Cisco NetFlow

Aus Knowledgebase
Zur Navigation springen Zur Suche springen

Netflow Switching ist eine von Cisco vorgesehene Methode, um Offload-Trafficanalysen durchführen zu können. Pro Paket wird ein winziges UDP Päckchen erzeugt, was an interessanten Informationen hauptsächlich diese beinhaltet:

  • Src-IP
  • Src-Port
  • Dst-IP
  • Dst-Port
  • Proto

Weitere Informationen sind enthalten, aber für unsere Betrachtungen im gegebenen Rahmen weniger interessant.

Auf dem Router bzw. Switch wird Netflow auf allen interessanten Interfaces konfiguriert. Dabei wird laut Cisco nur der ausgehende Traffic ein Flow-Päckchen erzeugen. Auf der anderen Seite muß ein Empfänger für diese Flow-Pakete konfiguriert werden. Da die Übertragung via UDP vonstatten geht, ist es sinnvoll, dass dieser Empfänger im lokalen LAN-Segment steht.

Konfiguration Cisco IOS

ip cef
!
interface Ethernet0
 ip route-cache flow
!
ip flow-export destination 217.28.105.2 6128
ip flow-export version 9

Ethernet0 steht hier stellvertretend für jedes ausgehende Interface.

Linux

apt-get install ntop

Danach muss (als root) ntop einmal von Hand aufgerufen werden, dabei wird interaktiv das Adminpasswort erfragt. Nach dem Setzen kann ntop mit Ctrl-C wieder beendet werden.

Über die IP-Adresse der Linuxmaschine kann auf Port 3000 nun die Bedienoberfläche von ntop aufgerufen werden. Im Menü Admin → Configure sollten nun folgende Punkte durchkonfiguriert werden (dazu wird das vorhin gesetzte Passwort für den Benutzer admin abgefragt):

  • Startup Options:
    • Basic Prefs:
      • Enable Session Handling: No (erzeugt extreme Datenmengen und hohe Last auf der Maschine),
      • Enable Protocol Decoders: Yes
      • Local Subnet Address
      • Known Subnet Address
      • Disable Promiscuous Mode: Yes
      • Run as daemon: Yes
    • IP Prefs:
      • Local Domain Name
    • FC Prefs: Wie Basic Prefs

Zusätzlich sollte nicht jeder diese Statistiken von extern abrufen können:

  • Web Users:
    • Add User
  • Protect ULRs:
    • Add URL
      • URL-Feld leer lassen
      • Authorized Users den eben Benutzer auswählen und zusätzlich den Adminbenutzer, dann Add URL durchführen.

Im Menü Plugins → NetFlow → Activate auswählen. In der nun erscheinenden Tabelle in der Spalte Configure den Punkt NetFlow auswählen. Jetzt kann ein neues Gerät angelegt werden (in jeder Tabellenspalte muss nach dem Setzen des Wertes der zugehörige Knopf zum Sichern gedrückt werden!):

  • NetFlow Device: Namen setzen
  • Flow Collection → Local Collector UDP Port: Port ausfüllen.
    • Virtual NetFlow Interface Network Address: Lokales Subnet ausfüllen.
  • Enable Session Handling: No
  • Assume FTP: No

Ab jetzt werden die Daten gesammelt und können ausgewertet werden.

Weblinks

Abgerufen von „https://kb.pocnet.net/index.php?title=Cisco_NetFlow&oldid=1095