SHARE
Security / January 8, 2018

NetFlowとは何か?

NetFlowは、ITの専門家がネットワーク・トラフィックを分析して、ネットワーク上の発信元、宛先、トラフィック量、およびパスを特定するために使用されます。 NetFlowネットワーク・プロトコルは、インターフェイスを移動するIPネットワークトラフィックを収集します。次に、フロー・データを分析して、ネットワーク・トラフィックフローおよびトラフィック量を把握します。

NetFlow以前は、ネットワークエンジニアと管理者は、ネットワークトラフィックを監視するためにSimple Network Management ProtocolSNMP)を使用してしました。SNMPはネットワーク監視とキャパシティ・プランニングに関しては効果的でしたがその一方で帯域幅の詳細な使用状況を把握することはできませんでした。現在、NetFlowは、Internet Protocol Flow Information eXportIPFIX)としての Internet Engineering Task ForceIETF)標準の一部であり、このプロトコルはネットワーク機器のベンダーによって広く実施されています。

NetFlowはどのように機能しますか?

NetFlowは、データ収集、ソーティング、分析の簡単なプロセスに従います。主要なコンポーネントは以下のとおりです:

IPフロー

 IPフローは、同じIPパケット属性を含むパケット・グループで構成されています。パケットがルータまたはスイッチ内で転送されるとき、送信元IPアドレス、宛先IPアドレス、送信元ポート、宛先ポート、Layer3プロトコルタイプ、サービスクラス、ルータまたはスイッチ・インターフェイスなどの一連の属性を検証します。

NetFlowキャッシュ

NetFlowキャッシュは、パケットが検査された後にデータが格納される凝縮された情報のデータベースです。

コマンドライン・インターフェイス

コマンドライン・インターフェイス(CLI)は、NetFlowデータにアクセスする2つの方法の1つです。ネットワークトラフィックの迅速なビューを提供し、トラブルシューティングに役立ちます。

NetFlowコレクタ

NetFlowデータにアクセスする2つ目のオプションは、データをNetFlowコレクタにエクスポートします。NetFlowコレクタは、トラフィック情報を収集し処理し、容易に分析できるレポートサーバーです。

NetFlowを使用する理由は? 

NetFlowの統計情報は、以下のようなアプリケーションで役立ちます:

  • ネットワークの監視:企業はフローに基づく分析手法を利用して、ネットワーク全体のトラフィック・パターンを視覚化することができます。ネットワーク・オペレーション(NetOps)とセキュリティ・オペレーション(SecOps)の両チームは、このトラフィックフローの包括的なビューを使用して、ネットワーク上でユーザーがアプリケーションにいつ、どのくらい頻繁にアクセスするか監視することができます。さらに、チームはそのデータを使用して、ユーザーのネットワークやアプリケーション・リソースの使用状況を監視しプロファイリングして、潜在的なセキュリティおよびポリシー違反を検知することができます。
  • ネットワーク計画:チームは、NetFlowを使用してネットワークの発展を追跡し予測できます。例えば、増大する需要を満たすために必要なポート、ルーティング・デバイス、または高帯域幅インターフェイスの数を増やすためのアップグレードの計画を立てることができます。
  • セキュリティ分析: NetFlowを使用すると、セキュリティ・チームはネットワークの動作の変化を検知して、セキュリティ違反を示す異常を特定できます。このデータは、セキュリティ・インシデントの履歴を理解して再生するための重要なフォレンジック・ツールでもあり、セキュリティ・チームは多くを学ぶことができます。

NetFlowの欠点

 NetFlowは、実装されているデバイスのパフォーマンスに影響を及ぼします。パフォーマンスへの影響を軽減する目的で、ネットワーキング・デバイスは、NetFlow統計情報を生成するために、しばしばパケットをサンプリングすることに依存しています。低いサンプリングのレート(1,000パケット当たり1つということがしばしばある)はネットワークのビジビリティを大幅に低下させ、重要なセキュリティの脅威やパフォーマンスの問題を発見できなくなる可能性が出てきます。

 さらに、NetFlowレコードは、選択した数のコレクタまたは監視ツールにのみ転送できます。しばしば、この数は、ネットワークの適正管理やトラブルシューティングの実施のために必要な数よりはるかに少ない場合があります。企業がデータとセキュリティの両方の脅威に直面することが増大するにつれて、ネットワークで起こっていることの一部だけを見ることは、セキュリティ脅威に対処するには不十分な情報しか得られないとうリスクを抱えることになります。

NetFlowGigamon

 Gigamonは、ロー・パケット・ストリームと並行してNetFlow統計を実行することで、データ・サンプリングに関連するリスクを排除します。これらの処理能力により、Gigamonユーザーは、より高いサンプリング・レートまたはライン・レートでNetFlow統計を生成することができます。 

NetFlowの生成は、通常は生産ネットワークの一部としてルーターとスイッチによって実行されます。しかし、前述したように、NetFlowは設置されているデバイスにパフォーマンスに影響を及ぼします。増加の一途をたどる需要に対応するために、十分な計算リソースを確保したい大部分の企業にとって、ますます懸念されることは増加するデータ量とネットワーク速度に追いつくことです。

Gigamonはこの課題にどのように取り組んでいますか? メタデータを通して。NetFlowはレイヤ-4フローの生成データを提供しますが、企業はレイヤ-7またはアプリケーション・レベルのメタデータにもアクセスする必要があります。NetFlowを含むGigamonメタデータ生成能力は、パフォーマンスに影響を与えずにサンプリングされていないレイヤ-4およびレイヤ-7メタデータの両方を生成します。

Gigamonでこのソリューションを実施した際に、誤検出の減少、脅威検出までの時間の短縮、セキュリティ・チームの効果的な活用が見られました。Gigamonメタデータ生成とSecurity Information and Event ManagementSIEM)ソリューションを統合することで、セキュリティ違反の可能性がある、またWoSign Secure Sockets LayerSSL)で署名されたサイトにアクセスしようとしているユーザーを含め、特定のドメインであるHypertext Transfer ProtocolHTTP)応答コードで異常なパターンを特定することができました。

 NetFlowは、ネットワークのビジビリティを高める強力なアプリケーションであり、これからもそうあり続けます。NetFlowGigamonメタデータ生成にオフロードすることで、SecOpsNetOpsの両チームは、ネットワーク監視とセキュリティ分析から得られる重要な洞察を犠牲にすることなく、データ量とスピードの増加に対応することができます。 

Original post in English: “What Is NetFlow.”

RELATED CONTENT

CALCULATOR
Customers have saved millions in IT costs. How much can you save?
WHITEPAPER
Pervasive Visibility: A Critical Foundation of Federal Zero Trust Architecture
WEBINAR
Ransomware Loitering Presents an Opportunity for Network Detection
WHITEPAPER
Cybersecurity in a Converged IT/OT/IoT Environment

Back to top