Transcription
FlowMon- Mémoire techniqueVersion 1.5
Table des matièresVersions. 4Préambule . 42.1.Orsenna . 42.2.Notre métier, vous accompagnez sur vos projets de supervision. 42.2.1.Missions d’analyse du marché . 42.2.2.Benchmarks . 42.2.3.Mise en œuvre . 42.3.Partenaires Editeurs . 52.4.Open Source . 6Présentation Invea Flow Mon . 7Technologies et Outils . 84.1.Introduction . 84.2.Composants compatibles Netflow/Sflow . 84.3.Capture – Invea Flow Mon Probe . 8Collecteur – Flow Mon Collector. 135.1.Outil de reporting . 16FlowMon - Plugins . 216.1.1.FlowMon ADS . 226.1.2.FlowMon APM . 246.1.3.FlowMon Traffic Recorder. 256.1.4.FlowMon DDoS Defender. 26Mise en œuvre Projet . 277.1.Présentation de la démarche méthodologique pour la réalisation de la prestation . 277.2.Phase 1 : Initialisation du projet . 277.2.1.Description . 277.2.2.Points d’entrée . 277.3.Phase 2 : Spécifications . 287.3.1.Description . 287.3.2.Points d’entrée . 287.3.3.Fournitures et revues . 287.4.Phase 3: Maquette . 297.4.1.Description . 297.4.2.Points d’entrée . 292Orsenna – Mémoire technique supervision - FlowMon – version 1.5
7.4.3.7.5.Fournitures et revues . 29Phase 4 : Mise en oeuvre. 297.5.1.Description . 297.5.2.Points d’entrée . 307.5.3.Fournitures et revues . 307.6.Phase 5 : Recette et Pré-production. 307.6.1.Description . 307.6.2.Points d’entrée . 307.6.3.Fournitures et revues . 307.7.Livrables et documentation . 31Tableau de charge de travail globale . 32Prestations complémentaires . 3319.1.Maintenance Orsenna . 339.2.Assistance, expertise et formation . 33Exemples de projet et budget . 34Projet 1 –environnement Basic . 34Projet 2 – environnement classique . 35Conclusion . 363Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Versions1.0 : Version initialePréambuleOrsennaOrsenna est présent depuis 2000 sur le marché de la supervision avec plus de 500 installations d’outils desupervision et réalise actuellement une cinquantaine d’installation annuellement.Orsenna intervient à toutes les étapes de vos projets de supervision :- Analyse des besoins- Consultation des éditeurs- Mise en œuvre des solutionsNotre métier, vous accompagnez sur vos projets de supervisionSpécialiste des projets de supervision réseau, Orsenna apporte son expertise aux différents stades de vos projets.Missions d’analyse du marchéOrsenna est missionné régulièrement par les éditeurs ou les intégrateurs afin de réaliser :- Etude technique comparative des outils de supervisions (Ex: Ipswitch, SolarWinds, PRTG, NagiosXI)- Animation de séminaire de présentation d’outils de supervisions (Ex : IPVista, Ipswitch, SolarWinds, GroundWork)BenchmarksNous réalisons régulièrement une validation des produits du marché sur notre plate-forme de tests soit au titre de laveille technologique soit pour des besoins ponctuels de clients.Notre plate-forme est constituée par des environnements variés au niveau des équipements et des plates-formesapplicatives. Nous disposons aussi de plusieurs simulateurs d’objets réseaux afin d’évaluer les performances desoutils pour des configurations comportant plusieurs milliers d’équipements.Mise en œuvreA ce titre Orsenna intervient sur les projets de supervision auprès de grands comptes dans différents secteursd’activité tels :TransportCOFIROUTE, SERVAIR, APPR, ASFBanques, Assurances FIDEURAM BANK ; BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse des Dépôts, SociétéGénéraleDistributionBRICORAMA; RELAY, NICOLAS, AELIA, HISTOIRE D’OR, LANVIN, MAC DONALDS, MIDASIndustriesSCHLUMBERGER; ALCAN, ARCELOR, DANONE, EADS, IMAJE, STRYKERAdministrationADEME, OPERA DE PARIS, MINISTERE DEFENSE4Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Ecoles, UniversitésENSAE, ENSTA,Mairies, ConseilVille TROYES, CG16, CR PACAOpérateurCORIOLIS, B3GNous travaillons aussi en sous-traitance pour les intégrateurs du marché (EADS, TELINDUS, ALCATEL, DCI).Sur les projets internationaux nous travaillons auprès des grands comptes comme :CHEVRON (USA, NGA), Systemec BV (NL), PSS ( CH), AHCUL ( UGA), Maroc Telecom ( MA) , Ambatovy ( MG),Gladestone ( NGA).Partenaires EditeursOrsenna s’appuie sur les produits du marché en intégrant les solutions adaptées à votre environnement avec 4éditeurs de logiciels de supervision réseau :Editeur de WhatsUpEditeur d’Orion et Kiwi SyslogEditeur de PRTGEditeur de ServiceNavAinsi que 4 Constructeurs/Editeurs principaux sur les environnements d’analyse réseau :Constructeur Gigastor, Editeur ObserverEditeur de SkyLight PVX (anciennementPerformance Vision)Editeur de Flow Mon (Appliance Netflow, Sflow,Jflow))Editeur de Scrutinizer (Logiciel Netflow, Sflow,Jflow)En complément Orsenna s’appuie sur des outils du marché pour enrichir les fonctionnalités des consoles desupervision ou des audits réseaux et applicatifs:Editeur de composants SNMP5Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Editeur de Kiwi SyslogOpen SourceOrsenna s’appuie sur différents environnements open Source du marché afin de compléter les possibilitésd’intégration :Open Source de référence pour lasupervisionAgents Open Source pour la gestion desjournaux6Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Présentation Invea Flow MonFlowMon est une solution complète pour la surveillance réseau basée sur les flux IP.Cette solution basée sur la technologie Net Flow fournit un aperçu complet du trafic réseau. Le Flow Mon fournit desinformations détaillées concernant l’ensemble des communications qui ont lieu sur le réseau contrairement à latechnologie SNMP qui ne fournit que le nombre total d'octets et de paquets transférés.Flow Mon permet également de fournir des informations concernant : Qui communique avec qui.Quand.Pendant combien de temps.A quelle fréquence.En utilisant tel protocole ou tel serviceAinsi que le trafic utilisé (Mbps / Paquets / Flux).Le déploiement de la solution Flow Mon permet de : Améliorer la sécurité du réseau.Surveiller les services ainsi que les activités des utilisateurs.Surveiller en temps réel le trafic réseau.Stocker à long terme pour permettre de réaliser des rapports concernant le trafic réseau.La détection des attaques internes et externes.Surveiller de façon efficace les incidents sur le réseau.Surveiller l’utilisation de la bande passante Internet.La solution Flow Mon est parfaitement évolutive et offre une architecture flexible qui comprend dessondes intelligentes pour l'exportation des données NetFlow ainsi que des collecteurs pour le stockage et lavisualisation des données NetFlow.Figure 1 - Architecture Flow Mon7Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Technologies et OutilsIntroductionCertains équipements sont à même d’émettre des données statistiques sur les flux les traversant.Les technologies varient en fonction des constructeurs : Netflow, Sflow, Jflow, IPFIX.Les outils permettant de collecter ces données sont des collecteurs de type Netflow (dans ce cas on sous-entendhabituellement les autres protocoles).Composants compatibles Netflow/SflowEn annexe 1 une liste de compatibilité des équipements est décrite. Globalement les routeurs des constructeursmajeurs supportent ces fonctionnalités ainsi que les switches du cœur du réseau. Les switches de distribution engénéral ne disposent pas de ces fonctionnalités.Récemment, plusieurs constructeurs d’Appliances en coupure de trafic (firewall, Optimisation de trafic,.) intègrentle support du Netflow.Capture – Invea Flow Mon ProbeSi l’on ne dispose pas d’équipements compatibles ou si l’on ne dispose pas des accès pour configurer ceséquipements (exemple : Routeurs opérateurs), il est nécessaire de capturer les flux afin de les transformer endonnées de type Netflow.Figure 2 : Capture de TraficAfin de capturer le trafic des liens à analyser, on utilise soit un « mirroring » de port soit des