Free NetFlow Resources

たちは、地元のお医者さんに行ったとき、彼らが言ったことに賛同できないことが時々あります。確かに、医学学校に行き、私たちの臓器について立派な学位を取得したわけではありません。しかし！それは、私たちの体で、たまには正しくないことくらいわかります。それで、私たちは何をしますか？私たちにはセカンドオピニオンがあります。ほとんど人生の一部－ネットワーク管理でも同じ考えは大切です。時には、正しく見えないこともありますが、私たちは、ハードウェアとソフトウェアが何を言っているのか、闇雲に信じる前にセカンドオピニオンを持つ必要があります。
何年も、Plixer(はい、私たちのSomixデーを含みます)は、MIBを歩き、SNMP情報を検証するためにゲットイフと呼ばれるすばらしい無料ツールを使用しています。それは、技術者とユーザがディバイス設定と構成を検証するサポートを許可しています。そのことは、重要です。しかしハードにおいて小さな、しかしとても便利なツールを持つことは、大変重要です。設定の間、何か予定通りに進まないとき、最初の質問は、いつも“それは、ソフトウェアですか、またはハードウェアですか？”です。お客様とSNMPの有効なディバイスを監視するDenika Performance Trenderのセットアップを評価する方を援助するとき、ゲットイフは、いつもこの質問の答えに大変助けになります。
最近、Plixerは、ネットフローのハードウェアと一緒に働いている私たちに似たような利点を提供している完全に無料のツールを発売しました。それは、フローアライザーを呼ばれています。フローアライザーは、あなたのネットフローディバイスの構成とテストでいくつかの異なるオペレーションを実行可能ではありますが、ここでひとつ注目したいは、リスナーです。

フローライザーのリスナータブは、ゲットイフが実行しているものに非常に似たの必要性を満たします。それは、ユーザに“ソフトウェアですか、それともハードウェアですか？”という質問に応えることを許可しています。フローアライザーを開き、リスナータブをクリックするだけで、あなたは起動しているPCにいくつかのフローが自動的に送られるのを見ることになるでしょう。このことは、あなたが、ネットフローがハードウェアから正しく送られているということを検証することを許可します。もしフローアライザーでネットフローが機能していることを見ることができ、しかし、あなたのネットフローコレクター(Scrutinier、または別の方法で)では、そのフローを見ることができないならば、それは、ほとんどの場合、ソフトウェアの設定の問題です。しかしながら、対照的な面では、フローアライザーを実行しているネットフローの不足は、簡単にハードウェアの設定問題を確定します。
あなたのネットフローコレクターをテストする別の方法は、ネットアライザーのネットフロージェネレイターを使うことです。ネットフロージェネレイターは、ネットフローとsフローのデータの流れを模擬実験し、ネットフローコレクションのソフトウェアが正しく設定されていることを検証するのに使用できます。全ては、ルータに何か変更が生じる前に完了します。あなたのネットフローツールで現れるフローアライザーからネットフローは送られていますか？もしそうなら、素晴らしいです！もし違うようなら、「ヒューストン、私たちには問題があります！」
ただネットフローの存在を確定するだけで、マルチプルポートで聞くことができるフローアライザーは、パケット数、ネットフローバージョンを表示し、UDPポートのフローは、機能します。ちょうどScrutinizerのように、フローアライザーは、ディバイスがトラフィックの最大量送られてくるユーザを表示することが可能です。
ですので、ここでのレッスンは、「葛藤することはやめましょう！」です。セカンドオピニオンを得るために、フローアライザーとゲットイフのように使用するツールを明確にしてください。あなたのハードウェアが正しく設定されている、または、あなたのネットフローの報告ソフトウェアが正確にセットされている・・・ということを決して信用せずに、フローアライザーのネットフローとsフローテスターで検証してください。

