Cisco ASA [Chapter 6.1] Netflow on Cisco ASA

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

netflow on cisco asa


1. Giới thiệu netflow on cisco asa


- Để đáp ứng lại các nhu cầu về quá trình hoạt động của mạng ra sao là rất quan trọng. NetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân tích hoạt động của mạng giúp giải quyết vấn đề này
- Nó cho phép người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.
- Netflow giúp người quản trị chuyên nghiệp nhận biết và giải quyết cá vấn đề:
  • Chất lượng dịch vụ(QoS)
  • Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus
  • Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như VoIP chẳng hạn…
  • Giảm sự quá tải của lưu lượng WAN
  • Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
  • Phát hiện các lưu lượng WAN trái phép
  • Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
  • Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau
- Bắt đầu từ Asa version 8.2(1) đã hỗ trợ NetFlow SecureEvent Logging (NSEL).
- Version hiện tại của NetFlow là version 9

2. Ý tưởng hoạt động của Netflow on Firewall ASA


- NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động.
- NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. Trong 1 luồng nó chỉ ghi lại các packet đầu tiên và nó sử dụng lại các bản ghi này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. Các bản ghi này sẽ được lưu trong Netflow Cache.
- Packet đó sẽ được kiểm tra trong bảng định tuyến về các thông tin
  • Địa chỉ IP nguồn
  • Địa chỉ IP đích
  • Port nguồn
  • Port đích
  • Loại giao thức lớp 3
  • ToS byte( loại dịch vụ)
  • lớp giao diện(interface) của thiết bị chuyển mạch
  • .....
- Mỗi một bản ghi trong NetFlow cache chứa các trường thuộc tính. Mỗi bản ghi luồng được tạo ra bằng cách so sánh
  • Thuộc tính của các packet
  • Đếm số packet và số byte của mỗi luồng.
- Ví dụ về một NetFlow cache có thể có các thông tin như:
  • Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng
  • Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng
  • Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng
  • Port cho biết loại ứng dụng đang sử dụng lưu lượng
  • Lớp dịch vụ chiếm quyền ưu tiên lưu lượng
  • Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng
  • Kiểm tra packet và byte cho biết độ lớn của lưu lượng
  • Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có thế biết tính toán được số packet và byte truyền đi trong mỗi giây.
  • Địa chỉ IP hop kế tiếp
  • Subnet mask của địa chỉ nguồn và đích
  • TCP flag.
- Sau đó bạn có thể nó xuất các bản ghi này tới một thiết bị thu thập dữ liệu. Có 2 cách để xem dữ liệu trong Netflow
  • CLI: dùng Command, chế độ này giúp bạn biết được những thay đổi tức thì
  • NetFlow collector: chế độ này sẽ chuyển dữ liệu từ NetFlow cache tới một reporting server gọi là “NetFlow collector”.

3. NetFlow collector Cisco ASA


- NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng lại để tạo ra một report
- Không giống như SNMP,NetFlow thường xuyên gửi thông tin một cách định kỳ tới NetFlow reporting collector.
- NetFlow cache liên tục cập nhập các bản ghi từ Router, SW...nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server.Luồng sẽ kết thúc khi giao tiếp mạng kết thúc.
- Lượng dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong router
- Những ghi nhận chi tiết của NetFlow về từng packet cung cấp một cái nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã chuyển qua router hoặc switch.
- Sau đây là các bước cơ bản để thực hiện một report của NetFlow:

Netflow on Cisco ASA
  • NetFlow được cấu hình để bắt luồng vào NetFlow cache
  • NetFlow export được cấu hình để để gửi các luồng tới Collector
  • NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server.
  • Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.
  • Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ liệu
- Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow Collector:
  • Một luồng sẵn sàng được export khi nó ko hoạt động trong một khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian hoạt động cho phép.
  • Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong 15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30 phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng mạng.
- Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất để cài đặt NetFlow chình là ở gấn server đó.

- Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng chứa thông tin về luồng,ví dụ như
  • địa chỉ IP
  • port,thông tin định tuyến.
- Có các version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu có sự khác nhau.

- Các bạn có thể tham khảo thêm tại đây về chi tiết các version của Netflow, cũng như các thiết bị mà Netflow hỗ trợ (ko chỉ có Cisco mà các hãng khác cũng hỗ trợ nó):
Code:
http://en.wikipedia.org/wiki/Netflow
http://www.plixer.com/blog/general/cisco-routers-that-support-netflow/

- Để cài đặt Netflow các bạn xem bài lab tại đây nhé:

Các bài lý thuyết trong
Module 6
:Management, logging and Monitoring
  1. [Chapter 6.1] Netflow on Cisco ASA
- Tham khảo thêm các bài lab trong phần
Module 6:Management, logging and Monitoring
  1. [Lab 6.1] Config Netflow Cisco ASA via CLI
  2. [Lab 6.2] Configure netflow analyzer on cisco asa
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.


