Netflow

Allikas: Kuutõrvaja
Redaktsioon seisuga 28. detsember 2009, kell 00:34 kasutajalt Imre (arutelu | kaastöö) (Skeem)

Sissejuhatus

Newflow abil saab analüüsida ja üldistada andmevahetust nt võrgusõlme läbinud liikust.

Skeem

Netflow kasutamisel on esinevad tavaliselt kolme sorti osalised

  • netflow allikad - üks või enam OpenBSD tulemüüri
  • netflow kogujad - tavaliselt sisaldub skeemis üks netflow koguja (ingl. k. collector), nt Debian Linux ja nfdump tarkvara
  • netflow analüsaator - nt NfSen PHP kasutajaliidesega rakendus, mis tegelikult juhib ka netflow kogumist
             _____  
            |     |  NfSen - analüsaator
            |_____|  nfdump - netflow koguja
   9995/udp    |
               |
               |
     ---|------|-----------|-------------------|-----
        |                  |                   |
      __|__              __|__               __|__
     |     |            |     |             |     |
     |_____|            |_____|             |_____|
 
           OpenBSD tulemüürid - netflow allikad

kus

  • allikad saadavad kogujale udp pakettide vormis andmeid, vaikimisi pordile 9995/udp

OpenBSD ettevalmistamine

Alates versioonist 4.5 saab OpenBSD tulemüürist väljastada netflow standardile vastavaid sõnumeid.

Paketifiltri seadistamine

Paketifilter võimaldab netflow'd saata nö pass reegli täpsusega kasutades pflow parameetrit, nt 

 pass in quick inet proto tcp from 10.0.6.174 to any port { 80, 443 } keep state (pflow) label "JSint from 10.0.6.174 to any port 80 443"

Kui reeglites ei ole imlutatult state omadusi täpsustatud, siis vaikimisi saab kõigi pass reeglite jaoks pflow sisse lülitada kasutades 

 set state-defaults pflow

pflow väljastamine

Sõnumite saatmiseks tuleb öelda kuhu sõnumeid saata 

 # ifconfig pflow0 flowsrc 192.168.10.210 flowdst 192.168.10.51:9995

Lisaks tuleb lubada vastav liiklus arvutist välja. Sõnumite liiklusmises saab veenduda liiklust kuulates 

 # tcpdump -nei pflow0                                               
 tcpdump: listening on pflow0, link-type RAW
 17:14:15.813705 ip: 192.168.10.210.62379 > 192.168.10.51.9995: udp 1464 (DF) [tos 0x10]

Debiani ettevalmistamine

Debiani paketihalduses on olemas nfdump tarkvara, kuhu komplekti kuulub programm nfcapd, mille abil saab võtta vastu saadetud netflow andmeid ning promgramm nfdump, mille abil saab esitada kogutud andmeid tekstilisel kujul.

nfcapd käivitamiseks sobib nt öelda, /tmp/nfdata kataloog peab olemas olema 

 # nfcapd -z -w -l /tmp/nfdata -S "%Y/%m/%d/%H"

Mõne aja pärast on sinna ilmunud sarnased failid, nende sinu esitamiseks sobib öelda nt 

 # nfdump -r /tmp/router1/nfcapd.200905031005
 Date flow start          Duration Proto      Src IP Addr:Port          Dst IP Addr:Port   Packets    Bytes Flows
 2009-05-03 13:50:25.466    30.000 UDP     192.168.10.101:21897 ->      89.25.35.28:57476        1      142     1
 2009-05-03 13:50:25.466    30.000 UDP        89.25.35.28:57476 ->   192.168.10.101:21897        1       48     1
 2009-05-03 13:50:25.466    30.000 UDP       84.50.96.138:54754 ->      89.25.35.28:57476        1      142     1
 2009-05-03 13:50:25.466    30.000 UDP        89.25.35.28:57476 ->     84.50.96.138:54754        1       48     1
 2009-05-03 13:50:25.466    30.000 UDP     192.168.10.101:631   ->   192.168.10.255:631          2      402     1
 ...

Tundub, et suhteliselt sobiv on kasutada Debiani keskkonda veebirakenduse abil netflow esitamiseks. 

 # apt-get install nfdump librrds-perl

Nfsen

Vajalik tarkvara

Kasulikud lisamaterjalid

Pärit leheküljelt "https://kuutorvaja.eenet.ee/w/index.php?title=Netflow&oldid=17354"