Jon Mills
Marketing & Public Relations Manager

先日、私はCisco3800ルータに認識されたネットフローエクスポートを手に入れていた新しい顧客と働いていました。
インタフェースごとに有効なipフローigressコマンドを使用するコンセプトを説明していた時、彼はこう言いました。
「わたしは全てのインタフェースにそのコマンドを実行しなければならない！？約10のサブインタフェースを持っていますよ
現実には１０つのインタフェースを設定するのは難しくありませんが、面倒です。
なので、もしvlanのＬＯＴとデバイスにネットフローを有効にしているなら、一番手っ取り早いのはintrangeコマンドを使用することです。
次に挙げるものを入力することで使用できます。
#:int range
昨日彼がサブインタフェースの領域のipフローingressを有効にしようと試みましたので、次のコマンドを使用しました。
#: #: int range eth0/1.160 – eth0/1.300
インタフェース領域を特定すると、次のプロンプトが出てきます。
#int range eth0/1.160-eth0/1.300>
そこから全てのインタフェースに適合させたいコマンドを入力して下さい。
-Nathan

CiscoがASAソフトウェア v8.2のリリースを開始した時に、とても盛り上がりました。ついにCiscoが他のキーデバイスのためのネットフローサポートを全ての人のネットワークに含みました。当然ながら、みんなASA用にネットフローを有効にする最新のコンフィグを探しています。
 
しかし、ネットフローコレクターが一度それらASAネットフローレコードに着手すると、奇妙な結果が出てきます。
 
数ヶ月前、お客様にいくつかの答えを見つけるのを手伝ってくれるよう頼みました。Wiresharkの助けにより、このパズルを解くための大量なデータを収集しました。
懸命な研究の末、とうとういくつかの答えに辿り着きました・・・。
 
ASA firewallからのネットフローエクスポート機能はNSELとして分類されます。
 
NetFlow Security Event Logging
 
NSELの目的はネットフローを使ってfirewallイベントを追跡し、そのイベントタイプと関連する全てのコンバセーションのサマリーを持つことです。
 
ですので、ネットフローエクスポートのためにASAを設定する時にネットフローコレクターを使って監視したいイベントを選んでいることになります。現在、監視できるイベントは３種類あります。
 
・    Flow Create
・    Flow Denied
・    Flow Teardown
 
ネットフローv9をエクスポートしている各ルータとは違い、ASAのためにイベントタイプを監視している時はそのイベントのためにエクスポートされることができる複数の固有テンプレートがあります。例えば、FLOW CREATEイベントだと、エクスポートされることができる４つのテンプレートがあります。
 
２つのテンプレートはIPv4アドレスの使用と関連づいています。残り２つはIPv6と関連づいています。
 
３つのイベントタイプ全てを統合すると、コレクターを管理するために１７もの固有テンプレートができます！
 
先に少し述べたように、それらのテンプレートは一般のネットフローv9のフォーマットに従っているにも関らず、いくつかは独自の方向に進んでいってしまっています・・・。
 
しかし、それはパート２で解決します。

少し前にフレキシブルネットフロー（aka ネットフローｖ9）を使用しているMACアドレスの入手について尋ねてきた顧客がいました。　可能ですが、正しく動かすためにMACアドレスを手に入れるには２つ問題があります。
・ルータがMACアドレスをエクスポートする必要がある
・コレクターが、MACアドレスを許可・表示させる必要がある
ルータ設定
MACアドレスをエクスポートするにはルータの設定が必要です。その方法がここにあります。
ステップ１:  フローレコードを作り、あなたがエクスポートしたいフィールドを明確にしてください。それに名前をつけます。ここにMACアタックと呼ばれているものがあります。他にもたくさんのフィールドがあります。アウトプットMACｓもエクスポートします。そうすることによりルータがMACになったら表示されます。

flow record MAC_ATTACK
description MAC address flow monitor
match application name
collect ipv4 id
collect ipv4 source address
collect ipv4 source prefix
collect ipv4 source mask
collect ipv4 destination address
collect ipv4 destination mask
collect transport source-port
collect transport destination-port
collect transport tcp source-port
collect transport tcp destination-port
collect transport udp source-port
collect transport udp destination-port
collect interface input
collect interface output
collect counter bytes
collect counter packets
collect timestamp sys-uptime first
collect [...]

