Tinklo stebėjimo metodai NetFlow ir IPFIX

Standartinės tinklo stebėjimo sistemos veikimas paremtas statistinės analizės metodais. Tam, kad sugeneruoti pranešimą apie vykstančius gedimus, jos remiasi statistiniais veiklos rodiklių slenksčiais. Riba, kada tinklo veiklos rodikliai neatitinka normos, parenkama pagal nutylėjimą, pagal tinklo įrangos gamintojų rekomendacijas arba pagal individualius tinklo administratorių poreikius. Kuo paprastesnis sprendimas, tuo jis patikimesnis, tačiau dėl pagrindinės tinklo savybės – dinamiškumo (nuolat kintanti apkrova bei kitos aplinkybės), reikalingas didesnis sistemos lankstumas atpažįstant nuokrypius.

Netflow protokolas

Netflow – „Cisco Systems“ kompanijos sukurtas tinklo protokolas, skirtas tinklo įrenginiams, kuriuose įdiegta Cisco operacinė sistema, IP srautui stebėti. Netflow yra lankstus protokolas, todėl jis gali būti pritaikytas duomenų srautų skaičiavimams, tinklo apmokestinimui pagal vartojimą, tinklo planavimui, saugos užtikrinimui, elektroninių paslaugų ir tinklo veiklos stebėjimui. Be to, duomenys gali būti eksportuojami į kitas tinklo valdymo sistemas, kurios apdoroja duomenis tinklo planavimo, apskaitos, tinklo stebėjimo ar kitais tikslais. Srautą (angl. flow) galima apibrėžti skirtingais būdais. Tradicinis Cisco apibrėžimas – vienos krypties paketų seka, turinti 7-is bendrus atributus:

1. Siuntėjo IP adresas.

2. Gavėjo IP adresas.

3. Siuntėjo prievadas, skirtas UDP arba TCP protokolui, 0-inis žymi kitus protokolus.

4. Gavėjo prievadas, skirtas UDP arba TCP protokolui, 0-inis žymi kitus protokolus.

5. IP protokolas.

6. Įeinantis loginis prievadas (SNMP ifIndex).

7. IP paslaugos tipas (angl. Type of Service – ToS).

Netflow tikrina paketus pagal šiuos ir kitus atributus. Šiame kontekste srautas – bet koks paketų, kurie buvo užfiksuoti tam tikrame laiko intervale, skaičius, turintis bendrų savybių. Pavyzdžiui tas pats siuntėjas, tas pats gavėjas, tas pats protokolas (angl. same source, same destination, same protocol). Srauto paketai yra atrenkami pagal pasirenkamas charakteristikas ir reikiamą laiko tarpą. Tinklo įrenginiai, kuriuose sukonfigūruotas duomenų rinkimas, patys jų nekaupia. Tam skirti kaupimo serveriai, vadinami kolektoriais (1 pav.). Informacija kolektoriui pristatoma UDP protokolu. Tinklo įrenginys įprastai informaciją kolektoriui siunčia kas minutę, tačiau tai priklauso nuo individualių nustatymų. Kolektoriaus paskirtis yra gauti, apdoroti ir saugoti srautų informaciją. Jis gali surinkinėti duomenis iš keleto tinklo įrenginių. Kolektoriai sukauptus duomenis filtruoja ir sumuoja pagal vartotojų užklausas, saugo rezultatus.

1 pav. Netflows informacijos surinkimo principas

Netflow suskaičiuoja kiekvieno srauto paketus ir baitus. Kiekvienas komutatoriaus arba maršruto parinktuvo perduodamas paketas yra srauto dalis. Srauto duomenys kaupiami tam, jog būtų galima turėti duomenų judėjimo tinkle istoriją. Kuo senesni duomenys yra kaupiami, tuo detalesnę ir tikslesnę analizę galima atlikti, stebėti srautų tendencijas ar įtartinus srautus. Paprastai Netflow duomenys saugomi nuo kelių mėnesių iki keletos metų senumo. Pagrindiniai etapai kaupiant srauto duomenis:

1. Tinklo įrenginyje paketai filtruojami, sužymimi pagal laiką ir susiejami su srautu.

2. Įrenginio laikinojoje atmintyje sukuriami, šalinami arba atnaujinami srautų įrašai, susidedantys iš atributų, pradžios laiko, paskutinio atnaujinimo laiko, paketų ir baitų skaičiaus.

