designetwork

ネットワークを軸としたIT技術メモ

Lancope-STEALTHWATCH評価版ライセンス取得からインストール・使用開始

CiscoがLancopeを買収したため、Lancope STEALTHWATCHを導入・試験してみた。
大まかな流れは、Lancopeから評価版(Evaluation)ライセンスを取得するためのアカウントを受領しVMデプロイになる。
個人的に一番面白かったのは米国カスタマーサポートの方とのメールのやり取りなのだが、会社メールを使ったため残念ながら公開はできない...

NaaS/NaaE

Ciscoはネットワーク全体をセキュリティセンサー、防御システムとして使用する

  • NaaS ( Network as a Sensor )
  • NaaE ( Network as an Enforcer)

という概念を提唱している。

技術要素としてはFlexible NetFlowをCatalystスイッチで動作させることで、通信すべてを監視するという考え方だ。
これにより、入口対策・出口対策では検知できない脅威を検地し、防ごうとしている。
NetFlowの活用についてはこちらの記事を参照。

NetFlowとsFlowの比較 - designetwork

Lancope STEALTHWATCHとは?

Ciscoが買収したLancopeとはどのような会社か?
STEALTHWATCHとはどのようなシステムか?
このあたりの話はCisco公式サイトに記載の通り。

www.cisco.com


STEALTHWATCHの導入

ライセンス体系

StealthWatch FlowCollector

Model Maximum Flows Per Second Maximum NetFlow Exporters Maximum Hosts Monitored Flow Storage Capacity
FlowCollector VE 30,000 1000 500,000 1 TB
FlowCollector 1000 30,000 500 250,000 1 TB
FlowCollector 2000 60,000 1000 500,000 2 TB
FlowCollector 4000 120,000 2000 1,000,000 4 TB

StealthWatch Management Console

Model Maximum FlowCollectors Supported Flow Storage Capacity
StealthWatch Management Console VE 5 1 TB
StealthWatch Management Console 1000 5 1 TB
StealthWatch Management Console 2000 25 2 TB

StealthWatch Flow Licenses

License Type
Flow Collection License - 1000 Flows
Flow Collection License - 10,000 Flows
Flow Collection License - 25,000 Flows
Flow Collection License - 50,000 Flows
Flow Collection License - 100,000 Flows

StealthWatch FlowSensor

Model Traffic Capacity
FlowSensor VE 1 per ESXi server
FlowSensor 250 100 Mbps
FlowSensor 1000 1 Gbps
FlowSensor 2000 2.5 Gbps
FlowSensor 3000 5 Gbps

StealthWatch FlowReplicator

Model Traffic Capacity - Inbound Traffic Capacity - Outbound
FlowReplicator 1000 10 KPPS 20 KPPS
FlowReplicator 2000 20 KPPS 60 KPPS

評価版ライセンス入手までの流れ

  • Evaluationの申し込み
  • 担当者(米国)とのやり取り
  • メンバーサイトアカウントの取得
  • ソフトウェアダウンロード
  • ソフトウェアインストール(VMデプロイ)
  • ライセンス登録

公式Webから必要事項入力すると、登録メールアドレスにメールが来て、評価版ライセンスが欲しいと拙い英語で伝えた。
導入支援してくれる提案があり、断るのが結構大変だった...
インストール自体はマニュアルが丁寧だったため特にひっかかるところなし。

周辺設定

NW機器でNetFlowの設定をする必要がある。 私の環境では、Cisco ASA5505をNetFlow Exporterとしている。 設定方法はこちらの記事を参照。

Cisco ASA5505でNetFlowExportの設定 - designetwork

STEALTHWATCHを使ってみて

今回、ライセンスは職場の環境に適用してしまったため、自宅ではライセンス適用できていない。
Web、Javaそれぞれこのような感じで見ることができる。

Web

Java

Javaクライアントでフル機能のトラフィック解析ができ、Webアクセスでは重要なポイントだけを絞って表示している印象である。
ただし、WebでもFlow Queryを作成、実行することでNetFlowデータを表示できる。
Webアクセスできることは社内へのシステム開示の観点で重要と考えているため、評価は高い。

ISE連携

NaaEとして使用する際にはCisco ISEの併用が必要となり、こちらは正直なところハードルが高いと考える。
安くない費用を必要とするため、入念な導入計画が必要となるため、試しに導入してみるということができず、効果を見せる機会を作りにくい。

総評

Cisco機器とまとめてワンストップSIとして提案するのはありだと思う。
しかし、OSSで同様のシステムもあるため、比較検討が必要。
Ciscoのサポートを受けられる点では優位性はあるように思う。