その他のウェブキャストトレーニングモジュールはリリースされたScrutinizer v7ネットフローとsフローアナライザーv7のためのサービスプロバイダモジュールを使用しています。
 
この新しいユーザアカウントを追加したり設定したりするウェブキャストの手順は、ユーザ選択のセットアップも含んでいます。このユーザ選択はウェブインタフェース上で表示したい言語の選択も含みます。この言語選択はユーザレベルで行われるので、組織内のそれぞれのユーザが任意の言語を選択することができます。現在いくつかの言語が利用可能です。近い将来、ネットフロー分析ツールがリリースされる時にさらに多くの言語が追加されます。
 
このサービスプロバイダモジュールをインストールし、ライセンス認証させると、会社が客先に固有のログインを提供し、彼らが特定のデバイスやインタフェースにしかアクセスできないように制限することができます。このモジュールはISPsや世界中に販売特約店を持つVolvo等のビジネスによって要求されています。
 
ユーザが閲覧できるネットフローレポート内のデバイス及びインタフェースを制限したい場合は、ウェブキャストを参照して下さい。この機能を使うにあたっての詳細についてはPlixer International Salesまでお気軽にお問い合わせ下さい。

この情報を知らない方のためにお知らせしますが、ネットフローがCisco ASA firewallに対応しているというのがここ最近の一番の話題です。マイクがASDM 6.2を使ってCisco ASA上でネットフローを設定する方法を説明したので、私はCisco ASA上でのASDMを使ったSNMPの設定方法について書きたいと思います。
 
まず初めに下記スクリーンを表示させて下さい。
 
次に、上部にある追加ボタンをクリックします。すると、下記ウィンドウが表示されます。
 
クレデンシャルを入力して、OKをクリックして下さい。そうです。とても簡単です。何かご質問がある場合はお気軽に(207)324-8805 x3までお問い合わせ下さい。

ロシアビジネスネットワーク ( 一般的にRBNと省略される)は多面的サイバー犯罪組織で、転売目的でパーソナルアイデンティティ泥棒を独占しているケースに特化しています 。
Family ビジネスがOn-Lineを盗む
家族経営のPatco ConstructionはRBNに関連しているサイバー犯罪に影響を受けています。建設会社が＄588,000のオンライン泥棒に対して訴訟を起こしています。
このような犯罪がFacebookやtwitterのようなソーシャルネットワークサイトを通して最初に始まると、家族経営の内線が影響を受けるでしょう。どのように？
個人使用の人の中にはパスワードの選択を考慮していない人もいます。
・パスワードに名字を使ってはいけません。
・オンライン経営にfacebook や twitter パスワードを使ってはいけません。
フロー AnalyticsがRBNに対抗できます
よく来る攻撃をみることができますし、インターネット脅威としてしられるフローAnalyticsからのアルゴリズムは選択デバイスからのCiscoネットフロー分析によってRBN攻撃を絶えず監視しています。　容赦ない攻撃のように見える下の警告を見て下さい。
RBN ホストを探す
私たちのネットワークの誰かがこのホストに返事がある（連絡をとる）と、ホスト221.192.8.90を探します。上記のホストはその原因（トラフィックを送ること）と判明しました。返事があったホストはいませんでした。感謝です!
 RBNに関してのさらなる情報
RBNはWikipedia.com 提供の図表のAutonomousシステムが原因のようです。
インターネット脅威アルゴリズム
インターネット脅威としてしられるアルゴリズムがあれば顧客は危険にさらされたホストのリストをPlixer から一日に何回かダウンロードすることができます。選択ルータからのフローは危険にさらされたトラフィックがないか保証するリストに対して比較検討されます
次のブログではルータにACLを使用しているホストをどのようにブロックするか書く予定です。
Michael Patterson
Scrutinizer 製品マネージャー

