Como activar sFlow no switch do meu HP Procurve série 2800?

Posted by Isa | sFlow,SNMP | Monday 8 February 2010 4:36 pm

 

O que precisa de saber:

Para compreender porque é que este switch é tão complicado de configurar, deve saber que este switch não segue os padrões normais para amostragem sFlow. Por exemplo, com este switch a sua amostragem sFlow tem uma determinada duração – isto quer dizer que após um certo período de tempo, a exportação de amostras sFlow pára. Não sei porque é que isto acontece, mas, parece-me que a HP não considerou a hipótese de que alguém poderia querer usar sFlow para monitoramento constante e não apenas para solucionar problemas rapidamente.

Com este modelo é necessário arranjar uma forma de manter o switch a exportar sFlow mesmo que a duração configurada tenha expirado. Para isso, vamos usar a aplicação de agendamento CRONS e NET-SNMP para realizar o SNMP GETS necessário para reactivar continuamente a amostragem sFlow.

Para ver como configurar o switch do HP 2800 para sFlow, consulte aqui. Este download inclui a aplicação CRONS executável e o ficheiro batch que automatiza o SNMP GETS a fazer “refresh” da exportação de sFlow.

Estes são os 4 OID que tem que ser executados em cada porta do seu switch para activar sFlow:

snmpset -v1 -c public X.X.X.X 1.3.6.1.4.1.14706.1.1.5.1.3.11.1.3.6.1.2.1.2.2.1.1.port#.1 i: 1 —- Activa uma porta para a amostragem sFlow

snmpset -v1 -c public X.X.X.X 1.3.6.1.4.1.14706.1.1.5.1.4.11.1.3.6.1.2.1.2.2.1.1.port#.1 i: 50 —- Configura uma porta com uma taxa de amostragem de 1/50 packets

snmpset -v1 -c public X.X.X.X 1.3.6.1.4.1.14706.1.1.6.1.3.11.1.3.6.1.2.1.2.2.1.1.port#.1 i: 1 —- Activa polling numa porta

snmpset -v1 -c public X.X.X.X 1.3.6.1.4.1.14706.1.1.6.1.4.11.1.3.6.1.2.1.2.2.1.1.port#.1 i: 60 —- Configura a porta para exportar sFlow cada 60 segundos

Routers Cisco que suportam Netflow

Posted by Isa | NetFlow | Wednesday 3 February 2010 3:47 pm

A titulo de curiosidade aqui fica uma lista de routers Cisco que podem exportar Netflow:

IOS 11.CA, 11.1CC

  • Série 7200, 7500 e Série RSP 7200

IOS 12.0, 12.0T, 12.0S, 12.0(3)T, 12.0(3)S

  • Cisco 1720, 2600, 3600, 4500, 4700, AS5800
  • Série RSP 7000, 7200
  • Série uBR 7200, 7500
  • Série RSM , Série MGX8800RPM , Série BPx8650
  • AS5300 usa IOS 12.0(3)T, 12.0(3)S

IOS 12.0(4)T

  • Cisco 1400, 1600, 1720, 2500, 3600, 4500, 4700, AS5300, AS5800
  • Série RSP 7000, 7200
  • Série uBR 7200, 7500
  • Série RSM , Série MGX8800RPM, Série BPx8650

IOS 12.0(4)XE

  • Série Cisco 7100

IOS 12.0(6)S

  • Série Cisco 1200

IOS 12.3(1), 12.0(24), 12.2(18),S12.3(2)T

  • Cisco 800, 1700, 2600, 3600, 3700, 6400, 7200, 7500, 12000

Os seguintes modelos também suportam NetFlow: Cisco 1800, 2800, 3800, 6500, 7300, 10000 and CRS-1

Switches Catalyst : 4500, 5500, 6500.

Netflow versão 9: egress vs. ingress

Posted by Isa | NetFlow | Tuesday 26 January 2010 3:53 pm

(Nota: Egress só está disponível na v9 Cisco Netflow, não na v5)

IPFIX ou Netflow v9?

Em teoria, ingress e egress deveriam funcionar da mesma forma em IPFIX, que tem como base Netflow v9, no entanto, são bastante diferentes. Muitos colectores qye trabalham com Netflow v9 rejeitam IPFIX.  Scrutinizer funciona facilmente com ambos; fornecedores como Nortel, Avici (agora Soapstone Networks, Inc) suportam IPFIX, outros como Adtran e Enterasys suportam Netflow v9.

Uma área onde  diferem é na classificação de campos: Netflow usa “IN_BYTES” e IPFIX chama ao mesmo campo “octetDeltaCount”. É possível que IPFIX tenha mudado o nome pois ao falar de “egress flows”, IN_BYTES pode ser enganador.
Diferenças entre ingress e egress

Neflow v9 Ingress é recolhido em tráfego que entra num interface (i.e. Inbound). Esta é a forma como a v5 de Netflow faz recolha de dados. Para calcular o volume do tráfego de saída (Outbound) é necessário recolher ingress de todos os interfaces, só depois é que o software apresenta o relatório do tráfego de saída.

Netflow v9 Egress é recolhido em tráfego que sai de um interface. Geralmente é usado em conjunto com Ingress, mas esta não é uma condição obrigatória.

Porquê recolher com Egress?

Porquê recolher com egress se ingress funcionava tão bem com Netflow v5? porque hardware como optimizadores WAN comprimem dados. Compressão de tráfego com Netflow Cisco quer dizer que o que entra como 100 bytes pode sair como 50 bytes. Se apenas forem usados fluxos de entrada (ingress), o software Netflow vai reportar 100 bytes de saída, mesmo que tenham sido comprimidos para 50 bytes. Isto acontece pois o cálculo foi feito usando fluxos ingress. Se o router exportar ambos (ingress e egress) e o monitor Netflow conseguir reportar ambos sem exagerar a utilização, consegue ver o que está a ser comprimido em cada fluxo. É simples, mas requer que o colector Netflow compreenda a chamada “direcção” do fluxo. Se o campo no pacote da Netflow v9 for 0, é recolhido fluxo de entrada (ingress). Se o campo for 1, é recolhido fluxo de saída (egress).

Fluxo de entrada (Ingress) com IPv6 (o mesmo com IPV4)

nfv9ingress

Fluxo de saída (Egress) com IPv6 (mesmo com IPv4)

nfv9egress

Os relatórios do tráfego da rede produzidos pelo analisador Netflow tem que ser inteligente ao lidar com fluxos de entrada e de saída. É muito importante calcular dinamicamente o sentido dos fluxos em ambientes em que ambos existem (ingress e egress), especialmente quando se lida com centenas de routers.

Cisco Netflow v5 versus Netflow v9: Qual deles satisfaz a sua fome? (parte 3)

Posted by Isa | NetFlow,Network Traffic Analysis,Network Traffic Monitoring | Tuesday 19 January 2010 4:17 pm

Este post é o terceiro de uma série de 3 sobre as diferenças entre as versões 5 e 9 da Cisco Netflow (clique aqui para ver post 1 e post 2)

Cisco melhora Netflow v9 com “Flexible Netflow”

Como apontado anteriormente, uma das falhas da v9 é o facto de que muito poucos colectores conseguem reportar em todos os campos novos. Com tão poucas empresas a poder usufruir desta nova versão, a Cisco apresenta agora “Flexible Netflow”, mas…será que criaram um “Mcmonstro?”

 McMonster                                                                                                              

Flexible Netflow é Netflow v9

Esta Netflow flexível é  o prolongamento da versão 9. Oferece mais funcionalidades sem a necessidade de lançar uma nova versão. Fornece recursos adicionais que possibilitam ao administrador exportar ainda mais informação, usando o mesmo datagrama da v9 – como utilização da CPU, captura de pacotes, etc. Oferece tudo o que  é necessário sem o excesso de informação da v5.

A Cisco está a mostrar que Netflow é melhor do que qualquer outra forma de exportar informação do router.

 

 

 

É McALacart!!

Afinal não é um McMonstro, mas sim, McALacart! O objectivo desta Netflow flexível não é exportar toneladas de informação, mas sim exportar exactamente aquilo que deseja sem depender de tecnologias como SNMP que podem causar muito tráfego de monitoramento. Porquê recolher Netflow v5 se tudo o que pretende é apenas uma simples tabela de informação? (Porque, às vezes, quando vou ao McDonalds…só me apetece um wrap de vegetais e não um menu completo com hamburger e batata frita!)

McAlacart

Cisco Netflow v5 versus Netflow v9: Qual deles satisfaz a sua fome? (parte 2)

Posted by Isa | NetFlow | Thursday 14 January 2010 4:09 pm

Este post é o segundo de uma série de 3 sobre as diferenças entre as versões 5 e 9 da Cisco Netflow.

O Big Mac

A versão 9 é mesmo mais do que um Big Mac®. Continuando a usar a analogia dos hamburgers, o Big Mac traz queijo, alface e sementes de sésamo para o hamburger tradicional. Mais substância, mais carne e o cobiçado “molho especial”!

mmac1

Caso ainda não o tenha feito, espreite “the format of Cisco NetFlow v9“. Primeira reacção?? “Uau…demasiada informação”, mas…vamos manter a mente aberta. Pode obter uma montanha de informação se usar SNMP enquanto a maioria das pessoas apenas usa uma pequena parte.

Preciso de um “template”

Com a versão 5 de Netflow,  o software de recolha é predeterminado e nunca muda – sempre os mesmos campos e a mesma ordem. Alguns chama-lhe “determinista” e por isso mesmo, a recolha pode ser feita mais rapidamente.

Com a v9, os templates para descodificar pacotes são enviados periodicamente (por exemplo, minuto a minuto). Frequentemente, o colector tem que adiar a descodificação de datagramas até que o template seja recebido.  Esta arquitectura faz da v9 uma versão muito dinâmica e flexivel no que diz respeito ao que pode ser enviado. Algumas das novas funcionalidades da v9:

  • endereços MAC de origem e destino;
  • suporte IPv6;
  • detalhes melhorados em ligações VLANs e MPLS;
  • amostragem de fluxo;
  • nome e descrição do interface;
  • Egress Flows;
  • entre outras.

Aspectos menos positivos da v9

A v9 não é perfeita e tem as suas falha. Em primeiro lugar, quem a usa, usa-a para recolher os mesmos dados que podiam ser recolhidos com a v5. A maior parte dos pacotes de recolha Netflow não fornece um interface que permita ver a informação adicional que a v9 oferece. As exportações avançadas são mais complicadas de configurar e sem uma ferramenta de relatório torna-se muito mais trabalhoso calcular se a exportação é feita corretamente.

Assim como a v2 SNMP, a v9 de Netflow vai demorar algum tempo a tornar-se popular. Os consumidores têm que exigir as funicionalidades adicionais!! Onde está a “procura”? Os fornecedores têmque ouvir de mais que um cliente que determinada função é necessária e porquê. Só assim é que o software pode ser desenvolvido.

Em que é que a Cisco anda a trabalhar?

A v9 é a tentativa da Cisco  para possibilitar ao administrador da rede a exportação de praticamente qualquer informação pretendida do router. É possível que alguém na Cisco tenha assistido à aula de Microeconomia e esteja a encorajar os engenheiros de Desenvolvimento a criar mais funções para Netflow na esperança que o consumidor lute por mais “utilidade” e no fim a “procura” siga o mesmo caminho.

Cisco Netflow v5 versus Netflow v9: Qual deles satisfaz a sua fome?? (parte 1)

Posted by Isa | NetFlow | Monday 11 January 2010 4:56 pm

Este post é o primeiro de uma série de 3 sobre as diferenças entre as versões 5 e 9 da Cisco Netflow.

A Cisco Netflow v5 é, sem dúvida, a versão Netflow mais popular usada nas redes de hoje em dia. Mas porquê se há uma versão mais recente? Para responder a esta pergunta, vou usar um exemplo dado numa aula de Microeconomia – “utilidade” é a resposta!

Hamburger # 1

O professor contou uma história mais ou menos assim:

Vamos imaginar que está a ter um dia com muito trabalho e, de repente, lhe apetece um hamburger da McDonalds. Na verdade, a sua boca começa a salivar às 11 da manhã só de pensar no paladar do hamburger. Tem a “procura” e sabe onde encontrar a “oferta”.

MacDonalds Hamburger Meal  Quando pede aquele primeiro hamburger e o come, sente uma grande satisfação pois aliviou a fome e o paladar era mesmo muito bom. A isto chamamos “utilidade” e acabou de receber uma boa dose, ao consumir o hamburger. Numa escala de 1 a 10, onde 1 é horrível e 10 é fantástico, este hamburger consegue facilmente um 10!

Hamburger # 2

Agora, digamos que ainda tem fome e gostou tanto do primeiro hamburger que “procura” outro. Mais uma vez aquela sensação de “hmmm… sabe tão bem” envolve-o quando “a procura encontra a oferta”. Possivelmente, sente quase a mesma satisfação e alegria (i.e. utilidade) com este segundo hamburger. A este hamburger atribui um grau de utilidade 9. Depois deste, ainda se recosta na cadeira e pensa num terceiro!

Hamburger # 3

Talvez ainda sinta alguma fome. A sua “procura” leva-o a um terceiro hamburger. Empurra-o com uma Cola, senta-se confortavelmente e reflecte sobre o hamburger e na utilidade que lhe trouxe. Atribui-lhe um 7. Porque não um 9 ou um 10? Porque já não sente fome e não tem a necessidade de “procura”. Provavelmente já nem tinha grande fome quando pediu o terceiro.

Hamburger # 4

Sabe que vai ter um dia muito longo no trabalho e não vai conseguir jantar antes das 22h/23horas… Provavelmente não lhe apetece um quarto hamburger, mas, para ter a certeza que aguenta até ao final do dia, come um quarto hamburger…o grau de utilidade que lhe atribui – 5!

justaburger A sua atitude mudou. Foi-lhe indiferente, não soube bem nem mal e decerto que, se comesse um quinto ou sexto, o grau de utilidade seria inferior. Está cheio e nem consegue pensar em comer mais nada.

Netflow não é um Hamburger

Mas, como é que um hamburger se compara à utilidade ganha entre Netflow v5 e v9? Simples! Netflow v5 oferece-lhe praticamente tudo o aquilo que “procura” sobre o tráfego num link sem necessitar de um pacote analisador como WireShark. O grau de utilidade aproxima-se de um 9. Com um bom Netflow Analyser, a v5 funciona perfeitamente no que diz respeito a responder a estas perguntas:

  • Quem está a causar maior tráfego?
  • Que aplicação estão a utilizar?
  • Onde estão na rede e subrede?
  • Que quantidade de dados estão a transferir e há quanto tempo?

Com a informação acima fornecida e com o valor acrescido de um bom pacote de relatórios como Scrutinizer, Netflow v5 cobre toda uma gama de situações relacionadas com resolução de problemas que os técnicos  de informática pretendem ver solucionadas.  (Netflow v5)

Uma vez que a v5 oferece muita informação, não tem havido uma procura forte de  funcionalidades adicionais. Vai demorar algum tempo até que as pessoas desejem o que está disponível na v9. A oferta está à espera, mas necessitamos de mais utilidade!!

Como configurar Cisco Netflow Security Event Logging em Cisco ASA

Posted by Isa | NetFlow | Tuesday 10 November 2009 4:35 pm

Netflow Security Event Logging ou Netflow Event Logs (NELS) são muito mais que apenas tráfego num interface.

Algumas das exportações são mais como syslogs. Podem ser colocadas até 18 mensagens num único pacote Netflow v9.

Interessado em experimentar?
Para os interessados em netflow ASA, acredito que é oferta standard com a série ASA 5580. Com modelos inferiores, irá necessitar do código ASA 8.2.x para activar esta funcionalidade.

Este não é um Netflow típico.

Há 3 tipos de evento que podem despoletar um registo Netflow:

* flow-create
* flow-denied
* flow-teardown

Um endereço IP de um colector Netflow  tem que ser inserido no aparelho ASA, com mais alguns comandos, para que sejam enviados registos de fluxos. Use o Modular Policy Framework para personalizar os detalhes da funcionalidade NetFlow.

Activar Netflow num ASA

 Terá igualmente que definir uma política de serviço que indique o fluxo de dados para o servidor analisador. O abaixo assume que o seu ASA ainda está a usar a política global predefinida.

policy-map global_policy
class class-default
flow-export event-type all destination x.x.x.x

O que esta acima é CLI, mas Netflow pode ser configurado em Cisco ASDM GUI se clicar:

  • Configuration-Firewall->Service Policy Rules.
  • Clique Add->seleccione “Use class-default as the traffic class”->Next->Netflow (tab)->Add (seleccione o(s) colector(es) que pretende utilizar)->Finish->Apply.

Comandos Cisco ASA NetFlow  para eventos específicos

Exemplo: Criação de eventos Log Flow  entre hosts 10.1.1.1 e 10.2.2.2
O  servidor Colector Netflow Interno é 192.168.100.1

ASA (config)#  flow-export destination inside 192.168.100.1 2055
ASA (config)# flow template timeout-rate 1
ASA (config)# access-list flow_export_acl permit ip host 10.1.1.1 host 10.2.2.2
ASA (config)# class-map flow_export_class
ASA (config-cmap)# match access-list flow_export_acl
ASA (config)# policy-map flow_export_policy
ASA (config-pmap)# class flow_export_class
ASA (config-pmap-c)# flow-export event-type flow-creation destination 192.168.100.1

Configurar Netflow

Esta página foi muito útil para determinar os comandos de configuração acima de NetFlow no ASA 5580.

Cisco adiciona Netflow a todos os modelos Cisco ASA

Posted by Isa | NetFlow,NetFlow Collector,Network Traffic Analysis | Wednesday 28 October 2009 4:33 pm

A Cisco adicionou uma nova funcionalidade à versão 8.2 dos Cisco ASA.

Chama-se NSEL (Netflow Security Event Logging) e permite que todos os modelos ASA suportem Netflow.

Aqui fica a configuração de um Cisco ASA:

flow-export destination inside x.x.x.x xxxx (colector e porta)
access-list flow_export_acl permit ip host x.x.x.x host x.x.x.xprod_small_photo0900aecd802856f5

class-map flow_export_class
match access-list flow_export_acl   

policy-map flow_export_policy
class flow_export_class

flow-export event-type flow-creation destination x.x.x.x

service-policy flow_export_policy global

Para ver o registo de todos os tipos de  evento com Netflow

event-type all

Para melhorar o desempenho, pode desactivar o log dos eventos de exportação de fluxos:

logging flow-export syslogs disable

Como configurar Netflow no meu Cisco 6509 Catalyst?

Posted by Isa | NetFlow | Tuesday 20 October 2009 4:31 pm

Uma vez que é um modelo hibrido de switch/router, as configurações são ligeiramente diferentes dos modelos “standard” da Cisco, como o 2811.

Consulte igualmente o site da Cisco em como configurar o 6509 Catalyst para NetFlow.

Na maioria dos routers Cisco há 2 conjuntos de comandos usados para activar NetFlow. No entanto, no 6509 há, tecnicamente, 3.

Para activar NetFlow no router necessita do seguinte:

ip flow-export source (inserir aqui o nome do interface)
ip flow-export version 5
ip flow-export destination (endereço ip do colector netflow) (porta para a qual exportar fluxos)
ip flow ingress layer2-switched vlan (inserir vlans X,Y,X)
ip flow-cache timeout active 1

Seguidamente é necessário configurar NetFlow para tráfego transferido:

mls nde sender version 5
mls flow ip interface-full
mls nde interface
mls aging long 64
mls aging normal 64

Uma vez que as configurações gerais estão concluidas, pode agora configurar cada um dos interfaces, propriamente ditos, para NetFlow:

ip route-cache flow
ip flow ingress

Como detectar o vírus Trojan.Win.32.Buzus em e-cards

Posted by Isa | NetFlow | Monday 12 October 2009 3:46 pm

Durante os últimos 6 anos os e-cards têm sido um meio muito utilizado para transferir vírus e worms. Aqui fica mais um para adicionar à lista:

Trojan.Win32.Buzus

Este vírus é propagado abrindo um ficheiro .zip com o nome de “e-card.zip” ou “postcard.zip” que está anexado a um postal enviado a partir de e-cards@americangreetings.com ou e-cards@hallmark.com.

20090226_americangreetings

 Exemplo de um vírus num American Greetings e-card

 Uma vez que o ficheiro .zip é aberto,  o vírus vais instalar um cliente SMTP e recolher todos os endereços de email armazenados naquela máquina. Em seguida, envia o mesmo email para todos os novos endereços, espalhando a “alegria”!!

O QUE PROCURAR?

Depois do download do Trojan, os seguintes ficheiros são criados no pc:

(Windows TEMP folder)qoMcdExV.bat
(Windows System folder)cbXQiFwT.dll
(Windows System folder)javale.exe
(Windows System folder)javame1.1.exe
(Windows System folder)javase1.1.exe

Estejam atentos ao Gerenciador de Tarefas e procurem por estes ficheiros.  Mas há mais!! Para além de instalar estes ficheiros, há também uma alteração de registo que vai abrir as seguintes portas TCP 1033, 1035, 1062 – 1065 e 1118-1120. Estas portas serão posteriormente utilizadas pelo ficheiro javale.exe que as liga a uma base de dados de um host para adquirir os seguintes Host Names:

www.whatismyip.com
mail.[user’s domain]
[user’s email address]
mx.[user’s domain]
smtp.domain.com
smtp.[user’s domain]
mx1.[user’s domain]
mxs.[user’s domain]
mail1.[user’s domain]
relay.[user’s domain]
206.137.17.89
americangreetings.com

Ao mesmo tempo vai também tentar criar ligações com os seguintes hosts remotos:

206.137.17.89 – port 43
americangreetings.com – port 1049

Uma das soluções para este problema é utilizar produtos como Scrutinizer, com relatório personalizados que permitem encontrar este vírus (e outros como este).

Scrutinizer custom report rules for watching port 43

Next Page » Web Statistics