NetFlow: O Que Acontece Na Sua? Por Lorenzo Busatti - MikroTik
1y ago
26 Views
1 Downloads
3.14 MB
71 Pages
Report/dmca
Download PDF

Transcription

NetFlow:O que acontece na sua?Por Lorenzo Busattiapresentado em português por Guilherme RamiresMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy1

Sobre mimLorenzo Busatti Fundador da Grifonline S.r.l. [ISP] (1997) Fundador da Linkwave [WISP] (2006) MikroTik Trainer (2010) Membro da RIPE, AMS-IX, MIX-ITMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy2

MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy3

Sobre mimMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy4

MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy5

Eu sou um entusiasta do MikroTikMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy6

Eu sou um entusiasta do MikroTikEu sou um evangelistaMikroTikianoMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy7

Sobre mim Fundador da (2016)Uma ONG paraTraining Partners de alta qualidadeMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy8

Dedicado ao MaxMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy9

O tráfego da sua rede MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy10

O tráfego da sua rede É uma das “coisas”mais importantesMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy11

O tráfego da sua rede O que você sabe arespeito?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy12

O tráfego da sua rede Qual o crescimentode tráfego dos seusclientes para oNetflix?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy13

O tráfego da sua rede Qual o maisimportante AS quevocê deveria estabelerconexão?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy14

O tráfego da sua rede Que usuário é ocampeão deconsumo?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy15

O tráfego da sua rede Com algumas poucasferramentas você podedescobrir mais do que vocêimagina MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy16

NetFlow em pilulas É um recurso bem “comum” nos routersColetor de estatísticas de tráfego IPEssas estatísticas serão exportadas para ocoletor do NetFlowElas são chamadas de: flow recordEste formato é baseado em modelos prédefinidos (desde de a Versão 9)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy17

NetFlow no RouterOSSim, suportado!!Chamado: Traffic Flow (NetFlow é uma nomenclatura própria da Cisco .)“Encontrado” no menu: /ip traffic-flowExiste desde o ROS v. 2.9Atualmente suporta as Versões 1, 5, 9Suporta IPFIX desde o ROS 6.36Consulte a wiki para identificar as diferençasentre versões . MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy18

Traffic Flow em açãoSuaWANSuaLANO “Fluxo”NetFlowCollector(e o Analyzer)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy19

Dois IngredientesOs “Fluxos”Um NetFlowCollector(e Analyzer)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy20

Limitações do Traffic Flow Atualmente o RouterOS não suporta leiturade ASNs BGP Estamos na torcida para esta implementaçãonas próximas versões . MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy21

A parte “tecnica”(porém bem rápida .)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy22

Packet transport protocolOs registros são exportados utilizando o protocoloUDPA porta padrão é a: 2055 (pode ser definida pelousuário)O router não mantem os registros já exportadosSe um pacote do NetFlow for descartado, todos osregistros inerentes serão perdidos tambémNão exporta o “conteúdo” do tráfego. Somenteestatísticas.O conteúdo do pacote não é encriptadoMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy23

Estrutura Geral (v9)NetFlow Packet header– Modelo NetFlow Record 1NetFlow Record 2NetFlow Record n NetFlow Record n 1NetFlow Record n 2NetFlow Record n n– ModeloMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy24

O cabeçalho do pacote Versão (v1, v5, v7, v8, v9)Sequence numberTimestampNúmero de registros (v5 ou v8) ou lista demodelos e registros (v9)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy25

O formato modelo (template) ID length Field Count Field 1 Type Field 1 Length Field 2 Type Field 2 Length Field N Type Field N LengthMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy26

(alguns campos) v9IN BYTESOUT BYTESIN PKTSOUT PKTSPROTOCOLSRC TOSTCP FLAGSL4 SRC PORTL4 DST PORTIPV4 SRC ADDRIPV4 DST ADDRDIRECTIONIPV4 NEXT HOPIPV6 SRC ADDRIPV6 DST ADDRICMP TYPEIN SRC MACIN DST MACOUT DST MACOUT SRC MACSRC VLANDST VLANSRC ASDST ASBGP IPV4 NEXT HOPIP PROTOCOL VERSIONMPLS LABEL (1-10)IF NAMEIF DESCFORWARDING STATUS(muitos sub-códigos!!!)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy27

Visão do tráfego ao vivoO cabeçalho do pacoteMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy28

Visão do tráfego ao vivoO modelo(Template)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy29

Visão do tráfego ao vivoUm FluxoMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy30

IPFIXO NetFlow é uma tecnologiaproprietária cisco.IPFIX é um protocolo IETF, umpadrão baseado nas RFC5101 eRFC5102 (baseado no NetFlow v9)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy31

IPFIXRouterOS suporta o IPFIX desde aversão 6.36Quer saber mais sobre o IPFIX?https://en.wikipedia.org/wiki/IP Flow Information ExportMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy32

SumárioO Traffic Flow irá “exportar”quase “tudo” exceto o“conteúdo” efetivo dotráfego.MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy33

Configurando o routerMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy34

IP – Traffic FlowMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy35

IP – Traffic Flow - TargetsMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy36

IP – Traffic Flow - StatusMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy37

IPFIX settingsMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy38

Quanto recurso serárequisitado (banda) ?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy39

Traffic Flow “tráfego”Não existe uma fórmula exatapara calcular o consumo dos“fluxos” exportados, porémirei demonstrar um exemplo”ao vivo”.MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy40

Traffic Flow “tráfego”The router trafficThe sessionsThe “Flows”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy41

O coletor NetFlow(e Analizador)MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy42

O que eu preciso agora? O Coletor irá coletar os fluxos exportadospelo seu router. O Analizador vai tornar os dados legiveise utilizáveis para você. A maioria dos Coletores também sãoAnalizadores.MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy43

Qual escolher? Open source OU Closed source? Windows OU Linux? Em Cloud OU no seu Data center; Pago OU Grátis? .MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy44

ExemplosMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy45

Qual escolher?Eu não representante de vendas denenhuma dessas marcas.Você pode pesquisar na internet e“experimentar” antes de comprar.MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy46

Qual escolher?Nesta apresentação vou demonstrar umexemplo usando o serviço em nuvemprovido pela:(14 dias para teste)http://talaia.ioMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy47

Porém a parte maisimportante é:O que é possível ver?MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy48

Que tráfego?Apenas alguns exemplos:Monitoramento de consumo de BandaAplicações UtilizadasIdentificação de domínios visitadosPrincipais consumidores (usuários edestinos)Tráfego por geo-localização.Detecção de ataques. MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy49

Que tráfego? E desde o RouterOS 6.33 o fastpathMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy50

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy51

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy52

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy53

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy54

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy55

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy56

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy57

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy58

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy59

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy60

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy61

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy62

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy63

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy64

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy65

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy66

Demonstração “ao vivo”Você pode também gerarrelatórios, visualizar eexportar os fluxosarmazenados, etc .MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy67

Demonstração “ao vivo”MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy68

Conclusão Com o Traffic Flow e o NetFlow Analyzervocê pode saber o que acontece na suarede e que tipo de tráfego é trocadoentre seus clientes.Com este previlegiado ponto de vistavocê pode planejar e prever diversas“coisas” para sua rede. MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy69

Conclusão Espero que todos adotem esteprevilegiado “método demonitoramento” o mais breve possível MUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy70

aining@grifonline.itMUM Belzonte 2016 Lorenzo Busatti, http://routing.wireless.academy71

NetFlow: O que acontece na sua? Por Lorenzo Busatti - MUM BR 2016 Belzonte Keywords: NetFlow: O que acontece na sua? Por Lorenzo Busatti - MUM BR 2016 Belzonte Um guia prático de como usar o MikroTik Traffic Flow utilizando o analisador NetFlow: você entrará no obscuro tráfego de toda sua rede Created Date: 12/2/2016 11:56:03 AM

Related Books

Cisco NetFlow Configuration

Cisco NetFlow Configuration

Catalyst 4948E NetFlow-lite - Newegg

Catalyst 4948E NetFlow-lite - Newegg

NetFlow 101 Seminar Series, 2012

NetFlow 101 Seminar Series, 2012

DS 5View Netflow

DS 5View Netflow

Appplication Monitoring Using NetFlow - Cisco

Appplication Monitoring Using NetFlow - Cisco

Configuring NetFlow

Configuring NetFlow

Configuring NetFlow and NetFlow Data Export - Cisco

Configuring NetFlow and NetFlow Data Export - Cisco

Managing Security Incidents in an IPv6 World - TROOPERS

Managing Security Incidents in an IPv6 World - TROOPERS

SolarWinds Technical Reference - Cisco

SolarWinds Technical Reference - Cisco

white paper Cisco NSELv5 - ntop

white paper Cisco NSELv5 - ntop

Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP .

Configuring NetFlow Top Talkers using Cisco IOS CLI Commands or SNMP .

PopularTags

Recent Views