Page, 2
ネットワークパケットブローカーとは
モニタリングツールの機能やパフォーマンスを最大限に引き出すことのできるインテリジェントなレイヤー1スイッチです。ネットワークのトラフィックをスイッチのSPANポート、もしくはネットワークタップ装置経由でパッシブに受信し、複数のモニタリング装置(アナライザ、DPI装置)やセキュリティ装置(IDS、フォレンジック)に供給することができます。
スイッチ or TAP セキュリティツール A
モニタリングツール
ネットワークに影響を与えずに、データを引
き込む
セキュリティツール B
フィルタなどを行い、ネットワークに流れる同じデータを
各機器に振り分ける
Page, 3
ネットワークモニタリングの現状
インターネット
L2 SW L2 SW L2 SW
CORE SW2
CORE SW1
ROOTER2 ROOTER1
侵入検知
アプリケーションパフォーマンスモニタ
ネットワークパフォーマンスモニタ
ネットワークアナライザ
ネットワークデータレコーダ
TAP
課題② モニターポイントが分散しているため、 各種装置で部分的なデータしか取得できない
課題① SPANポートやTAPが不足しているため、 多様化するセキュリティ装置や監視装置の増設ができない
課題③ 増大するトラフィックに対して、モニタリング装置・セキュリティ装置の処理能力が追い付かない
Page, 4
ネットワークパケットブローカー導入による効果
L2 SW L2 SW L2 SW
ROUTER2 ROUTER1
インターネット
Ixia NTO
TAP
解決① SPANポートの不足解消 SPANポートとTAPからの分岐された信号を複数のモニタリング装置に分配。
解決③ 必要なデータのみを選択 フィルタリング、重複パケットの排除によりツール側のトラフィックを削減。
侵入検知・防御
アプリケーション性能管理
ネットワークアナライザ
情報漏洩防止
ネットワーク監査・証跡
Webセキュリティ
有効なツールを駆使し、 ネットワークやセキュリティ インシデントを多重監視できる
CORE SW2
CORE SW1
解決② モニターポイントの集約 多数のモニターポイントを集約することで、ツールの増設や監視ポイントの切り替えが容易に可能。
Page, 5
ネットワークパケットブローカーの主要機能
スイッチング
アグリゲーション
メディア変換
物理的にポートや結線の変更を行うことなく、モニターポイントとモニタリングツールの組み合わせを変更することが可能です。
複数のSPANポートやタップからトラフィックを集約し、1台のデバイスでモニタリングすることが可能です。複数のGigabit回線を集約し、10Gigabit対応のモニタリングツールで監視するといったことも可能です。
フィルタリング
コピー (複製)
スイッチのSPANポートやタップから取り込んだトラフィックを、あらかじめ指定した条件に従ってフィルタリングし、合致するパケットのみを出力側のポートへ振り分けます。
一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニタリングツールへ同時にトラフィックを分配することが可能です。複数製品による多重防御やモニタリングツールのリダンダント構成などで利用可能です。
入力ポートと出力ポートが異なるメディアでも利用することが可能です。たとえば、Gigabitファイバーで取り込んだ通信をGigabitカッパー対応のモニタリングツールで監視するということも可能です。
Page, 6
モニタリングツール接続の問題点と解決手法
NTOでSPANポートを集約し、センサー数を減らすことが可能です。
セグメント単位にセンサー配置は運用、コストが高い
NTOで複数SPANポートのトラフィックを複数生成することが可能です。また、処理能力が無い製品はフィルタにて必要トラフィックのみに限定することが可能です。
Switch IDS SPANポート
Switch IDS SPANポート
Switch IDS SPANポート
一台のスイッチで複数のSPANポートを設定するのは限界がある。
いくつもSPANポート設定はできない
製品A
製品B
製品C
Switch
処理能力が低い製品を利用したい。新しい製品を比較、検討したい。
いくつもSPANポート設定はできない
製品A
製品B
製品C
