Microsoft PowerPoint - InMonTrafficSentinelプレゼン_ [互換モード]

Size: px

Start display at page:

Download "Microsoft PowerPoint - InMonTrafficSentinelプレゼン_ [互換モード]"

つねたけいそみ
6 years ago
Views:

1 sflow/netflow & InMon TrafficSentinel のご紹介フローマネージメントを活用したネットワークの可視化と管理 1

2 アジェンダフローマネージメント sflow/netflow InMonTrafficSentinelのご紹介ネットワーク管理レポーティング機能セキュリティ管理などケーススタディー sflowtrend( フリー )/sflowtrend-proのご紹介インフォメーション 2

3 フローマネージメントとはフローマネージメントとはソースとデスティネーション間のフレームの流れを以下のような内容などを認識し分析すること Source / Destination Address Source / Destination Port 番号 Protocol Interface TOS ( IP type of service ) / Priority ( 802.1p ) VLAN (802.1Q) AS 番号次のような分析が可能なぜネットワークが遅いのか? 誰がネットワークを使っているか? 誰が何をしているか? セキュリティ対策は出来ているか? SPAM DoS 攻撃ウイルスワームは? ネットワークの使内容は? マルチキャスト通信はどの程度? 3

4 フローマネージメント sflow の誕生ネットワークの可視化へのトラディショナルな解決法 SNMP (Simple Network Management Protocol) 1988 年開発以降インターネットワーク管理のデファクトスタンダード SNMP マネージャが機器の SNMP エージェント (MIB) から統計値を収集インターフェース単位のオクテット数フレーム数などのカウンター情報を収集プロトコル別情報なし RMON2(Remote Network Monitoring V2) トラフィック内容 ( プロトコル別情報など ) の通信状況をモニタリング RMON2 プローブが必要 ( ハイスピードネットワークでは非常に高価 ) 情報としては不分 ( 特定プロトコルのみの分析リアルタイム性がない ) ネットワークパフォーマンスへの影響ネットワークの可視化への次世代の解決法 sflow の誕生 4

5 sflow とはハイスピードネットワークにおいて低コストで効果的なモニタリングを実現する新たなテクノロジー! 業界標準ネットワークトラフィックモニタリング技術ネットワーク全体を可視化全てのスイッチ全てのインターフェースを測定サンプリングベースのテクノロジースイッチやネットワークのパフォーマンスへの影響が少ないハイスピードネットワーク内のトラフィックのモニタリングに効果的米国 InMon 社によって公開 : Open Standard IETF RFC3176(sFlow V4) ネットワーク機器埋め込み型として設計されたモニタリングテクノロジールータスイッチ内に実装されスイッチの ASIC にて処理スイッチの sflow エージェントが sflow を生成し sflow マネージャーへ即座に送信 MIB やキャッシュ上で保持カウントしない sflow 対応機器であれば即座に使用可能 5

sflow の動作スイッチ / ルーターフォワーティンクテーフル等インターフェースカウンタースイッチンク ASIC sflow エーシェント 1 / N サンフリンク sflow Datagram Packet Header Src/Dst i/f Sampling Perms Forwarding user ID URL i/f

6 sflow の動作スイッチ / ルーターフォワーティンクテーフル等インターフェースカウンタースイッチンク ASIC sflow エーシェント 1 / N サンフリンク sflow Datagram Packet Header Src/Dst i/f Sampling Perms Forwarding user ID URL i/f counters eg 128B rate pool src 802.1p/Q dst 802.1p/Q next hop src/dst mask AS path communities localpref MPLS src/dst Radius TACACS InMon Traffic Sentinel sflow Collector & Analyser 6

7 sflow データグラムフォーマット sflow Datagram Packet Header Src/Dst i/f Sampling Perms Forwarding user ID URL i/f counters Flow sample ( フローデータ ) Packet Header : サンプルパケットのパケットヘッダー情報 ( 一部ペイロード含む ) Src/Dst i/f : 出インターフェースの ifindex Sampling Perms : sflow ハラメーター (Sampling Rate,Sampling Pool etc) Forwarding Priority ( Src/Dst 802.1p/TOS) VLAN ( Src/Dst 802.1q) Next hop address Source AS, Source Peer AS Destination AS Path Communities, local preference MPLS User ID : Src/Dst RADIUS/TACACS URL SNMP Counter Sample (SNMP カウンター値 ) i/f counters : インターフェースカウンター統計値 7

