ネットワークセキュリティ  F/W・IDS・診断ツールについてはこちら
ISS技術情報

ISS技術情報

お客様各位
2002年 4月 22日

東京都新宿区北新宿3−1−16
第2事業本部 セキュリティ営業部
以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。


RealSecure 6.x Network Sensorイベント検出時の各モジュール間通信について
RealSecure 6.xを実装する際に、各モジュール間で発生する通信に関して、情報をご提供いたします。RealSecure 6.xを実装される際の参考値としてご利用ください。

注意: 本文書の数値は、RealSecure実装設計の際の参考値としてのみご利用ください。これらの数値を性能情報、他社製品との性能比較情報等、本来の目的以外にはご利用できません。また実際にご利用いただいている環境下において、本文書の数値と同じもしくは近似する結果が得られることを保証するものではありません。なお本文書は参考情報であるため、サポート対象外となりますのでご注意ください。


■イベント検出時の各モジュール間の通信量

tracerouteイベントを発生させ、各モジュール間の通信量をsnifferで確認します。イベント生成には、キャプチャ済みのイベントをsnifferでプレイバックする方法を使用しています。

RealSecureの実装状態
RealSecure を構成するモジュールであるConsole、Enterprise Database、Event CollecterおよびNetwork Sensorを全て独立したマシンにインストールしました。その際のIPアドレス等は下記表をご参照ください。
IPアドレス RSのモジュール 省略表記
192.168.204.1 Enterprise Database EDB
192.168.204.2 Console WGM
192.168.204.4 Event Collector EC
192.168.204.5 Network Sensor NS
表1:イベント検出テスト時の使用マシンIPアドレス


確認結果
表2から、Event CollectorとEnterprise Database間の情報量が多いことが確認できます。これは、Event Collectorがイベント検知の情報をEnterprise Databaseへ送信する際に、Enterprise Databaseで保存する形に情報を加工しているためです。
_ モジュール パケット番号 通信量/イベント
1 NS/EC間 24,28,29,48,74,75 1272バイト
WGM/EC間 33,46,47,52 846バイト
EDB/EC間 30-32,34-45,49,57-73 10732バイト
表 2:各モジュール間の通信量


レポート生成時のモジュール間の通信量

RealSecure 6.xでは、レポート作成の際にEnterprise DatabaseとConsole間に通信が発生します。textおよびgraphタイプそれぞれのレポートにおける情報量の差異についても確認しました。実際に使用したレポートは下記の二種類です。
● Text タイプではDestination IP report
● GraphタイプではTop 20 Event Graph

RealSecureの実装状態
レポートではConsoleがEnterprise Databaseに接続するだけであるため、この二つのモジュールのみインストールし、テストを行いました。
IPアドレス RSのモジュール
192.168.113.141 Enterprise Database
192.168.113.80 Console
表 3:レポートテスト時の使用マシンIPアドレス

表中の条件欄表記
条件欄には<イベント名> <イベント件数> use <レポートタイプ>の形式で、レポート生成時の条件を表記しております。たとえばFTP_User 1 use Top20は、一件のFTP_Userイベントがログに書き込まれている状態で、graphタイプのTop20レポートを使用した際の検証結果となります。

_ 条件 サイズ
2 FTP_User 1 use Top20 1003バイト
3 FTP_USer 2 use Top20 1073バイト
表 4:FTP_Userレポートの結果(1イベントあたりのデータ量を確認)

2は1イベント、3は2イベント検出時のものであり、上記表より、Top 20レポートでは1イベントあたりおおよそ70バイトの情報を使用していると考えられます。

_ 条件 サイズ
4 FTP_User 1 use text Dst IP 2718バイト
5 FTP_User 2 use text Dst IP 3664バイト
6 HTTP_Get 62 use Top 20 5551バイト
7 HTTP_Get 124 use Top 20 9867バイト
表 5:保持するイベント数の違いによるデータ量の変化

7では6に比べ4316バイト増加していることが確認できます。1イベントあたり約70バイトの情報を使用することが分かっているため、イベント数の違いから70×62=4340となり、4316バイトに対して近似値であることが分かります。

_ 条件 サイズ
8 HTTP_Get 62 use text Dst IP 79387バイト
9 HTTP_Get 124 use text Dst IP 156285バイト
表 6:HTTP_Getイベントにおける、保持イベント数とデータ量の変化


