IXIA社 Anue NTO (Net Tool Optimizer)の ご紹介 SCSK株式会社 ITエンジニアリング事業本部 エンジニアリングソリューション第一部 2014年 1月23日 Rev01-03 ネットワークモニタリングスイッチとは ネットワークツールの機能やパフォーマンスを最大限に引き出すことのできるインテリジェ ントなレイヤー1スイッチです。ネットワークトラフィックをスイッチのSPANポート、もしくは タップ装置経由で透過的(パッシブ)に受信し、複数のモニタリング装置(アナライザ、 DPI装置)やセキュリティ装置(IDS、フォレンジック)に供給できます。 フィルタなどを行い、ネット ワークに流れる同じデータを 各機器に振り分ける モニタリングツール セキュリティツールA スイッチ or TAP セキュリティツールB ネットワークに影響を 与えずに、データを引 き込む Page, 2 ネットワークモニタリングの現状 課題① 課題② SPANポートやTAPが不足しているため、 多様化するセキュリティ装置や監視装置 の増設ができない モニターポイントが分散しているため、 各種装置で部分的なデータしか取得 できない インターネット ROOTER1 ROOTER2 侵入検知 TAP ネットワークアナライザ CORE SW1 CORE SW2 ネットワークパフォーマンスモニタ 課題③ アプリケーションパフォーマンスモニタ 増大するトラフィックに対して、モニ タリング装置・セキュリティ装置の処 理能力が追い付かない L2 SW ネットワークデータレコーダ L2 SW L2 SW Page, 3 ネットワークモニタリングスイッチ導入による効果 解決① SPANポートの不足解消 SPANポートとTAPからの分岐された信号を 複数のモニタリング装置に分配。 インターネット 有効なツールを駆使し、 ネットワークやセキュリティ インシデントを多重監視できる 解決② モニターポイントの集約 ROUTER1 ROUTER2 多数のモニターポイントを集約することで、 ツールの増設や監視ポイントの切り替えが 容易に可能。 TAP CORE SW1 CORE SW2 侵入検知・防御 情報漏洩防止 アプリケーション性能管理 Anue NTO ネットワークアナライザ ネットワーク監査・証跡 解決③ 必要なデータのみを選択 L2 SW L2 SW L2 SW フィルタリング、重複パケットの排除により ツール側のトラフィックを削減。 Webセキュリティ Page, 4 ネットワークモニタリングスイッチの主要機能 スイッチング 物理的にポートや結線の変更を行うことなく、モニターポイントとモニタリング ツールの組み合わせを変更することが可能です。 フィルタリング スイッチのSPANポートやタップから取り込んだトラフィックを、あらかじめ指定し た条件に従ってフィルタリングし、合致するパケットのみを出力側のポートへ振 り分けます。 ロードバランス 一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニ タリングツールへ同時にトラフィックを分配することが可能です。複数製品によ る多重防御やモニタリングツールのリダンダント構成などで利用可能です。 アグリゲーション 複数のSPANポートやタップからトラフィックを集約し、1台のデバイスでモニタリ ングすることが可能です。複数のGigabit回線を集約し、10Gigabit対応のモニ タリングツールで監視するといったことも可能です。 メディア変換 入力ポートと出力ポートが異なるメディアでも利用することが可能です。たとえ ば、Gigabitファイバーで取り込んだ通信をGigabitカッパー対応のモニタリング ツールで監視するということも可能です。 Page, 5 モニタリングツール接続の問題点と解決手法 セグメント単位にセンサー配置は運 用、コストが高い SPANポート Switch Switch Switch Switch SPANポート IDS SPANポート IDS IDS SPANポート Switch IDS SPANポート SPANポート IDS Switch 一台のスイッチで複数のSPANポート を設定するのは限界がある。 IDS AnueでSPANポートを集約し、センサー数を減らすことが可能です。 製品A Switch いくつもSPAN ポート設定は できない 製品B IDS 製品C 処理能力が低い製品を利用したい。 新しい製品を比較、検討したい。 製品A Switch いくつもSPAN ポート設定は できない 製品B 製品C IDS IDS Anueで複数SPANポートのトラフィックを複数生成することが可能です。また、 処理能力が無い製品はフィルタにて必要トラフィックのみに限定することが 可能です。 Page, 6 IXIA会社概要 本社:米国カリフォルニア州カラバサス NASDAQ上場: XXIA 従業員数: 2,000人以上 1997年5月 設立 2012年6月 Anue Systems を買収 30カ国以上でグローバル展開 14年連続成長 イクシア日本法人 【本社】 東京都新宿区西新宿6-24-1 西新宿三井ビル11階 【YRPオフィス】 神奈川県横須賀市光の丘8-3 YRPベンチャー棟319号室 Page, 7 三階層フィルタ 三段階動的フィルタのパイオニア 市場における最も簡単で、最も正確なフィルタ Ingress Filter Dynamic Filter Egress Filter Page, 8 パケット重複排除 VLAN間の通信や不正なスイッチ設定など に起因する重複パケットを排除することが 可能。 重複パケットを除外することにより、モニタ リング対象でないトラフィックを削減し、モ ニターツールの利用帯域を有効に活用す ることが可能。 