Switch
IDS
IDS Switch
Switch
Switch
SPANポート
SPANポート
SPANポート
IDS
IDS
IDS
IDS
Page, 7
Ixia 会社概要
本社:米国カリフォルニア州カラバサス
NASDAQ上場: XXIA
従業員数: 2,000人以上
1997年5月 設立
2012年6月 Anue Systems を買収
30カ国以上でグローバル展開
14年連続成長
イクシア日本法人 【本社】 東京都新宿区西新宿6-24-1 西新宿三井ビル11階 【YRPオフィス】 神奈川県横須賀市光の丘8-3 YRPベンチャー棟319号室
Page, 8
Ixia NTO の特徴 – 三階層フィルタ
従来の設定 NTOの簡単な設定
ユーザーの声 “他ベンダーの機器では、あるフィルタを設定するのに4時間を費やし、さらにトライアンドエラーを繰り返しフィルタの適用がやっとできた。” “Ixia社のダイナミックフィルタ機能は、同じフィルタを設定するのに たったの10分で設定を終えることができた”
入力ポート 出力ポート ダイナミックフィルタ
Page, 9
Ixia NTO の特徴 – 自動ルールエンジン
VLAN 1-3
VLAN 3-6
TCP
自動的に重複条件を検査し、ルールを作成
3. どのようにルールを自動コンパイルするのか
No. Criteria Action
0 VLAN 3 + TCP Tool 1, 2 & 3
1 VLAN 1-3 + TCP Tool 1 & 2
2 VLAN 4-6 + TCP Tool 2 & 3
3 VLAN 3 Tool 1 & 3
4 VLAN 1-2 Tool 1
5 VLAN 4-6 Tool 3
6 TCP Tool 2
7 Null Drop
自動的に重複条件を解決。必要な条件を簡素化
変更の影響無し – パケットロスなし
マルチアクセスで設定変更可能
Web API である RESTful API を使用し、外部システムとの連携による自動フィルタ等の設定変更が可能
4. なぜこれがすごいのか
Network SPANポート
Tool Port #1
Tool Port #2
Tool Port #3
SPANポート1つを3つのツールポートにそれぞれの条件で出力
TCP
1. 何をしたいのか
Network Tool Control Panel での簡単なフィルタ作成
2. どのように設定するのか
Page, 10
Ixia NTO の特徴 - ロードバランス機能
トラフィックを複数のツールポートに等しく転送
同一セッションは同一ポートへ転送
Layer 2/3/4 hash でのトラフィック分散
複数の1Gツールで10Gネットワークにも対応可能
32ポートロードバランスへ対応
Page, 11
AFM (Advanced Feature Module)
AFM16 AFM2 • 2ポート, 1G/10G (対応機種 : NTO 5236 / 5273)
• 1G バーストプロテクション • パケットの重複排除 • VNTag ストリッピング • MPLS ストリッピング • GTP ストリッピング • トレイラー ストリッピング • パケットトリミング • タイムスタンピング
• 16ポート, 1G/10G (対応機種 : NTO 5288 / 5293)
• 1G バーストプロテクション • パケットの重複排除 • VNTag ストリッピング • MPLS ストリッピング • GTP ストリッピング • トレイラー ストリッピング • パケットトリミング • タイムスタンピング • Cisco Fabric Path ストリッピング
Page, 12
パケット重複排除
VLAN間の通信や不正なスイッチ設定などに起因する重複パケットを排除することが可能。
重複パケットを除外することにより、モニタリング対象でないトラフィックを削減し、モニターツールの利用帯域を有効に活用することが可能。
Page, 13
VNTag ストリッピング / GTP ストリッピング
VNTagヘッダの削除が可能
DA(6) SA(6) VNTAG(6)
Ether type = 0x8926
Payload
DA(6) SA(6) Payload
GTP-Uヘッダの削除が可能
L2 L3 UDP GTP-U innerL3/L4 Payload
