ネットワーク監視運用ソフトウェア「ネットキーパー®」を開発
NTTソフトウェア
NTTソフトウェアは、IPv6ネットワーク上の異常パケットを発見する最新の国際標準仕様に準拠したネットワーク運用監視ソフトウェア「ネットキーパー」を開発した。「ネットキーパー」は、この国際標準仕様に準拠した業界初のソフトウェアである。NTTソフトウェアは、「ネットキーパー」をはじめとするIPv6ネットワーク技術をベースとした、IPv6ネットワークの構築・監視ソリューションを提供していく。
図1 ネットキーパーの動作概要
「ネットキーパー」開発の背景
近年のインターネット利用の拡大に伴い、インターネットで使用されているIPv4アドレスが近い将来不足することが予測されている(*1)。この事態に備えて、インターネットサービスプロバイダやデータセンタ各社がIPv6のサポートを開始している。また、サーバ用OS(UNIX/ Solaris/Linux)のみならず、最近のユーザ用OS(Windows Vista/MacOS X)では、IPv6が標準装備になっており、ユーザが気がつかないままIPv6通信環境で通信を行っている場合がある。
このような状況下ではユーザが想定しない相手と通信が行われてしまう危険やトラブルが生じており、これを発見/防止するためには、ネットワーク上で送受信されるIPv6パケットを監視することが必要不可欠である。インターネット標準化団体IETF(*2)では、IPv6ネットワークの運用時に必要なネットワーク上の異常パケットをフィルタリングする条件を規定した国際標準仕様RFC4890(*3)、RFC4942(*4)を策定した。「ネットキーパー」は、IPv6ネットワークの運用経験の浅いネットワーク管理者でも、この国際標準仕様に準拠したパケット監視を可能とするものである。以下に「ネットキーパー」の特長を示す。
「ネットキーパー」の特長
1.最新の国際標準に準拠したネットワーク監視
IPv6では、従来の制御パケットの機能に加え、自動設定、通信エラー送信などの通信制御が新たに機能追加され、ICMPv6として規定されている。これに伴い、制御パケットの扱いはIPv4とは大幅に変わることとなった。
また、パケットのヘッダも拡張され、セキュリティ情報や経路情報を付加するための部分がIPv6拡張ヘッダとして規定されている。これらの情報を持つパケットも扱いによってはセキュリティホールとなりうる場合がある。
そのために、IETFはICMPv6やIPv6拡張ヘッダを持つパケットの取り扱いの基準を国際標準として策定した。「ネットキーパー」では、これらの最新の基準に基づいた不正な通信の監視を行う。例えば、Windows Vistaは、IPv6を使用するためにトンネルを自動的に設定して、ネットワークの管理者が想定していない通信情報を作ってしまう危険性があるが、「ネットキーパー」を導入することで、想定外のトンネルを設定しようとしているPCを特定し、管理者に通知することができる。
2.監視条件の柔軟な設定
「ネットキーパー」では、推奨仕様のルールに基づいた監視に加えて、ユーザが監視条件を容易に追加・削除を行うことができる。例えば、IPv6ネットワークを構築時のファイアウォールの設定においては、ネットワークの運用形態に対応した設定が必要になる。そのネットワークでは使用しないICMPv6 パケットや拡張ヘッダの種類などである。ファイアウォールの設定には複雑な作業と結果の確認が必要となるが、「ネットキーパー」を導入することで、正確に設定されていることを確認できる。また、ネットワークの運用条件を一時的に変更する場合には、その際の監視条件をGUIで設定することができる。さらに、複数の拠点でネットワークを監視する場合には、共通の設定を持たせた「ネットキーパー」を複数配置することにより同じ条件での運用が可能となり、監視作業を大幅に軽減することができる。
3.異常検出時の多様な対応
「ネットキーパー」が監視条件に該当するパケットを捕捉した場合に、ネットワーク管理者への通知方法として、標準の「メール」による通知や「SNMPによるトラップ」(*5)によるネットワーク監視システムとの連携に加え、ユーザが作成した外部プログラムを呼び出し、処理を行うことができる。これらの通知方法をカスタマイズすることにより、捕捉したパケットの種類に応じてネットワーク機器の設定を自動的に変更し、想定しない相手との通信を遮断するといった運用も可能である。
NTTソフトウェアは、IPv6対応ソフトウェアの開発、IPv6技術検証を目的として、2000年からIPv6ネットワークを構築し運用をしており、このIPv6ネットワークに「ネットキーパー」を設置し、IPv6ネットワークの不正アクセスの監視と安定運用に活用している。
NTTソフトウェアは、「ネットキーパー」を使用して、統合運用管理ソリューションと組み合わせた高度なIPv6ネットワーク構築・監視ソリューションとしてお客様に提供していく。
- (*1)JPNIC「IPv4アドレス在庫枯渇問題に関する検討報告書(第一次)」報告書本文
- http://www.nic.ad.jp/ja/ip/ipv4pool/ipv4exh-report-071207.pdf
- (*2)IETF(Internet Engineering Task Force)
- インターネットの標準規格を定める国際的に公開された団体。IETFが策定したプロトコル仕様はTCP/IPプロトコル仕様から、上位のアプリケーション層まで多岐にわたる。
- (*3)RFC4890
- ファイアウォールにおけるICMPv6(Internet Control Message Protocol version 6)メッセージフィルタリング用の推奨仕様がまとめられたもの。たとえば、実験の目的で使用されているICMPv6や、定義されていないタイプのICMPv6などがフィルタリングの対象となっている。本RFCは2007年5月に発行された。「ネットキーパー」はこれらの条件に合致するパケットを捕捉することが可能。
- (*4)RFC4942
- IPv4ネットワークからIPv6ネットワークへの移行および共存するネットワークにおける問題点が整理された標準仕様。たとえば、ルーティングヘッダをファイアウォールで制御するなどの仕様が標準化されている。本RFCは2007年9月に発行された。「ネットキーパー」では主としてトンネルパケットや不正な拡張ヘッダが付与されたパケットを捕捉することが可能。
- (*5)SNMPによるトラップ
- SNMP(Simple Network Management Protocol、簡易ネットワーク管理プロトコル)でネットワーク上に発生したネットワーク機器の障害や状態変化など事象(イベント)を通知する。
お問い合わせ先
NTTソフトウェア株式会社技術センター
鈴木(亮)/高宮
TEL:03-5782-7037
NEWS(2008年2月)
NTTグループ関連
- 米国DATATRAK社と臨床試験電子化ソリューション「eClinical™」で業務提携(NTTデータ)
- IETFの最新の国際標準仕様に準拠したネットワーク監視運用ソフトウェア「ネットキーパー®」(NTTソフトウェア)
- 「知力のエクササイズ」で高い学習効果を得る低コストのeラーニングツール「Perception Ver.4日本語版」(NTTアドバンステクノロジ)
- 奥行き映像を利用し、リアルタイムに多視点3D映像を作成できる「Depth Mapped 3D技術」を開発(NTTコムウェア)
- ソフトウェアでフルスペックハイビジョンを実現するテレビ会議サービス「WarpVision HD」を提供開始(NTTレゾナント)
SIer・ベンダ
- ネットワーク・セキュリティツールLanScope Catの最新版「Cat6」-Oracleデータベースを採用(エムオーテックス/オラクル)
- 低消費電力、柔軟性・管理性に優れたブレードサーバ「PowerEdge M1000e」「PowerEdge M600」「PowerEdge M605」(デル)
- 1PBの最大容量を実現したハイエンド・ストレージ新製品「FAS6080」「FAS6040」(日本ネットワーク・アプライアンス)
- 映像・音声等のデジタル・コンテンツを企業内で手軽かつ効果的に活用できる「CorporateCAST」を提供開始(リミックスポイント)
- NECとの戦略アライアンスに基づいたストレージ新製品を発表-中堅・中小企業向け製品を共同開発(EMC)
- ジールとBI/データウェアハウス分野でパートナー契約を締結(サイベース)
- 「弥生会計 08」確定申告版-NTTデータ「確定申告の達人 2008」との連動で個人事業者の電子申告をサポート(弥生)
- Ruby技術者認定試験の国内/グローバル配信でプロメトリックと独占契約を締結(CTC)