8 sflow の実装 ( 埋め込み型 sflow エージェント ) 8

9 sflow 以外のサポートベンダー sflow をサポートしているベンダー ( 最近の実装メーカー ) NetFlow 系 (NetFlow/J-Flow/IPFIX) 実装メーカー各機器での sflow の対応状況の詳細はハードベンダー様へご確認下さい 9

10 sflow: トラフィック量の計算サンプリングされた情報から実際のフレーム数やバイト数を導き出すプロトコル別トラフィック量の計算したフレームの総数 = N 総サンプル数 = n そのクラス ( フロトコル ) でのサンプル数 = c 例 : したフレームの総数 = 1,000,000 サンプリングレート = 0.25% 総サンプル数 = 2,500 Voice トラフィックのサンプル数 = 1,000 表示される Voice トラフィックのフレーム数は : 1,000 2,500 1,000,000 = 400,000 フレーム N c そのクラス別のフレーム数は次式により計算 : = c n N サンプリングの誤差が発生統計的手法 (95% 信頼区間分析 ) により把握 10

11 sflow: サンプリングの誤差 ( 解析精度 ) サンプリングの誤差 95% 信頼区間によって分析 % Error サンプリングの誤差 (95% 信頼区間 ) 100% 75% 50% 25% 0% クラス別のサンプル数 95% 信頼区間計算式 : 1 %error 196 c 例 :95% の信頼区間でのエラー率を前ページの例で計算すると Voice トラフィックのサンプル数 = 1,000 なので 1 % Error 196 ± 6.2% 1,000 表示された 400,000 フレームに対し 95% 信頼区間では ±6.2% が誤差になるので区間は 375,200 フレーム (Lower) 424,800 フレーム (Upper) となる +6.2% -6.2% 400,000 フレーム 11

12 sflow: サンプリング分析のコンセプト誤差とトラフィックはトレードオフの関係 ( トラフィック = 分析対象トラフィック ) トラフィックが多い誤差は少ない / トラフィックが少ない誤差は大きい誤差を少なくするには? 対象となるフローを増加 ( サンプリングレートを上げる? 分析対象期間を延ばす? ) 誤差を少なくする分析トラフィックが多い場合 : 通常のサーバーアクセス (HTTP 通信など ) DoS 攻撃トラフィックが多いのでリアルタイムでも誤差は少ないトラフィックが少ない場合 : 使頻度通信量の少ない通信 ( チャット通信など ) トラフィックが少ないのでリアルタイムでは誤差が大きい対象期間を延ばす ( 分から時間, 日, 週, 月へ ) と対象トラフィックが多くなるので誤差が少なくなるサンプリング分析のコンセプトメジャーなトラフィックは誤差が少なくリアルタイム性も保たれるマイナーなトラフィックは対象期間を延ばし誤差を低減スイッチパフォーマンスネットワークパフォーマンスの悪化を防ぐサンプリングベースのテクノロジの為 1G/10G ネットワークから更なるハイスピードネットワークへの対応が可能 12

13 sflow ワイヤレスネットワーク向け sflow sflow を使用してワイヤレスネットワークをモニタリングする規格 (2007 年 4 月 ) ワイヤレストラフィック上のデータを分析しフロー化 WAP( ワイヤレスアクセスポイント ) 別 RADIO 別 SSID/ チャネル別 Air Utilization% (802.11g の 54Mbps に対してなど ) ワイヤレスバージョン (802.11a/b/g/n) 暗号方式 (TKIP/WEP/CCMP etc) カウンター値 Fragments/Multicasts/RTS/Error/Station 数 /QoS sflow サポート機器 HP ProCurve Wireless Edge Services xl Module / WESM zl module 困難だったワイヤレストラフィックの可視化が可能に 13

