NetFlow: Agenten/Exporter
Wie auf der Seite NetFlow:Grundlagen schon beschrieben, benötigen wir Dienste auf den Netzwerk-Geräten oder dem Host selbst, um die Datenflüsse zu erfassen und an einen Collector zu senden.
Switch und Router
Zuerst sollten Sie prüfen, ob ihr Switch, Router, Firewall, Server überhaupt NetFlow-Daten senden kann. Die meisten besseren Devices können dies aber. Allerdings unterscheidet sich die Konfiguration natürlich je nach Hersteller. Die Funktion ist mittlerweile nämlich ganz und gar nicht mehr der teuren "Enterprise-Klasse" vorenthalten, die ich an meinem Switch gesehen habe:
-
TP-Link T2600G-28TS (TL-SG3424)
Ein 24port GigabitSwitch für unter 150€.
Allerdings gibt es diese Funktion natürlich auch an vielen anderen Switches und Firewalls. Sie müssen nur etwas auf die Suche gehen. Hier ein paar Links
- HP ProCurve Switch 28xx
http://www.plixer.com/blog/general/how-do-i-enable-sflow-on-my-hp-procurve-2800-series-switch/08/sflow-aktivieren/ - Cisco: Configuring NetFlow
Switching
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/15.02SG/configuration/guide/nfswitch.html - Cisco: Configuring
Application Visibility and
Control :NetFlow
http://www.cisco.com/en/US/docs/wireless/controller/7.4/configuration/guides/system_management/config_system_management_chapter_01111.html#task_39132B43E92641C3AB05763E8EF531BC - Bandwidth monitoring with
NetFlow in Palo Alto firewall
http://blogs.manageengine.com/netflowanalyzer/2012/04/19/bandwidth-monitoring-with-netflow-in-palo-alto-firewall.html - A.2. Using the switch CLI to
configure sFlow
http://www.inmon.com/products/sFlowTrend/help/html/appendix.switch-sflow.cli.html
Umfangreiche Liste der Einstellungen verschiedener Switches - Installing and using fprobe
on IPFire
https://sysmike.net/fprobe-on-ipfire/ - Ubiquitit Appliance
https://www.plixer.com/blog/network-monitoring/ubiquiti-netflow-support/ - Sophos: System :
Administration : Netflow
http://docs.sophos.com/nsg/sophos-firewall/v16058/Help/en-us/webhelp/onlinehelp/index.html#page/onlinehelp/NetflowConfiguration.html - NetFlow, IPFIX & sFlow
Configuration Guide
https://www.plixer.com/support/netflow-ipfix-sflow-configuration-guide/
Umfangreiche Anleitung, wie man auf verschiedenen Geräten die Funktion aktiviert um die Daten an
Agenten auf Hosts
Es muss aber nicht immer "Netzwerkgerät" sein. Es gibt entsprechende Agenten auch für verschiedene Betriebssysteme. Damit können Sie auf einem Host z.B.: alle Verbindungen mit diesem Host erfassen. Idel wenn der Switch oder ihr Netzwerkmanagement solche Analysen nicht erlaubt. Interessant aber auch , wenn Sie per Port-Mirroring die Daten eines anderen Servers quantitativ erfassen wollen. Hier nur eine Auswahl:
- sFlow: DNS-SD
http://blog.sflow.com/2010/06/dns-sd.html - host sflow
http://host-sflow.sourceforge.net/ - Installing Host sFlow on a
Windows server
http://blog.sflow.com/2010/10/installing-host-sflow-on-windows-server.html - Configuring host sFlow für Windows
http://host-sflow.sourceforge.net/host-sflow-win-config.php - IPFixify
https://www.plixer.com/products/ipfixify/
Open Source um Daten des Hosts, auf dem es installiert ist per IPFIX zu senden. Primär natürlich an die eigene Software Scrutinizer. Aber auch andere Collectoren sollten gehen. Es schneidet aber nicht Fremdpakete (kein Promiscuous mode) mit. - FlowTraq Exporter: Free
Netflow Exporter Tool
https://www.flowtraq.com/product/flow-exporter/ - nProbe™ v6 An Extensible
NetFlow v5/v9/IPFIX GPL Probe für IPv4/v6
http://www.ntop.org/products/nprobe/
How to Configure Windows nProbe to Send NetFlow https://www.plixer.com/blog/netflow/how-to-configure-windows-nprobe-to-send-netflow/ - ndsad
http://sourceforge.net/projects/ndsad
Schneidet Pakete auf dem LAN mit um sFlow-Daten zu generieren. Ideal für Hosts oder Mirror-Ports. - NetFlow Generators: Enabling
NetFlow Without NetFlow Support
(Part #1)
https://www.plixer.com/blog/cisco-netflow/netflow-generators-and-sensors-p1/ - Installing And Configuring
Windows Netflow Exporters For
Network Analyzer
https://library.nagios.com/library/products/nagios-network-analyzer/documentation/installing-and-configuring-windows-netflow-exporters-for-network-analyzer/
https://assets.nagios.com/downloads/nagios-network-analyzer/docs/Installing_And_Configuring_Windows_Netflow_Exporters_For_Network_Analyzer.pdf - Installing Host sFlow on a
Windows server
http://blog.sflow.com/2010/10/installing-host-sflow-on-windows-server.html
Sehr interessant, wenn ihr Switch keine Daten sammeln kann und Sie auf dem Server selbst die Daten erfassen müssen.
- How to Configure Windows
nProbe to Send NetFlow
http://www.plixer.com/blog/netflow/how-to-configure-windows-nprobe-to-send-netflow/ - nProbe™ v6 An Extensible
NetFlow v5/v9/IPFIX GPL Probe für IPv4/v6
http://www.ntop.org/products/nprobe/ - fprobe
http://sourceforge.net/projects/fprobe
libpcap-basiertes tool zum Sammeln von Netzwerk Verkehr und Versand per NetFLow
Agent auf Windows mit sFlow.net
Als Open Source macht sFlow einen interessanten Eindruck, da es für sehr viele Plattformen verfügbar ist und sich sogar per DNS-SD (über SRV-Records) konfigurieren lässt. Ein deutlicher Hinweis auf die Planung als "Enterprise"-Werkzeug.
- sFlow: DNS-SD
http://blog.sflow.com/2010/06/dns-sd.html - Installing Host sFlow on a
Windows server
http://blog.sflow.com/2010/10/installing-host-sflow-on-windows-server.html - Projektseite auf Sourceforge
http://host-sflow.sourceforge.net
http://sourceforge.net/p/host-sflow/code/413/tree/trunk/src/WindowsXP/hsflowd/hsflowd/INSTALL.WINDOWS
http://sourceforge.net/p/host-sflow/code/413/tree/trunk/src/Windows/hsflowd/INSTALL.WINDOWS
Aber auch ohne diese Einträge können Sie beim Setup schon den "Collector:Port" eingeben:
Die Konfiguration wird in der Registrierung unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hsflowd abgelegt und kann so auch einfach per Gruppenrichtlinie oder Skript angepasst werden.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hsflowd\currentconfig] "samplingRate"=dword:00000100 "pollingInterval"=dword:00000014 "serialNumber"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hsflowd\currentconfig\collectors\collector1] "collector"="sflowserver" "port"=dword:000018c7 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\hsflowd\Parameters] "collector"="sflowserver:6343" "port"=dword:6343 "pollingInterval"=dword:00000014 "samplingRate"=dword:00000100 "DNSSD"="off"
Es handelt sich dabei zwar nicht um "NetFlow" Pakete sondern um sFlow, was nur Stichproben liefert. für die Fehlersuche können sie das Programm HSFLOWD.EXE auch interaktiv mit dem Parameter "-v" starten. Während der Arbeit als Dienst legt es ein Logfile in "%SystemDrive%\ProgramData\Host sFlow Project\Host sFlow Agent\hsflowd.log" an.
Flows in Office 365
Je mehr "VMs" und Dienste in Azure betrieben werden, desto wichtiger wird es auch das Flow-Management auf dieses Systeme auszudehnen. Für virtuelle Maschinen kann ein Administrator mit lokalen Agenten noch die Daten pro System sammeln. Wenn es aber keinen Agenten für einen Dienst gibt, muss das Netzwerk die Daten liefern.
Im Februar 2017 hat Microsoft folgendes dazu veröffentlicht:
- Announcing Azure Network Watcher –
Network Performance Monitoring and
Diagnostics Service for Azure
https://azure.microsoft.com/en-us/blog/announcing-azure-network-watcher-network-performance-monitoring-and-diagnostics-service-for-azure/ - Einführung in die
Datenflussprotokollierung für
Netzwerksicherheitsgruppen
https://docs.microsoft.com/de-de/azure/network-watcher/network-watcher-nsg-flow-logging-overview - Lesen von NSG-Datenflussprotokollen
https://docs.microsoft.com/de-de/azure/network-watcher/network-watcher-read-nsg-flow-logs - Visualisieren von Azure Network Watcher-NSG-Datenflussprotokollen
mit Open-Source-Tools
https://docs.microsoft.com/de-de/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-open-source-tools - Visualisieren der Datenflussprotokolle
von Netzwerksicherheitsgruppen mit Power BI
https://docs.microsoft.com/de-de/azure/network-watcher/network-watcher-visualize-nsg-flow-logs-power-bi - Azure Network Security Group (NSG) Flow
Logs Analysis with the ELK Stack
https://logz.io/blog/azure-nsg-elk/
Der Auto beschreibt, wie NSG FLows in einen Azure BLOB geschrieben und von dort auch wieder durch 3rd Party Produkte zur Auswertung ausgelesen werden können.
Dies ist nur eine Auswahl von Links
Sonderfall Virtualisierung
Ein Switch oder Router kann natürlich nur Pakete erfassen, die durch ihn geroutet werden. Er ist aber blind für Verbindungen die auf dem Host bleiben. Das ist natürlich eine Herausforderung, wenn auf einem Virtualisierungshost (Hyper-V, VMWare, Xen etc.) viele Gäste laufen. Wenn der Host dann selbst kein NetFlow unterstützt, dann muss es ein Agent in dem Gast beisteuern.
- Microsoft Hyper-V
http://blog.sflow.com/2011/09/microsoft-hyper-v.html - How to configure VMware vSphere ESX v5.1
IPFIX Support
https://www.plixer.com/blog/network-monitoring/how-to-configure-vmware-vsphere-esx-v5-1-ipfix-support/
https://www.plixer.com/blog/vmware-ipfix-2/vmware-ipfix-support/
Flow-Simulatoren
Wenn Sie erst mal mit NetFlow testen wollen, dann gibt es von Paessler ein Tool, welches NetFlow Daten simuliert.
- Paessler NetFlow Generator Simulates
Artificial NetFlow Data Streams for Testing
Purposes
https://www.paessler.com/tools/netflowgenerator