;

Monitoring síťového provozu pomocí Flowmon řešení

3. 7. 2019
Doba čtení: 7 minut

Sdílet

 Autor: Alef Nula
U zákazníků se často setkávám s dotazy, jakým způsobem zjistit, co se děje v interní síti na úrovni komunikace mezi koncovými uživateli. Stejně tak chtějí vědět, kdo ze sítě nejvíce komunikuje do internetu, jaké aplikace vytěžují linky a zda se nějaký uživatel na síti nezačíná chovat nestandardně.

Klasický dohledový systém založený na sbírání statistik pomocí SNMP protokolu tyto informace neposkytuje. Další možností, která přináší vhled do komunikace na síti, jsou protokoly založené na sledování toků. Standardem je protokol IPFIX, který vychází z Cisco protokolu netflow verze 9. Dalšími proprietárními protokoly, které dávají informace o tocích, jsou například jFlow nebo NetStream.

Tyto flow protokoly jsou schopné dodávat informace o komunikaci mezi uživateli. Ukáží, na jakých portech je tato komunikace vedena, ale bohužel nepřinášejí vhled do aplikační úrovně. Pomocí flow protokolů vidíme například komunikaci na portu 80, ale již nezjistíme, zda je tento port použit pro http provoz, nebo je použit pro tunelování aplikací, které http protokol používají pouze pro transport dat. Toto omezení se dá řešit například kombinací exportu netflow dat obohacených o údaje z aplikační vrstvy, jaké přináší například Cisco NBARv2 protokol či Cisco AVC řešení. Bohužel toto řešení je opět poskytované pouze na Cisco zařízeních, a ne všechna Cisco zařízení toto umožňují.

Víc zjistí sonda

Ideálním řešením, jež zajišťujeme i zákazníkům ALEF NULA, je použití Flowmon sondy, která se dá k síti připojit dvěma nejběžnějšími transparentními způsoby. Buď pomocí TAPů, které se umístí na sledovanou metalickou nebo optickou linku a zrcadlí provoz do portů na sondě, nebo pomocí zrcadlení portů na switchích, kdy je provoz na fyzickém rozhraní switche, který se má monitorovat, zrcadlen na fyzické rozhraní, ke kterému je připojena sonda. Výhoda použití Flowmon sondy je ta, že „vidí“ kompletní komunikaci, která je na sledované lince nebo na sledovaném fyzickém rozhraní, až do aplikační úrovně (v případě nešifrovaného provozu).

Hardwarové Flowmon sondy mají možnost údaje o tocích na sobě uchovávat na vestavěném disku a následně poskytují možnost přímo na sondě data analyzovat. Zároveň jsou schopné na základě těchto dat generovat netflow zprávy a ty zasílat do různých systémů, které dokáží pracovat s netflow daty.

Kromě hardwarových Flowmon sond existují ještě virtuální sondy do různých virtualizačních prostředí – VMware, KVM, HyperV a OpenStack a cloudů (AWS a Azure). Virtuální sondy jsou bez vestavěného disku a slouží pouze k zasílání netflow dat na různé systémy s možností zpracovávat netflow záznamy.

Obvyklým cílem zasílání netflow záznamů z Flowmon sond je Flowmon kolektor. Flowmon kolektor je schopný přijímat netflow data ze sond, ale i z jiných zdrojů. A to i za pomocí jiných flow protokolů. Pro nasazení Flowmon kolektoru je nutné určit, jak velký průměrný datový tok se bude monitorovat a jak dlouhou dobu mají data na kolektoru zůstat zachována. Na základě těchto informací se vypočítá úložná kapacita kolektoru. Flowmon kolektor může být opět ve formě hardwarové nebo virtuální appliance.

Přehledné grafy a statistiky

Defaultně jsou Flowmon kolektor a hardwarová Flowmon sonda vybaveny softwarem pro analýzu dat. Jedná se o Flowmon Monitoring Centrum (dále jen FMC). V přehledu FMC jsou vidět grafy zobrazující denní, týdenní, měsíční a roční statistiky ohledně datového provozu [bps], rychlosti přenosu paketů [packets/s] a rychlosti toků [flows/s]. Již z tohoto přehledu je vidět, jak se provoz na síti choval v průběhu času a zda nevykazoval nějaké anomálie v čase. Dále je na grafech možnost zobrazit výkonnostní metriky sítě, které jsou dodány z Flowmon sond nebo z netflow záznamů obohacených o Cisco AVC metriky. Těmito metrikami jsou Round Trip Time, Server Response Time a Jitter.

