CiscoがLancopeを買収したため、Lancope STEALTHWATCHを導入・試験してみた。
大まかな流れは、Lancopeから評価版(Evaluation)ライセンスを取得するためのアカウントを受領しVMデプロイになる。
個人的に一番面白かったのは米国カスタマーサポートの方とのメールのやり取りなのだが、会社メールを使ったため残念ながら公開はできない...
NaaS/NaaE
Ciscoはネットワーク全体をセキュリティセンサー、防御システムとして使用する
- NaaS ( Network as a Sensor )
- NaaE ( Network as an Enforcer)
という概念を提唱している。
技術要素としてはFlexible NetFlowをCatalystスイッチで動作させることで、通信すべてを監視するという考え方だ。
これにより、入口対策・出口対策では検知できない脅威を検地し、防ごうとしている。
NetFlowの活用についてはこちらの記事を参照。
NetFlowとsFlowの比較 - designetwork
Lancope STEALTHWATCHとは?
Ciscoが買収したLancopeとはどのような会社か?
STEALTHWATCHとはどのようなシステムか?
このあたりの話はCisco公式サイトに記載の通り。
STEALTHWATCHの導入
ライセンス体系
StealthWatch FlowCollector
Model | Maximum Flows Per Second | Maximum NetFlow Exporters | Maximum Hosts Monitored | Flow Storage Capacity |
---|---|---|---|---|
FlowCollector VE | 30,000 | 1000 | 500,000 | 1 TB |
FlowCollector 1000 | 30,000 | 500 | 250,000 | 1 TB |
FlowCollector 2000 | 60,000 | 1000 | 500,000 | 2 TB |
FlowCollector 4000 | 120,000 | 2000 | 1,000,000 | 4 TB |
StealthWatch Management Console
Model | Maximum FlowCollectors Supported | Flow Storage Capacity |
---|---|---|
StealthWatch Management Console VE | 5 | 1 TB |
StealthWatch Management Console 1000 | 5 | 1 TB |
StealthWatch Management Console 2000 | 25 | 2 TB |
StealthWatch Flow Licenses
License Type |
---|
Flow Collection License - 1000 Flows |
Flow Collection License - 10,000 Flows |
Flow Collection License - 25,000 Flows |
Flow Collection License - 50,000 Flows |
Flow Collection License - 100,000 Flows |
StealthWatch FlowSensor
Model | Traffic Capacity |
---|---|
FlowSensor VE | 1 per ESXi server |
FlowSensor 250 | 100 Mbps |
FlowSensor 1000 | 1 Gbps |
FlowSensor 2000 | 2.5 Gbps |
FlowSensor 3000 | 5 Gbps |
StealthWatch FlowReplicator
Model | Traffic Capacity - Inbound | Traffic Capacity - Outbound |
---|---|---|
FlowReplicator 1000 | 10 KPPS | 20 KPPS |
FlowReplicator 2000 | 20 KPPS | 60 KPPS |
評価版ライセンス入手までの流れ
- Evaluationの申し込み
- 担当者(米国)とのやり取り
- メンバーサイトアカウントの取得
- ソフトウェアダウンロード
- ソフトウェアインストール(VMデプロイ)
- ライセンス登録
公式Webから必要事項入力すると、登録メールアドレスにメールが来て、評価版ライセンスが欲しいと拙い英語で伝えた。
導入支援してくれる提案があり、断るのが結構大変だった...
インストール自体はマニュアルが丁寧だったため特にひっかかるところなし。
周辺設定
NW機器でNetFlowの設定をする必要がある。 私の環境では、Cisco ASA5505をNetFlow Exporterとしている。 設定方法はこちらの記事を参照。
Cisco ASA5505でNetFlowExportの設定 - designetwork
STEALTHWATCHを使ってみて
今回、ライセンスは職場の環境に適用してしまったため、自宅ではライセンス適用できていない。
Web、Javaそれぞれこのような感じで見ることができる。
Web
Java
Javaクライアントでフル機能のトラフィック解析ができ、Webアクセスでは重要なポイントだけを絞って表示している印象である。
ただし、WebでもFlow Queryを作成、実行することでNetFlowデータを表示できる。
Webアクセスできることは社内へのシステム開示の観点で重要と考えているため、評価は高い。
ISE連携
NaaEとして使用する際にはCisco ISEの併用が必要となり、こちらは正直なところハードルが高いと考える。
安くない費用を必要とするため、入念な導入計画が必要となるため、試しに導入してみるということができず、効果を見せる機会を作りにくい。
総評
Cisco機器とまとめてワンストップSIとして提案するのはありだと思う。
しかし、OSSで同様のシステムもあるため、比較検討が必要。
Ciscoのサポートを受けられる点では優位性はあるように思う。