VoIP IDS/ネットワークフォレンジック NX-C6000/NX-C6500

VoIPやIMSの網内を流れる信号をキャプチャ・監視する、ネットワーク型IDS&フォレンジック製品です。
IDSとしてセキュリティ上の脅威を検知すると共に、問題発生時の解析に役立つフォレンジック機能を併せ持ちます。それに加えて、サイレント故障の検出や異常システムの自動特定を行い、検出・特定した際の自動対策化が可能です。セキュリティ脅威への対策だけでなく、問題解析の業務効率向上に寄与する、IP電話システムの保守上の課題を解決するために必要な機能を集約したシステムです。

c6000イメージ.png

特長

ネットワークの「見える化」とセキュリティインシデント予兆の検出
  • ネットワークを流れるすべてのSIP/H.323/Diameter/SIP-I/SIP-T(※1)メッセージを蓄積し、問題対応で検索、関連コールシーケンスを表示
  • メッセージの流量をメソッド別、メッセージ種別、特定ユーザ別などでグラフ化
  • メッセージ流量の変化を監視し、DoS/DDoS攻撃を素早く検知
  • 異常検出時には自動でアラーム出力
  • 異常SIPメッセージをリアルタイムで自動解析・自動検出
  • (※1) H.323、Diameter、SIP-I/SIP-Tはオプションライセンスにより提供
IMS/VoIPネットワークにおける運用保守の効率化と設備投資の最適化
  • ネットワーク故障、異常の早期検知
  • オンデマンドで全体/個別のトラフィックをグラフやTopリストで表示可能
ハイパフォーマンス
  • 18,000メッセージ/秒 (約10億メッセージ/日)、バースト時にも34,000メッセージ/秒のキャプチャ性能を実現
  • メッセージ蓄積量に制限なく、メッセージ検索も即座に結果表示
保守作業の効率化と顧客満足度向上
  • 各種メッセージの流量の変化や異常なSIPメッセージの受信があった場合にアラームを出力
  • アノマリー検知時や障害解消時にコマンド発行機能を具備。アクションの自動化を実現
  • お客様からの申告を受けて対応する従来のフローと異なり、保守者が迅速にアクションを取ることが可能
ラボ環境における検証の効率化
  • 端末のUNI仕様適合性を自動確認
  • PCAPファイルインポートによる異常メッセージの自動抽出
  • システムのバージョン差異の挙動チェック

主な機能

機能 機能概要
メッセージキャプチャ機能 ・キャプチャしたSIP/H.323/Diameter/SIP-I/SIP-T(※2)メッセージをDBに蓄積
・SBC製品との連携により、TLSによる暗号化通信の解析も可能
・輻輳処理アルゴリズムにより、リアルタイム処理とDB書込処理タイミングを最適化
メッセージ検索機能 ・蓄積したメッセージをIPアドレスやメソッド、ヘッダパラメータなどの詳細な項目で検索
・SIPメッセージ全体を特定文字列で検索する全文検索機能
・長期間の調査を必要とする場合は、検索結果を独立して保存
統計情報グラフ表示機能 ・収集したデータから統計情報を生成し、グラフを表示
・ユーザ群や端末種別等特定のグラフをオンデマンドで作成可能
メッセージ数カウンタ・比較機能 ・SIPメッセージ種別(メソッド/リクエスト/レスポンス)、ヘッダパラメータ、電話番号帯やユーザ単位でのSIPメッセージをカウント
・メッセージ流量の変化を絶対値や過去の流量との相対的な比較により検出
SIPメッセージ リアルタイム解析機能 ・SIPメッセージをキャプチャする際にリアルタイムにチェックし、問題のあるSIPメッセージを検出
・シグネチャベースでのチェックおよびBNFでのチェックが可能
SNMPアラーム出力機能 ・メッセージのカウントや解析の結果に応じて、SNMPアラームを出力
・同一アラームの連続送出を抑制するフィルタリングが可能
Topリスト機能 ・電話番号、IPアドレスや特定ヘッダをカウントし、時間単位でランキング表示
・発着信数の多い対象を可視化、監視する対象がランキングに入った際はアラームで通知
コマンド発行機能 メッセージのカウント、解析の結果に応じて、他のエンティティ(SIPサーバやL2SWなど)に対し、 DoS攻撃や問題のあるSIPメッセージからシステムを防御
音声品質監視機能 ・RTPのジッタやパケットロスをチェックし、R値とMOS値による音声品質評価が可能
・R値で検索、および統計情報を出力することが可能
アラームブラウザ機能 ・出力したアラーム情報をリアルタイムに画面に表示
・表示するアラームの色付けフィルタリング、検索、CSVダウンロードが可能
レポーティング機能 ・1週間/1ヶ月単位で統計情報やTopリスト、アラーム情報などをまとめて定時レポートとしてhtml形式で出力
・出力したレポートの画面上での確認と追記、印刷、html形式でダウンロードが可能
(※2) H.323、Diameter、およびSIP-I/SIP-T はオプションライセンスにより提供

分散構成 NX-C6500

NX-C6000のキャプチャ機能と管理機能を切り離し、分散構成によるスケーラビリティを有した製品です。 キャプチャを担うプローブ装置(NX-C6500p)を複数拠点に配置し、各プローブをコントローラ(NX-C6500c)によって 集中管理することで、モバイルキャリアのVoLTEネットワーク等、大規模ネットワークに対応します。

C6500イメージ.png

  • 大規模ネットワークにおける各ノードの異常を早期検知
  • 全VoIPネットワークの一元監視による監視業務の効率化

オプションサービス

  • NX-C6000の導入および運用時におけるポリシー策定・設定支援
  • CSIRT(※3)などが提供する脆弱性や攻撃情報を元にしたシグネチャの提供
  • (※3) CSIRT:Computer Security Incident Response Team
    ネットワークに関する不正アクセス、脆弱性問題などに関して、情報の収集・分析を行い、その結果の公表を行う組織の総称

Web操作画面イメージ

メッセージ検索画面
SIPメッセージをヘッダ情報のAND/OR条件にて検索を行います。
検索対象とするSIPヘッダは導入時に任意に選択することが可能です。
C6000-screencapture_1

統計グラフ画面
キャプチャされた情報を元に、メッセージ数などをグラフで表示します。
お客様の運用状況に合わせ、SIPメッセージの メソッドに限らず、任意のヘッダやIPアドレスなど、
幅広い「対象」を選択することが可能です。流量の変化を視覚的に捉えることで、問題発見の早期化に繋がります。
C6000-screencapture_2

メッセージ解析設定画面
メッセージ解析の処理フローをユーザが任意に設定することが可能です。
これにより、ネットワーク上で流れるSIPメッセージの仕様に柔軟に対応します。
C6000-screencapture_3

アラーム設定画面
流量の変化や、不正なメッセージを検知した際のSNMPトラップのOID、およびその内容をユーザ自身が設定できます。
アラーム出力の有無、出力頻度の設定も可能です。
C6000-screencapture_4

この製品の事例