14 NetFlow Cisco NetFlow Ciscoが開発した技術ネットワーク上のIP フローについてネットワーク管理者が情報収集する手段を提供エクスポートされたNetFlow データはネットワークの管理やプランニング課攻撃対策データマイニングなど様々な途に利可能 NetFlow が出する基本データはフローレコードと呼ばれるバージョン1,5,7,8,9が存在バージョン9は RFC3954として公開一般的には全てのポートをモニターするのではなく特定のポートをモニターキャッシュベースのテクノロジー ( キャッシュ上でフローをカウント ) L3 以上のトラフィックの分析が可能 (L2の分析(MACアドレスなど) は不可 ) NetFlowはフローとして集計された情報として送られるマネジャー側でフロー情報化する必要がないパフォーマンス上に問題がある場合はサンプリングテクノロジーを使用した Sampled NetFlow も用意されている Sampled NetFlow 機能を使用すればルータに転送される x 個の IP パケットごとに 1 個のパケットをサンプリングできますサンプリングパケットはルータの NetFlow フローキャッシュに取り込まれますこのサンプリングパケットにより大多数のパケットに対して NetFlow の追加処理が不要となるのでスイッチング処理がより速にえるようになり NetFlow パケットの処理に要する CPU 使率を幅に低減できます ( Ciscoマニュアルより抜粋 ) 14

15 フロー NetFlow 以下の図の内容をフローとして統計値 ( フレーム数バイト数 ) を NetFlow キャッシュ内でカウント NetFlow キャッシュ内で保持カウントしている情報を特定のタイミング ( 条件 ) でエクスポートフロー ( 7 つのキー ) Source IP Address Source Port Destinetion IP Address Destinetion Port Layer 3 プロトコルタイプ TOS byte インターフェース ( ifindex ) フローをエクスポートするタイミングインアクティブタイマー ( デフォルト :15 秒 ) 該当のフローセットのセッションが 15 秒間インアクティブ ( 無音 ) の時エクスポートコマンド ip flow-cache timeout inactive 15 で設定アクティブタイマー ( デフォルト :30 分 ) 該当のフローセットのセッションが継続している場合 30 分経過時点でエクスポートコマンド ip flow-cache timeout active 30 で設定 TCP コネクションの RST や FIN フラグの検出 NetFlow キャッシュがフル 15

16 sflow vs NetFlow sflow RFC3176 として公開 ( 機器ベンダ非依存のオープンな規格 ) サンプリングベース対象レイヤー :L2-L7+Payload 高速スイッチングネットワークの測定を目的に開発 WAN のモニタリング (BGP AS path 分析 ) 全インターフェースをモニター AS 分析 (OriginAS/SourcePeerAS/DestPeerAS/DestinationAS Path) NetFlow RFC3954 として公開 (Cisco 色が強い ) キャッシュベース対象レイヤー :L3-L4 WAN リンクの測定が主たる目的としてリリース LAN のモニタリング (Catalyst への NetFlow の実装 ) 特定のインターフォース (VLAN) をモニター AS 分析 (SourcePeerAS/DestPeerAS) 16

17 InMonTrafficSentinel のご紹介 Complete Network Visibility and Control - InMonTrafficSentinel による完全なるネットワークの視覚化と管理 - InMonTrafficSentinel は sflow を IETF で RFC3176 として公開した InMon 社が開発した sflow マネージャーですネットワーク全体に対するネットワークトラフィックの常時監視と分析が可能となりますデータソースとして sflow/netflow/j-flow/xrmon/lfap/ipfix/snmp をサポートしています InMonTrafficSentinel の各種機能日本語版の提供ネットワーク管理レポーティング機能セキュリティ管理ダッシュボード機能 17

18 日本語版の提供 InMon Traffic Sentinel のオペレーション画面マニュアルは日本語となっています 18

19 ネットワーク管理 : リアルタイムでの輻輳管理 1. プロアクティブな問題の把握 ( しきい値分析 ) しきい値超過アラート 19

20 ネットワーク管理 : リアルタイムでの輻輳管理 2. 問題が発生してインターフェースはどこか? 問題の指摘 20

21 ネットワーク管理 : リアルタイムでの輻輳管理 3. 問題を起こしているホストは誰か? 送信元となっているホスト 21

22 ネットワーク管理 : リアルタイムでの輻輳管理 4. どの様な通信をしているか? ( トラフィックフローの把握 ) 原因の把握 22

23 ネットワーク管理 : リアルタイムでの輻輳管理 5. トラフィックフローの詳細や経路情報の把握特定したトラフィックでの経路情報 23

24 ネットワーク管理 : リアルタイムでの輻輳管理 6. トポロジーマップ上での把握 ( 経路情報 ) 通信途中のスイッチにて閾値を越えている 24

25 ネットワーク管理 : 特定サーバーへのアクセス特定のサーバーへのアクセス状況の確認特定サーバーへのレスポンスタイムが悪化している時にアクセスしているユーザの状況を確認サーバー ( ) へアクセスするユーザグループ 25

