サイト内の現在位置を表示しています。

InfoCage 不正接続防止 - FAQ

1.全体

Q1InfoCage 不正接続防止の導入事例を教えてください。
A1

2002年末から全NECグループに導入中です。

Q2InfoCage 不正接続防止をNAT環境に導入することはできますか?
A2

以下の条件を満たせば、InfoCage 不正接続防止の導入が可能です。
■マネージャとエージェント(InterSec/NQ30、NetworkAgent、SwitchManager)間について
マネージャとエージェントの間で、1対1に変換されるようにSNAT、DNATを設定してください。
■RemoteConsoleとInterSec/NQ30間について(InfoCage 不正接続防止 Lite)
条件なしで導入可能です。

Q3各モジュールの管理可能台数を教えてください。
A3

■集中管理モード(VLANグループ管理)
◆マネージャ

  • エージェントの管理台数:400台
  • VLANの管理個数:400個
  • ホストの管理台数:300,000件(*1)
◆エージェント

  • 管理可能なホスト台数
  • Windows版NetworkAgent:2,000件(*2)
  • InterSec/NQ30c:4,000件(*2)
  • InterSec/NQ30d,e:8,000件(*2)
  • SwitchManager:10,000件(*3)
■集中管理モード(ドメイン・サイト・エージェント管理)
◆マネージャ

  • エージェントの管理台数:400台
  • ホストの管理台数:300,000件(*1)
◆エージェント

  • 管理可能なホスト台数
  • Windows版NetworkAgent:2,000件(*2)
  • InterSec/NQ30c:4,000件(*2)
  • InterSec/NQ30d,e:8,000件(*2)
  • SwitchManager:10,000件(*3)
■分散管理モード
◆マネージャ

  • エージェントの管理台数:100台
  • ホストの管理台数:10,000件(*4)
◆エージェント

  • 管理可能なホスト台数
  • Windows版NetworkAgent:2,000件(*2)
  • InterSec/NQ30c:4,000件(*2)
  • InterSec/NQ30d,e:8,000件(*2)
  • SwitchManager:10,000件(*3)
■Lite
◆リモートコンソール

  • エージェントの管理台数:1台(*5)
◆エージェント

  • 管理可能なホスト台数
  • InterSec/NQ30c,d,e:1,000件(*2)
(*1)ホスト情報一覧で条件なしで検索した時の表示件数。ただし、1日にSiteManagerからDomainManagerへアップロードされるホスト数の上限値は100,000件。
(*2)エージェントが1日に検出したMACアドレス数(目安としてホスト一覧の最終検出日がその日になっているものの件数) 。IPv6アドレスも防止対象とする設定を行った場合(デフォルトはIPv6は防止対象としない)、IPv6アドレスもカウントします。 例)スマートフォンがIPv4アドレス1つ、IPv6アドレス2つの計3つ保持していた場合、3件としてカウント
(*3)SwitchManager配下に接続されるクライアント数
(*4)全エージェントのホスト一覧数の合計
(*5)接続時に接続するエージェントを一台指定します。別のエージェントに接続時は、接続しなおす必要があります。

Q4エージェント導入時の通信負荷を教えてください。
A4

エージェントは監視対象のホストに対して、以下のパケットを定期的に送信します。

  • 遮断用パケット(送信間隔1秒):64Byte×遮断対象台数
  • コンピュータ名取得用パケット(送信間隔15分):400Byte
  • 機種判別用パケット(送信間隔1日):2600Byte
詳細やエージェント以外の通信量はこちらをご参照ください。

Q5承認済み端末でも、長期間ネットワークに接続していない場合、接続防止の対象とすることはできますか?また、防止対象となるまでの期間を設定できますか?
A5

[新規ホストの状態(色)設定]を「赤にする」に設定し、「更新されないホストの自動削除」機能を利用することで実現できます。「更新されないホストの自動削除」は1~366日が指定できます。
上記設定を行うと、指定された期間ネットワークに接続されたことが確認できなければ(エージェントが収集しなければ)自動的に削除されます。その後、該当PCをネットワークに接続した場合、新規ホストとして「赤」で登録されるため、接続を防止できます。

Q6管理台数の上限値を超えた場合はどうなりますか?
A6

各モジュールの上限値は、本来の性能を発揮できる値として提示しています。これらの上限値を超えた場合、各モジュールで実施している全ての動作に影響が生じ、仕様どおりの動作・性能を維持することが難しくなります。よって、上限値を超えた環境での運用については動作保証外となりますので、ご了承ください。

Q7ディスク使用量はどのくらいになりますか?
A7

各ディスク使用量は、下記の通りです。

  • マネージャのホスト情報ファイルのディスク使用量
    マネージャが保持しているホスト情報ファイルのサイズの目安は下記です。
    ホスト件数:1,000件 ⇒200KB
  • マネージャのデータベースのディスク使用量

 

1データあたりのサイズ(Byte)

データ数

最大

標準※

ドメインデータ

1109

595

1

サイトデータ

1262

643

サイト数

エージェントデータ

2550

1296.5

エージェント数

ホストデータ

6235

3148.5

ホスト数

アラートデータ

1305

148

アラート数

IP変更履歴データ

88

50.5

履歴数

DBロックデータ

109

59

1

ホスト項目表示データ

10927

5537

ユーザ数

アラート設定データ

1629

829

1

ユーザデータ

475

246

ユーザ数

ユーザ権限データ

62

31.5

設定権限数

レポートデータ

103

103

1

スイッチ構成データ

538

269.5

スイッチ構成情報数

スイッチMACアドレスデータ

27

14

MAC数

インポート状態データ

1037

525

1

検索項目表示データ

10704

5424

1

承認申請ユーザデータ

553

46.5

承認申請ユーザ数

設定項目名データ

34

18

1

承認申請設定データ

2072

1044

1

エージェント項目表示データ

3345

1695

ユーザ数

VLANグループデータ

366

183

VLANグループ数

VLANデータ

1283

641.5

VLAN数

機種別許可設定データ

131

165.5

機種種別数

※ 可変長フィールドを約半分使用したと仮定

上記をもとにした計算例を下記に示します。
【計算例】

サイト数: 2
エージェント数: 50
ホスト数: 50000
アラート数(アラート管理画面で表示される総数): 200000
IP変更履歴データ(IP変更履歴管理画面で表示される総数): 200000
ユーザ数: 10
   ユーザ1: ドメイン管理者
   ユーザ2: 1個のサイト管理者
   ユーザ3: 10個のエージェント管理者
   ユーザ4~10: 1個のエージェント管理者
承認申請ユーザ数: 10000
VLANグループ数: 20
VLAN数: 500
OS種別数: 10

 

データ数

1データサイズ

ドメインデータ

1

595

595

サイトデータ

2

643

1286

エージェントデータ

50

1296.5

64825

ホストデータ

50000

3148.5

157425000

アラートデータ

200000

148

29600000

IP変更履歴データ

200000

50.5

10100000

DBロックデータ

1

59

59

ホスト項目表示データ

10

5537

55370

アラート設定データ

1

829

829

ユーザデータ

10

246

2460

ユーザ権限データ

19

31.5

598.5

レポートデータ

1

103

103

スイッチ構成データ

100

269.5

26950

スイッチMACアドレスデータ

1000

14

14000

インポート状態データ

1

525

525

検索項目表示データ

1

5424

5424

承認申請ユーザデータ

10000

46.5

4650000

設定項目名データ

1

18

18

承認申請設定データ

1

1044

1044

エージェント項目表示データ

50

1695

84750

VLANグループデータ

20

183

3660

VLANデータ

50

641.5

32075

機種別許可設定データ

10

165.5

1655

 

合計

202,071,226.5 (Byte)

Q8各モジュールのバージョンが一致していなくても運用できますか?
A8

各モジュールのバージョンは一致させてください。一致しない場合、動作保障外となります。ただし、リビジョン(※)は不一致でも問題ありません。
※バージョンがXX.Yzの場合
XX:メジャーバージョン。01~09
Y:マイナーバージョン。1~9
z:リビジョン。無し、あるいはa~z

Q9ギガビットイーサの環境でも運用できますか?
A9

運用できます。

Q10無線LANで接続されている端末(PC、携帯端末)を管理することはできますか?
A10

無線LANのアクセスポイントは設定などによって、有線LANとは違った制御を行うことがあり、PC・携帯端末のデータ収集、不正接続防止が出来ない場合があります。シスコシステムズ社のAironetは特に注意が必要です。
PC・携帯端末のデータ収集、不正接続防止ができるかどうかは、ご利用の環境に依存しますので、評価版を利用して検証されることをお勧めします。なお検証される場合、以下をご確認ください。

  • ホスト一覧に無線LAN端末に設定されているMACアドレス、IPアドレスが登録されること
  • 検出された無線LAN端末に対して不正接続防止機能が正常に動作する(無線LAN端末がサーバ等の他端末に接続できない)こと
  • ある端末を不正接続防止しているときに、他の承認済み端末やアクセスポイントが通信不可にならないこと

■PC・携帯端末のデータ収集と不正接続防止が出来ないケース
端末のMACアドレスがInfoCage 不正接続防止で収集出来ない環境では、データ収集も不正接続防止もできません。

  • アクセスポイントのルータ機能が有効となっている
    ルータ動作の場合は、端末のMACアドレス情報がルータを超えられませんので収集できません。
    (設定変更例:接続機能の設定をブリッジモード[ブリッジタイプ]にする)
  • アクセスポイントがARPの代理応答をする設定となっている
    端末のMACアドレスを全て、アクセスポイントのMACアドレスとして処理する設定の場合、端末の正しいMACアドレスが収集できません。
    (設定変更例:proxy ARP機能を無効化する)

■不正接続防止が出来ないケース
InfoCage 不正接続防止は偽装したARPパケットにより端末の不正接続防止を行います。アクセスポイントがARPパケットをそのまま通過させない場合、端末を防止できない、意図しない端末が通信不可となるなどの影響が考えられます。

  • アクセスポイントのARPキャッシング機能が有効となっている
    ブロードキャストパケット削減等の目的で、アクセスポイントがARP情報を学習しARPの代理応答をする、ARPキャッシング機能があります。
    このARPキャッシング機能を実現する為に、アクセスポイントは自身宛てでなくても通過するARPパケットから学習を行います。不正接続防止の為に発行した偽装ARPも学習され、不正接続防止対象でない端末やアクセスポイント自体の通信を妨害してしまうことになります。
    ARPキャッシング機能を設定で無効化しても、この学習機能自体を設定で無効化できない場合、アクセスポイント自体の通信が悪影響を受けます。この機能を持つ代表的なアクセスポイントとして、シスコシステムズ社のAironetがあります。このケースでは、(*)に従って対処してください。
    (*)Aironetをご利用の場合、以下のどちらかの設定を行ってください。

    • 管理用VLANとデータ用VLANを別々のVLANとする
      BVI1(Bridge-Group Virtual Interface)を利用する管理用VLAN(native vlan)とデータ用VLANが同一のVLANとなっている場合、Aironetは中継したARPパケットの情報で自身の通信ためのARPテーブルを更新します。別々のVLANとすることにより、中継したARP情報を学習しなくなります。
    • Aironetが通信する先(同一ネットワークのL3スイッチ、RADIUSサーバなど)のARP情報をStaticで登録する
      ARP情報をStaticで登録することにより、偽装されたARPパケットを中継してもAironetの通信に必要なARP情報が偽装されなくなります。
  • 本ケースは、全バージョンのInterSec/NQ30、NetworkAgentに該当しますが、V3.8以上のInterSec/NQ30でより発生しやすくなっています。V3.7以前で発生しておらず、V3.8以上で発生した場合、承認申請機能を無効にすることで発生しなくなります(InterSec/NQ30 V3.8c以降)。

Q11スマートフォン、タブレット端末、スマートブックに対応していますか?
A11

はい、対応しています。
不正接続防止および承認申請機能が利用可能です。
検出されたホストがスマートフォン、タブレット端末、スマートブックであるかどうかを判別することはできません。
なお、IPv6アドレスで通信することがありますので、InterSec/NQ30に、IPv6アドレスも防止対象とする設定を行ってご利用ください。IPv6アドレスをご利用時はQ3のシステム諸元を再度ご確認いただき、管理可能なホスト台数内での運用をお願いいたします。

Q12利用するネットワーク機器に注意事項はありますか?
A12

ご利用のネットワーク機器が、ARPパケットを意識した特殊機能を持つ場合、注意が必要です。
具体的に確認している事例、機器として以下があります。
InfoCage 不正接続防止を利用するには、該当する機能を無効化して頂く必要があります。

  1. ARPの代理応答(proxy ARP機能)機能を持つ場合
  2. ARPキャッシング機能を持つ場合
    • シスコシステムズ社 Aironet(無線アクセスポイント機器)にて本機能を持つことを確認しています。
  3. 不明なARP情報を自己解決する機能を持つ場合
    (InfoCage 不正接続防止側で送信する偽装ARP情報が打ち消されてしまうため)
    • Brocade社 BigIron RXシリーズ のスイッチで本機能が無効化できない事例を確認しています。
なお、1、2 のケースについては、無線LANに関するFAQ にて詳細を記載しております。
また、接続ポート検知機能をご利用の際は、スイッチへの要件があります。 詳細は、接続ポート検知のマニュアルを参照してください。マニュアルを希望される方は、お問合せください。

