SlideShare uma empresa Scribd logo

Monitoraggio Di Rete Con Netflow E S C07

J
jekil

Monitoraggio Di Rete Con Netflow Esc07

Negócios
1 de 37
Monitoraggio di rete con NetFlow alessandro@tanasi.it http://www.tanasi.it
NetFlow: Introduzione Esigenza di rispondere alle domande chi, cosa, dove, quando e come? Il monitoraggio di reti a bassa velocità (100Mb/s) è possibile con i comuni tool basati sulle libpcap La cattura completa del traffico è limitata dalle potenzialità dell'hardware NetFlow è un protocollo per il monitoraggio passivo di flussi di rete anche ad alta velocità (1Gb/s e più) Inventato da Cisco (Daren Kerr e Barry Bruins) per aumentare la velocità dello switching Implementato dalla maggior parte dei produttori di apparati di rete (Cisco, Juniper, Enterasys, Extreme) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow: Origini NetFlow è stato ideato come metodo per aumentare le performances nella fase di switching path Conventional NetFlow Switching Switching Ogni pacchetto è identificato Ogni pacchetto viene gestito in un flusso singolarmente I processi vengono applicati Ogni processo deve essere una volta sola sul flusso applicato su ogni pacchetto Informazioni sullo stato del Nessuna informazione sullo flusso stato Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Caratterizzazione di un Flusso Flusso unidirezionale di pacchetti IP caratterizzato dai seguenti elementi (default): Indirizzo IP sorgente Indirizzo IP destinazione Porta sorgente Porta di destinazione Tipo di protocollo ToS Interfaccia logica di input (ifInput) L'aggregazione permette di cambiare queste chiavi Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow: Features Fornisce statistiche sul Interface traffico di rete ispezionando TOS gli header dei livelli 2 – 4 Protocol IP Supporta statistiche su IPv6, Source Header IP Address NetFlow MPLS, IPSEC, BGP Destination IP Address Real time (o quasi) Source Port TCP/UDP Architettura a tier Header Destination Port Non fa packet inspection Non è una tecnologia IDS / Packet IPS Data Payload Packet Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow: Casi d'uso Utilizzo della rete Sorg. / Dest. •Packet Count •Source IP Address •Byte Count •Destination IP Address Tempistiche Applicazioni •Start Timestamp •Source TCP/UDP Port User (IP) monitoring ➔ •End Timestamp •Destination TCP/UDP Port Application monitoring ➔ Traffic analysis ➔ Attack Detection ➔ Chargeback Billing ➔ Utilizzo di Interfacce Routing / Peering Attack mitigation ➔ Billing ➔ •Input Interface Port AS Peer monitoring ➔ •Next Hop Address •Output Interface Port Traffic engineering ➔ •Source AS Number Network Planning ➔ •Dest. AS Number •Source Prefix Mask QoS •Dest. Prefix Mask •Type of Service •TCP Flags •Protocol Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow: Funzionamento Arrivo di un nuovo pacchetto Viene creato un'entry nella NetFlow cache che descrive il flusso Arrivo di pacchetti appartenenti a flussi conosciuti Vengono aggiornati i contatori (aggregati se necessario) Quando il flusso viene terminato le statistiche sono esportate Gi0/0 Gi0/1 luser69.a.it porno.it Start Int. src IP src dst IP dst proto Pkts Bytes TCP flags port port sent sent 14:20:12.221 Gi0/0 luser69.a.it 1024 porno.it 80 TCP 5 1029 SYN, ACK, PSH 14:20:12.871 Gi0/1 porno.it 80 luser69.a.it 1024 TCP 17 28712 SYN, ACK, FIN Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Architettura base Probe Flow cache Exporter Filtraggio dei Crea, aggiorna e Legge la flow cache, pacchetti per rimuove flow prepara e esporta associare ogni records pacchetti NetFlow pacchetto ad un flusso Flow key ● Flow start time ● Flow end Time Header info info ● Number of packets ● ... ● .... NetFlow vX IETF/IPFIX Collector Riceve i flussi Application esportati. Applicazione di Interfaccia per le analisi applicazioni Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Export di un flusso I flussi memorizzati all'interno della cache dell'apparato vengono esportati se: Il flusso viene terminato dall'arrivo di pacchetto contenente il flag FIN o RST Il flusso è inattivo oltre una soglia di timeout: cioè nessun pacchetto relativo al flusso è stato catturato (default 15 sec) Il flusso è attivo ma è scaduto un timeout predefinito che impone l'export del flusso (default 30 min) Cache management nel caso la flow cache sia piena, i primi flussi ad essere esportati sono i più vecchi Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Versioni di NetFlow La versione specifica il formato del pacchetto di export Versione 5 Formato di export fisso Nessun tipo di aggregazione Versione 7 Creata per gli switch Cisco serie 6500 e 7600 Versione 8 Permette diversi tipi di aggregazione, in modo da esportare e memorizzare in cache solo i dati che servono Versione 9 Aggregazione flessibile basata su template definiti dall'utente Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow v9 Si basa sul concetto di template personalizzabili che definiscono semanticamente i dati esportati I soli dati sono esportati in Data Flow Sets Il Collector si configura con i template che gli arrivano (autoconfigurazione) Transports multipli (non solo UDP) Ogni Data Flow Set è preceduto da un puntatore al template Se un template viene perso i dati perdono significato RFC 3954 “Cisco Systems NetFlow Services Export Version 9”, IPR statement Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
IPFIX IETF draft[1] per “Find or develop a basic common IP Traffic Flow measurement technology to be available on (almost) all future routers” NetFlow v9 è stato scelto come base per lo sviluppo Non sarà mantenuta la retrocompatibilità Utilizzo di TCP, UDP, SCTP, TLS, DTLS Autenticazione mutua con certificati X.509 [1] http://www.ietf.org/html.charters/ipfix-charter.html Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Sampled NetFlow Viene scelto in modo deterministico o pseudocasuale un sottoinsieme dei pacchetti che transitano (campionamento) Uso di Traffic Class (campionamento specifico per ogni traffic class) Funzionalità introdotta nei Cisco serie 12000 Allegerisce il carico sugli apparati Adatto a rete ad alta velocità Sampling (esempio 1 ogni 3) Adatto a soddisfare alcune esigenze: ad es. network planning Creazione dei flussi 3 1 Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Considerazioni NetFlow fornisce una gran mole di informazioni, che però deve essere elaborata L'analisi di queste informazioni permette di porre ipotesi riguardanti anche la sicurezza di rete Una VLAN di amministrazione è necessaria L'impatto sulle prestazioni dell'apparato di rete è modesto Active Flows in Cache Additional CPU Utilization 10000 < 4% 45000 <12% 65000 <16% Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Un attacco DoS.. Router#show ip cache flow SrcIf SrcIPaddress SrcP SrcAS DstIf DstIPaddress DstP DstAS Pr Pkts B/Pk 29    192.1.6.69    77    aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.69    77    aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 Alcune tipologie di attacchi (ad es. DoS) sono modellizzabili. Utilizzo di NetFlow anche per la sicurezza di rete, l'elaborazione dei dati permette di rilevare attacchi e anomalie di rete. Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Security? Senza payload? Ricerca di pattern nel traffico NetFlow Un host che ne contatta molti in breve tempo (P2P, worm) Flussi di lunga durata (VPN, covert channels) Utilizzo di porte non autorizzate Anomalie sull'uso della banda (DoS, warez) Comunicazioni non autorizzate (due macchine che normalmente non dovrebbero parlare) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
