Analiza saobracaja i upravljanje uredajima na osnovu ... · Upotebom NetFlow Analyzer kolektora...

CENTAR INFORMACIONOG SISTEMA UNIVERZITET CRNE GORE

Analiza saobraćaja i

upravljanje uređajima na

osnovu netflow podataka u

AMUCG

Milan Čabak, Vladimir Gazivoda, Božo Krstajić

5/1/2014

Contents Sažetak .......................................................................................................................................................... 2

Uvod .............................................................................................................................................................. 3

1. Analiza mrežnog saobraćaja ................................................................................................................. 4

1.1. Flow tehnologije............................................................................................................................ 4

1.2. NetFlow mrežna analiza ................................................................................................................ 4

2. Konfiguracija FNF eksportera ................................................................................................................ 5

2.1. Konfiguracija FNF zapisa ............................................................................................................... 5

2.2. Definisanje FNF eksportera ........................................................................................................... 6

2.3. Kreiranje flow monitora ................................................................................................................ 6

2.4. Aktiviranje i deaktiviranje flow monitora ..................................................................................... 7

2.5. Prikaz i uklanjanje FNF zapisa sa eksportera ................................................................................. 8

3. Instalacija i konfiguracija FNF kolektora ............................................................................................... 9

4. Primjer upravljanja mrežnim uređajem u AMUCG ............................................................................. 16

4.1. Proces upravljanja ....................................................................................................................... 16

4.1.1. Flow kolektor ...................................................................................................................... 16

4.1.2. NMS/Trap kolektor ............................................................................................................. 18

4.1.3. Mehanizmi upravljanja........................................................................................................ 20

4.1.4. Eksporter ............................................................................................................................. 22

5. Primjena predloženog rešenja upravljanja u AMUCG ........................................................................ 24

6. Zaključak.............................................................................................................................................. 26

Literatura .................................................................................................................................................... 28

Spisak skraćenica ........................................................................................................................................ 29

Sažetak

Dokument opisuje metode monitoringa i upravljanja u računarskim mrežama. Kvalitet i

dostupnost servisa računarske mreže zavisi od uspješnosti monitoring sistema i sistema upravljanja.

Dokument će predstaviti flow kolektor za prikupljanje i analizu podataka o ostvarenom mrežnom

saobraćaju, načine na koji prikuplja, analizira i vrši njihov prikaz, koji se dobijaju od strane eksportera sa

mrežnih uređaja. Dizajnirano i testirano rešenje za analizu mrežnog saobraćaja biće prezentovano i

iskorišćeno za realizaciju sistema upravljanja mrežnim uređajima na osnovu kvalitativne analize mrežnog

saobraćaja.

Nadalje, u dokumentu će biti analizirane neke od osnovnih tehnika upravljanja računarskom mrežom.

Biće predloženo rješenje koje će, na osnovu podataka dobijenih kvalitativnom analizom mrežnog

saobraćaja, slati upozorenja i automatizovati akcije koje će biti pokrenute sa ciljem izmjene

konfiguracije mrežnih uređaja.

Uvod

Složenost današnjih računarskih mreža se ogleda u raznovrsnosti mrežnih tipova, medijuma,

tehnologija, servisa i velikog broja korisnika. Mrežnim administratorima su potrebni automatizovani alati

koji će prikupljati informacije o mrežnim elementima i uspješno upravljati ovim složenim sistemom.

Potreba za alatima koji vrše kvalitativnu analizu mrežnog saobraćaja je sve izraženija kako bi se imao što

bolji uvid u kategoriju saobraćaja koji prolazi kroz mrežne linkove. U današnjim mrežama se ne možemo

osloniti samo na informacije o kvantitetu saobraćaja, tj. zauzetosti linkova. Potrebne su informacije o

tome ko ili šta, kada i kako koristi mrežne resurse. Monitoring mreže je kompleksan i zahtjevan zadatak

od velike važnosti za mrežne administratore.

Monitoring predstavlja prikupljanje i analizu podataka o mrežnom saobraćaju. Na osnovu prikupljanih

podataka se mogu pokrenuti određeni mehanizmi koji će upravljati mrežnim uređajima i sistemom u

cjelini.

1. Analiza mrežnog saobraćaja

U savremenim računarskim mrežama od velike važnosti je posjedovanje alata za analizu

mrežnog saobraćaja. Prikupljanjem podataka sadržanih u flow eksportima, od strane rutera ili svičeva

može se dobiti kvalitativna analiza mrežnog saobraćaja, kao i odgovori o tome ko ili šta, kada i kako

koristi mrežne resurse. Ovo znanje je od važnosti za mrežne administratore u pogledu donošenja

ispravnih odluka koje mogu doprinijeti čitavoj organizaciji. Postoje razne metode, a u dokumentu će biti

predstavljena flow orjentisano softversko rešenje koje koristi distribuirane tehnike prikupljanja

podataka. Za razliku od hadverskih monitoring uređaja, flow orjentisane softverske tehnike imaju

prednosti u pogledu manjih ulaganja, lakoće instalacije i ostvarivanja rezultata u vrlo kratakom

vremenskom periodu.

1.1. Flow tehnologije

Prilikom izbora tehnologije treba voditi računa koje verzije flow tehnologija su podržane od

strane mrežnih uređaja u računarskoj mreži. Implementacija flow orjentisane tehnologije zahtjeva

uređaj koji po svojim specifikacijama ima podržanu flow tehnologiju. Razni proizvođači razvijaju različite

verzije flow tehnologija koje su u stvari varijacije jedne iste tehnologije. Stoga imamo NetFlow

tehnologiju podržanu većinom od strane Cisco uređaja [1], sFlow Allied Telesis i mnogi drugi, JFlow

Juniper, Netstream Huawei, IPFIX Nortel mrežni uređaji.

Odabir flow tehnologije zavisi od raspoloživosti uređaja u mreži i tehnologija. Ove tehnologije se vrlo

malo razlikuju, ali treba voditi računa iz razliga što različiti softveri koji se bave kolektovanjem ovih

podataka podržavaju jednu ili više različitih flow tehnologija. Flow tehnologije različitih proizvođača

međusobno nisu kompatibilne. Ulažu se napori da se uradi standardizacija flow tehnologija.

1.2. NetFlow mrežna analiza

Svaki IP paket, koji se proslijedi od strane mrežnog uređaja (eksportera), se ispituje u cilju

pronalaženja seta IP podataka. Ti podaci su identifikatori IP paketa i određuju da li je paket jedinstven ili

je dio seta paketa koji se prenose mrežom. Zaglavlje IP paket se sastoji od seta 5 do 7 atributa. Atributi

IP paketa koji se koriste od strane NetFlow tehnologije su: izvorišna IP adresa, odredišna IP adresa,

izvorišni port, odredišni port, tip servisa (ToS polje), interfejs mrežnog uređaja.

Flow informacije su veoma korisne za razumjevanje mrežnog ponašanja. Izvorišna adresa omogućuje

razumjevanje ko stvara saobraćaj, destinaciona adresa govori o tome kome je saobraćaj namjenjen, port

ukazuje koja aplikacija vrši komunikaciju, tip servisa određuje prioritet saobraćaja, dok grupisani paketi i

podaci prikazuju količinu ostvarenog saobraćaja. Dodatne informacije koje su uključene u flow su:

vrijeme u cilju razumjevanja trajanja komunikacije i računanja paketa, naredni hop i sabnet maska

izvorišne i odredišne IP adrese za izračunavanje prefiksa.

2. Konfiguracija FNF eksportera

Eksporter je mrežni uređaj sa aktivnim NetFlow servisom. Eksporter nadgleda pakete koji

prolaze kroz uređaj (interfejse koji se nadgledaju) i kreira flow od tih paketa. Prikupljene informacije se

eksportuju u formi flow zapisa do NetFlow kolektora.

Fleksibilni NetFlow (FNF), za razliku od tradicionalnog NetFlow-a (TNF), omogućava prilagođavanje i

fokus na određenim informacijama u mreži. FNF ima više dodatnih

polja, što omogućava organizaciji da nadgleda više specifičnih informacija, tako da ukupan broj

informacija koji se izvozi je smanjen, pritom omogućavajući poboljšanu skalabilnost i agregaciju.

2.1. Konfiguracija FNF zapisa

Fleksibilni NetFlow (FNF) zahtjeva eksplicitnu konfiguraciju flow zapisa sa svim neophodnim i

dodatnim poljima. Sledeći primjeri konfiguracije odnose se na Cisco ASR 1002 mrežne uređaje [2].

Definisanje osnovnih i dodatnih FNF polja se vrši na mrežnom uređaju na sledeći način:

flow record [naziv zapisa]

description [opis zapisa]

match [tip polja] [vrijednost polja]

collect [tip polja] [vrijednost polja]

Primjer 1. Konfiguracija FNF zapisa sa osnovnim i dodatnim poljima:

flow record Record-FNF description Flexible NetFlow match ipv4 tos match ipv4 protocol match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input match flow direction match application name collect routing source as collect routing destination as collect routing next-hop address ipv4 collect ipv4 dscp

collect ipv4 id collect ipv4 source prefix collect ipv4 source mask collect ipv4 destination mask collect transport tcp flags collect interface output collect counter bytes collect counter packets collect timestamp sys-uptime first collect timestamp sys-uptime last

2.2. Definisanje FNF eksportera

NetFlow podaci koji se čuvaju priivremeno na mrežnom uređaju, detaljno se analiziraju pošto se

eksportuju na kolektor. Definisanje FNF eksportera je neophodno ukoliko se podaci eksportuju do

eksternog kolektora. FNF eksporter na mrežnom uređaju se konfiguriše na sledeći način:

flow exporter [naziv eksportera]

description [opis eksportera]

destination [IP adresa NetFlow kolektora]

source [naziv interfejsa]

transport [UDP ili TCP] [broj porta]

export-protocol [naziv protokola]

Primjer 2. Konfiguracija FNF eksportera na mrežnom uređaju:

flow exporter Export-FNF description FNF v9 destination 10.0.1.100 source GigabitEthernet0/0/2 transport udp 9996 export-protocol netflow-v9 option interface-table option application-table

2.3. Kreiranje flow monitora

Flow monitor sadrži predhodno definisani flow zapis i jedan ili više definisanih eksportera, koji

prikupljaju i analiziraju dobijene podatke. FNF monitor na mrežnom uređaju se konfiguriše na sledeći

način:

flow monitor [naziv flow monitora]

description [opis flow monitora]

record [naziv predhodno definisanog zapisa]

exporter [naziv predhodno definisanog eksportera]

cache timeout active 60 [vrijeme eksportovanja “long-lived” zapisa]

Primjer 3. Konfiguracija FNF monitora na mrežnom uređaju:

flow monitor Monitor-FNF description FNF Traffic Analysis record Record-FNF exporter Export-FNF cache timeout active 60

2.4. Aktiviranje i deaktiviranje flow monitora

Poslednji korak konfiguracije je dodjeljivanje flow monitora interfejsima na uređaju čime se

aktivira monitoring saobraćaja i eksport podataka do eksternog kolektora koji je predhodno definisan.

Aktiviranje flow monitora na mrežnom uređaju se izvršava na sledeći način:

interface [naziv interfejsa]

ip flow monitor [naziv flow monitora] input

ip flow monitor [naziv flow monitora] output

Primjer 4. Aktiviranje flow monitora:

interface GigabitEthernet0/0/1 description Gateway Interface ip flow monitor Monitor-FNF input ip flow monitor Monitor-FNF output

Ukoliko je potrebno stopirati eksport podataka sa eksportera i zaustaviti monitoring saobraćaja, neophodno je primjeniti sledeće komande: Primjer 5. Deaktiviranje flow monitora:

interface GigabitEthernet0/0/1 description Gateway Interface no ip flow monitor Monitor-FNF input no ip flow monitor Monitor-FNF output

2.5. Prikaz i uklanjanje FNF zapisa sa eksportera

Na eksporteru moguće je direktno prikazati FNF podatke i izvršiti njihovo brisanje, kao i

uklanjanje prikupljenih statistika. Za direktan prikaz podataka na eskporteru moguće je koristiti i razne

filtere za prikaz traženih informacija.

Primjer 6. Prikaz FNF zapisa na eksporteru:

show flow monitor Monitor-FNF cache

Primjer 7. Uklanjanje FNF podataka sa eksportera:

clear flow exporter Export-FNF statistics clear flow monitor Monitor-FNF cache

3. Instalacija i konfiguracija FNF kolektora

Manageengine NetFlow Analyzer kolektor prikuplja i analizira flow podatke dobijene od

eksportera sa mrežnog uređaja. Prednosti korišćenja NetFlow Analyzer softvera ogledaju se u skalabilnoj

arhitekturi koja podržava veliki broj uređaja, mogućnosti centralizovanog i decentralizovanog rešenja i

većeg broja podržanih flow tehnologija [3]. Ne zahtjeva kompleksne hadverske kolektore, a pritom radi

na Windows i Linux 32 i 64 bit-nim operativnim sistemima i pruža besplatnu analizu saobraćaja do dva

interfejsa na jednom ili dva različita uređaja. Radi se o komercijalnom rešenju što znači da za njegovo

korišćenje treba posjedovati licencu za monitoring više od dva interfejsa (cijena licence zavisi od broja

interfejsa). Kolektor se može testirati 30 dana bez ograničenja, a nakon isteka testnog perioda nastavlja

sa radom uz mogućnost nadgledgledanja do dva interfejsa [4].

Prvi korak implementacije kolektora je odabir hadvera odnosno hosta na kojem će biti izvršena

instalacija operativnog sistema i kolektora. Testiranja su pokazala da NetFlow Analyzer podjednako

dobro radi na Windows i Linux platformama. Odabir hosta zavisi od broja interfejsa koji se nadgledaju.

Veći broj mrežnih uređaja i interfejsa zahtjeva bolju hadversku konfiguraciju. Instalacija na Windows i

Linux operativnim sistemima podjednako je jednostavna. Nakon instaliacije operativnog sistema i

kolektora potrebno je konfigurisati i aktivirati flow monitor na eksporteru sa kojeg pristižu podaci koje

kolektor obrađuje. Detalji konfiguracije su opisani u predhodnom poglavlju ovog dokumenta.

Drugi korak se sastoji od podešavanja parametara na kolektoru. Podešavanje podrazumjeva unos

arhitekture mreže u vidu podmreža (IP Grupe), kako bi kasnije bio omogućen lakši pregled prikupljenih

podataka.

Upotebom NetFlow Analyzer kolektora moguće je dobiti informacije o količini ostvarenog mrežnog

saobraćaja, aplikacijama, izvorišnim i destinacionim adresama koje učestvuju u konverzaciji, kao i detalje

vezane za korišćene protokole, portove i druge karakteristike mrežnog saobraćaja u odabranom

vremenskom periodu, slika 1. i slika 2. Osim ovih informacija moguće je dobiti pregled ostvarenih

konekcija određenog hosta, ostvarenog saobraćaja pojedinačnih IP grupa, interfejsa, prcentualnu

zastupljenost protokola, aplikacija.

Pored statističkih podataka moguće je kreiranje raznih vrsta upozorenja prilikom ostvarivanja zadatih

parametara, što će biti detaljnije opisano u narednom poglavlju dokumenta.

Slika 1. Pregled ostvarenog mrežnog saobraćaja

Prikazom odabrane IP grupe sa slike 1. uočava se host koji je u vremenskom period od sat vremena

ostvario 48% ukupnog saobraćaja ili 481.81 MB podataka. Odabirom IP adrese dobija se spisak hostova

sa kojima host iz mreže komunicira i protokola po kojima se odvija komunikacija.

Slika 2. Pregled ostvarenih konekcija odabranog hosta

Odabirom hosta sa slike 1. i detaljnijim uvidom u komunikaciju na slici 2. se može zaklučiti da host

komunicira sa raznim hostovima na Interentu uglavnom po standardim portovima 80 i 443. Navedeni

primjer pokazuje da se veoma efikasno može ustanoviti ko ili šta, kada i kako koristi mrežne resurse u

kratkom vremenskom periodu.

Kapaciteti računarskih mreža su ograničeni i svako neadekvatno korišćenje resursa može dovesti do

drastičnog pada u performansama. Adekvatnim monitoringom smanjuje se vrijeme koje je potrebno

mrežnim administratorima da ustanove potencijalne izvore problema. Moguće je utvrditi IP adresu

hosta, tip aplikacije, port, protokol, ostvareni saobraćaj u određenom veremenskom intervalu. Flow

tehnologije omogućavaju da sve informacije od interesa vrlo brzo i jednostavno procesuiraju i dobiju u

obliku izvještaja u prilagodljivim formatima bilo da se nadgleda mreža u realnom vremenu ili se vrše

analize iskorišćenosti mrežnih resursa u različitim periodima dana, nedelje ili mjeseca.

NetFlow Analyzer pored opcije kreiranja IP Grupa omogućava kreiranje i grupa sa uređajima ukoliko

postoji više uređaja koji eksportuju flow informacije, obavještajnih profila koji upozoravaju na specifična

dešavanja u mreži koja su od interesa, raznih izvještaja čije se kreiranje zakazuje u određeno doba dana,

nedeljno ili mjesečno, profila koji prikazuju razne informacije i korisničkih naloga [5]. Kreiranje grupa

uređaja, omogućava grupisanje više desetina ili stotina uređaja zavisno od veličine mreže i broja uređaja

koji vrše eksportovanje podataka. Ukoliko se nadgledaju interfejsi sa različitih uređaja kao jedna cjelina

moguće je kreirati grupu interfesja. Kreiranje grupe interfejsa je jako zgodno, jer sa više uređaja je

moguće nadgledati one interfejse koji su od interesa.

Kreiranjem IP Grupa dobija se prikaz za zasebne podmreže koje se posmatraju. IP Grupa se može

dodjeliti određenom administratoru koji je zadužen za jednu ili više podmreža, dok vodeći administrator

može imati uvid u sve IP Grupe i pogled na cjelokupnu mrežu na globalnom nivou.

Slika 3. Kreirane IP Grupe

Podmreže (IP Grupe) su prikazane na slici 3., čiji saobraćaj se nadgleda sa odabranih interfejsa.

Odabirom IP grupe dobija se spisak hostova IP grupe, slika 1. sa ukupnim saobraćajem koji je ostvario

svaki od hostova. Detaljniju statistiku moguće je dobiti izborom IP adrese određenog hosta i čime se

dobija uvid u vrstu saobraćaja koju odabrani host ostvaruje, preko kojih portova i koje aplikacije se

koriste za ostvarivanje komunikacije, slika 2.

NetFlow Analyzer ima veliki broj funkcionalnosti koje administratorima mreže mogu donjeti velike

prednosti i uštedu vremena prilikom otklanjanja anomalija u mreži i pronalaska takozvanih “uskih grla”

koja su kritična za njeno ispravno funkcionisanje.

Slika 4. Interfejsi na uređajima sa kojih se vrši eksport podataka

Prikaz interfejsa na uređajima koji vrše eksport flow podataka dat je na slici 4. Na primjeru sa slike 4.

slanje podataka obavlja se sa dva interfejsa. Može se nadgledati zauzetost interfejsa u datom trenutku,

kao i broj primljenih flow paketa od strane kolektora. Izborom interfejsa može se dobiti uvid u detaljniju

statistiku.

Slika 5. Najzastupljeniji protokoli

Prikaz najčešće korišćenih protokola u mreži za odabrani vremenski period dat je na slici 5. Slika 5.

prikazuje zastupljenost TCP ptotokola od 94%, dok UDP protokol zauzima svega 3% ukupnog saobraćaja.

Slika 6. Najzastupjenije aplikacije

Zastupljenost određenih aplikacija za odabrani vremenski period od sat vremena prikazan je na slici 6.

Od ukupno saobraćaja 67% ili 12.54 GB podataka su ostvarile HTTP aplikacije, dok su aplikacije koje

koriste sigurni HTTPS protokol ostvarile 19%, odnosno 3.56 GB podataka.

Slika 7. Top konverzacije hostova u mreži

Hostovi koji su ostvarili najveće količine saobraćaja u mreži u vremenskom periodu od sat vremena,

prikazani su na slici 7.

Nadalje, postoji mogućnost odabira podataka koji se nadgledaju, kreiranjem odgovarajućih profila i

filtera, slika 8.

Slika 8. Kreiranje profila za prikaz podataka

Kreiranje posebnih profila omogućava praćenje samo onih informacija koje su od značaja [6]. Moguće je

odabrati uređaj sa kojeg se nadgledaju podaci, interfejs, vrstu izvještaja, vremenski period u okviru kojeg

se vrši nadgledanje podataka i kreiranje filtera. Filteri omogućavaju dobijanje detaljnijih prikaza

podataka, izdvajanje i prikaz iz velikog broja informacija, podataka koji su od interesa za nadgledanje.

Može se odabrati prikaz samo određenih aplikacija, izvorišne i odredišne adrese koje ih koriste ili mreže,

kao i prikaz na osnovu protokola koji su uključeni u konfiguraciju, slika 9.

Slika 9. Prikaz podataka uz pomoć filtera

Flow tehnologijom i kolektorom kao što je NetFlow Analyzer moguće je ostvariti punu kontrolu

(monitoring) nad računarkom mrežom.

Uz flow tehnologiju moguće je upotrijebiti druge mogućnosti mrežnih uređaja da ograničavaju protoke

na svojim interfejsima, hostovima ili protokolima, čime se ostvaruje kontrola nad mrežom [7][8]. Detalji

o ovoj metodi i njenoj implementaciji u okviru AMUCG biće prezentovani u narednom poglavlju.

4. Primjer upravljanja mrežnim uređajem u AMUCG

Upravljanje mrežnim uređajima koje ima primjenu u AMUCG biće pokazano na sledećem

primjeru. Upravljanje ima za cilj ograničavanje protoka IP grupa i/ili hostova koji krše pravila o korišćenju

Akademske mreže Univerziteta Crne Gore [9].

Slika 10. Šematski prikaz procesa upravljanja mrežnim uređajem

Šematski prikaz sa slike 10. je ilustracija procesa upravljanja mrežnim uređajem sa ciljem boljeg

razumjevanja elemenata, procedura i koraka uključenih u proces upravljanja, koji će biti predstavljeni u

primjeru.

4.1. Proces upravljanja

Elementi prikazanog sistema uključeni u proces upravljanja su: flow kolektor, NMS/trap

kolektor, mehanizmi upravljanja i eksporter.

4.1.1. Flow kolektor

Flow informacije sa eksportera (rutera) proslijeđuju se do flow kolektora koji prikuplja, analizira i

prikazuje podatke. Na flow kolektoru se definiše alarm, koji na osnovu prekoračenja zadatih parametara

šalje trap poruke do trap kolektora [10].

Nadgledanje protoka i analiza saobraćaja na flow kolektoru

Prikaz protoka informacija za odabranu IP grupu nalazi se na slici 11. Na osnovu prikupljenih

informacija sa uređaja na flow kolektoru se kreira alarm koji će u slučaju ispunjenja zadatih parametara

aktivirati definisanu akciju.

Nadgledanje protoka i analiza saobraćaja

Flow informacije

Automatizovane akcije

Trap poruke

Akcije administratora

Mehanizami upravljanja

Flow kolektor

NMS / Trap kolektor

Program/Skripta

Eksporter

Administrator

Slika 11. Prikaz protoka informacija za odabranu IP grupu

Definisanje akcije upozorenja o prekoračenju praga vrijednosi

Akcija upozorenja o prekoračenju praga vrijednosti može se definisati na osnovu više

parametara koji su već opisani u radu. Za primjer će biti uzeti parametri koji se najčešće biraju prilikom

kreiranja upozorenja o prekoračenju praga vrijednosti.

Slika 12. Definisanje akcije upozorenja o prekoračenju praga vrijednosi

Zadati parametari na koji će biti proslijeđena trap poruka do trap kolektora prikazani su na slici 12.

Prekoračenje praga vijednosti protoka IP grupe od 5 Mbps aktiviraće alarm. Alarm treba da bude

zabilježen tri puta u vremenskom intervalu od 10 minuta kako bi se izbjegla moguća lažno pozitivna

upozorenja. Odabrana akcija je sljanje trap poruke do trap kolektora na definisanoj lokaciji koji osluškuje

na portu 162, slika 12.

Slika 13. Alarm prekoračenja praga vrijednosti

Alarm o prekoračenju zadatih parametara sa primjera, može se vidjeti na slici 13. Prekoračenje protoka

od 5 Mbps, kao što je zadato primjerom, ostvareno je tri puta u periodu od 10 minuta, što je

prouzrokovalo kreiranje alarma i slanje trap poruke do trap kolektora.

4.1.2. NMS/Trap kolektor

Trap kolektor prima trap poruku proslijeđenu od strane flow kolektora i na osnovu analize

primljene trap poruke pokreće predviđene akcije [10]. Akcije mogu biti poluautomatizovane (slanje

email poruke administratoru) i/ili automatizovane (pokretanje definisanog programa i izmjena

konfiguracije na uređaju).

Prijem trap poruke od strane trap kolektora

Izgled interfejsa trap kolektora sa primljenim trap porukama prikazan je na slici 14.

Slika 14. Interfejs trap kolektora sa primljenim trap porukama

Interfejs je dosta jednostavan i sadrži samo osnovna polja i informacije. Port na kojem trap kolektror

osluškuje trap poruke, ukupan broj primljenih trap poruka i trap poruke sa informacijama o pošiljaocu,

tipu poruke i vremenu prijema.

OID promjenljive sadržane u trap poruci

Trap kolektor na osnovu podataka iz MIB baze flow kolektora prevodi i analizira OID informacije

dobijene u vidu trap poruka, slika 15.

Slika 15. Primljena trap poruka

Promjenljive sadržane u trap poruci sadrže vrijednosti iz predhodno definisananog alarma, slika 12.

Slika 16. Trap poruka sa OID vrijednostima

Na slici 16. prikazana je trap poruka sa primjera, ali ovoga puta OID vrijednosti su u svom izvornom

obliku i nisu zamjenjene vrijednostima iz MIB baze. Ovako prikazane OID vrijednosti mnogo je teže

protumačiti i povezati sa odgovarajućom vrijednošću OID promjenljive.

4.1.3. Mehanizmi upravljanja

Nadalje, za primljenu trap poruku na trap kolektoru nepohodno je primjeniti

poluautomatizovanu ili automatizovanu akciju.

Definisanje akcije na trap kolektoru za odabranu trap poruku

Na osnovu trap poruke na trap kolektoru određuje se automatizovana akcija koja uključuje

pokretanje programskog koda ili poluautomatizovana akacija koja će obavjestiti administratora o

određenom alarmu. Poluautomatizovana akcija zahtjeva više vremena koje protekne od momenta slanja

email poruke do primjene akcija koje uključuju izmjenu konfiguracije na uređaju od strane

administratora.

Neophodno je podesiti za koju vrijednost OID promjenljive iz MIB baze će biti pokrenuta predhodno

odabrana akcija. Vrijednost “Watch” polja treba podesiti na “Varbind Value”, kako bi se na osnovu

odabrane promjenljive iz trap poruke pokrenula definisana akacija. Polje “Equals” treba da sadrži OID

promjenljive, vrijednost i znak jednakosti u formatu “<OID promjenljive>:<vrijednost>:[<uslov>]”, slika

17.

Slika 17. Definisanje akcije za primljenu trap poruku

Programski kod automatizovane akcije

Trap kolektori mogu da primaju trap poruke i da pokrenu skriptu ili eksterni program, ali sa trap

kolektorom nije moguće proslijediti set CLI komandi do uređaja. Da bi se uređaju proslijedile komande

potrebno je napisati odgovarajuću skriptu ili program koji će putem SSH komunikacije izvršiti autorizaciju

na uređaju zadati odgovarajući set komandi i zatim raskinuti komunikaciju. Pisanje odgovarajućih

programa, koji bi automatizovali proces odgovora na upozorenja koja se generišu na zadate parametre

na strani flow kolektora, zahtjeva programersko iskustvo i poznavanje različitih programskih jezika.

Takođe pisanje odgovarajućih skripti koje bi se pokretale na osnovu upozorenja, zahtjeva osnovno

poznavanje programskih jezika, kao što je na primjer Visual Basic Script.

Za ostvarivanje komunikacije između menadžer aplikacije i uređaja u primjerima je korišćen program

PUTTY. PUTTY pretstavlja besplatan Telnet i SSH klijent. Uz pomoć PUTTY programa brzo i lako se može

ostvariti komunikaciju sa uređajem i zadati odgovarajuće CLI komande. Pri tome moguće je koristiti SSH

sigurniji vid autorizacije i komunikacije sa uređajem. Problem nastaje kod same automatizacije cijelog

procesa. Potrebno je zadati set komandi koje će se izvršiti na uređaju, bez intervencije administratora.

Za prevazilaženje ovog problema u primjerima će se koristiti Visual Basic Script (VBS) programski jezik.

Visual Basic skripta (Programski kod 1) koju će pokrenuti trap kolektor ima za cilj da pokrene PUTTY

program, ostvari SSH komunikaciju sa uređajem, uspješno ostvari sesiju sa adekvatnim podacima za

pristup i zada set naredbi samom uređaju, nakon čega treba da raskine komunikaciju sa uređajem.

Visual Basic scripta će sadržati nekoliko komandi. Na početku skripte se kreira odgovarajući objekat

(Programski kod 1). Zatim se uspostavlja sesija komandom WshShell.Run u sklopu koje pod znacima

navoda se navodi putanja do PUTTY programa, korisničko ime i lozinka koja se koristi za pristup uređaju

putem SSH konekcije [12]. Posle komande za ostvarivanje sesije poziva se komanda WScript.Sleep 5000

koja će uvesti odgovarajuću pauzu od 5000ms ili 5 sekundi, dok se ne uspostavi sesija sa uređajem i

otpočne zadavanje prvih komandi. WshShell.AppActivate komanda zadaje ime odgovarajućem prozoru

koje se pojavljuje u naslovnoj liniji programa. WshShell.SendKeys komanda zadužena je za slanje CLI

komandi uređaju nakon uspostavljanja sesije. Potvrda odgovarajuće komande se izvršava tako što se u

vitičastim zagradama navodi naziv odgovarajućeg tastera koji treba aktivirati na tastaturi, na primjer

{ENTER}, {ESC}, {DELETE}, ukoliko je potrbno poslati naredbu za SPACE taster tada je potrebno ostaviti

prazan prostor između znakova navoda “ “.

Programski kod 1. je automatizovani program koja će se primjeniti za pristiglu trap poruku sa ciljem

ograničavanja protoka IP grupe primjenom definisanih ACL polisa na uređaju [15][16].

Programski kod 1. Ograničenje propusnog opsega IP grupe na ruteru

Po izvršenju programskog koda 1. IP grupa će biti ograničena na definisani protok, kako dalje

neracionalno iskorišćavanje protoka ne bi uticalo na ostale korisnike akademske mreže.

Uz malo vještine, poznavanja osnova programiranja i CLI komandi IOS-a, moguće je automatizovati veliki

broj akcija koje će se izvršiti automatski bez prisustva administratora, na osnovu poruka upozorenja

dobijenih analizom flow informacija sa mrežnih uređaja, uz pomoć sistema za automatsko upravljanje

mrežnim uređajima, predstavljenog u ovom dokumentu.

4.1.4. Eksporter

Konačno, nezavisno da li se primjenjuju automatizovane akcije ili akcije administratora na

eksporteru, odnosno ruteru, vrši se izmjena konfiguracije u vidu dodavanja novog zapisa u ACL listi

[13][14].

set WshShell = WScript.CreateObject("WScript.Shell") WshShell.Run " C:\ putty.exe 192.168.1.1 -l korisnik -pw lozinka " WScript.Sleep 5000 WshShell.AppActivate "192.168.1.1 - PuTTY" WshShell.SendKeys "enable{ENTER}" WshShell.SendKeys "password{ENTER}" WshShell.SendKeys "configure terminal{ENTER}" WshShell.SendKeys "int GigabitEthernet 0/3{ENTER}" WshShell.SendKeys "access-list rate_limit_3000 extended permit ip x.x.x.2 any{ENTER}" WshShell.SendKeys "access-list rate_limit_3000 extended permit ip any x.x.x.2{ENTER}" WshShell.SendKeys "exit{ENTER}" WshShell.SendKeys "exit{ENTER}"

Slika 18. ACL lista na eksporteru (ruteru)

Primjenom programskog koda 1. navedena IP grupa sa primjera je dodata u ACL listu čime je automatski

ograničen njen protok, slika 18.

Primjenom predloženog primjera navedenoj IP grupi je ograničen protok, ali ne i uskraćen servis. Na ovaj

način je omogućeno racionalnije korišćenje resursa akademske mreže za sve njene korisnike, shodno

pravilima o koriščenju Akademske mreže Univerziteta Crne Gore.

5. Primjena predloženog rešenja upravljanja u AMUCG

Članovi Akademske mreže Univerziteta Crne Gore (AMUCG) su: organizacione jedinice i

unutrašnje organizacione jedinice UCG, naučne, istraživačke i obrazovne institucije Crne Gore,

biblioteke, studentski i učenički domovi i ostale neprofitne institucije koje su u službi akademske

zajednice Crne Gore.

Na osnovu pravila o koriščenju Akademske mreže Univerziteta Crne Gore, pod aktivnostima koje

ugrožavaju funkcionalnost AMUCG i predstavljaju nedozvoljeno korišćenje resursa, smatra se svaka

aktivnost kojom se izaziva neugovoreno ili neopravdano opterećenje resursa AMUCG ili resursa drugih

mreža, kao i povećano angažovanje osoblja na održavanju tih resursa, unutar AMUCG ili korišćenjem

iste.

Trenutni protok akademske mreže prema spoljnim linkovima je maksimalno iskorišćen. Svako

nedozvoljeno korišćenje resursa može prouzrokovati otežano korišćenje servisa AMUCG. Iz pomenutih

razloga neophodno je vršiti konstantan monitoring i uz predhodno upozrenje ograničiti protok mrežama

članicama AMUCG i hostovima koji se ne pridržavaju pravila o koriščenju Akademske mreže Univerziteta

Crne Gore.

Ograničene protoka pokazano na primjeru iz predhodnog poglavlja primjenjuju se u najvećem broju

slučajeva u toku radnih sati kada je protok akademske mreže pod najvećim opterećenjem. Da bi se

izbjegla degradacija mrežnih servisa i moguća zagušenja mrežama i/ili hostovima za koje se utvrdi da

krše pravila o korišćenju resursa akademske mreže se ograničava protok. Primjena ovog pravila je

strožija za vrijeme radnih sati, dok po prestanku radnog vremena neka od ograničenja prestaju da važe

čime mreže i/ili hostovi mogu da koriste protok akademske mreže bez ograničenja. Akademska mreža

Univerziteta Crne Gore zadužena je za pružanje Internet usluga svim njenim članicama, međutim princip

ograničenja protoka razlikuje od Internet servis provajdera koji ograničenja vrše na nivou korisnika.

Ovom metodom ograničenja svaki korisnik od svog Interent servis provajdera dobija zagarantovan

protok koji u većini slučajeva može da koristi neograničeno zavisno od vrste odabranog paketa usluga. U

akademskoj mreži ovakav vid ograničenja nije moguć, iz prostog razloga, jer raspoloživi ptotok nije

moguće izdjeliti do nivoa korisnika (hosta).

Ograničenjima se može postaviti vrijeme trajanja koje će biti aktivno u okviru radnih sati. Takođe, može

se ograničiti pristup samo određenim servisima i/ili serverima. Protok je moguće ograničiti u jednom ili

oba smjera aktivacijom zadatih komandi navedenih u programskim kodovima predstavljnih u ovom

radu. Osim ograničenja u toku radnih sati moguće je, na osnovu uvida u količinu ostvarenog saobraćaja

za određeni mjesec, mreži ili hostu postaviti ograničenje protoka do kraja kalendarskog mjeseca u kome

je ostvarena prekomjerna količina mrežnog saobraćaja prema spoljnim linkovima. Za saobraćaj ostvaren

unutar akademske mreže treba imati više razumjevanja i takav saobraćaj u većini slučajeva ne podliježe

ograničenjima. Međutim, ukoliko se utvrdi da se sprovode radnje koje mogu ugroziti akademsku mrežu,

saobraćaj se blokira na firewall-u uređaja.

Implementacijom opisanog sistema sa podacima dobijenim kvalitativnom analizom mrežnog saobraćaja,

moguće je realizovati jednostavna i složenija upravljanja računarskom mrežom promjenom konfiguracije

mrežnih uređaja.

6. Zaključak

Implementacija opisanog monitoring sistema proizašla je iz potrebe administratora akademske

mreže UCG za kvalitativnom analizom mrežnog saobraćaja. Tradicionalni SNMP monitoring ima najveći

udio u analizi toka mrežnog saobraćaja [17][18]. Glavni nedostatak SNMP monitoringa ogleda se u

nedovoljnom broju informacija koje je moguće prikupiti o ostvarenom protoku sa ciljem rešavanja

problema u mreži. Broj servisa i korisnika se konstantno povećava, shodno tome podaci o ostvarenom

protoku koje se prikupljaju sa interfejsa mrežnih uređaja u najvećem broju slučajeva ne pružaju dovoljno

informacija koje su od značaja za upravljanje mrežom. Jedan od ciljeva ovog dokumenta je analiza i

pronalaženje adekvatnog monitoring rešenja i njihova implementacija u WAN mreži kao što je

Akademska mreža UCG.

Prilikom implementacije monitoring sistema prevazđene su prepreke u vidu kompatibilnosti tehnologija

sa raspoloživim mrežnim uređajima i testiranim softverskim rešenjima. Nakon analize i testiranja više

flow tehnolgija, kao najbolje rešenje za konkretnu mrežu, odabran je eksport podataka sa Cisco ASR

1002 uređaja.

Tokom rada je testirano više flow kolektora od kojih je izabran NetFlow Analyzer, ne samo zbog svoje

funkcionalnosti, već i činjenice da je jedini testirani kolektor koji je na adekvatan način uspio da analizira

i prikaže informacije dobijene od strane odabranog uređaja. NetFlow Analyzer predstavlja odlično

rešenje za analizu toka podataka sa velikim brojem dodatnih funkcionalnosti koje mogu biti od velike

pomoći administratorima za upravljanje mrežom.

U drugom dijelu dokumenta, predložen je i realizovan jednostavan sistem automatskog upravljanja koji,

na osnovu upozorenja dobijenih od strane kolektora za prikupljanje i analizu mrežnog saobraćaja,

pokreće automatizovane akcije za upravljanje mrežnim uređajima pa i mrežom u cjelini. Predloženi

sistem omogućava kombinovani vid upravljanja koji se sastoji od niza automatskih procedura i/ili

direktnog djelovanja administratora.

Prezentovani primjeri automatizovanih procedura pokazuju da se mogu realizovati jednostavna i

složenija upravljanja računarskom mrežom promjenom konfiguracije mrežnih uređaja. Neki od primjera

se svakodnevno srijeću u računarskim mrežama i predstavljaju rutinske procedure koje administratori

realizuju (dinamičko ograničenje protoka interfejsu ili hosta, upravljanje portovima, ..).

Konačno, predloženi sistem upravljanja mrežom, koji koristi flow monitoring sistem, našao je svoju

primjenu u akademskoj mreži UCG i može biti dobra osnova za razvijanje složenijeg sistema. Sistem se

trenutno nalazi u testnoj fazi i primjena automatizovanih procedura se nadgleda od strane

administratora. Kako se računarska mreža, kao sistem, neprestano mijenja tako su neophodne i izmjene,

modifikacije i inovacije programskih kodova koji su osnova sistema upravljanja, a uloga administratora je

nezamjenljiva. Primjena ovog ili sličnih sistema upravljanja računarskom mrežom će podići nivo kvaliteta

servisa.

Budućnost savremenih računarskih mreža ne može se zamisliti bez alata za kvalitativnu analizu

saobraćaja i njihovo korišćenje u svrhe upravljanja. Razvojem računarskih mreža, mrežnih aplikacija i

povećanjem broja korisnika stvara se sve veća potreba za racionalnim korišćenjem resursa. Propusni

opseg računarskih mreža i drugi resursi se permanentno povećavaju, ali nijesu neograničeni i besplatni.

Svako neplansko iskorišćavanje resursa dovodi do problema u radu mreže i njenih servisa, a i ekonomske

gubitke. Usavršavanjem alata za automatsko upravljanje mrežnim uređajima dovešće do razvoja

pametnih mreža koje će smanjiti ili, u nekim segmentima, isključiti potrebu za intervencijom

administratora. Ovi sistemi, na osnovu podataka dobijenih kvalitativnom analizom saobraćaja, mogu

predvideti i otklaniti veliki broj potencijalnih incidenata u računarskoj mreži koji mogu ugroziti njenu

funkcionalnost.

Literatura

[1] Cisco Systems, “Introduction to Cisco IOS NetFlow“, Tehnical Overview, October 2007 [2] Cisco Systems, “Application Monitoring Using NetFlow Deployment Guide “, Cisco Systems, Inc.,

August 2012

[3] Manageengine, “Enterprise Network Traffic Informatics“, CIO’s Hand Guide [4] ManageEngine, “University Campus Network Monitoring using NetFlow Analyzer - A case study“,

ZOHO Corp., USA, 2010 [5] ManageEngine, “Bandwith Monitoring & Traffic Analysis - User Guide“, ZOHO Corp, USA, 2010

[6] ManageEngine, “Healthcare IT Risk Mitigation - A Network - Centric Approch“, White Paper, NetFlow Analyzer

[7] Čabak Milan, Božo Krstajić, “Primjer automatskog upravljanja mrežnim uređajima u AMUCG“, XVII

Naučno-stručni skup Informacione Tehnologije 2012, Crna Gora, Žabljak, Februar 2012 [8] Čabak Milan, Božo Krstajić, “Primjer monitoringa i upravljanja računarskom mrežom primjenom

FLOW tehnologija”, 19. telekomunikacioni forum TELFOR 2011, Srbija, Beograd, Novembar 2011 [9] Centar informacionog sistema UCG, “Pravila o koriščenju Akademske mreže Univerziteta Crne Gore”

[10] TrapReceiver.com , “Trap Receiver User Manual“

[11] Cisco Systems, “Understanding Simple Network Managment Protocol (SNMP) Traps“, Cisco Systems, Inc., October 2006

[12]Cisco Systems, “PIX/ASA 7.x: SSH/Telnet on the Inside and Outside Interface Configuration Example“,

Cisco Systems, Inc., West Tasman Drive, San Jose, USA, October 2008 [13] Cisco Systems, “ PIX/ASA 7.x and Later: Bandwidth Management(Rate Limit) Using QoS Policies“,

Cisco Systems, Inc., West Tasman Drive, San Jose, USA, September 2008 [14] Cisco Systems, “Configuring QoS“, ASDM User Guide, Cisco Systems, Inc., Chpt 26, September 2006 [15] Cisco Systems, “Configuring IP Access Lists“, Cisco Systems, Inc., December 2007

[16] Nancy Navato, “Easy Steps to Cisco Extended Access List“, GSEC Practical Assignment Version 1.2e, SANS Institute, 2001

[17] Cisco Systems, “Simple Network Management Protocol“, Internetworking Technologies Handbook,

Cisco Systems, Inc., Chpt 56, September 2003 [18] Asante Networks, Inc., “Simple Network Managment Protocol - Introduction to SNMP“, April 2005

Spisak skraćenica

ACL Access Control List

AMUCG Akademska Mreža Univerziteta Crne Gore

CLI Command Line Interface

FNF Flexible NetFlow

IP Internet Protocol

MIB Management Information Base

NMS Network Monitoring System

OID Object Identifier

SNMP Simple Network Management Protocol

SSH Secure Shell

TCP Transmission Control Protocol

TNF Traditional NetFlow

ToS Type of Service

UCG Univerzitet Crne Gore

UDP User Datagram Protocol

VBS Visual Basic Script

WAN Wide Area Network

Analiza saobracaja i upravljanje uredajima na osnovu ... · Upotebom NetFlow Analyzer kolektora...

Documents

Transcript of Analiza saobracaja i upravljanje uredajima na osnovu ... · Upotebom NetFlow Analyzer kolektora...