文:ジュピターテクノロジー やまはた
社内ネットワークへの機器の接続状況を管理することは、セキュリティの観点から非常に重要です。
しかし、そのためには多数の機器やスイッチポートを監視し、それぞれに何が接続されているのか?を個々に確認する作業が必要になります。 様々なタスクを抱えたIT管理者が、これらの状況を常に把握するのは困難です。
そこで活躍するのが、SolarWinds Observability Self-Hosted のモジュールの一つである SolarWinds User Device Tracker(UDT)です。
SolarWinds UDTとは?
SolarWinds UDTはネットワークのポート、デバイス、そしてユーザー監視を容易にするためのツールです。 接続されているコンピュータを即座に発見し、ユーザー名、スイッチ名、ポート詳細情報などを取得できます。また、デバイスの現在位置を素早く見つけ、現在接続されていないデバイスの最終接続場所を表示します。
定期スキャンによる情報の取得
UDTはMACアドレス情報をキーとして接続機器を追跡、監視するツールです。
UDTは、監視対象の機器にSNMPポーリングを定期実行し、各ポート/SSIDに接続している機器の情報を収集します。実際には、下記の2種類のポーリングを行います (※1)。
・Layer 2ポーリング
Layer 2ポーリングは、スイッチレベルの機器からブリッジおよびリンク情報を取得します。これにより、ポートに接続されたMACアドレスを取得し、エンドポイント情報を収集します。
・Layer 3ポーリング
UDTはルーター等のL3機器をポーリングし、IPルーティングのためにキャッシュされているARPデータを取得します。 ルーターは複数のスイッチや入出力トラフィックのルーティングを処理できます。そのため、ARPデータには、ルーターに直接接続されている機器だけでなく、多くのエンドポイントのMAC情報やIPアドレス情報が含まれます。
(※1) メーカー資料から一部を抜粋・翻訳し引用:General information on Layer 3 polling in UDT(2022/9/13 PM 11:08 更新版)
収集した監視情報は、以下の主要な監視機能で使用できます。
デバイスインベントリ機能
UDTは前述のポーリングで取得した機器情報をデバイスインベントリ画面で一覧表示します。スイッチやルーターごとにフィルター表示も可能なため、社内ネットワークで、現在どの機器、どのポート/SSIDに何が接続されているのか?を素早く、ひと目で確認できます。
ホワイトリスト機能
UDTでは、ホワイトリストを作成して不正な接続を自動で検知することができます。社内の管理機器をあらかじめホワイトリストに登録しておけば、取得した機器情報と自動で照会します。
もしもホワイトリストにない不審な機器が接続されていれば、抽出してダッシュボードに一覧表示します。また、検知時にアラートメール等で通知することもできますので、管理者は迅速に問題の発生に気付くことができます。
最後に
今回はUDTがどのように不正な接続を検知できるのかをご紹介しました。
SolarWinds製品にご興味のある方は、以下のリンクから弊社までお問い合わせください。
