|
| 1.幸福のタッピング入門 NIDSとか、Snifferなどを使ってネットワーク監視やトラブルシューティングを行う場合に、監視したいネットワークのトラヒックを如何にして取り出すか、頭を悩ますことでしょう。 もし今は悩んで無くても、できれば悩んでください。 今後1000BASE-T、SXなどのメディアを相手にした際に、これまでの手法が通用しないことを実感することでしょう。 |
|
|
| 2.トラヒックのキャプチャ法 さて、現在考えられるトラヒックの取り出し方法としては、以下の3つが考えられます。じつはこれ以外にも存在するのですが、あまり目にする機会は無いでしょうから、ここでは割愛させていただきます。 ・シェアードハブを利用する ・SPAN(ポートミラーリング)を利用する ・TAPを利用する。 |
|
| 3.シェアードハブによるキャプチャ シェアードハブ(リピータハブ)によるトラヒックの取り出しは、以前これしか方法が無かったため、今だに良く利用されている手法です。 今ではシェアードハブ自体が入手困難ですが、根気良く探せばまだ入手可能です。値段も思っていたより高価ではありません。ただし、安価なスイッチと比べれば、若干ですが割高感があります。 この手法は、なんといっても簡単であることが長所としてあげられます。キャプチャしたいネットワーク機器間をシェアードハブ経由で接続するだけです。 またマルチポートのシェアードハブを利用すれば、いっぺんに複数台のNIDSやSnifferでトラヒックをキャプチャすることが可能です。何種類かのNIDSの評価を行う際や、実験環境ではボクも良く使います。 ただし、この手法はネットワークの帯域を大きく損ないます。現在では100BASE-TXやFXによる全二重通信が主流です。ところがシェアードハブは100MBpsの半二重で動作します。単純に考えて有効な帯域は全二重の半分しかありません。スイッチングハブで構成されたネットワークにシェアードハブを挟み込むと、実際にはそれ以上に遅く感じることでしょう。また高トラヒックの環境下ではコリジョンが大量に発生し、通信不能に陥る可能性もあります。 この手法はクリティカルな環境では、できるだけ利用することを避けることをお勧めします。 |
|
| 4.SPAN(ポートミラーリング) 最近ではこの手法がもっとも良く見られます。SPANって用語はCISCOで使われますが、他はどうなんでしょう?ポートミラーリングの方が分かりやすいかもしれません。 インテリジェントタイプのスイッチでは、特定のポートが行っている通信をそのまま他のポートにコピーすることが可能です。これがSPANです。 以前は高価なスイッチでないと持たない機能でしたが、最近では比較的安価なスイッチで装備している物をよく見かけるようになりました。 この手法は、キャプチャ対象となるネットワークに影響を与えることがありません。ただし、スイッチ自身のバックボーン帯域やCPU性能によっては、SPANを実行することにより、全体の通信速度が遅くなることもあります。 また、SPANでトラヒックをキャプチャするポートは全二重ですが、実際にSnifferなどの機器を接続するポートは実質半二重となります。ですので、キャプチャロスが発生する可能性があります。ただし、これもスイッチの実装次第です。物によっては極力キャプチャロスが発生しないように、SPANポートに対してフローコントロールを行っているかもしれません。 |
|
| 5.TAP このTAPによるトラヒックの取り出しはもっとも推奨される手法です。全二重で通信を行っているネットワークメディアに対して、TX、RXそれぞれ別々にトラヒックを取り出します。ちょっと賢いシェアードハブのようなものです。 TAPもシェアードハブと同様に監視したい機器の間に挟み込みます。理論的にはキャプチャロスは発生しませんし、もとのネットワークに影響を与えることもありません。また万一にTAPが故障した場合でも、もとのネットワークはスルーされているだけですので、やはり影響を与えることはありません。 この手法では、取り出したトラヒックが上り下りそれぞれに2つのネットワークポートに出力されます。よって、2つのネットワークインターフェースを持ったNIDSやSnifferが必要になります。これはより正確なトラヒックキャプチャのためにはしかたのないことです。 またTAPは少し入手が困難で高価です。気軽に秋葉原で購入ってわけにはいきません。 TAPにはEthernet対応だけでなく、GigaEthernetやFiberに対応したものも存在します。 1000BASE-TやSXでは、これまでのシェアードハブやSPANなどといった手法が通用しづらくなりますので、今後はTAPによるトラヒックの取り出し手法が主流になることでしょう。 |
|
| 6.IDS Balancer こんごギガビット級の広帯域ネットワークをNIDSで監視しなければならなくなった場合に、既存のNIDSでそのまま対応できるか確信ありませんので、トラヒックを分散して沢山のNIDSで監視してしまおうといった場合に、あるととっても便利なのが最近流行りのIDS Balancerです。 逆に複数の100BASE-*ネットワークをアグリゲーションして、1台の高性能なNIDSで監視するなども可能です。 またIDS Balancerはトラヒックの分散方法を制御することが可能です。IPアドレスレンジや、サービスで制御することができますので、HTTP専用のNIDSを用意して、HTTP関係のトラヒックをすべて割り当てることなども可能です。 欠点としては、なんといっても高価であることがあげられます。1台500万円はいっくらなんでも高すぎますね。 |
|
| 7.まとめ といったわけで、トラヒック取り出し手法にもいろいろとありまして、理想はTAPなんですが、何が何でもってわけでもありません。その場その場で適切な手法を使いましょう。またいくら正確にトラヒックを取り出せたとしても、NIDSなどがパケットロスを起こしていたのでは元も子もありません。今後はIDS Balancerなどの手法にも注目すると良いでしょう。 |