Page, 9 ロードバランス機能 トラフィックを複数のツールポートに等しく転送 同一セッションは同一ポートへ転送 Layer 2/3/4 hash でのトラフィック分散 複数の1Gツールで10Gネットワークにも対応可能 32ポートロードバランスへ対応 Page, 10 Anue NTOの特徴 GUIベースで容易に設定、設定変更が可能 > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc A ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443 ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80 ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443 CLI vs. GUI Page, 11 Anue NTO 機能/導入効果まとめ 機能 効果 • ネットワークポート統合 • 複数のアクセスポイントからのデータ取得 • 10G/40G Networkを 1/10G Toolsで監視可能 • パケット重複排除 • 必要なパケットのみツールに送信 • ツールレポートの正確性と応答時間の向上 • 入口、出口、中間のフィルタリング • モニタリングツールの活用度合いを上げる:ツールにとって必 要なデータのみ抽出 • Packet Trimming / Protocol Stripping • 個人・秘密情報を含むデータおよびヘッダーを削除してから ツールにデータ送信 • 動的変更管理 • 物理結線の変更なしに、経路やフィルタリング条件を動的に 変更可能 • 視覚的操作ときめ細かなアクセス 制御 • 要員の生産性の向上 Page, 12 Anue NTO ラインアップ Anue NTO 5204 Anue NTO 5236 Anue NTO 5288 28 28 64 シリーズ 最大ポート数 対応I/F 24 ※1 4 - 1000BASE-X (SFP) 4 ※1 - - 1000BASE-X/10GBASE-R (SFP/SFP+) - 20 最大64 10GBASE-R (XFP/SFP+) 4 40G (QSFP) - - 最大16 100G - - 最大 4 AFM (Advanced Feature Module) 追加 - ○ ※3 ○ 電源二重化対応 ○ ○ ※4 ○ 10/100/1000BASE-T 外形寸法 [幅×高さ×奥行] (cm) 4 ※3 ※4 ※3 ※2 ※2 ※3 43.9×4.5×30.5 (1U) 44.5×4.5×48.3 (1U) 44.5×8.9×48.6 (2U) 5.7kg 7kg 16kg 動作温度 0℃~30℃ 0℃~30℃ 5℃~40℃ 動作湿度 10%~85% (結露なきこと) 10%~85% (結露なきこと) 10%~85% (結露なきこと) 重量 ※1 ※2 ※3 ※4 10/100/1000BASE-Tの4ポートと1000BASE-X(SFP)の4ポートは排他使用 (同時使用不可) 別途、インタフェースモジュールが必要 (最大4スロット使用) 装置背面のモジュラーポートを使用 冗長用電源ユニット増設により対応 Page, 13 各種モニタリング・セキュリティツールとの接続例 Trustwave StillSecure Counter Snipe セキュリティセンサー IDS / IPS ネットワーク機器から トラフィックを収集 Cisco Juniper Dell HP Brocade 入力トラフィックを ・コピー ・合成 ・フィルター を実施し、各種ツールへ送信 情報漏洩対策 アプリケーションパフォーマ ンスモニタ ネットワーク分析 ネットワークフォレンジック Webセキュリティ McAfee EMC-RSA WebSense BlueCoat Intrusion Inc. Trustwave Compuware Endace NetScout FLUKE Narus SOLERA NetWitness FireEye Imperva McAfee 各種SIEMツールと連携 Page, 14 顧客事例:テキサス大学 顧客プロファイル 米国で二番目の規模の大学 ローカルに10万のデバイス、リモートで75万のデバ イスがネットワークにアクセス チャレンジ 2-20GのWANリンクの1G/10G用ツールでの監視 二つのアクセスポイント 侵入検知 リアルタイム分析 ソリューション構成 NTO 5288 パケットベースのネットワーク分析ツール 侵入検知システム ネットワーク:Cisco製スイッチ・ルーター 導入効果 ROI $320K: ツール側コストの低減50% $216K: センサー類の数の削減 $300K: アクセスポイントにおけるラック数の 削減 その他のメリット 監視システムにおけるパケットドロップの防止 新しいツールに対する試用環境の容易な準備 「通信量が増えるに従い重複したパケットフローが Ciscoスイッチの帯域を食い尽くし、パケットドロップを生じつつあった。 この状況を何とかして解決する必要があった。」 - テキサス大学Chief Information Security Officer Page, 15 <製品、サービス、ソリューション、価格相談窓口> お問合せ、ご質問、ご依頼は、以下までお気軽にご連絡ください。 ※どの様なご質問やご相談も、お待ちしております。 ITエンジニアリング事業本部 エンジニアリングソリューション第一部 豊 洲 本 社 : 〒135-8110 東京都江東区豊洲3-2-20 豊洲フロント TEL 03-5859-3034 / FAX 03-5859-3108 http://www.scsk.jp/ e-mail:qualinet@ml.scsk.jp (総合問合せ) anue-info@ml.scsk.jp (Anue関連) / netscout-info@ml.scsk.jp (NetScout関連) alaxala@ml.scsk.jp (AlaxalA関連) / RG-info@ml.scsk.jp (RADIUS GUARD関連) gs1-info@ml.scsk.jp (PureFlow関連) / rapicom-sales@ml.scsk.jp (RAPICOM関連) 本書を無断で他に転載しないようお願いします。 本書は予告なしに変更されることがあります。 Page, 16
© Copyright 2024 Paperzz