コラム

ネットワーク監視ツール選択のポイント -第2章-

ネットワーク監視ツール選択のポイント -第2章-

2022年3月4日



このコラムではFlowmon Blogに掲載された What are network monitoring tools? を参照し、ネットワーク監視ツールを選択する上で留意すべきこと等をまとめています。

前回の ネットワーク監視ツール選択のポイント -第1章- は、ネットワーク監視ツールの役割、必要性、種類や機能についてお話ししました。そしてこの第2章では、ネットワーク監視ツールの選択そしてその展開について取り上げます。

ネットワーク監視ツールの選択

ツールの選択では、現在のネットワークの規模や複雑性、スキルリソースなどの人的要素、および予算などお客様の状況によって異なりますが、一般的には次のような観点を考慮する必要があります。

  1. データソースの評価

    サーバー、ロードバランサー、スイッチ、ルーターなど、データソースとして活用できる資産のインベントリーを作成します。これは、監視ソリューションに必要なスループットを大きく左右するため、最初に行うことをお勧めします。経験則では、求められる可視化要素の詳細が増えるほど、リソースの需要とコストが高くなります。したがって、リソースは最も詳細な監視を重要な資産に優先的にアサインし、重要性の低い資産に対して監視設定をより柔軟に変更可能な仕組みで対応する必要があります。

  2. 処理要件の検討

    処理する必要のあるデータの大部分が判明してのち、ツールに必要とされるスループットや、仕様についてのおおよその判断が可能となります。ツールによっては仮想環境に導入する仮想アプライアンスか、または単独のハードウエアによる物理アプライアンス等の基盤選択も必要となります。

  3. 将来性の考慮

    単に現在定義される要件への対応に留まらず、ビジネスの成長を踏まえたIT基盤の拡張についても考慮が必要です。

    サイロ化の排除

    先の「ネットワーク監視ツールのユーザー」でも触れたように、異なる組織・役割によって、利用ツールも統一されずそれによる対応も個々に行われる(サイロ化する)場合が想定されます。またオンプレミス環境およびクラウド環境、それぞれに対し異なったソリューションの適用、フルパケットキャプチャーの要件に対してまた別のソリューションの適用など、異なるソリューションの適用に広がる場合があります。その場合、その複雑性や維持拡張のためのコストが肥大化して行くこととなります。想定されるIT基盤の拡張や、将来も含めた求められる問題解決のシナリオを見据え、サイロ化を排除し、横断的拡張が可能なソリューションが求められます。

    自動化

    ネットワーク監視ツールを導入しても、その監視自身を管理者が常にモニターして問題の発生を監視することは現実的ではないため、自動アラート機能がこれらのツールには必要不可欠なものとなります。またそのアラートも、単にコンソールへの表示やメール・メッセージシステム経由での情報提供にとどまらず、さまざまなシステムとの柔軟な連携が求められます。通常業務で常にアクセスのあるチャットシステムなど、ユーザーの運用上利便性の高いシステムとの連携が可能な、API機構等をもつものが好ましいと考えられます。

    拡張性

    システム的な拡張性の視点では、全ての情報を単一の管理サーバーで処理を行うか、または分散構成により、規模の大きなネットワーク環境への対応が予想されるかなど、スケーラビリティーの検討が求められます。またクラウド上のさまざまなシステムとの連携も監視対象とするか、その利用されるクラウド環境はどのベンダーを利用する可能性があるかなどにより、利用できるツールの選択が影響を受けることとなります。

ネットワーク監視ツールの展開

適切なツールの選択が完了すると、いよいよそのツールの展開および構成へと進み、運用の段階へ入って行くこととなります。以下ではFlowmonを例としてその段階を挙げてゆきます。

監視ポイントを選択する

監視ポイントは、ネットワークフロー生成可能なデバイスまたはFlowmon Probe(専用ネットワーク・センサー)となります。Flowmon Probeは、より深い可視性が必要なポイントに配置することにより、高度な解析結果の取得が可能となります。監視ポイントの配置候補としては、ネットワーク境界、ビジネスクリティカルなサービス、重要なネットワーク相互接続ポイントなどを検討してください。

データの収集

監視ポイントの選択が完了すると、Flowmon Collectorの導入展開と構成の段階に進むこととなります。Flowmon Collectorは、ネットワークメタデータの保存、処理、および視覚化処理される場所であり、監視ソリューションのコアコンポーネントとなっています。

適切な構成後、ネットワークへの接続が完了すると、Flowmon Collectorはデータの収集と処理を開始します。その後適宜、要件を踏まえた設定等のチューニングを実施します。また他のチームへのアクセス許可、必要な追加構成変更、新しい監視ポイントの追加などの検討を行います。

図1:フローデータの収集

図1:フローデータの収集
構成の完了と運用

Flowmonではシステムの構成を特定の監視ニーズに合わせて迅速に調整するために、DHCPまたはDNS監視、TLSコンプライアンス監視、Office 365監視など、一般的なネットワーク監視のユースケースに対応するダッシュボードとレポートを、自動的に設定するプリセットが用意されています。

プリセットの適用には、次の4つの手順が必要です。

  • 適用するプリセットの選択
  • プリセットに含まれるユーザーの決定
  • 追加設定の構成
  • システムにインストールするコンテンツの選択

図2:プリセット

図2:プリセット

数分以内に、データが処理および可視化が開始され、必要に応じてドリルダウンできるようになります。またカスタムレポートやアラートなども追加可能です。

これらのステップで必要な構成が完了し、日常のネットワーク・トラフィックの監視を開始することが可能となります。

終わりに

肥大化複雑化する今後のITインフラのネットワーク監視では、膨大なデータから現在のそして将来の問題を可視化しまたは予測し、ビジネスの円滑な展開を担保することが期待されています。すでに取り入れられ始めているAIのさらなる活用など、新たな取り組みが要件として加味されることとなるでしょう。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

ブログ記事: ネットワーク監視ツール選択のポイント -第1章-
ブログ記事: What to Look for in a Network Traffic Visibility Solution
ホワイトペーパー(ダウンロード): NetOps and SecOps Cooperation

Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

ネットワーク監視ツール選択のポイント -第1章-

ネットワーク監視ツール選択のポイント -第1章-

2022年2月4日



このコラムではFlowmon Blogに掲載された What are network monitoring tools? を参照し、ネットワーク監視ツールを選択する上で留意すべきこと等をまとめてみました。

当回の第1章では、ネットワーク監視ツールの役割、必要性、種類と機能、そして想定されているユーザーについてのものとなります。これらはツール選択を検討する上での、前提知識となります。そして次回に予定している第2章では、ネットワーク監視ツールの選択そしてその展開について取り上げます。

