análise de rede de fluxo para engenharia de firewall [fechada]

3

Estou executando uma rede com um sistema de firewall central, historicamente desenvolvido, que gostaria de substituir. Infelizmente, o conjunto de regras desenvolvido historicamente é uma bagunça real, então eu gostaria de fazer uma análise de rede a partir do zero. Por isso, planejo executar o fluxo em meus HP Procurve Switches. Eu já o tenho rodando com o ntop mas infelizmente não é a ferramenta de escolha no meu caso. O que estou procurando é um coletor de fluxo de dados que eu poderia usar para reestruturar minhas regras de firewall. O objetivo principal é obter uma visão gráfica e / ou de tabela de todos os hosts na rede. O que eu preciso fazer é criar um novo conjunto completo de regras para cada host na rede, onde meu foco está nas conexões de entrada do ponto de vista do host. A ferramenta deve ter diferentes opções de filtro como "filtrar por host", "filtrar por rede", filtrar por serviço "etc. É claro que eu preferiria usar o software Open Source, mas se não houver uma ferramenta de software livre adequada para o meu propósito, eu estou definitivamente disposto a pagar por uma ferramenta comercial.

Espero que minha explicação não seja muito confusa. : -)

Seria ótimo receber alguns conselhos de vocês. A lista em sflow.org é um bom ponto de partida, mas infelizmente não tenho tempo para experimentar cada ferramenta na lista:

link

Felicidades,

Bob

    
por Bob Meier 10.03.2011 / 11:16

2 respostas

1

Estou usando nfdump / nfsen e Scrutinizer do Plixer desde há algum tempo (mais nfdump do que o scrutinizer ultimamente). Ambos são ferramentas fantásticas, mas cada um tem seu próprio nicho de usuários.

O Nfdump / nfsen é opensource / free-as-cerveza, mas pode ser muito "nerd" para alguns usuários. Seus recursos de filtragem / consulta são extremamente poderosos (pense na sintaxe de filtragem "tcpdump" mas para fluxos mais agregação e classificação) mas na minha opinião falta algum polimento no lado de geração de gráficos / relatórios da equação (em nfsen). O que eu amo no nfdump é que eu sou capaz de lançar algumas consultas de linha de comando "rápidas e sujas" e obter as informações que eu preciso em um formato que esteja pronto para alimentar alguns dos meus scripts python.

Por outro lado, o Scrutinizer (comercial / não-livre-como-cerverza) é uma fantástica ferramenta "visual". Ótimo para gerar relatórios e visualizações para compartilhar com os clientes não tão "geek" que eu tenho. Ele está pesquisando capacidades são ótimas, mas eu não encontrei uma maneira de extrair informações via linha de comando (principalmente porque eu não pesquisei se o Scrutinizer tem essa capacidade, porque isso eu posso realizar com o nfdump).

Uma última coisa. Eu sei em primeira mão que o Scrutinizer pode consumir dados sFlow. Eu sei (pelo que eu li e as opções de configurações que eu vi) que o nfdump pode consumir dados sFlow também, mas eu pessoalmente nunca fiz isso. Eu usei o nfdump apenas com dados do Netflow v5 / v9. Então, minha recomendação é que antes de se comprometer com o nfdump, você deve confirmar essa capacidade.

    
por 10.03.2011 / 12:59
0

Como você está usando os switches HP ProCurve, eu recomendaria uma ferramenta que suporte a sFlow MIB para configuração. O sFlowTrend é gratuito e possui recursos de filtragem e relatórios que devem fornecer os dados de que você precisa.

    
por 10.03.2011 / 16:01