connecteurs de typeTAPs. Le « mirroring » étant limité à une utilisation de 50 % de la bande passante.8Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Figure 3: TAPLe TAP est transparent sur le réseau, voici son fonctionnement :Figure 4 - Fonctionnement du TAPA copie le flux vers B et CB copie le flux vers Aet DLes sondes Flow Mon sont des périphériques réseau passifs dédiés à la collecte de paquets. La probe permetégalement de convertir le flux collecté et ainsi de l’exporter au format NetFlow v5/v9 vers un collecteur. Chaquesonde dispose d'un port de management utilisé pour la configuration à distance et l'exportation des donnéesNetFlow, et d’un ou plusieurs ports de surveillances (Cuivre ou Fibre) utilisées pour la surveillance du réseau.9Orsenna – Mémoire technique supervision - FlowMon – version 1.5
La sonde matérielle est utilisée habituellement dès que l’on dispose d’un trafic important.Voici les différents modèles de sonde FlowMon disponibles (le nombre et la vitesse des ports ainsi que le stockagevarient en fonction des modèles) :Important : Une Flow Mon Probe intègre son propre collecteur. C’est-à-dire que sur celle-ci nous avons la possibilitéde mettre en place les différents plugins. A la différence du Flow Mon Collector, cette probe ne pourra pas recevoirde flux provenant d’une autre probe Flow Mon ou d’une autre source externe capable de générer du flux au formatNetFlow.10Orsenna – Mémoire technique supervision - FlowMon – version 1.5
La mise en place d’un collecteur vous permet néanmoins de collecter les flux de plusieurs Flow Mon Probe ou autressources capable d’exporter du flux de type NetFlow afin de réaliser des rapports comprenant différents point clés devotre réseau.Figure 5 - Exemple d’architecture ou nous souhaitons collecter les flux de deux sites différentsLes collecteurs sont chargés de stocker les statistiques reçues et permettent de disposer de fonctionnalités destatistiques et de rapport sur les données.La probe permet également de remonter certains champs spécifiques comme (NBAR, HTTP, VOIP, DHCP, DNS, ) afinde remonter des indicateurs de performance :11Orsenna – Mémoire technique supervision - FlowMon – version 1.5
12Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Collecteur – Flow Mon CollectorLe collecteur Flow Mon est un équipement autonome avec une capacité de stockage élevée.Cela permet de stocker l’ensemble des flux envoyés par les différentes sources (Flow Mon Probe ou autres).Ce collecteur permet de gérer jusqu’à 400 Kflows/sec.Nous avons également la possibilité d’utiliser des outils afin de réaliser des recherches, des agrégations Le collecteur matériel FlowMon reste sur une tarification intéressante par rapport aux solutions SIEM (SecurityInformation and Event Management)Figure 6 : Positionnement marché de FlowMonL’ensemble des fonctionnalités ainsi que les paramétrages du collecteur sont réalisable à travers l’interface Web.Figure 7 - paramétrage de l'Appliance à travers l'interface Web13Orsenna – Mémoire technique supervision - FlowMon – version 1.5
L'application de base compris dans le collecteur est appelé « Flow Mon Monitoring Center », celle-ci nous permetd’analyser les statistiques :Figure 8 - Flow Mon Monitoring CenterLes données stockées sur les collecteurs peuvent être affichées et analysées. Le système permet par exemple lesopérations suivantes: Génération de graphiques sur le long terme et aperçu à travers différents types de vues divisées encatégories en fonction de la quantité de données transférées (octets, paquets, flux), le trafic IP (TCP, UDP,ICMP ), ou le protocole (HTTP, IMAP, SSH).La génération de statistiques détaillées sur une période de temps sélectionnable par l’utilisateur.Extrait de type Top N en fonction de différents critères (nombre d'octets transférés, nombre de paquets,nombre de flux.). Cela vous permet de lister les ordinateurs les