von Redaktion IT-A…
Lesezeit
4 Minuten
Monitoring in LAN und WAN (2)
Netzwerke bilden das Rückgrat der Unternehmenskommunikation. Aus diesem Grund müssen die Netze neben Datensicherheit auch ein gewisses Maß an Redundanz und Ausfallsicherheit gewährleisten. Oft fehlt jedoch eine zentrale Kontrollinstanz beziehungsweise ein integriertes Management. Diese Herangehensweise funktioniert so lange, bis während des Betriebs signifikante Fehler auftreten. Im zweiten Teil zeigen wir, wie Sie sich mit Open-Source-Tools behelfen können.
Zahlreiche Open-Source-Werkzeuge
In Bezug auf Netzwerk und Monitoring fallen sofort eine ganze Menge bekannter und mittlerweile auch durchaus prominenter Open-Source-Lösungen ein. Die bekanntesten sind Nagios [1] gefolgt von Cacti [2]. Es gibt einen Fork von Nagios unter dem Namen Icinga [3], der gegenüber der Nagios-Lösung im wesentlichen Performance-Verbesserungen und eine ausgebaute Plug-in-Unterstützung ermöglicht. Icinga soll vollständig Nagios-kompatibel bleiben.
Eher im Schatten der großen Open-Source-Lösungen steht das Netflow-kompatible Forsensic Tool NFSen [4]. NFSen ist wie viele Open-Source-Lösungen in verschiedene Funktionsblöcke aufgeteilt. Den NetFlow-Empfangsbereich deckt das Open-Source-Werkzeug NFDump [5] ab. NFDump selbst besteht aus einer ganzen Reihe von speziellen Serverprozessen, die in Summe die NetFlow-Annahme realisieren, die Weiterverarbeitung und ebenso die Speicherung der Daten. In diesem Sinne stellt NFDump quasi den Runtime-Bereich zur Analyse der Daten zur Verfügung.
Der Überblicksbildschirm von NFSen, das NetFlow-Daten einsammelt.
Die Präsentation der Daten wird anschließend von NFSen übernommen. NFSen gehört somit in die Klasse der NetFlow-Kollektoren. Viele der seit Jahren installierten Netzwerk-Switche beherrschen mittlerweile das NetFlow-Protokoll oder auch IPFix. NFSen gibt dem IT-Administrator quasi die Möglichkeit, von grob nach fein komplett durch seine gesamte Netzwerkkommunikation zu gehen, zumindest sofern diese durch entsprechende NetFlow-Probes aufgezeichnet und in der Datenbank gespeichert wurde.
NFSen ist (je nach Größe der Festplatten) in der Lage, über einen sehr langen Zeitraum die Daten aufzuzeichnen. In der untersuchten Implementierung können die Daten quasi bis zu vier Wochen rückwärts ausgewertet werden. Auswerten bedeutet in diesem Fall, alle Informationen, die durch die NetFlow-Sender (dies können Cisco-Switche oder auch spezielle NetFlow-Probes sein) zur Verfügung gestellt werden. Senden diese aus der vorhandenen Netzinfrastruktur heraus (beispielsweise über die Cisco-Switche) die Daten per Netflow an NFSen, lassen sich die Daten auch in der Vergangenheit analysieren. Sie erkennen etwa, warum der Server zu einem bestimmten Zeitpunkt ein Problem aufwies.
Die Anzeige der Daten können Sie über einen Zeitraum von 12 Stunden bis zu einem Monat einstellen. Bei Überschreiten eines Monats legen Sie das dünne schwarze Lineal auf die entsprechende Zeitmarke. Allerdings betrachten Sie zu diesem Zeitpunkt alle NetFlow-Sender. Möchten Sie die Auswertung auf einen einzigen NetFlow-Sender begrenzen, wählen Sie im gleichen Bildschirm im unteren Bereich die NetFlow-Sender aus.
Sie können basierend auf den gespeicherten beziehungsweise per NetFlow gelieferten Daten gezielt Protokolle ein- oder ausblenden und damit die Protokollstruktur überwachen. Kommt ein zusätzliches Protokoll, beispielsweise durch einen Angreifer oder Malware hinzu, fällt dies sofort auf und kann analysiert werden. Als Ergänzung empfiehlt sich an dieser Stelle noch eine Host-basierende NetFlow Probe, die ähnlich wie Wireshark die über das Interface laufende Kommunikation kontinuierlich analysiert. Der Unterschied zu Wireshark besteht darin, dass Wireshark dialogorientiert arbeitet und die Netflow-Probe als Serverprozess durchgehend alle Pakete untersuchen kann. Mit der hostbasierten NetFlow Probe nProbe lassen sich die Datenströme im Zusammenspiel mit NFSen bereits recht umfassend darstellen. nProbe unterliegt der GPLv2 und somit den Open-Source-Bestimmungen.
Performance messen
Häufig kommt es vor, dass einzelne Komponenten (Server, Clients oder Netzwerkkomponenten) nicht ordnungsgemäß arbeiten. Um hier Licht in das Dunkel zu bringen, bietet sich das Tool iPerf [6] an. iPerf ist der Quasi-Standard zur Messung der Netzwerkperformance. Das Client-Server-Tool erzeugt UDP- und TCP-Verkehrsströme und muss neben dem Client auch auf einem zweiten Rechner installiert werden. Dies sollte für belastbare Messungen ein zentraler Server oder ähnliches sein. Damit erhalten Sie bei verschiedenen Messpunkten eine stabile Basis, um die jeweiligen Messergebnisse in Beziehung setzen zu können.
Um sich möglichst schnell mit iPerf vertraut zu machen, genügt es, auf dem Server iPerf im Server-Modus zu starten. Dies geschieht mit dem Kommando iperf -s. Auf dem Client wird iPerf mit dem Kommando iperf -c Server-IP-Adresse gestartet. Auf Basis einer guten Netzwerkdokumentation ist es mit iPerf möglich, ein Netzwerk vollständig auf Performance-Schwächen hin zu untersuchen. Der Weg führt dabei über eine gute Planung des Messverfahrens mit entsprechend ausgewählten Messpunkten. Auf Basis der vorhandenen Informationen zu den jeweiligen Komponenten arbeiten Sie sich anschließend entweder vom Server in Richtung problembehafteter Client oder in umgekehrter Richtung vor. Der Weg hängt von Ihrem Geschmack oder der aktuellen Informationslage ab.
ntop ist ein Unix-basiertes Tool, das ähnlich des Unix-Kommandos top die Nutzung des Netzwerkes darstellt. ntop basiert auf libpcap und ist praktisch auf jeder Unix-Umgebung, aber auch unter 32 Bit-Windows lauffähig. Das Kommando apt-get install ntop installiert die Anwendung. Unter Debian müssen Sie leider aufgrund eines Skriptfehlers danach noch per chown -R ntop.ntop /var/lib/ntop die Zugriffsrechte anpassen. Über ntop -u ntop -w 80 -i eth0 -d rufen Sie das Tool anschließend auf. Mit der Option "-u" stellen Sie den User "ntop" ein, die Option "-w 80" ermöglicht den Zugriff mittels HTTP auf Port 80 (respektive -w 443 per https) und die Option "-d" lässt ntop als Daemon laufen. Sie können ntop auch als NetFlow-Kollektor für die bereits angesprochene nProbe verwenden.
ntop ist sehr schnell installiert und gibt grafisch einen sehr guten Überblick über die folgenden Fragen:
Das Tool iPTraf ist bereits etwas älter, aber dennoch ein leistungsfähiges Kommandozeilentool. Auch hier wird die Installation mit apt-get install iptraf und der Aufruf mit iptraf durchgeführt. iPTraf kennt verschiedene Auswertefunktionen. Zum einen ist es möglich, sich den Netzwerkverkehr per Interface oder über alle Interfaces anzusehen. Zum anderen sind verschiedene Statistikfunktionen (vom generellen Überblick bis hin zu Interface-spezifischen Informationen) verfügbar. Sehr gut nutzbar ist die Funktion, die die Paketgrößenverteilung getrennt nach UDP- oder TCP-Paketen anzeigt. Hilfreich ist auch der Netzwerkmonitor, der alle bekannten beziehungsweise sichtbaren MAC-Adressen im lokalen Netzwerk auflistet.
Fazit
Kennen Sie die für ein Netzwerk-Monitoring nötigen Messgeräte und Simulatoren nicht, kommt am Ende wenig Sinnvolles heraus. Daher sind genügend Wissen über die Messprozeduren und Zeit für tiefergehende Tests angesagt.
dr/ln/Mathias Hein
[1] www.nagios.org
[2] www.cacti.net
[3] www.icinga.org
[4] http://nfsen.sourceforge.net
[5] http://nfdump.sourceforge.net
[6] https://iperf.fr
In Bezug auf Netzwerk und Monitoring fallen sofort eine ganze Menge bekannter und mittlerweile auch durchaus prominenter Open-Source-Lösungen ein. Die bekanntesten sind Nagios [1] gefolgt von Cacti [2]. Es gibt einen Fork von Nagios unter dem Namen Icinga [3], der gegenüber der Nagios-Lösung im wesentlichen Performance-Verbesserungen und eine ausgebaute Plug-in-Unterstützung ermöglicht. Icinga soll vollständig Nagios-kompatibel bleiben.
Eher im Schatten der großen Open-Source-Lösungen steht das Netflow-kompatible Forsensic Tool NFSen [4]. NFSen ist wie viele Open-Source-Lösungen in verschiedene Funktionsblöcke aufgeteilt. Den NetFlow-Empfangsbereich deckt das Open-Source-Werkzeug NFDump [5] ab. NFDump selbst besteht aus einer ganzen Reihe von speziellen Serverprozessen, die in Summe die NetFlow-Annahme realisieren, die Weiterverarbeitung und ebenso die Speicherung der Daten. In diesem Sinne stellt NFDump quasi den Runtime-Bereich zur Analyse der Daten zur Verfügung.
Der Überblicksbildschirm von NFSen, das NetFlow-Daten einsammelt.
Die Präsentation der Daten wird anschließend von NFSen übernommen. NFSen gehört somit in die Klasse der NetFlow-Kollektoren. Viele der seit Jahren installierten Netzwerk-Switche beherrschen mittlerweile das NetFlow-Protokoll oder auch IPFix. NFSen gibt dem IT-Administrator quasi die Möglichkeit, von grob nach fein komplett durch seine gesamte Netzwerkkommunikation zu gehen, zumindest sofern diese durch entsprechende NetFlow-Probes aufgezeichnet und in der Datenbank gespeichert wurde.
NFSen ist (je nach Größe der Festplatten) in der Lage, über einen sehr langen Zeitraum die Daten aufzuzeichnen. In der untersuchten Implementierung können die Daten quasi bis zu vier Wochen rückwärts ausgewertet werden. Auswerten bedeutet in diesem Fall, alle Informationen, die durch die NetFlow-Sender (dies können Cisco-Switche oder auch spezielle NetFlow-Probes sein) zur Verfügung gestellt werden. Senden diese aus der vorhandenen Netzinfrastruktur heraus (beispielsweise über die Cisco-Switche) die Daten per Netflow an NFSen, lassen sich die Daten auch in der Vergangenheit analysieren. Sie erkennen etwa, warum der Server zu einem bestimmten Zeitpunkt ein Problem aufwies.
Die Anzeige der Daten können Sie über einen Zeitraum von 12 Stunden bis zu einem Monat einstellen. Bei Überschreiten eines Monats legen Sie das dünne schwarze Lineal auf die entsprechende Zeitmarke. Allerdings betrachten Sie zu diesem Zeitpunkt alle NetFlow-Sender. Möchten Sie die Auswertung auf einen einzigen NetFlow-Sender begrenzen, wählen Sie im gleichen Bildschirm im unteren Bereich die NetFlow-Sender aus.
Sie können basierend auf den gespeicherten beziehungsweise per NetFlow gelieferten Daten gezielt Protokolle ein- oder ausblenden und damit die Protokollstruktur überwachen. Kommt ein zusätzliches Protokoll, beispielsweise durch einen Angreifer oder Malware hinzu, fällt dies sofort auf und kann analysiert werden. Als Ergänzung empfiehlt sich an dieser Stelle noch eine Host-basierende NetFlow Probe, die ähnlich wie Wireshark die über das Interface laufende Kommunikation kontinuierlich analysiert. Der Unterschied zu Wireshark besteht darin, dass Wireshark dialogorientiert arbeitet und die Netflow-Probe als Serverprozess durchgehend alle Pakete untersuchen kann. Mit der hostbasierten NetFlow Probe nProbe lassen sich die Datenströme im Zusammenspiel mit NFSen bereits recht umfassend darstellen. nProbe unterliegt der GPLv2 und somit den Open-Source-Bestimmungen.
Performance messen
Häufig kommt es vor, dass einzelne Komponenten (Server, Clients oder Netzwerkkomponenten) nicht ordnungsgemäß arbeiten. Um hier Licht in das Dunkel zu bringen, bietet sich das Tool iPerf [6] an. iPerf ist der Quasi-Standard zur Messung der Netzwerkperformance. Das Client-Server-Tool erzeugt UDP- und TCP-Verkehrsströme und muss neben dem Client auch auf einem zweiten Rechner installiert werden. Dies sollte für belastbare Messungen ein zentraler Server oder ähnliches sein. Damit erhalten Sie bei verschiedenen Messpunkten eine stabile Basis, um die jeweiligen Messergebnisse in Beziehung setzen zu können.
Um sich möglichst schnell mit iPerf vertraut zu machen, genügt es, auf dem Server iPerf im Server-Modus zu starten. Dies geschieht mit dem Kommando iperf -s. Auf dem Client wird iPerf mit dem Kommando iperf -c Server-IP-Adresse gestartet. Auf Basis einer guten Netzwerkdokumentation ist es mit iPerf möglich, ein Netzwerk vollständig auf Performance-Schwächen hin zu untersuchen. Der Weg führt dabei über eine gute Planung des Messverfahrens mit entsprechend ausgewählten Messpunkten. Auf Basis der vorhandenen Informationen zu den jeweiligen Komponenten arbeiten Sie sich anschließend entweder vom Server in Richtung problembehafteter Client oder in umgekehrter Richtung vor. Der Weg hängt von Ihrem Geschmack oder der aktuellen Informationslage ab.
ntop ist ein Unix-basiertes Tool, das ähnlich des Unix-Kommandos top die Nutzung des Netzwerkes darstellt. ntop basiert auf libpcap und ist praktisch auf jeder Unix-Umgebung, aber auch unter 32 Bit-Windows lauffähig. Das Kommando apt-get install ntop installiert die Anwendung. Unter Debian müssen Sie leider aufgrund eines Skriptfehlers danach noch per chown -R ntop.ntop /var/lib/ntop die Zugriffsrechte anpassen. Über ntop -u ntop -w 80 -i eth0 -d rufen Sie das Tool anschließend auf. Mit der Option "-u" stellen Sie den User "ntop" ein, die Option "-w 80" ermöglicht den Zugriff mittels HTTP auf Port 80 (respektive -w 443 per https) und die Option "-d" lässt ntop als Daemon laufen. Sie können ntop auch als NetFlow-Kollektor für die bereits angesprochene nProbe verwenden.
ntop ist sehr schnell installiert und gibt grafisch einen sehr guten Überblick über die folgenden Fragen:
- Wie ist die Verkehrsverteilung der Protokolle?
- Wie verteilt sich statistisch der Netzwerkverkehr?
- Wer spricht mit wem?
Das Tool iPTraf ist bereits etwas älter, aber dennoch ein leistungsfähiges Kommandozeilentool. Auch hier wird die Installation mit apt-get install iptraf und der Aufruf mit iptraf durchgeführt. iPTraf kennt verschiedene Auswertefunktionen. Zum einen ist es möglich, sich den Netzwerkverkehr per Interface oder über alle Interfaces anzusehen. Zum anderen sind verschiedene Statistikfunktionen (vom generellen Überblick bis hin zu Interface-spezifischen Informationen) verfügbar. Sehr gut nutzbar ist die Funktion, die die Paketgrößenverteilung getrennt nach UDP- oder TCP-Paketen anzeigt. Hilfreich ist auch der Netzwerkmonitor, der alle bekannten beziehungsweise sichtbaren MAC-Adressen im lokalen Netzwerk auflistet.
Fazit
Kennen Sie die für ein Netzwerk-Monitoring nötigen Messgeräte und Simulatoren nicht, kommt am Ende wenig Sinnvolles heraus. Daher sind genügend Wissen über die Messprozeduren und Zeit für tiefergehende Tests angesagt.
dr/ln/Mathias Hein
[1] www.nagios.org
[2] www.cacti.net
[3] www.icinga.org
[4] http://nfsen.sourceforge.net
[5] http://nfdump.sourceforge.net
[6] https://iperf.fr