ネットワーク監視ツールの役割

ネットワーク監視ツールは、ルーター、スイッチ、ロードバランサー、サーバー、ファイアウォール、専用プローブなどのアクティブなネットワークデバイスからデータを収集し、それらを分析してネットワークの状態を可視化します。それによって、サービスの低下や停止によってビジネスを阻害するさまざまなネットワークの問題を、事前回避または解決することが可能となります。

ネットワーク監視ツールの必要性

昨今のシステム環境は、クラウドとオンプレミスに複雑に展開され、アプリケーションのレスポンス遅延に関わる問題箇所の特定に、多大な労力が必要となっています。アプリケーション側にその遅延の原因が認められない場合、エンドユーザーから該当するアプリケーションに至るネットワークに、何某かの問題があると判断されます。一方、各ユーザーのワークステーションから経由点となるルーター/スイッチ類、または遠隔地に配置された機器やクラウド上の各システムの状況を把握することは、困難を極める状況となっています。

ネットワーク監視ツールは、このような課題の可視化と解決を目的として設計されています。また、ネットワーク全体のステータスを一つのユーザーインターフェイスにまとめ、問題となる場所の特定を支援し、効果的な対策の実施を可能とします。

ネットワーク監視ツールの種類と機能

ネットワーク監視を行う上ではいくつかのアプローチがあり、以下がその主なものと言えます。

SNMP監視

Simple Network Management Protocol(SNMP)は、IPネットワーク内のさまざまなデバイスの状態を監視するために使用される標準プロトコルです。このプロトコルを使用した監視方法は、会社のIT基盤全体とその中のすべてのデバイスをカバーできるため、インフラストラクチャー監視とも呼ばれます。

この方式では、デバイスの可用性、デバイスのステータス、特定のエラー、およびサーバーのCPU温度などの物理情報を取得し可視化することが可能となります。一方、ネットワークのトラフィック構造の表示、ユーザートランザクションへのドリルダウン、異常なトラフィックの検出などを行うためには、他の方法を検討する必要があります。

ネットワーク・フロー解析

ネットワーク・メタデータを使用しより詳細な情報を利用するこの方式は、IPネットワークトラフィックの多様な洞察が可能で、ネットワーク・トラフィック モニタリングまたはネットワーク・トラフィック可視化と称されるソリューション分野で利用されています。

ネットワークのボトルネックやその他のサービス低下の原因を明らかにし、アプリケーション配信チェーンに沿った問題箇所を特定することができます。また障害要素のみならず、サーバーの遅延、デバイスの構成ミス、リンク容量の不足など、それぞれの問題の性質に関わる情報も提供が可能です。

この方式では、NetFlowやIPFIXなどの多くの形式のネットワーク・フローデータを活用し、それらを分析しネットワークとそこで発生する様々なイベントを可視化することができます。昨今ではこれらフローデータを出力可能なネットワーク・ディバイスが増えていますが、Flowmonなどの様に、より詳細な解析を行うために独自のプローブ機能を持ち、よりきめ細かなフローデータを生成し、高度な解析を行うソリューションの重要度が高まっています。

クラウド内のネットワーク・フロー解析

マルチテナント環境が前提となるパブリッククラウドでは、個別テナントごとのネットワークの可視化への対応が問題となります。一時期までは、高額となるサードパーティーのパケットブローカー製品に依存し、それによって生成されるフローデータを利用せざるを得ませんでしたが、昨今ではIaaSベンダーが提供するフローログの活用が可能となってきました。

図1:ハイブリッド監視構成

図1:ハイブリッド監視構成

企業のビジネス基盤がクラウド/オンプレミスのハイブリッド環境を一般的なものとして広がってゆくと共に、ネットワーク監視も、通常のオンプレミス環境でのネットワーク・フロー解析、およびこれらクラウド環境も含めた複合環境への対応が求められています。

フルパケットキャプチャ

ネットワーク情報を完全な形で解析するためには、すべてのパケットデータ、つまりネットワークトラフィックメタデータだけでなく、通信全体をキャプチャして処理するというアプローチが必要となります。ただし、このアプローチにより完全性は期待できますが、膨大なストレージと処理要件が求められることとなります。

フルパケットキャプチャおよびその取得されたデータの解析は、問題発生時には避けることのできない重要なネットワーク管理者のタスクとなりますが、求められるネットワークの専門知識と解析労力は、通常業務への多大な負荷となっています。

効率的にネットワーク全体の状況を把握し、問題の絞り込みを可能とするネットワーク・フロー解析のアプローチと、確実な問題の特定を可能とするこの方式との組み合わせが、現在注目を集めています。Flowmonではネットワーク・フロー解析による効率的なネットワーク状況の全体把握と、オンデマンドまたはイベント検出時にフルパケットキャプチャを実行可能な、ハイブリッド・アプローチを実現しています。

ネットワーク監視ツールのユーザー

ネットワーク監視ツールのユーザーは、従来は大企業のネットワーク管理者でしたが、昨今では企業規模に関わらず、全てのネットワーク管理者にとって必須なものとなってきました。それに伴いこのNPMD(Network Performance Monitoring and Diagnostics)分野は重要度を増し、それに伴う市場の成長と共に、ユーザーにとっては多様な選択が可能な段階となってきています。

またネットワーク環境が複雑化するにつれ、その分析スキルもより高いものが求められ、それを補助するさまざまな自動化・省力化が求められています。

セキュリティ

ネットワークのパフォーマンス確保や障害対応を目的とするネットワーク管理者と同等に、さまざまな攻撃への対応や情報漏洩事故の未然防止など、セキュリティ管理者にとってもネットワーク監視ツールは重要なものとなっています。ファイアウォールなどでの境界防衛、アンチウィルスなどでのエンドポイント保護のほか、ネットワークの境界内でのさまざまな攻撃や、その前段階の活動などを掌握する上で、ネットワーク監視ツールは不可欠なものと考えられています。

境界での外部からの通信状況の把握、サーバーやクライアントおよびアプリケーションリソースのマルウエア等による感染の有無、そしてネットワーク監視ツールによる境界内のイベント検知情報、それらをSIEM製品で統合することで、網羅性の高いセキュリティ監視が可能となります。

NetSecOps

多くの場合、ネットワーク管理者とセキュリティ管理者は対応業務範囲が重複するケースがありますが、それぞれの専門性は高く、その必要性に十分対応できている組織は稀であると言わざるを得ません。対応するツール自身がネットワーク管理向け、セキュリティ管理向けと別れている場合も多く、それを統合し対応を求められる管理者の負担を大きくしています。

