2020年6月18日木曜日

NetFlowコレクターを活用できない理由5選

フローコレクターやトラフィック分析ソフトウェアを導入/提案したはいいが・・・

以下の様な悩み・問題を抱えている情報システム担当やユーザー様から苦情を受けた営業担当の方はいらっしゃいませんか?

文:ジュピターテクノロジー よしひろ

NetFlowコレクターやトラフィック分析ツールを活用できない理由5選

  1. IPアドレスとポート番号は追えるが、どんなアプリを使っているのか分からない
  2. MACアドレス情報がないので、DHCP環境だとデバイスまで追跡できない
  3. フローデータの生情報がみれないので、トラフィック量の分析にしか使っていない
  4. ルータのトラフィックを分析したいが、NetFlow/sflowをエクスポートできない機器だった
  5. 障害調査のためパケットの収集をしたいが、そのような機能がない

こういった悩みや問題を抱えている方に朗報です。

ntop社製品であれば、上記問題全てを解決できます。

以下では、それぞれの問題に対して実機の画面をお見せして解説します。

問題1 ポート番号までしか分からないので使えない

「IPアドレス、ポート番号、対向IPアドレスも分かった。

だけど、実際に何のアプリを使っているの?ポート443の通信が全てTLSでみえるんだけど・・・」

こんな不満をお使いの製品におもちではないですか?

ntop社の製品であれば、たとえ宛先443(TCP)通信であってもDPIライブラリを使って、アプリケーション分析をしてくれます。つまり、443 = TLS といった分析に留まりません。

図1 アクティブなTLSフロー

アプリ―ケーションが一覧化され、それぞれのトラフィック量や送受信者の詳細までドリルダウンで確認することができます。

また、情報列でホストがアクセスしているURL情報を確認することができます。

問題2 MACアドレス情報がないのでデバイス追跡ができない

NetFlowにはMACアドレスのレコードが存在しますが、実はMACアドレスを活用している製品は少ないです。

DHCP環境ではIPアドレスだけではデバイスまで追うことができず、最悪インシデント調査がそれ以上進展しないといった事態に陥いるでしょう。

ntop社の製品は、xFlow受信及びSPAN/TAPによるトラフィック収集を行いますが、どちらの構成でもIPアドレスとMACアドレスを紐づけてくれます。

図2 ソースMACアドレス

MACアドレスを一覧化する画面があり、MACアドレスリンクを押すと選択したアドレスのホーム画面に遷移します。

図3 ホストのホーム画面

このホーム画面では、現在紐づいているIPアドレス(IPv6対応)やデバイスタイプ、トラフィック量を確認することができます。

さらに詳細なトラフィック分析を行う場合は、IPアドレスリンクをクリックして各ホストのホーム画面に遷移するといった使い方をします。

問題3 生データの分析ができない

フローデータの生データが表示できないのは問題です。

本記事問題5で紹介するパケットキャプチャ機能がない製品であれば、解析に苦労するでしょう。

詳細分析ができず、トラフィック量を可視化しておわりです。

それでも、まったく役に立たないといった訳ではないですが、使い道は限定されるでしょう。

ntop社の製品はフローダンプ機能があり、Web GUIから欲しいデータに直ぐにアクセスすることができます。

図4 IF履歴グラフ画面

上図はCS間のフロー情報を表示しています。さらに詳細を確認するにはアクション枠内のノートアイコンをクリックすれば、生データをテキスト形式でダウンロードすることができます。

また、画面右上のExploreプルダウンメニューからご自身でクエリーを書いて必要なトラフィック情報を取り出すこともできます。

問題4 NetFlowをエクスポートできない

問題2で、「ntop社の製品は、xFlow受信及びSPAN/TAPによるトラフィック収集を行いますが・・・」と書きました。

ntop社製品は、xFlowをエクスポートできない機器でもSPAN/TAPをサポートしていればトラフィック情報をフロー化し見える化を実現します。

まさに、ケーブルをつなぐだけでトラフィック分析がすぐにはじまるのです。

図5 ntopng単一拠点構成 

問題5 パケット収集ができない

ネットワーク障害時にWiresharkでパケット分析しなければならないといった場面は、頻繁にあります。

24時間365日分のパケットを収集するのは大量のディスクリソースが必要となり、現実的ではないと判断する方も多いでしょう。

ここで弊社からの提案です。

1週間分のパケットを収集・保管する」というルールで運用をはじめるのはいかがでしょう。

この運用方式であれば、導入後1-2週間もすれば必要なHDD容量が把握できますし、インシデント検知した時点から1週間前までのパケットが収集出来ていることになりますから、フォレンジックに大いに役立つデータを保管できると考えます。

ntop社製品群の中には、継続的にトラフィックを収集しインデックスを作成するn2diskという製品があります。

n2diskはntopngと連携することができ、抽出したい日時を設定したうえでパケットキャプチャファイル(pcap形式)をダウンロードすることができます。

図6 レコーディングジョブ画面

pcapファイルの抽出は、即時実行も図6のようにバックグラウンドジョブ実行もできます。

また、特定プロトコルや特定ホストからの欲しいデータをピンポイントで抽出することができます。

本記事で扱っているntop社のntopngという製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください!