[ALex_hha]

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

[dignity]

port mirror + snort

я бы советовал затянуть выполнение работы + посчитать затраты времени, может расхочет))

в реальности отчетов прокси достаточно.

Edited December 3, 2012 by dignity

[ALex_hha]

port mirror + snort

> snort

насколько помню это IDS. Это не совсем то, что мне нужно

 

> port mirror

на данный момент есть 6 свитчей по 48 портов, по LACP двумя гигабитными портами идут в гигабитный свитч (назовем его условно ядро). Если я буду делать port mirror это ж какое железо надо будет ставить на другой стороне, чтобы оно скушало весь трафик?

 

> реальности отчетов прокси достаточно.

ошибаетесь, прокси, если имеется ввиду squid это лишь http трафик. А меня интересует весь! Да и использовать внутри локалки прокси как то не очень

Edited December 3, 2012 by ALex_hha

[[S]]

Дак оно не только IDS. То есть, оно IDS, конечно, но крутить можно по-всякому.

 

Вопрос в объеме такого анализа: вы 6 свичей в "ядре" слить не планируете, но планируете хранить огромные объемы данных обращений пользователя А к пользователю В.

 

И что конкретно хочется видеть? Как Вася Пете слил 20Гб музыки и 400 Гб фильмов?

Edited December 3, 2012 by [S]

[ALex_hha]

И что конкретно хочется видеть?

кокретный пример - "на компьютере А был установлен VNC/MySQL/FireBird". Хочу знать кто с 13 до 14 обращался на эти порты. Т.е. надо фиксировать даже единичный случай, что с sflow как я понял не получится

 

Дак оно не только IDS. То есть, оно IDS, конечно, но крутить можно по-всякому.

да и толку от него или вы предлагаете ставить его на все клиентские машины?

[dignity]

Я бы посоветовал Вам для начала перестроить сеть на маршрутизируемую с ядром сети. Поставить в ядре port-mirror на тазик с линуксом, настроить netflow и хранить его, анализу подлежит любому.

[Skylaer]

Каждый порт во влан, все вланы через транк в Л3 свич, на нем миррор порта.

Дальше Тазик и сбор нетфлоу.

если трафика много - 2-3 линка в Л3 свич, 2-3 миррора.

[ALex_hha]

Я бы посоветовал Вам для начала перестроить сеть на маршрутизируемую с ядром сети.

сейчас L3 выполняет linux, который так же по LACP подключен к гигабитному свитчу

 

Поставить в ядре port-mirror на тазик с линуксом, настроить netflow и хранить его, анализу подлежит любому.

тут вопрос:

 

1. если на т.н. ядро заходят 6 агрегатов по 2 Гб, как это ядро пропустит их на linux?

2. netflow вроде только у цсики есть, нее?

 

Каждый порт во влан, все вланы через транк в Л3 свич, на нем миррор порта.

Дальше Тазик и сбор нетфлоу.

если трафика много - 2-3 линка в Л3 свич, 2-3 миррора.

на 350 портов замучаюсь вланы поднимать, слишком уж сурово :)

[dignity]

или так, или netflow только на каждом настроить, если cisco. SFLOW вам не даст 100% результата)

 

я думаю, что perl мог бы спасти отца русской демократии..

[ALex_hha]

или так, или netflow только на каждом настроить, если cisco.

hp и dlink

 

SFLOW вам не даст 100% результата)

а разве netflow зарегестрирует даже единственную попытку конекта? Кстати какие модели у cisco поддерживают netflow? Имеется ввиду L2

 

я думаю, что perl мог бы спасти отца русской демократии..

не совсем понял вашу мысль :)

[BiWiS]

Вам предлагают:

1 весь трафик вести через роутер, т.е. каждая машина в своем влане (что там у вас стоит, L3 свитч или на никсах машина)

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

3 отмиррорить трафик на этот отдельный линукс и там его анализировать

Тогда вы будете видеть вообще весь трафик между пользователями.

[danilbal]

Чудовищно.

Может начальству надо аудит доступа к файлом просто, которой средствами ОС ведется?

[SergeiK]

И что конкретно хочется видеть?

кокретный пример - "на компьютере А был установлен VNC/MySQL/FireBird". Хочу знать кто с 13 до 14 обращался на эти порты. Т.е. надо фиксировать даже единичный случай, что с sflow как я понял не получится

Вот в такой ситуации работает только зеркалирование всего трафика и его дальнейший анализ по выбору.

Даже NetFlow вам на свитчах, тех что умеют, не даст полной информации. На свитчах он урезан возможностями чипа, а роутер для свитчинга в LAN - это слишком сурово.

 

Если вы хотите смотреть не каждый с каждым, а только определенные хосты - можно поставить Firewall/IDS/IPS, в том числе и в прозрачном L2 режиме, который будет не только собирать, но и управлять трафиком на защищаемые хосты.

[ALex_hha]

Чудовищно.

Может начальству надо аудит доступа к файлом просто, которой средствами ОС ведется?

нет конечно, это слишком просто и реализуется средствами самбы ;)

 

1 весь трафик вести через роутер, т.е. каждая машина в своем влане (что там у вас стоит, L3 свитч или на никсах машина)

2 на линуксе поднять netflowd (том же самом, что роутер или отдельном)

3 отмиррорить трафик на этот отдельный линукс и там его анализировать

Тогда вы будете видеть вообще весь трафик между пользователями.

Идею я понял, но если каждого из 350 пользователей пихать в отдельный vlan, то это будет просто писец :) Да и вопрос, какой же должен быть линк с linux машиной, на которой будет запущен netflowd для сбора трафика с 350 машин? 10G что ли?

[dignity]

обычно на такое количество абонентов достаточно 2x1G (ну может 4x1G) в ядро, если у вас там не супервычисления)

а VLAN на абонента - нормальная ситуация, никаких сложностей нет... у многих провайдеров так все и работает... да... и /31 на абонента ip unnumbered то есть)

Edited December 4, 2012 by dignity

[ALex_hha]

Да, но тогда мы нарушаем золтое правило 80/20. 80% трафика должно быть локальным (т.е. не маршрутизироваться) и лишь 20% выходить на L3 (маршрутизироваться). А у нас получится 100% трафика L3

[dignity]

а кто сказал что для "ВАШИХ УСЛОВИЙ" это правило "золотое"?

 

не, ну Вы интересный, поставьте у каждого юзера FW+AV+NetFlow/другой инструмент анализа трафика и сделайте централизованную настройку и забудьте о проблеме.

Edited December 4, 2012 by dignity

[casperrr]

Собственно столкнулся с проблемой. Начальство хочет в любой момент времени знать - кто, куда и зачем ходил, даже внутри локальной сети. Можно ли такое организовать? Псомотрел в сторону sflow, но по ходу он не обеспечит такой детальной статистики

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

[ALex_hha]

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

[h1vs2]

В локальной сети - можно по разному понять. Вообще любой локальный трафик, в том числе в пределах сегмента (если это не влан на юзера)? Или трафик до каких-то сервисов в локальной сети?

на данный момент у меня vlan не per user, а per department :)

 

Или трафик до каких-то сервисов в локальной сети?

интересует трафик как до сервисов, хотя в малой степени ибо почти все они на linux, а там есть iptables + -j LOG. А так же трафик между вланами и в пределах одного влана.

 

Между вланами тут проблем нет, так как трафик все равно будет проходить через linux, а вот в пределах одного влана (подсети) уже не все так просто.

 

Делайте private-vlan/traffic_segmentation, на линупсах поднимайте local proxy arp и в путь, если Вас не будет смущать, что весь трафик будет бегать через эти самые линупсы.

[[S]]

да и толку от него или вы предлагаете ставить его на все клиентские машины?

 

Вам уже предложили: весь трафик поднимается до ядра (либо до аггрегатора, где есть netflow-сенсор), сваливается на netflow-сенсор и анализатору сливается для последующего изврата.

 

да и толку от него или вы предлагаете ставить его на все клиентские машины?

Snort можно настроить на параноидальную чувствительность и весь трафик, завернуть на него (см. выше), и дальше использовать надстройку, типа, BASE, смотреть что надо.

 

Я так понимаю у вас не физики, а некая корпоративная сеть, ибо, для физиков я не понимаю такого изврата :)

[ALex_hha]

А netflow гарантирует мне даже единичный конект?

[[S]]

tcpdump гарантирует. Смотрите RFC по netflow.

[ALex_hha]

Смотрите RFC по netflow.

для моей задачи версия netflow критична 5/7/9?

[[S]]

Лучше 9, она по-дефолту и более детализирована.