新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

組み込みネットワーク診断

ブラウザから診断 — シェルアクセスなしで本番環境のネットワークとセキュリティの問題を調査します。

TR7 組み込みネットワーク診断は、オペレーションチームがネットワーク、DNS、HTTP、TLS、パケットキャプチャ、システムレベルの問題をTR7インターフェースまたはCLIから直接調査できるようにします — インシデントのたびにサーバーのシェルアクセスを付与する必要はありません。 TR7は28のホワイトリスト化されたsys-cmdツールと最大8段階のパイプチェーンで動作します。ping、traceroute、dig、curl、tcpdump、sslscan、ss、nmap、ipcalcなどのツールが制御されたパラメータで実行でき、grep、sort、tail、wc、to-fileなどのパイプ操作によって出力をフィルタリングまたはファイルに書き込めます。 パケットキャプチャの出力、TLSスキャン結果、またはあらゆるコマンド出力を`to-file`でファイルに書き込み、インターフェースからダウンロードできます。RBACと監査ログにより、誰がいつどのゾーンコンテキストでどの診断コマンドを実行したかが記録されます。 結果として、TR7は本番環境の診断をアンコントロールされたシェルアクセスの領域から取り除き、ホワイトリスト化されたコマンドセット、ダウンロード可能な成果物、RBAC、完全な監査トレイルを備えた安全で監査可能な運用に変換します。

28
ホワイトリスト化されたsys-cmd Linuxの診断ツール
8
パイプチェーンの最大深度
4
コマンドグループ:ネットワーク、HTTP、TLS/パケット、システム

本番環境の問題解決のためにシェルアクセスを配布するのは手早く見えますが、セキュリティとコンプライアンスの観点では高コストです。

アプリケーションで5xxスパイクが発生したとき、バックエンドが遅くなったとき、TLSハンドシェイクが失敗したとき、オペレーションチームは迅速にデータを収集する必要があります。従来の方法は通常SSH、ジャンプホスト、VPN、専用診断マシン、手動コマンドチェーンであり、時間を浪費し、トラフィックの問題が発生している正確な地点からデータを収集することを困難にします。

DNS問題のために別サーバーでdigを実行し、TLSスキャンをさらに別のマシンで行い、パケットキャプチャのために本番デバイスに直接アクセスすることは、すべて運用を分断します。問題が存在するネットワークコンテキストとテストを実行する場所が異なる場合、結果は誤解を招く可能性があります。診断ツールがトラフィックが実際に流れる場所に近いほど、結果の価値が高まります。

同時に、本番環境でフルシェルアクセスを付与することは深刻なリスクをもたらします。任意のコマンド実行、誤ったパラメータによる重要ファイルの削除、無許可のネットワークスキャン、監視されないデータエクスポート、監査トレイルの欠如は企業環境では容認されません。特に規制対象のインフラストラクチャでは「誰が何をいつ行ったか」という問いへの明確な答えが必要です。

安全な診断には二つのバランスを同時に保つ必要があります:オペレーションチームには十分な強力なツールが必要ですが、それらのツールが任意コマンド実行のパスとなってはなりません。ホワイトリスト、RBAC、監査ログ、サンドボックス、ダウンロード可能な出力管理がまさにこの理由で重要です。

TR7の組み込みネットワーク診断アプローチは、制御されたコマンドセットで本番環境のデバッグニーズを満たします — シェルアクセスを開かずにパケット、DNS、TLS、HTTP、システムデータの収集を可能にします。

アプローチ

TR7は、ホワイトリスト化されたコマンドセット、制御されたパイプチェーン、ダウンロード可能な出力、監査トレイルによってネットワーク診断を安全にします。

ホワイトリストコマンドセットが任意実行をブロック

TR7では診断コマンドが事前定義されたsys-cmdリストに対して実行されます。ユーザーはLinuxコマンドを自由形式で実行するのではなく、許可されたツールと安全な使用パターンを通じてのみ診断を行います。

パイプチェーンが制御された形でフィルタリング能力を提供

grep、wc、sort、head、tail、uniq、cut、to-fileのパイプ操作がサポートされています。ホワイトリストと深度制限の制御下に置きながら、bash風の出力処理の利便性を提供します。

to-fileが出力をダウンロード可能な証拠に変換

パケットキャプチャ、TLSスキャン、あらゆるコマンド出力をファイルに書き込めます。オペレーションチームはpcapまたはテスト成果物をインターフェースからダウンロードし、分析、サポート、コンプライアンスレビューに使用します。

RBACと監査が本番環境の診断を追跡可能にする

コマンド実行権限はロールごとに制御されます。すべての呼び出しはユーザー、タイムスタンプ、コマンド、ゾーンコンテキストとともに記録され、本番環境で完全に監査可能な診断を実現します。

機能

TR7組み込みネットワーク診断は、ネットワーク接続からTLS、HTTPテスト、システムの可視性まで、コアオペレーションのニーズを単一の制御されたインターフェースに統合します。

ネットワーク接続テストがアクセスとルートの問題を迅速に表面化

`ping`、`ping6`、`traceroute`、`fping`、`arping`および関連ツールにより、接続とパスの問題を調査できます。IPv4とIPv6のアクセスを独立してテストできます。マルチホストpingにより複数のターゲットのステータスを素早く確認できます。これらのツールはバックエンドアクセス障害がネットワーク、ルート、ターゲットのいずれに起因するかを区別するのに役立ちます。

DNS診断ツールがレコードと名前解決の問題を明確化

`dig`と`nslookup`でA、AAAA、MX、TXT、CNAMEなどのDNSレコードをクエリできます。異なるDNSサーバーに対してテストを実行することで、伝播の差異またはリゾルバーの不一致を明らかにします。GTM変更、ドメイン移行、レコード更新後に価値があります。チームはTR7自身が存在するネットワークコンテキストから結果を受け取ります。

HTTPツールがアプリケーションの到達可能性とレスポンス動作をテスト

`curl`と`wget`でHTTP/HTTPSエンドポイントを直接テストします。ヘッダー、ステータスコード、コンテンツ、リダイレクト動作を素早く検査できます。`h1load`と`wrk`で制御された負荷テストや基本的なパフォーマンス観測が可能です。アプリケーションアクセスの問題とネットワークの問題を分離しやすくなります。

TLSとパケットツールがハンドシェイクの失敗を可視化

`sslscan`でプロトコルサポート、暗号スイート、証明書の動作を検査します。`ssldump`でTLSハンドシェイクとパケットフローのより詳細なトレースが提供されます。`tcpdump`で特定のインターフェース、ホスト、ポートのパケットをキャプチャします。出力は`to-file`でpcapとして保存し、深い分析のためにダウンロードできます。

ソケットと接続の可視性がリアルタイム状態分析を実現

`netstat`と`ss`でオープン接続、リスニングポート、ソケット統計を確認できます。大量の接続負荷、TIME_WAITの増加、予期しないポートの使用、サービスのリスニング状態をすべて素早く確認できます。本番環境のインシデント中に同じ画面からアプリケーション層とOS接続状態を比較でき、対応を加速します。

システムとアドレス指定ツールがインフラ制御をサポート

`ip`、`ipcalc`、`route-table`、`arp`、`htop`でインターフェース、サブネット、ルート、ARP、プロセスの可視性を提供します。サブネット計画、ルート検証、リソース使用状況などのコアオペレーションのチェックを実行できます。ディスク拡張ウィザードや一時ファイル管理などのユーティリティ操作が診断ワークフローを完成させ、別サーバーアクセスの必要性を削減します。

nmapとプロトコルクライアントがサービスの到達可能性を検証

`nmap`でポートステータスの確認、サービス検出、ホスト探索が可能です。`ftp`と`telnet`クライアントはレガシーまたはカスタムプロトコルアクセスの基本的な接続テストに使用できます。これらのツールは特に内部サービス移行時にターゲットポートが確かに開いていてアクセス可能であることを確認するのに役立ちます。ホワイトリストアプローチにより、使用がアンコントロールされたシェルアクセスに退化しないことが保証されます。

パイプチェーンがコマンド出力を実用的に処理可能にする

TR7はgrep、wc、sort、head、tail、uniq、cut、to-fileを使用して最大8段階のパイプチェーンをサポートします。オペレーションチームは大きな出力を検索し、行を数え、ソートまたはトリミングできます。`to-file`で出力をダウンロード可能なファイルに変換します。この構造により、迅速なデバッグセッション中に生の出力がより読みやすく共有しやすくなります。

運用の深み

組み込み診断ツールは、本番環境で安全に動作するためにホワイトリスト、サンドボックス、権限、出力、監査の各コントロールによって制限されています。

01

権威あるコマンドリスト

許可されたコマンドの権威ある情報源は、WebConsole設定内のsys-cmdとパイプリストです。ユーザーは任意のシステムコマンドを実行できません。このアプローチはデバッグ能力を保ちながら実行可能な攻撃面を制限します。

02

パイプ深度制限

パイプチェーンは8ステップに制限されています。この制限は出力処理の柔軟性を提供しながら、複雑で制御困難なコマンドチェーンを防ぎます。オペレーションチームはbash風のエルゴノミクスを享受しながら、システム動作は予測可能なまま保たれます。

03

複数の出力フォーマット

コマンド出力はJSON、タブ区切り、カンマ区切り、セミコロン、コンパクトフォーマットで取得できます。これにより人間が読める出力と下流ツール向けのデータの両方をサポートします。フォーマット選択はレポートとインシデント分析中の作業負荷を削減します。