NetSecOps(Network and Security Operations)はネットワーク視点・セキュリティ視点を融合させた方向性で、ネットワークの問題・セキュリティの問題と対応を分けることなく、統一した運用の中で問題シナリオを炙り出し対応してゆくアプローチとなります。FlowmonではこのNetSecOpsに準じた製品デザインがなされており、単一ソリューションで総合的な問題解決をご支援しています。

第2章に続く

次回「ネットワーク監視ツール選択のポイント -第2章-」では、ネットワーク監視ツールの選択そしてその展開について取り上げます。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

ブログ記事: What to Look for in a Network Traffic Visibility Solution
ホワイトペーパー(ダウンロード): NetOps and SecOps Cooperation


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

ロードマップに見るFlowmon機能拡張概要

ロードマップに見るFlowmon機能拡張概要

2021年12月3日



昨年のKemp Technologies社によるFlowmon Networks社買収によって、アプリケーションの利用環境の最適化という観点から、ロードバランサー製品のLoadMasterと共に、Flowmon製品では継続的な機能拡張が計画されています。公開されているFlowmon製品の ロードマップ から、今後の同製品の方向性について見ていきたいと思います。

パフォーマンス監視・診断機能の拡張

パフォーマンス監視では、Flowmon バージョン13で計画されている予測洞察(Predictive insight)機能があげられます。この機能により、時系列分析機能を踏まえ数週間後に発生すると予測される問題を洗い出し、管理画面のネットワークトポロジー上で警告を行うなどの機能拡張が計画されています。

図1:予測洞察

図1:予測洞察

また現在のAWSのほかAzureやGoogle CloudでのFlow logサポートが提供され、オンプレミスとクラウドを合わせたハイブリッド環境への監視サポートが強化されることや、Flowmon Packet Investigatorでのプロトコルサポートの拡張によってもたらされる広範囲なIoTユースケースへの対応が、注目される機能強化点と考えられます。

さらに Flowmon バージョン14では、これまでのIPアドレスを基準にした解析のアプローチから、サブネットやアプリケーション、サーバー、ルーターなどのさまざまなネットワーク内のアセットを基準にした解析を可能とする変更が、計画されています。

図2:アセットモニタリング

図2:アセットモニタリング

上図のように具体的なアセットを起点としたドリルダウンによって、下位アセットの状況を確認することが可能となり、解析の際に、より直感的なオペレーションを実現できるだけでなく、プロファイル作成などの構成時にも、運用管理の高い操作性を実現する改善が期待されます。

セキュアなネットワーク環境に向けて

セキュリティではFlowmon ADSバージョン11.3で実装されたMITRE ATT&CKフレームワークに基づいた脅威の可視化が、システム全体のセキュリティの担保に貢献します。この実装により検知された脅威を分析し対応策を立案する上での活用が期待されます。

図3:MITRE ATT&CKフレームワーク対応

図3:MITRE ATT&CKフレームワーク対応

また、Office 365などで多発するDNSコールなどの誤検知をあらかじめ排除するための input flow filter の実装や、メソッドの強化として、マルウエアのC&Cサーバーとの通信で利用される、ドメイン生成アルゴリズムにより生成されたドメインの識別など、さらなる脅威検知強化がなされる予定です。

継続的なユーザビリティの向上

解析のしやすさという視点からも、いくつかの機能拡張が計画されています。構成展開に対するAPIの提供により、複数インスタンスの大規模展開が効率的に行えるようになります。操作性については、内部のデータクエリー改善により、最大7倍の大幅なパフォーマンス向上が見込まれております。

また、GUI関連の拡張として、アセットモニタリング機能に対応したフロー分析のワークフローが再設計され、より効率的な分析が可能となります。

図4:分析ワークフロー

図4:分析ワークフロー

さらに、サービスプロバイダー向けマルチテナント構成でのFlowmonの活用も定着してきましたが、ADS バージョン12ではこのマルチテナント機能にも対応し、ADSを含めたセキュリティサービスとして展開する運用モデルへも対応可能となる予定です。

まとめ

Flowmonの Probe機能(ネットワーク・テレメトリー) をすでに実装したLoadMasterでは、既存の WAF機能強化 をはじめとし、認証機能をソリューション化した Zero Trust Access Gatewayアーキテクチャー を発表しています。

図5:Zero Trust Access Gatewayアーキテクチャー

図5:Zero Trust Access Gatewayアーキテクチャー

このように、今後これら2つの主要製品のポートフォリオ連携が進み、「Always On, Application Experience」の具現化が進んで行くものと期待されています。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

ゼロトラストを支えるFlowmon

ゼロトラストを支えるFlowmon

2021年9月3日



このコラムではNISTよりリリースされている Zero Trust Architecture (SP 800-207)を参照し、ゼロトラストでのFlowmonの位置付けを整理してみたいと思います。なお当該文書の日本語訳版はPwC社によって提供されています。

ゼロトラスト・アーキテクチャーの主要構成要素は、厳密な認証と、その認証に基づいた適切なアクセス制御(ポリシーの適用)の実施となりますが、そこで求められている実現内容は単に認証サーバーや認証を実施する様々なシステムの対応する範囲にとどまりません。その認証やアクセス制御の正当性を担保する全体の仕組みとともに、システム・運用がデザインされている必要があります。

ゼロトラストの考え方として、以下が7大原則としてあげられています。

  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

※ これら各項目概要は簡略化しているため厳密には原文をご参照ください。

これらの項目の中で特に4、5、6および7について、その時点のネットワーク含めた環境の安全度合いを踏まえ、リソースへのアクセスポリシーは決定されなければならないことが示されています。

図2:多様なリスク検知機能

図1:求められるリアルタイム・リスク検知とアクセスポリシーへの連携


例えば、利用中のネットワークセグメント内で、外部からの侵入および攻撃を疑われる兆候が発見された場合、迅速にポリシーを変更し、より厳密な認証の実施を行わなわなければなりません。また同様にそのリスクの高い状態が解除された場合、通常のポリシーに速やかに戻すなどの運用が求められます。

これを実現するためには、的確なリスク事象の把握とそのシステム連携機能が必要となります。Flowmonはこの点で、ゼロトラストの実現に対し大きな役割を担うこととなります。

脅威検知機能

一般的に認証は複雑化すればするほど認証強度は高まりますが、同時にシステム全体としての「使いやすさ」や「業務効率」の観点からは負担の増大となります。そこで各リソースごとに適切なポリシーを定義し、必要最小限の権限を付与するための、適切な認証強度を適用する必要があります。ここでこの認証強度の「適切さ」は、その状況により変化する可能性があることを留意しなければなりません。それは構成の変更によりもたらされる中長期的要因もあれば、外部攻撃・内部犯罪などのセキュリティーリスクのような緊急性のあるものなどもあります。

