Journal Admin réseau : faites vous de l'analyse de flux de votre lan/wan ?

Posté par  (site web personnel) .
Étiquettes : aucune
0
15
nov.
2007
La supervision réseau, c'est quelque chose qui se répand de plus en plus au sein des pme et adminstrations, notamment avec nagios, oreon, mrtg... Donc ça, niveau logiciel libre, pas de problèmes : on a de quoi faire.

Mais je suis surpris de ne pas encore avoir trouvé de solution libre logiciel permettant l'analyse protocolaire de flux réseau.

Pour ceux qui ne comprendraient pas ce que je veux dire, je parle d'une sonde, placée sur un élément actif, en général un ou plusieurs commutateur(s) (ou switch(es)), capable de faire du miroitage de port (port mirroring), càd selon la définition de wikipedia, que "le commutateur [peut envoyer] une copie de tous les paquets à une connexion réseau de surveillance."
Ce(s) commutateur(s) sont stratégiquement choisis par le fait qu'il(s) supporte(nt) la quantité de flux la plus significative par rapport au flux total du réseau lan/wan, c'est à dire en général des switch de coeur, des switches séparant des sites distants du wan etc (voir par exemple ce shéma : http://www.01net.com/images/91456.jpg ). L'avantage de ce système, et là ou il complète fortement des outils comme nagios, c'est qu'il permet d'avoir une vision complète de ce qui circule sur le réseau, par où ça circule, en quelle proportion, ainsi que de trouver l'origine de panne (est-ce une panne réseau, y a-t-il des engorgements réseau, un serveur ou un switch est il down, y a t il des paquets non désirés qui circulent à travers le réseau, y a t il des pertes de paquets etc).

Je connais des logiciels proprios, dont Observer, qui font de l'analyse de flux et de la recherche d'incident etc. ( http://www.01net.com/editorial/323733/reseau/sondes-explorer(...) un peu vieux, mais toujours d'actualité, je pense). Observer est une application qui s'installe sur un windows xp quelconque, installé sur un poste dédié sur lequel on installe une ou plusieurs cartes réseaus spécifiques pour la capture de flux "miroités". Ça doit donc être faisable de faire le même genre de produit en libre.

Je me demande si d'une manière générale l'analyse de flux réseau est entrée dans les moeurs : y recourrez vous ? Si oui, qu'utilisez-vous ? Avez vous trouvé un équivalent libre à Observer.
  • # Et avec iptables ?

    Posté par  . Évalué à 4.

    Ça doit pouvoir se faire en 3 lignes du "miroitage" ? non ?
    • [^] # Re: Et avec iptables ?

      Posté par  . Évalué à 6.

      Ben le mirroring de port c clairement le bouleau du switch .... de plus tous les switch un tant soit peu manageable propose ce genre de truc (attention à bien faire ca en tête de réseau pour avoir "le meilluer point de vue" sur votre réseau). Par contre iptables, sa table mangle et les modules d'accounting sont tout indiqués pour faire ce type d'analyser. Quelques chaines bien construites, un iptables -nvxL de temps et un INSERT dans une base de données... Et hop le tour et joué!
      Sinon il y a ntop qui fait ce genre de truc mais seras forcément moins modulable.

      On peut aussi parler de bandwithd qui fait exactement ce genre de truc (j'en profite pour signaler qu'il existe sous la forme d'un plugin intégrable à l'excellente gateway libre basée sur FreeBSD pfSense!!!!)

      Bref j'en oubli certainement.....
      Quelqu'un trouvait que l'analyse protocolaire n'était pas bie ntraitée par la communauté?
      • [^] # Re: Et avec iptables ?

        Posté par  . Évalué à 10.

        Le bouleau du switch c'est pas spanning-tree plutôt ? ;-).

        Faut pas gonfler Gérard Lambert quand il répare sa mobylette.

        • [^] # Re: Et avec iptables ?

          Posté par  . Évalué à 10.

          Ca depend de l'utilisation, un switch peut etre utilise de differentes manieres, moi j'ai longtemps utilise un switch comme appui-pied dans mon bureau par exemple.

          Ok, je -->[]
        • [^] # Re: Et avec iptables ?

          Posté par  (site web personnel) . Évalué à 2.

          non, le stp est aussi une fonctionnalité de certains switchs. Ce sont 2 choses complètement différentes... pardon j'ai peut être loupé la blague
          • [^] # Re: Et avec iptables ?

            Posté par  (site web personnel) . Évalué à 3.

            sinon comme ça à l'instinct pour faire du mirroring de port sous linux j'utiliserais plutôt la fonction de bridging inclue dans le kernel de puis un bon bout de temps (4 ans environ) avec les outils userland associés (bridge-utils)

            PS: en vrac des outils d'analyses unitaires => iperf, iptraf, wireshark, mgen...
  • # ntop

    Posté par  . Évalué à 7.

    ntop ne correspondrait pas a ce que tu cherches ? ( d'autant plus qu'il est compatible netflow )

    http://www.ntop.org/overview.html
    • [^] # Re: ntop

      Posté par  (site web personnel) . Évalué à 4.

