はじめに
暗号化されたトラフィック量は年々増大しており、実際2015年から2016年にかけてSSL/TLSにより暗号化されたトラフィックは90%増加しました。世界有数のリサーチ企業であるガートナーは2019年までにはウェブ上のトラフィックの80%が暗号化された通信になると予測しています。
このような変化に伴い、使用する暗号化方式などの企業ポリシーを遵守することが非常に重要となり、暗号化監査の必要性が生まれています。
ソリューション
Netflowのencryption fieldsをStealthwatchと使用することにより使用されている暗号スイートのモニターや検索が可能となります。
最小要件
本ドキュメントで説明する内容を利用するための最小要件は以下の通りです。
- core/distribution からの全ての host-to-host 通信のビジビリティがある
- Stealthwatch リリースバージョン 7.1.0またはそれ以降
かつ、以下のうちのどれか1つが必要となります。
- Cisco Catalyst 9300シリーズ または 9400 シリーズ
- ASR 1000 シリーズ アグリゲーション サービス ルータ
- 4000 シリーズ サービス統合型ルータ
- Cloud Services Router 1000V シリーズ
- Catalyst 9800 シリーズ ワイヤレス コントローラ
- Stealthwatch 7.1.0 と 7.1.0 Flow Sensor
設定方法
Stealthwatch 7.1.0の時点で、Flow Sensorには暗号化されたトラフィック分析(ETA)を提供する機能があります。この機能を利用するには、Flow SensorでETAを有効にする必要があります。StealthwatchのWeb UIからCentral Managerに遷移します。
Flow SensorのACTIONS欄にあるアイコンをクリックし、View Appliance Statisticsを選択します。
Flow SensorのWeb UIにログインします。
左サイドメニューからConfiguration -> Advanced Settingsを選択します。
Enable ETA Processingのチェックボックスを有効にし、Applyボタンを押下します。
以上の設定でFlow Sensorにて暗号化された通信の処理が可能となります。