Flowmonはネットワークフロー情報からリスク要因となる様々な兆候を炙り出すことができ、その問題事象の状況の早期把握や未然防止に役立てることが可能です。いくつかの問題事象シナリオに対する実際のFlowmonでの可視化事例(模擬攻撃とFlowmonでの可視化事例 および ランサムウエア検知でのADSのシナリオ) は別コラム記事にてご参照ください。

以下のような事象に対する検知機能をFlowmonでは実装しています。

図2:多様なリスク検知機能

図2:多様なリスク検知機能
シャドーIT
会社組織のセキュリティーポリシーで許可されていない外部クラウドサービスが使用されてしまうケースがあり、それによる情報漏洩やマルウエア感染などのリスクが増大します。
ネットワーク・スキャン
攻撃対象のネットワーク内にあるシステムとそこで有効となっているサービスを見つけ出すために、ネットワーク・スキャンが行われます。一般的には攻撃活動の初期段階で行われる調査活動ですが、通常のルーター機器などでも機能として行うこともあるため、その問題のないものか否かについての確認も必要ですが、注意を払うべき事象となります。
DNSスプーフィング
社内ネットワークに第三者が接続し、DNSサーバーとしてのなりすましを行います。ユーザーの端末がこのネットワーク接続時などに正しいDNSとして認識してしまうと、それ以降利用するサービスサイトの虚偽のIPアドレスを受け取ってしまい、それによりユーザーの認証情報を詐取される可能性があります。
辞書攻撃
攻撃目標となるサービスが特定できると、そのサービスへのログインのために、あらかじめよく利用されやすいパスワードのリストを使用したログインの試行が行われます。
既知の脆弱性
Flowmonは、様々な既知の攻撃手法またはゼロデイ攻撃に対して、振る舞い検知機構などによりそれらを捕捉し、被害の未然防止に貢献します。対応の一部事例として SIGRed(Windows DNS サーバの脆弱性)SUNBURST(トロイの木馬型マルウエア)のFlowmon社各ブログをご参照ください。
データの持ち出し
データ転送時の大量データ移動の検知のほか、データ転送には通常利用されない通信プロトコルを利用したデータ搭載の検知など、様々な攻撃に関わる疑うべきデータ転送を洗い出します。
ブラックリストとMISPサポート
Flowmonでは複数のソースから最大毎6時間ごとに更新された独自のブラックリストを提供しています。またオープンソースの脅威情報プラットフォーム MISPとの連携もサポートしており、脅威情報の範囲を広げることでより多角的な分析を期待することが可能となっています。

図3:Flowmonの多様な解析アルゴリズムとブラックリスト

図3:Flowmonの多様な解析アルゴリズムとブラックリスト

ネットワークフロー情報を元に搭載された二百以上のアルゴリズムを使用して、以上を含めた様々な脅威を検知することが可能となっています。これら検知した脅威への対処としては、Flowmonとゼロトラスト基盤で利用している認証認可システムなどをそれぞれAPI経由で連携し、ポリシー適用時の判断の自動化などが想定されます。

システム連携機能

Flowmonの実装しているREST APIやSyslogなどのインターフェイスを利用し、ネットワーク監視ソリューション(PRTGやZabbix)や SIEM(QRadarFortiSIEM)との連携など、多くのインテグレーション展開実績を有しています。

各ソリューションでのログとADSでのイベントとの相関関係からより詳細な事象分析を可能とし、その状況判断の正確性を高めることができます。これによりゼロトラスト環境でより適切なポリシー適用を実現できます。

図4:QRadarとの連携アプリケーション(Flowmon App)の実装

図4:QRadarとの連携アプリケーション(Flowmon App)の実装

また認証後のユーザーのリスクのある活動が検知された場合、速やかにそのユーザーのアクセスを排除する必要があります。個々のシステムでその対応を行うのは複雑なため、ネットワークレベルでアクセスを遮断するなどが現実的な実装の一つとなります。 Flowmonでは各社SDNコントローラー(Cisco社、アライドテレシス社、アラクサラネットワークス社など)、 また FortiGate などのセキュリティ製品との連携を行う事が可能です。これにより、初期段階でのアクセス判断後、リスクのあるユーザーの活動が確認された場合、自動遮断等それを反映した高度なゼロトラスト環境の実現に貢献します。

まとめ

リモートワーク化が進みまたランサムウエアの被害が身近な脅威として認識されつつある状況を受けて、多くのお客様でゼロトラストに取り組む事例が見られています。セキュリティー脅威が刻々と変化するIT基盤では、その検知と迅速なポリシーへの反映は不可欠です。既存のIT基盤にほとんど手を加えることなく実装可能なFlowmonにより、即効性の高いゼロトラストの実現をご検討ください。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

Kemp社ではNPMD/NDR製品のFlowmonのほか、ADC製品となるLoadMasterをご用意しています。LoadMasterではロードバランサー機能の他Webアプリケーションに対する認証認可アクセス制御機能を備え、Zero Trust Access Gateway (ZTAG) として関連機能をソリューション化しご提供しています。

NPMD: Network Performance Management and Diagnostics, NDR: Network Detection and Response, ADC: Application Delivery Controller


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

Kemp社の製品戦略とブランディング

Kemp社の製品戦略とブランディング

2021年8月6日



昨年のKemp Technologies社(以下Kemp)によるFlowmon Networks社の買収を受けて、これまでの継続的なFlowmon製品の機能強化の他、Kempの主要製品であるLoadMasterとのシナジーが今後期待されています。このコラムでは、そのような期待されるKempの目指す戦略とブランディングの方向性についてまとめてみました。

ポートフォリオの拡張

Kemp LoadMasterは、アプリケーションなどへの通信負荷を複数インスタンスに分散するためのロードバランサー製品ですが、WebアプリケーションへのHTTP(S)リクエストをフィルタリングして脅威となるものを検知・防御するWAF (Web Application Firewall)機能、アプリケーションへの認証をシームレスに行うためのSSO(シングルサインオン)機能など、さまざまなセキュリティー機能を合わせて装備しています。ロードバランシング及びこれらの機能を合わせ、Kempでは「Always On, Applicaton Experience」として、可用性の高い、セキュアなアプリケーション利用環境を実現するためのソリューション提供を行ってきました。


図1:LoadMasterのセキュリティー機能

図1:LoadMasterのセキュリティー機能

Flowmonを新たに製品ポートフォリオに加えることで、Kempはこの「Always On, Application Experience」のより網羅的な展開が可能となりました。LoadMasterは上のように、アプリケーションとユーザーからのアクセスの境界を管理する製品となりますが、Flowmonによってその実効範囲がネットワーク全体に拡張されます。Flowmonのネットワークのパフォーマンス可視化によって、アプリケーション利用の障害となるパフォーマンス劣化の原因が特定可能となり、また問題箇所の把握が容易になりました。セキュリティー視点では、境界内外における脅威の可能性を振る舞い検知により洗い出し、システム全体のセキュリティーを担保します。

