Free NetFlow Resources

これはあなたのネットワークがbotnetの一部であるかどうかを特定するCiscoネットフロー使用に関する2つのパートブログの最後のパートです。
パート１ではDDoSアタックの簡単な概要や、リクエストでウェブサイトを埋め尽くすbotnetによってどのようにそのアッタクが引き起こされるか、またどのようにウェブサイトをアクセス不可な状態にするかなども説明しました。
それはbotnetの一部になり得るただのホームコンピュータではありません。もし、ユーザーがネットワークを危険にさらす悪意のあるウェブサイトをうっかりダウンロードしてしまったら、あらゆるワークコンピュータはセキュリティー侵害をうけることになります。どうやってCiscoネットフローがＤＤoSアタックを特定するのに使われるのでしょう。
フロー活動を監視
　Ciscoネットフローを使用しているネットワークトラフィック監視が疑いのある活動を特定する手助けとなります。全てのルータが動作してからの全体のスパイクがボリュームを流すかどうかを見るにはScrutinizer Vitals を使用してください。
大量のフローを外に出しているルータを特定したら、だれがそのフローを受信しているのか見極めます。
フロー分析を使用
外部ソースからの脅威に対してのスキャンは内部コンピュータがbotnetの一部かどうか特定するのに使われます。Scrutinizer機能のフロー分析モジュールはそのような活動に対してのインターネット内部・外部全てのコネクションを監視するインターネット脅威モニタ です。
ＲＳＴ/ACK送信先アルゴリズムやＳＹＮバイオレーションアルゴリズムと使用時のフローAnalyticsはネットワークワームを捕まえる手助けとなるでしょう。
「フローAnalyticsでのネットワーク活動Analysisは我々のネットフローAnalysis　ソフトウェアの重要な一部分です。」とScrutinizer製品マネージャであるMichealは言っています。私たちのソリューションは何百ものルータや精密なUnique　Indexがホストごとにコンパイルされているかを保障するdeduplicateフローに対してのネットワーク脅威のためのもののようです。
 
DDoSアタック活動は巧妙に設計された数学的アルゴリズムで特定されます。
Botnetに関するさらなる情報へのリンクです。

Cisco Nexus 7000 ネットフローサポート
 
先日のCiscoネットワーカーズ‘CiscoLive’ショーで、Nexus 7000のネットフロープロダクトマネージャであるYuan-Chi (Marty)と話す機会がありました。このような人たちと写真を撮るのが好きです。
 
Ciscoテクノロジーパートナーステータスの一環として、最新のCiscoハードウェアのフレキシブルなネットフローのような最先端のテクノロジーを私たちがサポートしているかどうかを確認するためにCiscoのネットフローについてのキーパーソンと働く機会があります。Nexus 7000をぜひ見てみて下さい。この製品についての素晴らしいオンラインビデオがあります。
 
基本的に、このハードウェアがフレキシブルなネットフローを追い出すと、ScrutinizerはNBAR、VLAN IDs、MACアドレス等の様々な詳細を運ぶことができます。
 
とても待ち遠しいです。

数ヶ月前、Nathanは、NSELでより深く観察するために私たちを招待してくれました。NSELは、ASAファイアウォールからネットフローをエクスポートさせます。彼は、ネットフローのためにASAをどのようにイネーブルにし、設定するのかを示しました。
基本的なネットフローは、異なる二つのフローのように二つのエンドポイントの間でアップストリームとダウンストリームトラフィックを記録します。ASAデバイスのケースでは、多くの双方向フローは、既に内部で集合していて、シングルフローだと思われます。ですので、フローの両送信先を表示するASAファイアウォール上では、ネットフローによって、フロー記録を報告しました。
今日、各テンプレートが何を示しているのか概要をお話します。
ネットフローエクスポートのためにASAを設定するとき、ネットフローコレクターを通じて、どのイベントを監視したいのかを選択します。現在、私たちが監視しているイベントは、3種類です:

Flow Create　(フロー作成)
Flow Denied　(フロー喪失)
Flow Teardown　(フロー分解)

Flow Create イベントは、ASAデバイスによってフローが作られることを意味します。このイベントは、ASAが許可されたフローのログです。データの記録は、コネクションのソースと送信先をはっきりと召集し、この情報は、フローの送信先を決定するのに便利です。フロー記録のoctetTotalCounts フィールドは、フローを作成する最初のパケットを通じて、何バイト通過したのか表示します。いずれのフロー作成記録も、非常に大きなバイトがあるべきではありません。
Flow Denied は、フローが作成された最初の場所から明らかに喪失したことを意味します。2種類の喪失したイベントを確認するでしょう。喪失したXLATEのないイベントは、そのイベントが喪失し、ソースと送信先IPアドレス、完了しているポートは、変換されません。これは、NATアドレスを使用するときの典型です。
Flow Teardown イベントは、アプライアンスのフローデータベースの中にある現存フローが既に終了していることを表示しています。それは、「自然に」起こること(TCP: fin/fin-ack/ack, UDP: ファイアウォールのタイムアウト)、または、検出された流れの中ほどに問題を抱えるフローである可能性があり、ファイアウォールが止まります。分解イベントは、octetTotalCounts フィールド内の全フローの合計バイト数(インバウンドとアウトバウンドを含む)を示します。
私たちのネットフローとsフロー分析ツールを使用すると、ネットフローテンプレートを見ているときに「Graph」と言う単語をクリックすると、ネットフローを表示させることができます。ここに、どのようにScrutinizer　v7がテンプレートを表示させているのかお見せします:

「Flow View 」をクリックすると、全てのテンプレート上の生フローデータにもアクセスすることが可能です。Flow Viewは、テンプレート内に含まれる全フィールドを表示します:

Flow View ウィンドウ内から、選択したフィールド上で、検索することが可能です。上記のフローテンプレートで、そのユーザ用にトラフィック分析をするめに特定のユーザネームを検索することが可能でした。
ASAファイアウォールからネットフローを集めることへの興味は、最近の大変ホットな話題となっています。Plixerでは、その全てを扱うネットフローとsフロー分析ツールを開発しています。

外のboxについて考えることは革新的なアイディアを生み出します。一方でScrutinizerのネットワークマップはより簡単にスポットに密集したリンクを目で見るあなたのネットワークのトラフィックフローを作ることができます。加えて、マップへの視覚定義は数々の組織によってユーザーがより使いやすく理解しやすいものとなるでしょう。
どうやってネットフローデータに一味加え、ネットワーク使用マップに息吹を与えていますか。驚くべきネットワークマップを作成するためにネットワーク監視ツールでホームデザインのために作られたツールの結合を試みて下さい。

例えば,Floorplannerを使うとオフィス空間の家具を含めた2Dや3Dのフロア構想を作成することができます。そしてそこにScrutinizerネットフローやｓフローAnalyzer のようなネットワーク管理ツールを追加します。Scrutinizerのネットワークマップツールで, 各デスクトップ、プリンタ、ウェブカメラなどにワイヤー収納のスイッチやルータからリンクを追加できます。
 

実行したもののレビューがすぐにできますか。NOCの大スクリーンモニタに表示された下記の例のような３Dオフィスネットワークマップを想像して下さい。感動しましたか。
 
あなたのNOCに表示されたこのマップでネットワークの利用が全て見ることができます。
ネットワークが遅い？このマップとフロアプランで、誰が帯域幅を占領しているのか彼らがどこにいるのか、ネットフローAnalyzer ツールで監視することができます。彼らのリンクに入り込み、Ciscoネットフローテクノロジーは彼らが何をしているのか教えてくれます。

私たちは最近新しいScrutinizer 7.0をリリースし、新しいネットフローラップビデオを撮影したばかりです。とても忙しい週でした。
 
ネットフローがASAでどのように操作されるのかを尋ねる声を耳にしました。ScrutinizerがASAからのフローを操作するので、ネットフローがどのようにASAで操作されるのかを説明したCiscoからの情報を掲載したいと思います。
 
