トラフィックモニターする際の注意点

 トラフィックモニターする際は、ウイルス対策ソフトのファイヤウォール機能やWindowsのファイやウォールを、無効にしておくのを忘れないようにして下さい。受信するパケットがブロックされてモニターできなくなってしまいます。

 ファイヤウォールの設定を切っている間は、パソコンが無防備状態になってしまいますので、せめて、OSは、最新にアップデートしておきましょう。もちろん、トラフィックモニターが終われば、核ファイヤウォールの設定は、有効に戻しておきます。

 さて、モニタリングするPCの設置する場所ですが、モニタリングを実行するPCがLAN上のどの位置に設置されているかによってモニターできる範囲が変わってきます。

 スイッチは、ポートごとにマイクロセグメンテーションします。つまりポートごとにセグメント化が行われます。その結果、スイッチにモニタリングを実行するPCを設置すると自分との通信しかモニタできなくなってしまいます。

 例えば、下の図の位置にモニタリングPCを配置するとネットワーク上に流れるほとんどの通信をモニターできなくなってしまいます。他のPCの通信をモニターしたいのであれば、トラフィックのが集中する場所にセグメントに設置したり、スイッチにポートミラーリングの設定を行ってミラーポートに接続します。

ポートミラーリング

 ポートミラーリングとは、特定のポートを通過するトラフィックを指定したミラーポートにコピーする機能です。ミラーポートに、ネットワークアナライザやRMONプローブなどモニタリングデバイスを接続することで、パケットの解析が行うことができるようになります。

ネットワーク構成図

下図のネットワーク構成でのモニタリンの配置について説明します。

モニタリングPCは、下図のように他のPCの通信をモニターできる場所に設定します。

 最近は、スイッチの値段が安くなり、ハブにとって変わりました。ネットワーク上にハブが設置されるケースが少なくなりました。つまり、広範囲においてネットワークのトラフィックを監視できなくなってきています。その場合は、モニタリングするPCをなるべくネットワークの上流位置に設置して下さい。

上の図だと、WANに接続する部分などが候補としてあがります。

モニタリングの際には、ポートミラーリングなどの手法と併用することも検討してみて下さい。