plus actifs sur le réseau et de détecter descomportements anormaux.La gestion des alertes par rapport à des seuils définit par l’utilisateur.La création de profils afin de sauvegarder des données filtrées.Extrait et analyse de flux (filtrage / agrégation).14Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Figure 9 - Filtre et AgrégationLa configuration de base des collecteurs contient deux applications : FlowMon Center Configuration (FCC) qui est utilisé pour la mise en place du dispositif de surveillanceFlowMon Monitoring Center (FMC) qui est utilisé pour la collecte et la visualisation des statistiques réseaux.Outre ces deux modules, de nombreux modules additionnels sont disponibles (plug-ins) qui étendent lesfonctionnalités du collecteur.Voici les différents modèles de collecteurs disponibles (le nombre et la vitesse des ports ainsi que le stockage varienten fonction des modèles) :15Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Outil de reportingL’outil intègre un outil de reporting et de dashboard :Deux types de rapport peuvent être créés : Top reports : permet de générer des rapports Top N en fonction de certains critères (plage d’adresses IP,Ports, Site Web ).Figure 10 - Interface Web - Top Reports Traffic reports : permet de générer des rapports sur le trafic réseau de l’entreprise :16Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Figure 11 - Traffic reportsCes deux types de rapport peuvent être paramétrés afin de répondre à vos besoins. C’est-à-dire qu’unrapport est un ensemble de chapitre, chaque chapitre est créé par l’utilisateur afin d’afficher ce qu’ilsouhaite comme type de trafic, comme adresse IP Voici un exemple de rapport contenant 17 chapitres :17Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Chaque chapitre contient des filtres (exemple pour le chapitre : Top Web Servers) :Voici le resultat :18Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Un simple clique vous permet de choisir un intervalle de temps et d’exporter le rapport en PDF ou CSV. Cesrapport peuvent également être envoyés automatiquement par email :Une gestion des utilisateurs est également disponible, celle-ci permet de restreindre l’accès à certainsrapports mais également à un tableau de bord personnalisé :Figure 12 - Gestion des utilisateurs19Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Figure 13 - Tableau de bord20Orsenna – Mémoire technique supervision - FlowMon – version 1.5
FlowMon - PluginsLe collecteur dispose de Plugins permettant d’utiliser des fonctionnalités supplémentaires sur le collecteur autravers des composants suivants :Figure 14 : PlugIn FlowMonLes fonctionnalités du système de surveillance FlowMon (Probe ou Collector) peut être complété par d'autresplugins à des fins différentes:21Orsenna – Mémoire technique supervision - FlowMon – version 1.5
FlowMon ADSCe plugin permet de détecter des anomalies sur le réseau : AttaquesSPAMsApplications P2PServices suspectsDifférents échangesVolume de traficStructure du traficNouveaux services dans le réseau Cet outil permet d’avoir un tableau de bord affichant directement l’ensemble des problèmes :22Orsenna – Mémoire technique supervision - FlowMon – version 1.5
23Orsenna – Mémoire technique supervision - FlowMon – version 1.5
FlowMon APMCe plugin permet d’analyser les performances de certaines applications:-Bases de données : Oracle / MSQLServeur web : HTTP / HTTPs24Orsenna – Mémoire technique supervision - FlowMon – version 1.5
FlowMon Traffic RecorderCe plugin permet de lancer des captures sur les sondes distantes (capture de type PCAP avec filtrage) :Le PCAP sont ensuite téléchargeable depuis l’interface web centralisée :25Orsenna – Mémoire technique supervision - FlowMon – version 1.5
FlowMon DDoS DefenderCe plugin permet analyse en temps réel le trafic afin de détecter les attaques de type DDoS.Il est ensuite capable d’alerter l’administrateur mais également agir de façon automatique sur les équipements actifsavant que l’attaque ne se propage à l’ensemble du réseau.26Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Mise en œuvre ProjetDans le cadre du projet et sur la base des éléments d’informations disponibles, nous proposons une mise en place dela solution de supervision sur la base d’un planning de travail suivant :Présentation de la démarche méthodologique pour la réalisationde la prestationLa mise en œuvre du projet comprend les phases suivantes : Phase 1 : Initialisation du projet,Phase 2 : SpécificationsPhase 3 : Maquette,Phase 4 : Mise en œuvrePhase 5 : Recettes et Pré-productionPhase 1 : Initialisation du projetDescriptionLa première phase du projet est une phase d’initialisation, qui est une phase de prévision et d’organisation del’ensemble des actions à mener pendant le déroulement du projet pour atteindre les objectifs assignés. Il s’agitessentiellement de définir et mettre en place les moyens nécessaires, en particulier définir : Le rôle des participants du groupe de projet devant intervenir au cours de la phase,Les modalités de travail,Les objectifs poursuivis,Les moyens matériels et logiciels nécessaires au maquettage - prototypage.Cette étape, importante pour cadrer le projet, sera réalisée en partie sous la forme d’une réunion de lancementprévue au démarrage des travaux.Tâches Définition de l’équipe projet : les différents intervenants, leurs rôles et responsabilités,Déterminer le mode de communication pendant le déroulement du projet,Planning,Préciser les trames des livrables,Préciser le mode de fonctionnement et les règles d’arbitrage,Détailler finement le planning du projet et positionner les différents jalons,Répartir les tâches par collaborateur,Préciser les normes et méthodes utilisées.Points d’entrée La Proposition Technique et Financière d’Orsenna,27Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Phase 2 : SpécificationsDescriptionCette phase a pour objectif de détailler et de valider le champ fonctionnel, conceptuel et technique avant passage enphase de réalisation.Elle permet d’élaborer le document de Spécifications Détaillées comprenant : L’analyse fonctionnelle détaillée,L’architecture détailléeLa liste des matériels mis en œuvre dans la surveillanceLa définition des rapports attendusLes pré-requis de déploiement (Politique, ACL,.)La définition du cahier de recettePoints d’entrée La Proposition Technique et Financière d’Orsenna,Spécifications GénéralesDocument d’ArchitectureFournitures et revues Dossier d’Architecture et de SpécificationsLe Cahier de recette28Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Phase 3: MaquetteDescriptionCette phase permet de valider l’accès à l’environnement et la mise en place de règles de collecte des flux qui serontappliqués à l’ensemble du périmètre à partir d’un périmètre restreint.Ceci permet notamment de vérifier l’accessibilité et de compléter le document spécifiant les prérequis détaillés pourle déploiement.Le client fournit une aide pour accéder aux environnements (notamment en cas de problème technique dû aux règlesde sécurité et de filtrage).Cette phase permet de réaliser les opérations suivantes : Installation des composants logiciels et matérielsValidation de l’accessibilité des composants sur site de production et compléments d’information (prérequis)Mise en place d’une collecte d’informations sur quelques équipements typesMise en place des politiques de rapportsLors de la validation de l’accessibilité des équipements, il est possible que des points techniques restent à résoudre.Pour minimiser les temps de résolutions de ces points il est impératif de pouvoir travailler à distance sur le sujet(temps de réponse des éditeurs, tests internes, ).Points d’entrée La Proposition Technique et Financière d’Orsenna,SpécificationsFournitures et revues Mise à jour des