Forgalom mérés,naplózás,figyelmeztetés,(ids) nagyobb hálózatra

Hálózatok általános

Üdv,

Volna egy nagyobbacska (kb 10 db /24-es alháló) hálózat, ahol a routereken átmenő forgalmat
per IP alapon monitorozni kellene. Tekintve, hogy Mikrotik CCR 1009 routerekből és Dell managelhető
switchekből álló hálózatról van szó nem okoz problémát a csomagok átadása egy dedikált portra
feldolgozásra/elemzésre. (aka. port mirroring switchen/mikrotiken vagy traffic-flow/netflow a mikrotiken)

Utólag felmerült az esetleges IDS elemzés is csak hogy tuti legyen a dolog. :D

Pár kört már futottam a témában és találtam is használhatónak tűnő megoldást...
A kérdés az volna, hogy tudtok-e esetleg jobbat.

  • 1. Mikrotik / Simple queue + Graph
    Kipróbáltam, működik egyenlőre túl nagy CPU overhead-et nem mértem,
    de nem is volt túl nagy forgalom rajta. Valószínűsítem, hogy a PPS emelkedésével
    nem elhanyagolható méretben nőne a CPU terhelés is, amit nem szeretnék.
    További hátránya, hogy semmiféle figyelmeztetést nem tud küldeni max scriptelgetve.
  • 2. Mikrotik / Simple queue + nagios/icinga v. cacti
    A grafikonozás feladatát levettük a Mikrotikről de azért így is sok lehet az a 2500+ queue.
  • 3. Mikrotik / traffic-flow + ntopng
    A router mentesült a legtöbb feladatától és egy dedikált gép végzi az elemzést. Egész szimpatikus.
    Figyelmeztetést ez se küld persze de legalább a forgalmakat és statisztikákat ehető formában adja.
    IDS funkciója persze nincs.
  • 4. Mikrotik / port mirror + ntopng + IDS
    Ntopng és az IDS becsücsül szépen egy dedikált gépen promisc módba és teszi a dolgát.
    Grafikonok vannak / statisztika okés / figyelmeztetés ha nagy forgalom van .... na az nincs.
    Viszont van némi IDS funkcióra lehetőség mondjuk Snort vagy más hasonló termék segítségével.

Nekem eddig a 4. megoldás tűnt az életképesnek és használhatónak.
Morfondírozok még a mostanában egyre "trendibb" ELK megoldásokon is.

Még IDS rendszerből is van egész használható és pofás.
https://www.stamus-networks.com/open-source/#selks

ui: tudom rendszergazdának elég a konzol is, de a megoldás nem rendszergazdának kell hanem
egyszeri üzemeltetőnek, aki könnyen átláthatóan akarja az adatokat és nem fekete háttéren/szuperzőőőd betűvel :D Eyecandy forewer :D

  • 7029 megtekintés

( n.balazs v | 2015. 04. 08., sze – 22:10 )

Előre szólok: Mikrotiket annyira nem ismerem.
Szerintem ez a port mirror/netflow megoldás nem előnyös, ha az aggregált forgalom eléri/meghaladja 1 port áteresztőképességét. A 4. megoldás ésszerűnek tűnik. Kérdésem, hogy mit értel nagy forgalom alatt (csomag/mp, bit/mp, router cpu terhelés stb.)? Ezekről riasztást tudsz küldeni e-mailben SNMP-t felhasználva.

Az aggregált forgalom miatt nem kell aggódni egyenlőre mivel 1G-s lábon 100M uplink lóg.
Nagy forgalom alatt pedig kimondottan azt értem ha mondjuk egy vírusos gép elkezd kifele szemetelni.
Mondjuk elpukkant egy szolíd DOS-t valami külső IP cím felé vagy kintről indítanak befelé valami csúnyát.

--
http://hwk.hu

( loki84 v | 2015. 04. 09., cs – 10:06 )

MRTG esetleg?
Vagy ha Tik, akkor Dude? Szép színes, meg minden. :D

Dude, Cacti, Pnp4nagios....mindnek ugyanaz a gondja....
Script eredményét, SNMP OID értékét monitoroz tehát alaphelyzetben
az ethernet interface a legnagyobb felbontás, amit tudnak.

Itt pedig pont az lenne a cél, hogy lássa az üzemeltető pontosan ha
XYZ IP címről nem megszokott mértékű forgalom áramlik és sajnos
egy interfacen több IP cím is csücsülhet.

Az MRTG-t nem használtam sose de ahogy elnézem kb ugyanazt tudja mint a fenti 3.

---

Ha le kéne egyszerűsíteni a feladatot akkor olyan mintha egy internet
szolgáltató akarja számlálni és grafikonozni az ügyfelei forgalmát vagy
mondjuk egy hosting cég akarja IP alapon monitorozni a forgalmat az ügyfeleinél.
pl: digitalocean a VPS szerverein is a csomaghoz mérten limitálja a havi forgalmat.

Ennél jobb példákat nem tudok mondani.

--
http://hwk.hu

Valami hasonlót de mint mondottam volt az interface felbontás kevés sajnos. Egyedi IP cím felbontás kell.
Ezért hullottak el a "szokásos" megoldások.... mindnek a legkisebb felbontás az interface.
Azzal egyik se tudott mit kezdeni, hogy az interfacen lóg 3 db /24-es vlan és azok közül 1 db IP címmel van gond.

--
http://hwk.hu

( _ventura_ v | 2015. 04. 09., cs – 11:30 )

Nálunk a core-router portja van tükrözve a suricata-nak. Valamin a core-switch sflow-t küldi a collectornak ami ebben az esetben traffic sentinel. Persze ezen kivul meg van a szokasos snmp a fobb portokra, csomopontokra.

Itt emlitettem: http://hup.hu/node/139379#comment-1847174

Fedora 21, Thinkpad x220

( wpeople v | 2015. 04. 09., cs – 11:41 )

én traffic flow-t használnék mérésre.
Ha igazán tutit akarsz, akkor a router elé teszel egy switchet, ami képes L3 szűrésre, így flood esetén
az adott IP már nem éri el a routert - mindezt ASIC-ból.
Uez a switch lehet flow collector is.

Az egy másik kérdés, hogy a CCR mit kezd a 2500 queue-val. (nem tudom)