Supervision

SupervisionPrsentation - Netflow / SflowVersion Nov 2011Orsenna 201111SommaireOrsenna 20112IntroductionPrsentation OrsennaPrsentation de la technologiePrsentation des produitsDmonstration du produit FlowMonQuestions et rponsesOrsenna 20113Orsenna : Qui sommes-nous ?Supervision & Audit Rseau

Intgration produits Supervision.Dveloppement de PlugIns.Intgration produits Audit des flux Netflow, Sflow, Jflow Produits Complmentaires (Appliance SMS, Serveur Syslog, Diagnostic Switches , Sondes)Formation & Rgie de supervision

Orsenna 20114RfrencesPlus de 500 missions daudit et de supervision depuis 2002. TypeNomsBanques, AssurancesFIDEURAM BANK, BANQUE POPULAIRE, GIE Carte Bancaire, GMF, Caisse des Dpts, Socit GnraleDistributionBRICORAMA, RELAY, NICOLAS, AELIA, HISTOIRE DOR, LANVIN, MAC DONALDS, MIDASIndustriesSCHLUMBERGER, ALCAN, ARCELOR, DANONE, EADS, STRYKERAdministrationADEME, OPERA DE PARIS, MINISTERE DEFENSEEcoles, UniversitsENSAE, ENSTA,Mairies, ConseilVille TROYES, CG16, CR PACAOprateurCORIOLIS, B3GTransportCOFIROUTE, SERVAIR, APRR, ASFOrsenna 20115Services autour des produitsFormationTuning PerformancesMises jour de versionsInstallation et dploiement

Gestion de projet

Orsenna 20116Mise en uvreAudit initial , Mise en uvre pr requisSpcifications dtailles & ArchitectureDocumentationsCahier recette

ServicesOrsenna 20117Contacts Projets Supervision & AuditResponsable commerciale : Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit : Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.frDenis ChauvicourtAntoine CruQuentin OzenneTlphone : 01.34.93.35.35

Orsenna 20118Questions ?

Q & A9

SNMP ICMPSuivi dutilisation de linfrastructure Monitoring des compteurs (SNMP) Monitoring des interfaces (SNMP)Suivi des flux Statistiques applicatives (Netflow/Sflow,....)SondesSuivi dtaill de linfrastructure Monitoring + complexe BGP, STP (SNMP) Monitoring status (SSH) SNMP SSHSuivi temps de rponse Oprations IP SLAIP SLA ( Cisco)Netflow - TechonologieCr par Cisco en 1996, Netflow est le standard de fait pour collecter des donnes IP oprationnelles.

Cest un protocole de niveau 3 (Couche rseau)

La diffrence avec les autres analyseurs de trafic (MRTG) est que Netflow est tourn vers le niveau application et pas seulement en SNMP. Grce Netflow on peut dire que 40% de lutilisation de la bande passante est utilis pour le http, 20% pour

IpFix standardisation de la version 9 de Netflow

Orsenna 201110Netflow - TechnologieChaque constructeur utilise les mme caractristiques que Netflow en lappelant diffremment :Jflow => JuniperCflowd => Alcatel-LucentNetStreal => 3Com / H3C

Le concept majeur de Netflow est la notion de flux:Adresses IP source et destination, Protocole (TCP, UDP, ICMP,),ToS (Type Of Service)Ports applicatifs (HTTP, SMTP, DNS,),Interfaces dentre et de sortie du routeur.

Permet de voir les volutions des flux pour permettre dadapter la politique de QOS (Quality Of Service).Orsenna 201111Netflow - TechnologieNetflow permet de : Connatre lutilisation du rseau par les applications Comprendre par qui, quand, et o est utilis le rseau Mesurer lefficacit du rseau et des ressources Apprhender l'impact des changements au rseau Dtecter les anomalies et les vulnrabilits de scurit de rseau Auditer la conformit et les processus business De rpondre des questions du genre:Peut-on mettre en place la VOIP ? Pourquoi mon application / serveur est lent ?

La technologie Netflow peut tre utilise dans une grande varit dapplications pour : Surveillance en temps rel du rseau Analyse des nouvelles applications et leur impact sur le rseau. Capacity planning Dtection et classification d'incidents de scurit Accounting et facturation Troubleshooting (lenteurs rseaux)

Orsenna 201112Netflow - TechnologieOrsenna 201113

Mesures en temps rel depuis chaque port grce un agent prsent sur lquipement.