ブランディングの融合

Kempではこの製品の方向性を踏まえ、FlowmonおよびLoadMaster両製品ポートフォリオのブランディング融合を徐々に開始しています。すでにグローバル版Flowmon製品の最新リリース(v11.01.07以降)では、Kempカンパニーロゴやイエローを基調としたKempのカンパニーカラーへと製品画面デザイン等が変更されています。以下がすでに実装された画面例となります。

図2:更新される製品ロゴと基調色

図2:更新される製品ロゴと基調色

弊社のWebサイトにおいても、今後は徐々にこのブランディング融合に追随し、適宜刷新された製品紹介ページをご覧いただく予定です。

Kemp社のプロファイル

ここで改めてKemp社についてのご紹介です。Kemp Technologies, Inc.は米国ニューヨークに本社を置くグローバル企業で、ヨーロッパはアイルランド・ドイツ、南米はブラジル、アジアではシンガポールに主要拠点を置き、昨年Flowmon Networks a.s.を傘下に収めチェコをその主要開発拠点とする事業拡大を実現しています。その主要製品となるLoadMasterは、これまで既存顧客数は25,000をこえ、全世界138カ国に展開し、多くのお客様にご利用いただいている製品となります。Flowmon社のCTOであったPavel Minarikが新たに Kemp社のCTOに就任していることからも、Flowmon製品の持つテクノロジーを核とした製品開発が今後期待されています。

新ブランド

年初より本格的に進められてきたKemp/Flowmon両社の様々なオペレーションの統合も順調に進み、今後はより付加価値の高いソリューション開発へとフェーズが進んでゆくものと期待されています。

まとめ

このようにグローバルに既に築かれたKemp社のビジネス基盤と、Flowmonの持つテクノロジーが融合し、新たなブランドとして確立してゆく動きが明確になってきました。弊社では今後もお客様の問題解決にお役に立てるソリューションのご提供を目指し、活動を展開してまいります。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

Kemp社によるFlowmon社買収の発表
LoadMasterへのFlowmon Probe機能(Network Telemetry)の移植


Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

ランサムウエア検知でのADSのシナリオ

ランサムウエア検知でのADSのシナリオ

2021年7月8日



本年5月の米国最大の石油パイプライン(コロニアル・パイプライン社運営)の停止は、ランサムウエア攻撃が一企業の被害にとどまらず社会インフラへの多大な影響を及ぼすものという形で、改めてその脅威が認識されました。また国内でも大手企業にとどまらず、セキュリティー対策の未整備な多くの企業へそのリスクは広がってきている状況です。


先のコラム記事「模擬攻撃とFlowmonでの可視化事例」 では、企業ネットワークに侵入したのちの攻撃パターンについて事例をご紹介しましたが、このコラムでは典型的な外部からのランサムウエア攻撃のシナリオに即した、Flowmonの対応についてご説明させていただきたいと思います。Kemp社からはWebセミナーとなる「How to Detect Ransomware in your Network」が、ウェビナー・サービスのBrightTALKからリリースされています。詳細解説につきましては、当該Webセミナーをご覧ください。
※ BrightTALKのウェビナー視聴にはユーザー登録が必要です。また当該セッションは英語で行われています。


このWebセミナーでご説明させていただいている侵入及び攻撃の一連の流れを、各フェーズごとのFlowmonでの対応と合わせて見てゆきます。対応機能となるADS(Anormally Detection System)は、Flowmonのセキュリティー・アドオン コンポーネント名です。このADSの機能により、このシナリオが実現されています。

探索と認証情報アクセス(Discovery/Credential Access)

典型的シナリオとして、まず侵入口となるシステムを特定し、そのシステムにどのように侵入可能かを探索し、その後侵入を試みるステップとなります。まずは侵入口となるシステムを特定するためにARPスキャンを行います。これにより、起動している対象システムの洗い出しが可能となります。候補となる対象システムの洗い出しが終わると、次にその対象システムのアクティブなポートの探索へ、TCP SYNスキャンにより攻撃者は進むこととなります。


これらのネットワーク上の動きに対しては、随時Flowmonはネットワークの解析結果から、スキャン活動を洗い出し、リスクのあるイベントとしてコンソールに表示します。


図1:スキャンイベントの検知

図1:スキャンイベントの検知

またFlowmonはさらにそのスキャンイベントについて、ARPスキャン及びTCP SYNスキャンの詳細を提供します。これにより攻撃者は、どのIPアドレスを持ったシステムで、どのようなサービスが動いているか等を把握することができます。


図2:ARPスキャンとTCPスキャンの詳細

図2:ARPスキャンとTCPスキャンの詳細

これらの探索活動によって対象の絞り込みが完了すると、「パスワード総当たり」攻撃などにより、攻撃者は第一弾の踏み台となるシステムに侵入を試みます。この認証情報アクセスの段階を超えると、次にその周辺のシステムへの侵攻を試みる段階に入ってゆきます。

水平展開(Lateral movement)

この段階では一般的には既にファイアーウォールの内側に侵入が成功しているので、ここからはさまざまなプロトコルを利用することが可能となり、攻撃の選択肢も多岐にわたります。このWebセミナーでは、Windowsリモートデスクトップ(RDP)の脆弱性(BlueKeep等)を利用したシステムへの侵入などを例として解説しています。


RDPの脆弱性については、既知のものに対する修正コードなども提供されていますが、未適用なシステムも依然多く、それによるセキュリティー被害は少なくない現状となっています。このRDPの脆弱性を利用した攻撃に対して、Flowmonでは、ADSアドオンの振る舞い検知機能によって、その兆候を把握することが可能となっています。


図3:RDPプロトコルを使用した侵入の兆候の把握

図3:RDPプロトコルを使用した侵入の兆候の把握

目的とするシステムへの侵入が行われると、ユーザーが入力するキーストロークを盗み見ることを可能とする「キーロガー」を仕込むことで、データベースへアクセスのための認証情報を詐取し、そのデータベース内の機密情報の不正取得が可能となります。

持ち出し(Exfiltration)

ランサムウエア攻撃では攻撃対象となる企業の機密データを詐取し、そのデータを一般公開しないことを代償として身代金を要求するもの、またはそのデータを暗号化し利用不可能な状態にし、業務を妨害し、その復旧(暗号化されたデータの解凍)を代償として身代金を要求するものなどがあります。


機密データの外部への不正送信や、利用不可とするための暗号化処理のため、不正アクセスしたデータベースから一旦データを別の作業域にコピー(転送)する場合があります。Flowmonではこの通常大容量となるこれらのデータ転送を、疑わしい動きとして捉えることができます。


