コラム/技術的な情報

NDRをより効果的に使えるNPBの役割~フィルタリング編~

 これまで外部からの不正侵入の検知・防御はIPS/IDS、WAF、ファイアーウォールなどを中心に行ってきました。
 ところがテレワークなど社外から社内ネットワークにアクセスすることが増えたことで、すべての通信の安全性や正当性を検証する「ゼロトラスト・セキュリティ」という考え方が主流となりました。
 そうした背景から、いま特に注目を集めているのが、ネットワークの全体を監視し、ゲート側で脅威の検知・対処をするNDR(Network Detection and Response)です。
 Keysight Technologies社製ネットワークパケットブローカー(NPB)であるVisionシリーズは従来のIPS/IDSなどのセキュリティ製品はもちろん、NDRとも相性が非常に良い製品です。
 前回はNPBの機能の一つ、アグリゲーションについてまとめましたが、今回はフィルタリング機能について、当社のプラットフォーム事業グループ ITプロダクト&サービス事業本部 ネットワーク部 技術課 片岡 隆一朗氏に聞いてみました。

――フィルタリング機能について教えてください。

 スイッチのSPANポートやタップから取り込んだトラフィックを、あらかじめ指定した条件に従ってフィルタリングし、合致するパケットのみを出力側のポートへ振り分けます。
 自分が欲しいパケットだけを条件で絞り込み、必要な通信だけを通してあげます。

――フィルタリング機能を使用するメリットを教えてください。

 トラフィック量が増えれば、セキュリティ機器のデータをストレージに保存する容量も増えます。フィルタリングで必要なものだけに絞れれば、ストレージの容量も減らせますので、コスト面でのメリットが大きくなります。
 運用面では、ネットワーク管理者が見たい通信だけを取り出せるので、見やすいのはもちろんですが、分析もしやすくなります。

――Visionシリーズでフィルタリングを設定したい場合はどのように行いますか?

 VisionシリーズにはGUIが用意されており、フィルタリングを含む各設定はGUIで直感的に行うことができ非常に容易です。他社製品ではGUIがなく、CLIのみの設定となり操作が煩雑になりがちです。また、VisionシリーズではCLIでの設定も持ち合わせており大量の設定を行う場合は、CLIで一括設定を行うことも可能です。

フィルタリングの設定イメージ

――フィルタリング項目にはどのような項目がありますか?

 まず、上図をご覧いただいてもわかる通り、Network Port、Dynamic Filter、Tool Portの3階層で行えます。アグリゲーションなど他の機能と組み合わせて使用することを考慮すると3段階でフィルタリングできることは大きなメリットになります。
 フィルタリング項目は下表をご確認下さい。下表以外にもDynamic filterでは設定を施すことでMPLSやVxLANなどでもフィルタリングすることが可能です。

 なお、各項目はAND条件、OR条件ともに設定が可能です。

レイヤー 設定項目
Layer2 MAC Address、VLAN、Ethertype
Layer3 IPv4/6 DSCP/Traffic Class、L4 Protocol、IP Fragment、IPv4 Address、IPv6 Address
Layer3 & 4 IPv4 Session、IPv6 Session
Layer4 L4 Port、TCP Control

<設定画面>

VisionシリーズのGUI設定画面

下記はIPアドレスでフィルタリングをする場合の設定画面になります。

VisionシリーズのIPアドレスでフィルタリングをする場合の設定画面

――導入を検討される企業からよく受ける質問があれば教えてください。

 大体以下のような内容をいただいています。

1.設定できるIPアドレスの上限数

 こちらはご購入いただいた機器のメモリ容量によるため、具体的な数はお教えできませんが、過去に400個ほど設定されていたお客様がいらっしゃいました。
 本製品自体、大手企業や官公庁でも導入されている機器であり、大規模な構成でも問題なくご利用いただいておりますので、ご心配をいただかなくても問題はないかとは思います。
 フィルタリングする設定上限数を拡大する工夫として、フィルタリングに使用するメモリの割り当てを調整いただけます。例えば、IPv4アドレスのみで制御される場合にはIPv4設定用にのみメモリを割り当てるといった方法をとることができます。私もメモリの割り当てを自身で変更可能な点は非常に柔軟な機器だと感じています。

2.設定を変更する際には通信が遮断されるか。

 特別なオペレーションでない限りはありませんのでご安心ください。

3.インポート機能はあるか。

 あります。コンフィグをエクスポート/インポート可能です。そのため、機器のリプレイスや保守交換も簡単に行っていただけます。

4.フィルタリング設定数は機器の容量にもよるというが、メモリ使用量を確認する方法はあるか。

 GUIの画面からパーセンテージで現在のご利用状況を簡単にご確認いただけます。メモリ状況をご確認いただき、最適なメモリ割り当てを行っていただくことで上述の通り、フィルタリングの設定上限数を拡大可能です。

Visionシリーズに関するご相談、価格のお問い合わせはこちらから
https://itps.scsk.jp/ixia/inquiry

製品に関するご質問・資料請求はこちらまで

03-5859-3034 平日 9:30 ~ 17:00(年末年始、当社指定休業日を除く)

お問い合わせ・資料請求