NiKSUN

TAPによるキャプチャイメージ
2本の回線で上り下りを別々に
キャプチャします

●TAPによりパケットを確実にコピー！

「ネットワークの正確な状況を把握する」、「セキュリティ事故を確実に調査する」・・・そのためには、通信を確実にキャプチャーできることが大前提です。
SW-Hubのミラーポートなどを経由してパケットをキャプチャーすることもできますが、 「確実性」を求められるケースでは不安が残ります。

SW-Hubのミラーポートやアグリゲート製品によるキャプチャーの場合、上り下り双方向の回線２本分の通信を１本の回線で取り込むことになります。バッファがあるので、あまり問題にはなりませんが、利用状況によっては、
・トラヒックが多いとバッファ溢れしてパケットロスするので、キャプチャー漏れが起こる
・双方向でパケット量が異なるとバッファ遅延時間に差異が発生し、ネットワークを流れる順と異なってキャプチャーされる。
などの問題が起こります。そうなると、正確なキャプチャーは期待できません。

NetDetector/NetVCRは「ネットワークTAP」というネットワークを流れるパケットを100%コピーできる装置を使って、双方向の通信を２本の回線で取り込みます。双方向の通信を１本にアグリゲートして発生する「パケットロス」や「パケット順の乱れ」などは全く心配なく、確実なキャプチャーが可能です。
また、ネットワークTAPはネットワーク上のどこにでも設置できるため、網構成（特に、SWの種類や配置）に依存しません。調査が必要なポイントでいつでもキャプチャーできます。


●大容量ストレージを搭載し長期間キャプチャを可能に

内蔵ストレージで最大1168GB、外部ストレージで最大4TBまでの大容量を実現し、長期間の調査・監視を実現します。また、外部サーバを用意すれば、モニタリングと並行してトラヒックをバックアップすることも可能です。外部サーバは安価なPCで実現できるので、全体コストの圧縮や半年～１年の長期間のトラヒックバックアップも容易に実現できます。

※バックアップしたトラヒック（RawData）は、NetDetector/NetVCRに戻してから分析します。

※モニタリングする回線種類により同時バックアップが間に合わない場合があります。その場合は、並行してのバックアップは行えません。

バックアップスケジュール設定イメージ

●お客様事情に合わせたバックアップスタイルが選べます！

装置内に長期のデータは残せないので、キャプチャーしたデータのバックアップが必要です。Tapeへのバックアップが一般的ですが、いろいろと制約があります。

NetDetector/NetVCRは外部のPC（OSは自由）に、FTP（SCPも可）でバックアップできます。PCはお客様が自由に選択・構成できるので、“３年分のデータをHDDに保存できる環境”を作ることも、“半年分はHDD、半年より前はTapeに保存する環境”を作ることもお客様事情に合わせて選べます。また、利活用PCを使う、不要となった古いHDDに保存するなどの対策で、トータルコストを抑えることもできます。


●お客様ポリシーに合わせたバックアップが設計できます！

リストアして解析や追跡することを前提とした場合、必要なデータに絞ってからバックアップしないと、リストアおよび解析／追跡に多大な時間が掛かってしまいます。

NetDetector/NetVCRはキャプチャーデータがDB化されているので、バックアップ時にフィルタリングして“必要なデータ”のみをバックアップできます。さらに、バックアップ先やバックアップスケジュールも自由度があるので、例えば、

・E-Mailは重要なので堅牢なFTPサーバAに毎時保存，Webは普通のFTPサーバＢに毎日保存、他は保存しない
・社外向けE-Mailは毎日保存、社内間E-Mailは装置の中だけとし保存しない
・業務時間帯は保存しない、時間外のネットワーク利用だけ保存する
こんな運用もできます。つまり、お客様ポリシーに沿ったバックアップが可能です。


●複数個所のデータをまとめてリストアして全体解析ができます！

障害解析やサーバ分析では、１箇所でのキャプチャーだけでは原因が特定できないことがあります。その場合、複数個所でのキャプチャー結果を通しての解析が大切です。

NetVCRはキャプチャーしたデータを解析できるだけでなく、リストアしたデータも同様に解析できます。さらに、他のネットワーク機器がキャプチャーしたデータ（ENC形式／PCAP形式に対応）も同様に解析できます。
例えば、NetVCRを１台導入して基幹網をキャプチャーし、他の場所は必要時にPC上のEtherealでキャプチャーします。そして、障害時に複数のバックアップデータをNetVCRにまとめてリストアすることで、網全体での解析を行うなどの運用も可能になります。


