NetFlowとメタデータの生成

NetFlow生成における課題

エンタープライズ ネットワークが拡張を続け、ネットワークがさらに高速化する現在、より大量なデータが投入されることで、ビジネスクリティカルなアプライアンスの分析能力は相対的に低下しています。例えば、セキュリティ デバイスは、複雑な脅威に対応するためにより複雑な分析を行う必要があります。このため、40Gbや100Gbではなく、10Gb 程度の回線速度でも、容量が限られたアプライアンスには大きな負担となります。

問題なのは、データの量が多過ぎて処理能力が追いつかないことです。解決策はあるのでしょうか?その答えがメタデータなのです。

NetFlowは、メタデータの一形態です。レイヤ4でフロー生成されるこのデータによって、システム全体の可視化性能を向上することができ、また、ネットワークのノード間の関係や利用パターンの作成に利用することもできます。しかし、これらはデータが正しく作成された場合に限ります。ルーターやスイッチによってNetFlowメタデータを生成することも可能ですが、全てのパケットに対応しているわけではありません。このため課題や制限が発生します。サンプリングされるNetFlowは、ルータまたはスイッチで生成されるだけではなく、フォーマットに一貫性がないため、処理においてオーバーヘッドが発生したり、サービスの劣化、遅延、パケットの取りこぼしなどが発生する可能性があります。

さらに、処理上の問題を解決できたとしても、NetFlowは単なるレイヤ4データです。広範で実践的な可視化や的確な分析を行うためには、レイヤ7アプリケーションレベルのメタデータも必要になります。

Gigamon®ソリューション

Gigamonでは、着信トラフィック ストリームから、レイヤ4 だけでなく レイヤ7のメタデータも生成することができます。その主な差別化要素やメリットは何でしょう?このNetFlowはサンプリングされません。IPFIXのversion 5や9など、広範なNetFlowフォーマットをサポートすることで、処理に過負荷を与えたりパフォーマンスを劣化することなく、標準ベースのコレクターやストレージデバイス、SIEM等とシームレスに連携を図ることができます。

また、Gigamonでは、送信元や宛先のIPアドレス/ポートなど、トラフィックに関する標準的な情報に加え、DNS、URL、HTTPレスポンスコードといったアプリケーション固有の拡張機能も含めることができるようIPFIXを拡張しました。さらに、Gigamon Visibility Fabric™ など、アウトオブバンドのソリューションによってメタデータを生成することで、業務ネットワークの貴重なリソースが浪費されるリスクを回避しています。Gigamonの特許取得済みFlow Mapping®テクノロジーを使用することで、NetFlowおよびメタデータの統計値を生成するためのフローを選択できるだけでなく、元のパケットを別の監視ツールに送信することもできます。NetFlowレコードと他のネットワークメタデータを、同時に複数のコレクターにエクスポートできるため、オペレータは、セキュリティ、課金、キャパシティ プランニングなど、ビジネスクリティカルな管理アプリケーションに対しても、同じフローソースを提供することが可能となります。そして最後に、コレクターが特定の必要なレコードだけを受信するよう、エクスポートしたフローをフィルタリングすることも可能です。

NetFlow生成

Gigamon Visibility Fabricは、スケーラブルなフレームワークを確立し、企業やデータセンター、そしてサービスプロバイダーの環境全体に対して、広範なフローレベルの可視化機能を提供することで、ユーザーによるネットワーク インフラストラクチャの正確な設計、構成、最適化、管理を可能にします