なお、スイッチの要件を満たしていても、ご利用になれない場合があります。そのため、InfoCage 不正接続防止の評価版で事前に検証してください。

Q13機種判別機能ではどの様な機種が判別可能ですか?
A13

機種判別機能で判別可能な機種は以下の通りです。(*1)(*2)
----
Windows
Linux
Mac
iOS
ネットワーク機器
----
(*1)判別対象機器のポートの開閉状況によって、正しく判別できない場合があります。
(*2)Windows Vista以降の場合、SMBポート(139/TCP or 445/TCP)が開いていれば、Service Packまで取得できます。

Q14InterSec/NQ30で複数のVLANを監視する場合に必要なライセンスの考え方を教えてください。
A14

InterSec/NQ30(以降エージェント)は、L3スイッチのtrunkポートに接続することで、1台の機器で複数のVLANを管理することができます。この場合、「管理するVLAN数 - エージェント台数」のVLAN追加ライセンスの購入が必要です。
例えば下記のような、1台のInterSec/NQ30で10個のVLANを管理する場合、必要なVLAN追加ライセンスは「10 - 1 = 9」の9ライセンスです。

Q15冗長化構成する際に必要なライセンス数を教えてください。
A15

■マネージャ
 マネージャのインストール数分必要です。
 2台のサーバにインストールして冗長化構成にする場合、2ライセンス必要になります。
■エージェント
 ◆InterSec/NQ30
  現用系、待機系問わず、動作中のエージェント数分必要です。
  例えば、現用系2台、待機系1台で冗長化構成にする場合、3ライセンス必要になります。
 ◆Windows版NetworkAgent
  冗長化構成をサポートしていません。

■VLAN追加ライセンス
 [管理VLAN数 - 現用系エージェント台数]分のライセンスが必要になります。

Q16特定のVLANのみ「データ収集」や「不正接続防止」を開始できますか?
A16

マネージャ、エージェントをそれぞれ以下の構成で運用することで、VLAN単位で「データ収集」、「不正接続防止」を開始できます。

 ■マネージャ
 集中管理モード(VLANグループ管理)

 ■エージェント(InterSec/NQ30d,e)
 タグVLAN機能が有効

2. InfoCage 不正接続防止 エージェント

Q1InfoCage 不正接続防止のホスト発見機能はパケットモニタリング型ですが、スイッチ環境でも導入は可能ですか?
A1

可能です。スイッチ環境では自分宛のパケットおよびブロードキャストパケットしかモニタリングできませんが、InfoCage 不正接続防止は ARP(Address Resolution Protocol)などのブロードキャストパケットも監視することにより、スイッチ環境でも導入が可能です。

Q2発見できない機器はありますか?
A2

パケットを流さない機器は発見できません。また、スイッチの設定でブロードキャストもブロックするよう設定されているなど、エージェントがパケットを検出できない場合は、発見することができません。

なお、上記のような機器の検出を促進するためのツールを用意していますので、状況に応じてご利用ください。

Q3NetworkAgentがシステムに負荷を与えることはありますか?
A3

CPU負荷に関しては、ネットワーク負荷が 2~3Mbpsの状態で、他のプロセスに与える影響度(NetworkAgent休止時と、NetworkAgent稼動時に、他のプロセスが高速処理を行うときの所要時間の増分)が 15% 以内であることを確認しています。
プロセスの優先度を下げていますので、システムが暇な時は忙しく、システムが高負荷の時はおとなしく動作するように設計しています。

Q41台のエージェントで、どのくらいの大きさのサブネットを監視できますか?
A4

サポートするサブネットマスクの長さは8~30です。

Q51台のエージェントで複数のサブネットを監視することはできますか?
A5

●タグVLAN環境の場合
1台のエージェントで複数VLANを監視できます。
【InterSec/NQ30d,e】32VLANまで
【InterSec/NQ30c】16VLANまで
【Windows版NetworkAgent】タグVLANに対応していません。

●非タグVLAN環境の場合
【InterSec/NQ30d】1台で2つのサブネットを監視できます(LANポート1つにつきサブネット1つ)。
【InterSec/NQ30e】1台で3つのサブネットを監視できます(LANポート1つにつきサブネット1つ)。
【InterSec/NQ30c、Windows版NetworkAgent】複数のサブネットを監視することはできません。

