コラム/技術的な情報

セキュリティ製品の導入にあたって、どうやってパケットを受けわたせばいいのか?

ネットワークTAPの使用とネットワークパケットブローカーの役割について

セキュリティ製品には色々なタイプの製品がありますが、ネットワーク上を流れるパケットを読み込みセキュリティチェックを行うIDS/IPS、Sandbox、フォレンジックなどの製品に対して、どのようにパケットを渡せばいいのかを紹介します。

ネットワークTAPの利用

 一般的に、SW-HUBのモニタリング・SPANポートからパケットを収集する方法が最も利用されています。理由は簡単で、今あるSW-HUBの設定を変更するだけですむからです。
 しかし、パケットの収集方法にはいくつかあります。一般的ではありませんが、最も安全な方法として、ネットワークTAP経由でパケットを取る方法があります。
 ネットワーク上にインラインで設置するため、物理的にネットワークを切らなければいけないデメリットがありますが、それを上回るメリットがあります。

コラム1

【メリット】
[1]パケットロスがなく、すべてのパケットを取り出せる。
[2]物理レベルで結線するので、パケット取り出しまでの遅延は無視できるくらい短い。
[3]SW-HUBで転送すると、SW-HUBのCPUリソースを消費し、パケット転送レートに影響する可能性がある(※「SPAN パケットロス」で検索してください)。
[4]光ケーブルTAPなら電源を利用しないため故障しない。
 セキュリティ製品で、セキュリティチェックをしている状況を想像してください。一部欠けたデータで正しく検査できるでしょうか。メールをチェックするのに一部データがなければメールデータになりません。それと同じで正しく検査できません。
 ネットワークTAPを使うことによって、初めて物理レベルで全パケットを取り出すことができるのです。
 メリットばかりでは不公平なので、デメリットも紹介しましょう。

【デメリット】
[1]ネットワークにインラインで入れるので、ネットワークが一時的に切れる。
[2]上り・下り経路のそれぞれで取り出すので、物理ポートが2本になる。
[3]ネットワークTAPなんて知らないものを使いたくない。
 [1]は最大の問題点です。動いてるネットワークを止めることは誰しも抵抗があります。[2]はモニタリングポートなら1ポートでパケットを取り出すので、ノートPCでパケットキャプチャすることができます。でも、2ポートとなるとキャプチャできません。[3]はぜひこの機会にネットワークTAPを知っていただきたいと思います。
あえてネットワークTAPを使っていただきたい理由はもう一つあります。モニタリング・SPANポートで1ポートに出力させますが、1ポートに双方向のパケットを流すと考えてください。1Gのポートなら出力できる帯域は1Gbpsです。
双方向のパケットを流すには2Gbpsの帯域が必要なんです。一時期マイクロバーストという言葉が流行り、瞬間的にパケットが多く流れると帯域を使い切ってパケットをロスするといわれましたが、同じことがもっと頻繁に起こる可能性があるのです。
 だから、ネットワークTAPを使ってほしいのです。解析ツールにパケットが届かなければ本末転倒です。

ネットワークパケットブローカーの利用

 それでは、ネットワークTAPの使用を検討するとしても、TAPは1回線ごとに設置が必要なため回線ごとにTAPを入れると出力ポートが1回線×2本のため複数回線になります。すると、複数のセキュリティ製品を導入する必要に迫られます。
 そこで、ネットワークパケットブローカーを利用すれば、複数のセキュリティ製品を導入しなくても、セキュリティ製品にすべてのパケットを渡すことができます。
 ネットワークパケットブローカーは、SW-HUBのような形状をしていますが、中身はまったく異なっており、入力されたパケットを指定されたポートに出力する製品です。SW-HUBと同じと思えるかも知れませんが、まったく違う製品です。メリットを簡単に紹介します。

コラム1

【ネットワークパケットブローカーの特徴】
[1]複数の入力ポートを集約し、任意のポートに出力する(アグリゲーション)。
[2]出力ポートを複数指定できる(コピー)。
[3]必要なパケットだけを取り出すことができる(フィルター)。
[4]出力時にパケットを極力落とさないためのロードバランス出力が可能(パケットのセッションは維持)。
[5]同一パケット、TCP/UDPレイヤ上で同じパケットを排除できる(重複排除)。
[6]セキュリティ製品が読めないヘッダーを削除できる(ストリッピング)。
[7]どこから来たパケットか識別すためのVALN追加が可能(VLANヘッダー追加)。
 ネットワークパケットブローカーはいろいろできる製品で、ネットワークTAPを集約し、複数のセキュリティ製品に必要なパケットを転送することができます。従来1GbpsのIDS/IPSを利用している場合、最近の10Gクラス高性能モデルに切り替えたいけれど、何台ものセキュリティ製品への切り替えはコスト的に難しいと思います。

 ならば、ネットワークパケットブローカーを利用することで、高性能なセキュリティ製品を集約化して、一部に旧製品があっても同時に利用することができるようになります。
 また、重要なネットワークを守るには、セキュリティの多重防御が必要です。ネットワークTAPでパケットを取り出す部分は、多くのセキュリティ製品が機能は違っても読み込むパケットは同じです。ネットワークパケットブローカーを使うことによって、それぞれの製品に最適なパケットを効率的に配布することが可能です。
 海外ではさらに進んだ利用方法として、ネットワークパケットブローカーのインライン機能を利用し、インラインセキュリティ製品を収容し、データセンターやクラウドサービスで利用している事例が多く出ています。
 ネットワークパケットブローカーは、まだまだ日本では利用者が少ないですが、一度使うと手放せない縁の下の力持ち的な製品です。
 せひ、ネットワークTAP、ネットワークパケットブローカーの利用を検討してください。

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求