 |
IPv6対応の携帯型ネットワーク・アナライザ |
ネットワーク管理者にとって今後避けて通れない重大な課題の1つに、IPv6ネットワーク環境への移行が挙げられる。IPv6というとIPアドレスの枯渇ばかりがクローズアップされがちだが、IPv6への移行にあたってさまざまなセキュリティの脅威が存在することを認識しているだろうか。
「OptiView III v5.3 統合型ネットワーク・アナライザー」は、こうしたIPv6への移行時における潜在的なセキュリティホールを迅速に発見し、解決できる機能を新たに搭載。次世代ネットワークへの安全な移行を支援する。
 |
ネットワークの「見える化」で管理者の負荷を軽減 |
現在、ほとんどの企業ではさまざまな業務がWANやLANを介して行われており、ネットワークには次々に新たな技術や機器が導入されている。VoIPやビデオ会議など、大容量データをやり取りするアプリケーションの利用も増えてきた。
もはやネットワークは企業にとって生命を維持するための「血管」のようなものであり、そこに深刻な障害が発生した場合、ビジネスに多大なダメージを与えるのはもちろん、企業そのものの存続が危ぶまれる事態にもなりかねない。以前とは比較にならないほど、今日のネットワークには「止まらないこと」がシビアに要求されるようになったといえよう。
こうした状況を背景に、ネットワーク管理者の負荷が増大している。ネットワーク自体が高速・大容量かつ複雑化したことに加え、かつてのようにネットワーク機器やケーブルなどのトラブル予防・対処に留まらず、アプリケーション層での障害切り分けや問題解決も求められるなど、ネットワーク管理の業務範囲も広がり続けている。
そんなネットワーク管理者の業務を強力に支援するツールとして注目されているのが、「OptiView III 統合型ネットワーク・アナライザー」(以下、OptiView III)だ。
ネットワークの監視・管理に利用されるプロトコルアナライザーにはPCにインストールして使うソフトウェア製品も多いが、OptiView IIIは専用ハードウェアのポータブル機。そのため、PCベースのアナライザに比べてウイルス感染などのセキュリティ上の心配もなく、ネットワークに障害が発生した際にも現場に持って行き、すぐに調査できるというメリットがある。
また、OptiView IIIはポータブル機器でありながら、ネットワーク検出、トラフィック解析、インフラ解析、パケット・キャプチャ/デコードなど、従来のプロトコルアナライザの域を超えて、ネットワーク管理・監視に必要なあらゆる機能を搭載。OSI7レイヤ全体を1台でカバーし、導入、管理、セキュリティ、解決の4つの視点でネットワークの「見える化」を実現する。
2008年10月には、その最新版となるOptiView III v5.3がリリースされた。以下では、v5.3で新たに搭載されたさまざまな機能の中でも、特に業界初となるIPv6ネットワークのセキュリティ解析機能について見ていこう。
 |
| 図1 4つの視点で見える化を実現 |
|
IPv6への移行時に潜在するセキュリティの脅威とは? |
数年前から指摘されていた「IPアドレスの枯渇」が、いよいよ現実味を帯びてきた。利用できるIPv4アドレス空間は、2010〜11年には枯渇すると予測されている。また、今日のIPv4ネットワーク環境においては、不足しているIPv4アドレスを補うためにNAT(Network Address Translation)の利用が常態化しているが、VoIPなどのP2Pアプリケーションの多くはNAT越しに利用できず、そのほかのアプリケーションでも正しく動作しないものがあるなど、制限を受けるケースが増えているようだ。
こうしたことから、アメリカでは国防総省(DoD)がIPv6化を宣言、日本においても総務省が施策を掲げるなど、IPv6への移行が推進されている。とはいうものの、実際にIPv6への準備対策を進めている企業はそれほど多くないのが実情だ。IPアドレスの枯渇の問題ばかりがクローズアップされてきたせいか、「ウチはアドレスを多めに取っておいたから大丈夫」、「現状維持でよいからIPv4でも問題ないはず」といった声も聞こえてくる。
しかし、もはやIPv6への移行は必須であり、自社も決して無関係ではいられない段階に来ていることを認識すべきだろう。それどころか、すでに意図しないところでIPv6トラフィックが自社ネットワーク内を流れている可能性もあるのだ。
 |
| 図2 IPv6への移行時に利用されるIPv4とIPv6のデュアルスタック技術。こうした環境で潜在的なセキュリティホールが生まれやすい |
すべての環境をIPv4からIPv6へと一気に移行することは現実的に難しいため、段階的に移行することになるが、そこでIPv4とIPv6とを共存させて用いるデュアルスタックなどの技術がよく使われる。
現在IPv6をサポートする機器やアプリケーションのほとんどは、このデュアルスタックに対応している。Windows XPなどのOSもそうだ。そして、特に問題になりそうなのが、昨今導入が増えてきたWindows VistaやWindows Server 2008の場合だ。これらのOSはデフォルトでIPv6が利用可能な状態になっているのをご存じだろうか。ほかにも、Sun Solaris 10、HP-UX11iといった多くのOSで、IPv6がデフォルトでアクティブになっている。
この点に気付かずに、これらのOSをそのままの状態で導入してネットワークに接続し、利用しているケースは少なくないようだ。この場合、もしルータがデュアルスタックでIPv6に対応しており、既存のIPv4ネットワーク環境で使用しているファイアウォールやIDS/IPSがIPv6に対応していない、もしくはデュアルスタック対応であってもIPv6トラフィックを監視する設定になっていなければ、不正なIPv6トラフィックの侵入を遮断することができない。
当然、このような状態を放置しておけば、IPv6に接続可能な悪意ある第三者に外部から侵入されたとしても検知できずに、攻撃されてしまうといった事態も起こり得る。いうなれば、自社ネットワーク上で何のセキュリティ対策もせずに無線LANで通信しているのと同じようなリスクを抱えた状態だ。
|
OptiView IIIが提供するIPv6セキュリティ解析機能 |
好むと好まざるとにかかわらずIPv6がもはや「未来の話」ではなくなったいま、ネットワーク管理者は、このような新しいセキュリティの脅威に対して防御策を講じていかなければならない。OptiView IIIの最新版v5.3では、こうした課題に応えるべく新たにIPv6プロトコルの解析に対応した。
例えば、ネットワークに接続するだけで、IPv6を使用しているすべてのデバイスをリアルタイムで容易に検出・特定でき、検出されたデバイスをカテゴリ別に仕分けして、デバイスのIPv6アドレス、ネーム、MACアドレスなどの情報をリストとして表示する。もちろん、どのポートがIPv6に対してオープンになっているのかを見つけ出すこともできる。
デュアルスタックのほかにも、IPv4からIPv6への移行時における共存技術としてよく使われるものにトンネリングがある。IPv6のパケットをカプセル化して既存のIPv4ネットワークに通すわけだが、このトンネリングも不正侵入の手口に使われる危険性が高い。
現状では、ファイアウォールやIDSでIPv6トンネルを検知できない、あるいはIPv6トンネル検知が有効化されていないことが多い。そのため、カプセル化された不正なIPv6トラフィックがターゲットにしたIPv6ホストまで、そのまま通ってしまうことになる。
OptiView III v5.3では、IPv4トンネリングを使ったIPv6を明らかにし、こうした不正侵入も即座に発見できる機能を実装。teredo(over IPv4)、TSP Tunnel Broker UDP/TCP(over IPv4、over IPv6)、6 in 4、6 to 4といったトンネルのタイプとトンネリング機能を使用しているエンドポイントを識別できるので、今後IPv6に移行した際にも、運用上許可しているIPv6通信トンネリングと不正侵入とを正しく区別することが可能となる。
 |
| 図3 トンネルのタイプとエンドポイントを見極めることによりリスクを評価 |
IPv6のセキュリティ上のメリットの1つとして、エンド・トゥ・エンドのIPsecが使えることが挙げられるが、同時に暗号化されたパケットを既存のファイアウォールやIDSで検査できないという問題も生じる。
今後、IPv6の普及に伴ってこうした問題に対応できるIDSなども増えてくると考えられるが、移行期にあっては、IPSecでエンド・トゥ・エンド暗号化通信をしているデバイスをリアルタイムで識別できるというOptiView III v5.3の機能が、セキュリティホールの発見に役立つはずだ。
ほかにも、セキュリティに直結する機能としては、ルータ外からのルータ・アドバタイズメントの解析などに対応。接続の問題を生じるDOSアタックの可能性を早期に発見することができる。
また、OptiView III v5.3では、セキュリティ解析に限らず、IPv6の展開後に設定や接続形態が正しいかを検査するための機能も充実している。例えば、「どのデバイスがシングルまたはデュアルのアドレスを持っているか」「すべてのIPv6サブネットのプレフィクスは正しいか」といったアドレシングの問題を調べられるほか、IPv6およびv4の両方でアプリケーション通信を識別してアプリケーション接続性の検査が行える。
 |
| 図4 アプリケーションを選択し、IPv6およびIPv4と使用しているデバイスを識別 |
|
無線ネットワーク対応機能も大幅に強化 |
IPv6対応のほかにも、OptiView III v5.3では新機能として無線ネットワーク対応を大幅に強化している。その1つが、IEEE 802.11nの詳細解析をサポートしたことだ。これにより、802.11 a/b/g/nと、すべてのワイヤレス規格に対応。有線および無線両方の側から、必要なネットワークのトラブルシューティングとその解析が行えるツールとして、さらなる進化を遂げた。
また、WLANディスカバリ機能として、有線ネットワーク側からCiscoのワイヤレスコントローラおよびライトウェイトアクセスポイント、スタンドアローンアクセスポイント、ワイヤレスクライアントを検出し、これらの無線ネットワークの信号強度やSNRなどの物理層の問題を含め、リモートによる詳細解析やテストを行うことも可能となっている。有線側から無線ネットワークを監視・解析できるというアナライザは、ほかに類を見ない。
加えて、VoIPディスカバリ機能も拡充。OptiView IIIは従来からCiscoのVoIPデバイスを自動検出できたが、v5.3ではさらにNortel、Avaya、Mitelの3社を加え、ワールドワイドでトップ4に数えられるVoIP機器ベンダのIPフォンやIP-PBXなどを容易に検出できるようになった。こうした機能は、ユーザーがVoIPアプリケーションの接続性問題や音声品質問題を解析する上でも役立つものだ。
このように、次世代のネットワークプロトコルであるIPv6に対応し、1台で有線・無線を問わずにネットワークの「見える化」を実現できるOptiView III v5.3は、まさに真の「統合型ネットワーク・アナライザー」といえるだろう。
|
ホワイトペーパー ダウンロード
提供:フルーク・ネットワークス
企画:アイティメディア 営業本部
制作:@IT 編集部
掲載内容有効期限:2008年12月16日
