2014年09月01日

Flowmon ADSを利用するメリット1：脅威の検出

脅威の検出

それでは、ADSを適用していた場合はどうでしょう。
ADSは、52種類の方法により通信フローを分析し、通常と異なる振る舞い、急に大量のデータを
ダウンロードする、P2Pなどの危険なプロトコルを使用するなどの事象を検知すると、
管理者に通知します。
ADSが提供している検出の種類とその内容については、「Flowmon ADSのセキュリティ検出機能」を
ご確認ください。

先日の事件のような、大量の個人情報をダウンロードする、などの日頃と異なったパターンの通信量があると、Flowmon ADSは何らかの脅威の可能性があるとみなし、報告します。
また、サーバへのアクセスの監視をブラックリストにて監視することも可能で、警戒を要する人物からアクセスが有った場合も報告します。

Flowmonによる振る舞いをネットワーク側で監視をしていれば、ダウンロードなど通常と異なる通信パターンを検知し報告することが可能であり、いつも行動が監視されているということは抑止効果としても有効です。
コレクタ/ADSは全ての通信ログを保持しており、誰が、何時、何処にアクセスしたかの全ての通信ログを記録しています。
従って、犯罪が起きた場合、この通信ログを解析することで、犯罪の解決を速やかに行うことが出来ます。

Flowmon ADSを利用するメリット2：事象の分析

詳細な分析機能

セキュリティ管理者に犯罪の恐れが通知されると、管理者はこれを解析しなくてはなりません。
直接通信ログを人手して解析することは、人海戦術でも困難です。

ADSは強力な分析機能を提供しており、その事象が脅威か否かを容易に判断できます。
例えば、通信相手の相関図およびそのデータ量が表示できますので、本来通信相手で無い相手や他のPCとの通信、踏み台の可能性、等の疑わしい通信を簡単に分析することが出来ます。

図3は、疑わしいIPアドレスの通信の相関図を表示する機能で、誰との通信が行われ通信量はどの位かを示しています。
これは、直接の相手だけでなくその先の相手も表示するので、踏み台などの分析が可能です。

また、事象の通信のプロファイルの表示により、過去の履歴、送受信データの種別・量、アクセスしたホスト履歴・頻度、などの振る舞いが表示され、各図の右下の眼鏡ボタンをクリックすることで更に詳細な分析ができます。図4にプロファイルのサマリーを示します。

某社のケースでは、何時、誰とどの位のデータの遣り取りが有ったか、の確認が重要です。
ADSの事象詳細を利用することにより、直感的に通信相手・データ量を確認することができます。
図5のように、図の通信量のグラフをクリックすることで、該当する通信リストが下部のリストに表示され、通信相手を絞り込むことが可能です。

Flowmon ADSで提供されるツール

Flowmon ADSは、これ以外に以下のドロップダウンリストに示す様な様々なツールがサポートされており、解析を強力にサポートします。

パケットキャプチャ機能

更にFlowmonではパケットキャプチャの機能もサポートしていますので、疑わしい利用者については、
その利用者の送受信パケットを全て記録することが可能で、実際にやり取りしているデータ、
メールの内容、ファイルの内容などを確認することが出来ますので、より的確に犯罪を特定することが
可能です。

まとめ

IBM社の調査によると、盗難に遭ったレコード1 件当たりに支われた平均コストは、日本では$127
（約12,700円）と、かなり高額です
（「2014 年情報漏えいのコストに関する調査：グローバルな分析」より抜粋）
某社の情報漏洩に関わる損失は、1,000億円以上と見積られ、一人の不正な操作から大きなダメージを与えた重大な事件と言えるでしょう。
企業の情報管理において、Flowmonなどの監視・解析の仕組みを導入し、事故を起さない環境を作ることが今後重要です。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

2014年09月01日

某社の情報漏洩は内部の犯罪であり、今回のケースでは、外部との間の境界防衛であるファイアウォール、IPS、IDS等、ウィルス検査も内部の犯罪には役に立ちません。
内部の犯罪の実態は隠ぺいされ公開されていないのが現実ですが、内部犯罪と外部犯罪の比率は、7：3から8：2と非常に多いと言われています。
ファイアウォール、ウィルス対策に加えて、内部の犯罪の防止対策が望まれていますが、内部の犯罪防止策は
ほとんど施されていないことが現状だと言えるでしょう。

「監視」の重要性

一般的にセキュリティを高める上では「分離」「監視」「権限管理」の側面から検討する必要があります。

分離

通信ログ、サーバ、ファイアウォールなどのアクセス監視などを行うことにより、攻撃を速やかに発見することです。

監視

重要なデータを物理的、論理的に分離することで、物理的には指紋認証などを使用し入室できる人を
制限したり、ゲートウェイなどによりアクセスできる利用者を権限を持った人に制限したりすることです。

