PACKET BLACK HOLE 「パケットブラックホール」は、ネットエージェント株式会社の開発製品です。
 
Index 概要 構成例 仕様・オプション オンラインデモ Q&A
 
PBHメール サポート・研修 パートナー NetAgent HP English page お問い合わせ
よくある質問
Q&A Index
案内・製品概要
特徴・機能・管理
簡単導入・ハブ関連
増設・バックアップ
記録・解析
再現・解読
検索・検知
サポート・認定
トラブルシューティング
その他

特徴・機能・管理
Q.2-1 Packet Black HoleのOSはなんですか?

A.2-1 パケット取得に特化したOS(PacketBlackHole 2.1) で、Linuxをベースとしたものです。


Q.2-2 Packet Black HoleをWindowsにインストールすることはできますか?

A.2-2 専用OS、および専用システムのためできません。仮にインストールできたとしても、十分に動作しません。


Q.2-3 pingに応答しないなどのステルス機能について教えてください。

A.2-3 Packet Black Holeは、管理ホスト以外からのping やポートスキャンに応答しないように作られています。予め指定した監視端末以外から、本製品の設置を判断することはできません。これは、悪意を持ったユーザが本製品を踏み台にしたり、本製品のシステムログやパケットの記録データを改竄したりすることはできないということです。(管理用Ethernetポートとキャプチャ用ポートが分かれていますので、別のネットワークアドレスを割り振ることで、ステルス性を高めることができます。また、管理ポートと取得ポートとの共用も可能です)



Q.2-4 バッファオーバーフローを意図的に起こす攻撃をPacket Black Holeが読み込んだ(記録した)ときにオーバーフローを起こさない対処はできていますか?

A.2-4 処理部分は、バッファーオーバーフローを起こさない言語で書かれています。また通常のサーバ等に対するバッファーオーバーフローやフォーマットバグ等は、Packet Black Holeで判別できます。ただし、その場合でもPacket Black Hole自体が攻撃を受けるわけではありません。


Q.2-5 Packet Black Holeに記録されたデータの改竄は可能ですか?

A.2-5 Packet Black Holeに一度記録されたデータは、ネットワークを通じて改竄することはできません。ステルス性があるので、外部から改竄しようとすることすら不可能です。また管理用端末(管理ホスト)からのアクセスであっても、記録してあるデータを書き換えることはシステム上不可能になっています。また物理的にもデータを守るべく、Packet Black Holeは鍵つきになっています。


Q.2-6 蓄積されたログデータは圧縮されていますか?

A.2-6 圧縮されていません。


Q.2-7 Packet Black Holeを管理する端末を制限することはできますか?

A.2-7 WEB認証とIPアドレスとMACアドレス認証により、管理者端末(管理ホスト)を限定することができます。それにより、たとえばネットワーク管理者とその部署の責任者以外には検索や再現ができないように設定するなどできます。またMACアドレス認証を利用することにより、IPアドレスを偽っての通信を拒否することができるようになっています。


Q.2-8 Packet Black Hole自体のログは取っていますか?

A.2-8 どの管理端末から、いつどのような操作をしたかというログも、すべて記録しています。そのログも、他のデータと同じようにWEBブラウザの操作で確認できます。従業員の電子メールやWEB閲覧を監視・把握することは、組織が保有する資産の管理の一環として判例上既に認められています。またこうしたネットワーク利用状況の把握は、情報漏洩や取引トラブルを防止するリスクマネジメントのためにも必要な行為といえます。ただし、それを逆手にとって、管理者側がパワー・ハラスメント(職務権限などを利用した嫌がらせ)に及ぶようなことがあってはなりません。Packet Black Hole自体のログの記録には、そうしたことの抑止効果もあります。


Q.2-9 Packet Black Holeのsyslogには、何が出力されますか?

A.2-9 通信データを解析した時間、取得ファイルの切り替え、解析速度、故障した場合の故障状況、自動データ消去の対象、情報漏洩検索の件数などが出力されます。


Q.2-10 Packet Black Holeを外部から監視したいのですが。

A.2-10-a Server Watch Dragon (http://dragonet.jp) のHTTP監視機能を使って、PBH自体のHTTP機能、ネットワークが生きているを判断できます。PBHにエージェントを入れることによりメモリ使用状況、ディスク使用状況も判断できます。(有償:¥12,500、設定導入費別) 活用実績あり。

A.2-10-b PATROLCLARICE (http://patrolclarice.jp/)を使用して、死活監視、トラフィック監視、ディスク監視、メモリ監視、プロセス監視 、負荷監視 、データベース監視、時刻のズレ監視、監視結果のレポート作成 が可能です。エージェントレスですので、PBHの設定はありません。(有償:年契約監視ポイントライセンスで別途日立ハイテクノロジーに問い合わせ)コムスクエア(開発元)動作確認済み。動作実績あり。

A.2-10-c 外部から監視しなかった場合は、電源故障、NIC故障などで止まった場合は判りません。


Q.2-11 落ちているという判断をするプロセス自体が重いと、誤判定しませんか?

A.2-11 手動によりコマンドを発行する程度の負荷となりますので、他に及ぼす影響は、軽度と思われます。


Q.2-12 もしPacket Black Holeがダウンした場合、Packet Black Holeはフレームをスルーして、流すことができますか?

A.2-12 ハブとして動作するため、完全にスルーします。

文責および著作権・肖像権はネットエージェント株式会社に帰属します。本文、画像等の無断転用を禁じます。
Copyright(c) NetAgent Co.,Ltd. 2007
for More Information : info@netagent.co.jp