genie_japan のすべての投稿

GenieATM本体のセキュリティを高めたい

以下の方法があります。

  1. 経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする
  2. アクセス制限により必要な通信のみ許可する
  3. システム管理者(GUI)のアクセス制限を行う
  4. CLIログイン失敗時にsyslog出力を行う。
  5. Telnetを無効化する
  6. HTTP通信をHTTPS通信に強制的にリダイレクトする
  7. ログインパスワードおよびenableパスワードを変更する(CLI)

経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする

デフォルト経路を設定すると意図しないグローバルインターネット空間への通信が発生する場合があります。GenieATMへアクセスする端末が管理セグメント等の特定のアドレス空間のみであれば、その特定空間への経路を設定します。

設定例:192.168.0.0/16 からのみアクセスを許可する(ゲートウェイアドレスを192.168.0.1とする)

ip route 192.168.0.0 255.255.0.0 192.168.0.1 0

補足: デフォルト経路を設定する場合は以下です。

     ip route 0.0.0.0 0.0.0.0 192.168.0.1 0

アクセス制限により必要な通信のみ許可する

GenieATMへのアクセスを必要なホストやセグメントのみに限定します。

GenieATMシステム管理に必要な通信を除外しないようにご注意ください。

GenieATMへの必要な通信例:

  • SSH (tcp/22)
  • HTTPS(tcp/443)
  • ルータから到来するxFlowパケット(udp/2055など)

 

コマンド詳細

 


システム管理者(GUI)のアクセス制限を行う

GUIアクセスにおいてシステム管理者アカウントでログインを特定のホストやセグメントのみに限定することでセキュリティを高めます。管理者以外のユーザはこの制限を受けません。

access groupコマンドではWebアクセス(HTTP/HTTPS)の一律的な制限ですが、本設定では管理者と一般ユーザを区別してアクセス制限を行えます。

 コマンド詳細

 


CLIログイン失敗時にsyslog出力を行う。

CLIログインに失敗した場合にsyslog通知できます。本機能はversion 5.6.4 以降で利用可能です。

          設定例:

logging server 192.168.0.10
logging on

Telnetを無効化する

GenieATMのTelnetサービスを無効化します。これによりCLIアクセスを平文による通信でなく、Sshによる暗号化通信のみに限定することが可能です。

コマンド詳細


HTTP通信をHTTPS通信に強制的にリダイレクトする

GenieATMへのHTTPプロトコルによる通信を強制的にHTTPSプロトコルにリダイレクトします。これによりGUIアクセスをHTTPSによる暗号化通信に限定できます。

設定例:

web-server https redirection

ログインパスワードおよびenableパスワードを変更する(CLI)

CLIアクセスのログインパスワードおよびenableパスワードを変更します。

設定例:(下記の”XXXXX”部分は変更するパスワード文字列に置き換えてください)

password XXXXX
enable password  XXXXX

 

disable telnet service

GenieATMへのTelnetアクセスを無効化します。

書式

[no] disable telnet service

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • GenieATMへのTelnetアクセスを無効化します。
  • 設定を無効にするには,no disable telnet serviceコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • GenieATMから他ホストへのTelnetは可能です。
  • 本設定はversion 5.6.4 以降で利用可能です。

実行例

(config)# disable telnet service
% Disable telnet service
Stopping internet superserver: xinetd.
Starting internet superserver: xinetd.
(config)# show running
#### show running configure ####
!
(中略)
  disable telnet service
(中略)
!
!
(config)# 

GenieATMではSNMPが必要ですか? 使う/使わないでどのような違いがありますか?

GenieATMはSNMPでルータと設定やトラヒック情報のやり取りを行います。SNMPの利用は必須ではありませんが、以下の理由でご利用をおすすめします。

SNMPを利用するとできること

  • ルータのインターフェース登録が容易に行えます。SNMPを使わない場合は個別に手動での登録が必要です。
  • ルータのインターフェース毎のトラヒックレポートがxFlowとSNMP(IF MIB)の両方で作成できます。これにより双方が比較できて、ルータ側のxFlow設定の不足等が見つけやすくなります。
  • インターフェースの利用率やパケット廃棄等の検知が行えます。
    • xFlowでもトラヒック量の監視は可能です。
    • SNMP で可能なインターフェースの監視項目:CRCエラー、インターフェース利用率、パケット廃棄、マルチキャスト&ブロードキャストトラヒック割合
  • ルータのCPUとメモリの使用率のレポート作成が可能です。