“ASAネットフロー
 
ASAはネットフローのバージョン９のみをサポートしていて、バージョン５をサポートする予定はありません。ASA上のネットフローはイベントドリブンです。プラットフォームのルーティングとは違い、徐々に起こるアップデートを送信しません。NSEL記録はフローの作成もしくは解体時、またはACL否認イベントの間にのみ送信されます。これがリアルタイムでフロー情報を見るためにたくさんの方が予想する問題ですが、残念ながらネットフローはASA上でそのように動作しません。フローが解体され、NSELが生成された後にのみ転送されたバイトの総計を見ることができます。また、プラットフォームのルーティングとは違い、ToSビットやTCPフラッグを投入しません。最後に、ASA上の全てのフローは双方向性です。フローの全てのカウンターはA->BもしくはB->Aの方向で流れているトラフィックのために増えるでしょう。
 
制限
 
・    テンプレート更新記録はデータ記録の数ではなく、時間のインターバルに基づいて送信されます。（ASAテンプレートインターバルを設定する方法を学ぶ）
・    ネットフロー記録は収集されたデータとしてASAにおいてリアルタイムで見ることはできません。
・    ネットフローは動作の著しい効果を持っていますが、同じ情報の通常のsyslog動作より劣るべきではありません。メモリ内で上昇があっても、最小であるべきです。重複したsyslogを持つ設定されたネットフローは著しい動作のヒットを起こすことができます。
 
たくさんの方々はCiscoルータ上でのネットフローの操作に慣れ親しんでいて、ネットフローを実装することによって誰がネットワーク上で帯域を使用しているのかを知りたいと思っています。残念なことに、ASA上のネットフローはリアルタイムでデータを見る機能を提供していません。データはフローが終了し、分析された後に収集されることができますが、ネットフロー記録のリアルタイムな閲覧はサポートしていません。
 
嬉しいお知らせはASAからのトラフィックパターンを見ることができるようになり、ASAからのネットフロー情報を活用することができるようになったということです。Syslog監視をLogalotと一体化させて全てのASAイベントをより閲覧できるようにすることができます。

無料のScrutinizerネットフローとsフローアナライザーバージョン７のリリースを祝うためにCiscoネットワークアドミニストレータの３つの無料で素晴らしいリソースを紹介したいと思います。
 
Cisco TechWise TV
Cisco TechWise TVはビデオカメラの前で２人のおもしろいCisco社員が異なるテクノロジーを解決する番組です。招待された特別ゲストに加え、CiscoソリューションのエキスパートであるRobb BoydとJimmy Ray Purserが下記のようなネットワーク管理のトピックについて話し合ったり、デモンストレーションしたりします。
 
＊    成功したVoIP移動；このエピソードはジッター、待ち時間、パケット減少やセキュリティについてです。（Ciscoネットフローは全てのVoIPトラフィックをサポートしており、PlixerのWebNMはどのベンダーのVoIPサービスも監視します。）
＊    見えない攻撃者：ボットを止める：このエピソードはハッカーがネットワークに侵入するために使うツールやテクノロジーについてです。（２つのパートに分かれているブログのネットワークがボットネットの一部かを確認するためにネットフローを使用を読んでみて下さい。）
 
TechWiseテレビエピソードの台本はCisco.comで閲覧可能です。バイトサイズでのTechWiseテレビポッドキャストはこちらからダウンロード可能です。ユーザはビデオを見るためにCisco.comで登録しなければいけませんが、ポッドキャストはiTuneでダウンロード可能です。
 
Cisco Pressのポッドキャスト及びビデオ
 
その他にもCiscoネットワークアドミンの教育的なビデオやポッドキャストがCisco PressのInformITサイトでネットワーキングシリーズの一環として無料で提供されています。ビデオやポッドキャストはCiscoのネットワーキングバイブルであるTCP/IPルーティングVolume 1及びVolume 2の著者であるJeff Doyleのような良く知られたCisco Pressの著者によるインタビューです。最近の下記のようなトピックがあります。
 
＊    Cisco ASA：全て含まれたセキュリティプラン：Omar SantosがCiscoの適応可能なセキュリティアプライアンスについての概要を語っています。（こちらでASAでどのようにネットフローを操作するかについても読んでみて下さい。）
＊    IPv6について学ぶための方法：Chip PopoviciuがIPv6トレーニングの重要性について語っています。（IPv6は無料のScrutinizer v7でサポートされています。）こちらでIPv6用のCiscoルータでどうやってネットフローを設定するかを学んで下さい。
 