●高速なリストアで、実効的な追跡が可能です！

セキュリティ事故が発生した場合、バックアップしたデータをリストアして、過去に遡っての追跡が必要です。それも、数週間～数ヶ月分のリストアが必要なことも珍しくありません。だからこそ、「リストア中にキャプチャーが止まらないか？」「リストアが高速か？」この２点がとても大切です。

NetDetectorはキャプチャーを止めることなく、リストアできます。また、FTPサーバからのリストアのため、「Tapeメディアの検索性の悪さ」「Diskイメージの無駄なリストア時間」などの問題がありません。そして何より、高速です。

さらに、バックアップを追跡対象毎に分けて保存（E-MailとWebを別々に保存する等）してあれば、E-Mailを調べる際はE-Mailデータだけリストアすることで、効率的な追跡も可能です。


●裁判での「証拠能力」の点で安心できます！

セキュリティ事故の裁判の際には、証拠として提出するバックアップデータに対して、原本（実際にネットワーク上に流れた通信をキャプチャーしたもの）との同一性証明が必要となります。
NetDetectorはバックアップ時に、自動的にハッシュ値（MD5とSHA1が選択可）を生成するので、同一性証明が容易です。

統計情報を使ったトラヒック分析例

●統計情報により、長期間のトラヒック解析を実現します！

ネットワークを適切に運用するには、長期的な視野で調査し、プロアクティブな対応が大切です。そのためには、数ヶ月～１年の期間でネットワーク利用状況やQoS状況を正確に把握できることが必要です。

NetVCRは通信をキャプチャーしながら統計情報を自動生成します。統計情報はDBのインデックスのようなもので、そのデータを使って高速な調査や検索が可能です。また、統計情報はサマリ情報のためDiskスペースをあまりとりません。このため、3ヶ月から１年といった長期間のデータが装置内に保存できます。

例えば、次のような解析が統計情報で簡単に行えます。

　・１、３、５月の第１週のデータ量がどう変ってきているか？
　・DBサーバへのアクセス（コネクション、通信量、他）が半年間でどう増えたか？

こういう長期間のトラヒックの変動を把握することで、常に先んじたネットワーク管理を実現できます。


●統計情報により、原因／犯人の追跡を現実的なものにします！

セキュリティ事故が起こった場合、原因／犯人を追跡するわけですが、闇雲に調べるのでは時間だけ掛かってしまい実効的ではありません。
例えば顧客情報ファイルがインターネットに流れた場合、昨日のバックアップデータをリストアして調査，２日前のバックアップデータをリストアして調査、３日前の・・・このように全ての通信を１つずつ調べる方法では、現実的ではありません。

そのような場合、顧客情報ファイルを格納したサーバへアクセスした者をまず絞込み、その者のインターネットアクセスだけを追跡する。それだけでも調査範囲が絞られるので、追跡が現実的になります。

NetDetectorはキャプチャー能力が高いので、「社内網でサーバへのアクセスの監視」と 「インターネットアクセスの監視」を同時に行えます。また、統計情報として数ヶ月～１年の長期記録が残せるので、いつ誰がそのサーバへアクセスしたかをリストアを繰り返すことなく、すぐに調べられます。
絞り込みを効率よく行った上で、最後に必要なバックアップデータだけをリストアしてから原因／犯人を絞り込めば実効的なフォレンジック対策となります。

NetSLM画面イメージ

●NetSLM（有償アドオンソフト）が閾値を監視してアラームをあげます！

ネットワーク障害、サーバレスポンス低下などのトラブル、機密情報サーバへの不正アクセスなどの ”異常状態”が発生した場合には、被害を最小限にとどめるために、管理者が即座に異常を検知し適切な対処をする必要があります。

RMON等の監視では、監視間隔が長く(最小で１分から通常１５分程度)トラブルを見落としやすい、監視種類が少なく有効な監視が難しい、フィルタによる特定通信の監視ができないなどの課題がありました。

NetSLMは、監視間隔を数秒から指定できるため、SyslogまたはSNMPトラップで速やかな異常検知が可能です。さらにレスポンスタイム、コネクション数などの実用的な監視項目を備え、サーバレスポンス低下などのトラブル、機密情報サーバへの不正アクセスなどの実効的な監視ができます。フィルタリングによる特定通信の監視も可能です。

