|
Jazyk |
Výber jazykovej mutácie:
|
|
|
|
The time now is 01.11.2024 - 01:07 |
|
|
|
|
Author |
Message |
|
Post subject: Network monitoring tools
Posted: 18.01.2008 - 09:51 #60805
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
Otvaram temu, "Seriozne monitorovanie siete a aktivny pristup k neziaducim javom".
Kedze nase siete uz nie su prave najmensie, je potrebne stanovit "trvale udrzatelny" pristup k monitorovaniu a rieseniu problemovych jedincov.
Vzhladom na to, ze traffic do sveta presahuje desiatky mbits, rozhodol som sa riesit monitoring na mirrored porte, aby som predisiel problemom so zvysenymi latenciami atd.
Na tento mirrored port som zavesil relativne silnu masinu s NTOP-om, ktory na debiane velmi lahko naistalovatelny (apt-get install ntop) a hned je na 192.168.1.1:3000 mozne prezerat si graficke rozhranie. Potial je to hracka , horsie je to uz s identifikaciou problemovych hostov.
Rozhodol som sa pre politku aktivneho riesenia tychto jedincov, kedze pasivny sposob (bloknutie portov kde sa storm objavuje najcastejsie) je vlastne pchanie hlavy do piesku a tak potrebujem ziskat z NTOP-u nejaky dump, ktory budu prehliadat skripty, aby zistili podozrive spravanie (portscan, prilis velke mnozstvo ICMP, prilis vela konekcii, prilis vela ICQ spojeni indikujucich zdielanie netu, traffic na porte 25 s neznamym mailserverom apod).
TODO:
1. Mate niekto skusenosti, ako nakonfigurovat NTOP tak, aby v urcitych intervaloch logoval sessions/konekcie do files?
2. Mate nejake custom skripty na analyzu dump-ov? (nasiel som flow-tools, vie to niekto pouzivat? Pripadne napiste cim inym sa dobre a lahko analyzuju data) |
Last edited by kiwi on 18.01.2008 - 16:29; edited 1 time in total
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 10:06 #60807
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
kiwi: pouzit na to tethereal alebo tcpdump nemozes ? sice by to bola zdvojena robota, ale myslim ze by to fungovalo. To co pozadujes su bezne funkcie IDPcka, takze mozno by bolo jednoduchsie ako kodit vlastne skripty nasadit napr SNORT+ACID.
Nechces radsej pouzit profi IDP box ? splni ti to vsetky poziadavky (a este aj viac ), staci zapojit a naklikat. Jediny problem je cena, pri 1Gbite uz je to celkom slusna palka, aj ked pasivny rezim nevyzaduje az tak vykonny box. |
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 12:01 #60813
|
|
Majster
Joined: Okt 19, 2003
Posts: 2339
Location: Bratislava
|
|
Quote: › 1. Mate niekto skusenosti, ako nakonfigurovat NTOP tak, aby v urcitych intervaloch logoval sessions/konekcie do files?
Logovanie TCP spojeni sa da velmi jednoducho zabezpecit logovanim SYN paketov v iptables. Potreboval somto na vyhladavanie zavirenych pocitacov na zaklade staznosti na spamovanie, pripadne pokusov o prienik (obvykle skusanie prihlasenia cez SSH pod roznymi beznymi menami). |
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 12:28 #60814
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
robert, prezrad mi ako mam masinu, ktora je na mirrored porte naucit aby vedela tie packety preosiat na iptables |
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 14:31 #60818
|
|
Majster
Joined: Okt 19, 2003
Posts: 2339
Location: Bratislava
|
|
kiwi: Predpokladam, ze cez mirrorovany port Ti prichadzaju pakety v nezmenenej podobe a sietova karta je v promiskuitnom rezime. V takom pripade my mali iptables zafungovat ako obvykle. Nemam to na com vyskusat, takze Tito netvrdim svatosvate, ale momentalne nevidim dovod, preco by to nemalo takto fungovat. iptables naju moznost logovat hlavicky do syslogu, takze cely setup spravis za par minut. Potrebujes akurat nejaky jednoduchy skript, ktory Ti bude parsovat syslog.
