Stephen Coveyのような人間は私を元気づけてくれます。彼の“非常に効果的な人々の7つの習慣”という本を読んだことがありますか。あれはとても素晴らしい本だと思います。あの本を読むと今がもう当然ネットフローとsフローのレポーティングツールを区別することについてブログを書いてもいい時だと信じることができます。

 

1.            全ての記録、全てのフロー、全ての時間

 

全て、もしくはほとんどのネットフローレポーティングソリューションはトップNのレポートのデータだけを保存します。Scrutinizerは全てのフロー、全ての記録、全ての時間を1分間隔のテーブルで保存します。フローは一つも見落とされません。時間のさらに広い間隔(e.g. 5分間、30分間、2時間、12時間、1日、そして1週間)のロールアップは統合後の以前の間隔のトップ100,000ものフローを使って作成されます。これはどのベンダーに比べても多いです。なぜそんなにもあるのでしょうか。なぜなら、あなたが知っているトラフィックの検索及び予想された結果は特定されたタイムフレームのネットワーク上でしかなかったからです。私たちはトップNのフローはもちろん、下位Nも、そしてその間にあるものも全て記録することができます。

 

2.            計ることができますか?

 

一つのネットフロー&sフローコレクターは1000以上のルータ、スイッチやサーバから受信することができるべきです。この問題は通常、一つのコレクターにエクスポートするルータの数ではなく、フローの総合的な量です。3000以上のインタフェースが一つのScrutinizerインストールに現れるのを見たことがあります。しかし、まだ十分に大きくないのでしょうか。Scrutinizerは数十のコレクターから一つのインタフェースを経由して全てのインタフェースを表示するようにすることができる分散された機能があります。それ以外に計ることにはどのような意味があるのでしょうか。

 

・    ツールによってClass A IPグループとフィルタを定義できるべきです。

・    IPグループやサブネットレポーティングでサブネットや部門を越えたレポーティングがIPアドレスの範囲をグループ分けすることによってできます。

・    ソフトウェアは1つのルータから一秒間に少なくとも3000のフローを収集することができるべきです(e.g. 一分間に200,000フロー以上)。そしてフロントエンドがウェブブラウザをタイムアウトすることなしにデータ上でレポートできるようにします。

・    フィルタリングや検索が全てもしくは選択したいくつかのルータやスイッチにわたってできるべきです。

・    各ルータ・スイッチの各間隔のトップ100,000コンバセーションを統合します。通常コレクターは5分間、10分間、30分間のロールアップを作成する際に、数百もしくは数千しか保存することができません。

 

3.            フローに気をつける

 

・    フローアナライザーはいつ長期のネットフローが到着したかを表示しますか?長期のフロー(i.e. 一分間以上)はトレンド内で正確でないスパイクを引き起こす可能性があります。

・    sフローとネットフローレポーターはいつ超過しているかそしてフローをドロップするべきかを表示します。

・    コレクターはフローがルータやスイッチによってドロップされたかどうかを確認するための連続番号を監視しますか?

・    ネットフローコレクターは各ルータのIngressとEgressコンフィギュレーションの不一致を処理することができますか?

・    ネットフローアナライザーは同じルータに出入りするフローを比較することによってポリシーコンフィギュレーションを確認するCBQoSを助けることができますか?基本的に、受信されたフローのingressそしてegressのDSCPもしくはDiffServ値を表示するべきです。

 

4.            ネットフローソフトウェアは革新的か

 

・    開発グループはIPv6、NSEL、そしてフレキシブルなネットフローのサポートしている業界を初めに表示していますか?

・    ネットフロー連続番号の重要性は日に日に増しています。

・    フローを表示するユニークな方法を実演していますか?

-マトリックスとフロック

-クリック可能なリンクを持つグーグルマップ

-フレキシブルなネットフロー、ネットフローイベントログ、ネットフローセキュリティイベントログ

-Host to Host、コンバセーション、接続等のユニークなレポーティングテクニック

-最終的なカスタマイズを許可する固有マッシュアップを作成するためのMyView

・    Host to Host、接続、コンバセーション、未加工フロー、アプリケーション、既知ポート、ToS値等の重要なレポートがあります。それらはWiresharkのような分析を行う際に必須となります。

 

5.            フロー解析を使用したネットワーク動作分析

 

一つのレポート内で選択されたデバイスにわたるトップアプリケーション、ホスト、フロー、カントリー、ドメイン等

 

・    可能な計画された内部アタック(e.g. SYN、XMAS、FIN等)及びConfickerのようなワームを見つけるスキャンの通知

・    フローの複製

・    閾値を持つ保存されたレポートを経由したものへのアラーム

 

6.            良いサードパーティ統合を持つ最良のタイプ

 

・    マップ上にサードパーティアイコンがあります。

・    マップ上にダブルリンクがあります(e.g. 一つは使用のため、もう一つはVoIP MOS、パケット減量、もしくはミッター)。

・    他のサードパーティアプリケーションへの便利なリンクを提供します。

・    グーグルマップ

・    ほとんどのインタフェースがURLベースなので、サードパーティページから起動させることができます。またベンダーがフレームワークやソリューション一式にロックします。

 

7.            インタフェースは未加工フローへ到達するのを許可しますか?

 

時々WireSharkを使ってできるように掘り下げる必要があります。未加工フローへのアクセスはパケットアナライザーを急に使い始める前に念入りに調べる必要がある場合、危機的です。Scrutinizerのフロービューはエクスポータによって送信されたフローの全てのフィールドを点検させてくれます。フレキシブルなネットフローでさえもサポートします。

 

概要

 

理解しやすい、簡単で、機能がたくさんついているネットフロー、sフロー、IPFIX、NetStream分析をお探しですか?ネットフローチャレンジをうけてみて下さい。

 

Michael Patterson