L2 e Security Monitoring Inoltre per identificare e tracciare attacchi: Layer2 IP header Source MAC address (frame ricevuti dal router) Destination MAC address (frame spediti dal router) Received VLAN ID (802.1q e Cisco ISL) Transmitted VLAN ID (802.1q e Cisco ISL) Extra Layer 3 IP header Time-to-Live Identification field Packet length ICMP type Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Parte pratica Come implementare un'infrastruttura di monitoraggio basata su NetFlow: Decidere su quali apparati di rete e su quali interfacce abilitare NetFlow Configurare gli apparati di rete di cui sopra Setup di un collector o di più collector Setup di una o più applicazioni di analisi dei dati e di allarmistica Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Architettura Enterprise Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Dove abilitare NetFlow Decidere cosa si vuole ottenere da NetFlow Scegliere di conseguenza su che apparati andare ad abilitarlo Scegliere le interfacce Monitorare tutto il traffico in uscita e in ingresso dalla LAN Evitare il doppio conteggio! Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Hardware Apparati di rete con supporto per NetFlow (ormai tutti i grandi produttori) Sistemi (computer) con schede di rete specifiche: Endace http://www.endace.com: capacità di selezione e filtering on board, full packet capture AMP (Analytic Metadata Producers) sono NetFlow capture devices sviluppate all'NSA, fingerprinting, deep inspection COMBO6 http://www.liberouter.org/card_combo6.php Sistemi embedded dedicati nbox http://ntop.ethereal.com/nBox.html e altri... Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
NetFlow probes Primo elemento della catena deputato a associare ogni pacchetto in transito ad un flusso Sonde inserite dai vendor negli apparati di rete (spesso software proprietario) Software nProbe http://www.ntop.org/nProbe.html: buone performances fProbe http://fprobe.sourceforge.net/: basato sulle libpcap fProbe-ulog http://fprobe.sourceforge.net/: basato su libipulog (Netfilter) pfflowd http://www.mindrot.org/projects/pfflowd: basato su pf di OpenBSD Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Configurazione router Cisco ip flow­export version <version> [origin­as| peer­as|bgp­nexthop] ip flow­export destination <address> <port> ip flow­cache timeout inactive <seconds> ip flow­cache timeout active <minutes> ip flow­cache entries <number> Juniper cflowd collector­host­address { Autonomous­system­type (origin|peer); port port­number; version version­number; (local­dump | no­local­dump); } Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Collectors Hanno il compito di memorizzare i flussi NetFlow esportati Ricezione dei pacchetti di export Memorizzazione su disco o database Eventuale compressione e rotazione dei flussi memorizzati Eventuale filtraggio Eventuale relay verso i livelli più alti dell'architettura Software: nfdump http://nfdump.sourceforge.net/ flowd http://www.mindrot.org/projects/flowd/ flow-tools http://www.splintered.net/sw/flow-tools/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Cisco CLI Numero di flussi attivi in cache Flussi per secondo Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Stager Aggrega e presenta statistiche di rete Monitoraggio di rete (usa anche SNMP e ping) Non adatto al monitoraggio delle sicurezze Personalizzabile http://software.uninett.no/stager/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
nfsen Visualizzazione e filtraggio dei dati Grafici (RRD) Sistema di detection e alert Architettura a plugin http://nfsen.sourceforge.net/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Nerd Security monitoring tool Analizza le statistiche NetFlow alla ricerca di attacchi Allarmistica http://www.nerdd.org Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
...e altri.. nTop http://www.ntop.org/: può funzionare anche come collector NetFlow Flamingo http://flamingo.merit.edu: genera visualizzazioni 3D del traffico Panotips http://panoptis.sourceforge.net/: progetto che si prefigge di rilevare e bloccare gli attacchi DoS e DdoS Flowscan http://www.caida.org/tools/utilities/flowscan/: produce semplici grafici Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Programming Librerie per la programmazione di applicazioni che usano il protocollo NetFlow libipfix http://libipfix.sourceforge.net: libreria C per IPFIX libfixbuf http://www.cert.org/netsa/tools/fixbuf/: libreria per IPFIX message format jflow http://www.net-track.ch/opensource/jflow: libreria java Net::sflow http://search.cpan.org/author/ELISA/Net-sFlow-0.06/sFlow.pm: libreria perl per sFlow NetFlow Simulator http://sourceforge.net/projects/netflowsim Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Tricks Nelle ultime versioni di IOS ci sono comandi alcuni comandi per l'analisi integrati nella CLI (top ten talkers ad es.) ip flow ingress|egress sulle subinterfaces Attenzione ai valori origin­as | peer­as Si può accedere via SNMP ad alcuni dati NetFlow di un apparato di rete (casi d'emergenza, sampling adattivo?) Spesso basta memorizzare dati aggregati (grande risparmio di spazio) Sincronizzare tutti gli apparati con un server NTP Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Conclusioni NetFlow mette a disposizioni dati per monitoraggio di rete, auditing, network forensics I router Cisco (e molti altri..) hanno NetFlow di default. A gratis. Usiamolo. Prodotti open source e commerciali possono venir utilizzati per analizzare dati NetFlow Nuovi worms e virus possono essere rilevati senza avere a disposizione signatures Il monitoraggio di rete si deve fare!!! Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Riferimenti CISCO NetFlow: http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html RFC 3917: Requirements for IP Flow Information Export (IPFIX) ftp://ftp.rfc-editor.org/in-notes/rfc3917.txt RFC 3954: Cisco Systems NetFlow Services Export Version 9 ftp://ftp.rfc-editor.org/in-notes/rfc3954.txt IPFIX Version Numbers http://www.iana.org/assignments/ipfix-parameters IPFIX Information Elements http://www.iana.org/assignments/ipfix SWITCH NetFlow References http://www.switch.ch/network/projects/completed/TF-NGN/floma/references.html FloMA: Pointers and Software http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html Free NetFlow Tools List http://www.networkuptime.com/tools/netflow/ NetFlow Performance Analysis http://www.cisco.com/en/US/tech/tk812/technologies_white_paper0900aecd802a0eb9.shtml Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Riferimenti (2) User and Test Report on the Netflow Probe http://www.surfnet.nl/publicaties/surfworks2005/indi-2005-012-48.pdf Autonomous NetFlow Probe http://www.terena.nl/tech/task-forces/tf-csirt/meeting16/netflow-probe-lhotka.pdf Free NetFlow Tools http://www.networkuptime.com/tools/netflow Detecting Worms and Abnormal Activities with NetFlow http://www.securityfocus.com/infocus/1796 <spam>NetFlow sul mio blog http://www.lonerunners.net/blog/plugin/tag/netflow</spam> Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Domande? Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Licenza Questo documento viene rilasciato sotto licenza  Alcoolware, la quale non è altro che una normale licenza  Creative Commons Attribute­NonCommercial­ ShareALike [1] ma con l'aggiunta che se mi incontrate  dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali,  copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete  pregati per favore di comunicarmelo in modo che possa  spedirvi le nuove versioni. [1] http://creativecommons.org/licenses/by­nc­sa/2.0/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
Dove reperisco queste slides? Le slides di questa presentazione sono già disponibili su: http://www.lonerunners.net/slides Per informazioni: http://www.tanasi.it alessandro@tanasi.it Non esitate a contattarmi anche solo per far due chiacchere... Italian grappa a tutti!! :-) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it

Recomendados

Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...
Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...
Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...Ce.Se.N.A. Security
 
Metro Zaragoza
Metro ZaragozaMetro Zaragoza
Metro ZaragozaOrlando Suárez
 
Portafolio (1)
Portafolio (1)Portafolio (1)
Portafolio (1)yuyita1090406438
 
INCOTERMS 2000
INCOTERMS 2000INCOTERMS 2000
INCOTERMS 2000Carmen Urbano
 
Mi ordenador
Mi ordenadorMi ordenador
Mi ordenadorJulio Guerra Rubio
 
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...Aurora López García
 
Vibrio social media monitoring 2013
Vibrio social media monitoring 2013Vibrio social media monitoring 2013
Vibrio social media monitoring 2013vibrio. Kommunikationsmanagement Dr. Kausch GmbH
 
Conferència: EL ROPIT
Conferència: EL ROPITConferència: EL ROPIT
Conferència: EL ROPITeabad88
 

Recomendados

Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...
Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...
Rilevamento di attacchi di rete tramite protocolli di monitoraggio per router...Ce.Se.N.A. Security
 
Metro Zaragoza
Metro ZaragozaMetro Zaragoza
Metro ZaragozaOrlando Suárez
 
Portafolio (1)
Portafolio (1)Portafolio (1)
Portafolio (1)yuyita1090406438
 
INCOTERMS 2000
INCOTERMS 2000INCOTERMS 2000
INCOTERMS 2000Carmen Urbano
 
Mi ordenador
Mi ordenadorMi ordenador
Mi ordenadorJulio Guerra Rubio
 
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...
Eptisa TI Innovación en las Ciudades Inteligentes. Perspectivas y proyectos e...Aurora López García
 
Vibrio social media monitoring 2013
Vibrio social media monitoring 2013Vibrio social media monitoring 2013
Vibrio social media monitoring 2013vibrio. Kommunikationsmanagement Dr. Kausch GmbH
 
Conferència: EL ROPIT
Conferència: EL ROPITConferència: EL ROPIT
Conferència: EL ROPITeabad88
 
energías renovables Del Valle Aguayo
energías renovables Del Valle Aguayoenergías renovables Del Valle Aguayo
energías renovables Del Valle AguayoDel Valle Aguayo, S.A.
 
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...Biblioteca Virtual del Sistema Sanitario Publico de Andalucia (BV-SSPA)
 
Imagenes De Talcahuano
Imagenes De TalcahuanoImagenes De Talcahuano
Imagenes De Talcahuanogonzalo21
 
Hola soy emilio1
Hola soy emilio1Hola soy emilio1
Hola soy emilio1Glenda
 
Retallos. nº 2. 2009
Retallos. nº 2. 2009Retallos. nº 2. 2009
Retallos. nº 2. 2009A Solaina
 
Bienes de colección e inversión
Bienes de colección e inversión Bienes de colección e inversión
Bienes de colección e inversión andreaav8
 
La Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era DigitalLa Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era DigitalGuillermo Herrera
 
KL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notesKL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notesclunisois.fr le blog
 
Wrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild WestWrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild WestGinsburg Design
 
К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий. К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий. Dentsu Aegis Network Ukraine
 
AcuVision Systems
AcuVision SystemsAcuVision Systems
AcuVision SystemsAcura Embedded Systems Inc
 
Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia Andrea Ormachea
 
Labmetrics Januar 2012
Labmetrics Januar 2012Labmetrics Januar 2012
Labmetrics Januar 2012betterplace lab
 
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...Sérgio Sacani
 
Microsoft word recuritment procedure in sccl
Microsoft word recuritment procedure in scclMicrosoft word recuritment procedure in sccl
Microsoft word recuritment procedure in scclAbhishek Verma
 
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...Prof Niamh M. Brennan
 
Names and virtual host discovery
Names and virtual host discoveryNames and virtual host discovery
Names and virtual host discoveryjekil
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...jekil
 
Client Side Security Settordici Lugts
Client Side Security Settordici LugtsClient Side Security Settordici Lugts
Client Side Security Settordici Lugtsjekil
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzaAndroid: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzajekil
 
Security by example
Security by exampleSecurity by example
Security by examplejekil
 

Mais conteúdo relacionado

Destaque

Imagenes De Talcahuano
Imagenes De TalcahuanoImagenes De Talcahuano
Imagenes De Talcahuanogonzalo21
 
Hola soy emilio1
Hola soy emilio1Hola soy emilio1
Hola soy emilio1Glenda
 
Retallos. nº 2. 2009
Retallos. nº 2. 2009Retallos. nº 2. 2009
Retallos. nº 2. 2009A Solaina
 
Bienes de colección e inversión
Bienes de colección e inversión Bienes de colección e inversión
Bienes de colección e inversión andreaav8
 
La Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era DigitalLa Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era DigitalGuillermo Herrera
 
KL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notesKL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notesclunisois.fr le blog
 
Wrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild WestWrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild WestGinsburg Design
 
К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий. К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий. Dentsu Aegis Network Ukraine
 
Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia Andrea Ormachea
 
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...Sérgio Sacani
 
Microsoft word recuritment procedure in sccl
Microsoft word recuritment procedure in scclMicrosoft word recuritment procedure in sccl
Microsoft word recuritment procedure in scclAbhishek Verma
 
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...Prof Niamh M. Brennan
 

Destaque (16)

energías renovables Del Valle Aguayo
energías renovables Del Valle Aguayoenergías renovables Del Valle Aguayo
energías renovables Del Valle Aguayo
 
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...
Creando un único punto de acceso de úsqueda en una Biblioteca Virtual. La exp...
 
Imagenes De Talcahuano
Imagenes De TalcahuanoImagenes De Talcahuano
Imagenes De Talcahuano
 
Hola soy emilio1
Hola soy emilio1Hola soy emilio1
Hola soy emilio1
 
Retallos. nº 2. 2009
Retallos. nº 2. 2009Retallos. nº 2. 2009
Retallos. nº 2. 2009
 
Bienes de colección e inversión
Bienes de colección e inversión Bienes de colección e inversión
Bienes de colección e inversión
 
La Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era DigitalLa Empresa del Futuro en la Era Digital
La Empresa del Futuro en la Era Digital
 
KL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notesKL-Mauthausen - un carnet de notes
KL-Mauthausen - un carnet de notes
 
Wrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild WestWrangling Apps in the Smartphone Wild West
Wrangling Apps in the Smartphone Wild West
 
К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий. К.Василенко, Н.Байдаченко.Человек покупающий.
К.Василенко, Н.Байдаченко.Человек покупающий.
 
AcuVision Systems
AcuVision SystemsAcuVision Systems
AcuVision Systems
 
Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia Semiotica Corporea y La Kinesia
Semiotica Corporea y La Kinesia
 
Labmetrics Januar 2012
Labmetrics Januar 2012Labmetrics Januar 2012
Labmetrics Januar 2012
 
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
Detection of highvelocity_material_from_the_win_wind_collision_zone_of_eta_ca...
 
Microsoft word recuritment procedure in sccl
Microsoft word recuritment procedure in scclMicrosoft word recuritment procedure in sccl
Microsoft word recuritment procedure in sccl
 
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
Merkl-Davies, Doris M. and Brennan, Niamh M. [2007] Discretionary Disclosure ...
 

Mais de jekil

Names and virtual host discovery
Names and virtual host discoveryNames and virtual host discovery
Names and virtual host discoveryjekil
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisjekil
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...jekil
 
Client Side Security Settordici Lugts
Client Side Security Settordici LugtsClient Side Security Settordici Lugts
Client Side Security Settordici Lugtsjekil
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzaAndroid: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzajekil
 
Security by example
Security by exampleSecurity by example
Security by examplejekil
 
Sviluppo web con Ruby on Rails
Sviluppo web con Ruby on RailsSviluppo web con Ruby on Rails
Sviluppo web con Ruby on Railsjekil
 
XPath Injection
XPath InjectionXPath Injection
XPath Injectionjekil
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensoredjekil
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007jekil
 
Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007jekil
 
Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007jekil
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007jekil
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007jekil
 
Introduzione all'analisi forense
Introduzione all'analisi forenseIntroduzione all'analisi forense
Introduzione all'analisi forensejekil
 
MySQL
MySQLMySQL
MySQLjekil
 
MySQL 5
MySQL 5MySQL 5
MySQL 5jekil
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systemsjekil
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legalejekil
 

Mais de jekil (19)

Names and virtual host discovery
Names and virtual host discoveryNames and virtual host discovery
Names and virtual host discovery
 
Cuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysisCuckoo Sandbox: Automated malware analysis
Cuckoo Sandbox: Automated malware analysis
 
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
Android Introduzione All Architettura Programmazione Sicurezza Serate A Tema ...
 
Client Side Security Settordici Lugts
Client Side Security Settordici LugtsClient Side Security Settordici Lugts
Client Side Security Settordici Lugts
 
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezzaAndroid: Introduzione all'architettura, alla programmazione e alla sicurezza
Android: Introduzione all'architettura, alla programmazione e alla sicurezza
 
Security by example
Security by exampleSecurity by example
Security by example
 
Sviluppo web con Ruby on Rails
Sviluppo web con Ruby on RailsSviluppo web con Ruby on Rails
Sviluppo web con Ruby on Rails
 
XPath Injection
XPath InjectionXPath Injection
XPath Injection
 
Web Application Insecurity Uncensored
Web Application Insecurity UncensoredWeb Application Insecurity Uncensored
Web Application Insecurity Uncensored
 
Web Application Insecurity L D2007
Web Application Insecurity L D2007Web Application Insecurity L D2007
Web Application Insecurity L D2007
 
Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007Anonimato In Rete Summer Of Linux2007
Anonimato In Rete Summer Of Linux2007
 
Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007Linux Nelle Aziende Summer Of Linux 2007
Linux Nelle Aziende Summer Of Linux 2007
 
Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007Linux Nelle Aziende Installfest2007
Linux Nelle Aziende Installfest2007
 
Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007Sicurezza Informatica Nelle Aziende Installfest2007
Sicurezza Informatica Nelle Aziende Installfest2007
 
Introduzione all'analisi forense
Introduzione all'analisi forenseIntroduzione all'analisi forense
Introduzione all'analisi forense
 
MySQL
MySQLMySQL
MySQL
 
MySQL 5
MySQL 5MySQL 5
MySQL 5
 
Intrusion Detection Systems
Intrusion Detection SystemsIntrusion Detection Systems
Intrusion Detection Systems
 
La sicurezza informatica nello studio legale
La sicurezza informatica nello studio legaleLa sicurezza informatica nello studio legale
La sicurezza informatica nello studio legale
 

Último

Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...
Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...
Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...Associazione Digital Days
 
Limmi un successo che mette radici da un solo frutto: il limone di Sicilia
Limmi un successo che mette radici da un solo frutto: il limone di SiciliaLimmi un successo che mette radici da un solo frutto: il limone di Sicilia
Limmi un successo che mette radici da un solo frutto: il limone di SiciliaLimmi
 
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...Associazione Digital Days
 
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”Associazione Digital Days
 
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...Associazione Digital Days
 
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...Associazione Digital Days
 
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...Associazione Digital Days
 
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...Associazione Digital Days
 
BioClima_Da gestori a custodi del territorio_Modulo 2
BioClima_Da gestori a custodi del territorio_Modulo 2BioClima_Da gestori a custodi del territorio_Modulo 2
BioClima_Da gestori a custodi del territorio_Modulo 2Etifor srl
 
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...Associazione Digital Days
 
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...Associazione Digital Days
 

Último (11)

Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...
Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...
Eleonora Sordella, Headhunter, Coach, Formatrice e Chiara Bonomi, Training De...
 
Limmi un successo che mette radici da un solo frutto: il limone di Sicilia
Limmi un successo che mette radici da un solo frutto: il limone di SiciliaLimmi un successo che mette radici da un solo frutto: il limone di Sicilia
Limmi un successo che mette radici da un solo frutto: il limone di Sicilia
 
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...
Pamela Serena Nerattini, Consulente LinkedIn e HR – “Ascoltare per crescere i...
 