Neodporucam Ti to ako definitivne riesenie, naozaj je lepsie mat nejaky IDS alebo vyspely nastroj na analyzu prevadzky na sieti. Akurat toto rozbehas rychlo a jednoducho, kym si zvolis konkretne definitivne riesenie. |
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 15:32 #60821
|
|
Guru
Joined: Jan 30, 2003
Posts: 1572
|
|
iptables samozrejme na mirrored porte nefunguju
po explorerovej rade som ntop zahodil a skusil som to so snortom a robi to co to ma , tzn. na zaklade pravidiel ktore mu dam, loguje eventy do mysql
momentalne som skusil taku vec, ze logujem vsetky packety so SYN flagom, som zvedavy kolko MB v databaze to zozerie za 24 hodin
dokonca to zerie len asi 10% z jedneho cpu (dual core) pri asi 100mbits trafficu IN a 20mbits OUT
ak mate niekto nejake oblubene rules pre snort, sem s nimi |
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 18.01.2008 - 16:29 #60827
|
|
Majster
Joined: Okt 19, 2003
Posts: 2339
Location: Bratislava
|
|
Quote: › iptables samozrejme na mirrored porte nefunguju
No tak samozrejme to zase nie je. Ako vyzera Tvoj setup? mirrorovanie posiela pakety v *nezmenenej* podobe alebo sa mylim? Bohuzial nemam k dispozicii HW, ktory toto dokaze, tak sa nejdem hadat, ale rad bych vedel, ako sa veci maju. Jedine MAC adresy ethernetovych ramcov, v ktorych su pakety balene, by mohli robit problem. |
|
|
|
|
|
|
Post subject: Network monitoring tools
Posted: 19.01.2008 - 02:41 #60872
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
kiwi wrote: ›Vzhladom na to, ze traffic do sveta presahuje desiatky mbits, rozhodol som sa riesit monitoring na mirrored porte, aby som predisiel problemom so zvysenymi latenciami atd.
ze i tak sa da... ale som zvolil opacny postup... nie zistovat na hlavnej brane, kto mi ju zasiera, ale nedovolit vobec srackam dostat sa do siete... vsetkych wifi klientov migrujeme na w3000-isp v NATrouter rezime (WISP), kde je pocet spojeni v conntracku obmedzeny na 512. tj, klient mi viac spojeni do siete nikdy nikdy neposle, lebo ich nepusti jeho router... pre tych co su na LANke alebo maju z nejakeho dovodu este wifi v bridge rezime, mame dalsi stupen ochrany, a to je connection limit na APcku resp LAN routeri (w4000g), co vlastne funguje tak, ze zariadenie si periodicky kontroluje kolko conntrack poloziek ma ktory host, a ked niekto presiahne limit, nahodi mu DROP pravidlo. tj, ofiltruje sa tiez este skor, nez vojde do backbone. na hlavnom routeri mavam cez 50tisic conntrack spojeni, tam uz hladat cokolvek je jak ihlu v kope sena, len cat + grep conntracku trva vyse minuty. osobne sa mi vidi lepsie mat 1000 malych filtrov pri klientoch, nez jeden velky na centrale, ktory sa z toho s pribudajucim trafficom moze aj posr*t |
|
|
|
|
|
|
|
Post subject: RE: Network monitoring tools
Posted: 20.02.2008 - 09:20 #61986
|
|
Basic
Joined: Mar 25, 2003
Posts: 138
|
|
kiwi wrote: ›iptables samozrejme na mirrored porte nefunguju
po explorerovej rade som ntop zahodil a skusil som to so snortom a robi to co to ma , tzn. na zaklade pravidiel ktore mu dam, loguje eventy do mysql
momentalne som skusil taku vec, ze logujem vsetky packety so SYN flagom, som zvedavy kolko MB v databaze to zozerie za 24 hodin
...na sieti zatial nelogujeme, chcel by som s tym zacat. Nie som extra zbehly -> mohol by ma niekto nakopnut ako spojazdnit SNORT a SQL pre logovanie SYN paketov (Datum, Cas, Zdrojova IP, Cielova IP, Port(len standatdne porty pre HTTP, FTP a MAIL)). OS je Debian4 snort aj sql samozrejme nainstalovany. Dik. |
|
|
|
|
|
|
All times are GMT
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |
|
|
|