タグ別アーカイブ: システム管理

disable telnet service

CLIコマンドマニュアル, ,

GenieATMへのTelnetアクセスを無効化します。

書式

[no] disable telnet service

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • GenieATMへのTelnetアクセスを無効化します。
  • 設定を無効にするには,no disable telnet serviceコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • GenieATMから他ホストへのTelnetは可能です。
  • 本設定はversion 5.6.4 以降で利用可能です。

実行例

(config)# disable telnet service
% Disable telnet service
Stopping internet superserver: xinetd.
Starting internet superserver: xinetd.
(config)# show running
#### show running configure ####
!
(中略)
  disable telnet service
(中略)
!
!
(config)#

firewall enable

CLIコマンドマニュアル, ,

access groupコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] firewall enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

  • firewall enableコマンドを実行すると,access groupコマンドによって明示的に許可された相手先IPアドレス,プロトコル,ポート以外との通信が禁止されます。つまり,アクセスリストの最後に暗黙のdenyを追加します。firewall enableが無効のとき,access groupコマンドによって明示的に禁止された相手先IPアドレス,プロトコル,ポート以外との通信は許可されます。
  • firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からは外部ホストに対してセッションを確立し,応答パケットを受け取ることはできます。(ただし,相手先ホストが明示的にdeny設定されていない場合に限ります)
  • 設定を無効にするには,no firewall enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access groupコマンドで設定を追加する際には,先にno firewall enableコマンドでファイアウォールを無効にしてください。(バージョン5.6.3-RP3まではfirewall enableが設定された状態でも[no] access groupコマンドが発行できますが,想定外の結果を招く場合がありますので避けてください)
  • firewall enableコマンドを実行していなくても,access groupコマンドをdeny指定で実行した内容は即座に有効になり,アクセスがブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • firewall enableコマンドで有効になる暗黙のdenyは,外部ホストからGenieATMに対して新規に確立しようとしたセッションや送信しようとしたパケットに対して適用されます。GenieATM側からセッションを張る場合や,そのようなセッションを使って相手先から受信するパケットはブロックされません。たとえば,BGPセッションは常にGenieATMから張りに行くので,対応ルータをaccess groupコマンドでdenyしていない限り通信できます。また,ローカル・ループバック・アドレス(127.0.0.1)についてもブロックされることはありません。
  • access web-groupコマンドの動作には影響しません。

実行例

(config)# firewall enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  firewall enable
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)#

access web-group

CLIコマンドマニュアル, ,

firewall web-login enableコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] access web-group <ip-address> netmask <netmask> permit

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 管理者権限を持つユーザIDでGUIにログイン可能なホストのIPアドレスをプレフィックス表記で規定します。firewall web-login enableコマンドを実行すると,あらかじめこのコマンドで明示的に許可されているIPアドレス以外からはGUI管理者としてログインできなくなります。
  • 登録した設定を削除するには,no access web-groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • 最後のパラメータにdenyは指定できません。
  • firewall web-login enableコマンドを実行するまで,このコマンドによる設定は効力を持ちません。
  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • ユーザIDに関わらずGUIへのログインを規制したい場合は,access groupコマンドでhttpやhttpsのポート番号へのアクセスをブロックします。
  • access web-groupコマンドは最大128件登録することができます。129件目を登録しようとするとエラーになります。

実行例

(config)# access web-group 172.16.2.0 netmask 255.255.255.0 permit
(config)# access web-group 172.16.1.1 netmask 255.255.255.255 permit
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)#

disk mount db
disk mount raw
disk mount anomaly_raw

CLIコマンドマニュアル, , ,

DB,Rawdataファイル,異常Rawdataファイルを配置するためのディスクストレージをマウントします。

書式

[no] disk mount db {internal <device-id> | external <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}
[no] disk mount { raw | anomaly_raw } { internal <device-id> | nfs <nfs-server-ip> <exported-directory> <nfs-version> [tcp]}

パラメータ

キーワード 説明
<device-id> ストレージ名(sda,hdb,vg00/lv00など)
<nfs-server-ip> NFSサーバのIPv4アドレス
<exported-directory> NFSサーバ上のマウントされるディレクトリ。256文字以内で指定してください。
<nfs-version> NFSバージョン。2,3,4が指定可能
tcp TCPを使用してNFS接続を行います。指定しなければUDPが使用されます。

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドが実行されると,指定したストレージまたはNFSサーバ上のディレクトリがGenieATMにマウントされます。disk mount rawコマンド,disk mount anomaly_rawコマンドの場合,日ごとのrawdataファイル格納用の001~366のディレクトリが作成されます。オーナーはユーザーID,グループIDともにrootです。
  • 同じデータタイプに対して異なるストレージタイプを指定して複数のdisk mountコマンドを発行することができます。例えば,disk mount db internalコマンドとdisk mount db nfsコマンドは同時に設定可能です。
  • 設定を削除するにはno disk mountコマンドを実行します。
  • 現在の設定はshow runningコマンドまたはshow disk mountコマンドで確認できます。

注意事項

  • ストレージタイプexternal(SAS接続の外部ディスク)が指定できるのはDBに対してのみです。
  • disk mountコマンドを実行しただけで,データの保存先が切り替わるわけではありません。あくまでも,選択可能なストレージが準備されるだけです。データの保存先を切り替えるには,db userawdata userawdata anomaly useコマンドを実行する必要があります。ディスク関連コマンドの流れは下図を参照してください。

    • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no disk mountコマンドは,db useコマンド,rawdata useコマンド,rawdata anomaly useコマンドによって当該ストレージが使用中の場合は実行できません。
  • ストレージとしてNFSを使用する場合はNFS使用時の注意点もご参照下さい。

実行例

(config)# disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
Operation succeeded
(config)# disk mount anomaly_raw internal sdb5
(config)# disk mount raw nfs 192.168.0.100 /export/testraw 3
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use internal
  rawdata format general
  rawdata on
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
!
(中略)
!
(config)# exit
# show disk mount
Filesystem            Size  Used Avail Use% Mounted on
tmpfs                 7.9G     0  7.9G   0% /lib/init/rw
proc                     0     0     0   -  /proc
sysfs                    0     0     0   -  /sys
udev                   10M   88K   10M   1% /dev
tmpfs                 7.9G     0  7.9G   0% /dev/shm
devpts                   0     0     0   -  /dev/pts
rootfs                   0     0     0   -  /
/dev/sda2             103M  5.8M   97M   6% /home/genie/config
tmpfs                  16M   24K   16M   1% /tmp
/dev/sdb2              15G   89M   15G   1% /var/log
tmpfs                 256M     0  256M   0% /download
/dev/sdb4             9.4G  575M  8.8G   7% /home/genie/rawdata_internal
/dev/sdb3              94G  170M   93G   1% /var/lib/postgres
192.168.0.101:/export/genie/testdb02
                       29G  3.8G   24G  15% /home/genie/atm_data_nfs
/dev/sdb5             3.8G   33M  3.7G   1% /home/genie/anomaly_rawdata_internal
192.168.0.100:/export/testraw
                      194G    0G  194G   0% /home/genie/rawdata_nfs
#

firewall web-login enable

CLIコマンドマニュアル, ,

access web-groupコマンドと合わせて管理者権限を持つユーザIDでGUIにログイン可能なIPアドレスを規定します。

書式

[no] firewall web-login enable

パラメータ

なし

デフォルト設定

無効

コマンドモード

Global Configuration Mode

説明

    firewall web-login enableコマンドを実行すると,access web-groupコマンドによって明示的に許可されているIPアドレス以外からはGUIに管理者権限を持つユーザIDでログインできなくなります。
  • 設定を無効にするには,no firewall web-login enableコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • access web-groupコマンドを実行せずにfirewall web-login enableコマンドを実行すると,どこからも管理者権限のユーザIDでGUIにログインできなくなります。
  • access groupコマンドの動作には影響しません

実行例

(config)# firewall web-login enable
(config)# show running
#### show running configure ####
!
(中略)
  ip route 192.16.0.0 255.255.0.0 172.16.2.1 0
  firewall web-login enable
  access web-group 172.16.2.0 netmask 255.255.255.0 permit
  access web-group 172.16.1.1 netmask 255.255.255.255 permit
  module id collector 3001
(中略)
!
!
(config)#

2種類のBGP接続の併用

設定, , , , , ,

GenieATMでは,2つの目的でBGPピアと接続します。

ひとつは,隣接ネットワークなどAS関連のレポート作成時に参照されるBGP経路テーブルを取得するため,もうひとつは,DDoS攻撃緩和(Mitigation)時に経路変更の通知(Diversion)を行うためです。前者はコレクタモジュール,後者はコントローラモジュールから接続するため,それぞれ個別のBGP接続が必要になります。

GenieATMが1台構成などのケースで1台のルータに対してコントローラと内蔵コレクタからBGP接続が必要なときは,注意が必要です。一組のIPアドレス間に2本のBGPセッションを張ることはできないため,DDoS攻撃緩和用のBGP接続に経路テーブル取得用とは異なるインターフェイス(IPアドレス)を指定します。

GenieATMにはもともと2つのイーサーネットポートが実装されているので,これらを使い分けることで異なるIPアドレスを指定できますが,別の方法として,同じ物理ポートにセカンダリIPアドレスを付与する方法もあります。以下のオペレーションではEthernet 0にセカンダリIPアドレス172.16.2.99を付与しています。このIPアドレスは,BGPピアの定義画面ではインターフェイスeth0:0として表示されています。

ATM_6367 # configure terminal
ATM_6367 (config)# interface ethernet 0
ATM_6367 (config-if)# ip address 172.16.2.99 255.255.255.0 secondary
ATM_6367 (config-if)# exit
ATM_6367 (config)# show running
#### show running configure ####
!
!
  hostname ATM_6367
  enable password 7 XXXXXX
  clock timezone JST 9
  password XXXXXX
!
interface ethernet 0
  ip address 172.16.2.50 255.255.255.0
  ip address 172.16.2.99 255.255.255.0 secondary
!
interface ethernet 1
  ip address 172.16.4.50 255.255.255.0
!
!

(中略)

ATM_6367 (config)#

BGPピアの定義

関連トピック

GenieATMのBGPの仕様

ディスク使用率の維持

設定, ,

DBとRawdataは時間とともにデータ量が増加していくため,割り当てられたパーティションが満杯になることを避けるために定期的に古いデータが消去されます。

DB領域の維持

DBについては,上限のディスク使用率に達するとレポートデータ → ログ(検出された異常やミチゲーションなど)の順序で設定した使用率になるまでデータを削除します。デフォルトでは使用率が90%に達すると60%まで使用率を落とす設定です。この設定と,各レポートやログに関する設定はGUIメニュー

システム管理 > プリファレンス > ストレージ

の「ディスク使用率」および「レポートデータ」で変更可能です。

まず,レポートデータは設定された保存期間を下回らないようにテーブル単位でパージされます。日次レポート(プロット単位5分)は日ごと,週次・月次レポート(プロット単位30分,2時間)は月ごと,年次レポート(プロット単位1日)は年ごとにテーブルが作られています。

レポートデータの削除だけでは設定した使用率まで下がらない場合は,さらに以下のログをレコード単位で削除します。

  • アラートログ
  • 異常ログ
  • ミチゲーション操作ログ
  • ログインログ

これらについては,「エントリーの最大値」の件数まで削除された後,まだ足りなければ「保存期間」分を残して削除されます。

Rawdataファイル領域の維持

Rawdataファイルについては,パーティションの使用率が95%を上回らないように古いファイルから順に削除されます。これは,異常Rawdataファイルも同様です。DBとは違い,使用率の設定を変更することはできません。

ご注意

NFS使用時にDB,Rawdata,異常Rawdataのパーティションを同一のストレージ(の異なるディレクトリ)にマウントしてしまうと,上記の動作はDB,Rawdata,異常Rawdataの合計使用量から算出された使用率に基づいて行われるため,想定外の結果を招くことがあります。

たとえば,3つのパーティションを容量100GBの同一ストレージにマウントし,DBが50GB,Rawdataと異常Rawdataが合計40GBを消費していた場合,ディスクの使用率は次のように見えます。

ATM # show disk mount
Filesystem Size Used Avail Use% Mounted on
(中略)
172.16.2.10:/export/db
           100G  90G   10G  90% /home/genie/atm_data_nfs
172.16.2.10:/export/raw
           100G  90G   10G  90% /home/genie/rawdata_nfs
172.16.2.10:/export/anomaly_raw
           100G  90G   10G  90% /home/genie/anomaly_rawdata_nfs
ATM #

これをベースに使用率が60%になるまでDBの容量を削減しようとすると,50GBのうち30GBを削除しなければならないことになります。

access group

CLIコマンドマニュアル, ,

firewall enableコマンドと合わせてネットワークアクセス制御を行います。

書式

[no] access group <ip-address> netmask <netmask> protocol {<protocol-number> | icmp | ip | { tcp | udp } <port> | vrrp }{ deny | permit }

パラメータ

キーワード 説明
<ip-address> 対象となるIPv4アドレスまたはサブネットアドレス
<netmask> <ip-address>パラメータに適用されるサブネットマスク
<protocol-number> プロトコルを番号で指定する場合に使用(1~255)
<port> プロトコルとしてTCP, UDPが選択された場合に宛先(GenieATM側)ポート番号を指定(1~65535)

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • 外部との通信に適用されるファイアウォールのルールを定義します。ACL(Access Control List)同様,access groupコマンドが発行された順にpermitまたはdenyが確定するまで照会していきます。どれにも一致しなかった場合の扱いは,firewall enableが有効かどうかで決まります。firewall enableが有効であれば暗黙のdenyによりブロックされ,無効であれば許可されます。
  • access groupコマンドで明示的にpermitもdenyも設定されていない相手先については,firewall enableコマンドで暗黙のdenyが有効になっていても,GenieATM側からはセッションを確立し,応答パケットを受け取ることができます。
  • 登録した設定を削除するには,no access groupコマンドを発行します。
  • 現在の設定を確認するには,show runningコマンドを発行します。

注意事項

  • [no] access groupコマンドは,firewall enableコマンドが無効な状態で実行してください。(バージョン5.6.3-RP3まではfirewall enableが有効な状態でも発行できますが,想定外の結果を招く場合がありますので避けてください)
  • access groupコマンドの指定内容はコマンド発行直後から有効になります。つまり,denyを指定してaccess groupコマンドを実行した場合,条件に一致するトラフィックは即座にブロックされるようになります。
  • コントローラ,コレクタのSNMP IPアドレスをローカル・ループバック・アドレス(127.0.0.1)以外に設定している場合は,コントローラ―コレクタ間の通信がブロックされないために,それらのIPアドレスも明示的に許可してください。
  • ExporterのIPアドレスをブロックしてしまうとフローレコードが取得できなくなります。
  • GenieATM側からセッションを張りに行く相手先については,firewall enableを有効にする場合でも明示的にpermitを設定する必要はありません。たとえば,BGP接続はGenieATMのBGPの仕様上,常にGenieATMからセッションを張りに行きます。DNSサーバやNTPサーバについても,GenieATMがクライアントになるのでこれに該当します
  • access groupコマンドは最大128件登録することができます。これは,機能を実現するのに使われているip-tablesの制限です。129件目を登録しようとするとエラーになります。

実行例

(config)# access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
(config)# show running
#### show running configure ####
!
(中略)
  ip route 172.16.0.0 255.255.0.0 192.168.0.1 0
  access group 172.16.3.58 netmask 255.255.255.255 protocol ip permit
  access group 172.16.3.0 netmask 255.255.255.0 protocol ip deny
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 443 permit
  access group 172.16.2.0 netmask 255.255.255.0 protocol tcp 80 deny
  module id collector 3001
(中略)
!
!
(config)#

db use
rawdata use
rawdata anomaly use

CLIコマンドマニュアル, , ,

DB,Rawdataファイル,異常Rawdataファイルを配置するストレージタイプを指定します。

書式

[no] db use {internal | external | nfs}
[no] rawdata use {internal | nfs}
[no] rawdata anomaly use {internal | nfs}

パラメータ

なし

デフォルト設定

なし

コマンドモード

Global Configuration Mode

説明

  • disk mountコマンドでマウント済みのストレージのなかから,DB,Rawdataファイル,異常Rawdataファイルを配置するストレージのタイプを選定します。
  • db useコマンドが実行されると,マウントポイントにユーザーID 31,グループID 32でatm_conf,dataディレクトリが作成されます。
  • 設定を削除するにはno db useコマンドあるいはno rawdata useコマンド,no rawdata anomaly useコマンドを実行します。
  • 現在の設定はshow runningコマンドで確認できます。

注意事項

  • 指定するストレージタイプは,あらかじめdisk mountコマンドでマウント済みである必要があります。ディスク関連コマンドの流れは下図を参照してください。

    • ディスク関連CLIコマンド
    * db initコマンドは,既存のDBを初期化します。構成・レポートデータ等を引き継ぐ場合は実行しないでください。

  • no db useコマンドは,db startコマンドでデータベースが起動済みのときは実行できません。db stopコマンドで停止してください。no rawdata useコマンド,no rawdata anomaly useコマンドも,それぞれrawdata onコマンド,rawdata anomaly onコマンドでrawdataの保存が有効な状態では実行できません。

実行例

(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
(中略)
!
(config)# rawdata use nfs
(config)# db use internal
##### WARNING #####
This command will set the type of storage for Database data as the
type you specified.

Are you sure you want to do this? [y/n]
y
Operation succeeded.
(config)# show running
#### show running configure ####
!
(中略)
  disk mount raw internal sdb4
  disk mount raw nfs 192.168.0.100 /export/testraw 3
  rawdata use nfs
  rawdata format general
  disk mount anomaly_raw internal sdb5
  disk mount db internal sdb3
  disk mount db nfs 192.168.0.101 /export/genie/testdb02 3 tcp
  db use internal
(中略)
!
(config)# rawdata on
(config)# exit
# db start
##### WARNING #####
This command will start PostgreSQL Database with TCP/IP connection
mode enabled.
Are you sure you want to do this? [y/n]
y
server starting
#

NFS使用時の注意点

TIPs,

GenieATMでは,レポートや構成情報を保存するDBと,受信したフローレコードを保存するRawdataファイルおよび異常RawdataファイルをNFS上に持つことができます。

このときのNFS側の設定として,以下の点に注意してください。

ストレージの分離

DBとRawdataファイル,異常Rawdataファイルをそれぞれ異なるストレージを割り当ててください。

システムはディスク使用率が高くなると自動的に古いデータを消して空き容量を確保しようとしますが,異なる種類のデータが同じストレージに割り当てられていると使用率の算出が正しくできません。詳しくは,ディスク使用率の維持を参照してください。

NFSのオプション

GenieATMはNFSバージョン2,3,4に対応しています。また,TCP接続にも対応しています。詳しくはdisk mount db/raw/anomaly_rawを参照してください。

パーミッション

GenieATMは,NFS関連のオペレーションを以下の権限で行います。

オペレーション ユーザ名 UID,GID
NFSマウント root 0, 0
DB操作 root
postgres
www-data		 0, 0
31, 32
33, 33
Rawdataファイル操作 root 0, 0

これらのユーザが読み書きできるようにパーミッションを設定してください。
多くのケースでは,GenieATMからのアクセスに限定したうえで任意ユーザが読み書き可能(パーミッション777)に設定しています。

その他の注意点
  • root squash(rootを別ユーザに変換する機能)は無効にしてください
  • できる限り1000BASE-Tで接続してください。(GenieATM側はオートネゴシエーションです。)一般的にNFSへのアクセスは内蔵ディスクへのアクセスより低速になるため,回線が遅いとタイムアウトなどが発生する可能性があります。
  • NFSv4で接続する場合は,NFS側でidmapdが稼働するため,NFS側にもGenieATMと同じuid,gidでpostgres,www-dataのユーザを登録しておく必要があります。