Gestion et Supervision de Rseau Sommaire Netflow Quest-ce que Netflow et comment fonctionne-t-il ? Utilisations et applications Configurations et mise en uvre fournisseur Cisco et Juniper Outils de flux Problmes darchitecture Logiciels, outils, etc. Autres thmes / Dmonstrations Flux de rseau Paquets ou trames prsentant un attribut commun. Politique de cration et dexpiration conditions de dmarrage et darrt dun flux. Compteurs paquets, octets, temps. Informations dacheminement systme autonome (AS), masque de rseau, interfaces. Flux de rseau Unidirectionnels ou bidirectionnels. Les flux bidirectionnels peuvent contenir dautres informations telles que le temps d'aller-retour, le comportement TCP. Les flux dapplication regardent au- del des en-ttes afin de classifier les paquets en fonction de leur contenu. Flux agrgs flux de flux. Travailler avec les flux Gnration et affichage des flux Exportation de flux partir de priphriques Types de flux Taux dchantillonnage Collecte Outils de collecte de flux - Outils de flux Analyse Utiliser les outils existants ou en crer Descripteurs de flux Plus la cl comporte dlments plus elle gnre de flux. Un nombre suprieur de flux signifie : Plus de temps de post-traitement pour gnrer les rapports Plus de mmoire et de capacit dUC pour les quipements gnrateurs de flux. Dpendant de lapplication. Ingnierie du trafic ou dtection des intrusions. Comptabilisation des flux Informations de comptabilisation accumules avec les flux. Paquets, octets, temps de dmarrage/ fin. Informations dacheminement rseau masques et numro de systme autonome. Gnration/collecte de flux Moniteur passif Un moniteur passif (gnralement un hte Unix) reoit lensemble des donnes et gnre les flux. Gourmand en ressources Routeur ou autre priphrique existant du rseau Gnration des flux par un routeur ou dautres quipements existants tels qu'un commutateur Possibilits dchantillonnage Pas dinvestissements en nouveaux quipements Collecte par un moniteur passif Poste A Poste B Campus Sonde de ux connecte au port de commutation en mode miroir de trac Collecte par un routeur Le collecteur de ux stocke les ux exports du routeur Rseau local Rseau local Rseau local Internet Rseau local Mises en uvre vendeurs Cisco NetFlow Flux unidirectionnels. IPv4 unicast et multicast. Agrg et non agrg. Flux exports par UDP. Support sur plates-formes IOS et CatOS. Mise en uvre diffrente de NetFlow Catalyst. Versions Cisco NetFlow 4 types non agrgs (1, 5, 6, 7). 14 types agrgs (8.x, 9). Chaque version se caractrise par son propre format de paquets. La version 1 ne comporte pas de numros de squence aucun moyen de dtecter les flux perdus. La version dtermine le type de donnes du flux. Certaines versions sont propres la plate- forme Catalyst. NetFlow v1 Champs cls : IP source/destination, port source/destination, protocole IP, ToS, interface dentre. Comptabilisation : paquets, octets, temps de dmarrage/fin, interface de sortie. Autres : oprations OR sur les bits de drapeaux TCP. NetFlow v5 Champs cls : IP source/destination, port source/destination, protocole IP, ToS, interface dentre. Comptabilisation : Paquets, octets, temps de dmarrage/fin, interface de sortie. Autres : Oprations OR sur les bits de drapeaux TCP, AS source/destination et masque IP. Le format de paquets ajoute des numros squentiels permettant de dtecter les paquets exports perdus. NetFlow v8 Flux v5 agrgs. Certains types de flux ne sont pas disponibles sur tous les quipements. Beaucoup moins de donnes en post- traitement, mais perte de la granularit fine de la version 5 pas dadresses IP. Configuration IOS Cisco Configur sur chaque interface dentre Dfinit la version. Dfinit ladresse IP du collecteur (o envoyer les flux). Active le cas chant les tables dagrgation. Configure le cas chant les dlais dattente de flux et la taille de la principale table de flux (v5). Peut configurer le taux dchantillonnage. Configuration IOS Cisco ip flow-top-talkers top 10 sort-by bytes
Synthse des commandes Cisco Activation de CEF (par dfaut) ip cef Activation des flux sur chaque interface ip route cache flow OR ip flow ingress ip flow egress
Affichage des flux show ip cache flow show ip flow top-talkers Synthse des commandes Cisco (suite) Exportation des ux vers un collecteur
ip flow-export version 5 [origin-as|peer-as]
ip flow-export destination x.x.x.x <udp-port>
Exportation de ux agrgs
ip flow-aggregation cache as|prefix|dest|source|proto
enabled export destination x.x.x.x <udp-port> Flux et applications Utilisations des flux Identification / rsolution des problmes Classification du trafic Traage des dnis de service (quelques diapositives de Danny McPherson) Analyse du trafic Analyse du trafic inter-AS (systmes autonomes) Rapport sur les serveurs mandataires (proxies) Comptabilisation Vrification croise partir dautres sources Possibilit de vrification croise avec les donnes SNMP Dtection danomalies : ver Slammer sur serveur SQL* Dtection base sur les flux (suite)* Une fois poses les bases, les activits prsentant des anomalies peuvent tre dtectes Les anomalies de dbit (pps ou bps) peuvent tre lgitimes ou malveillantes Bon nombre dattaques abusives peuvent tre immdiatement reconnues, mme sans bases de rfrence (inondations TCP SYN ou RST, par exemple)! Des signatures peuvent tre galement dfinies afin didentifier des donnes transactionnelles intressantes (ex : protocole udp et port 1434 et 404 octets (charge 376) == slammer!)! Des signatures temporelles peuvent tre dfinies afin dobtenir une dtection plus prcise Outils commerciaux bass sur les flux"* Dtection commerciale Attaque DOS grande chelle* Comptabilisation Une comptabilisation base sur les flux peut complter utilement la comptabilisation base SNMP. Rfrences Outils de flux : http://www.splintered.net/sw/flow-tools Applications NetFlow http://www.inmon.com/technology/netflowapps.php Netflow HOW-TO http://www.linuxgeek.org/netflow-howto.php Effort de normalisation IETF : http://www.ietf.org/html.charters/ipfix-charter.html Rfrences (suite) Page Abilene NetFlow http://abilene-netflow.itec.oar.net/ Liste de diffusion doutils de flux : flow-tools@splintered.net Communaut Cisco Centric Open Source http:// cosi-nms.sourceforge.net/related.html Guide utilisateur du collecteur Cisco NetFlow http://www.cisco.com/en/US/docs/net_mgmt/netflow_collection_engine/ 6.0/tier_one/user/guide/user.html
![TP2EtudeConfigIOS(1)[1]](https://imgv2-2-f.scribdassets.com/img/document/151737298/149x198/ed22bb2c1b/1432374615?v=1)
