ComWorth | モニタ／アナライザ - IP系

ホーム > 製品情報 > モニタ／アナライザ > IP系 > NetCocoon ® Analyzer

NetCocoon ® Analyzer

概要

NetCocoon(R) Analyzer は、Man-in-the-Middle技術を応用したVPNブリッジ機能により、Pre-Shared KeyまたはPKCS #12によるIPsecの復号を可能にし、さらにSSLの復号にも対応したVPNのトラブルシュートに最適・必須のプロトコル・アナライザです。
IPsecの暗号化鍵(SKEYID_e, KEYMAT)を出力しないVPN装置にも対応できますので、VPN装置の開発から、VPNの構築、運用まで、より多くのシーンで活用いただけます。
また、暗号通信の復号以外にも、トラフィックをさまざまな切り口で視覚化する各種ビュー、対象パケットをすばやく分類、抽出するフィルタ機能、通信トラブルの原因究明に便利なパケットの編集・リプレイ機能など、充実した機能でネットワークの検証を強力にサポートします。

Version4.5からIKEv2にも対応しました。

IPsecの復号

「鍵」を入力することによって、IPsecの各種パケットを復号・検証することができます。鍵は、SA（Security Association）ごとに設定することができます。





IKEパケットの復号・検証暗号鍵(SKEYID_e)によってIKEパケットを復号し、ペイロードを解析できます。また、認証鍵(SKEYID_a)によってハッシュ値を検証することができます。UIKEv2では、AUTHペイロードの値を検証することができます。 **IKEv2では暗号鍵(SK_ei, SK_er)、パケット検証鍵(SK_ai. SK_ar)を用います。		拡大画面



ESPパケットの復号・検証暗号鍵によってESPパケットを復号し、カプセル化されたデータを解析できます。また、認証鍵によって認証データを検証することができます。さらに、脱カプセル化によってトンネル内のトラフィックを抽出し、他のアナライザやアプリケーションで処理することも可能です。 ESP, AHの検証の際、拡張シーケンス番号(ESN)に対応します。		拡大画面



Pre-shared Key、PKCS #12によるIPsecの復号・検証 Pre-shared KeyまたはPKCS #12から、SKEYID_d、SKEYID_a、SKEYID_eおよびKEYMATを生成することができます。これによって、Pre-shared KeyまたはPKCS #12でIPsecの各種パケットの復号・検証をすることができます。なお、この機能を使用するには、VPNブリッジ機能または仮想VPNホスト機能を使用する必要があります。暗号アルゴリズム DES、Triple-DES、AES、CAST、Blowfish、Twofish, AES-CTR, AES-CCM, AES-GSM, Camellia, RC2, RC4に対応しています。注）各アルゴリズムがIPsec, SSL, SNMPv3の全てに対応しているわけではありません。ハッシュアルゴリズム MD5、SHA1、RIPEMDに対応しています。

VPNブリッジ機能

Pre-shared Keyから「鍵」を生成 (IPv6対応!!）

IPsecでは、鍵交換にDiffie-Hellmanアルゴリズムを使用しているため、Pre-shared Keyが分かっていても、キャプチャしたパケットから暗号化鍵（SKEYID_e、KEYMAT）を計算することができません。したがって、暗号化されたパケットを復号することもできません。しかし、VPNの経路にNetCocoon (R) Analyzerを挿入し、VPNブリッジ機能を有効にすることで、Diffie-Hellmanアルゴリズムの共通鍵を自ら生成し、Pre-shared Keyから暗号化鍵を生成することができます。

この機能により、暗号化鍵を出力する機能のないVPN装置間の通信を復号することができます。

IKEにデジタル署名を使用している場合は、Pre-shared Keyの代わりにPKCS #12を使用することで、同様のことができます。

仮想ホストVPN機能

ターゲットと直接VPNを構

NetCocoon AnalyzerとVPN装置との間でIKEの鍵交換を行うことで、暗号鍵、認証鍵を取得。仮想VPNホストからは、任意のタイミングでのIKEの実行やPing、UDPの送受信を行うことができます。

IPsec監視

セキュリティビュー VPNの通信をモニタして、マトリクス形式で表示し、ラインの色でセキュリティレベルを表現します。IPsecで暗号化されていない通信や、IKEの有無、IKEの間隔が長いVPNセッションなどを検出することができます。VPN装置の設定ミスの発見などに役立ちます。		拡大画面

