ANÁLISE DE TRÁFEGO NETFLOW

Controlo de versões

Versão Data Estado Autor

1 23-02-2007 Draft David Penedo

1.1 5-Mar-2007 Revisão João Pagaime

Aviso de confidencialidade

Este documento contém informação que pode ser considerada confidencial. Desta forma,
não pode ser reproduzido, alterado ou distribuído, seja por que meio, total ou parcialmente,
sem autorização expressa e prévia da FCCN.

A quem se destina este documento

Gestores da Informática e Comunicações das Instituições ligadas à RCTS.

Índice

Análise de tráfego Netflow....................................................................................... 1

1 Introdução ..................................................................................................... 6

2 Netflow.......................................................................................................... 7

3 Projecto Piloto na RCTS .................................................................................... 9

4 Software ...................................................................................................... 10

4.1 NfSen - Netflow Sensor ............................................................................ 10

4.2 Ntop..................................................................................................... 11

4.3 NetFlow Analyzer .................................................................................... 13

4.4 Caligare Flow Inspector............................................................................ 15

5 Especificações técnicas................................................................................... 16

5.1 Características de cada servidor................................................................. 16

6 Conclusão .................................................................................................... 17

7 Referências .................................................................................................. 17

7.1 Livros ................................................................................................... 17

7.2 Web sites .............................................................................................. 18

7.3 Artigos / Apresentações........................................................................... 18

Índice de figuras
figuras

Fig. 1 - Diagrama de rede com utilização Netflow ........................................................ 7

Fig. 2 - NfSen snapshot1 ....................................................................................... 10

Fig. 3 - NfSen snapshot2 ....................................................................................... 11

Fig. 4 - Ntop snapshot1......................................................................................... 12

Fig. 5 - Ntop snapshot2......................................................................................... 13

Fig. 6 - NetFlow Analyzer snapshot1 ........................................................................ 14

Fig. 7 - NetFlow Analyzer snapshot2 ........................................................................ 14

Fig. 8 - Caligare snapshot ...................................................................................... 15

1 Introdução
O rápido crescimento das redes IP criou interesse em novas aplicações e serviços. Esses
novos serviços resultam num aumento de largura de banda, performance e qualidade de
serviço. Simultaneamente, existe uma necessidade emergente de tecnologias de medição
para suportar este crescimento, que possam fornecer informação sobre a rede, aplicações e
recursos utilizados. A rede da RCTS tem acompanhado o crescimento da Internet, basta
recuar poucos anos, e comparar os débitos das ligações com as actuais para observarmos
grandes diferenças. O mesmo acontece com todas as NRENs Europeias.

Actualmente, no âmbito do projecto Europeu Joint Researsh Activity 2 (JRA2) da GEANT2,

está a ser definido e desenvolvido um conjunto de ferramentas de segurança para ser
usado num ambiente de rede real, este vai colectar e analisar dados de tráfego em tempo
real baseado no formato Netflow. As ferramentas baseadas em Netflow são actualmente
muito populares como instrumentos poderosos de monitorização de tráfego de rede para
propósitos de segurança.

©FCCN 6
2 Netflow
Netflow é uma tecnologia para monitorização de tráfego desenvolvida pela Cisco Systems,
possibilita a criação de mecanismos para identificação de fluxos em equipamentos de
comunicação, o maior exemplo disso são os routers. Permite a exportação de fluxos de
tráfego IP para um servidor, com o objectivo de serem tratados por um software específico
de colecta e análise. A seguinte figura constitui um exemplo de utilização:

Fig. 1 - Diagrama de rede com utilização Netflow

A informação dos fluxos é determinante, por exemplo, para obter respostas sobre o tráfego
de uma instituição num determinado dia, quais as operações de um determinado IP, etc.
Trata-se de um ferramenta capaz de capturar um vasto conjunto de estatísticas de tráfego.
Essas estatísticas podem ser utilizadas para uma grande variedade de propósitos:

• Aplicação e utilização dos recursos da rede

• Contabilização e gestão

• Produtividade da rede

©FCCN 7
 • Impacto em alterações na rede

• Detecção de anomalias

• Análise de segurança, vulnerabilidades de segurança

• Planeamento

Note-se porém que os flows não constituem algum tipo de cópia do tráfego, mas somente
uma indicação do fluxo das comunicações.

A Cisco define um flow como uma sequência unidireccional de pacotes entre uma dada
origem e destino, ambos definidos por endereçamento IP na camada de rede, e número de
porto origem e destino na camada de transporte.

Na utilização pretendida os dados Netflow são exportados através de pacotes UDP para uma
porta configurada no colector. Cada pacote é formado por um cabeçalho seguido dos fluxos,
e o seu formato varia de acordo com a versão do Neflow, as versões mais populares são a
v.5 e a v.9. De um modo geral, um flow é baseado nos seguintes sete atributos:

• Endereço IP origem

• Endereço IP destino

• Número porto de origem

• Número porto de destino

• Tipo protocolo (camada transporte)

• Byte tipo de serviço

• ID Interface

©FCCN 8
3 Projecto Piloto na RCTS
Para ser criada uma infra-estrutura de medições utilizando Netflow para toda a RCTS, o
primeiro passo necessário é efectuar a configuração do Netflow nas devidas interfaces.
Para a rede das Escolas é suficiente efectuar configurações nos routers colectores Lisboa e
Porto. Quanto às restantes instituições é possível faze-lo de duas formas: a primeira passa
pela FCCN efectuar a configuração em todos os seus routers de acesso localizados em Lisboa
e Porto; na segunda hipótese, e preferencial, as instituições activam o Netflow nos seus
routers, e direccionam os flows para o servidor colector localizado na FCCN. Esta segunda
hipótese é preferencial porque o primeiro cenário poderia originar uma sobrecarga nos
processadores dos routers de acesso da FCCN. Quando as tabelas de fluxos estiverem
criadas, é preciso configurar o destino dos fluxos, neste caso o IP e a porta UDP do servidor
colector.

