Tìm hiểu về NetFlow trên Cisco ASA - Cấu hình kích hoạt các bản ghi NetFlow trên Firewall Cisco ASA

1. Giới thiệu netflow

​

- Để ghi lại các đáp ứng về quá trình hoạt động của mạng ra sao là rất quan trọng. NetFlow là một công cụ nhúng trong các phần mềm IOS của Cisco để phân tích hoạt động của mạng giúp giải quyết vấn đề này
- Nó cho phép người quản trị mạng có đầy đủ các công cụ để biết được thời gian, địa điểm,đối tượng cũng như cách thức lưu thông của lưu lượng mạng.
- Netflow giúp người quản trị chuyên nghiệp nhận biết và giải quyết cá vấn đề:

• Chất lượng dịch vụ(QoS)
• Nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), Việc phát tán virus
• Phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng: nhận dạng các ứng dụng mạng mới như VoIP chẳng hạn…
• Giảm sự quá tải của lưu lượng WAN
• Xử lí sự cố và nhận biết được điểm yếu của hệ thống mạng
• Phát hiện các lưu lượng WAN trái phép
• Bảo mật hệ thống mạng,phát hiện được các sự cố bất thường
• Phân chia băng thông hợp lí cho từng loại dịch vụ mạng khác nhau

- Bắt đầu từ Asa version 8.2(1) đã hỗ trợ NetFlow SecureEvent Logging (NSEL).
- Version hiện tại của NetFlow là version 9

2. Ý tưởng hoạt động của Netflow on Firewall ASA

- NetFlow hoạt động bằng cách tạo ra một NetFlow cache trong đó chứa thông tin về tất cả các luồng(flow) đang hoạt động.
- NetFlow cache được xây dựng bằng cách xử lý packet trong luồng thông qua một đường chuyển mạch chuẩn. Trong 1 luồng nó chỉ ghi lại các packet đầu tiên và nó sử dụng lại các bản ghi này cho các packet khác trong luồng đó cho đến khi luồng đó kết thúc. Các bản ghi này sẽ được lưu trong Netflow Cache.
- Packet đó sẽ được kiểm tra trong bảng định tuyến về các thông tin

• Địa chỉ IP nguồn
• Địa chỉ IP đích
• Port nguồn
• Port đích
• Loại giao thức lớp 3
• ToS byte( loại dịch vụ)
• lớp giao diện(interface) của thiết bị chuyển mạch
• .....

- Mỗi một bản ghi trong NetFlow cache chứa các trường thuộc tính. Mỗi bản ghi luồng được tạo ra bằng cách so sánh

• Thuộc tính của các packet
• Đếm số packet và số byte của mỗi luồng.

- Ví dụ về một NetFlow cache có thể có các thông tin như:

• Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng
• Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng
• Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng
• Port cho biết loại ứng dụng đang sử dụng lưu lượng
• Lớp dịch vụ chiếm quyền ưu tiên lưu lượng
• Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng
• Kiểm tra packet và byte cho biết độ lớn của lưu lượng
• Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có thế biết tính toán được số packet và byte truyền đi trong mỗi giây.
• Địa chỉ IP hop kế tiếp
• Subnet mask của địa chỉ nguồn và đích
• TCP flag.

- Sau đó bạn có thể nó xuất các bản ghi này tới một thiết bị thu thập dữ liệu. Có 2 cách để xem dữ liệu trong Netflow

• CLI: dùng Command, chế độ này giúp bạn biết được những thay đổi tức thì
• NetFlow collector: chế độ này sẽ chuyển dữ liệu từ NetFlow cache tới một reporting server gọi là “NetFlow collector”.

3. NetFlow collector Cisco ASA

- NetFlow collector có nhiệm vụ thu thập thông tin về luồng và tổng hợp chúng lại để tạo ra một report
- Không giống như SNMP, NetFlow thường xuyên gửi thông tin một cách định kỳ tới NetFlow reporting collector.
- NetFlow cache liên tục cập nhập các bản ghi từ Router, SW... nó sẽ tìm trong cache những luồng đã kết thúc và những luồng này sẽ được gửi ra NetFlow collector server. Luồng sẽ kết thúc khi giao tiếp mạng kết thúc.
- Lượng dữ liệu gửi tới collector chỉ chiếm 1.5% lưu lượng chuyển mạch trong router
- Những ghi nhận chi tiết của NetFlow về từng packet cung cấp một cái nhìn đầy đủ và chi tiết về toàn bộ lưu lượng mạng đã chuyển qua router hoặc switch.
- Sau đây là các bước cơ bản để thực hiện một report của NetFlow:

• NetFlow được cấu hình để bắt luồng vào NetFlow cache
• NetFlow export được cấu hình để để gửi các luồng tới Collector
• NetFlow cache tìm kiếm luồng đã kết thúc và gửi thông tin về luồng đó tới NetFlow collector server.
• Có khoảng từ 30-50 luồng được đóng gói và gửi dưới dạng UDP tới NetFlow collector server.
• Phần mềm NetFlow collector tạo ra real-time và historical report từ dữ liệu

- Cách thức Router hoặc Switch quyết định luồng được gửi tới NetFlow Collector:

• Một luồng sẵn sàng được export khi nó ko hoạt động trong một khoảng thời gian nhất định hoặc luồng đã tồn tại(hoạt động) vượt quá thời gian hoạt động cho phép.
• Có một bộ đếm thời gian sẽ quyết định luồng là ko hoạt động hay tồn tại quá lâu và thời gian mặc định cho luồng ko hoạt động là trong 15s,còn thời gian mặc định giới hạn cho hoạt động của một luồng là 30 phút.Collector có thể kết hợp các luồng và đưa ra tổng hợp về lưu lượng mạng.

