Netzwerkanalyse: Flow-Monitoring
Flow-Monitoring: Upgrades ohne Eigentor
Fortsetzung des Artikels von Teil 1
Performance-Schwäche: Konfigurationsproblem oder Virenbefall?
Sogar nagelneue Hardware kann das LAN ausbremsen. Intelligente Switches und Router nutzen nämlich wenig, wenn sie nicht korrekt konfiguriert sind. Hier ist Flow-Monitoring für das Finden der richtigen Einstellungen sehr wichtig.
Sinkt die Performance plötzlich ohne erkennbaren äußeren Anlass, dann sollten bei Netzwerkadministrator die Alarmglocken schrillen. Denn das kann ein Hinweis auf einen eingeschleppten Virus sein, der Daten nach draußen schafft.
Zuweilen kommt es sogar vor, dass der Mail-Server in ein Bot-Netz gezwungen und dreist für den Spam-Versand missbraucht wird. Hacker-Angriffe verraten sich bei konsequentem Flow-Monitoring zum Glück schnell durch verdächtige Aktivitäten. Dann kann der Admin die Leitung kappen und den Schädling beseitigen, bevor der Account oder die ganze Firmen-Domain auf diversen Blacklists erscheint.
Auf der Hardware-Seite spielt beim Flow-Monitoring das Netflow-Protokoll eine entscheidende Rolle. Diese ursprünglich von Cisco entwickelte Technologie ist mittlerweile in der Version 9 ein offener Standard.
Die Protokolle jFlow (Juniper) und Netstream (Huawei) sind technisch identische Pendants zu Netflow. Da es sich bei Netflow es sich um ein passives Verfahren handelt, hat die Messung selbst keine Auswirkungen auf den Traffic. Die Netflow-Daten werden von den einzelnen Komponenten der Netzwerk-Hardware geliefert.
Ein Flow enthält typischerweise folgende Informationen:
- Versionsnummer und Sequenznummer
- Zeitstempel
- Byte- und Paketzähler
- Quell- und Ziel-IP-Adressen
- Quell- und Ziel-IP-Ports
- Ingress- und Egress-Port-Nummern
- TOS-Informationen
- AS-Nummern (BGP 4)
- TCP-Flags
- Protokoll-Typ (zum Beispiel TCP, UDP oder ICMP)
Das Netflow-Protokoll ist aber nicht der einzige Standard. Fast alle Netzwerke sind gewachsene Strukturen und bestehen aus unterschiedlichen Komponenten. Daher müssen Programme wie Ipswitch Flow Monitor viele Flow-Management-Formate unterstützen, darunter auch sFlow oder J-Flow.
Ebenso muss ein Flow-Monitoring-Programm mit Switches und Routern diverser Hersteller zurechtkommen, etwa den Systemen von Cisco, Juniper, Extreme, Enterasys oder Bluecoat.
Flow-Monitoring, das heißt nicht nur die von der Hardware bereitgestellten Informationen zu sammeln: Gute Programme analysieren den Datenverkehr im Netzwerk und liefern dem Administrator strukturierte Informationen, ohne ihn mit Unwichtigem zu belasten. Automatische Alerts und vordefinierte Reports übernehmen Routineaufgaben. Sie melden Engpässe und Gefahren.
Wichtige Flow-Monitoring-Funktionen sind:
- Automatische Klassifizierung des Datenverkehrs nach Typ und Protokoll in Echtzeit
- Identifizierung von Flow-Mustern über das Netzwerk in Echtzeit
- Identifizierung von Datenverkehrsquellen und Datenverkehrszielen sowie der Geräte mit dem größten Bandbreitenverbrauch
- Identifizierung von Datenverkehrszielen nach Gruppe, Domäne, Top-Level-Domäne (TLD) und Land
- Identifizierung interner und externer Datenverkehrsquellen und -ziele
- Identifizierung und Analyse des Datenverkehrs in LANs und WANs für Quality-of-Service-Verfahren zur Type-of-Service-(ToS-) oder DSCP-Klassifizierung
- Gruppierung der Flow-Daten auf Basis gemeinsamer Parameter, etwa IP-Adressen nach Domäne, TLD oder Land
- Automatische Identifizierung hoher Daten-Flows zu nicht überwachten Ports
- Aufspüren von unzulässigen Anwendungen, wie etwa Plattformen für den Tausch von Daten und Musik
- Erkennung fehlgeschlagener Verbindungsversuche
Diese Checkliste sollte man beim Software-Kauf mit dabei haben, denn bei weitem nicht jedes Netzwerk-Tool taugt auch wirklich zu einem praxisgerechten Monitoring.
- Flow-Monitoring: Upgrades ohne Eigentor
- Performance-Schwäche: Konfigurationsproblem oder Virenbefall?
- Software-Flow-Monitoring: Neue Protokolle für alte Hardware
Lesen Sie mehr zum Thema