特定のネットワークのトラヒックについてASパス分析をしたい

監視対象のネットワークにおいて、特定のネットワークのトラヒックについてASパスの分析をする場合です。
ここでは特定のネットワークをサブネットワークとして設定しています。
サブネットワークへの入力方向と出力方向のトラヒックを別々のレポートとして作成しています。
入力と出力を同一レポートに含めることも可能ですが、見難くなるので別個のレポートにしています。

DNS オープンリゾルバを検知したい

アプリケーション異常で検知可能です。

Webの システム管理 > ネットワーク > 異常状態 > [tab]アプリケーション異常 にて新規設定を追加します。
攻撃タイプを”ワーム”にしてください。
ベースラインが閾値になります。この例だとDNSクエリの応答パケット(送信元ポート udp/53)が 500pps を超えると検知します。値は調整してください。

openresolverconf

検知スコープが”ホーム”の場合、発信元がホームネットワークに該当する場合に検知対象となります。
(ホームネットワークは システム管理 > ネットワーク > ホームネットワーク で設定します)

openresolverconf2

設定後、ディスパッチを行います。
(システム管理 > 構成 にて実施)

閾値をこえるDNSクエリへの応答パケットが発生した場合、このように検知します。
(画面例はテストのため閾値を低くしています)

resolver

anomaly-resolver1

特定のセグメントについてホスト毎やAS毎にトラヒック分類したい

特定のセグメントのなかに大量の通信を行っているホストやASを継続して可視化したいという場合は、サブネットワークを利用すると便利です。

ホスト毎であればトップトーカーを使うと便利です。
AS毎であればOrigin ASNレポートが便利です。

下記スライドの”SUB-NETWORK TRAFFIC ANALYSIS”を参考にしてください。

ISPが使うと便利なAS分析の設定について

運用で便利なAS分析レポートの例です。
末尾のスライドにレポート画面例とその設定例があります。

  1. オリジンAS毎のトラヒック分類
    • 自網全体のトラヒックについてのAS分析ができます。
  2. ピアAS毎のトラヒック分類
    • ピアAS毎のトラヒック量が見えます。各ピアの評価に便利です。
  3. ピアリング評価のためのピアリング分析
    • 各ピアにおいて、通過(トランジット)しているトラヒックとピア先と直接交換しているトラヒックの割合について見えます。トランジットの評価に便利です。
  4. ネイバー毎のオリジンAS分析
    • 2.はネイバー毎のトラヒック総量をグラフ化しますが、こちらはその各ネイバーについてのオリジンASのトラヒック分類を行います。特定ASのトラヒックを異なるトランジット先に移動させたい等の計画に便利です。
  5. ASパス毎のトラヒック分類
    • 大きなトラヒックのうち、ASパスが長いものを抽出できます。ピアリングの見直しに役立ちます。

 

 

デバイス連携のミチゲーションポリシーが発動しない

GenieATMはA10 Thunder TPSやRadware DefensePro等のミチゲーションデバイスと連携してDDoS攻撃を防御する機能を持っています。
ブラックホールポリシーと同様のミチゲーションポリシーをあらかじめ定義しておき,特定のホストへの攻撃を検知したときに当該ホストへのトラフィックへの経路をミチゲーションデバイスに向けることで防御を行います。

ミチゲーション動作の仕組み

デバイス連携の自動ミチゲーションを有効にしていたにもかかわらず,防御対象のIPアドレスに対する攻撃が検出されたときに,ポリシーが発動しない場合があります。その場合,すでに発動中のミチゲーションアクションによりポリシーに設定したデバイスの帯域が埋まっている可能性があります。

ミチゲーションデバイス連携ポリシーの設定画面には,下のような帯域設定項目があります。これは,デバイスのキャパシティを超えて異常トラフィックが流れ込まないようにするための機能です。

ミチゲーションポリシーの帯域設定

例えば,帯域を1Gbpsに設定しているデバイスに現在発動中のミチゲーションにより合計1Gbps超のトラフィックがすでに流入している場合,当該デバイスについて新たなミチゲーションは発動されません。ただし,ブラックホールポリシーなどほかのタイプのポリシーが定義されている場合は,そちらが発動します。

関連トピック

Blackholeポリシーが機能しない