NetFlowの主な機能と特長

機能 特長
NetFlow生成によるネットワーク全体の包括的な可視化

セキュリティおよびパフォーマンス監視ツールに対して、ネットワークの完全なビューと、特定のルータやスイッチが形成する個別のネットワークセグメント ビューを提供

高いスループットを持つアウトオブバンドのNetFlowソリューション

業務使用のルーターやスイッチからパフォーマンス上の影響を受けることのないNetFlow生成

全てのパケットでサンプリングされない1対1のNetFlow生成

サンプリングによるNetFlow生成のように不正確性ではない、セキュリティ監視機能向けの完全かつ正確なネットワーク アクティビティ提供

NetFlowエキスポート フォーマットを幅広くサポート - v5、v9およびIPFIX

レガシーおよび次世代NetFlowコレクターとの互換性確保

Gigamon Flow Mappingを使用し、レイヤ2、3、4 ヘッダーをイングレス フィルタリング

特定のネットワークやアプリケーション向けにフロー統計情報を生成

カスタマイズ可能なテンプレートやフィルターによって最大6つのコレクターまでをサポート

セキュリティやアプリケーション監視に向け、複数のベンダーを活用

主なメタデータ拡張機能

拡張機能 抽出フィールド 特長
DNS
  • dnsIdentifier
  • dnsOpCode
  • dnsResponseCode
  • dnsQueryName
  • dnsResponseName
  • dnsResponseTTL
  • dnsResponseIPv4Addr
  • dnsResponseIPv6Addr
  • 悪意あるコマンドやC&C (Command and Control) サーバーに対するドメインルックアップを検知
  • ボットに感染した恐れのあるエンドポイントを特定
  • TTL (Time-to-Live) 値の低い不審な DNS サーバーを特定
  • ネットワーク中の不正なDNSサーバーを特定
URL メソッドタイプのURL
  • HTTP GET
  • POST
  • PUT
  • DELETE
  • HEAD
  • C&Cサーバーに対する疑わしい通信を特定
  • SQLやOWASPの潜在的な脆弱性をURLから特定
  • URLメタデータを使用して、生産性やコンプライアンスに対する違反行為を検知
HTTPレスポンスコード HTTPレスポンスコード:
  • 100-199 (情報)
  • 200-299 (成功)
  • 300-399 (リダイレクション)
  • 400-499 (クライアント リスクエスト)
  • 500-599 (サーバー関連)
  • 異常なビヘイビア パターンを検知するためのHTTP ベースライン
  • 内部サーバーの侵害を示す可能性がある過剰なリダイレクション(3XXコード)を検知
  • DoS攻撃の可能性や感染ホストからC&Cサーバーへの通信の可能性を示す過剰な4XX コードを特定
証明書
  • sslCertificateSubject
  • sslCertificateValidNotBefore
  • sslCertificateValidNotAfter
  • sslCetificateSerialNumber
  • sslCertificateSignatureAlgorithm
  • sslCertificateSubjectPubAlgorithm
  • sslCertificateSubjectPubKeySize
  • sslCertificateSubjectAltName
  • sslServerNameIndication
  • sslServerVersion
  • ネットワーク内の期限切れ証明書を特定
  • ネットワーク内の自己署名証明書を特定
  • 弱い暗号化アルゴリズムを使用している証明書を特定
  • 証明書の対象フィールドの不一致を特定(例えば、対象フィールドがWebサイトのドメイン名と一致しない場合)
CDP
  • デバイスID
  • ポートID
  • TTL
  • プラットフォーム
  • SWバージョン
  • ネイティブ VLAN ID
  • 機能
  • ネットワーク プリフィックス アドレス
  • ネットワーク プリフィックス マスク
  • インタフェース アドレス
  • 管理アドレス
  • IPアドレスではなく、送信元または宛先のマシンタイプ(Catalyst 6Kスイッチなど)を特定
  • ネットワーク内のトラフィックの物理位置を特定して対応時間を短縮
LLDP
  • シャーシIP
  • ポートID
  • TTL
  • ポート説明
  • システム名
  • システム説明
  • 管理アドレス
  • 提供機能
  • 使用可能機能
  • VLAN名
  • ポートVLAN ID
  • 管理VLAN ID
  • リンク集約 ID
  • リンク集約状態
  • MTU
  • IPアドレスではなく、送信元または宛先のマシンタイプを特定
  • ネットワーク内のトラフィックの物理位置を特定して対応時間を短縮
SIP 以下のセンダーおよびレシーバー情報
  • INVITE
  • ACK
  • BYE
  • REGISTER
  • OPTIONS
  • CANCEL requesttypes
  • SIPコールのIPアドレス以外に、送信元および宛先の呼び出し側の情報を取得

リソース

製品概要

GigaSMART

データシート

GigaSMART

ガイド

セキュリティ デリバリ プラットフォーム入門 (Security Delivery Platforms for Dummies Guide)