多くの会社が第一にインターネットセキュリティ脅威のことを考えています。セキュリティ脅威の大半は内部で発生すると思います。Forrester Researchによると、セキュリティー侵害の大半は85％の可能性で内部従業員が関係しています。私が今日主張したいことは、内部脅威だけを気にするだけでなく、かれらを外部脅威とは少し違う扱い方をする必要があると思います。
Scan の監視
インターネットでのSYN, XMAS, RST/ACK, FIN,等の監視は主に驚くべきものになります。あなたのインターネットコネクションの３アタックタイプのボリュームは頻繁に行われ（1時間ごと）本当のセキュリティ脅威よりももっと迷惑なものです。なぜ、私は彼らを‘迷惑なもの’と呼んでこのインターネットスキャンを減らすのでしょう。これらのコネクションのコンスタントな一斉攻撃を止めるのは不可能だからです。それらを追跡し止めるのは不可能ですが、あなたたちは6から10以上に匹敵するものを止めることはできます。ほとんどの会社において、それらをブロックすることでシンプルにスキャンを取り扱っています。
上記スキャンの監視は確実に内部で行われる必要があります。例えば内部にSYNスキャンを検出することは悪い物に感染する原因をつくります。悪いものとはソフトウェアダウンロードか内部でないマシン使用を通してネットワークの中に入ってきます。 おそらくパソコンが自宅で感染し会社に持ち込まれるのです。　これはどんなときでも起こります。
侵害されたインターネットホスト
その他のセキュリティー実行は内部ホストがインターネットで通信している監視に関わっています。もしbadリストに並んでいるホストでトラフィックを交換したら、イベントはアクションを引き起こします（通信ブロックなど）。なぜならその‘リスト’はインターネットに影響を及ぼします。インターネットルータでのみ行われるこのタイプのトラフィックやネットフローエクスポート、ｓフローエクスポートの準備費を調べたりするものです。I
False Positive Alarmsはどうなのか
自然なビジネスアプリケーションのせいでfalseアラームが全てのソリューションで起こります。しかし、すばらしくデザインされたセキュリティーシステムはセレクトルータ、スイッチとエンドシステムを可能にします。エンドシステムとは各異常検出アルゴリズムから排除されるためのものです。システムヘルプの期間は様々な活動を獲得し、システムの精密さをよりよく認識させ予期せぬトラフィックパターンに警告を与えてくれます。それぞれのアルゴリズムにルータとスイッチを選択してください：
 
選択されたアルゴリズムから特定のホストを排除します：
フローAnalyticsに検出された様々なトラフィック異常の部分的なリストはマニュアル１４ページにあります。このブログのパート2では特定の活動パターンのアラームと同様に通信とフロー活動について論じます。
Michael Patterson
Scrutinizer Product Manager
Follow Me on Twitter

　あなたのルータのネットフロー設定をチェックすると、ネットフローｖ５テンプレートをエクスポートしていることが分かると思います。分からなければ、show run とiipフローを実行し探して下さい。
ip flow-export version 5
ネットフローｖ5でトラフィックはインタフェースのigressフローをベースに測定されます。入って、出て行かなければいけないということですよね。
これはいつも同じケースではありません。ＷＡＡＳのようなテクノロジーの最適化と圧縮の導入によって、トラフィックはingressインタフェースを超えて変化しています。
 
例
 
ipフローigessを使用しているフローを監視し、2.4メガバイトを超える通信を見ていることします。圧縮されるとすぐ同通信がルータのアウトバウンドインタフェースを出て行く時までに1.2mメガバイトになります。これがネットフローｖ9導入でegress の監視するということの重要性です。
　ipフローegressを使えば、ipフローingressを使うのとは対照的にデータをより正確にしてくれます。
（あなたのテルネットセッションをルータに開いているのであなたからの返信をもらうことができます。）
 