3. Srautas iš laikinosios atminties yra nuskaitomas, paruošiamas ir išsiunčiamas kolektoriui.

4. Kolektorius išsaugo srauto duomenis.

5. Išsaugoti duomenys yra paruošti tolimesnei analizei.

1 lentelė.NetFlows paketo struktūra

NetFlow pasyvus metodas – stebimi tinklu perduodami duomenys, priklausomai nuo sistemos, informacija apie srautus iš vis neperduodama, arba perduodama atskiru tinklu.

IPFIX protokolas

IPFIX (IP Flow Information Export – Informacijos IP srauto eksportas) – srautų informacija yra skelbiama nepertraukiamai ir nesinchroniškai. Kai konkretus srautas pasibaigia, informacija apie jį yra išsiunčiama specialiai nurodytam kolektoriui.

Pagrindinės taikymo sritys šio protokolo yra:

• Apskaita naudojama tinklų išteklių,

• srauto analizė,

• srauto administravimas,

• aptikimas atakų ir įsibrovimų tinkle,

• stebėjimas paslaugų kokybės (QoS).

Informaciniai elementai IPFIX protokolo suskaidyti į 12 grupių:

1. Identifikatoriai

2. Matavimo ir eksporto procesų konfigūravimas

3. Statistika matavimo ir eksporto procesų

4. IP antraštės laukai

5. Transporto antraštės laukai

6. Paantraštės laukai

7. Gauti paketų savybės

8. Minimali / maksimali srauto savybės

9. Srauto laiko parametrai

10. Srauto skaitiklis

11. Universali srauto savybės

12. Papildomi

Informacijos srauto architektūra IPFIX

•       Exporter, Metering      IPFIX      Collector
           O--------------------------->O
           |
           | Observation Point
           v
  ---- IP Traffic --->

2 pav. IPFIX srauto archetikruta

• IP srautas – tai IP paketų rinkinys, kuris tinkle praeina per stebėjimo tašką už tam tikrą laiko intervala.

• Stebėjimo taškas – tai vieta tinkle, kur vykdomas stebėjimas IP paketu.

• Matavimo procesas – generuojami srauto įrašai. Įvesties duomenys šiam procesui yra paketinės antraštės, fiksuojami stebėjimo taške. Matavimo procesas susideda iš funkcijų, kurie įskaito fiksavimą, identifikavimą laiko parametru, atranka, klasifikavima paketų antraštes ir srauto įrašų administravimą.

• Srauto įrašai – pateikiama informacija apie tam tikrą srautą, kurio parametrai nustatyti stebėjimo taške.

• Eksporto procesas - siunčia srautinius įrašus į kolektoriu arba kolektorius.

• Surinkimo procesas - gauna srautinius įrašus iš vieno ar daugiau eksporto procesų. Surinkimo procesas gali saugoti gautus įrašus tolesniam apdorojimui. Programos

IPFIX naudoja SCTP kaip savo transporto lygmens protokolą, bet taip pat gali nauduoti TCP arba UDP.

Paprastas informacijos rinkinys siunčiami IPFIX gali atrodyti taip:

Šaltinis       Paskirtis         Paketai
------------------------------------------
192.168.0.201  192.168.0.1    235
192.168.0.202  192.168.0.1    42

Naudota literatūra

https://en.wikipedia.org/wiki/IP_Flow_Information_Export

https://tools.ietf.org/html/rfc5101