• Netflowv9Monitoring

Munkaszakasz 2.3: Flow alapú hálózat monitoring rendszer tesztelése és vizsgálata

Bevezető

A flow alapú hálózati forgalom monitorozás kiemelkedő fontossággal bír nagy kiterjedesű hálózatok üzemeltetésében, hiszen lehetővé teszi, hogy a hálózati forgalmat továbbító aktív eszközökből részletes információt nyerjünk az átmenő forgalmat alkotó folyamokról (flow).

A flow alapú monitorozás általános felhasználási területei:

• Nagy forgalmat bonyolító számítógépek megtalálása.
• Hálózati támadások felderítése, jellegük megfigyelése.
• Hálózati forgalmat generáló vírussal, spyware-el fertőzött számítógépek lokalizálása.

A nagy forgalmat bonyolító számítógépek megtalálása és kiszűrése/korlátozása nagyban csökkentheti intézményünk hálózati forgalmát, amely más, esetenként lényegesebb, szintén hálózaton kommunikáló alkalmazások gyorsulásához vezethet.

A mai hálózati viszonyoknak megfelelően számítógépeink állandó támadásnak ill. vírus/spyware fertőzésnek vannak kitéve. A támadások azonosításában, lokalizálásában ill. a fertőzött számítógépek megtalálásában különösen fontos szerepet játszik a flow alapú hálózati forgalom monitorozás, amelyet ma már jónéhány felsőoktatási ill. akadémiai intézményben sikerrel alkalmaznak a fenti problémák kezelésében. A flow alapú monitorozással a következő gyanús, biztonsági kockázatot valószínűsítő hálózati forgalmak azonosíthatóak gyorsan és egyszerűen:

• Szokatlan nagyságú ICMP forgalom: támadásra utal.

• TCP SYN flood: Denial of Service (DoS) támadások a megtámadott számítógép/kiszolgáló erőforrásainak lekötéséhez.

• Szokatlanul nagy mennyiségű TCP vagy UDP flow: az adott számítógép rendellenes viselkedésére utalhat. Pl. spyware fertőzött (más számítógépeket támad vagy kommunikál saját példányaival, nem kívánt tartalmat forgalmaz, stb.).

• Egy specifikus TCP/UDP portra menő szokatlan nagyságú forgalom egyetlen számítógépről: általában ez szintén spyware vagy vírus jelenlétét valószínűsíti. Amikor egy-egy ilyen nem kívánt alkalmazást a megfelelő biztonsági csoport azonosít, megjelenik az adott spyware/vírus pontos leírása. Ezekből a leírásokból egyszerűen azonosíthatóak a megfelelő spyware-ek/vírusok ill. a fertőzött számítógép.

Az IETF IPFIX munkacsoportja azért alakult, hogy egy adatmodelt illetve egy kapcsolódó protokollt definiáljon IP flow-ok exportálásához.

A hamarosan megjelenő IPFIX szabvány kötelezőként írja elő az SCTP alapú adatszállítás megvalósítását.

Az SCTP szállítási szintű protokoll

1. [:SCTP tutorial: Magyar nyelvű SCTP leírás] 2. [:SCTP socket: SCTP socket programozás]

Netflowv9 monitorozás