OptiView XG ポータブル ネットワーク分析タブレットを使ってセキュリティ監査を実行する|enterprise.netscout.com

OptiView XG ポータブル ネットワーク分析タブレットを使ってセキュリティ監査を実行する

多くのネットワークは外側からの攻撃に対し高いセキュリティを持つよう設計されていますが、内側からの攻撃に対するセキュリティは確保されていません。しかし国防や金融機関、公共インフラ、コンプライアンス関係組織などに関与するネットワークは、内側からの攻撃に対しても高いセキュリティを確保する必要があります。これらのネットワークは、たとえば、電子盗聴装置を定期的にスィープするような種類の施設に存在します。

これらのネットワークにはフルタイムのセキュリティ問題監視ツールが含まれていますが、セキュリティの専門家は、監査のためのレイヤを追加するために OptiView XG を使用します。フルタイムの監視ツールが提供するものとは異なる種類の、公表されない、ランダムな監査を実行することにより、これらの専門家は不正アクセスをしようとするものに対し追加の不確実性を与えるのです。OptiView XG はまた、継続的なセキュリティ手順の「第三者」チェックも提供します。

幅広いテスト機能(物理層のテスト、パッシブ・モニタリング、装置検出、SNMP/RMON)と、接続テクノロジ(銅線/光ファイバ/無線)を持つ、ポータブルな電池式パッケージの NETSCOUT OptiView XG はこの用途にとても適しています。このメモでは、OptView XG がネットワーク・セキュリティの監査に使用できるテストの種類について説明します。


テストはアクティブ?それともパッシブ?

テストのためのネットワークへのアクセス方法はネットワークのデザインにより異なります。スイッチの各ポートはそれぞれ独立しているため、スイッチはネットワークのパッシブ・モニタリングを困難にします。スイッチ式ネットワークを効果的に監視するため、OptiView XG は、OptiView XG に特に向けられた以外のトラフィックを観察できるような形で接続する必要があります。これを行う最も単純な方法は、ポートのミラー化、つまり SPAN の実施で、選択したポートから OptiView XG のアナライザへ接続するポートへとトラフィックが転送されるようスイッチが指示します。これにはスイッチとスイッチの設定方法についての知識が必要となります。盗聴装置を取り付ける別の方法は、重要リンクについているアナライザのインライン機能を利用し OptiView XG がトラフィックの統計を集め、目的の会話を盗聴できるようにする方法です。これには盗聴装置を設計し最適な場所に設置するための事前の計画が必要となります。一度インストールすれば、監査人が OptiView XG をネットワークへ差し込み、トラフィックの監視と収集を開始するのはとても簡単にできるようになります。


アクティブ・テストは、スイッチ式ネットワーク内ではるかに多くの情報を提供し、OptiView XG の最も強力な機能のいくつかを提供します。しかしアクティブ・テストはネットワーク上の他のデバイスによって発見される場合があり、ネットワーク上の高い技術を持つユーザによって検知されるため、セキュリティ・アプリケーションに悪影響を与える場合があります。これにより、このようなユーザは OptiView XG によって観察される前に不正な活動を停止できるかもしれません。実際にこれはかなり難しい、というのは、OptiView XG がユーザを検知できるころには、相手も OptiView XG を検知できるであろうためです。多くのセキュリティ監査人は自分たちの活動を完全に不可視にすることを望み、アクティブ・テストを差し控えています。

図 1.

図 1.OptiView XG はネットワーク上で完全に「サイレント」となるよう設定可能


ネットワーク・アクセス

ネットワークのセキュリティを確保する最もシンプルで最も効果的な方法の 1 つが未承認デバイスに接続を許可しないことです。これを行う 1 つの方法が、ネットワークへの接続を許可されるハードウェア・アドレスのリストであるMACリストの実装です。他の装置がアクセスしようとしても接続を拒否され「ロックアウト」されます。OptiView XG を使用してこれをテストするのは単純です。MAC アドレスはネットワーク・ポート設定パネルから変更でき、他のデバイスであるかのようにうまく「なりすます」ことが可能だからです。許可されたアドレスは接続でき、その他のアドレスでは却下されることがわかれば、ユーザは MAC リスト アクセスが正常に機能していることがわかります。


さらに洗練されたアプローチは IEEE 802.1x 認証を使用する方法です。この方法ではデバイスがネットワークにアクセスするにはパスワードが必要となります。デバイスは 802.1x サーバの承認を得る間だけアクセスを認められます。アクセスが認められなければ、ポートは閉じ、デバイスはロックアウトされます。OptiView XG は認証証明書を入力できる Windows 認証コンポーネント経由で 802.1x をサポートしています。

図 2.

