Download

Mit Network Flows den Netzwerk-Traffics analysieren

Die Überwachung von Netzwerk Flows ermöglicht eine tiefgehende Analyse des Netzwerks und zeigt unter anderem, welche Hosts in einem Netzwerk miteinander kommunizieren und welche Protokolle sie dafür nutzen.

Network Flow: Ein Blick in die Meta-Informationen

Die meisten Netzwerk-Monitoring-Tools liefern bereits viele interessante Einblicke in das Netzwerk. Wie umfangreich das ist, hängt vor allem von den Informationen ab, die die jeweilige Software von den verschiedenen Netzwerkkomponenten erhält. Da die meisten Monitoring-Lösungen mit SNMP arbeiten, sind sie von den durch den SNMP-Agenten bereitgestellten Daten abhängig. Dieser liefert – sofern das Protokoll richtig Implementiert ist – einen sehr guten Einblick in die Auslastung des Netzwerks, etwa zur Bandbreite auf den verschiedenen Netzwerkschnittstellen, dem Status und/oder der Auslastung der eingesetzten Geräte.

Administratoren, die eine tiefere Analyse ihres Netzwerks benötigen, sollten daher eine Monitoring-Software einsetzen, die über weiterführende Funktionen verfügt, etwa einer Analyse und einem Monitoring des Network Flows. Beim Network Flow handelt es sich um Meta-Informationen des Datenverkehrs.

Network-Flow-Monitoring bietet etwa Einsichten in die Peers eines Hosts

Ein Flow-Datensatz hält also Informationen darüber bereit, wer mit wem im Netzwerk über welche Protokolle miteinander spricht. Er gibt Aufschluss darüber, wer welchen Port benutzt und welche Applikation an welchem Port wie viel Bandbreite benötigt. Es ermöglicht somit eine gründlichere Ursachenforschung und ermöglicht es so, Flaschenhälse im Netzwerk schneller zu identifizieren.

Ferner erlaubt Network Flow ebenso eine Paket-Inspektion. Da die Network-Flow-Datensätze sehr stark zusammengefasst sind, benötigt man jedoch für die Paketanalyse einen Zugang zu den Rohpaketen, die man nur über einen Mirror Port oder ein Network Tap erhält. Diese lassen sich in der Regel ebenfalls als Datenquelle für eine Network-Flow-Analyse anbinden.

Top Talker und Top Listener

Mit Hilfe des Network Flows ist es möglich, detaillierte Nutzerdaten von den eingesetzten Switches und Routern zu erhalten – sofern diese ein Network-Flow-Protokoll unterstützen. Auf diese Weise kann die eingesetzte Monitoring-Lösung etwa Top Talker und Top Listener im Netzwerk auflisten sowie die Netzwerknutzung nach Quelle, Zieladresse, Protokoll oder Applikation aufschlüsseln. Darüber hinaus erhält der Administrator auch weitere Informationen zu den Geschehnissen im Netzwerk.

Die Bereitstellung der Flow-Daten erfolgt über verschiedene Protokolle, wie beispielsweise NetFlow oder sFlow. Cisco hat NetFlow ursprünglich mit der Absicht entwickelt, die Erstellung von Zugangskontroll-Listen zu vereinfachen.

Apps eines Hosts aufgeschlüsselt

Die eingesammelten Daten haben sich jedoch als sehr nützlich für eine weitere Analyse erwiesen, sodass der Netzwerkhersteller das Protokoll weiterentwickelt hat. Mittlerweile gibt es zwar weitere Flow-Analyse-Techniken von anderen Netzwerkherstellern, etwa J-flow von Juniper Networks, NetStream von Huawei oder Rflow von Ericsson – die Technik von Cisco ist jedoch die verbreitetste. Mit IPFIX hat die IETF (Internet Engineering Task Force) zudem einen Industriestandard für den Export von Flow-Datensätzen eingeführt, der auf der NetFlow-Version 9 basiert. Viele Hersteller unterstützen mittlerweile dieses Protokoll mit ihren Geräten.

Mit der Flow-Analyse ist der Administrator in der Lage zu wissen, wer, was, wann und wo im Netzwerk macht und wie der Datenverkehr in seiner Infrastruktur fließt. Auch lassen sich so beispielsweise Auffälligkeiten entdecken, die möglicherweise auf eine Schadsoftware oder andere unerwünschte Netzwerkereignisse hinweisen.

Die Daten helfen außerdem bei der Kapazitätsplanung im Netzwerk. Schließlich lässt sich mit Hilfe einer Network-Flow-Analyse nachvollziehen, wie viel Netzwerkbandbreite eine Applikation benötigt. Dies hilft zum einen dabei, die Auswirkung von bestimmten Applikationen auf das Netzwerk zu betrachten. So lassen sich beispielsweise Spitzen schnell identifizieren und Leitungsengpässe im Netzwerk optimieren.

Die Informationen sind zum anderen auch für den Einsatz eines Quality of Service (QoS) in einer Netzwerkumgebung sinnvoll. Bei QoS handelt es sich um die Priorisierung von Datenverkehr. Das heißt, dass die Datenpakete einer unternehmenskritischen Applikation, die wie beispielsweise VoIP (Voice over IP) auf eine geringe Latenz angewiesen ist, „Vorfahrt“ vor Datenpaketen von einer weniger latenten Applikation erhalten, wie beispielsweise E-Mails.

Funktionsweise von Network Flow

Ein Flow-Paket beinhaltet verschiedene Meta-Informationen, etwa die IP-Adresse des Senders sowie des Empfängers, den Quell- und den Ziel-Port, Layer-3-Protokoll-Typen, die Klassifizierung des Services sowie das Router- oder Switch-Interface. Das Protokoll gruppiert alle Pakete mit den gleichen Inhalten in einem Flow und zählt die Pakete und Bytes am Ende zusammen.

Netzwerkkomponenten, die ein Network-Flow-Protokoll unterstützen, erstellen und versenden ein solches Flow-Paket via Push-Methode. Diese Datensätze sammelt ein Kollektor ein. Je nachdem, welche Protokolle er unterstützt, wandelt er diese Daten in standardisierte Werte um und bereitet sie so für die Analyse auf. Anschließend leitet er die Daten an eine zentrale Instanz weiter, die diese aufbereiteten Daten nun grafische Visualisiert und in Form einer GUI für eine tiefere Analyse bereitstellt.

Network-Flow-Überwachung in Checkmk

Mit Checkmk 2.0 wird die Monitoring-Lösung um die Möglichkeit eines Network-Flow-Monitorings erweitert. Dazu integriert tribe29, das Unternehmen hinter Checkmk, die Network-Flow-Monitoring-Lösung des gleichnamigen Unternehmens ntop in die eigene Software. Mit dem Ziel, ein einheitliches Look and Feel bereitzustellen, sollen ab Checkmk 2.0 die Network-Flow-Daten von den ntop-Servern problemlos über das Monitoring von Checkmk abrufbar sein – ohne, dass der Anwender hierfür die Softwareoberfläche verlassen muss. Erfahren Sie mehr über die ntop-Integration in Checkmk in unserem Video von der Checkmk-Konferenz 2020.

Screenshot Network-Flow-Dashboard in Checkmk

Netflow-Monitoring mit ntop

Die ntop-Architektur

Das Flow-basierte Monitoring von ntop basiert auf zwei Komponenten: dem Kollektor namens nprobe und der Analyse- und Visualisierungskonsole ntopng.

nprobe sammelt die Traffic-Daten von Switches und Routern im Netzwerk ein, indem es deren NetFlow-, sFlow- oder IPFIX-Datensätze einsammelt. Der Kollektor bereitet diese Daten anschließend für die Analyse auf und übermittelt diese an ntopng, das eine Web-basierte, grafische Übersicht der Daten bereitstellt.

Durch die Visualisierung der Daten kann der Anwender die Einsichten in seiner Netzwerkinfrastruktur nehmen, die er haben möchte. Neben den Flow-Daten lässt sich nprobe auch mit „Rohdaten“, also nicht zu einem Flow aggregierten Datenpaketen aus einem Mirror Port oder einem Network Tap füttern, etwa für eine Deep Paket Inspection.