- Vị trí của NetFlow trong mạng: NetFlow thường được sử dụng ở site trung tâm bởi tất cả lưu lượng mạng từ các site remote khác đều được phân tích và giám sát bởi NetFlow.Vị trí triển khai NetFlow phụ thuộc vào cấu trúc mạng.Nếu reporting collection server đặt ở vị trí trung tâm thì vị trí tối ưu nhất để cài đặt NetFlow chình là ở gấn server đó.
- Định dạng của dữ liệu gửi đi bởi NetFlow: dữ liệu NetFlow gửi tới collector bao gồm một header và tuần tự các bản ghi tiếp theo.Phần header chứa thông tin về số thứ tự,số bản ghi và thời gian hệ thống.Các bản ghi luồng chứa thông tin về luồng,ví dụ như

• địa chỉ IP
• port,thông tin định tuyến.

- Có các version khác nhau của Cisco NetFlow như 1,5,7,8,9 với các định dạng dữ liệu có sự khác nhau.

 

Ghi nhật ký sự kiện bảo mật với NetFlow – NSEL(NetFlow Security Event Logging) trên Firewall Cisco ASA

NetFlow là một giao thức được phát triển ban đầu bởi Cisco nhưng nó cũng được hỗ trợ trên nhiều thiết bị mạng khác.

Mục đích của NetFlow là thu thập thông tin lưu lượng IP và gửi các bản ghi đã thu thập đến máy chủ NetFlow Collector hoặc NetFlow Analyzer.

NetFlow hữu ích cho các quản trị viên để có cái nhìn bên trong về lưu lượng truyền qua mạng và thu thập thông tin về việc sử dụng băng thông, loại lưu lượng, lưu lượng truy cập, v.v.

Trước đây, chỉ có Bộ định tuyến IOS của Cisco hỗ trợ NetFlow. Về Cisco ASA, NetFlow chỉ được hỗ trợ trên Cisco ASA 5580 với phiên bản phần mềm 8.1.

Với sự ra đời của phần mềm Cisco ASA phiên bản 8.2, NetFlow hiện được hỗ trợ trên TẤT CẢ các dòng Firewall Cisco ASA. Tính năng mới này trên ASA được gọi là NetFlow Security Event Logging (NSEL), đây là một bản chuyển thể của NetFlow phiên bản 9.

Cấu hình NetFlow trên Firewall Cisco ASA:

Có ba loại sự kiện kích hoạt tạo bản ghi NetFlow. Đó là dòng chảy tạo ra(flow-create), dòng chảy bị từ chối(flow-denied), dòng chảy nhỏ giọt(flow-teardown).

Bạn cũng có thể sử dụng kích hoạt tất cả để bản ghi netflow cho tất cả các sự kiện. Bạn cần xác định địa chỉ IP của bộ thu thập luồng net mà thiết bị ASA sẽ gửi các bản ghi luồng. Bạn có thể sử dụng Modular Policy Framework để tùy chỉnh các chi tiết của chức năng NetFlow.

Ví dụ: Sự kiện tạo luồng nhật ký giữa các máy chủ 10.1.1.1 và 10.2.2.2

Máy chủ Nội bộ NetFlow Collector (Internal NetFlow Collector) là 192.168.100.1

Thực hiện cấu hình như sau:

ASA-TGM (config)# flow-export destination inside 192.168.100.1 2055
ASA-TGM (config)# access-list flow_export_acl permit ip host 10.1.1.1 host 10.2.2.2
ASA-TGM (config)# class-map flow_export_class
ASA-TGM (config-cmap)# match access-list flow_export_acl
ASA-TGM (config)# policy-map flow_export_policy
ASA-TGM (config-pmap)# class flow_export_class
ASA-TGM (config-pmap-c)# flow-export event-type flow-creation destination 192.168.100.1

! Bạn cũng có thể sử dụng event-type all để kích hoạt bản ghi cho tất cả các sự kiện luồng

ASA-TGM (config-pmap-c)# flow-export event-type all destination 192.168.100.1

! Tắt tính năng Ghi nhật ký cho các sự kiện xuất luồng để tăng hiệu suất ASA

ASA-TGM (config)# service-policy flow_export_policy global
ASA-TGM (config)# logging flow-export syslogs disable

Chúc các bạn thành công!