Para fazer a colecta dos fluxos enviados pelos routers configurados com Netflow, é
necessário uma ferramenta software. Esta deve fornecer suporte à colecta e gestão dos
fluxos armazenados, permitindo ainda a monitorização da totalização dos fluxos. O software
deve permitir de um modo interactivo, através de um interface web com capacidades de
filtragem, obter informação pormenorizada sobre o uso da largura de banda por tipo de
protocolo, rede, ou IP. Deve permitir ainda gerar gráficos detalhados, assim como
informação estatística sobre o tráfego.

Existe uma vasta oferta de software Netflow, o mesmo aplica-se a licenciamento comercial
ou open source. Considera-se preferível não fechar neste projecto a escolha do software,
sendo preferível realizar primeiro uma fase de testes. Para maior informação, consultar a
secção “Software”.

Os servidores colectores são utilizados para armazenarem todos os dados Netflow, para
posteriormente serem tratados e disponibilizados via Web. Para maior robustez do serviço,
considera-se necessário usar um servidor dedicado , este deve possuir uma elevada
capacidade de processamento e armazenamento.

©FCCN 9
4 Software

4.1 NfSen - Netflow Sensor

• Visualização de dados netlow: flows, pacotes e bytes usando RRD (Round Robin
Database).

• Criação de historial associado a perfil

• Integração de plugins

• Interface web / modo de comando

• Diversos modos de visualização: flows, pacotes, tráfego, detalhe, estatística,

plugins.

• Utiliza o conjunto de ferramentas NFDUMP (colecta e processamento de dados

netflow em modo de comando).

Fig. 2 - NfSen snapshot1

snapshot1

©FCCN 10
 Fig. 3 - NfSen snapshot2

4.2 Ntop
• Interface web

• Configuração e administração via web

• Visualização de estatísticas de tráfego

• Armazenamento em disco, formato RRD

• Suporta IPv4/IPv6

• Plataformas Unix ,Win32

• Suporta netflow versão 9

©FCCN 11
 Fig. 4 - Ntop snapshot1

©FCCN 12
 Fig. 5 - Ntop snapshot2

4.3 NetFlow Analyzer

• Interface web.

• Suporta netflow versão 9

• Agrupamento de interfaces

• Possibilidade de escuta de flows em múltiplos portos

©FCCN 13
 Fig. 6 - NetFlow Analyzer snapshot1

Fig. 7 - NetFlow Analyzer snapshot2

©FCCN 14
4.4 Caligare Flow Inspector
• Interface web

• Métodos heurísticos para reconhecimento de aplicações

• Parametrização de campos netflow a serem guardados

• Criação de perfis

Fig. 8 - Caligare snapshot

©FCCN 15
5 Especificações técnicas

5.1 Características de cada servidor

(nota: estas especificações dizem respeito aos servidores colectores, e eventualmente de
análise e disponibilização de interface)

• Montagem RACK

• Compatibilizado com RACKs da FCCN, com fornecimento de kits de adaptação se

necessário.

• Com fontes de alimentação redundantes

• Preferencia por ventilação redundante

• Preferencia por existência de avisadores luminosos e/ou sonoros de falha de fonte

de alimentação ou ventilação

• CPU: dois CPUs da linha Intel com capacidade de expansão a quatro. Referência
Intel Xeon, 3.2GHz, 8MB L3 Cache, 800MHz FSB

• RAM: 4GB

• Sub-sistema de disco

o Controladora RAID com um canal interno e outro externo, com suporte Linux
(indicar informações que permitam verificar esse suporte) , com capacidades
RAID 0, 1 e 5

o Discos com acesso externo – portas SCA

o Todas as posições de discos tem que vir com gavetas prontas para instalação
de discos

o Discos: 5 discos de 300GB. Referência: Ultra 320 SCSI 15.000rpm

• Com duas portas Gbit ethernet em RJ-45

• Com porta série

• Sem monitor ou software

• Alternativas

©FCCN 16
 o 4 em vez de 2 CPUs

6 Conclusão
A tendência observada mostra que a temática segurança informática a cada dia que passa
ganha maior importância nas organizações, isso devido a inúmeras razões associadas à
confidencialidade, integridade, e disponibilidade dos sistemas de informação.

Várias aplicações Netflow (software e hardware) estão a ser desenvolvidas com o propósito
principal ligado à segurança informática. A própria Cisco que inicialmente não desenhou o
serviço Netflow para análise de segurança, aparece cada vez mais a relacionar de forma
directa o Netflow a produtos de segurança, exemplo disso é a última versão Netlow 9.

A utilização de análise netflow na RCTS seria uma ferramenta útil para a gestão da RCTS,
designadamente nas seguintes vertentes:

• Detecção de anomalias, despistagem de problemas após alterações de rede, etc.

• Segurança:

o Tratamento de incidentes de segurança;

o Analisar impacto de incidentes de larga escala.

• Planeamento de rede – medição de uso por protocolos, etc.

Sugeriu-se a criação de uma instalação piloto na RCTS.

7 Referências

7.1 Livros
[1] Richard Bejtlich. The Tao of Network Security Monitoring Beyond Intrusion Detection.
Addison Wesley, 2004.

©FCCN 17
7.2 Web sites
[1] Cisco Systems www.cisco.com/go/netflow

7.3 Artigos / Apresentações

[1] Introduction to Cisco IOS NetFlow - A Technical Overview. Cisco Whitepaper, 2006.

©FCCN 18