Q6無線LANを利用することはできますか?
A6

無線LANカードを使用しているマシンにネットワークエージェントをインストールした場合、無線LANカードのベンダによっては、WinNITドライバでのパケット収集ができない場合がありますので、評価版で確認を行ってください。

Q7InterSec/NQ30の自動バージョンアップ機能を即時に実行するには?
A7

InterSec/NQ30を自動バージョンアップさせるには、最大で1時間かかります。この時間を短くしたい場合は、サイトコンソールを起動し、エージェント設定ダイアログを表示して[OK]ボタンを押下してください。

Q8エージェントによる機能の違いを教えてください。
A8

エージェントによる機能の違いは下記をご参照ください。
InterSec/NQ30、NetworkAgent、スイッチ連携の比較

3. InfoCage 不正接続防止 マネージャ

Q1不正接続防止機能を利用する上での注意点を教えてください。
A1

不正接続防止機能を利用する場合は以下の点に注意してください。

  • 更新されないホスト情報の自動削除機能を利用する場合
    サイトコンソールの[ツール]-[ホスト一覧設定]で「更新されないホスト情報の自動削除」をチェックしている場合、指定期間が経過した古いエントリは自動削除されるため、不正接続防止機能を利用していると再度削除されたホストがネットワークへ接続しようとした場合、不正接続とみなされ接続が妨害されます。その場合は、再度 ホスト一覧 から “承認 → 保存” 作業を行ってください。
  • 共有ネットワークの場合
    ひとつのLANを複数のサブネットで使用するネットワーク環境では、別ネットワークからのパケットをネットワークエージェントが収集してしまうため、不正接続防止機能が正常に動作しない恐れがあります。Ver3.1以上の場合は、「共有ネットワーク対応機能」を利用することで対応可能ですが、Ver2.2以前の バージョンの場合は、このような環境で不正接続防止機能を利用しないでください。

Q2ホストが接続(発見)されたことを知る方法を教えてください。
A2

新規ホストを発見したことを管理者に知らせる方法として以下のものがあります。

  • アラートダイアログを表示
  • メールを送信
  • 任意のコマンドを起動する
  • SNMPトラップメッセージを送信

Q3不正接続防止中に「青(承認済み)」のホストを「赤(未承認)」に変更しても防止されないことがある。
A3

一旦承認されたホストは、すでに正しいARPテーブルを保持しているため接続を防止することができない場合があります。「青 → 赤」に変更したホストの接続を防止したい場合は、該当するホストのARPテーブルを削除するか、そのホストを再起動する必要があります。

Q4ホスト一覧に表示されない情報がある理由を教えてください。
A4

■IPアドレスが表示されない理由

  • 監視対象外のIPアドレスを持つパケットを収集した場合
  • 収集したパケットにMACアドレスしか含まれなかった場合
 (注)集中管理モードの既定値で運用している場合、IPアドレスが表示されないホスト情報は、ホスト一覧に表示されません。


■OS種別、コンピュータ名が表示されない理由
 各ホストでパーソナルファイアウォール等により、名前解決、OS取得に利用するポートが閉じられている場合

Q5集中管理機能の識別方式とは?
A5

『識別方式』とは、MACアドレス、IPアドレスの組み合わせでホストの接続可否(色)を設定する承認タイプです。従来は"MACアドレスのみ" をキーとして接続可否を判定していましたが、集中管理機能を利用することにより、キーとする条件の選択ができるようになりました。

  • [M+I] "MACアドレス" と "IPアドレス" の組み合わせで接続可否を判定します。
  • [M+D] "MACアドレス" と "IPアドレス(DHCP)" の組み合わせで接続可否を判定します。 IPアドレスはエージェントで設定しているDHCPスコープが対象となります。
  • [MAC] "MACアドレス" のみをキーとして接続可否を判定します。
  • [IP] "IPアドレス" のみをキーとして接続可否を判定します。
  • [DHCP] "IPアドレス(DHCP)" のみをキーとして接続可否を判定します。 IPアドレスは エージェントで設定しているDHCPスコープが対象となります。
  • [(MAC)] SiteManagerに設定されている「新規ホストの状態(色)」に基づいて接続可否を決定します。

識別方式の優先順位は 『 M+I > M+D > MAC > IP > DHCP > (MAC)』 です。
同じアドレスに対して同一の識別方式が設定されている場合、状態(色)の設定に応じて 「赤 > 黄 > 青」の順で優先します。