NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes.

Présentation au sujet: "NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes."— Transcription de la présentation:

1 NETFLOW Présenté par : Romain Jourdan Mathias Loyen Jonathan Valdes

2 Sommaire Partie 1 : Problématique de supervision
Partie 2 : Principes et fonctionnement de Netflow Partie 3 : Configuration et Exploitation

3 Administration Réseau : Notions, problématiques et solutions
Partie 1 Administration Réseau : Notions, problématiques et solutions

4 Une notion importante Métrologie
Par définition, la métrologie désigne la science des mesures. Dans le cadre des réseaux informatiques, son objectif est de « connaître et comprendre le réseau afin de pouvoir, non seulement intervenir dans l'urgence en cas de problème, mais aussi anticiper l'évolution du réseau, planifier l'introduction de nouvelles applications et améliorer les performances pour les utilisateurs » (Claudine Chassagne - UREC/CNRS - septembre 1997). .

5 Différentes problématiques :
Les besoins Différentes problématiques : Quelles sont les machines qui parlent le plus? Quel est le trafic par utilisateur ou groupe? par application? par réseau (interne, externe)? Combien d’utilisateurs sont actifs sur le réseau à l’instant T? D’où vient le trafic? Vers où se dirige-t-il? Des attaques de sécurités?

6 Les flows Des solutions : sFlow de InMon LFAP de Riverstone
Netflow de CISCO Netflow est disponible sur les routeurs et commutateurs multi-niveaux Cisco (à partir de la version 12.0 de l’IOS) Mais aussi chez d’autres constructeurs (Juniper). Le standart de l’IETF : IPFIX (IP Flow Information eXport) pas encore ratifié

7 Principes et fonctionnement
Partie 2 NETFLOW : Principes et fonctionnement

8 NetFlow et les Flux La technologie NetFlow de Cisco s’appuie sur
la notion de flux. Critères d’un flux - Adresses source et destination - Protocole (TCP, UDP, ICMP..) - Type of Service (ToS) - Ports applicatifs - Interfaces d’entrée et de sortie du routeur

9 Table des flux - Cache Routeur utilisant NetFlow : Mise à Jour
- Maintient en cache une table des flux actifs : Cache NetFlow - Compte le nombres de paquets et d’octets reçus pour chaque flux. adresse src … Time left Nb pqts Nb Octets 5 45 3 456 23 258 15 90 5 789 11 1234 23 456 30 46 3 512 30 2 124 Mise à Jour A chaque paquet reçu le routeur met à jour le cache : - Soit en créant une nouvelle entrée - Soit en incrémentant les compteurs d’une entrée existante

10 Expiration d’un flux Expiration d’un flux, d’une entrée :
Une entrée(une flux) expire quand : - Il a été inactif pendant un certain temps (par défaut 15 sec) - Il a été actif depuis trop longtemps (par défaut 30 min) - Il s’agit d’un flux TCP et les flags FIN ou RST ont été détectés par le routeur. adresse src … TimeLeft (sec) Active Time (min) 5 30 18 12 29

11 Collecte Lorsqu’un flux a expiré :
- Il est supprimé du Cache NetFlow. - Il peut être exporté vers une machine de collecte au moyen de trames NetFlow. Exportation et remontée d’informations - La machine reçoit des trames NetFlow suivant un protocole défini par Cisco (plusieurs versions existent). - Le routeur regroupe plusieurs flux dans une trame (par économie).

12 Protocoles NetFlow Il existe plusieurs versions : 1, 5, 7, 8
- La version 5 est la plus couramment utilisée. - La version 7 sert pour les switches Catalyst et diffère peu de la version 5. - La version 8 introduit les schémas d’agrégation (environ une quinzaine). Chaque version apporte des changements et demande une modification des collecteurs. Pas de support d’IPv6, du Multicast, MPLS…

13 Protocole NetFlow v9 Introduction de la notion de Templates
2 Types de données : - des Template records contenu dans des Template FlowSets. - des Data records contenu dans des Data FlowSets. Trame NetFlow v9 Contient une entête et une succession de Data FlowSets et/ou de Templates FlowSets. Packet header Template FlowSet Data … Décodage Pour pouvoir décoder un Data FlowSets, un collecteur doit préalablement avoir reçu le Template associé

14 Protocole NetFlow v9 Format des templates
- Organisation d’un Template FlowSets : FlowSet Header Template Record 1 … Template Record N FlowSet ID FlowSet Length Template ID Field Count Field 1 Type Field 1 Length … Field N Type Field N Length […] - Organisation d’un Template Record : - De nombreux types de champs sont prédéfinis (IPv4, IPv6…) Nouveaux supports : - IPv4 Unicast - IPv4 Multicast - MPLS - IPv6 en beta

15 Mise en place et exploitation des flux
Partie 3 UTILISER NETFLOW : Mise en place et exploitation des flux Evolutions prévues

16 L’infrastructure NetFlow
Routeur Collecteur Applications Création du cache Agrégation Export Collecte Filtrage Agrégation Stockage Utilisation des données Présentation des données

17 Fonctions du collecteur
Fonctions essentielles - Collecter les enregistrements exportés par les routeurs - Réaliser une première phase de traitement - Filtrage - Agrégation - Stocker les enregistrements Le collecteur Cisco: NetFlowCollector (NFC) - Interface graphique Web - Possibilités de traitement (tri, graphe…) Des outils gratuits: IPFlow, FlowTools - Gèrent la ré-émission (dispatching) - Pas d’interface graphique

18 Exemple de traitement NFC
Répartition des flux par type sur une période donnée

19 NetFlow sur NAM But: Plug’n play - NAM: Network Analysis Module
- Module additionnel (carte ou boîtier externe) - Embarque - un collecteur - un logiciel d’exploitation des données - interface Web Avantages - Mise en place rapide, simplicité d’utilisation - Peu de configuration, ne nécessite pas un serveur Inconvénients - Performances faibles, coût élevé

20 Évolutions futures Support IPV6 - Incomplet (exports IPV4) Sécurité
- Prévu en évolution de la version 9 (bêta à ce jour) Sécurité - Exports de nouvelles données - longueur des paquets - TTL… - Passage automatique en mode « sample » lors de pic de charge (DOS).

21 Commandes: configuration
• ip route-cache flow Pour chaque interface • ip flow-export version <version> ex : ip flow-export version 5 • ip flow-export destination <address> <port> ex : ip flow-export destination • ip flow-cache timeout active <minutes> Définit le temps en minutes pendant lequel un flux restera en cache avant expiration. 30 minutes par défaut

22 Commandes: Visualisation
• show ip cache [verbose] flow Affiche les statistiques NetFlow • show ip flow export Affiche les statistiques d’export • clear ip cache flow Vide les statistiques NetFlow • clear ip flow stats Vide les statistiques d’Export

23 Exemple: show ip cache flow

24 Démonstration Jonathan Romain 192.168.0.254 192.168.1.254
Émet le trafic TCP: HTTP (80) FTP (21) Telnet (23) Routeur Cisco 1751 Export NetFlow V5 Collecteur NFC (interface Web) Reçoit les exports NetFlow Reçoit le trafic

25 Conclusion Un outil performant - fiable Une stratégie à concevoir
- évolutif - roadmap claire Une stratégie à concevoir - Utilisation CPU > 15 à 20% pour la v5 et la v9 - 2 à 5% de plus pour la v8 - 64 octets par flux en mémoire

26 Bibliographie Présentation NetFlow, Christophe Fillot
UTC Compiègne (Causerie Renater 8/1/2004) Présentations Cisco (