NTTグループのソリューションガイド

ICTソリューション総合誌 月刊ビジネスコミュニケーション

ビジネスコミュニケーション
-IETFの最新の国際標準仕様に準拠した業界初のIPv6運用ソリューション-

ネットワーク監視運用ソフトウェア「ネットキーパー®」を開発

NTTソフトウェア

NTTソフトウェアは、IPv6ネットワーク上の異常パケットを発見する最新の国際標準仕様に準拠したネットワーク運用監視ソフトウェア「ネットキーパー」を開発した。「ネットキーパー」は、この国際標準仕様に準拠した業界初のソフトウェアである。NTTソフトウェアは、「ネットキーパー」をはじめとするIPv6ネットワーク技術をベースとした、IPv6ネットワークの構築・監視ソリューションを提供していく。

図1 ネットキーパーの動作概要
図1 ネットキーパーの動作概要

「ネットキーパー」開発の背景

近年のインターネット利用の拡大に伴い、インターネットで使用されているIPv4アドレスが近い将来不足することが予測されている(*1)。この事態に備えて、インターネットサービスプロバイダやデータセンタ各社がIPv6のサポートを開始している。また、サーバ用OS(UNIX/ Solaris/Linux)のみならず、最近のユーザ用OS(Windows Vista/MacOS X)では、IPv6が標準装備になっており、ユーザが気がつかないままIPv6通信環境で通信を行っている場合がある。

このような状況下ではユーザが想定しない相手と通信が行われてしまう危険やトラブルが生じており、これを発見/防止するためには、ネットワーク上で送受信されるIPv6パケットを監視することが必要不可欠である。インターネット標準化団体IETF(*2)では、IPv6ネットワークの運用時に必要なネットワーク上の異常パケットをフィルタリングする条件を規定した国際標準仕様RFC4890(*3)、RFC4942(*4)を策定した。「ネットキーパー」は、IPv6ネットワークの運用経験の浅いネットワーク管理者でも、この国際標準仕様に準拠したパケット監視を可能とするものである。以下に「ネットキーパー」の特長を示す。

「ネットキーパー」の特長

1.最新の国際標準に準拠したネットワーク監視

IPv6では、従来の制御パケットの機能に加え、自動設定、通信エラー送信などの通信制御が新たに機能追加され、ICMPv6として規定されている。これに伴い、制御パケットの扱いはIPv4とは大幅に変わることとなった。

また、パケットのヘッダも拡張され、セキュリティ情報や経路情報を付加するための部分がIPv6拡張ヘッダとして規定されている。これらの情報を持つパケットも扱いによってはセキュリティホールとなりうる場合がある。

そのために、IETFはICMPv6やIPv6拡張ヘッダを持つパケットの取り扱いの基準を国際標準として策定した。「ネットキーパー」では、これらの最新の基準に基づいた不正な通信の監視を行う。例えば、Windows Vistaは、IPv6を使用するためにトンネルを自動的に設定して、ネットワークの管理者が想定していない通信情報を作ってしまう危険性があるが、「ネットキーパー」を導入することで、想定外のトンネルを設定しようとしているPCを特定し、管理者に通知することができる。

2.監視条件の柔軟な設定

「ネットキーパー」では、推奨仕様のルールに基づいた監視に加えて、ユーザが監視条件を容易に追加・削除を行うことができる。例えば、IPv6ネットワークを構築時のファイアウォールの設定においては、ネットワークの運用形態に対応した設定が必要になる。そのネットワークでは使用しないICMPv6 パケットや拡張ヘッダの種類などである。ファイアウォールの設定には複雑な作業と結果の確認が必要となるが、「ネットキーパー」を導入することで、正確に設定されていることを確認できる。また、ネットワークの運用条件を一時的に変更する場合には、その際の監視条件をGUIで設定することができる。さらに、複数の拠点でネットワークを監視する場合には、共通の設定を持たせた「ネットキーパー」を複数配置することにより同じ条件での運用が可能となり、監視作業を大幅に軽減することができる。

3.異常検出時の多様な対応

「ネットキーパー」が監視条件に該当するパケットを捕捉した場合に、ネットワーク管理者への通知方法として、標準の「メール」による通知や「SNMPによるトラップ」(*5)によるネットワーク監視システムとの連携に加え、ユーザが作成した外部プログラムを呼び出し、処理を行うことができる。これらの通知方法をカスタマイズすることにより、捕捉したパケットの種類に応じてネットワーク機器の設定を自動的に変更し、想定しない相手との通信を遮断するといった運用も可能である。

図2 ネットキーパーの特長(設定画面)
図2 ネットキーパーの特長(設定画面) (クリックして拡大)

NTTソフトウェアは、IPv6対応ソフトウェアの開発、IPv6技術検証を目的として、2000年からIPv6ネットワークを構築し運用をしており、このIPv6ネットワークに「ネットキーパー」を設置し、IPv6ネットワークの不正アクセスの監視と安定運用に活用している。

NTTソフトウェアは、「ネットキーパー」を使用して、統合運用管理ソリューションと組み合わせた高度なIPv6ネットワーク構築・監視ソリューションとしてお客様に提供していく。

(*1)JPNIC「IPv4アドレス在庫枯渇問題に関する検討報告書(第一次)」報告書本文
http://www.nic.ad.jp/ja/ip/ipv4pool/ipv4exh-report-071207.pdf
(*2)IETF(Internet Engineering Task Force)
インターネットの標準規格を定める国際的に公開された団体。IETFが策定したプロトコル仕様はTCP/IPプロトコル仕様から、上位のアプリケーション層まで多岐にわたる。
(*3)RFC4890
ファイアウォールにおけるICMPv6(Internet Control Message Protocol version 6)メッセージフィルタリング用の推奨仕様がまとめられたもの。たとえば、実験の目的で使用されているICMPv6や、定義されていないタイプのICMPv6などがフィルタリングの対象となっている。本RFCは2007年5月に発行された。「ネットキーパー」はこれらの条件に合致するパケットを捕捉することが可能。
(*4)RFC4942
IPv4ネットワークからIPv6ネットワークへの移行および共存するネットワークにおける問題点が整理された標準仕様。たとえば、ルーティングヘッダをファイアウォールで制御するなどの仕様が標準化されている。本RFCは2007年9月に発行された。「ネットキーパー」では主としてトンネルパケットや不正な拡張ヘッダが付与されたパケットを捕捉することが可能。
(*5)SNMPによるトラップ
SNMP(Simple Network Management Protocol、簡易ネットワーク管理プロトコル)でネットワーク上に発生したネットワーク機器の障害や状態変化など事象(イベント)を通知する。

お問い合わせ先

NTTソフトウェア株式会社
技術センター
鈴木(亮)/高宮
TEL:03-5782-7037

NEWS(2008年2月)

ニュース

NTTグループ関連

SIer・ベンダ


会社概要 NTT ソリューション 広告募集 ページ先頭へ
Copyright:(C) 2000-2017 BUSINESS COMMUNICATION All Rights Reserved. ※本サイトの掲載記事、コンテンツ等の無断転載を禁じます。