パケット収集の構成

AWSクラウドでパケットを収集するように、Packet Decoderを、次のサード パーティ製ソリューションのいずれかと統合できます。

• Gigamon® GigaVUE
• f5® BIG-IP

Packet DecoderとGigamon GigaVUEとの統合

Gigamon^®サード パーティTapベンダー パケット キャプチャ ソリューションを構成する次の2つの主なタスクがあります。

タスク1：Gigamon^®ソリューションに統合します。

タスク2：Packet Decoderでトンネルを構成します。

タスク1：Gigamonソリューションの統合

AWS Marketplaceを通じてAWSでGigamon^® Visibility Platformが利用可能で、BYOLライセンスによりアクティブ化されます。30日間無償トライアルも利用できます。

Gigamon^®ソリューションの詳細については、「Gigamon^® Visibility Platform for AWS Data Sheet」（https://www.gigamon.com/sites/default/files/resources/datasheet/ds-gigamon-visibility-platform-for-aws-4095.pdf）を参照してください。

導入の詳細は、「Gigamon® Visibility Platform for AWS Getting Started Guide」（https://www.gigamon.com/sites/default/files/resources/deployment-guide/dg-visibility-platform-for-aws-getting-started-guide-4111.pdf）を参照してください。

Gigamon GigaVUE-FM内に「モニタリング セッション」が導入された後は、Packet Decoderのトンネルを構成できます。

タスク2：Packet Decoderでトンネルを構成する

1. DecoderにSSHで接続します。
2. 次のコマンドを実行します。

   $ sudo ip link add tun0 type gretap local any remote <ip_address_of_VSERIES_NODE_TUNNEL_INTERFACE> ttl 255

   $ sudo ip link set tun0 up mtu <MTU-SIZE>

   $ sudo ifconfig (to verify if the tunnel tun0 is being listed in the list of interfaces)

   $ sudo lsmod | grep gre ( to make sure if the below kernel modules are running:

   ip_gre 18245 0

   ip_tunnel 25216 1)

   If they are not running then execute the below commands to enable the modules

   $ sudo modprobe act_mirred

   $ sudo modprobe ip_gre

3. トンネルを通るトラフィックを許可するように、Packet Decoderにファイアウォール ルールを作成します。
   1. iptablesファイルを開きます。
      vi /etc/sysconfig/iptables
   2. -A INPUT -p gre -j ACCEPT行をcommitステートメントの前に追加します。
   3. 次のコマンドを実行して、iptablesを再起動します。
      service iptables restart
      
4. Packet Decoderで、インタフェースを設定します。
   1.  NetWitness Suiteにログインし、Packet Decoderサービスの［エクスプローラ］ビューでdecoder/configノードを選択します。
   2. capture.selected = packet_mmap_,tun0を設定します。
      
      
5. （条件に応じて）Packet Decoderに複数のトンネルがある場合。
   1. Packet Decoderでトンネルを作成した後は、Decoderサービスをリスタートします。

   2. NetWitness Suiteにログインし、Packet Decoderサービスの［エクスプローラ］ビューでdecoder/configノードを選択して、次のパラメータを設定します。

      capture.device.params = interfaces=tun0,tun1,tun2

      capture.selected = packet_mmap_,All

      
      

6. Decoderサービスをリスタートします。
   $ sudo restart nwdecoder
   ユーザは、Decoderにネットワーク トラフィックをキャプチャするようにすべて設定する必要があります。

新しいプロジェクトを作成し、使用するプロジェクト キーを取得するには、次の手順を完了します。

Packet Decoderとf5® BIG-IPの統合

IG IP VE（Virtual Edition）は、インライン仮想サーバで、ロード バランサーです。f5®ボックスの一般的なユースケースは、クラウドのWebサーバ プールへのリクエストを管理する単一のIPアドレス/ホスト名を提供する仮想Webサーバです。

RSA NetWitness® Suiteへのすべてのトラフィックは、f5® BIG-IP VE仮想サーバを通過します。

macアドレスを書き直し、宛先スニファとの共有サブネットにロードすることにより、BIG-IPの仮想サーバ機能は指定コンピュータへのすべてのトラフィックのクローンを作成します。このガイドでは、Decoderをスニファとして設定する方法について説明します。

f5® BIG-IP VEの導入情報

AWS Marketplaceを通じてAWSでf5® BIG-IP VEが利用可能で、BYOLライセンスによりアクティブ化されます。30日間無償トライアルも利用できます。