権限管理

情報へのアクセスを役割に応じて権限を設定し、アクセス出来るレベル、範囲を制限することで、
認証および分離などと連携します。

上記で挙げた中で、内部の犯罪に対処する上では、監視が非常に重要になります。

監視するには一般的にサーバのアクセスログ、通信ログの分析が必要となりますが、アクセスログ、
通信ログなどの情報は大量に出力されることから、人海戦術にてこの情報を監査し事前に不正や脅威をチェックするにはかなりのスキルと時間が必要となります。
また、アクセスログ、通信ログにはセキュリティレベルの高い情報が含まれることから、権限の低い人が
分析することは避けなくてはなりません。
この事が一層監視を難しくしています。

ここで紹介するFlowmon ADS（注）は、NetFlowを利用した通信ログを監視する装置であり、
内部の犯罪監視の有力なツールです。
ADSは、個々の利用者・サーバ毎の通信傾向を学習し、通信相手、通信量、アプリケーションなどを
把握します。
この通信傾向が通常と大きく異なることを察知すると、不正の恐れがあると見做し通知します。
セキュリティ管理者は、これが通常の使用なのか、不正の恐れがあるのかを、ADSのセキュリティ解析
機能を使用することにより判断します。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

2014年08月04日

2015年11月20日

エッジネットワークの動作

PEルータの利用者インタフェース部は、利用者個々のルーティングテーブルの管理、VPNの管理、遠隔地の
利用者情報の管理、遠隔地の利用者間のデータ送受信を行います。
このためPEルータは利用者毎にVRF(VPN routing and forwarding table)を設定し管理します。

RDはタイプフィールド2バイト、Administratorフィールドおよび任意フィールドより構成されており、Administratorフィールドおよび任意フィールド長はタイプの値により決まります。
タイプの値が0ではAdministratorフィールド2バイト、任意フィールドは4バイトで、
AdministratorフィールドにはAS番号（原則グローバルAS番号）、任意フィールドは企業の管理者が
一意になるように値を割り振ります。
タイプの値が1ではAdministratorフィールド4バイト、任意フィールドは2バイトで、Administrator
フィールドにはIPv4アドレス（原則グローバルアドレス）、任意フィールドは企業の管理者が一意に
なるように値を割り振ります。
値が2ではAdministratorフィールド4バイト、任意フィールドは2バイトで、Administratorフィールドには
拡張AS番号(4バイト)、任意フィールドは企業の管理者が一意になるように値を割り振ります。
以下で、エッジネットワークの動作を説明します。

(1) 利用者ネットワークとの接続

PE ルータは、OSPF、RIP、STATICその他、利用者独自のルーティングプロトコルで利用者CEと経路情報（これをPrefixと呼びます）を交換します。
この経路情報は、コアネットワークのルーティングテーブルとは別の、利用者毎のVRF上に保存します。 図-4に利用者VPNの構成を示します。

PEは、受信した利用者の経路にLabelをアサインします。
これをVPN LabelまたはBottom Labelと呼びます。
これは、PEが利用者個々のVPNを識別するのに使用します。
このVPN Labelの値は、一般的にPrefix（経路情報）毎にアサインされます。
VPN LabelおよびコアネットワークTop Labelは、PE内で一意になるように指定されます。（図-5参照）

なお、図-5では判り易くするため、VPN Labelを1000番からアサインしていますが、
実際には、MPLSのTop Labelと区別せずに各ノードが順番にアサインします。

(2) BGPによるVPN Labelの配布

利用者のPrefix（経路情報）はコアネットワークのプロトコルとは独立した、BGPプロトコルを利用してPE間で交換されます。
このためBGPにNLRI(network layer reachability information )フィールドが追加され、RD、VPN Label、Next HopなどのVPN情報が送れるように機能拡張され、RFC2283とし標準化されました。これをMP-BGP（MultiProtcol-BGP）と呼びます。
MP-BGPセッションは、通常、全てのPE間にメッシュ状に接続します。
このため、PEが多くなると多大のセッションが必要となります。
これを避けるため、RR（Reference Router）を使用することにより、PEはRRと一つのセッションで接続することで全PEと通信することができます。

PEルータは、MP-BGPプロトコルのNLRI(network layer reachability information ) を利用して、自分の利用者情報を全PEルータに送信します。
図-4参照。図のMP-BGPは、i-BGP（internal-BGP）による構成となります。

