未来はここにあると言う人もいます。過去 10 年間に開発された IoT テクノロジーを見ると、それらに反論できるものは何もありません。21 世紀のテクノロジーブームは、私たちの生活やお互いのコミュニケーションの方法を変えました。
例えば、私たちが研究しているMAREAプロジェクトは、歴史の目撃者であるとも言えます。アメリカからスペインまで海底に敷設された160Tbit/sの高速光ファイバー網です。
残念なことに、これらの技術革新は、ハッカーがネットワークに侵入するための新たな道を開く可能性があります。最新のランサムウェアまたは DDoS 攻撃は、過去数年間には見られなかったセキュリティのギャップを明らかにしています。
絶え間なく変化する開発に対応し、ユーザーに安心感を与えるために、多くの企業が監視およびセキュリティ ツールを作成しました。中でもパケット キャプチャ ソリューションは、安全性の高い IT インフラストラクチャの基盤です。
サイバー危機は予期せぬときに発生する可能性があるため、サイバー監視の世界も進化する必要があります。迅速に導入でき、パケットを迅速にキャプチャし、現場でも予期せぬ状況に十分対処できるネットワーク アナライザーを選択できます。
Profitap などの企業は、フィールド パケット キャプチャに最適かつ最速のツールの 1 つである強力なポータブル TAP (ProfiShark シリーズなど) を開発しています。これらは、ネットワークをドリルダウンし、トラフィックを分析し、問題の原因となっているパケットを特定するのに役立つ理想的なデバイスです。
しかし、どうやってそれを行うのでしょうか?ポータブル TAP が 100% のトラフィックを処理できる十分な強度を備えながら、同時に現場での導入が容易になるにはどうすればよいでしょうか?
ポータブルネットワークTAPがどのように進化してきたかを見てみましょう。
ポータブル全二重TAP
当初、当社にはデータセンター環境でのみ使用するように設計された銅線およびファイバー TAP がありました。あらゆる種類のネットワーク監視ツールの詳細をご覧ください。
メーカーがフィールド ツールの必要性を理解するのに時間はかかりませんでした。そこで全二重 TAP の基本バージョンを作成し、ポータブル モデルとして販売しました。ただし、これらはラックマウント モデルの単なる小型バージョンでもあり、ラックマウント ネジ ホルダーも含まれています。
この全二重 TAP (ブレーキング TAP とも呼ばれる) は、2 つのネットワーク ポートからトラフィックをキャプチャし、それを 2 つの出力ポートまたはモニタリング ポートにコピーします。全二重 TAP 自体に加えて、デュアル ネットワーク インターフェイス カード (NIC) を搭載したボックス PC が必要になります。これに加えて、監視アプリケーションをホストする PC は、2 つのインターフェイスを 1 つのフローとして認識するために、インターフェイス ボンディングまたはリンク アグリゲーションも実行する必要があります。
デバイスは、パケット損失やタイミング遅延を発生させることなく、フル ライン レートでトラフィックをキャプチャしました。したがって、パフォーマンスは良好ですが、追加のハードウェアが依然として必要なため、IT エンジニアがこの種の「ポータブル」TAP を現場で採用することは依然として困難です。
全体として、ポータブル TAP の最初の方法は、デスクトップを現場に持ち運ぶことができず、ラップトップにはデュアル ネットワーク カードがないため、実際にはポータブルではありません。
ポータブルポリマーTAP
TAP メーカーが移植性の問題を解決しようとしているもう 1 つの方法は、アグリゲータ TAP (アグリゲーション TAP とも呼ばれる) を導入することです。このタイプの TAP デバイスは、2 つの受信トラフィック ストリームを 1 つの送信トラフィック ストリームに結合します。これは、1 つのモニタリング ポートだけが両方のネットワーク ポートの集約トラフィックも受信できることを意味します。
したがって、これにより、分析に使用される PC のデュアル NIC の必要性が解決されます。実際、ボックス PC が完全に削除され、ラップトップを TAP に簡単に接続できるようになります。これにより真の移植性は実現されますが、パフォーマンスは実現されません。
ネットワーク バックボーンが少なくともギガビット (1 Gbps) の速度に達できることは誰もが知っています。したがって、ネットワーク バックボーンのトラブルシューティングを行う場合でも、TAP をギガビット ネットワーク ポートと一緒に配置する必要があります。ただし、出力 (またはモニタ ポート) がギガビット ポートでもある場合、1 Gbps 出力で集約された 2 Gbps のトラフィックを完全に送信することは不可能です。
したがって、一貫性のないトラフィックキャプチャが発生します。ネットワーク インターフェイスの使用率が 50% を超えて急増すると、この時点でバッファも飽和状態になると、パケットがブリッジからドロップされます。両方の入力ネットワーク ポートが最大容量でトラフィックをスロットルしている場合、合計トラフィックの 50% も失われる可能性があります。
このボトルネックを克服する最善の方法は、集約されたトラフィックをより高いデータ レートの出力にルーティングすることです。TAP メーカーにとって、ポータブル TAP の出力として 10GE NIC を使用することは現実的ではありません。また、ラップトップには 10GE NIC が搭載されておらず、おそらくしばらくは搭載されないでしょう。ここでも重要なのは、携帯性とパフォーマンスを 1 つのガジェットに詰め込むことです。
高度なオンサイトパケットキャプチャツール
その後、特別に開発したポータブルネットワークTAPを発売しました。ポケットサイズで強力なこのデバイスは、あらゆる種類のトラブルシューティングに対応でき、ネットワークの安定性、拡張性、セキュリティを確保したい企業にとって理想的な機器です。
これらの高度なフィールド トラブルシューティング ツールは、特別な要件なしで数分で接続してパケットのキャプチャを開始できる機能を備えているため、以前のツールとは異なります。
また、キャプチャしたパケットをホスト コンピュータのディスクに直接転送することもできます。各パケットが TAP に入るたびに、すべてのパケットがハードウェア レベルでナノ秒のタイムスタンプとともにリアルタイムでキャプチャされます。このタイムスタンプにより、キャプチャされたトラフィックのリアルタイム プロトコル分析がナノ秒の解像度で可能になります。
当社のポータブル ネットワーク TAP は、ギガビット NIC をモニター ポートとして使用せずに、まさにそれを行うように設計されています。代わりに、最大 5 Gbps の速度でデータを転送できる USB 3.0 を使用します。したがって、USB 3.0 リンク経由で 2 Gbps の集約トラフィック (ポート A と B がそれぞれ 1G を転送) を簡単に転送できます。
これは、バッファ メモリがパケットをドロップする必要がなく、タイミングに影響を与えるほど長くパケットを保存する必要もないことを意味します。さらに、ラップトップの USB ポートに接続でき、外部電源に依存しない独自のプラグアンドプレイ機能を備えています。
現在、ポータブル キャプチャ デバイスは、ポータブル パケットのネットワーク回線よりもさらに進化しています。現在では、長期的なキャプチャ ソリューションとして使用でき、リモートからアクセスすることもできます。たとえば、NAS で ProfiShark 1G を使用している場合、その長期キャプチャ機能は、動作における断続的な問題を検出するのに役立ちます。
さらに、ProfiShark は、当社独自の Web ベースのネットワーク トラフィック アナライザーである ProfiSight と組み合わせて使用することができ、キャプチャされたパケット フローからメタデータを抽出することでフロー データを迅速に表示できます。つまり、このパケット キャプチャと分析のセットアップにより、重要なトラフィックへの高速かつ完全なアクセスと視覚化が提供されるため、断続的なネットワーク パフォーマンスの問題をトラブルシューティングし、ネットワークのサービス品質 (QoS) を確保できます。
高度なポータブル TAP ツールはすでに多くの状況で利用可能であり、良好な結果が得られることが約束されています。これらは、従来の監視ツールでは評価できない、予期しないプロトコルの相互作用など、一時的で断続的な問題を評価する場合に最適です。
これらのポータブル デバイスは、フィッシングやその他の種類のセキュリティ脅威などのサイバー攻撃から保護するのに非常に役立ちます。このようなツールを使用すると、ネットワーク管理者は Web セッション、電子メール、および「チャットライン」での会話を時系列に再構築して、セキュリティ インシデントを調査し、正確なフォレンジック分析を行うことができます。
最後に、おそらくポータブル ネットワーク TAP について最も興味深い事実は、まだ実用化されたばかりだということです。ライブネットワークモニタリングの無限の可能性が私たちを待っています。