このソリューションの詳細については、「f5® BIG-IP DNS Data Sheet」（https://www.f5.com/pdf/products/big-ip-dns-datasheet.pdf）を参照してください。

タスク1：BIG-IP VE仮想サーバ インスタンスのセットアップ

BIG-IP VE仮想サーバ インスタンスをセットアップします（「BIG-IP Virtual Edition 12.1.0 and Amazon Web Services: Multi-NIC Manual」（https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ve-multi-nic-setup-amazon-ec2-12-1-0.html）の手順）。最後のステップ「Creating a virtual Server.」までのすべての手順を完了します。

この仮想サーバでは、パケット キャプチャを実行します。使用するボリュームによっては複数の仮想サーバを作成する必要があります。

仮想サーバの作成の一環として、仮想サーバでルーティングされるトラフィックを処理するためにNetWitness Suiteドメインで少なくとも1つのサーバが必要です（たとえば内部サーバをホストするため、AWSで別のインスタンスを作成できます）。

タスク2：クローン プールの作成

1. 使用するDecoderに、BIG-IP VEインスタンス上のネットワーク インタフェースの1つと同じサブネット上のネットワーク インタフェースがあることを確認します。
   クローン プールがMACアドレスを書き直してネットワーク インタフェースから送信することによって、パケットをDecoderに送信します。MACアドレスを書き直すと、パケットを別のサブネットにルーティングできます。
2. BIG-IP VE仮想サーバ内でクローン プールを設定します（「K13392：Configuring the BIG-IP system to send traffic to an intrusion detection system (11.x - 13.x)」の記事（https://support.f5.com/kb/en-us/solutions/public/13000/300/sol13392.html）の手順）。
   このドキュメントでは、クローン プールを作成する方法とクローン プールへの既存の仮想サーバのコピー トラフィックを作成する方法について説明します。この例では、Decoderインスタンスをクローン プールに配置します。

ガイドライン

次のガイドラインにより、BIG-IP VEを使用したパケット収集を適切に構成できます。

• Decoderインスタンスは、BIG-IP VEと同じサブネットのいずれかに独自のIPアドレス持つ必要があります。BIG-IPがそのIPアドレスを使用してDecoderをクローン プールの一部として識別します。
• BIG-IPでは、クローン プールにDecoderインスタンスを追加するときに、IPアドレスに加えてポート番号も指定するように求められます。このポート番号は、クローン トラフィックには関係ありません。Decoderは、ここで使用されたポート番号に関係なく、すべてのクローン トラフィックを受信します。
• デフォルトでは、DecoderとBIG-IP VEによって共有されるAWSサブネットでは、BIG-IP VEインタフェースからDecoderインタフェースにクローン トラフィックが送信されることは許可されません。AWSのDecoderとBIG-IP VEの両方のネットワーク インタフェースでsource/dest. checkを無効にする必要があります。
• デフォルトでは、Decoderインスタンスには単一のネットワーク インタフェース、eth0が必要です。Decoderは、このインタフェースでトラフィックをキャプチャしますが、管理トラフィックもこのインタフェースで受信する場合があります。ネットワーク ルールを使用してsshおよびnwdecoderトラフィックをキャプチャ ストリームから除外することを推奨します。これらはポート22（ssh）および50004/56004（nwdecoder）です。

トラブルシューティングのヒント

パケットがDecoderによって受け入れられない場合、トラブルシューティングのポイントがあります。

• BIG-IP VEが適切なインタフェースから、パケットを送信していることを確認します。
  BIG-IP VEインスタンスに、tcpdumpが含まれています。これを使ってクローン パケットが適切なインタフェースから送信されていることを確認します。送信されていない場合、クローン プールまたは仮想サーバのセットアップに問題があります。
• Decoderがパケットを受信していることを確認します。
  Decoderにはtcpdumpがインストールされています。これを使用して、Decoderがパケットを受信していることを確認します。Decoderがパケットを収集していない場合、次のことを確認します。
  • AWS source/dest. checkがオフである。
  • パケットのクローンを作成するためにBIG-IP VEが使用するインタフェースと同じサブネットにDecoderがある。