なお、PルータはBGPには関与しません。
また、MP-BGPの通信はLSPを介して行われますので、MP-BGPの通信に先だって、PE間にLSPを設定しておくことが必要です。
これによりPEルータは、全PEの利用者の情報、Prefix、RD、VPN Labelなどを入手しRD Mapping Tableを生成します。表-4にPE(1)のRD Mapping Tableを示します。

また、PEは利用者から新しい経路情報（Prefix）を受信すると、同様にVPN Labelをアサインし、MP-BGPプロトコルにより全PEルータに通知します。

(3) CEへの経路の通知

PEはリモートからMP-BGPのNLRIにより経路情報（Prefix）を受信すると、RD Mapping Tableを更新すると同時に利用者固有のルーティングプロトコルを使用してCEに通知します。CEはリモートの経路情報（Prefix）をルーティングテーブルに反映します。
これにより利用者は、遠隔地の宛先との通信が可能となります。 図-6に経路情報通知の流れを示します。

2014年08月04日

2015年11月20日

データの送受信

(1) データの送信

PEは利用者からデータを受信すると、送信データの宛先IPアドレスおよびマスクよりPrefixを抽出し、RD Mapping Tableを参照します。
RD Mapping TableよりPrefixのVPN LabelおよびBGPの宛先PE （Next Hopアドレス）を識別します。
この宛先PE向けのLSPは「LFIB、表-3を参照」より入手します。
PEは、VPN Label(Bottom Label)、LSPのLabel(Top Label)のシムヘッダーを生成しパケットに挿入し、コアネットワークに渡します。
コアネットワークは、シムヘッダーのTop Labelを参照し、宛先P/PEに転送します。この際、Top Labelは、Outgoing Labelに置き換えられます。
Bottom Labelは、MPLS交換には使用されず、宛先PEがVPNの識別に使用します。

図-7ではPE(1)の利用者“A”（RD:100:1000）のIP：10.1.1.1から10.2.1.1へ、および
PE(3)利用者“B ”（RD:100:2000）のIP：172.16. 3.1から172.16. 1.1にデータを送信する
ケースについて示しています。
PE(1)は、利用者“A”から宛先アドレス10.2.1.1を受信すると、Prefix：10.2.0.0/16および
RD Mapping TableからVPN番号（1001）および宛先PEルータ（192.168.10.3）を識別します。
また、宛先PEアドレス（192.168.10.3）からLFIBのOutgoing Label（17）を識別し、
これらをシムヘッダーとして利用者データに付加しパケットをNext Hopに転送します。
以降、各コアネットワーク内のルータはLSPに沿ってパケットを転送します。
PE(4)も同様に、Bottom LabelおよびTop Labelを挿入し、パケットを送信します。
この場合は、Top Labelは削除され、Bottom Labelのみのパケットとなります。

(2) データの受信

受信側のPEは、受信したデータのBottom LabelおよびRD Mapping Tableを参照し、RD、VRFおよび利用者を識別します。
また、VRFのルーティング情報により、利用者の送信インタフェースおよび宛先を識別し、データをCEルータに送信します。

2014年08月04日

2015年11月20日

コアネットワークの動作

(1) 最適経路の構成

コアネットワークのP/PEルータは、まず、通常のルーティングプロトコルによりコアネットワーク内のルータ間（CEルータは関与しません）で経路情報を交換し、この経路情報と他の、STATICルートなどを
配慮し、最適のルーティングテーブル(FIB：Forward Information Base)を構成します。
表-1にPE(1)のルーティングテーブルを示します。 利用者は一般的にプライベートアドレスを使用しておりIPアドレスは他の利用者と重複しています。このままでは、VPN上で利用者個々のIPを一意に識別することができません。これを解決するためBGP/MPLSでは、利用者個々に8バイト長の識別子RD（Route Distinguisher）を付与し、利用者の経路が個々に識別できるようにしています。

(2) MPLS Labelの設定・配布

次に各ルータは、ルーティングテーブルの個々の経路にMPLSのLabelを付与し（これをLocal LabelまたはInput Labelと呼ぶ）、このLabel情報を全隣接ルータにLDPプロトコルにより配布します。
各ルータは、受信したLabel(Output Labelと呼ぶ)により、経路毎にLocal Label、隣接ルータから
送られてきたLabelを集約しLabelテーブル(LIB：Label Information Base)を生成します。
コアネットワークは、新しい経路を検出すると、前述と同様にLabelを新規にアサインし全隣接ルータに
通知します。
表-1にPE(1)のLabelテーブルを示します。

