آموزشامنیتسیسکوشبکهمیم تک 10

Netflow Collector چیست و چه کاربردی در امنیت شبکه دارد ؟

Netflow Collector چیست و چه کاربردی در امنیت شبکه دارد ؟

معرفی قابلیت Netflow Collector :

پروتکل NetFlow توسط شرکت سیسکو توسعه داده شده، به همین خاطر به آن Cisco IOS NetFlow نیز میگویند بنابراین تمام تجهیزاتی که توسط این شرکت تولید میشود این قابلیت را در خود دارند. NetFlow ریز اطلاعات عبوری از شبکه را مانیتور میکند و جهت آنالیز ترافیک عبوری از سوئیچ ها و روترها مورد استفاده قرار می گیرد. در یک محیط مجازی سوئیچینگ ترافیک مابین دو میزبان که بر روی یک هاست و VLAN قرار گرفته اند توسط سوئیچ مجازی انجام می شود که به آن اصطلاحاً Dark Traffic می گویند. با استفاده از NetFlow میتوان چنین ترافیکی را آنالیز و توسط سرورهای NetFlow Collector مانیتور نمود.

فایروال و روترها را میتوان با Netflow مانیتور کرد. با این پروتکل می توان جریان اطلاعات رو بر حسب آدرس و پورت شبکه از مبدا تا مقصد پایش کرد البته نیاز هست که قبلش تجهیزات و پیکره بندی لازم رو داشته باشید با این روش بدون ورود به حریم کاربر می توانید ترافیک رو تشخیص و متوجه شویم که از چه جنسی است .

Netflow با یک سرور با هارد دیسک یک صد گیگابایت هم بعضا درست کار می کند.

یکی از امکانات افزوده شده در سوئیچ VDS نسبت به سوئیچ استاندارد قابلیت NetFlow می باشد.

سوئیچ VDS از نسخه IPFIX پروتکل NetFlow که منطبق بر نسخه 9 استاندارد IETF می باشد پشتیبانی می نماید.

آموزش مانیتورینگ شبکه با NetFlow :

جهت انجام مانیتورینگ توسط NetFlow لازم است تنظیمات در دو مرحله صورت بگیرد.

مرحله اول تنظیمات مانیتورینگ با NetFlow :

مرحله اول تنظیمات خود NetFlow را در بر می گیرد و شامل مراحل زیر می باشد:

IP Address : آدرس سرور NetFlow Collector که اطلاعات ترافیکی به آن ارسال می شود در این قسمت وارد می گردد.

Port : شماره پورتی که توسط NetFlow Collector مورد استفاده قرار می گیرد در این قسمت وارد می گردد.

Switch IP Address : این قسمت بعنوان یک Identifier توسط NetFlow Collector جهت ایجاد تمایز میان ارسال کنندگان مختلف اطلاعات ترافیک مورد استفاده قرار می گیرد و لازم نیست حتماً یک آدرس قابل مسیریابی باشد. برای VDS میتوان آدرس Management را برای این منظور استفاده کرد.

Active flow export timeout in seconds : بازه زمانی است که سوئیچ اطلاعات مربوط به Flowهای فعال را جمع آوری و به سمت NetFlow Collector ار سال می نماید. با استفاده از این گزینه برای ارسال نتایج آنالیز یک Flow طولانی، میتوان آنرا در فواصل زمانی کوتاهتری ارسال کرد.

Idle flow export timeout in seconds : بازه زمانی است که سوئیچ اطلاعات مربوط به Flowهای غیر فعال را جمع آوری کرده و به سمت NetFlow Collector ارسال می نماید.

Sampling rate : نرخ نمونه گیری از ترافیک توسط این گزینه مشخص می گردد. مقدار پیش فرض 0 می باشد به این معنی که تمامی ترافیک مورد آنالیز قرار می گیرد، برای مقادیر N، به ازای هر N فریم، یک فریم آنالیز شده و نتیجه آن به NetFlow Collector ارسال می گردد.

Process internal flows only : با استفاده از این گزینه میتوان عملیات آنالیز ترافیک را تنها به ترافیک داخلی سوئیچ VDS یا همان Dark Traffic محدود نمود.

Netflow برای مقاصد مختلف از جمله موارد امنیتی مورد استفاده قرار میگیرد یک ادمین شبکه می خواهد که Anomaly های ترافیکی شبکه را شناسایی کند از جمله موارد مورد استفاده از آن به این صورت است که فرض کنید یک نرم افزار جدید به شبکه اضافه شده و می خواهیم بدانیم که این نرم افزار چه ترافیکی را به شبکه متحمل میکند از این پروتکل استفاده میکند.

این پروتکل ریز اطلاعات موجود در بسته های اطلاعاتی رد و بدل شده مابین سویچ ها و روترها را  نمایش میدهد و وضعیت کلی فعالیت شبکه را گزارش میدهد.

مرحله دوم تنظیمات مانیتورینگ با NetFlow :

گام دوم در تنظیمات فعال نمودن NetFlow بر روی پورتهای مختلف است که در VDS عملیات فعالسازی بازای هر Port Group بر روی پورتهای متعلق به ( Port Group) قابل انجام می باشد:

روش تشخیص broadcast storm در شبکه به این صورت هست که در سوئیچ و تجهیزات سیسکو از storm-control استفاده میشود که بر روی اینترفیس ها ست میشود که با توجه به action ی که تعریف کرده ایم، اگر از حد خود گذشت یک Trap به SNMP میفرستد البته با Netflow Analyzer هم میتوان report های خوبی راجع به ترافیک های شبکه ایی گرفت و با این روش نیز میتوان source را هم تشخیص داد.

ارسال پاسخ