Monitorización de flujos con NfSen/nfdump

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Monitorización de flujos con NfSen/nfdump"

Beatriz Ramírez Gil
hace 8 años
Vistas:

1 Monitorización de flujos con NfSen/nfdump XVIII Grupo de Coordinación IRIS-CERT Madrid, Junio 6 Chelo Malagón <chelo.malagon@rediris.es>

2 Antecedentes Geant / JRA (Seguridad) WI : Prot ección de element os y servicios de red elem entos en GN WI : Creación de servicios de seguridad Definición de un conjunto integrado de herramientas para la monitorización de tráfico de red para la detección de ataques y anomalías Evaluación diversas herrramientas: NfSen (SWITCH), NERD (Surfnet), Stager, c.. St ager, et etc.. WI3 : Diseño y est ablecimient o de una infraestruct infraest ruct ura de coordinación de incidentes incident es WI4: Relaciones con TERENA TF- CSIRT WI: Creación de un com it é de ex pert os comité pertos Madrid, GT6/ Junio 6 / total

diversas herrramientas: NfSen (SWITCH), NERD (Surfnet), Stager, c.. St ager, et etc.

3 Componentes/Arquitectura del sistema Samplicator Recibe dat agramas UDP y los reenvía a un conjunt o datagramas conjunto especificado de recept ores Par fuente/ o receptores fuent e/ puert puerto UDP / tf- tant/ floma/ sw/ samplicator/ nfdump (nfcapd, ft nfdump) nfdump, nfprofile, nfreplay, Colector os net flow en línea de Colect or y procesador de dat datos netflow comandos / sourceforge.net/ projects/ nfdump/ NfSen Front p Front-- end web para el nfdum nfdump / sourceforge.net/ projects/ nfsen/ Madrid, GT6/ Junio 6 3 / total

ch/ tf- tant/ floma/ sw/ samplicator/ nfdump (nfcapd, ft nfdump) nfdump, nfprofile, nfreplay, Colector os net flow en línea de Colect or y

4 nfdump Almacena dat os net flow en ficheros cada n minut os ( mins) Soport a netflow v, v7 y v9, y es compat ible con IPv6 Sintax is de filt rado basada en pcap (proto tcp and dst net 3.6/ 6 and (dst port 8 or dst port 88 or dst port 443) and bytes > ) or (... Permite agregar flujos Permite la generación est adíst icas (TopN) de múlt iples tipos de Flows, IP, puerto, AS, protocolo, interfaces de entrada o salida, ordenados por número de flujos, paquetes, bytes, pps, bpp, bps Anonimización de direcciones IP (Crypt o- Pan) Madrid, GT6/ Junio 6 4 / total

.. Permite agregar flujos Permite la generación est adíst icas (TopN) de múlt iples tipos de Flows, IP, puerto, AS, protocolo, interfaces

5 nfdump nfdump - M / data/ nfsen/ profiles/ live/ IRIS :IRIS4:IRIS - r nfcapd c - o extended 'not (flags or tos )' Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Flags Tos Packets :9: TCP :8 :394.A ::3.9. TCP :8 :39777.A :9: TCP :9:8.74. TCP :66 - > :688.A :: TCP :8 :9.A ::7.9. TCP : :9: TCP : :9: TCP ::.78. TCP ::.63.4 TCP : > :8 :443 :443 :443.A... 6 :3978.A... 6 Bytes bps :348.AP... 6 pps :3496.A :3496.AP :8.A Bpp Flows Time window: :9: :3:39 Total flows: 87 m atched:, skipped:, Bytes read: 436 Sys:.s flows/ second: 43.8 Madrid, GT6/ Junio 6 Wall:.3s flows/ second: 33.7 / total

97 4.6 TCP 6- - 9 3:9:8.74. TCP :66 - > :688.A... 4 4 6- - 3 ::6.643. TCP :8 :9.A... 6 47 6- - 3 ::7.9. TCP :8 6- - 9 3:9:6.789. TCP :8 6- - 9 3:9:4.346 33.997 TCP 6- - 3 ::.78. TCP 6- - 3 ::.63.

6 nfdump nfdump - M / data/ nfsen/ profiles/ live/ IRIS:IRIS4:IRIS - r nfcapd.63 - S - n - s dstport/ flows Aggregated flows 468 Top flows ordered by packets: Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets : 8 Bytes Flows :: GRE : :: TCP :763 - > : :8: TCP :96 - > :: TCP :39 - > : :: TCP : : :47 :389 Top flows ordered by bytes: Date flow start Duration Proto Src IP Addr:Port Dst IP Addr:Port Packets : :: GRE : :: TCP :763 - > :8: TCP :96 - > : :: TCP :8: TCP Top :8 Bytes Flows 783 : : :896 - > : Dst Port ordered by flows: Date first seen Duration Proto :8:.37 Dst Port 36.8 TCP :9: TCP :9: TCP Flows Packets :: GRE :: TCP Bytes bps bpp 38 7 pps Time window: :8: :4:7 Total flows: 4 matched: 4, skipped:, Bytes read: 6764 Sys:.3s flows/ second: Wall:.6s flows/ second: Madrid, GT6/ Junio 6 6 / total

8 GRE : 6- - 3 ::4.369 6.7 TCP :763 - > :366 9 648 6- - 9 3:8:.6 6.99 TCP :96 - > 7 94 6- - 3 ::44.73.373 TCP :39 - > :847 6 6- - 3 ::4.774.

7 nfdump nfdump - M / data/ nfsen/ profiles/ live/ IRIS:IRIS4 :IRIS - r nfcapd n - s dstport Top Dst Port ordered by f lows: Dat e f irst seen Durat ion Prot o Dst Port Flows Packet s :8: TCP :9: TCP 688 Byt es pps bps bpp TCP :: GRE :: TCP :9: TCP :: TCP :: UDP :9: TCP ::.439. TCP :9: Time window: :8: :4:7 Tot al f lows: 4 matched: 4, skipped:, Byt es read: 6764 Sys:.s f lows/ second: 44. Wall:.4s f lows/ second: nfdump - M / data/ nfsen/ profiles/ live/ IRIS:IRIS4 :IRIS - r nfcapd n 8 - s srcip Top Src IP Addr ordered by f lows: Dat e f irst seen Durat ion Prot o Src IP Addr Flows Packet s :9: TCP :8: TCP :9: TCP :9: TCP :9: TCP :: TCP :3: TCP bps bpp TCP 8 34 pps ::3.6 9 Byt es Time window: :8: :4:7 Tot al f lows: 4 matched: 4, skipped:, Byt es read: 6764 Sys:.s f lows/ second: 78.6 Madrid, GT6/ Junio 6 Wall:.9s f lows/ second: 7. 7 / total

33 TCP 688 Byt es 3 4 38 7 pps bps bpp 38 33 7 34 43.966 TCP 6- - 3 ::.39 7.89 GRE 6- - 3 ::47.79 8.49 TCP 349 8 6- - 9 3:9:3.4.88 TCP 688 4 6- - 3 ::36. 73.96 TCP 4 4 8 9 73 6- - 3 ::.4 43.687 UDP 3 4 38 77 6- - 9 3:9:49.

8 NfSen Ut iliza nfdump como herramienta de backend Interface web intuitivo y fácil de usar Definición de diversas vistas sobre los dat os (profiles) Seguimient o de act ividad en diversos puertos, IPs, etc... sobre datos en t iempos real (continuous) Seguimient o de act ividad de IPs involucradas en incidentes sobre dat os hist óricos (st at ic) Desde vist as generales (por flujos, paquet es, t ráfico) hast a análisis de flujos específicos Análisis de actividad en vent anas específicas de t iempo Fácil incorpocración de plugins de backend y front end Alertas aut om áticas Mecanismos integrado para eliminación de datos de t ráfico Madrid, GT6/ Junio 6 8 / total

.. sobre datos en t iempos real (continuous) Seguimient o de act ividad de IPs involucradas en incidentes sobre dat os hist óricos (st at ic) Desde vist as generales

9 NfSen Madrid, GT6/ Junio 6 9 / total

10 NfSen Madrid, GT6/ Junio 6 / total

11 NfSen Madrid, GT6/ Junio 6 / total

12 NfSen Madrid, GT6/ Junio 6 / total

13 Y para finalizar SUN V4 AMD Opt eron 4 Mhz 64 bits (ampliable hast a 4) 4 GB RAM SCSI 73 GB Ut ilización del Filer para almacenamient o de datos netflow (Net App) Red Hat Ent erprise Linux 4 GB/ día (sin compresión) mes de información disponible Madrid, GT6/ Junio 6 3 / total

de datos netflow (Net App) Red Hat Ent erprise Linux 4 GB/ día (sin

Documentos relacionados

Capítulo V Pruebas 96

Capítulo V Pruebas 96 96 5.1 Introducción Este capítulo tiene como objetivo mostrar el correcto funcionamiento del software Listry- AIGC implementado en la institución en sus dos principales actividades: Enfocado hacia el monitoreo