コラム/技術的な情報

NDRをより効果的に使えるNPBの役割~重複排除編~

 テレワークが普及し、社外から社内ネットワークにアクセスすることが増えたことで、従来のような外部からの不正侵入の検知・防御はIPS/IDS、WAF、ファイアーウォールなどを中心に行われてきたセキュリティ対策では不十分となっています。
 そこで昨今は、全ての通信の安全性や正当性を検証する「ゼロトラスト・セキュリティ」をモットーに各所で対策が進んでいます。特に今注目を集めているのが、ネットワークの全体を監視し、ゲート側で脅威の検知・対処をするNDR(Network Detection and Response)です。
 Keysight Technologies社製ネットワークパケットブローカー(NPB)であるVisionシリーズは従来のIPS/IDSなどの各セキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
 これまでNPBの機能であるアグリゲーションフィルタリングについてまとめましたが、今回は重複排除機能について、当社のプラットフォーム事業グループ ITプロダクト&サービス事業本部 ネットワーク部 技術課 片岡 隆一朗氏に聞いてみました。

――重複排除機能について教えてください。

 受け取ったパケットの中で、重複したパケットを削る機能です。これによって出力されるデータからは重複した不要なパケットが削られ、必要なパケットだけを対向装置は受け取ることができます。
 これまでご紹介したアグリゲーションやフィルタリングの機能はデフォルトで全てのVisionシリーズで搭載されているネットスタックというライセンスで使用できましたが、重複排除はその一つ上のライセンスであるパケットスタックを搭載した機器からご利用いただけます。
 Visionシリーズのライセンス、機器についてはこちらのページの表もご確認ください。

重複排除機能のイメージ

――この機能を利用するメリットを教えてください。

 重複したパケットが流れてきたときに、高性能な製品ではシーケンス番号のチェックによって再送と判断しますが、そうした機能がない製品の場合は同一のパケットでも同一のパケットと判断できず誤認し、誤作動を起こします。ですが、重複排除機能を利用していれば、そうした誤作動を防止することができます。
 また、無駄なパケットを減らすことができますので、出力した先のストレージ容量を減らすことができます。さらに同一パケットが流れてこないため、管理が楽というメリットもあります。

 例えば、多拠点のパケット監視を行う場合、各拠点にパケットブローカーを配置し、GREトンネルでセンターのVisionで集約し、センターの一台のパケット解析装置で監視するというケースがあります。このようなケースでは各拠点のVisionで重複排除機能を利用していると重複した不要なパケットが削除されるため、WAN回線のひっ迫を避けることができます。結果、監視も一つのセンターに集約することができる上、パケット解析装置の導入もセンターに集中させることができますので、管理負担の軽減やパケット解析装置の導入費用の削減にもつながります。

――他社製品の重複排除とは異なる点はありますか。

 IPヘッダはルーターを通過するたびに中身が変化します。他社製品の場合、パケット全体を重複判断の対象としているため、このIPヘッダが変化してしまうと同一のパケットであると判断してくれません。
 ですが、Visionの重複排除は、パケット全体で判断するのではなく、ペイロード部分のみを重複判断の対象にできます。そのため、セグメントをまたぎ、IPヘッダが変わってしまったパケットでも重複を検知することができます。また、MACアドレスやVLANも重複の判断に含めるか含めないかについても設定することが可能です。
 これはKeysight Technologies社独自の機能であり、他社製品にはない強みだといえます。

 Visionシリーズの重複排除は重複判断部分のハッシュ値を取得し、同じハッシュ値を持つパケットを排除するという動作をしています。なお、ハッシュ値の保持時間は指定することが可能であり、柔軟な設定が可能です。

――事例があれば教えてください。

 拠点ごとにセキュリティ監視を行っていたところにVisionシリーズを設置し、センター(集中管理・本社)側だけで監視できるようになったという事例があります。
 これはセグメントを超えた重複排除ができることで、WAN回線のひっ迫を避け、効率的なセンター集約が行えたVisionシリーズならではの例といえます。

――導入を検討される企業からよく受ける質問があれば教えてください。

 大体以下のような内容をいただいています。

1.重複排除機能を使用することで通信への影響はないか。

 重複排除では動作へ支障がないように設定可能な値の下限と上限が定められているため、特にご懸念いただく点はありません。

2.重複排除とフィルタリングは同時に設定できますか。

 可能です。他のどの機能でも組み合わせてご使用いただけます。

3.設定方法はどのようにできますか。

 GUI上で簡単に設定できます。手順書が用意されていますので、問題なく設定いただけると思います。

重複排除機能の設定画面

4.この機能を利用した方がいいケースはどういったケースでしょうか。

 センターにセキュリティ機器を集約したい場合や、Visionからデータを受け取るセキュリティ製品のスペックが低いような場合ではそのまま利用すると誤作動が起きる可能性があるため、そういった製品を利用している企業には有用な機能だと思います。

Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求