L2 innerL3/L4 Payload
Page, 14
Ixia NTO 機能/導入効果まとめ
機能 効果
• ネットワークポート統合 • 複数のアクセスポイントからのデータ取得 • 10G/40G Network を 1G/10G Tools で監視可能
• パケット重複排除 • 必要なパケットのみツールに送信 • ツールレポートの正確性と応答時間の向上
• 入口、出口、中間のフィルタリング • モニタリングツールの活用度合いを上げる:ツールにとって必要なデータのみ抽出
• Packet Trimming / Protocol Stripping
• 個人・秘密情報を含むデータおよびヘッダーを削除してからツールにデータ送信
• 動的変更管理 • 物理結線の変更なしに、経路やフィルタリング条件を動的に変更可能
• 視覚的操作ときめ細かなアクセス制御
• 要員の生産性の向上
Page, 15
Ixia NTO 機器諸元
シリーズ NTO 5204 NTO 5236 NTO 5288 Vision ONE
RU 1RU 1RU 2RU 1RU
最大ポート数 28port 28port 64port 64port
インターフェース
10/100/1000 20ポート 4ポート ー ー
1G SFP 4 24ポート 64ポート 48ポート
10G SFP+ 4 24ポート 64ポート 48ポート
追加16ポート (4x4ブレイクアウト)
1/10G SFP/SFP+ ー 24 64ポート 48ポート
40G QSFP+ ー ー 16ポート 4ポート
100G CFP ー ー 4ポート ー
AFM ー 4ポート 64ポート 160Gbps
電源冗長 ー ー ○ ○
寸法(高さx幅x奥行)cm 4.5 x 43.9 x 30.5 4.5 x 44.5 x 48.3 8.9 × 44.5 × 48.6 4.5 x 44.5 x 75.0
重量 5.7 kg 7 kg 16 kg 16.5kg
動作温度 0℃~30℃ 0℃~30℃ 5℃~40℃ 5℃~40℃
動作湿度 5% to 85% (結露なきこと) 5% to 85% (結露なきこと) 5% to 85% (結露なきこと) 5% to 85% (結露なきこと)
電源 1.27A @ 110VAC, 140W 1.27A @ 110VAC, 140W 90-240VAC, 2.36A @ 110VAC,
260W 6.6A @ 100VAC
Page, 16
各種モニタリング・セキュリティツールとの接続例
Cisco Juniper
Dell HP
Brocade
セキュリティセンサー IDS / IPS
アプリケーションパフォーマンスモニタ
ネットワーク分析
情報漏洩対策
ネットワークフォレンジック
McAfee BlueCoat EMC-RSA Intrusion Inc. WebSense Trustwave
Trustwave StillSecure Counter Snipe
Webセキュリティ
Compuware Endace
NetScout FLUKE
Narus SOLERA NetWitness
FireEye Imperva McAfee
ネットワーク機器からトラフィックを収集
入力トラフィックを ・コピー ・合成 ・フィルター を実施し、各種ツールへ送信
各種SIEMツールと連携
Page, 17
オートメーション機能 (外部機器連携)
SIEM / NMS
Data Recorder IDS/IPS
1. 異常が発生 2. 監視装置が異常を検知 3. オートメーションAPIにより NTO へキャプチャ指示
キャプチャオートメーションのためのAPIを提供
本書を無断で他に転載しないようお願いします。 本書は予告なしに変更されることがあります。
プラットフォームソリューション事業部門 ITエンジニアリング事業本部 ネットワーク部
〒135-8110 東京都江東区豊洲3-2-20 豊洲フロント TEL:03-5859-3034 / FAX:03-5859-3108 http://www.scsk.jp/ E-mail:[email protected]
<製品、サービス、ソリューション、価格相談窓口>
お問合せ、ご質問、ご依頼は、以下までお気軽にご連絡ください。 ※どのようなご質問やご相談も、お待ちしております。
SCSK株式会社