さらに、異常検知後には、ダイレクトにNetDetctor/NetVCRへリンクし”異常状態”の原因となったのは誰のどのアプリケーションか、前後にどのような通信を行っていたかなどをコネクションレベル、パケットレベルまで分析可能で、適切な対処をサポートします。

NetDetectorはフォレンジック対策、NetVCRは障害解析、QoS分析を主な目的とし、いずれも”事後の”対策といえますが、”リアルタイムな”監視も必要、という現場の声にお応えするのがNetSLMです。 「監視」と「分析」を1台で実現します。

設定可能な閾値は、以下のとおりです。
　　1）通信量
　　2）Packet量
　　3）BitRate
　　4）ResponseTime
　　5）RTT
　　6）再送量
　　7）コネクション数

NetReporter画面イメージ

●NetReporter（有償アドオンソフト）が分析を自動化し、分析結果をメールで送信します (NetVCR)

ネットワーク管理者は、毎日多忙な中でもネットワークの健全動作の管理を任されています。しかし、現実的には「障害が起こったら手を打つ」と、後手に回る事が多いのが実態です。背景には毎日ネットワークを監視することの大変さ、いつ起こるか分からないトラブルに優先度を上げられない実情・・・こういう事情があると言われます。

NetReporterは、NetVCRが持つトラヒック分析機能をスケジュール登録して、分析を毎日・毎週自動実行し、結果をメール配信してくれるものです。これにより、管理者が毎日行う“前日のトラヒック状況を分析し問題有無を確認する”というルーチンワークの削減を実現します。

管理者は、毎朝メール配信される結果を見て、「異常が起こった」「このまま行けばトラブルになる」などの問題やその兆候があれば対策を、無ければすぐチェック完了となり、稼動削減が図れます。

★もし、問題や兆候が見られたら・・・
NetReporterからのメールの本文には、そのReport結果をただちに再調査できるように、トラヒック分析機能へのURLリンクが張られています。問題或いは兆候を見つけたら直ちにクリックするだけで、異常の原因となったのは誰のどのアプリケーションか、前後にどのような通信を行っていたかなどをコネクションレベル、パケットレベルで調査できます。

さらに、NetReportの出力結果は、PDFやCSVのため蓄積が簡単です。結果の蓄積により、将来予想が現実となり、プロアクティブな対応や予算時期に合わせた拡張計画立案などでお役に立ちます。

※ NetReporterには、 NetDetector用（NetReporter for NetDetector)とNetVCR用（NetReporter for NetVCR）の二種類あります。有償アドオンソフトで、NetDetector用とNetVCR用で機能が異なるのは、NetReporterのみです。

オリジナルアドオンソフト例

●NTTテクノクロス社オリジナルアドオンソフトが新しい分析方法をカスタマイズします

NetDetector/NetVCR本体やNetReporterなどのアドオンソフトには多彩な分析メニューが用意されていますが、ネットワーク利用状況に合わせた独自の分析をしたい、分析結果のフォーマットを変更して外部装置に渡したい場合など、どうしてもカスタマイズが必要な場合があります。

NetDetector/NetVCRは、トラヒックを格納したDB内の情報を外部装置（各種サーバ等）から取り出すための手段（API）をJava RMIで実装しています。そのAPIを利用して、NetDetector/NetVCRが実装していない機能（分析、監視）を外部装置上のプログラムで拡張する事ができます。

NTTテクノクロスでは、上記APIを使った「オリジナルアドオンソフト」の設計を請け負っています。「独自の分析をしたい」、「外部装置に分析結果を渡したい」などのご要望はぜひ弊社にご相談ください。

※APIは製品の一部ではなく、メーカサポート（問い合わせやバグ対応）はありません。
※弊社が提供するオリジナルアドオンソフトには有償版と無償版があります。無償版はサポートはありませんが、技術問い合わせのみ受け付けております。有償版はサポートがあります。


弊社が提供している無償アドオンソフトの例

■Mailメッセージ検索
指定したキーワードが含まれるE-Mailをリストアップし、対象E-Mailをemlファイルとして保存します。E-Mailをひとつひとつ再現させて中身をチェックする手間を削減し、対象E-Mailの発見の迅速化が図れます。

■パケット長分析
ネットワーク機器の効率運用、ネットワークのモデル化においては、どんなサイズのパケットがどれだけ流れているか調査することが重要です。本パケット長分布分析アドオンソフトは、パケット長を小さいレンジ（1～100byteで指定可能）に分割してカウントします。

■TCPコネクション分析
指定した時間帯のすべてのTCPコネクションの詳細情報を出力します。