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”
Luca Faccin, CEO @PerformancePPC – “Tool AI per migliorare i processi aziendali”
 
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...
Mario Madafferi, Innovation Manager @Progesia SRL Società Benefit – “L’Integr...
 
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...
Enrico Busto, Strategic Technology Advisor fondatore di @Eticrea – “Reskillin...
 
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...
Giulia Pascuzzi – Coach & Business Leader – Parlare di diversità è davvero in...
 
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
Gianni Clocchiatti, Consulente per l’innovazione e la creatività d’impresa, F...
 
BioClima_Da gestori a custodi del territorio_Modulo 2
BioClima_Da gestori a custodi del territorio_Modulo 2BioClima_Da gestori a custodi del territorio_Modulo 2
BioClima_Da gestori a custodi del territorio_Modulo 2
 
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...
Simone Bonamin, Partner di @Argo Business Solutions S.r.l. – “Online Brand Pr...
 
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...
Edoardo Marrone, Direttore Commerciale di @Across- “Valorizzare il tesoro nas...
 

Monitoraggio Di Rete Con Netflow E S C07

  • 1. Monitoraggio di rete con NetFlow alessandro@tanasi.it http://www.tanasi.it
  • 2. NetFlow: Introduzione Esigenza di rispondere alle domande chi, cosa, dove, quando e come? Il monitoraggio di reti a bassa velocità (100Mb/s) è possibile con i comuni tool basati sulle libpcap La cattura completa del traffico è limitata dalle potenzialità dell'hardware NetFlow è un protocollo per il monitoraggio passivo di flussi di rete anche ad alta velocità (1Gb/s e più) Inventato da Cisco (Daren Kerr e Barry Bruins) per aumentare la velocità dello switching Implementato dalla maggior parte dei produttori di apparati di rete (Cisco, Juniper, Enterasys, Extreme) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 3. NetFlow: Origini NetFlow è stato ideato come metodo per aumentare le performances nella fase di switching path Conventional NetFlow Switching Switching Ogni pacchetto è identificato Ogni pacchetto viene gestito in un flusso singolarmente I processi vengono applicati Ogni processo deve essere una volta sola sul flusso applicato su ogni pacchetto Informazioni sullo stato del Nessuna informazione sullo flusso stato Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 4. Caratterizzazione di un Flusso Flusso unidirezionale di pacchetti IP caratterizzato dai seguenti elementi (default): Indirizzo IP sorgente Indirizzo IP destinazione Porta sorgente Porta di destinazione Tipo di protocollo ToS Interfaccia logica di input (ifInput) L'aggregazione permette di cambiare queste chiavi Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 5. NetFlow: Features Fornisce statistiche sul Interface traffico di rete ispezionando TOS gli header dei livelli 2 – 4 Protocol IP Supporta statistiche su IPv6, Source Header IP Address NetFlow MPLS, IPSEC, BGP Destination IP Address Real time (o quasi) Source Port TCP/UDP Architettura a tier Header Destination Port Non fa packet inspection Non è una tecnologia IDS / Packet IPS Data Payload Packet Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 6. NetFlow: Casi d'uso Utilizzo della rete Sorg. / Dest. •Packet Count •Source IP Address •Byte Count •Destination IP Address Tempistiche Applicazioni •Start Timestamp •Source TCP/UDP Port User (IP) monitoring ➔ •End Timestamp •Destination TCP/UDP Port Application monitoring ➔ Traffic analysis ➔ Attack Detection ➔ Chargeback Billing ➔ Utilizzo di Interfacce Routing / Peering Attack mitigation ➔ Billing ➔ •Input Interface Port AS Peer monitoring ➔ •Next Hop Address •Output Interface Port Traffic engineering ➔ •Source AS Number Network Planning ➔ •Dest. AS Number •Source Prefix Mask QoS •Dest. Prefix Mask •Type of Service •TCP Flags •Protocol Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 7. NetFlow: Funzionamento Arrivo di un nuovo pacchetto Viene creato un'entry nella NetFlow cache che descrive il flusso Arrivo di pacchetti appartenenti a flussi conosciuti Vengono aggiornati i contatori (aggregati se necessario) Quando il flusso viene terminato le statistiche sono esportate Gi0/0 Gi0/1 luser69.a.it porno.it Start Int. src IP src dst IP dst proto Pkts Bytes TCP flags port port sent sent 14:20:12.221 Gi0/0 luser69.a.it 1024 porno.it 80 TCP 5 1029 SYN, ACK, PSH 14:20:12.871 Gi0/1 porno.it 80 luser69.a.it 1024 TCP 17 28712 SYN, ACK, FIN Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 8. Architettura base Probe Flow cache Exporter Filtraggio dei Crea, aggiorna e Legge la flow cache, pacchetti per rimuove flow prepara e esporta associare ogni records pacchetti NetFlow pacchetto ad un flusso Flow key ● Flow start time ● Flow end Time Header info info ● Number of packets ● ... ● .... NetFlow vX IETF/IPFIX Collector Riceve i flussi Application esportati. Applicazione di Interfaccia per le analisi applicazioni Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 9. Export di un flusso I flussi memorizzati all'interno della cache dell'apparato vengono esportati se: Il flusso viene terminato dall'arrivo di pacchetto contenente il flag FIN o RST Il flusso è inattivo oltre una soglia di timeout: cioè nessun pacchetto relativo al flusso è stato catturato (default 15 sec) Il flusso è attivo ma è scaduto un timeout predefinito che impone l'export del flusso (default 30 min) Cache management nel caso la flow cache sia piena, i primi flussi ad essere esportati sono i più vecchi Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 10. Versioni di NetFlow La versione specifica il formato del pacchetto di export