NetFlow a identifikace původu flow z RouterOS

zip

Hezký den,

řeším NetFlow pro par Mikrotiku, které máme v síti - rozběhl sem nfdump a nfsen-ng- NFSEN-NG je taky pěkně za zenitem, ale nic lepšího sem zatím nenalezl v OpenSource (popřípadě prosím o doporučení v hodného nástroje).

Je možné data třídit do složek, dle názvu zařízení tj. /system identity a následně si zobrazit jen data, které potřebuji tj. dle zařízení .?

Na straně Mikrotiku to mám nastavené takto:

/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add dst-address=192.168.10.10

Děkuji ...

zdeneksvarc

zip K původnímu dotazu na třídění původu NetFlow dat. Protože na ten zatím nikdo neodpověděl. Jde to, ale ne přes /system identity. Nýbrž přes /ip traffic-flow target set src-address=<ip>:

IP může být kterákoliv dostupná v /ip address print. Nafejkovanou to sice vezme, ale nic nepošle.

Rozhazuju si tak zdroje do sloupce agent:

Pokud nechám src prázdnou, odešle se 0.0.0.0. Viz screenshot v predchozím příspěvku.

pgb

Nfsen-ng je imho takový nedotažený pokus o modernizaci původního nfsen (který je už fakt letitý ale stále funkční). Když jsem to před pár roky testoval, tak jsem narazil na spoustu nedotažených a chybujících funkcí - koukám na git nfsen-ng a od té doby se nic nezměnilo a zůstávám na původním nfsen.

zip

@pgb a co nyní používáš .?

pgb

zip jak jsem psal na konci, zůstávám u starého nfsen.

drakgon

pgb taky leta používám nfsen… na nic lepšího jsem ještě v open source nenarazil… na každou věc je toho k sehnání, ale na netflow nic není… interface je sice jako od lovců mamutů, ale funguje to…😀 kdyby měl někdo typ na nějakou alternativu, rad vyzkousim…

ifivecz

Pouzivame pro lokalni site Graylog ve free verzi, bacha ale na omezeni (tusim neco jako 5 GB logu per day). Umi to NetFlow v7/v9 a IPFIX + ma dalsi konektory, treba syslog.
Pripadne vizualizace ale musi clovek zmaknout sam (vedet co chci videt), pripadne pak vyuzit nabidky z jejich marketplace.

ekrajnak

Mrknite na nastroj Elastiflow

pgb

ekrajnak zkoušel jsi to prakticky trochu vážněji? To je nenažraná vícehlavá saň. Obecně ELK stack je děsně náročný. Ano je to moc hezký, ale chce to strašně moc zdrojů. Jsem si s tím hrál delší dobu a bylo strašný, provozovat to třeba ve virtuálce nepoužitelný, ten zmiňovaný nfsen naprosto nic nežere.

@zip

The minimum hardware required is a an i5 with 4 cores, 8 GB of RAM and a 1 TB hard disk. The recommended hardware is a xeon with 8 cores, 16 GB of RAM and hard disk on RAID 1+0.

https://github.com/robcowart/elastiflow/blob/master/INSTALL.md

flows/sec	(v)CPUs	Memory	Disk (30-days)	ES JVM Heap	LS JVM Heap
250	4	32 GB	512 GB	12 GB	4 GB
500	6	48 GB	1 TB	16 GB	4 GB
1000	8	64 GB	2 TB	24 GB	6 GB
1500	12	96 GB	3 TB	31 GB	6 GB

ekrajnak

pgb plne súhlasím, už som sa niekde na fóre k tomu rovnako vyjadroval. Ale zase poznám veľkých národných operátorov, ktorý to používajú.

skrivy

pgb 8GB/16GB RAM v dnešní době je opravdu málo.

Ale prakticky - máme to nasazeno na 60Gbps provozu na VM 8vCPU (zátěž je 1%), 12GB RAM a SSD ceph. Nepřijde mi, že by si to na něco stěžovalo. Jen mi tam chybí IPv6 provoz, ale to vypadá na nějakou drobnost.

pgb

skrivy tak to zkusím znovu, třeba to prijemne překvapí. Na SSD jsem to nikdy neměl a 16gb paměti jsem tomu nikdy nedal.

zdeneksvarc

V rámci jednoho experimentálního projektu ukládám NetFlow do ClickHouse. NetFlow jsou data neměnná a ClickHouse je OLAP. Takže super synergie.

ClickHouse podporuje sharding, replikaci a všechny ty libůstky, které se očekávají od big data. Jediná drobná nevýhoda je absence JSON jako datového typu. Resp. on tam je od verze 22.3, ale zatím experimentálně. Ale i s objektem uloženým do stringu se celkem dá pracovat:

Určitě nejsem jedinej, komu se ClickHouse na účely analýzy traffic flow zamlouvá, třeba Free.fr si vyvinul Akvorado. Doporučuju se mrknout alespoň na demo. Mají v tom moc hezky zpracované toky napříč ASkama.

Dost populární je pmacct. Umí ukládat do flat files a běžných databází (PostrgreSQL, MongoDB). Ale nemám zkušenost.

Jinak by mě zajímalo, pro jaké účely dneska NetFlow/IPFIX jako lokální operátoři používáte? Logování dat, statistiky protokolů, statistiky přenosů mezi ASkama, detekce DDoS nebo jiné účely? Díky.

dacesilian

zdeneksvarc Vyzkoušel jsem zmíněný pmacct, konkrétně jeho část nfacctd (NetFlow collector). Pakety to agreguje podle zadaných "aggregation primitives" (seznam). Ukládám do PostgreSQL, tady je mapování na sloupce, ve stejné složce je i základní struktura databáze.

Provozuji v Dockeru. Konfigurační soubor nfacctd.conf může vypadat takhle. debug: true pomůže odhalit nesprávnou strukturu tabulky, případně další věci. Pak je dobré dát false.

daemonize: false
debug: true
nfacctd_port: 2055
geoipv2_file: /etc/pmacct/GeoIP/GeoLite2-Country.mmdb
aggregate: src_host, dst_host, src_port, dst_port, proto, tos, in_iface, out_iface, src_host_country, dst_host_country, src_mac, dst_mac, peer_src_ip
sql_table_version: 9
plugins: pgsql
sql_optimize_clauses: true
sql_refresh_time: 10
sql_history: 1d
sql_history_roundoff: d
sql_db: pmacct
sql_table: acct_v9
sql_host: 
sql_user: 
sql_passwd:

Teď už by se jen hodil dobrý dashboard do Grafany, možná i nějaké předzpracování 🙂