spécifications notamment sur les pré-requis de déploiementDocumentation d’installation destinée aux administrateursPhase 4 : Mise en oeuvreDescriptionCette phase permet en complément à la phase de maquette d’étendre la collecte à l’ensemble des équipements. Cedéploiement est effectué en collaboration avec les équipes du client.Les procédures d’administration et d’exploitation sont mises en œuvre à cette occasion.Le client fournit une aide pour accéder aux environnements (notamment en cas de problème technique dû aux règlesde sécurité et de filtrage).Cette phase permet de réaliser les opérations suivantes : Validation Monitoring des flux: Validation de l’accessibilité des données des équipements sur site deproduction29Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Validation résultats : Validation rapports, analyse des historiquesMise en place des procédures d’exploitation (Sauvegarde, gestion de la base)Points d’entrée La Proposition Technique et Financière d’Orsenna,SpécificationsFournitures et revues Documentation d’Exploitation, destiné aux administrateursPhase 5 : Recette et Pré-productionDescriptionCette phase de recette a pour objectif de valider sur une période plus importante la mise en œuvre de la solution.Cette phase représente l’acceptation finale de la prestation.La durée de cette phase est d’un maximum de 2 semaines.Cette phase permet de réaliser les opérations suivantes : Exploitation de l’environnement de pré-production:o Identification des problèmes éventuelso Consignation des remarques et des demandes d’informations complémentairesAnalyse de l’environnement de pré-production.o Consignation des problèmes éventuelsPrise en compte des demandes d’informations complémentaires et des remarquesPoints d’entrée La Proposition Technique et Financière d’Orsenna,SpécificationsFournitures et revues Cahier de recette rempli et approuvé30Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Livrables et documentationLes livrables fournis dans le cadre du projet sont les suivants : Dossier de Spécifications et d’ArchitectureLe Cahier de recetteDocumentation d’installationDocumentation d’ExploitationLes prestations s’effectuent en fonction des besoins dans les locaux du client ou dans les locaux d’Orsenna.Les prestations de documentation s’effectuent systématiquement dans les locaux d’Orsenna.31Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Tableau de charge de travail globaleCe tableau de charge est un tableau classique permettant de couvrir l’ensemble du périmètre en mode projet.Phase1-InitialisationTâcheCharge de travailDétails de la tâcheRéunion de lancement0,5JRéunion lancement du projet et installationinitialeDocumentation0,5JDoc d'Architecture 0,25JDoc Spécifications Détaillés 0,25J2 Spécifications3 MaquetteInstallation physique dessondes1JIntégration sondes et Taps3 MaquetteIntégration deséquipements0,5 JCollecte sur un firewall1JCustomisation de l'interface WebGestion des vues, Collecte 2ème FirewallRapports, Interface Web3 -4 Maquette & Mise enœuvreExtension à l’ensembleDoc d'Installation 0,25JDocumentation1,25 J3 -4 Maquette & Mise enœuvre5 – Recette & Pré-productionDoc d'Exploitation 0,75JCahier de recette 0,25JValidation et mise enœuvre des remarques0,25JTotal5JLa charge de travail estimée est donc de 5 jours.32Orsenna – Mémoire technique supervision - FlowMon – version 1.5
Prestations complémentairesMaintenance OrsennaUne prestation de maintenance est assurée par Orsenna sur les bases suivantes :-Hotline téléphonique et email 08h30-18h30 (Jours ouvrés)
Les technologies varient en fonction des constructeurs : Netflow, Sflow, Jflow, IPFIX. Les outils permettant de collecter ces données sont des collecteurs de type Netflow (dans ce cas on sous-entend habituellement les autres protocoles). Composants compatibles Netflow/Sflow En annexe 1 une liste de compatibilité des équipements est décrite.