これがこのブログシリーズのパート１です。オープンソースのツールやユーティリティ、またPlixerによって使われているいくつかのとても良い無料ツールを来週紹介しますので、それもぜひ読んで下さい。

月曜日はScrutinizer v7.5発売日だったのでとても良いスタートが切れました。一番の目玉の新機能はMatrixです。 使いこなしてみて下さい。IPアドレスをクリックするとリンクの色の変化に気付くはずです。とてもすばらしいし、Scrutinizerは現在この様にデータを表示できる唯一のネットフローAnalyzerです。
とにかくこのブログは詳細データを探していたお客様ととやりとりした通信についてです。
・複数ルータを介して
・特定のサブネットで
ScrutinizerはおそらくフィルタのためのネットフローとSフローの中ではよい商品の一つです。 Scrutinizerがあると詳細データを入力したり出力することが可能です。 It allows you to include or exclude specific data.  このフィルタをチェックして下さい。

リストの中で、ネットフローｖ9ではとても重要な特定のネットフローテンプレート同様、特定のアプリケーション（NBAR含む）のフィルタを追加できることに注目して下さい。 TCP flagsのフィルタ、異なるルータ特にABC等からの複数インタフェース追加、サブネットや特定のプロトコル、Scrutinizerでさえ追加できます。
ソフトウェアが活用できるようにデザインされる際、どの様にフレキシブルネットフローがどれだけ感謝されるかデモするのが好きです。
ネットフローからのMAC addressesを探しているなら(フィルタリストには表示なし)フロービューを使用することができます。ただただ見事です。
電話で対応したお客様の為にフィルタと選択されたフィルタのレポートを作成しました。 (残念ながらホストとIPアドレスにブロックされてしましました。
上の図は3つの異なるルータから3つのインタフェースを追加し、24.0.0.0クラス　Aサブネットのホストにフィルタされました。このことで助けが必要だったら電話して下さい。ネットワークトラフィックAnalysisには良いフィルタが必要でScrutinizerはその条件を満たしています。

上半期の企業環境におけるセキュリティ脅威はConficker ワームだったと「Security Intelligence Report (SIRv7)」でMicrosoftは言っています。
上の地図は世界中の感染場所を表しています。Malicious Software Removal ツール実行1000回ごとに、排除されたコンピュータの数を表すCCMと呼ばれるメトリックで発表されました。
 
MicrosoftSIRv7レポート
SIRv7レポートで, Microsoftは2008年下半期から2009年上半期にかけて、企業環境でのワーム感染の数は2倍になったと言及しています。このことで、ワームは5位のよく出くわす脅威から2位になりました。
Microsoftのスマートスクリーンフィルタは2008年下半期の35％から2009年上半期の44％の上昇を検知した多機能潜在的に厄介なソフトウェアの量を決定する手助けをします。SIRv7レポートの統計に基づくと、Microsoftの独自評価はセキュリティ測定はダウンロードする前にモールウェアを停止している、としています。
ネットワーク活動分析
会社は追加のホームセキュリティ測定を提供するソリューションによって利益を得ることができます。ネットフローのかしこい使用は異常トラフィックパターンを検知したり内部ネットワークのワームの拡大を止める効果があります。Plixerが行うフロー分析はbotnets、ワームや他の脅威のようなモールウェアを検知するアルゴリズムで届けられます。一方で対ウイルスソリューションはコンピュータの感染を知るのに役立ちます。Flow 分析は内部ネットワークですで多く起こっている問題を探しています。フロー AnalyticsでのScrutinizerは引き続き起こるネットワーク活動監視でネットワークトラフィック分析を統合するネットフローとSフローソリューションの一つです。IDSか IPSデバイスは普通、インターネット接続のみを監視するので、ScrutinizerはワームやネットフローとSフローをエクスポートできる全ネットワーク接続のその他のトラフィックパターンの監視に使用することができます。