ライフタイムビュー IPsecのSAの有効期間と使用期間をキャプチャしたIPsecパケットの内容とタイムスタンプを元にグラフ表示します。SAの有効期間の違いによる相互接続上の問題などを検証することができます。		拡大画面


IKEログ IKEの結果をログに保存します。VPN装置の設定ミスや、VPN装置へのアタックの検出に役立ちます。		拡大画面

パケット振り分け

ルールに従ってパケットをフォルダに振り分け
キャプチャしたパケットを、IPアドレス、プロトコル番号、ポート番号によってフォルダに振り分けます。複数のサーバ、プロトコルを同時に監視するときや、想定されていない通信を発見するときに便利です。

SSL復号

SSLパケットを復号

SSLサーバからエクスポートしたサーバ秘密鍵を使ってSSLパケットを復号します。SSL/TLSを使ったアプリケーション開発時のトラブル解析に役立ちます。

Diffie-Helman、Server Key ExchangeによるSSL暗号通信の復号もサポートします。この機能は、NetCocoon Analyzerをクライアント-サーバ間にブリッジ接続することでSSL鍵交換の中継を可能にし、生成される鍵を取得してSSLの復号を行います。(オプション)

マトリクスビュー

トラフィックをリアルタイムにマトリクス表示

ノード間のトラフィックをリアルタイムにマトリクス表示します。また、トラフィックの全体に占める割合を色で表示します。

5種類のビュースタイル

トラフィックを、IPアドレスのみ、MACアドレスのみ、IPアドレスとMACアドレス、IPトンネルアドレス（カプセル化されたIPアドレス）のみ、IPアドレスとIPトンネルアドレスの5種類のビュースタイルで表示します。複数のレイヤのアドレスの組み合わせは、下位レイヤを二重円の内側、上位レイヤを外側に表示します。

複数のアドレスを1つのノードで表示

アドレスのグループ化で複数のアドレスを1つのノードで表示することができます。

簡単フィルタリングマトリクスビューの画面上で選択したノードやコネクションに対して、フィルタを設定し、選択したものだけを表示、または非表示にすることができます。設定したフィルタは、ディスプレイフィルタに追加され、プロトコル解析画面や、TCPセッションビューにも反映されます。		拡大画面

TCPセッションビュー

TCPセッションのリアセンブル

キャプチャしたパケットからTCPセッションのデータを抽出し、リアルタイムにリアセンブルします。

セッションのツリー表示

リアセンブルしたセッションのデータを、サーバアドレス、クライアントアドレス、プロトコル、セッションごとにツリー表示します。サーバアドレス、クライアントアドレス、プロトコルは任意の順序で表示することができます。また、セッションのデータはストリーム（UpまたはDown）ごとに表示します。

MIMEタイプによるデータ表示

MIMEタイプに関連付けられたアプリケーションでセッションのデータを表示します。たとえば、MIMEタイプが"text/html"であればWebブラウザを起動してデータを表示します。

セッション・リプレイ
セッションのデータを任意のIPアドレス、TCPポートに送信することができます。サーバのセキュリティホールの検証にもお使いいただけます。

簡単フィルタリング TCPセッションビューの画面上で選択したサーバ、クライアント、プロトコルに対して、フィルタを設定し、選択したものだけを表示、または非表示にすることができます。設定したフィルタは、ディスプレイフィルタに追加され、プロトコル解析画面や、マトリクスビューにも反映されます。		拡大画面

シーケンスビュー

シーケンス図によって、ホスト間の通信手順をわかりやすく表示します。縦棒がホスト、矢印がパケットを表し、縦軸が時間軸になります。矢印を選択すると、選択状態がパケットビュー、マトリクスビューに反映されます。

拡大画面

プロトコル解析

パケット解析機能 IPsecのほか、IPv6、Mobile IPなど、さまざまなプロトコルを解析して表示します。		拡大画面



サマリ表示

パケットの受信時刻、宛先アドレス、送信元アドレス、サマリをリスト表示します。

詳細表示
RFC等で定義されたパケットフォーマットに従い、パケットの各データを詳細に表示します。

ヘキサダンプ表示

パケットを16進数で表示します。




プロトコルテーブル設定任意のEthernetタイプ、プロトコル番号、TCP/UDPポートにプロトコル番号を割り当てることができるので、通常とは異なるポートを使用している場合でも解析できます。		拡大画面

パケットの比較

パケットの解析結果を比較して、相違点をわかりやすく表示します。正常な通信と異常な通信を比較して原因を切り分けたり、ゲートウェイの入出力パケットの相違点を確認するのに便利です。（相違点は赤で表示されます。）

パケットの編集・リプレイ

パケットの編集

パケットの追加、編集、削除、コピー＆ペーストなどができます。

拡大画面

チェックサムの再計算

編集したパケットのTCP、UDP、ICMPおよびIPのチェックサムを再計算します。

IPフラグメント・デフラグメント

IPパケットを任意のサイズにフラグメント、デフラグメントすることができます。

IPsecパケットの逆カプセル化

ESP、AHによってカプセル化されたIPsecパケットのカプセルをはずすことができます。

タブ区切り形式のファイル入出力

パケットをタブ区切りテキスト形式(*.tsv)のファイルで入出力することができます。表計算ソフトで表示／編集することもできます。

パケットのリプレイ

編集したパケットを任意のインターフェイスから送信することができます。タブ区切りテキスト形式(*.tsv)のファイルに制御コマンドを追加することで、パケットを繰り返し送信することもできます。

TCPストリームの再生

キャプチャしたTCPパケットをベースにTCPのストリームを再生できます。再生時に任意のIPアドレスとポート番号を指定することができ、シーケンス番号やチェックサムは再計算するので、トラブルを容易に再現できます。また、クライアント、サーバのいずれもエミュレート可能です。

その他の機能

キャプチャ機能

複数のインターフェイスを同時にキャプチャできます。キャプチャ中にパケットの内容を表示することができます。

ファイル入出力

ENC形式(*.enc)、CAP形式(*.cap)、Tcpdump形式(*.tcp)、APC形式(*.apc)、およびタブ区切りテキスト形式(*.tsv)に対応しています。 CAP形式(*.cap)、APC形式(*.apc)は読み込みのみ対応しています。

検索機能

パケットの内容を、テキストまたはバイナリで検索することができます。

フィルタ機能

キャプチャしたパケットをバッファに保存する前に適用するキャプチャフィルタと、バッファに保存したパケットを表示するときに適用するディスプレイフィルタがあります。IPアドレス、MACアドレス、Ethernetタイプ、IPプロトコル番号、TCP/UDPポートでフィルタすることができます。

パケットカウンタ

プロトコル、タイプごとのカウンタをツリー表示します。

トラフィックのグラフ表示

プロトコル、タイプごとのトラフィックをグラフ表示します。

データ変換
BASE64のバイナリ変換、JISからSJISへの変換、ASN.1のテキスト表示ができます。

パケット転送機能

キャプチャしたパケットを他のインターフェイスに転送することができます。

名前管理機能
IPアドレス、MACアドレスおよびベンダIDに任意の名前を割り当てることができます。IPアドレスは、DNSまたはNetBIOS名を自動的に取得できます。

自動保存機能

キャプチャしたパケットを逐次ファイルに保存することができます。指定したパケット数に達すると、新しいファイルに保存します。

コマンドによる操作

外部アプリケーションからキャプチャの開始／終了操作ができます。OSのタスクスケジューラを操作することで、指定した時間帯にキャプチャを実行できます。

スイッチハブ対応

スイッチハブによって構成されたネットワークであっても同一ネットワークの指定したホスト間のIPv4通信をキャプチャすることができます。

ファイル検索

指定した条件にマッチするパケットを含むファイルを検索します。解析結果やデータのテキスト、バイナリによる検索のほか、フィルタ条件による検索も可能です。

OIDの名前変換

MIBファイルを読み込むことによって、SNMPのOIDを名前で表示します。

ハッシュ／暗号計算機

NetCocoon Analyzerが対応するハッシュアルゴリズム、暗号アルゴリズム、べき乗剰余の計算をすることができます。

NetCocoon Analyzerセミナーで使用しましたプレゼン資料をpdf形式でダウンロードいただけます。
ダウンロード (約4.2MByte）

概要