確認結果
  1. Graphタイプ
    IPアドレスやイベントの発生日時等の情報は使用されますが、URLの詳細情報まではレポートしません。そのため、今回使用したFTP_UserとHTTP_Getでは大きな違いは現れません。なおグラフ表示から詳細情報表示に切り替えた場合でも新たな通信は発生しません。これはすでに詳細表示で使用する情報が取り込まれているからです。

  2. Textタイプ
    ● FTP_Userイベントの場合
    表5の4と5から、1件あたりのテキストタイプでの使用情報量は3664 - 2718 = 946バイトとなり、Graphタイプを使用した場合の946 / 70 = 13.5倍の情報量になります。
    ● HTTP_Getイベントの場合
    表6の8と9から62件あたりの情報量の違いは156285 - 79387 = 76898バイトとなります。Graphタイプでの62件分の情報量4316バイトと比較すると76898 / 4316 = 17.8倍の違いになります。

■実装がパフォーマンスに与える影響について

64kpbs、128kbps等のスピードの遅い専用線等を介して各モジュールが通信を行う場合、パフォーマンス上の問題が発生することがあります。ここでは128kbps専用線を利用することを前提に考察します。128kbps専用線の回線上のデータレートを、バイト換算で16kバイト/秒とし、そのあたりをそのまま通信できる情報の実効値として、てパフォーマンスに与える影響を評価しました。

注意: 専用線における回線上のデータレートと、単位時間あたりに通信可能な情報量の実効値は異なります。専用線の両側に配置されたリモートルーター間の通信では、各通信レイヤーにおいてチェックサム等の付加情報ビット列が追加されるため、無圧縮通信時における単位時間あたり実効通信量は回線上のデータレート以下になります。圧縮通信をサポートしているルーターを使用することで、単位時間あたりの実効通信量を向上させることができますが、常に一定の圧縮率を得られるわけでなく、予測は困難です。


イベント通知のケース
RealSecure 6.xの各モジュール間において、16kバイト/秒の通信経路において、1秒あたりの送信可能イベント数をまとめると、下記表のようになります。この表から、Enterprise DatabaseとEvent Collector間の通信が、低速回線の影響を最も強く受けることが分かります。下記表 7で1バイトあたりの容量を求める際に使用している数値(1.3、0.9、10.5)は「表 2」で求めた値をKバイト単位に換算したものです。

モジュール 1イベントあたりの容量 イベント数/秒
Network SensorとEvent Collector間通信 16/1.3 12イベント
ConsoleとEvent Collector間通信 16/0.9 17イベント
Enterprise DatabaseとEvent Collector間通信 16/10.5 1イベント
表 7:128kbps専用線で1秒あたりに通信可能なイベント数

・レポート生成のケース
レポート生成の場合、通信はEnterprise DatabaseとConsole間でのみ発生します。ここではHTTP_Get 124 use Top 20とHTTP_Get 124 use text Dst IPで確認します。まずそれぞれの実測通信量を元に、1秒間に何件のイベントまでレポートできるか確認します。なお下記表 8中で使用している数値(9.7、152.7)は、「表 5」および「表 6」で求めた値をKバイトに換算したものです。

レポート 128kbpsの専用線で転送可能な時間 1秒間で転送可能な件数
HTTP_Get 124 use Top 20 9.7/16=0.60625 (1/9.54375)×124=約13
HTTP_Get 124 use text Dst IP 152.7/16=9.54375 (1/0.60625)×124=約204
表 8:1秒間で転送可能な件数

10,000件のレポートを生成した場合、かかる時間は下記の表のようになります。
レポート 1秒間で転送可能な件数 10,000件転送に要する時間(秒)
HTTP_Get 124 use Top 20 204 10,000/203=約49
HTTP_Get 124 use text Dst IP 13 10,000/13=約770
表 9:1万件分のレポートを転送する際に必要な時間

HTTP_Get 124 use text Dst IPの場合、約13分かかることになります。つまり、Enterprise DatabaseとConsole間は高速のネットワークで接続されている必要があることが分かります。

実装ガイドライン

特に遠隔地のネットワークを監視する必要がある場合、上記結果を鑑み、Console、Event Collector、Enterprise DatabaseはLAN等の高速回線で接続されている必要があります。そうでない場合、イベント検知、レポート作成においてパフォーマンス上の支障が発生する可能性があります。低速回線を挟んで配置できるのはNetwork Sensorだけとなります。

以上


Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。