図 2.OptiView XG 802.1x 設定画面


トラフィック解析

ネットワーク上の異常を探す最も単純で伝統的な方法は、パッシブにリッスンすることです。このモードでは、デバイスは接続上で見えたトラフィックを分析しパッシブに収集します。上述の通り、SAN を実施したり盗聴器を使わない限り、現代のネットワークでは、このアプローチは限定的な視野しか得られません。この方法のメリットは、パッシブであることで、つまり、ネットワーク上の他のデバイスから必然的に検出できない点にあります。以下はこの方法で OptiView XG が検出できる内容です。


アプリケーションとプロトコル

OptiView XG は観察したトラフィックのタイプを異なるレイヤの異なるカテゴリへと分類できます。たとえば、レイヤ 2 では、IP と AppleTalk を分け、レイヤ 3 では TCP と UDP を、高次のレイヤではlayers HTTP、FTP、SMTP などを分類できます。多くのものを探すことができます。まず、最もシンプルなのは、プロトコルの存在です。ネットワーク・エンジニアが担当のネットワーク上で予想外のプロトコルを検出してショックを受けるというのは良くあることです。(OptiView XG の検出結果を疑う人も少なくありません)OptiView XG はどの装置がこれらのプロトコルを送っているか特定することができます。

図 3.

図 3.OptiView XG はレイヤ別にプロトコルを特定


2 つめに、一部のプロトコルはネットワーク上で受け入れられますが、それらのプロトコルがワークステーションから来ているとしたら、それは疑わしいでしょう。たとえば、PC が OSPF や RIP などのルーティング プロトコルを生成することは予想されにくく、会話を傍受しようという試みである可能性があります。3 つめに、このようなフレームのボリュームが疑わしい場合があります。ワークステーションは ARP フレームを生成しますが、定期的に生成する場合や、ボリュームが大きい場合、何らかの感染を示しているかもしれません。同じように、大量の ICMP (Internet Control Messaging Protocol) フレームが PC から送られて来るのは、脆弱性を探すポートスキャンを示唆している可能性があります。

図 4.

図 4.OptiView XG はワークステーションとその他のデバイス間の会話を表示できる


話し手と会話の組みあわせ

誰が誰に話しかけているかを追跡することも、疑わしい活動を見つける良い方法です。OptiView XG は MAC 会話と IP 会話を表示でき、デバイスを DNS 名で表示することまでできます。これにより、ローカルネットワークの外のデバイスに送信しているデバイスはどれで、話しかけている相手のデバイスは誰かを把握することがとても容易になります。


図 5.

図 5.具体的プロトコルを使用して会話をドリルする

Top Conversation テストはブロードキャスト・フレームについての情報を表示します。ブロードキャスト・フレームは、ネットワーク上で起こっていることについて多くを語ることができます。これらはネットワーク全体、すくなくとも VLAN 全体に「ブロードキャスト」するため、盗聴器や SPAN ポートがなくても OptiView XG がブロードキャスト・フレームを見ることができる確率はぐっと高くなります。スイッチやサーバなどのネットワーク・コンポーネントは途方もないブロードキャスタです。しかしエンド・ユーザのワークステーションは、ネットワークに入るときや会話をセットアップする際に通常ブロードキャストのみを生成します。多くのウイルスやアタックは、ブロードキャスト・フレームを使用してネットワーク上の他の装置やその弱点を利用する方法について情報を集めます。このことから、時折ブロードキャストを生成するユーザは完璧にノーマルです。定期的に生成するユーザを疑いましょう。


図 6.

図 6.ブロードキャスタと生成されたブロードキャスト・パケット数のリスト


自由文字列照合 / パケット・キャプチャ

デバイスから出される実際の会話を捉え、デコードすることは、何が起きているかを解読する究極の方法です。OptiView XG ではこれを簡単に実行できます。関心のある装置、会話、またはプロトコルを特定したら、画面に 2 回触るだけで、フレームをキャプチャし保存できます。オプションの ClearSight™ 分析ソフトを使うと、フレームをデコードし、中に入っているものを正確に見ることができます。

暗号化された会話をデコードするには、その他のツールも必要となる点に注意してください。


図 7.

図 7.OptiView XG パケットの設定アクティブなデバイスとプロトコルのリストから関心のある分野を選択すると、これを自動で設定することもできます。

フレーム内のユーザ定義語句やパターンを見てフレームをキャプチャするよう OptiView XG を設定することで、パケット・キャプチャも向上します。フレーム内の事前定義された場所で、照合を実行するツールは他にもありますが、OptiView XG の「自由文字列検索」はフレーム内のあらゆる場所でパターンを発見することを可能にします。


アクティブ・テスト

アクティブ・テストは OptiView XG の視野を大きく広げ、パッシブ・モニタリングでは見つけられない多くのものを検出できます。実際上唯一のマイナスは、アクティブ・テストは、攻撃者に対し、自分たちが捜査対象になっていることを知らせてしまう可能性がある、ということです。ただし送信されるトラフィック・タイプの量は少なく、OptiView XG はネットワーク管理社会の外ではあまり知られていないため、アクティブ・テストで警報が鳴る可能性はあまりありません。


デバイス検知

トラフィックをリッスンすることは、ネットワーク上に誰がいるかを見るには役立ちますが、この方法には 2 つの大きな欠点があります。1 つめは会話をしないデバイスは検知されないという点です。2 つめはスイッチ式ネットワークでは、会話をするデバイスであっても、盗聴器経由の無線通信路に接続したり、ミラーしているポートを使用しない限り、検知されません。

OptiView XG 内のアクティブ検知テストはこれらの問題を克服しました。OptiView XG は多くのテクニックを使ってネットワークを探査し、ネットワークのほとんどすべてのデバイスから応答を取り出します。(OptiView XGのクエリに応答せずにネットワークに接続することは理論的には可能ですが、極めて高い技術が必要となり、ほとんどのデバイスにとって参加は不可能となります)。

図 8.

図 8.OptiView XG 検知画面


検知されたデバイスは、サーバ、プリンタ、無線装置などのタイプ別に分類されます。これらのデバイスを既知のデバイス・リストとすばやく照合し、レポートを生成することができます。検知した装置を CSV ファイルにエクスポートし、検知情報を分析のため別のシステムにインポートすることもできます。ネットワーク上に予想外のサーバや無線装置が有る場合は、ただちに調査する必要があります。

オペレータは OptiView XG の検知範囲を制御できます。これにより検知リストのサイズのほか、所要時間と生成するトラフィック量を制御できます。この種の検知は通常、個々の VLAN ごとに行われますが希望する場合は拡張できます。


ネットワーク・マッピングと未知のスイッチ

ネットワーク・マップはネットワーク内と相互接続しているデバイスをグラフィカルに自動表示します。ネットワークのどこにデバイスがあり、どのように接続しているかが正確にわかるためとても有用です。たとえば、特定のサブネットを選択すると、そのサブネットが施設、建物、建物のフロアのどこにあるかを示すマップが作成されます。[レポート] ボタンを選択すると、Visio 描画ファイルとして保存できるネットワークのグラフィカル・マップが瞬時に作成されます。
スイッチ、ルータ、ホスト、その他の装置は色分けされて表示されるため判別が容易で、リンク表示も色分けされます。デバイスとリンク上に表示される情報はカスタマイズが可能です。マップは「未知のスイッチ」の存在も表示します。これらは管理 (SNMP) 機能のない承認済の相互接続装置である可能性もありますが、不正な装置かもしれません。

図 9.

