カテゴリー別アーカイブ: 設定

GUI,CLIからの設定に関するトピックスです。

GenieATM本体のセキュリティを高めたい

設定, 運用

以下の方法があります。

  1. 経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする
  2. アクセス制限により必要な通信のみ許可する
  3. システム管理者(GUI)のアクセス制限を行う
  4. CLIログイン失敗時にsyslog出力を行う。
  5. Telnetを無効化する
  6. HTTP通信をHTTPS通信に強制的にリダイレクトする
  7. ログインパスワードおよびenableパスワードを変更する(CLI)

経路設定をデフォルト経路ではなくアクセスを許可するホスト(prefix)への経路だけにする

デフォルト経路を設定すると意図しないグローバルインターネット空間への通信が発生する場合があります。GenieATMへアクセスする端末が管理セグメント等の特定のアドレス空間のみであれば、その特定空間への経路を設定します。

設定例:192.168.0.0/16 からのみアクセスを許可する(ゲートウェイアドレスを192.168.0.1とする)

ip route 192.168.0.0 255.255.0.0 192.168.0.1 0

補足: デフォルト経路を設定する場合は以下です。

     ip route 0.0.0.0 0.0.0.0 192.168.0.1 0

アクセス制限により必要な通信のみ許可する

GenieATMへのアクセスを必要なホストやセグメントのみに限定します。

GenieATMシステム管理に必要な通信を除外しないようにご注意ください。

GenieATMへの必要な通信例:

  • SSH (tcp/22)
  • HTTPS(tcp/443)
  • ルータから到来するxFlowパケット(udp/2055など)

 

コマンド詳細

 

システム管理者(GUI)のアクセス制限を行う

GUIアクセスにおいてシステム管理者アカウントでログインを特定のホストやセグメントのみに限定することでセキュリティを高めます。管理者以外のユーザはこの制限を受けません。

access groupコマンドではWebアクセス(HTTP/HTTPS)の一律的な制限ですが、本設定では管理者と一般ユーザを区別してアクセス制限を行えます。

 コマンド詳細

 

CLIログイン失敗時にsyslog出力を行う。

CLIログインに失敗した場合にsyslog通知できます。本機能はversion 5.6.4 以降で利用可能です。

          設定例:

logging server 192.168.0.10
logging on

Telnetを無効化する

GenieATMのTelnetサービスを無効化します。これによりCLIアクセスを平文による通信でなく、Sshによる暗号化通信のみに限定することが可能です。

コマンド詳細

HTTP通信をHTTPS通信に強制的にリダイレクトする

GenieATMへのHTTPプロトコルによる通信を強制的にHTTPSプロトコルにリダイレクトします。これによりGUIアクセスをHTTPSによる暗号化通信に限定できます。

設定例:

web-server https redirection

ログインパスワードおよびenableパスワードを変更する(CLI)

CLIアクセスのログインパスワードおよびenableパスワードを変更します。

設定例:(下記の”XXXXX”部分は変更するパスワード文字列に置き換えてください)

password XXXXX
enable password  XXXXX

 

GenieATMではSNMPが必要ですか? 使う/使わないでどのような違いがありますか?

TIPs, 機能, 設定

GenieATMはSNMPでルータと設定やトラヒック情報のやり取りを行います。SNMPの利用は必須ではありませんが、以下の理由でご利用をおすすめします。

SNMPを利用するとできること

  • ルータのインターフェース登録が容易に行えます。SNMPを使わない場合は個別に手動での登録が必要です。
  • ルータのインターフェース毎のトラヒックレポートがxFlowとSNMP(IF MIB)の両方で作成できます。これにより双方が比較できて、ルータ側のxFlow設定の不足等が見つけやすくなります。
  • インターフェースの利用率やパケット廃棄等の検知が行えます。
    • xFlowでもトラヒック量の監視は可能です。
    • SNMP で可能なインターフェースの監視項目:CRCエラー、インターフェース利用率、パケット廃棄、マルチキャスト&ブロードキャストトラヒック割合
  • ルータのCPUとメモリの使用率のレポート作成が可能です。

特定のネットワークのトラヒックについてASパス分析をしたい

TIPs, 設定

監視対象のネットワークにおいて、特定のネットワークのトラヒックについてASパスの分析をする場合です。
ここでは特定のネットワークをサブネットワークとして設定しています。
サブネットワークへの入力方向と出力方向のトラヒックを別々のレポートとして作成しています。
入力と出力を同一レポートに含めることも可能ですが、見難くなるので別個のレポートにしています。

2種類のBGP接続の併用

設定, , , , , ,

GenieATMでは,2つの目的でBGPピアと接続します。

ひとつは,隣接ネットワークなどAS関連のレポート作成時に参照されるBGP経路テーブルを取得するため,もうひとつは,DDoS攻撃緩和(Mitigation)時に経路変更の通知(Diversion)を行うためです。前者はコレクタモジュール,後者はコントローラモジュールから接続するため,それぞれ個別のBGP接続が必要になります。