Collecteur et analyseur NETFLOW

90% des bnfices dun analyseur rseau2% - 3% charge CPUTraffic rseau augmente de 1% - 3%= ~10 NetFlow interfacesInternetBostonBerlinParis, France= Router= SwitchNetFlow collecteur= NetFlow Data

MiroirProbes, Flow Publisher, FlowMon

Analyse de flux distribue Serveurs chargs

VoixVirusHackingMulticastDNSPeer-to-peerWorms

Top hosts, conversations, protocolsEvnements sur le rseauLimite de la stratgie Top 10"Other"

Serveurs chargs

VoixVirusHackingMulticastDNSPeer-to-peerWorms

Top hosts, conversations, protocolsEvnements sur le rseauLimite de la stratgie Top 10

22,772 Conversations sur UNE MINUTE!- De 900KBExemple MS-SQL SlammerSminaire 18Primtre PrrequisExemple : NetflowAnalyse Simple objectifsNetflow Top 10Lien Internet10 Mb/s de trafic charg 20 %Analyse + Complexe objectifsNetflow diagnostic LanLien BackboneLiens 1Gb/s charg 50 %

Sminaire 19Primtre PrrequisExemple : NetflowAnalyse Simple SolutionFlow Monitor Stockage 15 Go/an

Analyse + Complexe objectifsApplianceStockage 4 To/an

SflowOrsenna 201120SwitchingASIC1 in N samplingpacket headersrc/dst i/fsampling parmsforwardinguser IDURLi/f counterssFlow agentforwarding tablesinterface counterssFlow Datagrameg 128Bratepoolsrc 802.1p/Qdst 802.1p/Qnext hopsrc/dst maskAS pathcommunitieslocalPrefsrc/dstRadiusTACACS

NetFlow / sFlow Collector & Analyzer

Switch/RouterNetFlow

NetflowLe routeur compte le nombre de paquets et doctets reus pour chaque flux

Ds quil reoit un paquet, le routeur cr une nouvelle entre si le flux nest pas connu ou bien incrmente le compteur du flux si il est dj prsent.

La mmoire du routeur ntant pas infinie, il faut faire le tri. Pour cela le routeur retire automatiquement du cache un flux lorsque celui-ci a t inactif pendant un certain temps (inactive timeout) et le supprime sil a t actif trop longtemps (active timeout).

Le routeur se sert de la date du dernier paquet reu pour ce flux et la compare la date actuelle pour connatre linactivit de celui-ci.

Lorsquun flux a expir et est supprim du cache, il peut tre export vers une machine de collecte.

Orsenna 201122NetflowIl existe 9 versions du protocole Netflow.

Les versions 2, 3, 4, 6 => pas sorties sur le march (interne chez Cisco).

La version 5 est la plus utilise sur les routeurs (seulement pour IPv4)

La version 7 est spcifique aux Switchs Catalyst.

La dernire version est la 9, elle supporte lIPv6 ainsi que le MPLS.

Orsenna 201123Netflow Vs SflowSflow ralise un chantillonnage (choix personnel => N paquet).

Cela consomme donc moins de charge CPU sur les quipements.

Moins de bande passante consomme.

Orsenna 201124

Netflow Vs SflowIl est donc moins prcis que NetFlow court terme. Nanmoins sur une grande priode, nous retrouverons les mmes rsultats.

Orsenna 201125

NetFlow SFlowNetflow Vs SflowLequel faut-il utiliser et quel moment ?NetFlow : analyse prcise du rseau => analyse de scurit par exempleSflow : permet davoir une vue sur lutilisation des ressources du rseau.

Nous avons donc ensuite diffrents logiciels et quipements en fonction des besoins de chaque personne :

WUG NetFlow monitor et Orion Netflow Traffic Analyser : outils de reporting / statistiques.Scrutinizer et flow analytics : logiciel ddi lanalyse de flux rseau.FlowMon : quipement ddi lanalyse de flux rseau.Observer : Analyseur rseau => capture le flux.

Orsenna 201126Agent Logiciel / MatrielPourquoi prendre un agent matriel plutt quun agent logiciel ?Un ordinateur peut souvent tre dplac, ce qui rendra lagent indisponible.Moins de maintenance raliser.Besoin dun PC ddi, ce qui implique un clavier, un cran

Orsenna 201127

Agent logicielAgent Logiciel / MatrielTAP mode cela peut se reprsenter comme un Y, le flux arrive sur la branche du bas, puis se divise en deux, une partie reste sur le rseau tandis que lautre va vers lagent matriel.SPAN mode Mirroring dun port vers un autre.RSPAN mode Mirroring dun port du routeur vers un port dun autre routeur.

Orsenna 201128

EquipementsEquipements supportant NetFlow:Adtran NetVanta 3200, 3305, 4305, 5305, 1524, 1624, 3430, 3448, 3130, 340, and 344Cisco ASA Firewall (IOS version 8.2) ; Catalyst srie 4000/4650/4500/ 6000/6500/7600/7000 NX-OS ; Cisco 800, 1700, 2600, 1800, 2800, 3660, 3800, 7200, 7300, 7500 ; Cisco 10000, 12000, CRS-13Com : 8800 Series SwitchesEnterasys RouterESX Server avec WmwareExtreme Networks Router : Alpine 3800 series, BlackDiamond 6800 series, BlackDiamond 8800 series, BlackDiamond 10808, BlackDiamond 12804C , BlackDiamond 12804R ,Summit X450 Series , Summit i seriesJuniper RouterMikrotik RouterRiverbed Steelhead ApplianceVyatta Core 6 software

Equipements ne supportant pas NetFlow besoin dun agent matriel ou logiciel:Cisco 2900, 3500, 3660, 3750, Nexus 5000NetgearBintecPour la configuration: http://www.plixer.com/products/netflow-sflow/configure-netflow-sflow.php

Orsenna 201129EquipementsEquipements supportant SFlow:3Com : 4800G Family AlaxalA Networks : AX7800R ; AX7800S ; AX7700R ; AX5400S Alcatel-Lucent : OmniSwitch 6850 ; OmniSwitch 9000 series Allied Telesis : SwitchBlade 7800R series ; SwitchBlade 7800S series ; SwitchBlade 5400S series Blade Network Technologies : HP 10Gb Ethernet BL-C Switch ; HP 1:10Gb Ethernet BL-C Switch ; HP GbE2c Layer2/3 Ethernet Blade Switch Brocade : BigIron series ; FastIron series ; IronPoint series ; NetIron series ; SecureIron series ; ServerIron series Comtec Systems : !-Rex 16Gi & 24Gi & 24Gi-Combo Dell : PowerConnect 6200 series ; PowerConnect 8000 series D-Link : DGS-3600 series Enterasys : G-Series ; SecureStack B3 ; SecureStack C3 Extreme Networks : Alpine 3800 series ; BlackDiamond 6800 series ; BlackDiamond 8800 series ;BlackDiamond 10808 ; BlackDiamond 12804C ; BlackDiamond 12800R Series ; Summit X150 Series ; Summit_X250e Series ; Summit X450 Series ; Summit i series Force10 Networks : C series ; E series H3C : H3C S5800 Series ; H3C S5820X Series ; H3C S7500E Series Switches ; H3C S9500E Series Switches ; H3C S12500 Series Data Center Switches ; H3C MSR 20-1X Series Routers

Orsenna 201130EquipementsEquipements supportant SFlow:Hewlett-Packard : ProCurve 2610 series ; ProCurve 2800 series ; ProCurve 2900 series ; ProCurve 2910al series ; ProCurve 3400cl series ; ProCurve 3500yl series ; ProCurve 4200vl series ; ProCurve 5300xl series ; ProCurve 5400zl series ; ProCurve 6200yl series ; ProCurve 6400cl series ; ProCurve 6600 series ; ProCurve 8212zl ; ProCurve 9300m series ; ProCurve Routing Switch 9408sl ; ProCurve Wireless Edge Services xl Module ; ProCurve Wireless Edge Services zl Module ; ProCurve Access Point 530 Hitachi : GR4000 ; GS4000 ; GS3000 IBM : c-series ; g-series ; m-series ; r-series ; s-series ; x-series ; J08E and J16E ; J48E InMon Corp. : Virtual Probe Juniper Networks : EX3200 series ; EX4200 series ; EX8200 series MRV : OptiSwitch-MR series NEC : IP8800/R400 series ; IP8800/S400 series ; IP8800/S300 series ; IP8800/S3640 series ; IP8800/S3640 ER series ; IP8800/S3630 series ; IP8800/S2400 series NETGEAR : GSM7352S-200 ; GSM7328S-200 Open vSwitch : Open vSwitch Vyatta : Vyatta 514 ; Vyatta 2500 series ; Vyatta 3500 series ; Vyatta Core (VC) Routing & Security Software ; Vyatta Virtual Router, Firewall, VPN XRoads Networks : EdgeXOS

Orsenna 201131Exemple de configurationOrsenna 201132Configuration de base CISCO

Router> enable passer en mode enableRouter# configure terminal passer en mode configurationRouter(config)# ip flow-export destination permet dexporter le flux vers une 172.16.10.2 9996adresse sur le port 9996 (port dfaut)

Router(config)# ip flow-export version 9 Utilisation de la version 9 de NetflowRouter(config)# interface ethernet 0/0Router(config-if)# ip flow ingress supervision du trafic allant dans linterfaceRouter(config-if)# ip flow egress supervision du trafic sortant de linterfaceRouter(config-if)# exitRouter(config-if)# end

Vrification

1.show ip flow interface voir la configuration actuelle du NetFlow2.show ip cache flow voir les flux en activits ainsi que la 3.show ip cache verbose flow ressource utilise

Exemple de configurationOrsenna 201133Configuration de base Mikrotik :

Exemple de configurationOrsenna 201134Configuration pour Alcatel Omniswitch (Sflow) :

Configuration pour Extreme Network (Sflow):

Configuration pour HP (Sflow) :

NtopQu'est-ce que Ntop ?Ntop est un outil libre. Cest un collecteur Nflow/IPfixIl capture et analyse les trames dune interface.Il permet dobserver une majeure partie des caractristiques du trafic entrant et sortant.Stockage des statistiques au format RRD

Logo :

Lien : http://www.ntop.org/

Orsenna 201135

NprobeQu'est-ce que Nprobe ?Cest un agent logiciel.Idal pour les devices qui nincorporent pas de faon hardware une sonde Netflow.Il peut analyser le trafic et gnrer un flux standard Netflow.Disponible pour Windows, Unix et Mac.Supporte IPv4 et Ipv6.Possibilit dtre en mode collecteur de flux and en proxy.Analyse de trafic VoIP.Totalement configurable par lutilisateur.Compatible avec les collecteurs des constructeurs Fluke, Cisco, Dartware, AdventNet, Plixer, SolarWinds

Logo :

Lien : http://www.ntop.org/nProbe.html

Orsenna 201136

NprobeQu'est-ce que Nprobe ?

Orsenna 201137

WhatsUP Flow PublisherQu'est-ce que Flow Publisher ?Cest un agent logiciel.Il permet l'analyse du trafic rseau pour chaque priphrique et segment du rseau.De dterminer les utilisateurs, applications ou sources de trafic qui consomment de la bande passante.Recevoir des alertes en temps rel lorsque les paramtres de trafic surveills dpassent des seuils dfinis. Assurer que les applications de l'entreprise disposent de toute la bande passante ncessaire.Accder plus de 40 rapports mobiles et Web pour l'tablissement d'une base de rfrence et l'analyse. Cre des enregistrements compatibles NetFlow v1, v5 ou v9 partir du trafic brut

Logo :

Lien : http://fr.whatsupgold.com/products/flow_publisher/

Orsenna 201138

WhatsUP Flow PublisherOrsenna 201139

Le commutateur transmet le trafic mis en miroir l'agent Flow PublisherL'agent transmet les enregistrements NetFlow au collecteur Flow MonitorLe point d'accs test transmetle trafic bidirectionnel l'agent Flow PublisherL'agent serveur transmet les enregistrements NetFlow au collecteur de Flow Monitor

Agent Flow Publisher sur PC

Collecteur de WhatsUp Gold et Flow MonitorServeur avec l'agent Flow Publisher install

FlowMonQu'est-ce que FlowMon ?Cest un agent matriel.Il est bas sur les technologies NetFlow V5/V9Donne des informations sur qui communique avec qui ? Pendant combien de temps ? Quel protocol ? Combien cela prend de bande passante ?Une solution pour tout types de rseau.

Logo :

Lien : http://www.invea-tech.com/network-solutionsDemo : online demo (login:flowmon, password: flowmondemo)

Orsenna 201140

FlowMonArchitecture

Orsenna 201141

FlowMonRapports :Facilement personnalisableEnvoi automatique en format PDF

Orsenna 201142

Nmon - NboxQu'est-ce que la Nbox ?Cest un agent matriel.Il analyse le flux rseau => analyse et export de donnes.Permet danalyser la disponibilit, la performance et les problme sur le rseau.nBox inclut une sonde Netflow (nProbe) ainsi quun collecteur (ntop) pour les flux NetFlow v5/v9/Ipfix.

Logo :

Lien : http://www.nmon.net/nBox_nmon.html

Orsenna 201143

Network Instruments - ObserverOrsenna 201144Logo :

Lien : http://www.netinst.com/products/observer/

Qu'est-ce que Observer ?Cest un outil qui capture les flux rseau, il ny a donc pas dagent.A partir de cela il va raliser des graphiques.

Solarwinds Orion Netflow Traffic AnalyserOrsenna 201145

Qu'est-ce que Netflow Traffic Analyser ?Cest un outil de reporting / statistique.

Logo :

Lien : http://www.solarwinds.com/products/orion/nta/

Ipswitch Flow MonitorOrsenna 201146Qu'est-ce que Flow Monitor ?Cest un outil de reporting / statistique.

Logo :

Lien : http://www.whatsupgold.com/products/whatsup-gold-plugins/flow-monitor/

PRTG - Traffic GrapherOrsenna 201147Qu'est-ce que Traffic Grapher ?Il est dot dun serveur web intgr => permet daccder aux graphiques et aux tableaux partir dun navigateur web.Utilise trois mthodes de surveillance :SNMP pour les compteur de trafic.Analyse des paquets rseau entrants/sortants qui transitent sur la carte rseau dun ordinateur => capture de paquets.Analyse des paquets Cisco NetFlowFiabilit de la surveillance du rseau (plus de 100 000 utilisateurs chaque jour)Classification du trafic rseau en fonction de l'adresse IP, du protocole et d'autres paramtresFonctionne avec la plupart des commutateurs, routeurs, pare-feu et autres quipements rseauPoste de surveillance permettant la supervision de plusieurs milliers de sondesVersion Freeware disponible pour les petits rseaux

Logo :

Lien : http://www.paessler.com/

PRTG - Traffic GrapherOrsenna 201148

Plixer - ScrutinizerQu'est-ce que Scrutinizer NetFlow & sFlow Analyser ?

Logiciel ddi lanalyse de flux (fonctions prcises et pousses).Logiciel permettant de fournir des informations concernant le rseau (bande passante, graphique, rpartion des charges).Scrutinizer peut recevoir des flux d'un nombre illimit d'interfaces. Scrutinizer s'intgre avec le logiciel WhatsUp Professional d'Ipswitch.

Logo :

Lien : http://www.plixer.com/products/scrutinizer.php

Orsenna 201149

Plixer - ScrutinizerOrsenna 201150

Links change color based on utilization Mouse over link and ALT tag gives full interface name (e.g. ifAlias) Arrow on link gives highest utilization direction Click on link for top talkers for the last 6 minutes for that directionCartographiePlixer - ScrutinizerOrsenna 201151Charges

Plixer Flow AnalyticsQu'est-ce que Flow Analytics ?Cest un add-on pour Scrutinizer. Permet darchiver les donnes NetFlow aprs 24 heures.Identification des applications, conversations, flux, protocoles plus facilement.Dclencher des alarmes en fonction de seuils.Possibilit de mettre des alarmes et de crer des rapports.Nouvelle fentre pour voir directement les problmes du rseau.

Logo :

Lien : http://www.plixer.com/products/netflow-sflow/flow-analytics.php

Orsenna 201152

Logiciels

NTA (Solarwinds) => 1,5 12 K (par device et illimit)

FlowMonitor (Ipswitch) => 100 230 (par source)

Scrutinizer (Plixer) => 3 10 K (5 sources / illimit )

Appliances

FlowMon (Invea) => 5 20 K ( illimit , 1 10TB)

Orsenna 201153Budget :Orsenna 201154Questions ?

Q & A55Contacts Projets SupervisionResponsable commerciale : Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit : Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.frDenis ChauvicourtAntoine CruQuentin OzenneTlphone : 01.34.93.35.35

Orsenna 201156

Dmonstration57 Actualits - ORSENNARcompense Ipswitch Juin 2011 => Best 2010 Technical Achievement Produit WhatsUp Companion

Composants Fin 2011 GEUM

ORSENNA, Partenaire certifi Premium Ipswitch58Contacts Projets SupervisionResponsable commerciale : Florence Laprevote : flaprevote@orsenna.fr

Consultant Supervision & Audit : Jean-Philippe Senckeisen : jpsenckeisen@orsenna.fr

Equipe Technique : helpdesk@orsenna.frDenis ChauvicourtAntoine CruQuentin OzenneTlphone : 01.34.93.35.35

NBARNbar Network Based Application Recognition

Permet de saffranchir des limites des ACL peut identifier des applications ou des URLs.

Nbar reconnait les applications utilisant les ports TCP et UDP.

Classification approfondie : HTTP et ICA (Citrix applications).

Orsenna 201159

NBARLa dcouverte dapplications et de protocoles est une fonction associe NBAR.

NBAR collecte les statistiques sur les applications prsentes sur le rseau.Orsenna 201160

NBARLa technologie NBAR est apparue sur les routeurs 7200 et ensuite sur les Catalyst 6500.

NBAR hardware est apparu sur le Catalyst 6500 sous la forme dune carte supervisor (Engine 32 PISA) :Orsenna 201161

NBAROrsenna 201162

Switch

`

`

TAP