Tham khảo thêm:​
Code:
http://mysunitsecurity.blogspot.com/2010/10/netflow-snmp.html
http://en.wikipedia.org/wiki/Netflow
 
Last edited:

II. Các công cụ Netflow Collection Cisco ASA


1. NetFlow Analyzer
- Trang chủ:
Code:
http://www.manageengine.com/
.

Công cụ này cho phép các bạn dùng thử 30 ngày
- NetFlow Analyzer, một công cụ phân tích lưu lượng tin hoàn chỉnh, tận dụng công nghệ luồng chảy (flow technologies) để cung cấp tầm nhìn trực quan theo thời gian thực về hiệu suất băng thông mạng.
- NetFlow Analyzer, thực chất là một công cụ giám sát băng thông, đã và đang tối ưu hóa hàng ngàn hệ thống mạng trên toàn thế giới nhờ đem lại một cái nhìn mang tính tổng thể về băng thông mạng và các mẫu gói tin.
- NetFlow Analyzer là một giải pháp thống nhất cho phép lựa chọn, phân tích và báo cáo về hệ thống băng thông mạng của bạn, đang dùng cho việc gì và bởi ai.
- NetFlow Analyzer là giải pháp tối ưu an toàn cho lưu lượng băng thông sử dụng của hơn một triệu interfaces toàn cầu từ việc biểu thị hệ thống mạng một cách pháp lý cho tới phân tích các gói tin trên mạng.

Netflow Analyzer with Cisco ASA


2. Các tính năng NetFlow Analyzer

- Giám sát băng thông & Phân tích gói tin
  • Giám sát băng thông mạng và các mẫu gói tin tại từng cấp độ interface xác định
  • Đi sâu vào các cấp độ interface cụ thể để phát hiện các mẫu gói tin và hiệu suất của thiết bị.
  • Có được cái nhìn theo thời gian thực về hiệu suất băng thông mạng với các báo cáo chi tiết tời từng phút.
- Phân tích mức độ an toàn và tính pháp lý hệ thống mạng
  • Phát hiện ở mực độ rộng các môí đe dọa cả trong lẫn ngoài hệ thống mạng nhờ công nghệ khai thác luồng tin liên tục (Continuous Stream Mining Engine technology.)
  • Theo dõi các hiện tượng dị thường (network anomalies) có khả năng vượt qua hệ thống tường lửa.
  • Xác định các nội dung nhạy cảm bất thường (context-sensitive anomalies) và sự thâm nhập từ zero-day nhờ có NetFlow Analyzer.
- Giám sát các ứng dụng một cách thông minh
  • Nhận dạng và phân loại các ứng dụng bất thường (non-standard applications) gây ảnh hưởng tới băng thông mạng.
  • Kiểm tra một designated router interface và xác định loại ứng dụng và gói tin liên quan tới nó.
  • NetFlow Analyzer dựa trên Cisco NBAR mang cho bạn cái nhìn sâu về gói tin lớp 7 (layer 7 traffic) và nhận dạng các ứng dụng dùng dynamic port numbers hoặc bị ẩn đi đằng sau các ports đã biết.
- Thẩm định các chính sách QoS nhờ sử dụng Cisco CBQoS
  • Ưu tiên các ứng dụng kinh doanh quan trọng (business-critical applications) và đảm bảo đúng đắn của các chính sách QoS được áp dụng nhờ sử dụng Cisco CBQoS.
  • Thẩm đinh sử hiệu quả của các chính sách CBQoS ( CBQoS policies ) đã áp dụng, với các bản tin cho trước và sau về chính sách gói tin, các mục bị drop và thông tin xếp hàng cho từng lớp.
  • Đạt được tầm nhìn sâu nhờ các chính sách con và báo cáo thích hợp ("match-statement" reporting.)
- Giám sát Voice và Data một cách hiệu quả
  • Phân tích các cấp độ dịch vụ IP cho các ứng dụng và dịch vụ nền tảng của hệ thống mạng nhờ NetFlow Analyzer IP SLA monitor.
  • Đảm bảo chất lượng về truyền thông dữ liệu và âm thanh ở mức độ cao nhờ công nghệ Cisco IP SLA.
  • Keep a tab on key performance metrics of voice and data traffic.
- Khả năng lên lịch và thanh toán
  • Tạo các quyết sách trên mức độ phát triển của băng thông nhờ sử dụng capacity planning reports
  • Đo mức độ tiến triển của băng thông qua một khoảng thời gian sử dụng báo cáo dài hạn.
  • Accurate trend over extended historic periods.
  • Generate on-demand billing for accounting and departmental chargebacks.
- Hỗ trợ nhiều loại thiết bị & công nghệ luồng chảy
  • Thu thập, phân tích luồng tin từ nhiều thiết bị của các hãng lớn như Cisco, 3COM, Juniper, Foundry Networks, Hewlett-Packard, và các nhà cung cấp hàng đầu khác (leading vendors)
  • Báo cáo dựa trên các mẫu tin chủ yếu như NetFlow, sFlow , cflow, J-Flow , FNF, IPFIX, NetStream, Appflow và vân vân.
Code:
http://www.it360.ins.vn/index.php?option=com_content&view=article&id=81&Itemid=129
http://www.manageengine.com/products/netflow/features.html
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu