CERCA
RSS Subscription
Sottoscrivi i nostri RSSper essere sempre
aggiornato sugli ultimi
articoli pubblicati nel sito!
Home Page |
Articoli | Articoli Network Security
NetFlow, analisi del traffico di rete (Netflow Traffic Analyzer)
News inserita il 01/01/2011
NetFlow è un protocollo inventato da Cisco Systems, Inc. che fornisce preziose informazioni circa gli utenti della rete e le applicazioni, gli orari di utilizzo massimo (picchi), sul tipo di traffico di rete entrante ed uscente dagli apparati. NetFlow è uno strumento utilissimo anche per la sicurezza della rete in quanto ha la capacità di analizzare attacchi Denial of Service (DoS).
NetFlow, invia i dati da analizzare a un software in grado di interpretarli. Nel nostro caso utilizzeremo il software gratuito Real-Time NetFlow Analyzer di SolarWinds avendo la possibilità di visualizzare, con dei grafici chiari, cosa stia passando nella rete.
Indichiamo al Router dove inoltrare le informazioni, ovvero dove trovare il software di analisi Real-Time NetFlow, che, nel caso specifico è situato all'indirizzo 192.168.5.100 e rimane in ascolto sulla porta udp 2055. Real-Time NetFlow fa parte della rete 192.168.5.n/24 definita nella sottointerfaccia FastEthernet 0/0.2. È possibile indicare l'interfaccia fisica o la sottointerfaccia logica di appartenenza. Nel caso specifico è stata indicata la FastEthernet 0/0. Specifichiamo infine la versione del formato di esportazione.
Ora definiamo il verso del traffico (flusso) da monitorare: l’interfaccia che genera il traffico trasmesso, ad esempio FastEthernet 0/0 e l’interfaccia che riceve il traffico, ad esempio FastEthernet 0/1. In questo caso l'utilizzo dell'interfaccia fisica permetterà di inviare al software di analisi Real-Time NetFlow le informazioni di tutte le VLAN eventualmente presenti. Se venisse configurata la sola sottointerfaccia logica FastEthernet 0/0.2 il software di analisi riceverebbe informazioni sola da questa VLAN.
Per verificare che NetFlow funzioni e per visualizzare un riassunto delle statistiche:
Per verificare che NetFlow funzioni e per visualizzare in dettaglio le statistiche di esportazione:
Per visualizzare la configurazione delle interfacce che hanno in uso NetFlow:
Per visualizzare le statistiche di NetFlow esportate:
fd
NetFlow, invia i dati da analizzare a un software in grado di interpretarli. Nel nostro caso utilizzeremo il software gratuito Real-Time NetFlow Analyzer di SolarWinds avendo la possibilità di visualizzare, con dei grafici chiari, cosa stia passando nella rete.
Configurazione base di NetFlow nel Router
Abilitiamo NetFlow per generare dei dati da poter interpretare successivamente. Configuriamo il protocollo snmp senza autenticazione.| Router(config)#snmp-server community public ro Router(config)#snmp-server community private rw |
Indichiamo al Router dove inoltrare le informazioni, ovvero dove trovare il software di analisi Real-Time NetFlow, che, nel caso specifico è situato all'indirizzo 192.168.5.100 e rimane in ascolto sulla porta udp 2055. Real-Time NetFlow fa parte della rete 192.168.5.n/24 definita nella sottointerfaccia FastEthernet 0/0.2. È possibile indicare l'interfaccia fisica o la sottointerfaccia logica di appartenenza. Nel caso specifico è stata indicata la FastEthernet 0/0. Specifichiamo infine la versione del formato di esportazione.
| Router(config)#ip flow-export destination 192.168.5.100 2055 udp Router(config)#ip flow-export source fastEthernet 0/0 Router(config)#ip flow-export version 5 |
Ora definiamo il verso del traffico (flusso) da monitorare: l’interfaccia che genera il traffico trasmesso, ad esempio FastEthernet 0/0 e l’interfaccia che riceve il traffico, ad esempio FastEthernet 0/1. In questo caso l'utilizzo dell'interfaccia fisica permetterà di inviare al software di analisi Real-Time NetFlow le informazioni di tutte le VLAN eventualmente presenti. Se venisse configurata la sola sottointerfaccia logica FastEthernet 0/0.2 il software di analisi riceverebbe informazioni sola da questa VLAN.
| Router(config)#interface FastEthernet 0/0 Router(config-if)#ip flow egress Router(config)#interface FastEthernet 0/1 Router(config-if)#ip flow ingress |
Comandi opzionali di NetFlow nel Router
Tra i comandi opzionali possiamo fare in modo che le informazioni esportate verso l’analizzatore includano anche il nome dell’interfaccia del traffico, modificare il numero di pacchetti (di default 20) e il timeout (di default 30) ogni quanto NetFlow invierà il template di informazioni al software di analisi.| Router(config)#ip flow-export interface-names Router(config)#ip flow-export template refresh-rate 15 Router(config)#ip flow-export template timeout-rate 90 |
Altri comandi
Per pulire la cache di NetFlow:| Router#clear ip flow stats |
Per verificare che NetFlow funzioni e per visualizzare un riassunto delle statistiche:
| Router#show ip cache flow |
Per verificare che NetFlow funzioni e per visualizzare in dettaglio le statistiche di esportazione:
| Router#show ip cache verbose flow |
Per visualizzare la configurazione delle interfacce che hanno in uso NetFlow:
| Router#show ip flow interface |
Per visualizzare le statistiche di NetFlow esportate:
| Router#show ip flow export |
fd
MOSERLE Ing. Paolo
Chiamaci con Skype!
- Corsi e Certificazioni Linux - scopri il nuovo catalogo(13-07-11)
- Corsi di Alta Formazione Finanziati - Consegna domande entro le ore 13:00 del 4 Agosto 2011(04-07-11)
- Iscriviti al canale CNAPONLINE su YouTube(03-07-11)
- CNAPONLINE WebEx Enterprise Site(01-07-11)
- Certificazione Cisco CCENT superata brillantemente(22-06-11)
Segui cnaponline.com nei social:
