You are here: Foswiki>Mango Web>CibsDocHowTo>CibsDocHowToNetflowAllWork (20 Mar 2020, PavelSulak)EditAttach

Jak funguje  MANGO  Data Retention - modul NETFLOW (pro technické pracovníky)

Navigace: MENU: Správa zařízení SÍŤ, modul
mod_submenu_netflow NETFLOW
.

1. Význam modulu

Modul umožňuje zachycování a zobrazování NetFlow statistik z routerů, též export informací o jednotlivých datových tocích mezi zařízením zákazníka a jinými IP adresami na internetu (pro účely požadavků na data retention ze strany státních orgánů). Podporované typy infrastrukturních zařízení, z nichž je možné přijímat NetFlow data, jsou LINUX (Mango Router Manager) a MIKROTIK. Statistiky zachycují typy síťového provozu za daný den na daném infrastrukturním zařízení nebo na konkrétní koncové IP adrese (respektive na zařízení zákazníka, jestliže je zařízení s příslušnou IP adresou v databázi definováno). Pro ISP mohou být data užitečná například pro identifikaci „stahovačů“ na daném infrastrukturním zařízení, pro účely bezpečnosti (identifikace „podezřelých“ typů síťového provozu), nebo pro marketingové účely. Řešení lze použít plně i pro účely zákona č. 127/2005 Sb., č. 273/2012 Sb. a vyhlášky č. č. 357/2012 Sb., pokud je použit Mango Router Manager s Mango Netflow sondou (nastavuje OG Soft). Modul je připraven pro pozdější implementaci normy ETSI TS 102 657.

 MANGO : Základní obrazovka, dle Mango partnera se může lišit její obsah (data, funkce):
Defaultní zobrazení modulu

2. Popis modulu

Tabulka NetFlow exporty

Tabulka zobrazuje seznam infrastrukturních zařízení exportujících netflow data v dané lokaci za jednotlivé dny se souhrnnými statistikami. Má definovánu akci pro propojení do modulu Odkaz na schéma síťových zařízení „síť a zařízení“ a akci Vyhledání síťových spojení v exportovaných datech pro vyfiltrování a stažení exportu podrobných informací o datových tocích z koncových IP adres na daném infrastrukturním zařízení.

Popis k nastavení formuláře pro vyhledání síťových spojení v exportovaných datech naleznete ZDE . Dále pod odkazem naleznete popis filtrů a sloupců této tabulky.

Tabulka Připojené IP adresy

Tabulka zobrazuje statistiky za jednotlivé koncové IP, připojené na daném infrastrukturním zařízení. Jestliže je v databázi definováno koncové zařízení s příslušnou IP, je v detailu zobrazeno jeho ID, propojené do modulu Odkaz na schéma síťových zařízení „síť a zařízení“ a při najetí kurzorem myši na tento záznam se zobrazí název zařízení a jméno zákazníka.

Detailní pohled je možné filtrovat podle minimálního objemu dat, podle toho, zda provoz koncového zařízení zasahuje do časového intervalu, a pomocí fultextového filtru „Hledej text“, který hledá IP adresu, název zařízení nebo jméno zákazníka.

Detail rovněž zobrazuje seznam typů spojení z dané koncové adresy, dále je možné vyfiltrovat koncové adresy podle toho, zda se z nich uskutečnily spojení určitého typu (ve filtru jsou pouze typy, podle nichž předpokládáme, že má smysl filtrovat).

V současnosti rozlišujeme spojení typů http, https, ftp, smtp, pop3, imap, ssh, others_privileged pro jiné typy spojení na privilegované porty (číslo portu < 1024) a others pro ostatní (typicky peer-to-peer software, Skype, ICQ a pod.). V případě potřeby je možné tento seznam rozšířit o další typy spojení s pevně definovanou množinou portů [informace viditelné v  MANGO  budou rozlišeny od okamžiku, kdy se tato úprava provede (tedy nikoli zpětně) - je to proto, že se do databáze ukládají agregovaná data rozlišená podle typů]. To znamená, že je možné například úspěšně odlišit spojení NetBios služeb, naproti tomu například odlišení ICQ by bylo možné jen částečně, pro Skype je technicky možné rozpoznat jen spojení na login servery, nikoli vlastní volání.

Tabulka Typy síťového provozu

Tabulka zobrazuje koláčový graf s poměrem objemů dat (přijatých/odeslaných) pro jednotlivé typy (router/koncové zařízení). Graf je možné pomocí filtru přepínat mezi zobrazením statistik pro celé infrastrukturní zařízení nebo pro konkrétní koncovou IP adresu (zobrazuje data v závislosti na vybraném zařízení v tabulce "!NetFlow exporty" a vybraném koncovém zařízení v tabulce "Připojené IP adresy").

3. Kolektor

Data z jednotlivých exportujících infrastrukturních zařízení zachycuje upravený NetFlow kolektor NFDUMP, který v současnosti běží na adrese 91.227.7.6 na portu 10001.

4. Související odkazy

Referenční popis modulu NetFlow ZDE

Jak využít NetFlow modul (nebo funkcionalitu)  MANGO  pro vlastní zařízení ZDE

Jak postupovat s požadavkem od Policie ČR nebo soudu na poskytnutí informací síťového provozu ZDE

Informace k netflow protokolu ZDE .

Postup k nastavení sady parametrů naleznete ZDE .

5. Odkazující články

Edit | Attach | Print version | History: r6 < r5 < r4 < r3 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r6 - 20 Mar 2020, PavelSulak
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback