NetFlowとは

~いつ・誰が・どこで・何をしたのか~

ここでは、NetFlowとは何か、また、NetFlow(フロー計測の業界標準フォーマット)を利用したネットワーク監視・分析にはどういったメリットがあるのかをご説明いたします。

NetFlow(ネットフロー)によるネットワークトラフィック監視

NetFlowとは、米シスコシステムズ(Cisco Systems,INC.)が開発した、ネットワークのトラフィックの情報を監視・分析するための技術です。主にシスコ製のルーターやスイッチに実装されていますが、現在では、フロー計測における業界の標準となりつつあり、多くのベンダーのネットワーク機器でサポートされるようになっています。
NetFlowなどのフロー情報を分析することで、操作上またはセキュリティ上の問題を明らかにし、外部または内部のネットワークセキュリティを強固にします。

ネットワークにおけるフローおよびフロー計測とは

ネットワークトラフィック分析におけるフローとは、ネットワーク上を流れる共通の属性をもったパケットグループのようなものです。たとえば、送信元/送信先IPアドレス、送信元/送信先ポート番号、プロトコル番号、などの属性が共通であれば、そのパケットは同一のフローとしてみなされます。わかりやすい例では、あるユーザがサーバにファイルをアップロードしたとしますと、その場合の処理は1フローとして見なされます(パケット単位でみると、共通の属性をもった複数のパケットのあつまりになります)。このフロー情報を解析することで、ユーザやアプリケーション単位でのトラフィックの監視・分析が可能となるのです。
FlowMon

従来のトラフィック分析との違い(SNMPとNetFlowとパケットキャプチャ)

従来からあるネットワークトラフィックの分析では、SNMP(Simple Network Management Protocol)によるインターフェース単位のトラフィック総量を計測するのが主流でした。しかし、近年、ネットワーク使用目的の多様化・複雑化、さらにはセキュリティに対する関心の高まりから、インターフェース単位のトラフィック総量だけではなく、ユーザやアプリケーション単位でのトラフィックや振る舞いを、監視・分析したいという要望が高まってきました。NetFlowを利用した解析では、フロー単位でネットワークトラフィックの状況を把握することが可能なため、ネットワーク内部の振る舞いを可視化できる技術として注目を集めています。
SNMP以外にも、ネットワークのトラフィックを解析する手法として、パケットキャプチャというものがあります。パケットキャプチャによる解析は、ネットワーク上に流れるパケットのヘッダ情報だけでなく、ペイロード(実データ)部分ごと取り込んで(キャプチャして)、トラフィックを解析します。パケットキャプチャによる解析では、流れるパケットの内容を、すべて把握することができるため、詳細な分析が可能です。しかし、データ量があまりにも膨大になるため、大規模・大容量のネットワークトラフィックをリアルタイムで監視・分析するのには不向きと言われています。また、分析者が実際のデータ(通信やメールの内容)を参照することになるため、プライバシー上問題になるケースもあります。とくにISPやASP事業者では、顧客のプライバシーを侵害する恐れがあり、利用するには十分な注意が必要です。
その点、NetFlowによるトラフィック分析は、実データを取り込むわけではないので、大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック解析が可能で、かつ、顧客のプライバシーにも配慮した理想的な手法といえます。
SNMPとパケットキャプチャとNetFlow

どのように活用する?

フロー分析を行うことで、ユーザ単位・ネットワーク単位(レンジやサブネット単位)・アプリケーション単位・プロトコル単位で、現在のネットワーク帯域使用の問題点や改善すべき点をピンポイントで把握することができます。そのため、効率的で効果的なネットワークの問題解決およびキャパシティプランニングに活用できます。

また、ネットワークフローの通信ログを残すことで、ネットワーク内部の各フローの振る舞いを完全に把握することができ、情報漏洩(漏えい)や流出時の通信ログの証跡確認にも利用できます。さらに、誰が・いつ・どこで・何をしたかを把握することができるため、社内ネットワークの規律保持にも活用できます。(Flowmonでは、フローのサンプリング(間引き)設定を行う必要がなく、すべての通信ログを保持することが可能です。)

その他にも、フロー分析技術を活用することで、ネットワーク上で望ましくない振る舞いをしているユーザや機器、アプリケーションを特定することができます。たとえば、特定の送信先に対する大量の接続要求がみられたり、通常使用されないマルチキャスト送信が頻繁に行われていたりする場合などは、DoS(Denial of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ポートスキャン攻撃などの不正な行いを疑うことができます。(Flowmonでは、Flowmon ADSプラグインを使用して、こうした振る舞い検知を実現しています。)

NetFlowを利用したネットワーク
トラフィック監視製品「Flowmon」に
関する
お問い合わせはこちらからどうぞ