Differences between revisions 6 and 8 (spanning 2 versions)
Revision 6 as of 2006-08-23 09:11:07
Size: 297
Editor: akovacs
Comment:
Revision 8 as of 2006-08-23 09:45:26
Size: 2846
Editor: akovacs
Comment:
Deletions are marked like this. Additions are marked like this.
Line 6: Line 6:
A flow alapú hálózati forgalom monitorozás kiemelkedő fontossággal bír nagy kiterjedesű hálózatok üzemeltetésében, hiszen lehetővé teszi, hogy a hálózati forgalmat továbbító aktív eszközökből részletes információt nyerjünk az átmenő forgalmat alkotó folyamokról (flow).

A flow alapú monitorozás általános felhasználási területei:
 * Nagy forgalmat bonyolító számítógépek megtalálása.
 * Hálózati támadások felderítése, jellegük megfigyelése.
 * Hálózati forgalmat generáló vírussal, spyware-el fertőzött számítógépek lokalizálása.

A nagy forgalmat bonyolító számítógépek megtalálása és kiszűrése/korlátozása nagyban csökkentheti intézményünk hálózati forgalmát, amely más, esetenként lényegesebb, szintén hálózaton kommunikáló alkalmazások gyorsulásához vezethet.

A mai hálózati viszonyoknak megfelelően számítógépeink állandó támadásnak ill. vírus/spyware fertőzésnek vannak kitéve. A támadások azonosításában, lokalizálásában ill. a fertőzött számítógépek megtalálásában különösen fontos szerepet játszik a flow alapú hálózati forgalom monitorozás, amelyet ma már jónéhány felsőoktatási ill. akadémiai intézményben sikerrel alkalmaznak a fenti problémák kezelésében. A flow alapú monitorozással a következő gyanús, biztonsági kockázatot valószínűsítő hálózati forgalmak azonosíthatóak gyorsan és egyszerűen:
 * Szokatlan nagyságú ICMP forgalom:
 * TCP SYN flood: Denial of Service (DoS) támadások.
 * Szokatlanul nagy mennyiségű TCP vagy UDP flow: az adott számítógép rendellenes viselkedésére utalhat. Pl. spyware fertőzött (más számítógépeket támad vagy kommunikál saját példányaival, nem kívánt tartalmat forgalmaz, stb.).
 * Egy specifikus TCP/UDP portra menő szokatlan nagyságú forgalom egy számítógépről: általában ez szintén spyware vagy vírus jelenlétét valószínűsíti. Amikor egy-egy ilyen nem kívánt alkalmazást a megfelelő biztonsági csoport azonosít, megjelenik az adott spyware/vírus pontos leírása. Ezekből a leírásokból egyszerűen azonosíthatóak a megfelelő spyware-ek/vírusok ill. a fertőzött számítógép.



Az IETF IPFIX munkacsoportja azért alakult, hogy egy adatmodelt illetve egy kapcsolódó protokollt definiáljon IP flow-ok exportálásához.

A hamarosan megjelenő IPFIX szabvány kötelezőként írja elő az SCTP alapú adatszállítás megvalósítását.

Munkaszakasz 2.3: Flow alapú hálózat monitoring rendszer tesztelése és vizsgálata

Bevezető

A flow alapú hálózati forgalom monitorozás kiemelkedő fontossággal bír nagy kiterjedesű hálózatok üzemeltetésében, hiszen lehetővé teszi, hogy a hálózati forgalmat továbbító aktív eszközökből részletes információt nyerjünk az átmenő forgalmat alkotó folyamokról (flow).

A flow alapú monitorozás általános felhasználási területei:

  • Nagy forgalmat bonyolító számítógépek megtalálása.
  • Hálózati támadások felderítése, jellegük megfigyelése.
  • Hálózati forgalmat generáló vírussal, spyware-el fertőzött számítógépek lokalizálása.

A nagy forgalmat bonyolító számítógépek megtalálása és kiszűrése/korlátozása nagyban csökkentheti intézményünk hálózati forgalmát, amely más, esetenként lényegesebb, szintén hálózaton kommunikáló alkalmazások gyorsulásához vezethet.

A mai hálózati viszonyoknak megfelelően számítógépeink állandó támadásnak ill. vírus/spyware fertőzésnek vannak kitéve. A támadások azonosításában, lokalizálásában ill. a fertőzött számítógépek megtalálásában különösen fontos szerepet játszik a flow alapú hálózati forgalom monitorozás, amelyet ma már jónéhány felsőoktatási ill. akadémiai intézményben sikerrel alkalmaznak a fenti problémák kezelésében. A flow alapú monitorozással a következő gyanús, biztonsági kockázatot valószínűsítő hálózati forgalmak azonosíthatóak gyorsan és egyszerűen:

  • Szokatlan nagyságú ICMP forgalom:
  • TCP SYN flood: Denial of Service (DoS) támadások.
  • Szokatlanul nagy mennyiségű TCP vagy UDP flow: az adott számítógép rendellenes viselkedésére utalhat. Pl. spyware fertőzött (más számítógépeket támad vagy kommunikál saját példányaival, nem kívánt tartalmat forgalmaz, stb.).
  • Egy specifikus TCP/UDP portra menő szokatlan nagyságú forgalom egy számítógépről: általában ez szintén spyware vagy vírus jelenlétét valószínűsíti. Amikor egy-egy ilyen nem kívánt alkalmazást a megfelelő biztonsági csoport azonosít, megjelenik az adott spyware/vírus pontos leírása. Ezekből a leírásokból egyszerűen azonosíthatóak a megfelelő spyware-ek/vírusok ill. a fertőzött számítógép.

Az IETF IPFIX munkacsoportja azért alakult, hogy egy adatmodelt illetve egy kapcsolódó protokollt definiáljon IP flow-ok exportálásához.

A hamarosan megjelenő IPFIX szabvány kötelezőként írja elő az SCTP alapú adatszállítás megvalósítását.

Az SCTP szállítási szintű protokoll

1. [:SCTP tutorial: Magyar nyelvű SCTP leírás] 2. [:SCTP socket: SCTP socket programozás]

Netflowv9 monitorozás

Campus6: Netflowv9Monitoring (last edited 2008-04-10 15:29:33 by localhost)