パケット監視の概要
パケット監視とは
パケット監視のメリット
パケット監視の仕組み
パケット ミラーとは
パケット ミラーの仕組み

パケット監視とは

パケット監視は、SonicWALL ファイアウォール装置を通過する各データ パケットを監視するメカニズムです。パケットは監視とミラーすることができます。監視されたパケットには、データとアドレス情報が両方とも格納されています。パケット ヘッダーからのアドレス情報には以下の内容が含まれています。
インターフェースの識別情報
MAC アドレス
イーサネット タイプ
インターネット プロトコル (IP) タイプ
送信元および送信先の IP アドレス
ポート番号
L2TP ペイロードの詳細
PPP ネゴシエーションの詳細

SonicOS 管理 インターフェースでパケット監視機能を設定できます。管理インターフェースを使用して、監視条件、表示設定、ミラー設定、およびファイル エクスポート設定を構成し、キャプチャされたパケットを表示することができます。

パケット監視のメリット

SonicOS パケット監視機能には、Wireshark (以前は Ethereal と呼ばれた) などの外部ユーティリティを使用せずに、ネットワーク トラフィックを検査するために必要な機能および柔軟性があります。パケット監視は以下の機能を含みます。
個別フィルタリングのために粒度が改良された制御メカニズム (監視フィルタ)
監視フィルタ設定に依存しない表示フィルタ設定
ファイアウォールでパケットの破棄、転送、生成、消費のいずれが行われたかを示すパケット状況
管理インターフェース内の 3 つの出力表示:
パケットの一覧
選択されたパケットのデコード済み出力
選択されたパケットの 16 進ダンプ
エクスポート機能に含まれている、パケットの 16 進ダンプのテキスト、HTML 形式、および CAPファイル形式
バッファが一杯になった場合の FTP サーバへの自動エクスポート
IP ドレスおよびポートに基づいた両方向のパケット監視
パケット監視バッファが一杯になった場合の設定可能なラップ

パケット監視の仕組み

管理者として、パケット監視ツールの一般設定、監視フィルタ、表示フィルタ、監視の詳細設定、および FTP 設定を構成できます。ネットワーク パケットがパケット監視サブシステムに入ると、監視フィルタ設定が適用され、結果のパケットがキャプチャ バッファに書き込まれます。表示フィルタ設定は、管理インターフェースでバッファ コンテンツを表示したときに適用されます。キャプチャ バッファをログに記録して管理インターフェースで参照できます。 また、バッファが一杯になったときに FTP サーバに自動転送されるように設定できます。

最初に設定しなくてもパケット監視を使用できるように、既定の設定が用意されています。基本的な設定は以下のとおりです。

 

表 15. パケット:基本的な機能

開始:

キャプチャの開始」を選択して、SonicWALL とコンソール システムの管理インターフェースとの通信に使用されるパケットを除く、すべてのパケットのキャプチャを開始します。

停止:

ミラーの停止」を選択してパケット監視を停止します。

クリア:

クリア」を選択して、「パケット監視」ページに表示された状況カウンタをクリアします。

再表示:

再表示」を選択して、「キャプチャされたパケット」ウィンドウに新しいバッファ データを表示します。次に、ウィンドウ内の任意のパケットを選択すると、「パケットの詳細」ウィンドウにヘッダー情報、「16 進ダンプ」ウィンドウにデータが表示されます。

次に
エクスポート:

ドロップダウン リストから選択したファイル形式で、現在のバッファのスナップショットが表示または保存されます。保存されたファイルは、ローカルの管理システム (管理インターフェースが動作しているシステム) 上に配置されます。以下の形式から選択します。
Libpcap - データを Wireshark (以前は Ethereal と呼ばれた) ネットワーク プロトコル アナライザで表示する場合は、CAP 形式を選択します。これはまた、libcap または pcap 形式として知られています。ダイアログから、バッファ ファイルを Wireshark で開くか、ローカル ハード ドライブに .pcap の拡張子で保存することができます。
Html - データをブラウザで参照したい場合は、Html を選択します。「ファイル > 名前を付けて保存」を使用して、バッファのコピーをハード ドライブに保存することもできます。
テキスト - データをテキスト エディタで参照したい場合は、テキストを選択します。ダイアログでは、バッファ ファイルを登録されているテキスト エディタで開いたり、ローカル ハード ドライブに .wri の拡張子で保存できます。
App データ - パケットに含まれるアプリケーション データのみを参照したい場合は、App データを選択します。アプリケーション データを含まないパケットはスキップされます。(アプリケーション データ)=(キャプチャされたパケット)-(L2、L3、および L4 ヘッダ) です。

次の図は、パケット監視サブシステムの概要です。さまざまなフィルタと、フィルタがどのように適用されるかを示しています。

図 2. フィルタを示すパケット監視サブシステム

パケット ミラーとは

パケット ミラーは、あるインターフェース上で見られたパケットのコピーを、別のインターフェースやリモートSonicWALL 装置に送る処理です。

ミラーには、2 つの側面があります。

分類 - ミラーされるように選択されたパケットのセットを特定することです。あるインターフェースから着信および発信されるパケットがフィルタと照合されます。一致すると、ミラー動作が適用されます。

動作 - 選択されたパケットのコピーをポートやリモート宛先に送信することです。分類フィルタと一致したパケットはミラー宛先の 1 つに送信されます。特殊なミラー宛先は、動作識別者の一部です。

パケット ミラーの仕組み

すべての分類フィルタは、動作識別子に関連付けられています。最大 2 つの動作識別子を定義でき、2 つのミラー先 (同一ファイアウォール上の物理ポート、および/または、1 台のリモート SonicWALL ファイアウォール) をサポートします。この動作識別子は、パケットがどのようにミラーされるか決定します。以下の種別の動作識別子がサポートされます。
コピーを物理ポートに送信する。
パケットをカプセル化して、それをリモート SonicWALL 装置に送信する。
設定された VLAN を使って、コピーを物理ポートに送信する。

分類は、「パケット監視の設定」ウィンドウの「監視フィルタ」と「詳細監視フィルタ」タブで設定します。

ローカル SonicWALL ファイアウォールを、リモート SonicWALL ファイアウォールからのリモートでミラーされたトラフィックを受信するように設定できます。ローカル ファイアウォールでは、受信したミラーされたトラフィックをキャプチャ バッファに保存することも、別のローカル インターフェースに送信することもできます。これは、「パケット監視の設定」ウィンドウの「ミラー」タブの「リモート ミラー設定 (受信側)」セクションで設定します。

SonicOS は、次のパケット ミラーリング オプションをサポートしています。
指定したインターフェースにパケットをミラーする (ローカル ミラー)。
選択したトラフィックのみミラーする。
SSL 復号化されたトラフィックをミラーする。
レイヤ 2 とレイヤ 3 ヘッダおよびペイロードを含む完全なパケットをミラーする。
リモート SonicWALL にパケットをミラーする (リモート ミラーリング Tx)。
リモート SonicWALL 装置からのミラーされたパケットを受信する (リモート ミラーリング Rx)