Grafische Darstellung Funktionsweise von Checkmk mit ntop

Visualisierung des Netzwerkverkehrs

Die Network-Flow-Überwachung von ntop bietet dem Netzwerkadministrator Einblicke in das eigene Netzwerk, die weit über die über SNMP eingeholten Informationen hinausgehen. Dies umfasst:

  •  Network-Flow-Analyse, etwa Top Talkers, etc.
  •  Tiefes Performance-Monitoring, etwa Delay, round-trip-times etc.
  •  Unterstützung bei der Threat Detection, durch die schnelle Entdeckung von Threads wie DDoS-Angriffen

Mit ntop ist so eine tiefe Netzwerkanalyse möglich. Mit der Lösung ist der Administrator in der Lage, etwa die Top Talker eines Ports einzusehen, zu überprüfen, wo die Daten hingehen, wer oder was die meiste Bandbreite eines Ports belegt und was die häufigste Zieladresse eines Ports ist. Der Administrator kann außerdem den Datenverkehr in Echtzeit einsehen und beispielsweise die aktivsten Interfaces und Top-Applikationen begutachten. Darüber hinaus besteht die Möglichkeit, auch historische Daten für eine Netzwerk-Traffic-Analyse heranzuziehen, um so beispielsweise Auffälligkeiten oder Trends zu identifizieren.

Durch die Überwachung des Network Flows von ntop erhalten Administratoren außerdem ausführlichere Informationen zu den im Netzwerk befindlichen Hosts. Über verschiedene Filter im Dashboard lassen sich verschiedene Details zu einem Host einsehen, etwa Traffic, Pakete, Ports, Peers oder Applikationen. Auf diese Weise ist es beispielsweise möglich, die Host-Informationen, die Checkmk bereitstellt, um zusätzliche Details aus dem Flow-basierten Monitoring von ntop anzureichern.

Dafür wird jede Host-Übersicht in Checkmk ein ntopng-Icon enthalten, um die zusätzlichen Flow-Daten aus ntop einsehen zu können. Möglich macht dies das Hardware- und Software-Inventory in Checkmk, das nach Schnittstellen suchen kann, wie beispielsweise die Host-View von ntop.

Wie bereits erwähnt, bietet ntop auch die Möglichkeit einer Deep Package Inspection (nDPI). Die Deep Package Inspection ermöglicht es ntop aufzuschlüsseln, welche Applikationsprotokolle von einer speziellen IP-Adresse über einen bestimmten Port verwendet werden. Dadurch lässt sich nachvollziehen, welche Applikationen ein Nutzer benutzt, etwa Microsoft Office 365, Citrix, SSH oder Checkmk. ntop unterstützt hierbei nach eigenen Angaben über 250 verschiedene Applikationsprotokolle. Da immer mehr Netzwerkverkehr zudem via SSL verschlüsselt ist, kann nDPI verschlüsselte Verbindungen unterstützen und mittels einem Decoder für SSL-Zertifikate von Clients und von Servern auf ihr Verschlüsselungszertifikat hin zu prüfen. Auf diese Weise lassen sich auch Applikationsprotokolle für Citrix Online oder Apple iCloud identifizieren, die sonst im verschlüsselten Datenverkehr unentdeckt bleiben.

Alarme: Erfahren, wenn etwas nicht stimmt

Die Überwachung des Network Flows ermöglicht es nicht nur, den Netzwerkverkehr zu analysieren. Es ist außerdem möglich, eine Übersicht über alle Alarme in ntop zu erhalten. Das Alert Dashboard bietet eine Tabelle zu aktiven Alarmen (engaged alerts), etwa wenn Schwellwerte überschritten wurden. Eine weitere Tabelle bietet eine Übersicht über vergangene, nicht mehr aktive Alarme (past alerts). Die dritte verfügbare Tabelle listet die Datenfluss-Alarme (flow alerts) auf. In dieser Kategorie meldet ntop anomale oder verdächtige Datenflüsse. Diese Alarme tauchen nicht in der Tabelle für aktive oder vergangene Alarme auf. Auf diese Weise erhält der Administrator einen Überblick über all seine Problemzonen in seinem Netzwerk.

 

Alarm-Dashboard in Checkmk

Testen Sie Checkmk mit all seinen Funktionen.

Kostenloses Trial herunterladen und ausprobieren.

Jetzt testen
Überzeugen Sie sich selbst

Testen Sie Checkmk jetzt.

Raw Edition herunterladen Kostenloses Open-Source-Monitoring
Play with Checkmk Checkmk ohne Installation ausprobieren
checkmk_conference_10.png

Das Highlight des Jahres: Vom 11. - 13. Juni 2024 kommt die Checkmk Community in München zusammen.

Register now