      Nous utilisons ntop chez nous, sur une machine avec 2 cartes réseaux. la seconde servant à ntop étant connecté sur un 2950 cisco, sur un port en mirror du port de la passerelle internet.
      ça permet entre autre chose de retrouver qui fait du download pendant que le net rame pour les autres :p
      • [^] # Re: ntop

        Posté par  . Évalué à 4.

        Pourrais-tu détailler ta configuration, car j'avais à l'époque essayé ntop sur un pentum 1.2Ghz sur un réseau 100mbits avec derrière quelques milliers de machines (2-3000), et ntop n'arrivait pas à suivre.
        • [^] # Re: ntop

          Posté par  (site web personnel) . Évalué à 2.

          c'est une gentoo sur une workstation hp d530 P4 2.8 512 ram.

          Le traffic est assez faible: un millier de hosts enregistrés sur ntop, pour un parc de 300 machines. cela donne une charge ntop de moins de 10% et le network load de ntop:
          Actual 3.6 Mbps 1763.0 Pkts/sec
          Last Minute 3.5 Mbps 1733.2 Pkts/sec
          Last 5 Minutes 3.2 Mbps 1709.8 Pkts/sec
          Peak 12.4 Mbps 2411.4 Pkts/sec
        • [^] # Re: ntop

          Posté par  . Évalué à 4.

          NTop consomme surtout beaucoup de RAM. En simple collecteur Netflow, je vois déjà plus de 300Mo de mémoire virtuelle (centos et NTop récents).
      • [^] # Re: ntop

        Posté par  . Évalué à 9.

        Salauds d'admins réseaux nazis ! ;)
    • [^] # Re: ntop

      Posté par  . Évalué à 4.

      NTop a visualisation vraiment sympa et poussée mais c'est vraiment immonde quand on veut avoir une vue de plusieurs points du réseau. En particulier parce que l'interface (ou le device si ça fonctionne en collecteur Netflow) sur laquelle se fait la visualisation se choisit avec un petit truc à cocher 'switch device' et que du coup on ne peut voir que les informations d'une seule et unique interface (ou device). Et surtout c'est pas persistant. Genre si je change de device/interface je "perds" (niveau visualisation) les infos du précédent device/interface.

      En plus en collecteur Netflow, NTop est incapable de démultiplexer des flux Netflow qui arriveraient tous sur un port. Résultat, un port par device Netflow qui exporte... Sur des réseaux un peu sérieux (plusieurs centaines de switchs, quelques dizaines de routeurs, etc.) c'est vraiment une plaie. Ca veut dire qu'avec NTop en collecteur Netflow, il ne vaut mieux visualiser que le coeur de réseau ou la sortie du réseau.

      Il vaut probablement mieux essayer de combiner des solutions indépendantes genre softflowd en collecteur et flow-viewer en visualisation. Ou peut-être faire cracher à un collecteur Netflow du rrd visualisable à la demande (Netflow et Cacti peut-être). A tester (ça marche aussi sur du sflow).

      Sinon j'ai vu et entendu beaucoup de bien de Argus pour faire du monitoring vraiment détaillé : http://www.qosient.com/argus/
  • # netflow

    Posté par  (site web personnel) . Évalué à 3.

    nfdump / nfsen comme collecteur / affichage, alertes des flux netflow des routeurs : http://nfsen.sourceforge.net/
    et softwlod pour collecter les flux sur les serveurs qui nat :
    http://www.mindrot.org/projects/softflowd/
    ce qui donne environ 25G de données / mois
    et nagios pour la disponibilté
  • # IDS

    Posté par  . Évalué à 2.

    Un IDS et de vieuw hubs pourris en coeur de réseau font tout à fait l'affaire pour ça.
    • [^] # Re: IDS

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Non, pas vraiment : l'IDS lui va chercher ce qui dans le traffic semble être une attaque, et se moque de quelqu'un qui récupère une ISO en ftp.

      Avec ntop tu peux voir qui (enfin, l'adresse IP) récupère l'ISO. Et accessoirement, aller lui demander de relancer son téléchargement quand tout le monde sera parti manger ;)
  • # Analyse de débit avec "Bing"

    Posté par  . Évalué à 3.

    Dans le cadre d'analyses de la performance des réseaux, j'utilise parfois un petit utilitaire fort pratique qui permet de mesurer le débit intrinsèque local ou distant entre deux noeuds d'un réseau. Le terme « distant » signifie que la mesure de débit peut être effectuée entre deux noeuds distants de l'ordinateur exécutant « bing » (exemple : mesure du débit sur le lien entre son fournisseur d'accès et le reste d'Internet). Le terme "débit intrinsèque" signifie que « bing » tente de mesurer le débit nominal du lien et non la bande passante restant disponible à un instant donné. La méthode utilisée par cet outil s'appuie sur des mesures de temps associées à quelques primitives statistiques.

    Dans le même ordre d'idée, "mtr" (et son interface graphique "xmtr" ) utilise la même méthode pour déterminer les goulots d'étranglement au sein d'une chaîne de liaison.

    site pour "bing" : http://fgouget.free.fr
    site pour "mtr" : http://www.bitwizard.nl/mtr/

    PS : Je peux fournir un support de cours relatif à l'exploitation de ces deux outils logiciels.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.