26 ネットワーク管理 : コントローラーコントローラーではトラフィック測定を根拠とした自動的にプライオリティレートリミットブロックコントロールを適用します 26

27 レポーティング機能豊富なレポートテンプレートからのレポート作成スケジュールレポート作成部門別トップユーザレポートアカウンティングレポート 27

28 レホーティンク機能 : 障害発生検知レポートトラフックの内容に対ししきい値を設定し超過時にイベントを発生させるしきい値 : トラフィック ( プロトコルアドレスグループなど ) に対して設定スケジュール化し超過時にイベントを発生させる例 : 拠点内のサーバーで ICMP ECHO を 10,000 フレーム / 秒受信した場合に DoS 攻撃と判断しイベントを発生しレポートを作成する 28

29 レホーティンク機能 : カスタマイズレポート豊富なテンプレートを編集してカスタマイズレポートが作成可能文言表示情報表示情報のフィルタリングなどの編集が可能定型レポートはスケジュール化 29

30 レホーティンク機能 :VoIP-RTP レホート VoIP は RTP によって提供されます sflow によって RTP の Codec QoS の把握が可能です Packet loss は均一的に継続しかし Jitter は 10:35 にスパイク 30

31 レホーティンク機能 :AS パスとパス上のフローは最も激しく使用されている AS パスでまたパスもいこの AS パスによって転送されているフローの把握 31

32 レホーティンク機能 : エクスプローラインタラクティブにヒストリカルデータに対するトラフィック分析が可能マウスでドラッグするとこの期間にズーム凡例をクリックすると条件 ( フィルタリング ) に追加アドレスサブネット拠点などで積み重ねチャート等をインタラクティブに表示 32

33 セキュリティ管理 :sflow によるセキュリティ管理 sflow と TrafficSentinel は内部のセキュリティを確保 Zero-Day Attackに対するルールは Zero-Day Attackにインストールされて対するルールはインストールされていないいない , web, plugin , は web, ブロック困難 pluginはブロック困難セキュアではないセキュアではないあるいは認証されていないあるいはワイアレスアクセス認証されていないワイアレスアクセス sflow Traffic Sentinel 感染したPC の感染した持ち込みPC の持ち込みネットワーク上に配置された sflow 実装スイッチから送られてくる sflow データを分析しワームウイルスを検知したり異常なトラフィックパターンを識別 33

セキュリティ管理 : シグネチャーによるアラート sflow データグラム packet header In/out i/f sampling parms forwarding user ID URL i/f counters Snort 構文で指定されたシグネチャとのマッチング NACHI/Welchia ネットワーク型トロイの検出

34 セキュリティ管理 : シグネチャーによるアラート sflow データグラム packet header In/out i/f sampling parms forwarding user ID URL i/f counters Snort 構文で指定されたシグネチャとのマッチング NACHI/Welchia ネットワーク型トロイの検出 ================================== alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: "NACHI/Welchia"; content: " aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa "; dsize:64; itype: 8; icode: 0; classtype:trojan-activity; sid: ; rev: 1; ) ================================== トラフィックがルールにマッチした時アラートを発生 34

35 セキュリティ管理 : ポリシー違反の検知ポリシー違反 : ネットワークの不正使の検知 (CHAT P2P VPN など ) SNORT シグネチャーによるポリシー違反の検知検知の為のシグネチャー例 (SoftEther): alert tcp any any -> any any (msg:"softether VPN 2.0 Connection"; content:"se-vpn2- PROTOCOL"; sid: ; ) 上記で検知されているポリシー違反の内容については使用条件状況により大きく左右されますので検知することを保証するものではありません 35

セキュリティ管理 : 振る舞い検知ポートスキャンや新種のウイルスワームの検知 : 172.16.