変化を加えるには、あなたのネットフローエクスポートタイプを
　・ip flow- expot version9　にします
 
グローバルコンフィグ（設定）を修正したら、以下を追加しそれぞれのインタフェースのegress 監視を有効にしてください。
・    ip flow egress

私は“パケットロスを特定するための情報はあるのか”に関するcaida.org サイトのポストを見ました。顧客が探しているのはネットワークのパケットロスやで失ったネットフローではないと思います。
　その返信：
それぞれのルータはネットフローパッケットヘッダーで書かれているフロー配列ナンバーを保存します。それぞれのルータのリストを作ったり配列ナンバーにフローレコードの数を加えたら、次の配列ナンバーを手に入れる必要があります。このようにして失ったフローナンバーを探すことができます。フロー配列ナンバーがあればネットフローがなくなっているのか分かります。
 
　なぜ“パケットロスを特定するための情報はあるのか”に関心があるのでしょう
 
これはすばらしい質問です。フローエクスポート喪失は次の3つのうちの一つで引き起こされるので関心があるのです。
１．                       ネットワークがパケットをドロップする
２．                       ルータが起動できない
３．                       ネットフローレシーバーまたはコレクターが起動しない
 
ネットフロー配列ナンバーが重要になってきています。ネットフローコレクターを構築するには、利用可能な間エンジンスケールが重要です。
ネットフローｖ9パケットフォーマットを見れば、パッケージ_シークエンスと呼ばれるものに気付くと思います。
 
Scrutinizerはルーターごとに配列ナンバーやネットフローエクスポートが失敗していないかを確認するエクスポーターを監視します。
もし上記のようなことになっていたら、このような方法で問題を解決します。
　
１．            Scrutinizerは起動できる？　バイタルをチェックしてください
 
　ネットフローコレクターがＭＦＳＮトレンドで増大していることを上記で確認できます。
Scrutinizerがこれらの詳細を表示します。
　A 全てのコレクターに対して
B リスニングポートごとに（2055,9996,6343など）
Ｃルータごとに
 
問題の原因が見つかるまでのことです。　もし、全てのポートとエクスポーターがＭＦＳＮｓを表示したら、そのコレクターがフローボリュームを起動できなかったと分かります。Scrutinizerで上記のレポートを探すには管理タブ→レポート→バイタルへ指示して下さい。ここからリスナーポート（2055,9996,6343など）をクリックすればそれぞれのネットフローエクスポートのバイタルに行くことができます。ステータスタブでインタフェース名となりのネットフローｖ5をクリックすればこのレポートに指示するのは簡単です。
 
２．            ネットワークがパケットをドロップするか各ルータがネットフローエクスポートを起動するトラブルがあると判断したら、各エクスポーターのＭＦＳＮをチェックします。
 
 
３．            ネットワークでなくルーターだと判断したら、ルータに入り、次のものを入力します
a)     For the entire collector
b) Per listening port ( 2055, 9996, 6343, など)
c) Per router
 
上のコマンドを使えばネットフローの現状やルータの状態をチェックしてくれます。
 
ＳＣＴＰ
ほとんどのコレクターはネットフロー、Sフロー、ネットストリーム、IPFIX,jフローなどに関心があります。ＳＣＴＰは人気になってきているので、コレクターはネットフローデータグラムの受信状態を確認し、失敗したフレームの再送信を許可します。
 
　要約
ネットフロー配列ナンバーは失われたネットフローパケットや少しのジェネラルパケット喪失を特定するのに使われます。DoSアタックやネットワークスキャンによるネットフローボリュームの中の増加はバーストや最終的にフローの喪失をもたらすケースを私は見たことがあります。ネットフローアナライザー価値は配列ナンバーに関連された容量にレポートを送信するべきだと思う。