本ブログ記事は、ntopngの新バージョンで実装されているOT,ICS,SCADAモニタリングのドキュメントをntop社の製品ガイドページから抜粋してご紹介したいと思います。FA(ファクトリーオートメーション), OA(オフィスオートメーション)両環境をntop社の製品でネットワークトラフィックを見える化/可視化を実現したい方は、是非ご一読ください。
文:ジュピターテクノロジー よしひろ
OT,ICS,SCADAモニタリング
オペレーショナル テクノロジー (OT) は、工場を管理するために使用されるコンピューティング システムを指します。ntopng は、監視制御およびデータ収集 (SCADA) システムを介して管理されることが多いいくつかの産業用制御システム (ICS) をサポートしています。DPI(ディープパケットインスペクション)ライブラリであるnDPI を介して、Modbus、IEC 60780、BACnet などのプロトコルを検出することができます。加えて、ntopng にはいくつかのプロトコル用の広範な機能があります。
ntopng は、OT ネットワークを混乱させる可能性がある「一般的な」ネットワーク上の問題を検出できる監視ツールです。
具体的には、以下のユースケースがあります。 (ただし、ntopngの活用方法はこれらに限定されません)。
- 新しいデバイス検出と無効なMAC/IPの組み合わせの検出
- デバイスのトラフィック動作分析(トラフィックの不正動作、トラフィックのピークなど)
- 新しいプロトコルとサービスの検出(例えば、新しくHTTPサーバーを検出した。新しいプロトコルが検出されたなど)
上記のサービスに加えて、特定のプロトコルを詳細に分析することがサポートされています。、ntopng は、ModbusとIEC60870-5-104に現在のところ特化しています。それぞれ説明していきます。
ModbusTCP
注意: 本機能はntopng Enterprise Lバージョンのみ利用可能です。下位のライセンスでは利用できないことご注意ください。
ModbusTCP は、TCP/IP 上の通信に使用されるオリジナルのModbusプロトコルのバリエーションです。ntopng は Modbus フローを検出し、それらを分析してフローデータとして表示します。
各フローについて、ntopngは使用されるファンクションコード、例外、およびアクセスされたレジスタを追跡します。ntopngはまた、ファンクションID間の遷移を報告し、これらの遷移をグラフィカルに示します。遷移が多いほど描画の線は太くなります。
ntopngには、さまざまな振る舞いチェックが実装されています。特に、以下の条件が満たされるとアラートがトリガーされます。
- フローが問題を含む可能性がある(設定可能な)例外を過剰に報告する場合、アラートをトリガーされます。
- フローが予期しないファンクションコードを要求した。ネットワーク管理者が許可されたファンクションコードをリストアップでき、設定されていないファンクションコードに関してアラートをトリガーできます。
- 予期しないファンクションコードの遷移が報告されます。
IEC 60870-5-104 と同様に、ntopng 設定では、ModbusTCP フローの遷移を観察する時間を指定できます。
学習期間中、ntopng は遷移を追跡し、内部データに保存します。 指定された学習時間を経過すると、不正な遷移が観察されるたびに、ntopng はアラートをトリガーします。
IEC 60870-5-104
IEC 60870-5-104 は、主に電気工学と電力システムのオートメーションで使用されるプロトコルです。 このプロトコルは ntopng によって検出され、各ネットワーク フローの動作の変化を検出し、時間をかけて分析します。 各 IEC フローについて、ntopng はフロー通信を分析します。
リアルタイムのトラフィック統計でレポートします。これに加えて、ntopng はプリファレンスで構成されたプロトコルの遷移を学習します。これは、各 IEC フローに異なる特性とモデルが作成される遷移があるためです。
指定された期間中、ntopng は各フローのモデルを構築して、時間の経過とともにフローがどのように動作するかを理解します。フローの学習期間が終了すると、ntopng はトラフィックをモデルと照合し、アラートをトリガーします。
Checks(振る舞い検知)の管理画面で、特定のプロトコル チェックを有効にすることができます。
- IEC 無効なコマンド遷移
- 遷移の数が無効です(C-C > 10 および M-M/M-C/C-< == 0)
- IEC 不正な遷移
- IEC学習期間の後、新しい遷移(以前に観察されなかったもの)が検出されると、アラートをトリガーします
- IEC 予期しない TypeID
Checks(振る舞い検知)では、許可されているIEC 60870-5-104 TypeIDのリストを指定することが可能です。他の TypeID がある場合、アラートをトリガーします。
さらなる詳細は、こちらの資料をご一読ください。※英語資料となります。
ntop製品のお問い合わせ
ntop社製品にご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。