(3) LSP（Label Switching Path）の構成

その後、各ルータは表-2のLabel Information Baseおよび表-1で作成したルーティングテーブルを
参照し、経路毎に最適なNext Hopの隣接ルータを選択します。
そのNext HopルータのLabelをOutgoing Labelとして、Label転送テーブル、LFIB（label forwarding information base）を生成します。
表では直接接続は除きます。
表-3にPE(1)のLFIBテーブルを示します。

コアネットワークは受信パケットのTop LabelとLFIBのInput Labelを照合し、合致したNext Hopの宛先に高速にスイッチします。
この時、LabelはOutgoing Labelに付け替えます。
表で「(Pop Label)」の表示がある宛先にはTop Labelを外して送信します。
これは全てのルータ上で行われます。この様に、MPLSを使ってできた仮想的なパスを「LSP」（label switching path：Label交換パス）と呼びます。
コアネットワーク内には、経路毎に仮想的なパス、LSP（Label Switch Path）、が構成され高速な
仮想スイッチ網が形成されます。
LSP(A)およびLSP(B)のパスを表-3および図-3に示します。

なお、LSPは片方向のパスなので、送受信を行う為には逆方向のLSP設定が必要です。
従って、LSP(A)、LSP(B)の逆方向のパス、PE(2)⇒PE(1)およびPE(4)⇒PE(1)のLSPも
同様に構成されます。
これによりPE(1)とPE(2)およびPE(1)とPE(3)間の送受信パスが形成されます。

2014年08月04日

2015年11月20日

BGP/MPLS VPNの構成

現在、国内のキャリア/プロバイダは各種のVPNサービスを提供しています。
VPNサービスにはBGP/MPLS VPN、MPLS VPN、L2TP 、GRE、IPsec、などが使用されておりますが、BGP/MPLSを使用したVPNサービスが主流となって来ています。
今回は、このBGP/MPLS VPNの概要について説明します。

BGP/MPLS VPNには各種のバリエーション、レイヤ2 VPN、QoSなどの帯域制御を配慮した方式、
階層構成のMPLS網を使用した方式、などが有りますが、ここではEthernetネットワーク利用の最も単純で
一般的なレイヤ3 VPNの方式について説明します。

BGP/MPLS VPNは、大きく２つの部分より構成されています。
一つは、基幹部を構成するコアネットワーク（MPLSネットワーク）、図-1の緑の部分、二つ目は、利用者を接続するエッジネットワーク、図-1の黄色の部分です。
コアネットワークは、P（Provider）ルータおよびPE（Provider Edge）ルータより構成されます。
エッジネットワークは、利用者のCE（Customer Edge）およびPEルータの利用者インタフェース部より
構成されます。
尚、PEルータはコアネットワークの機能(Pルータと同等機能）とエッジネットワークの利用者インタフェース機能を合わせ持っています。

コアネットワーク

コアネットワークは、通常のルーティングプロトコル(IS/IS、OSPF、Static、その他)、MPLSプロトコル
およびLabel配布プロトコル（LDP/TDP）で制御されます。
コアネットワークはエッジネットワークのIPアドレス構成、VLAN構成などの環境には依存しない構成と
なっています。
ルーティングプロトコルは、コアネットワーク内のP/PEルータ間で経路情報を交換し、最適なルートを
構成します。

Label配布プロトコルLDP（Label Distribution Protocol）、CR-LDP(constraint-based routing label distribution protocol)、RSVP-TE(RSVP Traffic Engineering)、などは、P/PEルータ相互間でLabel情報の
交換を行うプロトコルです。
ここでは、LDPプロトコルを使用した場合について説明します。

MPLSプロトコルは、Ethernetパケット内に「Label」と呼ばれる20ビットの識別子（実際のLabelの長さは
制御情報が付加され32ビット長）を挿入し、入出力の情報を管理します。
P/PEルータは、ルーティングテーブルでは無くこのMPLS Label情報に基づきパケットを高速に交換します。
Labelは、シムヘッダーと呼ばれMPLS固有のヘッダーの形でパケットの第2層ヘッダー（Ethernet）と
第3層ヘッダー（IP）の間に挿入されます。
シムヘッダーは，多重構造を取ることが出来、これをLabelスタックと呼びます。
複数のLabelは目的に応じて使用されます。

BGP/MPLS VPNでは、一番目のLabelをコアネットワークのMPLS交換（これをTop Labelと呼びます）に
使用され、２番目のLabelをエッジネットワークの利用者VPNの識別（これをBottom Labelと呼びます）に
使用します。
図-2 では、MP-BGPのLabelの構成を示します。