図4:大量のデータ転送を伴う通信の検知

図4:大量のデータ転送を伴う通信の検知

またその外部へのデータ転送で使われる手口として、通常はデータ転送では利用されない管理系のプロトコルが使われる場合があり、Flowmonではそのような異常な利用状況を検知することも可能となっています。


図5:ICMPペイロードを利用したデータ転送の検知

図5:ICMPペイロードを利用したデータ転送の検知

また合わせてこれらの動作指示を遠隔で行なっているサイト(C&Cサイト)の特定では、Flowmonも保有する6時間ごとに更新されているブラックリストを参照し、常にそれらの出現の有無を監視しています。


図6:ブラックリストによるC&Cサイトの検知

図6:ブラックリストによるC&Cサイトの検知

またFlowmonはマルウェア情報共有プラットフォームとなるMISPをサポートしており、グローバルで共有されている新たな脅威情報を随時検知に取り入れることが可能となっています。MISPの利用により、グローバルレベルで刻々と変遷するセキュリティー情報を補強することができ、より網羅性の高いセキュリティー監視基盤を維持することができます。

影響(Impact)

最終段階では、機密データを暗号化するために一旦外部ディスクへのデータの書き出しなどを行う可能性があります。Flowmonではこの段階での外部ディスクへの書き出しに関わる通信を把握し、疑わしいものとして検知することが可能となっています。


図7:疑わしいSAMBA通信の検知

図7:疑わしいSAMBA通信の検知

対策立案

Flowmonではこれらの検知したイベントを、ADS11.3リリースで実装したMITRE ATT&CKフレームワーク対応機能に則り、以下のようなマトリックスで分類する仕組みを提供しています。


MITRE社は米国の非営利団体で、ATT&CKとはAdversarial Tactics, Techniques, and Common Knowledgeの略で、MITRE社の提供するサイバー攻撃の流れと手法を体系化したフレームワークです。


図8:脅威イベントの分類

図8:脅威イベントの分類

ここで例示したランサムウエアのような一連の攻撃活動は、時に数日数週間に渡って実施されてゆく場合があるため、このマトリックス分類により、攻撃状況の把握およびその対策立案などに有効活用することができます。

まとめ

このようにFlowmonではネットワークフロー情報をもとに、さまざまなランサムウエア攻撃にかかわるイベント検知をタイムリーに行うことが可能で、正確な状況の把握と迅速な対処へ結びつけることができます。搭載されている200以上のアルゴリズムを駆使し、ネットワーク情報よりダイナミックにITインフラのリスク状況を可視化することができ、単にブラックリストの参照によるリスク情報の照合に止まらず、振る舞いとして事象を解析し、攻撃者とその動きを継続的に洗い出してゆきます。


既存のネットワーク情報を参照し解析する製品の仕組みから、Flowmonの導入は既存のネットワーク環境にほとんど変更を加えることなく可能なため、高い即効性をご期待いただけます。また中小規模から大規模展開に対応可能なスケーラビリティーを持っているため、様々な業態のITシステムのセキュリティー対策にご活用いただけます。


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連情報

オープンソースのThreat Intelligence 共有プラットフォームMISP
米国非営利団体MITRE社のATT&CKフレームワーク
Early Ransomware Detection and Response (YouTube)
Flowmon ADS (Anomaly Detection System)



Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6082
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第3章-

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方

2021年5月6日


− 3章 ネットワークの分析+セキュリティの強化を同時に実現する −

Flowmon (フローモン)が解決する課題

フロー分析によりネットワークの可視化とセキュリティ強化を実現し、ネットワーク運⽤管理の悩みを解決するのが「Flowmon (フローモン) 」です。
フロー情報の取得、監視、分析により、ユーザやアプリケーションの利⽤状況及び振る舞いを可視化することで、トータル的なセキュリティソリューションの構築も可能です。

Flowmon (フローモン)のできること

主な課題 Flowmon (フローモン)による解決
ネットワークの可視化 ネットワークの利⽤傾向を知りたい フロー分析により、アプリや端末ベースまでの利⽤状況を把握できる
トラブルをスピーディに解決したい 他製品と比べ、簡単・スピーディーに問題を特定できる
セキュリティの強化 インシデントを早期検知または事前検知したい いつ誰が何をしたのかなどの振る舞いを即座に分析可能で、早期検知につながる
標的型攻撃やゼロデイアタックなどに対するセキュリティを強化したい アンチウイルス対策で検知できなかったウイルスを振る舞いなどから発⾒
その他 ネットワーク内の脅威状況を把握やユーザによるトラブルを防止したい ネットワーク内の脅威状況を可視化可能。また、証跡による社内の規律保持やユーザによる不⽤意な行為を抑止する機能も搭載


Flowmon (フローモン)の特徴

Flowmon (フローモン)の特徴である「分析のしやすさ」、「導入のしやすさ」、「コストの低さ」は多くの企業に選ばれる理由にもなっています。

Flowmon (フローモン)が選ばれる理由


◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■コラム
時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第1章-
時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 -第2章-  

Flowmon製品に関する
お問い合わせはこちらからどうぞ




時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 2章

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方

2021年4月7日


− 2章 時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 −

今の時代にあったネットワーク運用の理想形

今の時代にあったネットワーク運用として、「複雑化したネットワークを可視化する点」「セキュリティの強化・補填」を両立させることが重要です。
本章では、具体的にどのような運用を行うことが望ましいのかについて解説していきます。

次項からは今の時代にあったネットワーク運用として「フロー分析」の活用について解説


ネットワークフローを把握するなら「フロー分析」が重要

これからの時代のネットワーク運用として、注目されているのが「ネットワークフロー(トラフィックの流れ)」を把握する監視・分析方法です。端末やアプリ単位での負荷状況を詳細に把握できたり、ネットワーク情報の振る舞いを監視することでセキュリティレベルの向上をさせることが可能です。
詳細な分析が可能と聞くと、通信の実データを分析しているように思われるかもしれませんが、必要な情報のみを収集・分析しているため、データの保存容量も重くなりすぎず、分析結果も短時間で表示させることができます。

トレンドに合わせたトラフィック分析方法「フロー分析」

変化のトレンド 主な課題 「フロー分析」なら
ネットワーク使用的の多様化・複雑化 端末単位での原因箇所の特定が困難 宛先IP等のフローデータから詳細な分析が可能
セキュリティリスクの増加 ネットワークフローから振る舞いを把握することで、社内外のセキュリティの強化や早期のインシデント検知につながる
トラフィック量の増加 分析時間の増加や保存データ量の増加 大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック分析が可能。実データを保存しないため、軽量での運用が可能。

フロー分析なら帯域使用の問題点や改善すべき点をピンポイントで把握することができる


ネットワークフローを把握。トラブルのスピード解決へ。

複雑化・大容量化したネットワークをシンプルに可視化するためには、ネットワークフロー(トラフィックの流れ)を把握することが重要です。
ネットワークフローを見ることで送信元IP や宛先IP などを把握することが可能となり、どの部署の誰が、どのようなアプリでネットワークを占拠しているのかを特定することが可能となります。これにより、ネットワーク障害や高負荷問題の原因特定がスピーディーとなり、解決までの時短につながります。把握するのに多くの時間やコストをかけるのは本末転倒なため、スピーディに状況把握できる体制・ツールを用いることが重要です。

原因特定のプロセス

フローデータを確認し、スピーディにトラフィック状況を可視化することが重要


ファイヤーウォール、エンドポイントだけでは足りない。今の時代に必要なセキュリティ

トラフィックが複雑化したことにより、セキュリティの強化も重要となります。強化の方法としては、エンドポイントセキュリティやゲートウェイセキュリティに加えて、ネットワーク上の防犯カメラ的な役割として、振る舞いを確認する(振る舞い検知)などが挙げられます。
事前の予防・予兆検知のほか、インシデントの早期発見や証跡の確認に用いることができ、被害の最小化や、具体的な被害範囲を早期に把握することなどにつながります。

強化すべきセキュリティポイント

エンドポイント・ゲートウェイだけでなく振る舞いの変化を検知し、セキュリティを強化


ネットワークフローツール選定のポイント

ネットワークフローの分析は、今の時代にあったネットワーク運用方法の一つです。ネットワークフローを分析するためのツールも多く発表されています。
一口にネットワークフロー分析ツールといっても、その内容はさまざまですので、自社に合わせて必要なツールを選定することが重要です。
以下は、ツールを選ぶ際の主なポイントをまとめた内容となっています。

どの企業でも共通してチェックしておきたい選定のポイント


次号へ続く


時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方 1章

時間もコストも削減。クラウド化・テレワーク化時代のネットワーク運用の在り方

2021年3月5日


− 1章クラウド化・テレワーク化で情シスを悩ませるネットワークの複雑化・負荷拡⼤ −

様々なクラウドサービスを利用することで複雑化したネットワーク

ファイル共有・保管やチャット、Web会議システム、Office365など、さまざまなクラウドサービスを利用する企業が増加傾向にあります。
クラウドサービスの利用により、生産性等への向上を実感する企業は多いですが、その⼀⽅で、ネットワークへの負担状況は複雑化され、 原因の特定に時間がかかるため、その場しのぎのネットワーク設備拡⼤などにコストをかけているケースも少なくありません。

クラウドサービス利用増加に伴うネットワークの複雑化

テレワークの推奨が更にネットワークの負荷を拡⼤。社員の生産性低下の原因に…

近年では、働き方改革の推進や感染症対策としてテレワークの導入を進める企業も増えてきています。
それに伴い、VPNなどの利用も増え、ネットワーク負荷が拡⼤し、社員の生産性低下につながっているケースも少なくありません。
例えば、利用者が増えたことで、ファイルサーバーへのトラフィックが集中し、接続が切れてしまったり、ネットワークが遅くなってしまったりと、全社の業務効率や生産性に悪影響を及ぼすなどが挙げられます。

トラフィックの集中によるトラブル

トラフィックが集中したことでネットワークが遅くなり、社員の作業効率・生産性が低下


ネットワークトラブルの問題解決に時間をかけ過ぎ、他業務がうまく回らない

利用しているアプリケーション・クラウドサービスが多様化していることに加えて、ネットワークの利用量全体が増加しているため、ネットワーク遅延・切断をはじめとしたトラブルの原因特定に時間が多くかかっていることもあります。

上記により、情報システム部門として、ネットワークトラブル対応以外の業務に時間をかけられず、部門全体で見ると生産性が低下してしまっているという課題に悩まされている企業も少なくありません。

ネットワークトラブルへの対応に時間を取られる

トラブルの原因特定業務が、情報システム部門の生産性低下を招いている


セキュリティの強化も必要に!?あなたの会社にも潜んでいる対策すべきリスク

クラウドサービスの利用やテレワークによるリモート接続の増加に伴い、セキュリティの強化も必要となってきます。

社員が管理外のネットワークに接続したことでウイルスに感染し、社内システムへの不正アクセスが行われてしまったり、秘密情報を外部サーバーに 送信され、情報漏洩につながってしまったりする事態などが考えられます。

不正アクセスや秘密情報の漏洩につながる場合もある

セキュリティリスクへの対応も、従来より、強化することが重要となってくる

次号へ続く


NetflowとBGPの有効利用

NetflowとBGPの有効利用

2020年11月18日





BGPとは

BGP(ボーダーゲートウェイプロトコル)とは、インターネットサービスプロバイダー(ISP)間で使用されるルーティングプロトコルのひとつです。
図1:BGP AS_PATH
図1:BGP AS_PATH

BGPは、インターネット上のISP、大学、または企業ネットワークなどの自立したネットワークシステムである「自律システム(AS:Autonomous System)」間で、パケットのあて先を正確に把握し、維持していくためのルーティングおよび到達可能性情報を交換します。各ASは、AS番号(ASN:Autonomous System Number)と呼ばれる一意の番号で表され、BGP最適パス選択プロセスで選択されたインターネット上の送信元ASおよび宛先AS間のパスに沿ったASのセットを、「BGP AS_PATH」と呼びます。パケットはこのBGP AS PATHに沿って宛先に送られます。

ネットワークパスの可視性のためのBGP AS PATH属性

BGPルーティング情報には、正確なインターネットパスが含まれます。そのためネットワーク管理者は、ルーティングテーブルから送信元ASおよび宛先AS、およびパケットが宛先に向かう途中で通過するすべての中継ASを特定することができます。ではこのBGPはどのように動作しているのでしょうか。

BGPルータが外部ASのネイバーやeBGP 注1ネイバーにルーティング情報を送信するとき、ASパスの先頭に自身のAS番号が追加されます。 したがって、BGP AS_PATHには、パスに付属したプレフィックス(ネットワークアドレス)およびそのプレフィックスに到達するために通過するすべてのASがリストされます(ASのセット)。

例えば、ルータAS1から発信されたプレフィックス70.36.1.0/24(NLRI 注2)がルータAS5で受信されたとき、AS_PATH属性は以下のようにセットされていきます。

