コラム/技術的な情報

NDRをより効果的に使えるNPBの役割~GREトンネリング機能編~

 昨今、セキュリティ対策の考え方は特定のエリアを守る境界防御型から、全ての通信を信用しないことを前提とした検証を行うゼロトラスト型にシフトしました。
 そのため、従来のようなIPS/IDS、WAF、ファイアーウォールによる不正侵入の検知・防御を行うセキュリティ対策では不十分とされており、その代わりにネットワークの全体を監視し、ゲート側で脅威の検知・対処をするNDR(Network Detection and Response)によるセキュリティ対策への注目が集まっています。
 Keysight Technologies社製ネットワークパケットブローカー(NPB)であるVisionシリーズは従来のIPS/IDSなどの各セキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
 前回はNPBの機能であるロードバランス機能についてまとめましたが、今回はGREトンネリング機能について、当社のプラットフォーム事業グループ ITプロダクト&サービス事業本部 ネットワーク部 技術課 片岡 隆一朗氏に聞いてみました。

――GREトンネリングとはどのような機能でしょうか?

 まずGREはGeneric Routing Encapsulationの略で、IPネットワークにおけるトンネルプロトコルの一つです。
 トンネリングは特定のパケットをネットワーク上にある拠点間を結ぶ仮想的な回路を使ってデータを転送する技術です。
 この機能を使うと、VPN接続のようにネットワーク上にある複数の拠点間でパケットを送信し合うことができます。なお、GREトンネリングでパケットを転送する際には、パケットにIPヘッダーを追加するカプセル化という処理が行われます。

カプセル化する前のパケット、GREによってカプセル化された後のパケット

――具体的にはどのように使用できるのでしょうか?

 例えば、ネットワーク上に、本社(センター)、支店A、支店B、支店Cとあった場合に、各支店で取得したパケット情報を本社に集約・管理・分析したいということがあります。
 この際、GREトンネリング機能を使用すれば、各支店のネットワーク上にあるネットワークパケットブローカー(NPB)が収集したパケットをひとまとめにして本社に送信することができます。
 本社は各支店から収集したデータを受け取り、対向となるパケットキャプチャ装置やセキュリティ機器に取り込み、分析などを行うことができるようになります。

GREトンネリング機能

――この機能を使用するメリットは何でしょうか?

 各拠点のパケットを本社やセンターなどの一つの拠点に集め、一カ所で分析や情報の管理などが行えるようになるため、全体の把握が容易になるというメリットがありますが、これ以外にも3点ほどあります。
 一つ目は、高額なセキュリティ機器やキャプチャ機器を各拠点に配置せず、センター側に設置するのみで済むためコスト削減効果が期待できます。
 二つ目は、各拠点がパケット内にある個人情報等の重要な機密情報を保管・管理せず、センターに集約できますので、セキュリティ面の強化につなげることができます。
 三つ目は、分析ができるほどの高い専門性や技術力を持った人材を、センターに集中させることができます。セキュリティ人材の確保は今や各企業で大きな課題となっていますので、各拠点で確保する必要がなく、少ない人数で対応できるというのは大きなメリットといえると思います。

――GREトンネリング機能の設定方法を教えてください。

 Tool Port側(上図の支店側)の対象機器に対して、パケットスタックのライセンスを割り当てた後に設定します。

①対象機器を右クリック→[Resouce]→[Attach]→[L1-AFM]をクリック。
 表示されたメッセージをOKするとパケットスタックが割り当てられる。

GREトンネリング機能の設定方法①

②対象機器のプロパティを開き、[Network Interface]タブ内にある[Enable IP Setting]にチェックを入れ、データの送信元(支店A側/図内でいう1.1.1.1)のIPアドレスを設定する。

GREトンネリング機能の設定方法②

③[Tunneling]タブに移動し、②で設定された送信側のIPアドレスが反映されているかを確認。その下にある[Remote Endpoint(s)/Vitual Port(s)]に受信側(本社側/図内でいう2.2.2.2)のIPアドレスを設定する。(外側のIPアドレスヘッダーの設定)

GREトンネリング機能の設定方法③

④受け取り側(本社側)の設定(Network Port)を行う。その際、①と同じ手順で、パケットスタックのライセンス割り当てを行う。

⑤対象機器のプロパティを開き、②と同じ手順で受け取り側のIPアドレスの設定を行う。
 この際、[Enable ARP Replies]にチェックを入れる。
 その後、[Tunneling]タブを開き、ここで行った設定が反映されているかを確認する。
 (受け取り側はカプセル化を外すだけになるため、そのほかの設定は不要)

GREトンネリング機能の設定方法④⑤

※フィルタや重複排除を行う場合は個別に設定が必要です。各機能の詳細は以下のページをご参照下さい。

――最後によく受けるご質問があれば教えてください。

大体以下のようなご質問を頂きます。

1.この機能を使用できる機種はどれですか?

 パケットスタックのライセンスが使用できる機器となりますので、Vision E10S以上の機種からとなります。

2.ほかの機能との併用は可能ですか?

 もちろんVLANタギングやコピー、集約などの全ての機能との併用が可能です。
 よく一緒に利用される機能としては、重複排除とフィルタリングです。送信側がこの機能を利用すれば送信が必要なデータだけに集約できますので、WAN回線のひっ迫を避けられます。
 また、受け取り側(センター側)での重複排除・フィルタリングも可能です。

3.最大転送単位に従ったパケットの分割送信(フラグメント)は可能ですか?

 もちろん可能です。
 MTU(IPレベルサイズ)の指定をした上で、VisionでGREヘッダーをつけることで可能になります。
 設定はPacket Processingタブ内にあるPacket Fragmentation項目にチェックを入れ、MTU値を入力しておけば、その値を超えたら自動的にフラグメントしてくれます。

最大転送単位に従ったパケットの分割送信(フラグメント)

Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求