次頁で、コアネットワークの動作について説明します。

2014年03月03日

最新の調査によると、将来の注目すべき４つのネットワーク技術として、OpenFlow、NetFlow、
5G Wi-Fi (802.11ac)、Centralized network controls and out-of-band managementが挙げられており、NetFlowは今後の注目すべき技術とされています。

SNMPの限界とNetFlowの台頭

現在、ネットワークの運用・監視にはSNMPベースの管理システムが最も広く利用されています。
しかし、SNMPはポーリングに基づいてデータ収集を行っており、ネットワークの規模が大きくなると、
情報の収集に長時間を要するなどの問題が有ります。
また、時間短縮のためにポーリングの間隔を短くするとネットワークへの負荷が大きくなる問題もあり、
リアルタイムの状況監視には限界があります。
加えて、QoSの監視、アプリケーション毎の帯域、など詳細なトラフィック情報の収集は困難です。

一方、NetFlowはプッシュ型のプロトコルを使用しており、事象を検知した時点で即時に状況を
報告することができますので、リアルタイムのネットワークの監視が可能です。
また、ネットワークへの負荷も少なくて済むことから、大規模ネットワークにも適用できます。
このようにNetFlowは、SNMPには無い優れた機能がサポートされており、海外では一般的になってきて
いますが、日本ではまだ一般に受け入れられていなく、使用は一部のユーザに限られています。
日本では現在主として、トラフィックの表示、トラフィック過負荷の検出、ネットワーク計画・設計などの
用途にのみ使用されています。

NetFlowの最新トレンド

今後ネットワーク利用はより高度化し、UC（Unified Communication）、IPv6、Cloud、IPhoneなどの
モバイル端末、またVoIP、IPTV、ビデオなどのアプリケーションの普及が予想され、今まで以上に高度な
トラフィックの分析、リアルタイムネットワーク監視、セキュリティ向上、が必要となってきます。
NetFlowは将来のこのような要求を満たすための機能拡張を行っており、以下のようなより高度な
トラフィックの分析・監視を実現することが出来ます。

Flexible NetFlowによるフロー情報のカストマイズ（既に実現）

Flexible NetFlowにより、NetFlowレコードのカストマイズが可能となります。
利用者は、用途に応じて必要な項目のみを指定して収集し、送信先を目的に応じて、セキュリティ監視
向け、コアトラフィック監視向け、アプリケーション可視化向け、などの個々の解析システムに振り分けることが出来ます。
これにより、よりきめ細かい解析が実現可能となります。

DPI（Deep Packet Inspection）（既に一部実現）

現在、多くのアプリケーションはポート80番を使用しており、ポート番号のみではアプリケーションを
区分することが出来なくなってきています。
実際使われているアプリケーションを識別するためには、メッセージの中身の解析が必須となります。
これを実現する機能として、Cisco社のNBAR (Network Based Application Recognition)があり
（IPFIXにも同様の機能が有）、ポート番号でなく実際のアプリケーションデータ（L7のデータ）、
HTTPのURL、P2P、Skypeなどの解析が可能となります。

ファイアウォール、IPSでのNetFlowサポート（既に一部実現）

現状では、NetFlowをサポートする装置はルータ、スイッチに限られていますが、
今後はファイアウォール、IPS/IDS、でのサポートが一般的に行われるようになります。
これにより、内部および外部のフローを同時に取得、NATの正確な変換情報、AAAA認証のフロー、
フィルターで拒否されたフロー、双方向のフローが収集できることで、ゼロデイアタックなどの検出が
可能となり、システムのセキュリティ向上が図れます。

パフォーマンス上のトラブル解析向け（既に一部実現）

VoIP、VIDEO、サーバのパフォーマンス上の障害解析は難しく、長時間かかるケースが多々あります。
今後NetFlowは、ジッター情報、SSRC(SIP Synchronization Source Identifier)、パケットロス、TCPの遅延をフロー情報として提供することが可能となり、より速やかに障害の原因究明が可能となります。

その他

以下の機能（項目のみ）が可能です

• Class-Based Quality of Service　DSCPベースの監視（既に一部実現）
• SCTPプロトコルによるデータの信頼性確保（今後）
• NBAによるセキュリティ脅威の検知（既に実現）
• 双方向のフローおよびパケット単位のフロー送出（既に一部実現）
• ネットワーク要素（VPN、IP Phone、など）毎のトラフィック解析（既に一部実現）

以上の新しい機能は、新規製品に順次搭載され、市場に導入されます。
これによりNetFlowは、ネットワーク監視上より重要は役割を担うものと予想されます。

関連ページ

■製品紹介
Flowmon コレクタ