  1. AS 1のBGPルータは、自身のAS番号(ASN)「1」を BGP AS PATHに設定し、AS2にBGP更新メッセージを送信します。
  2. AS2のBGPルータは、AS番号(ASN)「2」をBGP更新のAS_PATHの先頭に追加し、AS3に送ります。
    BGP AS PATHは「2 1」です。
  3. AS3のBGPルータは、AS_PATHの先頭にAS番号(ASN)「3」を付加し、AS4に送ります。
    BGP AS PATHは「3 2 1」になります。
  4. ルータAS4はAS3からAS_PATH「3 2 1」のBGP更新メッセージを受信します。
    AS4はBGP AS PATHの前にAS番号(ASN)「4」を追加します。
  5. ルータAS5がピアAS4からのBGPアップデートで受信するNLRIは「70.36.1.0/24」、BGP AS PATH は「4 3 2 1」です。

注1 eBGP:
eBGP(external BGP)は、異なるASのBGPルータ間でルーティング情報を交換する時に使用するBGPプロトコルです。一方、同じAS内のBGPルータ間でルーティング情報を交換する時に使用するBGPプロトコルをiBGP(internal BGP)と呼びます。iBGPではAS番号の追加は行われません。

注2 NLRI:
Network Layer Reachability Information (ネットワーク層到達性情報)の略。
このプレフィックス(ネットワークアドレス)へは付加されたAS_PATH経由で到達することが可能であることを示しています。


図2:AS間で引き継がれる情報

図2:AS間で引き継がれる情報


NetFlowとBGPパスの組み合わせのメリット

先述の様にBGPはネットワークパスを可視化することができるため、AS間でトラフィックが転送されるパスを把握することができます。 しかし残念ながら、BGPパスだけでは、このパスの利用状況を可視化することができません。
図3:NetFlowに含まれる多様な情報
図3:NetFlowに含まれる多様な情報

一方、NetFlowは、パスを通過するトラフィックの量をレポートできます。さらに、レイヤー2(VLANヘッダー、MACアドレス)、レイヤー3(、プロトコル)レイヤー4(TCP / UDPポート)情報、タイムスタンプ、VRF IDなどを含むトラフィックの統計情報が含まれているため、このNetFlowの情報を利用してトラフィックのパターンを解析することにより、使用しているWebアプリケーションやDDoS増幅攻撃、SSH侵害攻撃などの攻撃をも検出することができます。
このBGPパスとNetFlowを組み合わせることにより、ネットワーク上の任意のASパスの使用状況やトラフィックの輻輳の発生の有無、何処でDDoS攻撃などが発生しているかなどを特定することが可能となります。

NetFlowの各バージョンにおけるBGPのサポート

NetFlowは任意のパスのトラフィック量を情報として持っていますが、BGPの機能に対応するNetFlowのバージョンにより、トラフィックがASに到達するパスをレポートする機能には以下のような制限があります。

NetFlow v5の場合

収集可能な情報:送信元AS、宛先AS、またはピアASおよびBGPネクストホップアドレス

例えば、トラフィックがAS5からAS1に流れていてAS3ルータがインターフェイスGi0/0 の入力方向でレガシーNetFlow v5を生成している場合、ASコレクションに構成オプションとして「origin-as」を設定すると、NetFlowにはASN5を送信元AS、ASN1を宛先AS、BGPネクストホップアドレスがエクスポートされ、構成オプションに「peer-as」を設定すると、ASN4およびASN2およびBGPネクストホップ12.0.1.2がエクスポートされます。いずれの場合も、送信元またはピアASN情報の何れか一方のみがフローでエクスポートされます。

図4:NetFlow v5の場合

図4:NetFlow v5の場合


NetFlow v9の場合

収集可能な情報:送信元と宛先の情報の両方を同時に収集。

下記のCisco BGPルータNetFlowの設定情報(赤字部分)からもわかるように、NetFlow v9では送信元と宛先の情報の両方を同時に収集することができます。

flow record BGP-record
match ipv4 source address
match ipv4 destination address
match transport source-port
match transport destination-port
match interface input
match ipv4 protocol
collect counter packets
collect counter bytes
collect timestamp sys-uptime first
collect timestamp sys-uptime last
collect routing next-hop address ipv4 bgp
collect routing source as
collect routing destination as
collect routing source as peer
collect routing destination as peer

flow monitor BGP-monitor
record BGP-record


トラフィックがAS5からAS1に流れている場合、NetFlowはASN5を送信元、ASN1を宛先ASとして、AS4とAS2をピアASとしてレポートし、BGPネクストホップとして12.0.1.2をレポートします。それによりネットワーク管理者は適切な出口ポイントを選択して、それに応じて発信トラフィックを選定できます。また、Cisco社機器のみの設定とはなりますが、ネイバーまたはプレフィックスごとLOCAL_PREFを増やして重みづけをすることにより、特定の出口ルータを他のルータよりも優先させることも可能です。

ただし、BGPルータで生成したNetFlow v9は、NetFlow v5と比較してより詳細なASパスの情報を提供しますが、部分的なAS情報のみに制限されています。 たとえば、図3-02のルータAS4とAS5の間にAS6ルータを追加した場合、AS3の位置で生成したNetFlowは、AS6の情報を含んでいません。 BGPパスの完全な可視性とパス使用率を提供するには、BGPルーティング情報とNetFlow情報を組み合わせて使用する必要があります。

図5:NetFlow v9の場合

図5:NetFlow v9の場合


まとめ

BGPを使用すると、インターネット上のAS間でのネットワークトラフィック情報を明確にすることができます。
BGPテーブルから抽出されたBGP AS PATHなどのBGP情報があらかじめNetFlowレコードと関連付けられている必要はありますが、BGPルータへ接続したスイッチやFlowmonプローブにて生成されたNetFlowをFlowmonコレクタで受信すれば、ASを相互接続するパスだけでなく、どこのルートにどれくらいのトラフィックが流れているのか、などトラフィックのより詳細な解析が可能になります。
ネットワークの状態を詳細に把握できるBGPとFlowmonの組み合わせを、日々の運用にお役立ててみてはいかがでしょうか。

図6:FlowmonコレクタでのAS・NetFlow解析

図6:FlowmonコレクタでのAS・NetFlow解析



◆Flowmonについて、より詳しく知りたい方は、下記の資料をぜひご覧ください。


細かく相談されたい方は、こちらよりお気軽にお問い合わせください。
担当営業が直接Web会議ツールなどで製品のご案内をすることも可能ですので、お気軽にお申し付けください。

関連ページ

■製品紹介
Flowmon コレクタ
Flowmon プローブ

Flowmon製品に関する
お問い合わせはこちらからどうぞ
  • お見積依頼、お問い合わせはこちらからどうぞ
  • 03-6205-6083
  • 平日AM9:00~17:30(土日、祝祭日、年末年始、および弊社が定める定休日を除く)
お問い合わせフォーム