Spra´va a monitoring sı´teˇ

Sprava sıte SNMP MIB-II Syslog RMON Snort NetFlow WBEM Dohledove systemy

Sprava a monitoring sıte

Sarka Vavreckova

Ustav informatiky, FPF SU Opavahttp://fpf.slu.cz/~vav10ui

Poslednı aktualizace: 6. srpna 2011


Sprava sıte

Co zahrnuje?dohled, kontrola (monitorovanı) – na fyzicke vrstve (stavmedia apod.), linkove vrstve (chybovost ramcu, atd.)i vyssıch, interpretace shromazdenych udajudiagnostika a resenı poruch, predchazenı poruchamsprava jednotlivych prvku sıte a sıte jako celku, resenızmen topologieuctovanı vyuzıvanı zdroju

V ramci modelu ISO/OSI vetsina techto cinnosti probıha naaplikacnı vrstve, a to vzdy v nektere forme na vsech uzlech sıte.


Sprava sıte

sluzba vyuzıvajıcı radu nastroju, aplikacı a zarızenık monitorovanı, udrzbe a zabezpecovanı sıte, a to v conejvyssı mıre automatizacerızene entity odesılajı zpravy, rıdicı entity na ne reagujı:

zpravı operatora mailem nebo jinym zpusobem,zapısou udalost do LOG souboru,vypnou nebo restartujı system, odhlası „problemoveho“uzivatele, odstrelı „problemovy“ proces,provedou automatickou upravu konfigurace systemu,prenastavı ci zmenı urcene limity.


Network Management System (NMS)

system rızenı sıte zahrnujıcı rıdicı entity, databazia protokoly rızenı sıtenejznamejsı protokoly pro NMS:

SNMP (Simple Network Management Protocol) – v TCP/IPCMIP (Common Management Information Protocol) –v ISO/OSI


Sprava v TCP/IP

Protokol SNMP (Simple Network Management Protocol)hlavnı vlastnostı je jednoduchost a dobra podporav zarızenıchverze SNMPv1, SNMPv2, SNMPv3koncept agent–spravcekazdy uzel muze obsahovat jakekoliv mnozstvı agentuspecializovanych na urc. cinnostMIB (Management Information Base) ma textovou formu,je sice objektova, ale rızena atributy


Komunikace v SNMP

NMS

Agent 1

MIB uzlu 1

Agent 2

MIB uzlu 2

Agent 3

MIB uzlu 3


Komunikace v SNMP

komunikace probıha pomocı UDP, SNMPv2 pridavamechanismus kontroly dorucenıtypy komunikace:

1 Dotaz–odpoved’ – aktivita je na strane spravce2 Trap – aktivita je na strane agentu, agenty odesılajı trapy

(oznamenı) spravci naprıklad pri vyskytu definovaneudalosti, prekrocenı zadane hodnoty, zmene topologie sıtenebo v pravidelnych intervalech

skupina NMS v ramci jedne administrativnı domeny jekomunita identifikovana retezcem community name


Databaze MIB-II

strom s jednım korenem, uzly (objekty) jsou ohodnocenycısly OID (Object ID)


.

ITU-T (0) ISO (1)joint-iso-itu

(2)

standard (0) registrationauthority (1)

memberbody (2)

org (identifiedorganization, 3)

DoD (Departmentof Defence, 6)

internet (1)

directory (1) mgmt (mana-gement, 2)

experimental(3)

private (4) security (5) SNMPv2 (6)

MIB-2 (1) enterprise (1)

system (1) at (3) ICMP (5) UDP (7) SNMP (11)

interfaces (2) IP (4) TCP (6)transmission

(10)


Adresace v MIB-II

= cesta ve stromu.iso.org.dod.internet.private.enterprise.1.3.6.1.4.1


mib-2 (1)

system (1)

sysDescr(1)

sysServices(7)

sysObjectID(2)

sysUpTime(3)

sysContact(4)

sysName(5)

sysLocation(6)


Prıkazy SNMP

get-request – spravce zada informace z MIB, zadavapromennou, zıska promennou a jejı hodnotuget-next-request – spravce take uvede nazevpromenne, ale zıska hodnotu promenne a dale nazevnasledujıcı promenne z databaze, ktera je potomkemtehoz uzluset-request – spravce uklada informace do MIBtrap – agent predava nevyzadanou informacio mimoradne udalostiget-response – odpoved’ agenta na predchozıget-request

get-bulk – podobne jako get-request, ale je moznezadat i nekolik radku tabulky (od SNMPv2),inform – komunikace mezi dvema spravci (od SNMPv2).


Syslog

mechanismus logovanı a souvisejıcıch uloh dostupny nakazdem zarızenı, na kterem bezı (temer) jakykoliv unixovysystem vcetne Linuxudemon syslogdsyslogd cte svuj vstup ze zarızenı (socketu) /dev/logfiltruje podle konfigurace, ktera se nachazı v souboru/etc/syslog.conf a pak podle nastavenı ukladahlasenı do jednoho nebo vıce LOG souboru


Vstupnı data syslogu

1) kategorieauth – autentizace uzivatelu,authpriv – inf. o autentizaci urcena pro admina,cron – zpravy od demona cron (planovanı procesu),daemon – zpravy od ruznych demonu,kern – zpravy od jadra (kernel),lpr – zpravy od tiskoveho subsystemu,mail – zpravy tykajıcı se elektronicke posty,mark – casova razıtka (timestamps) do logu,news – diskusnı skupiny,security – totez co auth,syslog – vlastnı zpravy syslogu (i z jineho uzlu v sıti),user – obvykle zpravy od aplikacı v uzivatelskem rezimu,local0–local7 – pro tyto kategorie lze definovat vlastnıvyznam


Vstupnı data syslogu

2) prioritaemerg – system je nepouzitelny nebo vazne ohrozen(emergency),alert – je nutny okamzity zasah,crit – kriticka situace,err – chyba,warning – varovanı,notice – normalnı, avsak vyznamna, zprava,info – informativnı zprava,debug – ladicı zprava (debugger),

3) vlastnı text zpravy


Filtrovanı – /etc/syslog.conf

kategorie.priorita cılkategorie.=priorita cılkategorie.!priorita cılkategorie.!=priorita cıl

mail.* /var/log/maillog

*.=crit /var/log/messages,@loghost,root


RMON

(Remote Monitoring)protokol pouzıvany pri monitorovanı sıtesve zpravy posıla pres SNMPspravce a sondynarozdıl od SNMP agentu dokaze krome soucasnehostavu sledovat i historii (vyvoj) dane veliciny a na zakladevyvozenych dusledku reagovatprenos velke casti zpracovanı dat od spravcu na agenty(sondy), cımz se take snizuje mnozstvı prenasenych datv sıti


RMON MIB

mib-2 (1)

rmon (16)

statistic (1) filter (7)

history (2) capture (8)

alarm (3) hosts (4) hostsTopN (5) matrix (6) event (9)


Snort

jednoduchy volne siritelny system (open-source licence,ale pro aktualizace je nutne se registrovat, „okamzite“aktualizace jsou navıc placene), NIDS (Network IntrusionDetection System)pracuje v jednom ze trı moznych rezimu:

sniffer („prohlızec“ provozu)logovanı provozuplny NIDS vcetne pouzıvanı pravidel – analyza hlavicekpaketu

vystupy dokaze ukladat do LOG souboru, zasılat syslogu,posılat jako SNMP trap, ukladat do databaze a nebo podlenich nastavovat konfiguraci nekterych sıt’ovych prvkuexistuje hodne nastaveb (naprıklad Prelude, ACID)


Snort

funguje na principu detekce signatur v kombinaci s pravidly

action protocol sourceIP sourcePort directiondestIP destPort (options)

alert tcp any 3389 -> 81.28.192.0/24 3389(msg: ”TCP paket na Net5”;)

alert icmp $EXTERNAL NET any -> $HOME NET any(msg:”ICMP Large ICMP Packet”;dsize: >800;)


NetFlow

protokol vyvinuty firmou Ciscozalozen na principu toku – uplna konverzace (relace)v jednom smeru, popsana temito udaji:

zdrojova IP adresacılova IP adresazdrojovy portcılovy portIP protokoltyp sluzbyvstupnı rozhranı

Observation Point (NetFlow Exporter) = mısto zjist’ovanıinformacıFlow kolektor = prıjemce a zpracovatel informacılze pouzıt dalsı aplikace na zjednodusenı analyzy dat


WBEM (Web Based Enterprise Management)

sjednocenı spravy distribuovanych pocıtacovych prostredıvcetne vzdalene spravysprava pres webove rozhranı nebo pomocıspecializovanych shellu (komunikace obvykle pres HTTPnebo HTTPS)CIM (Common Information Model) = model organizace data prıstupu k nim (objektove orientovana databaze)hodne implementacı pro ruzne operacnı systemy


WMI

(Windows Management Instrumentation)implementace WBEM pro Windowsve Windows nastroje pro prohlızenı trıd a instancı WMI(WbemTest)konzola wmimgmt.msc pro prıstupova opravnenıprıkaz wmicfunkce pro skripty (naprıklad pro jazyk VBScript)


Dohledovy system

(network management software)= system pro monitorovanı stavu sıte

sbıra informace z uzlu sıte, generuje reporty a vhodnereaguje v zadanych situacıchvarovanım je treba venovat pozornost, reporty je nutneobcas prochazetkomercnı i open-source projekty


Dohledovy system

Ceho si vsımame pri vyberuco vse muze byt monitorovano (mnozstvı a typy sluzeb),konkretnost a strucnost hlasenı (nektere poruchy jsou„hierarchicke“),rozhranı, dnes bezne graficke, prehledne a vhodnehierarchicky clenene, moznost vizualizovat nejruznejsıdatove toky ci cokoliv dalsıho,zpusob zasılanı hlasenı – SMTP server, SMS, pager,moznosti nastavenı uzivatelskych opravnenı pro prıstupk evidovanym informacım,funkcnı omezenı – zpusob komunikace s hlıdanymizarızenımi (pres ktery protokol, napr. SNMP), zpusoblogovanı, atd.


Nagios

velmi oblıbeny open-source monitorovacı (dohledovy)systemmonitorovanı i vizualizaceruzne typy sıt’ovych sluzeb (HTTP, POP3, ICMP, SMTP),take vyuzıvanı prostredku na uzlech sıte, vizualizace stavusıte, ruzne grafykonfigurace webovym rozhranımIcinga = fork Nagiosu


Nagios


Nagios


Zabbix

open-source monitorovacı systemZabbix Server (ten nainstalujeme na dohledovy server, melby na nem bezet nektery unixovy system vcetne Linuxu)Zabbix agenty (na klientskych zarızenıch, ruzne operacnısystemy vcetne Windows)konfigurace taktez pres webove rozhranı


Zabbix


OpenNMS

open-source dohledovy system, ktery je narozdıl odpredchozıch napsan v Javeurcen pro monitorovanı rozsahlych sıtı s velkymmnozstvım sledovanych zarızenımonitoring muze byt distribuovany (na vıce serverech)podporu monitorovanı dalsı sluzby lze pridat jednodusepridanım pluginukonfigurace pres webove rozhranı, demo najdeme nastrankach projektu


Zenoss

open-source dohledovy system (presneji jeho jednavarianta je open-source volne ke stazenı, druha –Enterprise – je komercnı)postaven na myslence vyuzitı existujıcıch open-sourceprojektujadrem je objektovy webovy server Zope napsany v jazycePythondatabazovy system MySQL a cely system bezı nadTwisted, coz je udalostmi rızene rozhranı proprogramovanı sıt’ovych aplikacı, ktere si rozumı s mnoharuznymi protokoly na vıce vrstvach ISO/OSIRRDTool (Round Robin Database Tool) – ukladanı,zpracovavanı a vytvarenı graficke reprezentace (grafu)jakychkoliv cısel, ktera mu predamekonfigurace pres webove rozhranı


Cacti

open-source nastavba nastroje RRDTool, podobne jakoZenossjde o to, jak zıskat data, vhodne je ulozit a nasledneanalyzovat a zobrazitdata mohou byt zıskavana z ruznych zdroju, naprıklad odSNMP, skriptu v ruznych skriptovacıch jazycıch nebo WMI,a ulozena bud’ do SQL databaze nebo pomocı RRDTool


Cacti

Documents

Spra´va a monitoring sı´teˇ