04

サンドボックス実行モデル

診断コマンドは制限されたシェルとサンドボックスで実行されます。ネットワーク診断に必要な機能 — NET_ADMINとNET_RAW — のみが有効化され、不要なシステム権限は削除されます。このモデルにより本番環境でコマンド実行が損害を引き起こすリスクが削減されます。

05

監査レコードチェーン

すべてのsys-cmd呼び出しはユーザー、タイムスタンプ、コマンド、ゾーンコンテキストとともにログに記録されます。これらのレコードはインシデント後のレビューとコンプライアンス監査に重要です。本番環境で誰がどの診断ステップを取ったかをさかのぼって追跡できます。

06

ダウンロード可能な証拠ファイル

`to-file`の出力により、pcap、テキスト、またはスキャン結果ファイルをインターフェースからダウンロード可能にします。ファイルはサポートチームと共有したり、深いパケット分析に使用したり、インシデントレコードに添付したりできます。診断が一時的なスクリーン出力ではなく、永続的で共有可能な証拠となります。

利用シナリオ

本番環境の5xxスパイク中のパケットキャプチャ

オペレーションチームは`tcpdump`を使用して制限されたパケット数で特定のバックエンドへのトラフィックをキャプチャできます。pcapとしてダウンロードされると、アプリケーション、ネットワーク、セキュリティの各チームが同じ証拠を分析できます。

TLS暗号スイートと証明書の問題調査

クライアントが特定のアプリケーションへの接続でTLSエラーを報告した場合、`sslscan`でプロトコルサポートと暗号スイートの動作を確認します。結果をファイルに書き込み、顧客または内部チームと共有できます。

DNS伝播とリゾルバーの不一致確認

ドメイン変更後、`dig`クエリを異なるDNSサーバーに対して実行できます。オペレーションチームはどのリゾルバーがレコードに対してどの値を返しているかを — TR7インターフェースから直接 — 確認できます。

バックエンドのレイテンシと帯域幅分析

`ping`、`tail`、`iftop`、ソケットツールでレイテンシ、トラフィック負荷、接続状態を検査できます。遅さがネットワーク、サービス容量、トラフィック量のいずれに起因するかを迅速に判断できます。

よくある質問

どの診断ツールがホワイトリストにありますか?
28のsys-cmdツールが4つのグループに分類されています:ネットワーク(ping、ping6、traceroute、dig、nslookup、fping、iftop、netstat、ss、nmap)、HTTP(curl、wget、h1load、wrk)、TLS/パケット(tcpdump、ssldump、sslscan)、システム(arp、arping、ip、ipcalc、route-table、htopおよびユーティリティツール)。リストはWebConsole設定で定義されており、ユーザーはリスト外のコマンドを実行できません。
パケットキャプチャの出力はどのようにダウンロードしますか?
`tcpdump`を`to-file probe.pcap`パイプとともに使用すると、TR7が出力をファイルに書き込みます。ファイルはインターフェースからダウンロードでき、Wiresharkなどのツールで深い分析のために開いたり、サポートプロセス中に共有したりできます。
RBACでどのコマンドをロール別に制限できますか?
コマンド実行権限はロールごとに設定されます。特定のロールはネットワーク接続テストのみに限定される場合があり、他のロールはパケットキャプチャやTLSスキャンにもアクセスできます。すべてのコマンド呼び出しはユーザー、タイムスタンプ、コマンド、ゾーンコンテキストとともに監査ログに記録されます。
なぜパイプチェーンの深度が8に制限されているのですか?
8ステップの制限により、bash風のフィルタリングの柔軟性を提供しながら、複雑で予測不能なコマンドチェーンを防ぎます。オペレーションチームはgrep、sort、tail、to-fileの組み合わせで実際のニーズを満たすことができ、システムの動作は予測可能なまま保たれます。
診断サンドボックスモデルはどのように機能しますか?
コマンドは制限されたシェル環境で実行され、ネットワーク診断に必要なシステム機能 — NET_ADMINとNET_RAW — のみがアクティブです。不要な権限は削除されるため、誤ったまたは悪意のあるコマンドが本番環境に損害を与えるリスクが削減されます。
コマンド出力はどのフォーマットで取得できますか?
出力はJSON、タブ区切り、カンマ区切り、セミコロン、コンパクトフォーマットで取得できます。平文テキストは人間によるレビューに適し、構造化フォーマットは自動化とレポートのニーズに対応します。`to-file`と組み合わせると、出力が直接ダウンロード可能な成果物に変換されます。

本番環境の診断を安全かつ監査可能にする

ping、traceroute、tcpdump、sslscanをはじめ28のツールでネットワーク問題を解決します — シェルアクセスを付与せずに。お客様自身の環境でライブデモをご覧いただけます。