jourdan loyen valdes netflow

26
NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes

Upload: mounir-alaoui

Post on 10-Nov-2015

236 views

Category:

Documents


0 download

DESCRIPTION

Merci

TRANSCRIPT

  • NETFLOW Prsent par :Romain JourdanMathias LoyenJonathan Valdes

  • Sommaire Partie 1 : Problmatique de supervision Partie 2 : Principes et fonctionnement de Netflow Partie 3 : Configuration et Exploitation

  • Partie 1 Administration Rseau :

    Notions, problmatiques et solutions

  • Une notion importante Mtrologie

    Par dfinition, la mtrologie dsigne la science des mesures.

    Dans le cadre des rseaux informatiques, son objectif est de connatre et comprendre le rseau afin de pouvoir, non seulement intervenir dans l'urgence en cas de problme, mais aussi anticiper l'volution du rseau, planifier l'introduction de nouvelles applications et amliorer les performances pour les utilisateurs (Claudine Chassagne - UREC/CNRS - septembre 1997). .

  • Les besoins Diffrentes problmatiques :

    Quelles sont les machines qui parlent le plus?

    Quel est le trafic par utilisateur ou groupe? par application? par rseau (interne, externe)?

    Combien dutilisateurs sont actifs sur le rseau linstant T?

    Do vient le trafic?

    Vers o se dirige-t-il?

    Des attaques de scurits?

  • Les flows Des solutions :

    sFlow de InMon

    LFAP de Riverstone

    Netflow de CISCO

    Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco( partir de la version 12.0 de lIOS) Mais aussi chez dautres constructeurs (Juniper). Le standart de lIETF : IPFIX (IP Flow Information eXport) pas encore ratifi

  • Partie 2 NETFLOW :

    Principes et fonctionnement

  • NetFlow et les Flux La technologie NetFlow de Cisco sappuie sur la notion de flux. Critres dun flux- Adresses source et destination- Protocole (TCP, UDP, ICMP..)- Type of Service (ToS)- Ports applicatifs- Interfaces dentre et de sortie du routeur

  • Table des flux - Cache Routeur utilisant NetFlow :- Maintient en cache une table des flux actifs : Cache NetFlow- Compte le nombres de paquets et doctets reus pour chaque flux. Mise JourA chaque paquet reu le routeur met jour le cache :- Soit en crant une nouvelle entre- Soit en incrmentant les compteurs dune entre existante

    adresse srcTimeleftNb pqtsNb Octets192.168.0.55453 456192.168.0.6235258192.168.0.215905 789192.168.0.111123423 456

    192.168.0.9302124

    192.168.0.530463 512

  • Expiration dun flux Expiration dun flux, dune entre :Une entre(une flux) expire quand :- Il a t inactif pendant un certain temps (par dfaut 15 sec)- Il a t actif depuis trop longtemps (par dfaut 30 min)- Il sagit dun flux TCP et les flags FIN ou RST ont t dtects parle routeur.

    adresse srcTimeLeft (sec)Active Time (min)192.168.0.555192.168.0.63018192.168.0.2012192.168.0.12930

  • Collecte Lorsquun flux a expir :- Il est supprim du Cache NetFlow.- Il peut tre export vers une machine de collecte au moyen de trames NetFlow. Exportation et remonte dinformations- La machine reoit des trames NetFlow suivant un protocole dfini par Cisco (plusieurs versions existent).- Le routeur regroupe plusieurs flux dans une trame (par conomie).

  • Protocoles NetFlow Il existe plusieurs versions : 1, 5, 7, 8

    - La version 5 est la plus couramment utilise.- La version 7 sert pour les switches Catalyst et diffre peu de la version 5.- La version 8 introduit les schmas dagrgation (environ une quinzaine).

