Computerpartner

  
Sie befinden sich hier: HOMENachrichtenKnow HowIT-Grundlagen
18.03.2017

Kostenlose Werkzeuge, die jedes Netzwerk benötigt

Monitoring Teil 2:

Mit kostenlosen Open-Source-Monitoring-Tools kann ein breiter Bereich von der automatischen Suche nach Geräten bis hin zur Sichtbarmachung von Systemen, Netzwerken und Verkehrsströmen abgedeckt werden.

M. Hein

Zur Vergrößerung anklicken

Mathias Hein

In der Netzwerk- und Server-Welt lautet das Mantra: Sichtbarkeit, Sichtbarkeit, Sichtbarkeit. Wenn ein Administrator nicht weiß, was das Netzwerk und die Server zu jeder Sekunde des Tages machen, betreibt man seine Ressourcen blind. Früher oder später wird den Administrator eine Katastrophe treffen.

Glücklicherweise gibt es gegen solche Probleme viele gute Werkzeuge, sowohl im kommerziellen als auch im Open Source-Bereich. Mein Kredo lautet: Gut und kostenlos schlägt immer gut und teuer! Ich habe eine Liste meiner Lieblings-Open-Source-Tools zusammengestellt. Diese umfasst vom Netzwerk- und Server-Monitoring bis hin zum Backup für Switch- und Router-Konfigurationen alle für den Betrieb wichtigen Werkzeuge.

NFSen

Aktuell eher im Schatten der großen Open Source Lösungen steht das Netflow kompatible Forsensic Tool NFSen. NFSen ist wie viele Open Source-Lösungen in verschiedene Funktionsblöcke aufgeteilt. Den Netflow-Empfangsbereich deckt die Open Source Lösung NFDump ab. NFDump selbst besteht aus einer ganzen Reihe von speziellen Serverprozessen, welche in Summe die NetFlow-Annahme realisieren, die Weiterverarbeitung und ebenso die Speicherung der Daten. In dem Sinne stellt NFDump quasi den Runtime-Bereich zur Analyse der Daten zur Verfügung. Die Präsentation der Daten wird anschließend von NFSen übernommen.

NFSen gehört somit in die neue Klasse der NetFlow Kollektoren. Viele der installierten Netzwerk-Switches beherrschen mittlerweile das NetFlow Protokoll oder auch IPFix. NFSen ist leider relativ schwierig zu installieren. NFSen gibt quasi dem IT-Administrator die Möglichkeit, von grob nach fein komplett durch seine gesamte Netzwerkkommunikation zu gehen, zumindest sofern diese durch entsprechende NetFlow Probes aufgezeichnet und in der Datenbank gespeichert wurde.

Überblicksbildschirm von NFSen

NFSen ist (je nach Größe der Festplatten) in der Lage, über einen sehr langen Zeitraum die Daten aufzuzeichnen. In der untersuchten Implementierung können die Daten quasi bis zu vier Wochen rückwärts ausgewertet werden. Auswerten bedeutet in diesem Fall, alle Informationen, welche durch die NetFlow Sender (dies können Cisco Switches oder auch spezielle NetFlow Probes sein) zur Verfügung gestellt werden. Wenn diese aus der vorhandenen Netzinfrastruktur heraus (beispielsweise über die Cisco Switches) die Daten per Netflow an NFSen senden, so lassen sich die Daten auch in der Vergangenheit analysieren. Man erkennt beispielsweise, warum der Server zu einem bestimmten Zeitpunkt ein Problem aufwies.

Detailbildschirm

Der dargestellte Bildschirm kann über einen Zeitraum von 12 Stunden bis zu einem Monat eingestellt werden. Beim Überschreiten von einem Monat legt man das dünne schwarze Lineal auf die entsprechende Zeitmarke. Allerdings betrachtet man zu diesem Zeitpunkt alle NetFlow-Sender. Möchte man die Auswertung auf einen einzigen NetFlow-Sender begrenzen, kann man im gleichen Bildschirm im unteren Bereich die NetFow-Sender auswählen.

Einstellen einer NetFlow Probe

In der Abbildung 3 wurden alle NetFlow-Sender bis auf ExtServer für die Bewertung ausgeblendet. Das Zeitslot (Lineal) ist auf 09.25 Uhr eingestellt. Im nächsten Schritt lässt sich der IT-Adminstrator den Verkehr im Detail darstellen.

Sniffermäßige Detailanalyse des Verkehrs

Es wurde nur der NetFlow Sender ExtServer eingestellt. In der Mitte des Bildschirms wurden die Top Ten Talker aggregiert und die Zeit sortiert. Der Klick auf den Button Process erzeugt eine Wireshark ähnliche Darstellung der Kommunikation. Im oben dargestellten Beispiel ist ein Fehler zu erkennen: Das System ist noch auf die Sommerzeit eingestellt und repräsentiert daher den Zeitslot 10.23 – 10.28 Uhr.

Protokollanalyse mit NFSen

Man kann basierend auf den gespeicherten bzw. per NetFlow gelieferten Daten gezielt Protokolle ein- oder ausblenden und damit seine Protokollstruktur überwachen. Kommt ein zusätzliches Protokoll, beispielsweise durch einen Angreifer oder Virus hinzu, fällt dies sofort auf und kann analysiert werden.

Als Ergänzung empfiehlt sich an dieser Stelle noch eine Host-basierende NetFlow Probe, welche ähnlich Wireshark die über das Interface laufende Kommunikation kontinuierlich analysiert. Der Unterschied zu Wireshark besteht darin, dass Wireshark dialogorientiert arbeitet und die Netflow Probe als Serverprozess durchgehend alle Pakete analysieren kann.

Mit der Hostbasierende NetFlow Probe nProbe lassen sich die Datenströme im Zusammenspiel mit NFSen bereits recht umfassend darstellen. Nprobe unterliegt der GPLv2 und ist somit den Open Source Bestimmungen. Mit dem Aufruf

./nprobe-6.0.0-x86-linux-demonprobe -b 2 -i eth0 -n 192.168.1.103:9988 –G

wird nProbe gestartet. Die Option -b beeinflusst die Menge der Informationen (2 für full). Die Option -i definiert das Interface, die Option -n gibt den NetFlow Kollektor mit Adresse und Port an und -G startet nProbe als Serverprozess. +