タグ別アーカイブ: 5.x

firewall web-login enable

CLIコマンドマニュアル, ,

access web-groupコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] firewall web-login enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

    firewall web-login enableコマンドを実行すると,access web-groupコマンドによって明示的に許可されているIPアドレス以外からはGUIに管理者権限を持つユーザIDでログインできなくなります。
  • 設定を無効にするには,no firewall web-login enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • access groupコマンドの動作には影響しません

実行例

(config)# firewall web-login enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 192.16.0.0 255.255.0.0 172.16.2.1 0
  firewall web-login enable
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)#

2種類のBGP接続の併用

設定, , , , , ,

GenieATMでは,2つの目的でBGPピアと接続します。

ひとつは,隣接ネットワークなどAS関連のレポート作成時に参照されるBGP経路テーブルを取得するため,もうひとつは,DDoS攻撃緩和(Mitigation)時に経路変更の通知(Diversion)を行うためです。前者はコレクタモジュール,後者はコントローラモジュールから接続するため,それぞれ個別のBGP接続が必要になります。

GenieATMが1台構成などのケースで1台のルータに対してコントローラと内蔵コレクタからBGP接続が必要なときは,注意が必要です。一組のIPアドレス間に2本のBGPセッションを張ることはできないため,DDoS攻撃緩和用のBGP接続に経路テーブル取得用とは異なるインターフェイス(IPアドレス)を指定します。

GenieATMにはもともと2つのイーサーネットポートが実装されているので,これらを使い分けることで異なるIPアドレスを指定できますが,別の方法として,同じ物理ポートにセカンダリIPアドレスを付与する方法もあります。以下のオペレーションではEthernet 0にセカンダリIPアドレス172.16.2.99を付与しています。このIPアドレスは,BGPピアの定義画面ではインターフェイスeth0:0として表示されています。

ATM_6367 # configure terminal
ATM_6367 (config)# interface ethernet 0
ATM_6367 (config-if)# ip address 172.16.2.99 255.255.255.0 secondary
ATM_6367 (config-if)# exit
ATM_6367 (config)# show running
#### show running configure ####
!
!
  hostname ATM_6367
  enable password 7 XXXXXX
  clock timezone JST 9
  password XXXXXX
!
interface ethernet 0
  ip address 172.16.2.50 255.255.255.0
  ip address 172.16.2.99 255.255.255.0 secondary
!
interface ethernet 1
  ip address 172.16.4.50 255.255.255.0
!
!

(中略)

ATM_6367 (config)#

BGPピアの定義

関連トピック

GenieATMのBGPの仕様

GenieATMのBGPの仕様

仕様, ,

このトピックでは,GenieATMのBGPの仕様をご説明します。GenieATM ISP版は,AS経路分析レポート作成時に参照する経路テーブルの取得とDDoS攻撃の緩和(Mitigation)のための経路注入という2つの機能ためにBGPピアを確立しますが,BGPの仕様はほぼ共通です。

ピアの確立

GenieATMは対向ルータからのOPENメッセージを受け付けません。BGPのピアは常にGenieATM側から開始されることになります。

タイマー設定

GenieATMは以下のタイマー設定でBGPピアのネゴシエーションをします。

  • Holdtime: 360秒
  • Keepalive間隔: 120秒

対向側がより短いタイマー値を提示した場合はプロトコルに従って短い方に合わせます。また,Keepalive間隔は明示的にOPENメッセージには含まれませんが,Holdtimeの3分の1となります。

マルチホップ対応

GenieATMは,iBGP,eBGPに関わらずデフォルトでマルチホップに対応しています。

一般的にはeBGP接続は外部ASとの境界ルータにおいて使用されるためTTLは1に設定されます。しかし,GenieATMが境界ルータの役割を担うことはなく,GenieATMとの接続においてeBGPが選択されるのは,直接BGPピアを張っていないルータと経路情報をやり取りするため(iBGPでは受信した経路はフォワードされない)なので,このような仕様になっています。

設定が有効になるタイミング

AS経路分析用のBGPピアはコレクターから張られるため,GUIで行った設定を有効にするためにディスパッチを行う必要があります。一方,DDoS攻撃の緩和用のBGPピアはコントローラから張られるため,GUI設定直後に有効になります。詳しくは構成のディスパッチとはを参照してください。

関連トピック

2種類のBGPピアの併用

ディスク使用率の維持

設定, ,

DBとRawdataは時間とともにデータ量が増加していくため,割り当てられたパーティションが満杯になることを避けるために定期的に古いデータが消去されます。

DB領域の維持

DBについては,上限のディスク使用率に達するとレポートデータ → ログ(検出された異常やミチゲーションなど)の順序で設定した使用率になるまでデータを削除します。デフォルトでは使用率が90%に達すると60%まで使用率を落とす設定です。この設定と,各レポートやログに関する設定はGUIメニュー

システム管理 > プリファレンス > ストレージ

の「ディスク使用率」および「レポートデータ」で変更可能です。

まず,レポートデータは設定された保存期間を下回らないようにテーブル単位でパージされます。日次レポート(プロット単位5分)は日ごと,週次・月次レポート(プロット単位30分,2時間)は月ごと,年次レポート(プロット単位1日)は年ごとにテーブルが作られています。

レポートデータの削除だけでは設定した使用率まで下がらない場合は,さらに以下のログをレコード単位で削除します。

  • アラートログ
  • 異常ログ
  • ミチゲーション操作ログ
  • ログインログ

これらについては,「エントリーの最大値」の件数まで削除された後,まだ足りなければ「保存期間」分を残して削除されます。

Rawdataファイル領域の維持

Rawdataファイルについては,パーティションの使用率が95%を上回らないように古いファイルから順に削除されます。これは,異常Rawdataファイルも同様です。DBとは違い,使用率の設定を変更することはできません。

ご注意

NFS使用時にDB,Rawdata,異常Rawdataのパーティションを同一のストレージ(の異なるディレクトリ)にマウントしてしまうと,上記の動作はDB,Rawdata,異常Rawdataの合計使用量から算出された使用率に基づいて行われるため,想定外の結果を招くことがあります。

たとえば,3つのパーティションを容量100GBの同一ストレージにマウントし,DBが50GB,Rawdataと異常Rawdataが合計40GBを消費していた場合,ディスクの使用率は次のように見えます。

ATM # show disk mount
Filesystem Size Used Avail Use% Mounted on
(中略)
172.16.2.10:/export/db
           100G  90G   10G  90% /home/genie/atm_data_nfs
172.16.2.10:/export/raw
           100G  90G   10G  90% /home/genie/rawdata_nfs
172.16.2.10:/export/anomaly_raw
           100G  90G   10G  90% /home/genie/anomaly_rawdata_nfs
ATM #

これをベースに使用率が60%になるまでDBの容量を削減しようとすると,50GBのうち30GBを削除しなければならないことになります。

レポートグラフ

仕様, ,

GenieATMのレポートページで表示するグラフには 4種類あります。

  • 折れ線グラフ
  • 積み上げグラフ
  • 棒グラフ
  • 円グラフ

折れ線グラフと積み上げグラフは,標準レポートとルールベースレポートにおけるもっとも標準的なフォーマットで,トラフィックの時系列の推移を見るのに適しています。

サブネットワーク比較レポート

プロットの粒度は,以下のように表示期間によって自動的に決まります。

表示期間 プロットの粒度
表示期間 ≦ 24時間 5分
24時間 < 表示期間 ≦ 7日 30分
7日 < 表示期間 ≦ 3か月 2時間
3か月 < 表示期間 1日

出力に「CSVファイルに保存」を指定してダウンロードしたときのファイルにも同じルールが適用されます。

また,棒グラフと円グラフは,表示期間中の積算を秒平均のトラフィックに換算した数値で表示します。これは,グラフの下に表示されるTopNテーブル(平均値)をグラフ化したものです。

一方,短時間のトラフィックの傾向を見るためのスナップショットでは,表示形式は円グラフのみとなっています。

関連トピック

レポートグラフ作成時の集計時間範囲

レポートグラフ作成時の集計時間範囲

仕様, , ,

ここでは,レポートグラフ作成時にトラフィックを集計する時間範囲についてご説明します。

GenieATMのトラフィックレポートは,主にフローレコードとSNMPで取得したトラフィックが元データになります。

フローレコードはルータから随時送られてきており,コレクタへの到着時刻に基づいて集計されます。30分単位のレポートであれば,0分0秒~29分59秒に届いたフローを集計して0分時点のプロット値を算出し,30分0秒~59分59秒のフローで30分時点のプロット値を算出します。同様に,5分単位のレポートは,例えば13時30分0秒~13時34分59秒のフローを集計して13時30分の値をプロットします。

一方,SNMPベースのレポートは,5分ごとの累積トラフィック値の取得に基づいて算出されます。取得は,毎時1分,6分,…56分に行われ,例えば13時31分に取得した値は,13時26分に取得した値からの増分を取ることで5分間のトラフィックを算出し,13時30分時点のトラフィックとしてプロットします。

Report_Graph

このように,フローベースとSNMPベースで同じ時刻のプロットでも集計範囲が異なりますので注意が必要です。

関連トピック

レポートグラフ

access group

CLIコマンドマニュアル, ,

firewall enableコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] access group <ip-address> netmask <netmask> protocol {<protocol-number> | icmp | ip | { tcp | udp } <port> | vrrp }{ deny | permit }

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク
<protocol-number> プロトコルを番号で指定する場合に使用(1~255)
<port> プロトコルとしてTCP, UDPが選択された場合に宛先(GenieATM側)ポート番号を指定(1~65535)

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 外部との通信に適用されるファイアウォールのルールを定義します。ACL(Access Control List)同様,access groupコマンドが発行された順にpermitまたはdenyが確定するまで照会していきます。どれにも一致しなかった場合の扱いは,firewall enableが有効かどうかで決まります。firewall enableが有効であれば暗黙のdenyによりブロックされ,無効であれば許可されます。
  • access groupコマンドで明示的にpermitもdenyも設定されていない相手先については,firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からはセッションを確立し,応答パケットを受け取ることができます。
  • 登録した設定を削除するには,no access groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • [no] access groupコマンドは,firewall enableコマンドが無効な状態で実行してください。(バージョン5.6.3-RP3まではfirewall enableが有効な状態でも発行できますが,想定外の結果を招く場合がありますので避けてください)
  • access groupコマンドの指定内容はコマンド発行直後から有効になります。つまり,denyを指定してaccess groupコマンドを実行した場合,条件に一致するトラフィックは即座にブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • GenieATM側からセッションを張りに行く相手先については,firewall enableを有効にする場合でも明示的にpermitを設定する必要はありません。たとえば,BGP接続はGenieATMのBGPの仕様上,常にGenieATMからセッションを張りに行きます。DNSサーバやNTPサーバについても,GenieATMがクライアントになるのでこれに該当します
  • access groupコマンドは最大128件登録することができます。これは,機能を実現するのに使われているip-tablesの制限です。129件目を登録しようとするとエラーになります。

実行例

(config)# access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)#

Exporterが4台以上追加できない

TIPs, ,

5代目のルータを追加しようとすると,エラーメッセージが表示されて失敗することがあります。
これは,db initコマンドでDBを初期化した場合など,GUIのコレクタ定義にモデル名が設定されていないことが原因です。

コレクタのモデル名を設定するには,以下の操作を行います。

  1. 以下のメニューから内蔵コレクタ情報の編集画面を開きます。

    2. システム管理 > デバイス > コレクター

  2. 編集画面でSNMP IPアドレスとCommunity Stringを入力してからSNMPWALKボタンを押します。Community StringはCLIのsnmp-server community readコマンドで設定します。
  3. SNMPWALK情報が表示されたら更新ボタンを押して,CLI設定エリアのモデル番号や管理ステータスに反映させます。
  4. 最後に実行ボタンを押して内容を確定させればコレクタモデルごとの最大数までルータが登録できるようになります。

    5. コレクタ定義の初期設定

なお,5台目のExporterを追加しようとしたときのエラーメッセージはバージョンによって異なります。

バージョン メッセージ
~ 5.3.3 No Collector Available!
5.5.1 ~ 5.5.4 RP2 The maxmimum number of Collector1 (127.0.0.1) is 4!
5.5.4 RP3 ~ The default maximum number of routers managed by Collector1 (127.0.0.1) is 4!
Please check collector model number.

異常トラフィック検出機能 – アプリケーション異常

機能,

GenieATMが持つ3種類の異常トラフィック検出機能のうち,アプリケーション異常についてご説明します。

アプリケーション異常は,DDoS攻撃およびワームに感染したホストが発するトラフィックを検出する機能です。プロトコル不正使用と同様,検出をミチゲーション発動のトリガーとすることができます。(ただし,ワーム検出時の自動ミチゲーションはFlowSpecポリシーでのみ可能です)

アプリケーション異常検出機能の最大の特徴は,シグニチャを自由に定義できることです。以下の項目について条件を設定することができ,特定のIPアドレスを送信元あるいは送信先とするトラフィックのうちシグニチャに一致するものが閾値を超えると異常トラフィックとして検出します。

  • 攻撃タイプ
  • パケット数/フロー
  • バイト数/フロー
  • バイト数/パケット
  • TCPフラグ
  • TOS値
  • TCPフラグ
  • プロトコル
  • ICMPメッセージタイプとコード
  • ポート番号
  • ダークIPアドレスに該当するか
  • プレフィックス

最初に,攻撃タイプとしてDDoSあるいはワームを指定します。DDoSの場合は,条件に一致するトラフィックを送信先IPアドレス単位で集計し,閾値を超えると異常検出となります。(この動作はプロトコル不正使用と同じです。)一方,ワームの場合,送信元IPアドレス単位でトラフィックを集計します。ワームタイプについては,個別の異常サマリレポートに加えて異常トラフィックレポートが生成されます。

攻撃タイプ 検出ベース レポート レポート照会のためのメニュー
DDoS 送信先IPアドレス 個別のアノマリーレポート ステータス > サマリ
ステータス > 異常一覧コンソール
ワーム 送信元IPアドレス 個別のアノマリーレポート ステータス > サマリ
ステータス > 異常一覧コンソール
サマリ・レポート
感染ホストレポート
インターフェースレポート
サブネットワークレポート		 異常トラフィック > ワーム
異常トラフィック > ワーム > 詳細レポート
異常トラフィック > ワーム > 詳細レポート
異常トラフィック > ワーム > 詳細レポート

異常判定は30秒ごとのトラフィックについて行い,30秒平均が2回連続で閾値を上回ると異常トラフィックと判定します。(バージョン5.6.3までは1分平均のトラフィックが2回連続で閾値を上回ることが検出条件です)また,閾値は,bpsとppsについて設定でき,両方設定した場合はどちらかを超えた場合に検出となります。

関連トピック

3種類の異常トラフィック検出機能の比較
ダークIPレポートとワームレポート

db use
rawdata use
rawdata anomaly use

CLIコマンドマニュアル, , ,

DB,Rawdataファイル,異常Rawdataファイルを配置するストレージタイプを指定します。

書式

[no] db use {internal | external | nfs}
[no] rawdata use {internal | nfs}
[no] rawdata anomaly use {internal | nfs}

パラメータ

なし

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドでマウント済みのストレージのなかから,DB,Rawdataファイル,異常Rawdataファイルを配置するストレージのタイプを選定します。
  • db useコマンドが実行されると,マウントポイントにユーザーID 31,グループID 32でatm_conf,dataディレクトリが作成されます。
  • 設定を削除するにはno db useコマンドあるいはno rawdata useコマンド,no rawdata anomaly useコマンドを実行します。
  • 現在の設定はshow runningコマンドで確認できます。

注意事項

  • 指定するストレージタイプは,あらかじめdisk mountコマンドでマウント済みである必要があります。ディスク関連コマンドの流れは下図を参照してください。

    • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no db useコマンドは,db startコマンドでデータベースが起動済みのときは実行できません。db stopコマンドで停止してください。no rawdata useコマンド,no rawdata anomaly useコマンドも,それぞれrawdata onコマンド,rawdata anomaly onコマンドでrawdataの保存が有効な状態では実行できません。

実行例

(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
(中略)
!
(config)# rawdata use nfs
(config)# db use internal
##### WARNING #####
This command will set the type of storage for Database data as the
type you specified.

Are you sure you want to do this? [y/n]
y
Operation succeeded.
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use nfs
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
(中略)
!
(config)# rawdata on
(config)# exit
# db start
##### WARNING #####
This command will start PostgreSQL Database with TCP/IP connection
mode enabled.
Are you sure you want to do this? [y/n]
y
server starting
#