スライド 1 - SCSK株式会社

IXIA社 Anue NTO
（Net Tool Optimizer）の
ご紹介
ＳＣＳＫ株式会社
ＩＴエンジニアリング事業本部
エンジニアリングソリューション第一部
2014年 1月23日
Rev01-03
ネットワークモニタリングスイッチとは
ネットワークツールの機能やパフォーマンスを最大限に引き出すことのできるインテリジェ
ントなレイヤー1スイッチです。ネットワークトラフィックをスイッチのSPANポート、もしくは
タップ装置経由で透過的（パッシブ）に受信し、複数のモニタリング装置（アナライザ、
DPI装置）やセキュリティ装置（IDS、フォレンジック）に供給できます。
フィルタなどを行い、ネット
ワークに流れる同じデータを
各機器に振り分ける
モニタリングツール
セキュリティツールＡ
スイッチ or TAP
セキュリティツールＢ
ネットワークに影響を
与えずに、データを引
き込む
Page, 2
ネットワークモニタリングの現状
課題①
課題②
SPANポートやTAPが不足しているため、
多様化するセキュリティ装置や監視装置
の増設ができない
モニターポイントが分散しているため、
各種装置で部分的なデータしか取得
できない
インターネット
ROOTER1
ROOTER2
侵入検知
TAP
ネットワークアナライザ
CORE
SW1
CORE
SW2
ネットワークパフォーマンスモニタ
課題③
アプリケーションパフォーマンスモニタ
増大するトラフィックに対して、モニ
タリング装置・セキュリティ装置の処
理能力が追い付かない
L2 SW
ネットワークデータレコーダ
L2 SW
L2 SW
Page, 3
ネットワークモニタリングスイッチ導入による効果
解決① SPANポートの不足解消
SPANポートとTAPからの分岐された信号を
複数のモニタリング装置に分配。
インターネット
有効なツールを駆使し、
ネットワークやセキュリティ
インシデントを多重監視できる
解決② モニターポイントの集約
ROUTER1
ROUTER2
多数のモニターポイントを集約することで、
ツールの増設や監視ポイントの切り替えが
容易に可能。
TAP
CORE
SW1
CORE
SW2
侵入検知・防御
情報漏洩防止
アプリケーション性能管理
Anue NTO
ネットワークアナライザ
ネットワーク監査・証跡
解決③ 必要なデータのみを選択
L2 SW
L2 SW
L2 SW フィルタリング、重複パケットの排除により
ツール側のトラフィックを削減。
Webセキュリティ
Page, 4
ネットワークモニタリングスイッチの主要機能
スイッチング
物理的にポートや結線の変更を行うことなく、モニターポイントとモニタリング
ツールの組み合わせを変更することが可能です。
フィルタリング
スイッチのSPANポートやタップから取り込んだトラフィックを、あらかじめ指定し
た条件に従ってフィルタリングし、合致するパケットのみを出力側のポートへ振
り分けます。
ロードバランス
一箇所のモニターポイントから取り込んだトラフィックをコピーして、複数のモニ
タリングツールへ同時にトラフィックを分配することが可能です。複数製品によ
る多重防御やモニタリングツールのリダンダント構成などで利用可能です。
アグリゲーション
複数のSPANポートやタップからトラフィックを集約し、１台のデバイスでモニタリ
ングすることが可能です。複数のGigabit回線を集約し、10Gigabit対応のモニ
タリングツールで監視するといったことも可能です。
メディア変換
入力ポートと出力ポートが異なるメディアでも利用することが可能です。たとえ
ば、Gigabitファイバーで取り込んだ通信をGigabitカッパー対応のモニタリング
ツールで監視するということも可能です。
Page, 5
モニタリングツール接続の問題点と解決手法
セグメント単位にセンサー配置は運
用、コストが高い
SPANポート
Switch
Switch
Switch
Switch
SPANポート
IDS
SPANポート
IDS
IDS
SPANポート
Switch
IDS
SPANポート
SPANポート
IDS
Switch
一台のスイッチで複数のSPANポート
を設定するのは限界がある。
IDS
AnueでSPANポートを集約し、センサー数を減らすことが可能です。
製品Ａ
Switch
いくつもSPAN
ポート設定は
できない
製品Ｂ
IDS
製品Ｃ
処理能力が低い製品を利用したい。
新しい製品を比較、検討したい。
製品Ａ
Switch
いくつもSPAN
ポート設定は
できない
製品Ｂ
製品Ｃ
IDS
IDS
Anueで複数SPANポートのトラフィックを複数生成することが可能です。また、
処理能力が無い製品はフィルタにて必要トラフィックのみに限定することが
可能です。
Page, 6
ＩＸＩＡ会社概要
本社：米国カリフォルニア州カラバサス
NASDAQ上場: XXIA
従業員数： 2,000人以上
1997年5月設立
2012年6月 Anue Systems を買収
30カ国以上でグローバル展開
14年連続成長
イクシア日本法人
【本社】
東京都新宿区西新宿6-24-1 西新宿三井ビル11階
【YRPオフィス】
神奈川県横須賀市光の丘8-3 ＹＲＰベンチャー棟319号室
Page, 7
三階層フィルタ
三段階動的フィルタのパイオニア
