NetFlow Basics

Warum sollte sich ein Windows, Exchange oder Skype for Business Admin überhaupt mit NetFLow und ähnlichen Dingen umschlagen?  Er muss es ja nicht einsetzen aber sollte wissen, was heute möglich ist und wie er davon profitieren kann. Die Begriffe NetFlow, sFlow,. IPFix werden hier und den folgenden Seiten gleichwertig verwendet. Alle drei Protokolle arbeiten gleichartig aber unterscheiden sich in der Struktur der Daten. Wie so oft entwickeln mehrere Hersteller zur gleichen Zeit an den gleichen Lösungen ohne sich abzustimmen.

Argumentation für NetFlow

Die Überwachung von Routern und Switches per SNMP liefert schöne Bilder zur Auslastung aber erlaubt keinen Rückschluss auf die Dienste und Endpunkte. Das geht nur, wenn Sie die Pakete auf der Leitung mitschneiden, wie dies z.B. NTOP oder eben auch PRTG kann. Modernere Switche und Router können das aber auch und senden die statistischen Daten dann direkt an ein System zur Auswertung. So ersparen Sie sich zusätzliche dezentrale Systeme. Das hierzu verwendete Protokoll heißt NetFlow oder auch sFlow oder IPFix.

Technisch besteht es aus einem Service "draußen", der die Pakete erfasst und die "Flows" ermittelt. Diese Information über die Flows, also nicht die Inhalte der Daten selbst, werden dann zyklisch an einen Collector gesendet. Allerdings lassen sich natürlich schon anhand der Kombination aus Source-IP, Source-Port, Destination-IP, Destination-Port umfangreiche Rückschlüsse auf die Nutzung ziehen. So können Sie.

  • Volumen ermitteln
    Das ist z.B.: für die Bandbreitenabschätzung vor einer Verlagerung von Diensten in die Cloud sehr hilfreich
  • Clients ermitteln, die einen Server nutzen
    z.B. um bei einer Exchange Migration alle Systeme zu ermitteln, die noch mit dem alten Server kommunizieren
  • Fehlkonfigurationen erkennen
    z.B. wenn Server bestimmte Ziele erreichen wollen aber nicht erreichen können. Das zeigt sich dann in Flows mit ganz wenig Datenrate
  • Missbrauch erkennen
    z.B. Sie können z.B.: einfach Verbindungen auf "verdächtige" Ports oder IP-Adressen. Wenn Sie intern nur Outlook und Exchange nutzen, dann ist ein Zugriff per POP3/IMAP4 nicht erforderlich. Vielleicht gibt es wenige Server (ERP, CRM) die diese Protokolle nutzen aber alles andere ist vielleicht nicht erwünscht.

NetFlow ist also mitnichten nur ein Werkzeug für die "Netzwerker" sondern durchaus auch für Server-Betreiber aber auch Sicherheitspersonal interessant.

Praktischer Einsatz für Exchange und Lync Administratoren

Ehe ich gleich die prinzipielle Funktionsweise erkläre und auf den Folgeseiten weiter ins Details gehe, möchte ich speziell die Exchange Administratoren etwas anfüttern. Als Exchange Administrator haben Sie meist kaum Kontakt mit dem Netzwerk und beobachten vielleicht den ein oder anderen Performance Counter ihres Servers und natürlich, dass die Clients auf ihre Mails zugreifen können und die Mails übertragen werden. Aus den "Verbindungsdaten" erhalten Sie aber durchaus weitere Informationen. Wie wäre folgendes:

  • POP3/IMAP4-Client
    Sie könnten aus alle Verbindungen filtern, die per POP3/IMAP4 eine Verbindung versuchen oder denen es gelingt. Natürlich gibt es in jedem Netzwerk eine eingeschränkte legitime Nutzung von z.B.: POP3 (Helpdesk, CRM etc.). Aber die meisten meiner Kunden erlauben keinen Zugriff für die normalen Anwender und so ist dieser "Verwendung" durchaus eine Überwachung wert
  • Zugriff auf alte Server
    Ein beliebtes Szenario ist die Frage: "Kann der Weg oder nutzt den noch jemand". Bei Servern ist die Frage mit NetFlow dann recht einfach zu beantworten. Man schaut sich an, welche IP-Adressen noch mit welchen Ports auf dem Server kommunizieren. So lässt sich schnell erkennen, welche Systeme noch nicht umgestellt sind.
  • Cloud Migration und Bandbreitenabschätzung
    Stellen Sie sich vor ihre Exchange Postfächer sollen in eine Cloud verlagert werden und Sie müssen eine Abschätzung bezüglich der erforderlichen Bandbreite abgeben. Was liegt hier näher als einfach die Datenströme auf ihren lokalen Exchange Server zu analysieren, die heute die Anwender schon erzeugen. Beim Zugriff in die Cloud wird zumindest Anfangs die vergleichbare Bandbreite in die Cloud anstehen.
  • "Super aktive Client"
    Die Analyse von Flüssen kann natürlich auch auf eine Client-IP fokussiert werden. Sie müssen natürlich aufpassen denn auch wenn man nur IP-Adressen und Port sieht und bei Nutzung von Mailserver und Proxy-Server keine Rückschlüsse auf angesurfte Hosts und URLs oder Mailempfänger machen kann, so sind die Daten aussagekräftig genug eventuell um einem besonderen Schutz zu unterliegen. Aber allein über die Menge pro Client kann eine Software "übliche Arbeitsmuster" erkennen und Abweichungen (z.B. Abzug großer Datenmengen, Portscan auf Subnetze etc.) erkennen und alarmieren. Auch für den Exchange Administrator ist dieses Wissen hilfreich um z.B. einen Neuaufbau einer OST-Datei zu erkennen.
  • Mehr Details als SNMP
    Gerade im WAN messen viele Administratoren einfach nur die Bandbreitenauslastung ohne zu wissen, welche Daten letztlich übertragen werden. Mit NetFlow könne Sie diese "Lücke" schließen, indem Sie die Verbindungen nach den Adressen/Ports gruppieren und so sehr genau die Auslastung von Teilstecken im Blick haben.
  • RTP-Auswertungen
    Sie können per NetFlow nicht die "Qualität" der Verbindung ermitteln. Das geht dann eher über die SNMP-Werte zu "Dropped Packets" oder ein echtes VoIP-Monitoring. Aber Sie können schon sehen, welche Bandbreite welcher Dienst belegt. Sie sollten mit aktivierter QoS-Kennzeichnung und Priorisierung überprüfen können, dass ein Dienst nicht mehr Bandbreite belegt, als ihm zugewiesen wurde. Sie können aber im Umkehrschluss auch ermitteln, wie intensiv ein Dienst eine Leistung nutzt. Das ist gerade bei Audio und Video ganz interessant.

Für Exchange sind viele Auswertungen natürlich noch aussagekräftiger, wenn Sie für jeden Dienst einen eigenen Name und eine eigene IP-Adresse verwenden. Dann können Sie auch noch die Dienste unterscheiden, die sich sonst alle im HTTP-Strom verbergen.

Prinzipielle Funktionsweise

Wenn Daten zwischen zwei Endpunkten übertragen werden, dann müssen Sie aktiv weiter geleitet werden. Das geht über:

  1. Switches (Layer-2)
  2. Router (Layer-3)
  3. Firewalls (Layer 3+)

All dieses Systeme "sehen" die Pakete und auch wenn Sie nicht immer in die Daten schauen können, So erkennen Sie MAC-Adressen und in den meisten Fällen auch IP-Adressen. Selbst ein billiger 24-Port Gigabit-Switch (z.B. TP-Link T2600G-28TS (TL-SG3424)) für 150€ kann diese Verkehrsbeziehungen melden.

Es gibt aber auch Agenten, die direkt auf dem Endgeräte installiert werden können und ebenfalls diese Daten sammeln und an einen "Collector" berichten. Dieser sammelt diese Meldung ein uns erlaubt eine mehr oder minder umfangreiche Auswertung. Zuletzt können Sie natürlich auch noch "Monitoring Probes" installieren, denen Sie per Port Mirroring die Daten einer Verbindung zur Analyse zukommen lassen.

Weitere Links