図 9.ネットワーク・マップ



スイッチ分析

OptiView XG のユーザが、ネットワーク内のスイッチにアクセスできる場合、OptiView XG のデバイス詳細テストを使用してさらなる可視性を得ることができます。アクセスするには 2 つの条件を満たす必要があります。1 つめはスイッチの管理アドレス(ポート)が OptiView XG が接続しているがネットワーク上で利用可能でなくてはなりません。ワークステーションはスイッチに接続するより、実際には別の VLAN 上に置かれていることがしばしばあります。2 つめに OptiView XG を、コミュニティ文字列、つまり、スイッチ内の SNMP (簡易ネットワーク管理プロトコル)へのアクセスに必要なパスワードを使ってプログラムする必要があります。両方の条件が満たされた場合、以下のテストを実行できます。

デバイスがネットワーク上のトラフィックを見たり生成したりするには、スイッチのアクティブ・ポートに接続している必要があります。OptiView XG は検索し、アクティブ・ポートのリストを得ることができます。これを前回のテストで得たアクティブ・ポートの「既知の正常な」リストと照合してもよいでしょう。前回のリストにはなく、現在アクティブなポートは、ネットワーク上の新しいデバイスを示しています。

OptiView XG はあるポートにどのデバイスが接続しているかの詳細を表示することもできます。通常 1 つのポートを使用するのは 1 つのデバイスのみです。複数のデバイスがある場合は不正なデバイスかもしれません(図10を参照)。これにより、ポートを使用しているのが 1 つのデバイスである場合も、不正なデバイスを容易に追跡できるようになります。誰かが管理されていない相互接続デバイスをネットワーク上に置いた場合(無線または有線の複数の MAC アドレスが接続している)これらの装置は「管理されていない装置」と表示されます。これらの上流にあるスイッチ・ポートを特定し、追加捜査のためポートをシャットダウンすることができます。OptiView XG はポートの利用水準も表示するため、上述のような、疑わしい、過剰なブロードキャストを生成しているデバイスを追跡する上で有用です。

図 10.

図 10.OptiView XG は各スイッチ・ポートに接続しているデバイスをリストすることができます。


デバイス詳細

デバイス詳細テストは特定のデバイスについて MAC アドレス、DNS 名、対応プロトコル、IPv4 と v6 のどちらに、または両方に対応しているか、などの情報を引き出すことができます。脆弱性を評価するため、ポート・スキャン(IPv4 または v6 のどちらか)を実行することもできます。

ワイヤレス

無線ネットワーク設定は、大きな柔軟性と便宜性を提供しますが、新たな脆弱性ももたらします。OptiView XG はこれらの脆弱性の発見に役立ちます。

セキュリティを設定していない無線アクセス・ポイント (AP) はネットワークの開いているドアになり得ます。OptiView XG はネットワークの無線と有線の両側で AP を検出できます。AP が不正なものであれば、有線側ではスイッチ詳細データを利用して特定のポートまで追跡することができ、無線側では検出機能を使用して物理的に追跡できます。AP のセキュリティ設定も検証することが可能です。

図 11.

図 11.OptiView XG は無線装置を検出し、それらを分類できます。


OptiView XG はネットワークの無線側でも、有線側と同じように装置を検出できます。デバイスのログを保存し、すばやく照合して、前回の監査以降の新しい装置を特定します。


スペクトラム解析

OptiView XG のソフトウェア・オプションは、セキュリティ・プロフェッショナルが必要とする Wi-Fi の隠された世界における視野を、目に見え、理解しやすい形でスペクトラムを見る機能を提供します。これにより、Wi-Fi ネットワークのパフォーマンスとセキュリティに影響を与えるすべての RF 源と無線装置を、それらの装置が承認されていない一時的なものであってもなお、目で見て監視、分析し、管理することが可能となります。このスペクトラム分析ソフトは専用品の代わりとなるものではありませんが、干渉しているデバイスや、2.4 と 5GHz バンドで送信しようとしているデバイスを表示します。

SNMP

SNMP は OptiView XG が上述のスイッチ内の情報にアクセスできるようにしますが、それもセキュリティ・リスクになり得ます。装置上で SNMP を有効にし、コミュニティ文字列(パスワード)をデフォルトのままにすると、装置はあらゆる種類のアタックに対し開かれた状態となり、完全なプログラム変更も可能となります。これらの問題を防ぐため、ネットワーク管理者は以下を組み合わせて実装します。

  • SNMP を完全に無効にする (管理者が装置を管理する機能も制限されてしまう)
  • SNMPv1 または SNMPv2 からよりセキュリティの高い SNMPv3 へアップグレードする
  • コミュニティ文字列をセキュリティの高いものへ変更する
  • SNMP エージェントへのアクセスを、別の管理 VLAN 経由でのみ許可する
  • SNMP エージェントへのアクセスを、事前定義されたデバイス・リストにのみ許可する
  • OptiView XG はこれらすべてをテストし、検証できます。


    IPv6

    IPv6 がエンタープライズ・ネットワークで広く採用されるのはいつになるかを誰も予見できないようですが、IPv6 は実際にすでに存在し、さまざまな製品やオペレーティング・システム内に組み込まれ出荷されています。このような新しいデバイスでは、ユーザはプラグインさえすれば、ネットワーク上で IPv6 を使用できます。「すべての新しいハードウェアは IPv6 対応であること」と定めた連邦調達規則により、政府機関の導入は加速しています。これにより政府ネットワーク上の IPv6 マシン数は飛躍的に増大するでしょう。

    OptiView XG はすべてのテストを IPv6 ネットワーク上で実行でき、IPv6 のセキュリティ上の懸念に対応するために設計されたテストも含んでいます。

    セキュリティ担当者が最初に知りたいと思うのは、ネットワーク上にどれほどの量の IPv6 トラフィックがあるか、という点でしょう。上述のパッシブ・プロトコル・テストにより、IPv6 トラフィックが存在するか、どのデバイスが生成しているかは瞬時に判ります。Top Conversations を使用することにより IPv6 を使ってお互いに通信している装置を見ることができます。

    次は、一連のアクティブな IPv6 テストです。IPv6 デバイス・テストは前述のようなアクティブ・テストを行って IPv6 に対応するすべてのデバイスを検出します。この際 IPv6 トラフィックをアクティブに生成しているか否かは関係ありません。

    次はルータ告知テストです。存在するはずのない非ルータ告知サブネット・アドレスは、ルータまたはホストの設定エラーにより発生しているか、悪意のある活動を示唆している可能性があります。嘘のルータ告知を送付することにより、攻撃者はルータのふりをし、サブネット上の他のすべてのホストはサブネットを離れるトラフィックを攻撃者のホストへ送信し、中間者攻撃(MITM)となります。


    図 12.

    図 12.OptiView XG IPv6 IPv6 テストセット – ネットワーク上で検知したデバイスをリスト


    最後はトンネリング・レポートです。トンネリングは IPv6 を IPv4 ネットワーク上で動作可能にします。トンネリングはすべての OS でサポートされており、単体で有効にできることもよくあります。トンネリングそれ自体は問題ではないのですが、アドレス非公開のまま暗号化された状態で運用されるため、ネットワークに脆弱性を与える場合があります。トンネリングは検出されないままファイアウォールや侵入検知システム (IDS) を経由することがよくあります。[トンネリング] タブにタッチすると OptiView XG はトンネリングを使って通信しているすべてのデバイスと使用しているトンネリングの種類を表示します。

    使用しているトンネリングのタイプと、通信相手を見て、リスク水準を評価できます。ローカル・ネットワーク上の 2 つのデバイス間のトンネリングは疑わしくはありませんが、ネットワークの外のデバイスとトンネリングを使って通信している場合はリスクが高いと推論されます。Teredo トンネリングはインターネットに接続するためのホーム接続として一般的に使用されますが、ファイアウォールにセキュリティ・ホールを作り、NAT トラバーサルが可能となります。

    イントラネット内のローカル・トンネルを見つけた場合、ほとんどリスクはありませんが、トンネルを使うローカル・デバイスのエンドポイントがネットワークの外にある場合は、それはおそらくはファイアウォールや侵入検知システムに保護対象とならないイントラネットから内部ネットワークへのアクセスを可能にします。


    レポート

    上述の情報を提供するほか、OptiView XG はそれらの情報のレポートを生成し簡単に保存して将来の監査時に照合ができるようにします。レポートは PDF と HTML 形式の両方で作成され使いやすいようにハイパーリンクがつきます。これらのレポートはリモート UI を使って OptiView XG 上やローカル PC に保存できます。

    OptiView XG セキュリティ

    OptiView XG は安全な環境における業務をサポートするよう設計されています。OptiView XG 上のユーザ アカウントはテストや装置に保存されるパスワードなどの機微性の高い情報へのアクセスを制御します。各アカウントには、必要なアクセスレベルを設定する必要があります。必要な場合はリモート・ユーザ・インタフェース・アプリケーションをクライアント・コンピュータにインストールし、専用の通信プロコル経由で遠隔制御を行います。

    図 13.

    図 13.OptiView XG ユーザ・アカウント設定画面


    OptiView XG はセキュアなクライアントにもなるよう設計されています。タッチスクリーンまたは管理インタフェ-スを使ってアクセスした場合は、ネットワーク・ポートはロック・ダウンされ、OptiView XG 上の Windows インストールは切り離されて、監視対象のネットワークからアクセスできなくなります。これにより OptiView XG がウイルスに感染したりハッカーに攻撃される可能性を排除できます。


    OptiView XG が使用する SSD ハードドライブは、装置の底にある 2 つのネジをはずすだけで簡単に取り出せます。これによりセキュリティ担当者は、現場で確保した機微性の高いデータの入った OptiView XG(ハードドライブ)をとりはずして、ネットワークの完全な監査を実施することができます。次に監査を行う際は、単に保管したハードドライブを元のように OptiView XG へ取り付け、前回の監査結果とネットワークの現在の状態を比較できます。

    別の方法として米国政府機関と一部の条約国は、OptiView XG の「米国国防総省SECURE」バージョンを購入することができます。この製品は堅牢化された OS と運用ソフトを特徴とし、アメリカ国防情報システム局 (DISA) より相互運用性と情報保証 (IA) についての認証を得た後、米国国防総省 (DoD) 統合機能認定製品リスト (UC APL) に指定されました。


    OptiView XG セキュリティ・テストの概要

    テスト / 機能 テスト内容 備考
    MAC アドレス変更
  • MAC アクセス制御セキュリティをテスト
  • MAC アドレスのなりすましを許す
    802.1x ログイン
  • 802.1x のセキュリティをテスト
  •  
    プロトコル
  • ネットワーク上の承認されていないプロトコルとアプリケーション、さらにそれらの送信元を見つける
  • 予想外のプロトコルを送信するデバイスを検知
  • 予想外のプロトコルを大量に送信する(ブロードキャストする)デバイスを検知
  • IPv6 トラフィックを検知
  •  
    Top Conversation
  • ローカルなワークステーションが話しかけている相手を突き止める
  • IPv6 会話を見つける
  • オフ ネットワーク装置のネットワーク名
    パケット・キャプチャー
  • 詳細な分析(デコード)のためパケットを収集する
  • 自由文字列検索によりフレーム内の任意の場所で任意のパターンを見つける
    デバイス検知
  • ネットワーク上のすべてのデバイスを一覧化する
  • SNMP 装置がネットワークからアクセス可能かどうかを判断する
  • スイッチやルータの先の可視性:送信を行わないデバイスを検知する
    デバイス詳細 – インタフェース
  • スイッチ上のすべてのアクティブなポートを検知
  • 各ポートに接続するデバイスを検知
  • デバイスがどこに接続しているかを検知
  • SNMP セキュリティ設定を検証
  • 複数のデバイスが接続するポートを検知

    OptiView XG セキュリティ・テストの概要(つづき)

    テスト / 機能 テスト内容 備考
    デバイス詳細 – 概要
  • デバイス名、対応プロトコル、IPv4 と v6 のサポート
  • ローカル・ネットワークの外のデバイスも検索
    無線 AP
  • AP をリストし保護されているか否か判断
  • 承認されていない AP を見つける
  • 802.11a/b/g/n/ac をサポート
    無線クライアント
  • セキュリティ保護されていないユーザを見つける
  • 承認されていないユーザを見つける
  • 802.11a/b/g/n/ac をサポート
    無線スペクトラム
  • 802.11 バンド (2.4GHzと5GHz) で運用されている装置を見つける(干渉源または非802.11無線装置)
  •  
    IPv6 デバイス
  • ネットワーク上に IPv6 装置が動作しているかどうかを判断する
  • スイッチやルータの先の可視性:送信を行わないデバイスを検知する
    IPv6 ルータ告知
  • ルータのように行動する装置を検出 (なりすまし装置の可能性)
  •  
    IPv6 トンネリング
  • トンネリングを使用している装置
  • トンネリングを使用している会話の相手
  •  
     
     
    Powered By OneLink