市場における最も簡単で、最も正確なフィルタ
Ingress Filter
Dynamic Filter
Egress Filter
Page, 8
パケット重複排除
VLAN間の通信や不正なスイッチ設定など
に起因する重複パケットを排除することが
可能。
重複パケットを除外することにより、モニタ
リング対象でないトラフィックを削減し、モ
ニターツールの利用帯域を有効に活用す
ることが可能。
Page, 9
ロードバランス機能
トラフィックを複数のツールポートに等しく転送
同一セッションは同一ポートへ転送
Layer 2/3/4 hash でのトラフィック分散
複数の1Gツールで10Gネットワークにも対応可能
32ポートロードバランスへ対応
Page, 10
Anue NTOの特徴
ＧＵＩベースで容易に設定、設定変更が可能
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80
ipsrc A ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443
ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80
ipsrc A ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443
ipsrc A ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80
ipsrc A ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443
ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80
ipsrc A ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443
ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80
ipsrc B ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443
ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80
ipsrc B ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443
ipsrc B ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80
ipsrc B ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443
ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80
ipsrc B ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443
ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80
ipsrc C ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443
ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80
ipsrc C ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443
ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80
ipsrc C ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443
ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80
ipsrc C ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443
ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 80
ipsrc D ip_srcmask /24 ip_dst A ip_dstmask /24 tcp port_dst 443
ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 80
ipsrc D ip_srcmask /24 ip_dst B ip_dstmask /24 tcp port_dst 443
ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 80
ipsrc D ip_srcmask /24 ip_dst C ip_dstmask /24 tcp port_dst 443
ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 80
ipsrc D ip_srcmask /24 ip_dst D ip_dstmask /24 tcp port_dst 443
CLI
vs.