GenieATMが1台構成などのケースで1台のルータに対してコントローラと内蔵コレクタからBGP接続が必要なときは,注意が必要です。一組のIPアドレス間に2本のBGPセッションを張ることはできないため,DDoS攻撃緩和用のBGP接続に経路テーブル取得用とは異なるインターフェイス(IPアドレス)を指定します。

GenieATMにはもともと2つのイーサーネットポートが実装されているので,これらを使い分けることで異なるIPアドレスを指定できますが,別の方法として,同じ物理ポートにセカンダリIPアドレスを付与する方法もあります。以下のオペレーションではEthernet 0にセカンダリIPアドレス172.16.2.99を付与しています。このIPアドレスは,BGPピアの定義画面ではインターフェイスeth0:0として表示されています。

ATM_6367 # configure terminal
ATM_6367 (config)# interface ethernet 0
ATM_6367 (config-if)# ip address 172.16.2.99 255.255.255.0 secondary
ATM_6367 (config-if)# exit
ATM_6367 (config)# show running
#### show running configure ####
!
!
  hostname ATM_6367
  enable password 7 XXXXXX
  clock timezone JST 9
  password XXXXXX
!
interface ethernet 0
  ip address 172.16.2.50 255.255.255.0
  ip address 172.16.2.99 255.255.255.0 secondary
!
interface ethernet 1
  ip address 172.16.4.50 255.255.255.0
!
!

(中略)

ATM_6367 (config)#

BGPピアの定義

関連トピック

GenieATMのBGPの仕様

ディスク使用率の維持

設定, ,

DBとRawdataは時間とともにデータ量が増加していくため,割り当てられたパーティションが満杯になることを避けるために定期的に古いデータが消去されます。

DB領域の維持

DBについては,上限のディスク使用率に達するとレポートデータ → ログ(検出された異常やミチゲーションなど)の順序で設定した使用率になるまでデータを削除します。デフォルトでは使用率が90%に達すると60%まで使用率を落とす設定です。この設定と,各レポートやログに関する設定はGUIメニュー

システム管理 > プリファレンス > ストレージ

の「ディスク使用率」および「レポートデータ」で変更可能です。

まず,レポートデータは設定された保存期間を下回らないようにテーブル単位でパージされます。日次レポート(プロット単位5分)は日ごと,週次・月次レポート(プロット単位30分,2時間)は月ごと,年次レポート(プロット単位1日)は年ごとにテーブルが作られています。

レポートデータの削除だけでは設定した使用率まで下がらない場合は,さらに以下のログをレコード単位で削除します。

  • アラートログ
  • 異常ログ
  • ミチゲーション操作ログ
  • ログインログ

これらについては,「エントリーの最大値」の件数まで削除された後,まだ足りなければ「保存期間」分を残して削除されます。

Rawdataファイル領域の維持

Rawdataファイルについては,パーティションの使用率が95%を上回らないように古いファイルから順に削除されます。これは,異常Rawdataファイルも同様です。DBとは違い,使用率の設定を変更することはできません。

ご注意

NFS使用時にDB,Rawdata,異常Rawdataのパーティションを同一のストレージ(の異なるディレクトリ)にマウントしてしまうと,上記の動作はDB,Rawdata,異常Rawdataの合計使用量から算出された使用率に基づいて行われるため,想定外の結果を招くことがあります。

たとえば,3つのパーティションを容量100GBの同一ストレージにマウントし,DBが50GB,Rawdataと異常Rawdataが合計40GBを消費していた場合,ディスクの使用率は次のように見えます。

ATM # show disk mount
Filesystem Size Used Avail Use% Mounted on
(中略)
172.16.2.10:/export/db
           100G  90G   10G  90% /home/genie/atm_data_nfs
172.16.2.10:/export/raw
           100G  90G   10G  90% /home/genie/rawdata_nfs
172.16.2.10:/export/anomaly_raw
           100G  90G   10G  90% /home/genie/anomaly_rawdata_nfs
ATM #

これをベースに使用率が60%になるまでDBの容量を削減しようとすると,50GBのうち30GBを削除しなければならないことになります。

IP->国名 マッピングテーブルの更新

設定, ,

IPアドレスと国名のマッピングテーブルは次のページから「インポート」ボタンで更新することができます。

システム管理 > プリファレンス > ネームマッピング > IP->国名 タブ

最新のマッピングテーブルファイルは,DB-IPのサイトなどから取得することができます。(2015年12月現在)

読み込ませたファイルにIPv6アドレスに関するレコードや国名がブランクのレコードが含まれているとエラー扱いとなり,最後に一覧表示されます。しかし,それ以外の有効なレコードによりGenieATM上のマッピングテーブルは更新されます。

IP->国名マッピングファイル読み込みエラー” /></p> </div><!-- .entry-content --> <footer class=

コメントをどうぞ