Versione 5 Formato di export fisso Nessun tipo di aggregazione Versione 7 Creata per gli switch Cisco serie 6500 e 7600 Versione 8 Permette diversi tipi di aggregazione, in modo da esportare e memorizzare in cache solo i dati che servono Versione 9 Aggregazione flessibile basata su template definiti dall'utente Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 11. NetFlow v9 Si basa sul concetto di template personalizzabili che definiscono semanticamente i dati esportati I soli dati sono esportati in Data Flow Sets Il Collector si configura con i template che gli arrivano (autoconfigurazione) Transports multipli (non solo UDP) Ogni Data Flow Set è preceduto da un puntatore al template Se un template viene perso i dati perdono significato RFC 3954 “Cisco Systems NetFlow Services Export Version 9”, IPR statement Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 12. IPFIX IETF draft[1] per “Find or develop a basic common IP Traffic Flow measurement technology to be available on (almost) all future routers” NetFlow v9 è stato scelto come base per lo sviluppo Non sarà mantenuta la retrocompatibilità Utilizzo di TCP, UDP, SCTP, TLS, DTLS Autenticazione mutua con certificati X.509 [1] http://www.ietf.org/html.charters/ipfix-charter.html Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 13. Sampled NetFlow Viene scelto in modo deterministico o pseudocasuale un sottoinsieme dei pacchetti che transitano (campionamento) Uso di Traffic Class (campionamento specifico per ogni traffic class) Funzionalità introdotta nei Cisco serie 12000 Allegerisce il carico sugli apparati Adatto a rete ad alta velocità Sampling (esempio 1 ogni 3) Adatto a soddisfare alcune esigenze: ad es. network planning Creazione dei flussi 3 1 Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 14. Considerazioni NetFlow fornisce una gran mole di informazioni, che però deve essere elaborata L'analisi di queste informazioni permette di porre ipotesi riguardanti anche la sicurezza di rete Una VLAN di amministrazione è necessaria L'impatto sulle prestazioni dell'apparato di rete è modesto Active Flows in Cache Additional CPU Utilization 10000 < 4% 45000 <12% 65000 <16% Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 15. Un attacco DoS.. Router#show ip cache flow SrcIf SrcIPaddress SrcP SrcAS DstIf DstIPaddress DstP DstAS Pr Pkts B/Pk 29    192.1.6.69    77    aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.69    77    aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.61    2222  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 29    192.1.6.120   1024  aaa  49    194.20.2.2   1308 bbb   6  1    40 Alcune tipologie di attacchi (ad es. DoS) sono modellizzabili. Utilizzo di NetFlow anche per la sicurezza di rete, l'elaborazione dei dati permette di rilevare attacchi e anomalie di rete. Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 16. Security? Senza payload? Ricerca di pattern nel traffico NetFlow Un host che ne contatta molti in breve tempo (P2P, worm) Flussi di lunga durata (VPN, covert channels) Utilizzo di porte non autorizzate Anomalie sull'uso della banda (DoS, warez) Comunicazioni non autorizzate (due macchine che normalmente non dovrebbero parlare) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 17. L2 e Security Monitoring Inoltre per identificare e tracciare attacchi: Layer2 IP header Source MAC address (frame ricevuti dal router) Destination MAC address (frame spediti dal router) Received VLAN ID (802.1q e Cisco ISL) Transmitted VLAN ID (802.1q e Cisco ISL) Extra Layer 3 IP header Time-to-Live Identification field Packet length ICMP type Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 18. Parte pratica Come implementare un'infrastruttura di monitoraggio basata su NetFlow: Decidere su quali apparati di rete e su quali interfacce abilitare NetFlow Configurare gli apparati di rete di cui sopra Setup di un collector o di più collector Setup di una o più applicazioni di analisi dei dati e di allarmistica Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 19. Architettura Enterprise Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 20. Dove abilitare NetFlow Decidere cosa si vuole ottenere da NetFlow Scegliere di conseguenza su che apparati andare ad abilitarlo Scegliere le interfacce Monitorare tutto il traffico in uscita e in ingresso dalla LAN Evitare il doppio conteggio! Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 21. Hardware Apparati di rete con supporto per NetFlow (ormai tutti i grandi produttori) Sistemi (computer) con schede di rete specifiche: Endace http://www.endace.com: capacità di selezione e filtering on board, full packet capture AMP (Analytic Metadata Producers) sono NetFlow capture devices sviluppate all'NSA, fingerprinting, deep inspection COMBO6 http://www.liberouter.org/card_combo6.php Sistemi embedded dedicati nbox http://ntop.ethereal.com/nBox.html e altri... Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 22. NetFlow probes Primo elemento della catena deputato a associare ogni pacchetto in transito ad un flusso Sonde inserite dai vendor negli apparati di rete (spesso software proprietario) Software nProbe http://www.ntop.org/nProbe.html: buone performances fProbe http://fprobe.sourceforge.net/: basato sulle libpcap fProbe-ulog http://fprobe.sourceforge.net/: basato su libipulog (Netfilter) pfflowd http://www.mindrot.org/projects/pfflowd: basato su pf di OpenBSD Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 23. Configurazione router Cisco ip flow­export version <version> [origin­as| peer­as|bgp­nexthop] ip flow­export destination <address> <port> ip flow­cache timeout inactive <seconds> ip flow­cache timeout active <minutes> ip flow­cache entries <number> Juniper cflowd collector­host­address { Autonomous­system­type (origin|peer); port port­number; version version­number; (local­dump | no­local­dump); } Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 24. Collectors Hanno il compito di memorizzare i flussi NetFlow esportati Ricezione dei pacchetti di export Memorizzazione su disco o database Eventuale compressione e rotazione dei flussi memorizzati Eventuale filtraggio Eventuale relay verso i livelli più alti dell'architettura Software: nfdump http://nfdump.sourceforge.net/ flowd http://www.mindrot.org/projects/flowd/ flow-tools http://www.splintered.net/sw/flow-tools/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 25. Cisco CLI Numero di flussi attivi in cache Flussi per secondo Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 26. Stager Aggrega e presenta statistiche di rete Monitoraggio di rete (usa anche SNMP e ping) Non adatto al monitoraggio delle sicurezze Personalizzabile http://software.uninett.no/stager/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 27. nfsen Visualizzazione e filtraggio dei dati Grafici (RRD) Sistema di detection e alert Architettura a plugin http://nfsen.sourceforge.net/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 28. Nerd Security monitoring tool Analizza le statistiche NetFlow alla ricerca di attacchi Allarmistica http://www.nerdd.org Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 29. ...e altri.. nTop http://www.ntop.org/: può funzionare anche come collector NetFlow Flamingo http://flamingo.merit.edu: genera visualizzazioni 3D del traffico Panotips http://panoptis.sourceforge.net/: progetto che si prefigge di rilevare e bloccare gli attacchi DoS e DdoS Flowscan http://www.caida.org/tools/utilities/flowscan/: produce semplici grafici Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 30. Programming Librerie per la programmazione di applicazioni che usano il protocollo NetFlow libipfix http://libipfix.sourceforge.net: libreria C per IPFIX libfixbuf http://www.cert.org/netsa/tools/fixbuf/: libreria per IPFIX message format jflow http://www.net-track.ch/opensource/jflow: libreria java Net::sflow http://search.cpan.org/author/ELISA/Net-sFlow-0.06/sFlow.pm: libreria perl per sFlow NetFlow Simulator http://sourceforge.net/projects/netflowsim Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 31. Tricks Nelle ultime versioni di IOS ci sono comandi alcuni comandi per l'analisi integrati nella CLI (top ten talkers ad es.) ip flow ingress|egress sulle subinterfaces Attenzione ai valori origin­as | peer­as Si può accedere via SNMP ad alcuni dati NetFlow di un apparato di rete (casi d'emergenza, sampling adattivo?) Spesso basta memorizzare dati aggregati (grande risparmio di spazio) Sincronizzare tutti gli apparati con un server NTP Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 32. Conclusioni NetFlow mette a disposizioni dati per monitoraggio di rete, auditing, network forensics I router Cisco (e molti altri..) hanno NetFlow di default. A gratis. Usiamolo. Prodotti open source e commerciali possono venir utilizzati per analizzare dati NetFlow Nuovi worms e virus possono essere rilevati senza avere a disposizione signatures Il monitoraggio di rete si deve fare!!! Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 33. Riferimenti CISCO NetFlow: http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html RFC 3917: Requirements for IP Flow Information Export (IPFIX) ftp://ftp.rfc-editor.org/in-notes/rfc3917.txt RFC 3954: Cisco Systems NetFlow Services Export Version 9 ftp://ftp.rfc-editor.org/in-notes/rfc3954.txt IPFIX Version Numbers http://www.iana.org/assignments/ipfix-parameters IPFIX Information Elements http://www.iana.org/assignments/ipfix SWITCH NetFlow References http://www.switch.ch/network/projects/completed/TF-NGN/floma/references.html FloMA: Pointers and Software http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html Free NetFlow Tools List http://www.networkuptime.com/tools/netflow/ NetFlow Performance Analysis http://www.cisco.com/en/US/tech/tk812/technologies_white_paper0900aecd802a0eb9.shtml Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 34. Riferimenti (2) User and Test Report on the Netflow Probe http://www.surfnet.nl/publicaties/surfworks2005/indi-2005-012-48.pdf Autonomous NetFlow Probe http://www.terena.nl/tech/task-forces/tf-csirt/meeting16/netflow-probe-lhotka.pdf Free NetFlow Tools http://www.networkuptime.com/tools/netflow Detecting Worms and Abnormal Activities with NetFlow http://www.securityfocus.com/infocus/1796 <spam>NetFlow sul mio blog http://www.lonerunners.net/blog/plugin/tag/netflow</spam> Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 35. Domande? Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 36. Licenza Questo documento viene rilasciato sotto licenza  Alcoolware, la quale non è altro che una normale licenza  Creative Commons Attribute­NonCommercial­ ShareALike [1] ma con l'aggiunta che se mi incontrate  dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali,  copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete  pregati per favore di comunicarmelo in modo che possa  spedirvi le nuove versioni. [1] http://creativecommons.org/licenses/by­nc­sa/2.0/ Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it
  • 37. Dove reperisco queste slides? Le slides di questa presentazione sono già disponibili su: http://www.lonerunners.net/slides Per informazioni: http://www.tanasi.it alessandro@tanasi.it Non esitate a contattarmi anche solo per far due chiacchere... Italian grappa a tutti!! :-) Monitoraggio di rete con NetFlow – Alessandro Tanasi aka jekil - http://www.tanasi.it