください。

GenieATMへの必要な通信例:

  • SSH (tcp/22)
  • HTTPS(tcp/443)
  • ルータから到来するxFlowパケット(udp/2055など)

 

コマンド詳細

 


システム管理者(GUI)のアクセス制限を行う

GUIアクセスにおいてシステム管理者アカウントでログインを特定のホストやセグメントのみに限定することでセキュリティを高めます。管理者以外のユーザはこの制限を受けません。

access groupコマンドではWebアクセス(HTTP/HTTPS)の一律的な制限ですが、本設定では管理者と一般ユーザを区別してアクセス制限を行えます。

 コマンド詳細

 


CLIログイン失敗時にsyslog出力を行う。

CLIログインに失敗した場合にsyslog通知できます。本機能はversion 5.6.4 以降で利用可能です。

          設定例:

logging server 192.168.0.10
logging on

Telnetを無効化する

GenieATMのTelnetサービスを無効化します。これによりCLIアクセスを平文による通信でなく、Sshによる暗号化通信のみに限定することが可能です。

コマンド詳細


HTTP通信をHTTPS通信に強制的にリダイレクトする

GenieATMへのHTTPプロトコルによる通信を強制的にHTTPSプロトコルにリダイレクトします。これによりGUIアクセスをHTTPSによる暗号化通信に限定できます。

設定例:

web-server https redirection

ログインパスワードおよびenableパスワードを変更する(CLI)

CLIアクセスのログインパスワードおよびenableパスワードを変更します。

設定例:(下記の”XXXXX”部分は変更するパスワード文字列に置き換えてください)

password XXXXX
enable password  XXXXX

 

disable telnet service

GenieATMへのTelnetアクセスを無効化します。

書式

[no] disable telnet service

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • GenieATMへのTelnetアクセスを無効化します。
  • 設定を無効にするには,no disable telnet serviceコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • GenieATMから他ホストへのTelnetは可能です。
  • 本設定はversion 5.6.4 以降で利用可能です。

実行例

(config)# disable telnet service
% Disable telnet service
Stopping internet superserver: xinetd.
Starting internet superserver: xinetd.
(config)# show running
#### show running configure ####
!
(中略)
  disable telnet service
(中略)
!
!
(config)# 

GenieATMではSNMPが必要ですか? 使う/使わないでどのような違いがありますか?

GenieATMはSNMPでルータと設定やトラヒック情報のやり取りを行います。SNMPの利用は必須ではありませんが、以下の理由でご利用をおすすめします。

SNMPを利用するとできること

  • ルータのインターフェース登録が容易に行えます。SNMPを使わない場合は個別に手動での登録が必要です。
  • ルータのインターフェース毎のトラヒックレポートがxFlowとSNMP(IF MIB)の両方で作成できます。これにより双方が比較できて、ルータ側のxFlow設定の不足等が見つけやすくなります。
  • インターフェースの利用率やパケット廃棄等の検知が行えます。
    • xFlowでもトラヒック量の監視は可能です。
    • SNMP で可能なインターフェースの監視項目:CRCエラー、インターフェース利用率、パケット廃棄、マルチキャスト&ブロードキャストトラヒック割合
  • ルータのCPUとメモリの使用率のレポート作成が可能です。

特定のネットワークのトラヒックについてASパス分析をしたい

監視対象のネットワークにおいて、特定のネットワークのトラヒックについてASパスの分析をする場合です。
ここでは特定のネットワークをサブネットワークとして設定しています。
サブネットワークへの入力方向と出力方向のトラヒックを別々のレポートとして作成しています。
入力と出力を同一レポートに含めることも可能ですが、見難くなるので別個のレポートにしています。

DNS オープンリゾルバを検知したい

アプリケーション異常で検知可能です。

Webの システム管理 > ネットワーク > 異常状態 > [tab]アプリケーション異常 にて新規設定を追加します。
攻撃タイプを”ワーム”にしてください。
ベースラインが閾値になります。この例だとDNSクエリの応答パケット(送信元ポート udp/53)が 500pps を超えると検知します。値は調整してください。

openresolverconf

検知スコープが”ホーム”の場合、発信元がホームネットワークに該当する場合に検知対象となります。
(ホームネットワークは システム管理 > ネットワーク > ホームネットワーク で設定します)

openresolverconf2

設定後、ディスパッチを行います。
(システム管理 > 構成 にて実施)

閾値をこえるDNSクエリへの応答パケットが発生した場合、このように検知します。
(画面例はテストのため閾値を低くしています)

resolver

anomaly-resolver1

特定のセグメントについてホスト毎やAS毎にトラヒック分類したい

特定のセグメントのなかに大量の通信を行っているホストやASを継続して可視化したいという場合は、サブネットワークを利用すると便利です。

ホスト毎であればトップトーカーを使うと便利です。
AS毎であればOrigin ASNレポートが便利です。

下記スライドの”SUB-NETWORK TRAFFIC ANALYSIS”を参考にしてください。

ISPが使うと便利なAS分析の設定について

運用で便利なAS分析レポートの例です。
末尾のスライドにレポート画面例とその設定例があります。

  1. オリジンAS毎のトラヒック分類
    • 自網全体のトラヒックについてのAS分析ができます。
  2. ピアAS毎のトラヒック分類
    • ピアAS毎のトラヒック量が見えます。各ピアの評価に便利です。
  3. ピアリング評価のためのピアリング分析
    • 各ピアにおいて、通過(トランジット)しているトラヒックとピア先と直接交換しているトラヒックの割合について見えます。トランジットの評価に便利です。
  4. ネイバー毎のオリジンAS分析
    • 2.はネイバー毎のトラヒック総量をグラフ化しますが、こちらはその各ネイバーについてのオリジンASのトラヒック分類を行います。特定ASのトラヒックを異なるトランジット先に移動させたい等の計画に便利です。
  5. ASパス毎のトラヒック分類
    • 大きなトラヒックのうち、ASパスが長いものを抽出できます。ピアリングの見直しに役立ちます。

 

 

異常トラフィック検出機能 – トラフィック異常

GenieATMが持つ3種類の異常トラフィック検出機能のうち,トラフィック異常についてご説明します。

トラフィック異常検出機能は,規定されたネットワークリソース内のトラフィック総量を監視し,あらかじめ設定された範囲を外れたことを検出・通知します。

以下のような特徴があります。

  • サブネットワーク,フィルタ,ルータ・インターフェースのトラフィックを監視対象とすることができます。
  • bpsベースとppsベースの閾値が設定できます。(両方設定した場合はそれぞれが独立に判定されます)また,ルータ・インターフェースの監視では,回線使用率やCRCエラー数なども閾値として使用できます。
  • 閾値として上限値だけでなく下限値も指定することができます。
  • 上り・下りのトラフィックに対して異なる閾値を設定することができます。
  • すべてのトラフィックを監視対象とするため,シグニチャの概念はありません。ただし,閾値の組み合わせをテンプレートとして管理することができます。
  • 毎時0分,5分,10分...からの5分間の平均トラフィック量が閾値を上回る(下回る)と検出されます。
  • 検出時に自動的にミチゲーションを発動することはできません。
  • 過去の一定期間のトラフィック量をもとに動的に上限閾値を決定することができます。

関連トピック

3種類の異常トラフィック検出機能の比較