Académique Documents
Professionnel Documents
Culture Documents
Controlo de versões
Este documento contém informação que pode ser considerada confidencial. Desta forma,
não pode ser reproduzido, alterado ou distribuído, seja por que meio, total ou parcialmente,
sem autorização expressa e prévia da FCCN.
1 Introdução ..................................................................................................... 6
2 Netflow.......................................................................................................... 7
4 Software ...................................................................................................... 10
4.2 Ntop..................................................................................................... 11
5 Especificações técnicas................................................................................... 16
6 Conclusão .................................................................................................... 17
7 Referências .................................................................................................. 17
©FCCN 6
2 Netflow
Netflow é uma tecnologia para monitorização de tráfego desenvolvida pela Cisco Systems,
possibilita a criação de mecanismos para identificação de fluxos em equipamentos de
comunicação, o maior exemplo disso são os routers. Permite a exportação de fluxos de
tráfego IP para um servidor, com o objectivo de serem tratados por um software específico
de colecta e análise. A seguinte figura constitui um exemplo de utilização:
A informação dos fluxos é determinante, por exemplo, para obter respostas sobre o tráfego
de uma instituição num determinado dia, quais as operações de um determinado IP, etc.
Trata-se de um ferramenta capaz de capturar um vasto conjunto de estatísticas de tráfego.
Essas estatísticas podem ser utilizadas para uma grande variedade de propósitos:
• Contabilização e gestão
• Produtividade da rede
©FCCN 7
• Impacto em alterações na rede
• Detecção de anomalias
• Planeamento
Note-se porém que os flows não constituem algum tipo de cópia do tráfego, mas somente
uma indicação do fluxo das comunicações.
A Cisco define um flow como uma sequência unidireccional de pacotes entre uma dada
origem e destino, ambos definidos por endereçamento IP na camada de rede, e número de
porto origem e destino na camada de transporte.
Na utilização pretendida os dados Netflow são exportados através de pacotes UDP para uma
porta configurada no colector. Cada pacote é formado por um cabeçalho seguido dos fluxos,
e o seu formato varia de acordo com a versão do Neflow, as versões mais populares são a
v.5 e a v.9. De um modo geral, um flow é baseado nos seguintes sete atributos:
• Endereço IP origem
• Endereço IP destino
• ID Interface
©FCCN 8
3 Projecto Piloto na RCTS
Para ser criada uma infra-estrutura de medições utilizando Netflow para toda a RCTS, o
primeiro passo necessário é efectuar a configuração do Netflow nas devidas interfaces.
Para a rede das Escolas é suficiente efectuar configurações nos routers colectores Lisboa e
Porto. Quanto às restantes instituições é possível faze-lo de duas formas: a primeira passa
pela FCCN efectuar a configuração em todos os seus routers de acesso localizados em Lisboa
e Porto; na segunda hipótese, e preferencial, as instituições activam o Netflow nos seus
routers, e direccionam os flows para o servidor colector localizado na FCCN. Esta segunda
hipótese é preferencial porque o primeiro cenário poderia originar uma sobrecarga nos
processadores dos routers de acesso da FCCN. Quando as tabelas de fluxos estiverem
criadas, é preciso configurar o destino dos fluxos, neste caso o IP e a porta UDP do servidor
colector.
Para fazer a colecta dos fluxos enviados pelos routers configurados com Netflow, é
necessário uma ferramenta software. Esta deve fornecer suporte à colecta e gestão dos
fluxos armazenados, permitindo ainda a monitorização da totalização dos fluxos. O software
deve permitir de um modo interactivo, através de um interface web com capacidades de
filtragem, obter informação pormenorizada sobre o uso da largura de banda por tipo de
protocolo, rede, ou IP. Deve permitir ainda gerar gráficos detalhados, assim como
informação estatística sobre o tráfego.
Existe uma vasta oferta de software Netflow, o mesmo aplica-se a licenciamento comercial
ou open source. Considera-se preferível não fechar neste projecto a escolha do software,
sendo preferível realizar primeiro uma fase de testes. Para maior informação, consultar a
secção “Software”.
Os servidores colectores são utilizados para armazenarem todos os dados Netflow, para
posteriormente serem tratados e disponibilizados via Web. Para maior robustez do serviço,
considera-se necessário usar um servidor dedicado , este deve possuir uma elevada
capacidade de processamento e armazenamento.
©FCCN 9
4 Software
• Integração de plugins
©FCCN 10
Fig. 3 - NfSen snapshot2
4.2 Ntop
• Interface web
• Suporta IPv4/IPv6
©FCCN 11
Fig. 4 - Ntop snapshot1
©FCCN 12
Fig. 5 - Ntop snapshot2
• Interface web.
• Agrupamento de interfaces
©FCCN 13
Fig. 6 - NetFlow Analyzer snapshot1
©FCCN 14
4.4 Caligare Flow Inspector
• Interface web
• Criação de perfis
©FCCN 15
5 Especificações técnicas
• Montagem RACK
• CPU: dois CPUs da linha Intel com capacidade de expansão a quatro. Referência
Intel Xeon, 3.2GHz, 8MB L3 Cache, 800MHz FSB
• RAM: 4GB
• Sub-sistema de disco
o Controladora RAID com um canal interno e outro externo, com suporte Linux
(indicar informações que permitam verificar esse suporte) , com capacidades
RAID 0, 1 e 5
o Todas as posições de discos tem que vir com gavetas prontas para instalação
de discos
• Alternativas
©FCCN 16
o 4 em vez de 2 CPUs
6 Conclusão
A tendência observada mostra que a temática segurança informática a cada dia que passa
ganha maior importância nas organizações, isso devido a inúmeras razões associadas à
confidencialidade, integridade, e disponibilidade dos sistemas de informação.
Várias aplicações Netflow (software e hardware) estão a ser desenvolvidas com o propósito
principal ligado à segurança informática. A própria Cisco que inicialmente não desenhou o
serviço Netflow para análise de segurança, aparece cada vez mais a relacionar de forma
directa o Netflow a produtos de segurança, exemplo disso é a última versão Netlow 9.
A utilização de análise netflow na RCTS seria uma ferramenta útil para a gestão da RCTS,
designadamente nas seguintes vertentes:
• Segurança:
7 Referências
7.1 Livros
[1] Richard Bejtlich. The Tao of Network Security Monitoring Beyond Intrusion Detection.
Addison Wesley, 2004.
©FCCN 17
7.2 Web sites
[1] Cisco Systems www.cisco.com/go/netflow
©FCCN 18