    Chaque version apporte des changements et demande une modification des collecteurs. Pas de support dIPv6, du Multicast, MPLS

  • Protocole NetFlow v9 Introduction de la notion de Templates2 Types de donnes :- des Template recordscontenu dans des Template FlowSets.- des Data recordscontenu dans des Data FlowSets.

    Trame NetFlow v9Contient une entte et une succession de Data FlowSets et/oude Templates FlowSets. DcodagePour pouvoir dcoder un Data FlowSets, un collecteur doit pralablement avoir reu le Template associ

    PacketheaderTemplate FlowSetTemplateFlowSetDataFlowSetTemplate FlowSetDataFlowSet

  • Protocole NetFlow v9 Format des templates- Organisation dun Template FlowSets :- Organisation dun Template Record :- De nombreux types de champs sont prdfinis (IPv4, IPv6)

    Nouveaux supports :- IPv4 Unicast- IPv4 Multicast- MPLS- IPv6 en beta

    FlowSet HeaderTemplate Record 1Template Record 1Template Record N

    FlowSet IDFlowSet LengthTemplate IDField CountField 1 TypeField 1 LengthField N TypeField N Length[]

  • Partie 3 UTILISER NETFLOW :

    Mise en place et exploitation des fluxEvolutions prvues

  • Linfrastructure NetFlow RouteurCollecteurApplicationsCration du cacheAgrgationExportCollecteFiltrageAgrgationStockageUtilisation des donnesPrsentation des donnes

  • Fonctions du collecteur Fonctions essentielles- Collecter les enregistrements exports par les routeurs- Raliser une premire phase de traitement- Filtrage- Agrgation- Stocker les enregistrements Le collecteur Cisco: NetFlowCollector (NFC)- Interface graphique Web- Possibilits de traitement (tri, graphe) Des outils gratuits: IPFlow, FlowTools- Grent la r-mission (dispatching)- Pas dinterface graphique

  • Exemple de traitement NFCRpartition des flux par type sur une priode donne

  • NetFlow sur NAM But: Plugn play- NAM: Network Analysis Module- Module additionnel (carte ou botier externe)- Embarque- un collecteur- un logiciel dexploitation des donnes- interface Web Avantages- Mise en place rapide, simplicit dutilisation- Peu de configuration, ne ncessite pas un serveur Inconvnients- Performances faibles, cot lev

  • volutions futures Support IPV6- Incomplet (exports IPV4)- Prvu en volution de la version 9 (bta ce jour) Scurit- Exports de nouvelles donnes- @mac- longueur des paquets- TTL- Passage automatique en mode sample lors de pic de charge (DOS).

  • Commandes: configuration ip route-cache flowPour chaque interface

    ip flow-export version ex : ip flow-export version 5

    ip flow-export destination ex : ip flow-export destination 10.0.0.1 65001

    ip flow-cache timeout active Dfinit le temps en minutes pendant lequel un flux restera en cache avant expiration. 30 minutes par dfaut

  • Commandes: Visualisation show ip cache [verbose] flowAffiche les statistiques NetFlow

    show ip flow exportAffiche les statistiques dexport

    clear ip cache flowVide les statistiques NetFlow

    clear ip flow statsVide les statistiques dExport

  • Exemple: show ip cache flow

  • Dmonstration192.168.0.254192.168.1.254192.168.1.1192.168.0.1JonathanRomainRouteur Cisco 1751Export NetFlow V5Collecteur NFC(interface Web)Reoit les exportsNetFlow

    Reoit le trafic

    met le trafic

    TCP:HTTP (80)FTP (21)Telnet (23)

  • Conclusion Un outil performant- fiable- volutif - roadmap claire Une stratgie concevoir- Utilisation CPU > 15 20% pour la v5 et la v9- 2 5% de plus pour la v8 - 64 octets par flux en mmoire

  • Bibliographie Prsentation NetFlow, Christophe Fillot UTC Compigne (Causerie Renater 8/1/2004) Prsentations Cisco (www.cisco.com)