Schema

FMC obsahuje položku Analýza, která umožňuje zobrazit Top N statistiky založené na různých metrikách – např. Bytech, tocích, paketech za vybrané časové období. Z těchto statistik je vidět seznam uživatelů, kteří přenesli za určité časové období nejvíce dat, seznam serverů, které měly největší server response time, a podobně. Další možností položky Analýza je zobrazení jednotlivých toků. To znamená, že jsme schopni podrobně dohledat, jak vypadala komunikace mezi dvěma zařízeními – jaký protokol byl použit pro komunikaci, na jakých portech komunikace probíhala, kolik se přeneslo dat a v případě TCP komunikace je možnost vidět i TCP příznaky. Tím jsem nevyčerpal veškeré možnosti.

Jak pro zobrazení statistik, tak i pro zobrazení toků lze použít filtry, na základě kterých můžeme vidět pouze komunikaci nebo data, která nás nejvíce zajímají. Toho se dá využít, když hledáme komunikaci na určitý server, případně od určitého koncového uživatele.

Jak Flowmon sondy, tak i Flowmon kolektor můžeme doplnit o další moduly – modul pro behaviorální analýzu sítě (ADS), modul pro měření výkonnostních metrik aplikací – pro http(s) a databáze (APM), modul pro zachycování datového provozu (FTR). Modul APM dokáže rozpoznat jednotlivé aplikační dotazy a měřit, jak dlouho vybavení daného dotazu trvá. Na základě této informace dokáže správce či vývojář aplikace identifikovat, která část aplikace nefunguje ideálně, a následně ji optimalizovat. Modul ADS naopak dokáže poznat chování v síti, které neodpovídá standardu a představuje tak anomálii. Tato anomálie může být znakem probíhajícího útoku nebo napadené stanice v síti, která má neobvyklé chování, a to i bez existence signatur pro daný typ útoku.

Flowmon řešení podporuje i distribuovanou architekturu. Tato architektura je využitelná u rozsáhlých sítí, které jsou rozprostřené přes různé lokality. V tomto případě mohou být kolektory (tzv. Slave unit) umístěny v každé lokalitě a centrální kolektor (tzv. Master unit) poskytuje uživatelské rozhraní, které umožňuje přístup na data ve všech kolektorech a také umožňuje provádět analýzu dat z jednoho místa.

Řešení pro ISP

Pro prostředí ISP nabízí Flowmon řešení dva produkty. Data retention řešení, které poskytuje ISP data, aby byl splněn § 97 odst. 3 zákona o elektronické komunikaci a prováděcí vyhláška 357/2012. Druhým produktem je Flowmon DDoS řešení zvané DDoS Defender, které umožňuje detekovat volumetrické DDoS útoky a nabízí možnost přesměrování těchto útoků do mitigačních zařízení, případně umí přímo tento útok přesměrovat do „černé díry“. Pro přesměrování útoků se dá využít Policy Based Routing (PBR), BGP a BGP Flowspec. Přesměrování je možné jak pro IPv4, tak i pro IPv6.

To byl nástin Flowmon řešení, které máme v ALEF NULA jako odpověď na to, co požadují zákazníci. Jedná se o doplněk k dohledu sítě, který umožňuje sledování datových toků a aplikací. Po přidání dalších Flowmon modulů k FMC se toto řešení rozšiřuje o sledování anomálií v síti, o možnost sledovat odezvu webových a databázových aplikací a o paketovou analýzu sítě.

Autoři:

bitcoin_skoleni

Roman Tomášek, Alef NulaRoman Tomášek je Senior System Engineer na oddělení Data Center ve společnosti ALEF NULA. Je držitelem certifikací CCNP Routing & Switching, F5 Certified BIG-IP Administrator, F5 Certified Technology Specialist, LTM a DNS a Flowmon Technical Engineer. Do společnosti ALEF NULA nastoupil po skončení vysoké školy jako System Engineer a pracuje pro ni více než 18 let.

Tibor Hirjak, Alef NulaTibor Hirják je System Engineer na oddělení Service Provider/Routing & Switching ve společnosti ALEF NULA. Je držitelem několika certifikací, mimo jiné CCNP Routing & Switching, CCDP, či Flowmon Solution Consultant. Počítačových sítím se věnuje několik let a do společnosti ALEF NULA nastoupil v roce 2018.