GUI
Page, 11
Anue NTO 機能/導入効果まとめ
機能
効果
• ネットワークポート統合
• 複数のアクセスポイントからのデータ取得
• 10G/40G Networkを 1/10G Toolsで監視可能
• パケット重複排除
• 必要なパケットのみツールに送信
• ツールレポートの正確性と応答時間の向上
• 入口、出口、中間のフィルタリング
• モニタリングツールの活用度合いを上げる：ツールにとって必
要なデータのみ抽出
• Packet Trimming / Protocol
Stripping
• 個人・秘密情報を含むデータおよびヘッダーを削除してから
ツールにデータ送信
• 動的変更管理
• 物理結線の変更なしに、経路やフィルタリング条件を動的に
変更可能
• 視覚的操作ときめ細かなアクセス
制御
• 要員の生産性の向上
Page, 12
Anue NTO ラインアップ
Anue NTO 5204
Anue NTO 5236
Anue NTO 5288
28
28
64
シリーズ
最大ポート数
対応I/F
24
※1
4
-
1000BASE-X （SFP）
4
※1
-
-
1000BASE-X/10GBASE-R
（SFP/SFP+）
-
20
最大64
10GBASE-R （XFP/SFP+）
4
40G （QSFP）
-
-
最大16
100G
-
-
最大 4
AFM （Advanced Feature Module）追加
-
○
※3
○
電源二重化対応
○
○
※4
○
10/100/1000BASE-T
外形寸法
[幅×高さ×奥行] （cm）
4
※3
※4
※3
※2
※2
※3
43.9×4.5×30.5
（1U）
44.5×4.5×48.3
（1U）
44.5×8.9×48.6
（2U）
5.7kg
7kg
16kg
動作温度
0℃～30℃
0℃～30℃
5℃～40℃
動作湿度
10％～85％（結露なきこと）
10％～85％（結露なきこと）
10％～85％（結露なきこと）
重量
※1
※2
※3
※4
10/100/1000BASE-Tの4ポートと1000BASE-X（SFP）の4ポートは排他使用（同時使用不可）
別途、インタフェースモジュールが必要（最大4スロット使用）
装置背面のモジュラーポートを使用
冗長用電源ユニット増設により対応
Page, 13
各種モニタリング・セキュリティツールとの接続例
Trustwave
StillSecure
Counter Snipe
セキュリティセンサー
IDS / IPS
ネットワーク機器から
トラフィックを収集
Cisco
Juniper
Dell
HP
Brocade
入力トラフィックを
・コピー
・合成
・フィルター
を実施し、各種ツールへ送信
情報漏洩対策
アプリケーションパフォーマ
ンスモニタ
ネットワーク分析
ネットワークフォレンジック
Webセキュリティ
McAfee
EMC-RSA
WebSense
BlueCoat
Intrusion Inc.
Trustwave
Compuware
Endace
NetScout
FLUKE
Narus
SOLERA
NetWitness
FireEye
Imperva
McAfee
各種SIEMツールと連携
Page, 14
顧客事例：テキサス大学
顧客プロファイル
米国で二番目の規模の大学
ローカルに10万のデバイス、リモートで75万のデバ
イスがネットワークにアクセス
チャレンジ
2-20GのWANリンクの1G/10G用ツールでの監視
二つのアクセスポイント
侵入検知
リアルタイム分析
ソリューション構成
NTO 5288
パケットベースのネットワーク分析ツール
侵入検知システム
ネットワーク：Cisco製スイッチ・ルーター
導入効果
ＲＯＩ
$320K: ツール側コストの低減50%
$216K: センサー類の数の削減
$300K: アクセスポイントにおけるラック数の
削減
その他のメリット
監視システムにおけるパケットドロップの防止
新しいツールに対する試用環境の容易な準備
「通信量が増えるに従い重複したパケットフローが Ciscoスイッチの帯域を食い尽くし、パケットドロップを生じつつあった。
この状況を何とかして解決する必要があった。」
- テキサス大学Chief Information Security Officer
Page, 15
＜製品、サービス、ソリューション、価格相談窓口＞
お問合せ、ご質問、ご依頼は、以下までお気軽にご連絡ください。
※どの様なご質問やご相談も、お待ちしております。
ＩＴエンジニアリング事業本部エンジニアリングソリューション第一部
豊
洲
本社：〒135-8110 東京都江東区豊洲3-2-20 豊洲フロント
TEL 03-5859-3034 / FAX 03-5859-3108
http://www.scsk.jp/
e-mail：[email protected] （総合問合せ）
[email protected] （Anue関連） / [email protected] （NetScout関連）
[email protected] （AlaxalA関連） / [email protected] （RADIUS GUARD関連）
[email protected] （PureFlow関連） / [email protected] （RAPICOM関連）
本書を無断で他に転載しないようお願いします。
本書は予告なしに変更されることがあります。 Page, 16