36 セキュリティ管理 : 振る舞い検知ポートスキャンや新種のウイルスワームの検知 : は TCP ポート 445 や 139 を使用して多くのホストとの接続が測定された 36

37 セキュリティ管理 : 履歴データによる監査監査 : フローログ - サーバーへの TELNET 接続者のログ特定のサーバーへのアクセスや特定のクライアントの使用内容の把握 37

38 ダッシュボード機能ログインユーザー毎にダッシュボードが作成できます使頻度のいグラフ等を任意に組み合わせて分画が作成できます 38

39 Host sflow データセンター内の全てのシステムのパフォーマンス計測を集約し表示計測値を結合計測値を比較フローデータからサービスを検知しアプリケーションの関連状態をマッピングシステムが関連するネットワークリソースや生成されるトラフィックを関連付けるダウンロード : 39

40 仮想化環境 sflow VM1 VM2 VM3 VM4 Virtual Machines Virtual Network Adapters Virtual Switches Physical Network Adapters 仮想スイッチに実装された sflow は仮想マシンの可視化を実現する Local Area Networks InMon Virtual Probe Open vswitch (Xen,KVM,Proxmox VE,VirtualBox) Microsoft Windows 2012 Server Hyper-V VMWARE vsphere 5 (NetFlow) 40

41 Microsoft Windows 2012 Server Hyper-V 用 sflow エージェント Microsoft Windows2012 Server には Hyper-V extensible switch 内に実装される参照 : 41

42 Application sflow トランザクションのサンプルトランザクションの統計 TCP/UDP socket 例 : NFS/CIFS transactions File path, bytes, response time, socket HTTP requests URL, user agent, mime type, bytes response time, socket Memcached lookups Key, value-bytes, hit/miss, socket Database queries Query#, response time, socket アプリケーションレイヤーの測定はインフラ内の各コンポーネントのパフォーマンスと関連付けるときさらに重要です参照 : 42

43 43 Application sflow:transactions

44 44 TrafficSentinel は各種 Flow データを収集分析

45 ケーススタディー InMon Traffic Sentinel 企業内データセンター Internet sflow データグラム広域網サイト A サイト E サイト B サイト C サイト D 45

sflowtrend ホームページよりダウンロードインストールできます http://www.

46 sflowtrend のご紹介 sflowtrend はフリー ( 無償 ) のツールですグラフィカルな sflow コレクターでトップトーカーやインターフェースカウンターを経過時間に渡りプロットします弊社の sflowtrend ホームページよりダウンロードインストールできます 46

47 sflowtrend-pro のご紹介 sflowtrend-pro は sflowtrend の機能強化商用版です sflowtrend と比較し複数台のスイッチのモニタリング (10 台程度まで ) データの期保存 ( 数週間程度 ) 時間フィルタリングなどの機能が拡張されています標準価格は 95 万円です 47

48 インフォメーション InMonTrafficSentinel の要求システム構成小規模構成 (1,000 switch port) CPU: デュアルクアッドコア CPU 2.5GHz 相当以上 Memory:4GB 以上 Disk/80GB 以上 SAS or SATA NIC/100Mbp 以上 OS:Red Hat Enterprise Linux 5 以降 Fedora 10 以降 CentOS 5 以降 H/W スペックについては監視対象規模やサンプリングレートデータ保存期間などに依存します InMonTrafficSentinel デモンストレーションサイトユーザ :demo パスワード :demo InMon 製品およびその他取り扱い製品紹介 WEB サイト V i 48

アジェンダフローマネージメント / フロープロトコル NetFlow InMonTrafficSentinelのご紹介日本語版の提供ネットワーク管理レポーティング機能セキュリティ管理ダッシュボード機能ケーススタディーインフォメーション 2

アジェンダフローマネージメント / フロープロトコル NetFlow InMonTrafficSentinelのご紹介日本語版の提供ネットワーク管理レポーティング機能セキュリティ管理ダッシュボード機能ケーススタディーインフォメーション 2 NetFlow によるフローマネージメント InMon TrafficSentinel のご紹介フラットフォーム & ネットワーク事業本部出野真也 [email protected] 1 アジェンダフローマネージメント / フロープロトコル NetFlow InMonTrafficSentinelのご紹介日本語版の提供ネットワーク管理レポーティング機能セキュリティ管理