アプリケーションセッション フィルタリング

複雑なトラフィックに対応する上で、企業やサービスプロバイダーが抱える課題

セキュリティおよび監視用アプライアンスは、シグニチャと呼ばれるセッションとアプリケーション レイヤーのデータ パターンを検査します。これらのパターンを検出するためには膨大なトラフィックの検査が必要になります。全てのパケットに対して、数百、場合によっては数千のパターンを検査する必要があるため、このプロセスは非常に手間が掛かるものになります。従って、特定のパターンやアプリケーションと一致する対象フローだけを抽出し、対象となるツールにデータを転送できることが必要になります。一方、電子メールのセキュリティ アプライアンスの場合には、疑わしいリンクや添付ファイルを含む電子メールのトラフィックに限定して検証する場合があります。同様に、企業のトラフィックの大半が音声や動画の場合には、特定のセキュリティ アプライアンスや監視アプライアンスにデータを転送しない方が賢明です。アプリケーションや指定したパターンに該当するフローのみを抽出し、対象となるアプライアンスに該当データを転送する必要があります。

さらに、個々のパケットの送信やフィルタリングだけでなく、アプリケーション セッション全体に対応していることも重要となります。適切に脅威を特定して分析するためには、セッションの開始から終了に至るまでをセキュリティ ツールで可視化できなければなりません。該当セッションの全てのパケットを提供できなければ、結果としてエラーが発生し、検査されないままのトラフィックが発生します。

Gigamon ソリューション - アプリケーション セッション フィルタリング

現在の各種ネットワーク アプリケーションによって、トラフィックがより複雑化する中、GigaSMART®テクノロジーの拡張オプションであるアプリケーション セッション フィルタリングは、強力なフィルタリング エンジンを使用し、パケット ペイロードのあらゆる箇所で出現するシグネチャやパターンに基づきアプリケーションを特定します。これらのパターンは、ユーザーがオフセットを設定した固定文字列のように単純な場合もあれば、PCRE(Perl 互換正規表現)のように、極端に複雑な可変オフセットの場合もあります。アプリケーション セッション フィルタリングは、もう1つのGigaSMARTアプリケーションであるアダプティブ パケット フィルタリング上に構築されます。アダプティブ パケット フィルタリングは、パケット内の一致する内容を特定するために使用しますが、アプリケーション セッション フィルタリングの場合には、さらに一歩進んだ形で、特定のアプリケーションに対応するセッション全体を抽出することができます。また、アプリケーション セッション フィルタリングでは、一般のアプリケーション向けのスクリプトを使用することが可能なため、管理者は、より迅速に導入作業を進めることができます。

対象となるセッションは、TCPセッション、UDPセッション、または標準 IP 5-tupleのフィールドサブセット(IPv4/v6の送信元アドレス、IPv4/v6の送信先アドレス送信元ポート、送信先ポートおよびプロトコル)のいずれかとなります。ASFセッションの識別に使用できる追加フィールドには、MPLSラベル、VLANタグおよびGTP(GPRS トンネリングプロトコル)固有の識別タグなどがあります。

アプリケーション セッション フィルタリングでは、バッファリングの有効/無効を設定することができます。前者の場合、TCP接続のための初期TCPハンドシェイクを含め、開始から終了までのセッション全体がフィルタリングまたは転送されます。後者の場合は、セッション ハンドシェイクと初期化パケットを無視できるため、インスタンスのパフォーマンスが向上します。

バッファリングを有効設定したアプリケーション セッション フィルタリング

本設定では、指定したパターンが検出されると、同パターンを含むパケットに先行するセッション内のパケットを含めセッション全体をフィルタリングします。その後、対象となるツール(複数可)にトラフィックを送信するか、またはトラフィックをドロップするため、対象ツールは不要なトラフィックの受信を避けることができます。

多くのアプリケーションでは、セッションの最初の数パケットに必要な情報が含まれています。ユーザーは各セッションに対してバッファリングするパケット数を指定し、一致する対象が検出されなかった場合に、メモリを他のセッションのために解放するよう宣言することができます。アプリケーションセッションフィルタリングでは、バッファリングが有効な場合、送信元 IP、送信先 IP、送信元ポート、送信先ポートの任意の組み合わせに一致するUDP またはTCPセッションと、 IPv4またはIPv6のフローを組み合わせる形でセッションを指定できます。

バッファリングを無効設定したアプリケーション セッション フィルタリング

この設定の場合、特定のパターンが一致したら、該当パケットとそのセッションに対応する後続の全てのパケットをフィルタリングするか、または単一のセッションとして転送します。

パターンがパケット2に一致した場合、図3に示すように、該当セッションの後続のパケットは全て送信先ツールに送信されますが、セッションの最初のパケット(パケット1)だけは、ツールに送信されません。この設定オプションでは、IPアドレス、ポート、プロトコル、VLAN、GTP識別子、および MPLSラベルの任意の組み合わせでセッションを定義することができます。

主なユースケース

アプリケーション セッション フィルタリングの柔軟性を活かして、多くの有用なユースケースに対応することができます。

  • NetflixとYouTubeの全てのトラフィックをフィルタリングしても、アプライアンスの過負荷発生を防止するため、これらのトラフィックを監視アプライアンスに転送しないようにする。
  • 監視やセキュリティア用プライアンスに転送される全てのWindows Updateのトラフィックをフィルタリング。この対応はPatch Tuesday(月例パッチ)と呼ばれ、毎月第2火曜日にMicrosoftがパッチをリリースし、世界中のWindowsマシンがそのパッチで更新されるというものです。この際のトラフィック量は、監視およびセキュリティア用プライアンスにとって過負荷になることが少なくありません。
  • 標準ポート以外でのhttpsトラフィックを許可する: SSLトラフィック(https)はポート443 を使用し、サーバーはhttpsトラフィックを任意のポートで待ち受けするよう設定できます。このパケットを検査や復号化デバイスに送る必要がある場合、任意のポートでhttpsトラフィックを検知するようアプリケーション セッション フィルタリングを設定することができます。
  • 電子メールのトラフィックの中で、リンクや添付ファイルが存在する電子メールのみを転送するようフィルタリングすると、電子メール セキュリティ アプライアンスと同じような効果を得ることができます。テキストのみの電子メールは通常、感染の媒体にはなりません。しかし、不正な添付ファイルを開いたり、 Web リンクのクリックには感染の危険が伴います。

主な特長

  • アプリケーション検査用のセキュリティツールを最適化
    • セッションに対応したトラフィックのみを転送し、セキュリティツールの効率を向上
    • セキュリティおよび監視ツールへのトラフィックを選択的に削減
    • トラフィック負荷の低減により、ツールのパフォーマンスを向上
  • アプリケーションの識別対応をGigaSMARTテクノロジーに委託
    • パケットコンテンツ、ポート、URL、HTTPコンテンツの組み合わせによりアプリケーションを特定
    • トンネリングされたHTTPフローを可視化

リソース

Feature Brief

アプリケーション・セッション・フィルタリングの機能概要

White Paper

アプリケーション・セッション・フィルタリングのホワイト・ペーパー

Web Page

GigaSMART Webページ