Free NetFlow Resources

ネットフローv9を送信するCisco ASA Firewallsをご覧になった方のためにScrutinizer v7を使ってどのようにレポートするかについてのビデオがここにあります。
 
 
ネットフローを送信するためにASAを設定することについての助けをここで得ることができます。
 
Michael Patterson

二つのSpecial Cuaseへの招待、二つのMobsterゲームで遊ぶための招待、二つのPathwordゲームや豚を窒息させるのに十分なFarkleへの招待。
 
これが私のFacebookアカウントです。正直に言うと、これらを全く使っていません。
 
もし海賊、暴力団、吸血鬼、スーパーヒーロー、もしくは緑のモヒカンを持つピンクのトラクターを所有する農家になりたいのであれば、Facebookというあなただけの世界でそれを楽しむことができます。下記に掲載したデモグラフィックをご覧下さい。
 
たわいない小さなゲームやアプリがあるところを見て、Facebookを使用する年齢層は２１以下だと思うでしょう・・・
 
しかし、どの年齢層が一番増えているかを見てください。３５～５４歳の年齢層で２００８年には１７２．９％、２００９年には２７６．４％増加しています。信じられますか？
 
Scrutinizer v7のリリースで、ネットワーク上でのFacebook乱用を追跡したり、Farkleの動きを終わらせたりすることができる素晴らしいツールができました。
 
この新しいアプリケーショングループ機能を使って、トラフィックをもっと簡単に類別することができるようになりました。同じポートを利用して複数のIPアドレスを関連づけるオプションがあります。この機能を見つけるために、アドミンタブに行き、定義カテゴリーをクリックしてアプリケーショングループを選択して下さい。
 
下記が例です。
 
このアプリケーショングループ機能を使用して、ポート８０を使用しているIPアドレスの接続を報告する時はいつでもレポートするようにScrutinizerを指定します。そしてそれをFacebook使用率として分類します。
 
しかし、ポート２５を使用している同じIPアドレスに接続すると、それはSMTPトラフィックとなり、Facebookアプリケーションとしてはレポートしません。
 
これはとても素晴らしい機能ですが、もし類似したポートを使用する様々なリモートサイトでアプリケーションを使用している場合は、異なるラベルをつける必要があります。
 
素晴らしい機能でしょう？

Stephen Coveyのような人間は私を元気づけてくれます。彼の“非常に効果的な人々の７つの習慣”という本を読んだことがありますか。あれはとても素晴らしい本だと思います。あの本を読むと今がもう当然ネットフローとsフローのレポーティングツールを区別することについてブログを書いてもいい時だと信じることができます。
 
１．            全ての記録、全てのフロー、全ての時間
 
全て、もしくはほとんどのネットフローレポーティングソリューションはトップNのレポートのデータだけを保存します。Scrutinizerは全てのフロー、全ての記録、全ての時間を１分間隔のテーブルで保存します。フローは一つも見落とされません。時間のさらに広い間隔（e.g. ５分間、３０分間、２時間、１２時間、１日、そして１週間）のロールアップは統合後の以前の間隔のトップ100,000ものフローを使って作成されます。これはどのベンダーに比べても多いです。なぜそんなにもあるのでしょうか。なぜなら、あなたが知っているトラフィックの検索及び予想された結果は特定されたタイムフレームのネットワーク上でしかなかったからです。私たちはトップNのフローはもちろん、下位Nも、そしてその間にあるものも全て記録することができます。
 
２．            計ることができますか？
 
一つのネットフロー＆sフローコレクターは１０００以上のルータ、スイッチやサーバから受信することができるべきです。この問題は通常、一つのコレクターにエクスポートするルータの数ではなく、フローの総合的な量です。３０００以上のインタフェースが一つのScrutinizerインストールに現れるのを見たことがあります。しかし、まだ十分に大きくないのでしょうか。Scrutinizerは数十のコレクターから一つのインタフェースを経由して全てのインタフェースを表示するようにすることができる分散された機能があります。それ以外に計ることにはどのような意味があるのでしょうか。
 
・    ツールによってClass A IPグループとフィルタを定義できるべきです。
・    IPグループやサブネットレポーティングでサブネットや部門を越えたレポーティングがIPアドレスの範囲をグループ分けすることによってできます。
・    ソフトウェアは１つのルータから一秒間に少なくとも３０００のフローを収集することができるべきです（e.g. 一分間に２００，０００フロー以上）。そしてフロントエンドがウェブブラウザをタイムアウトすることなしにデータ上でレポートできるようにします。
・    フィルタリングや検索が全てもしくは選択したいくつかのルータやスイッチにわたってできるべきです。
・    各ルータ・スイッチの各間隔のトップ１００，０００コンバセーションを統合します。通常コレクターは５分間、１０分間、３０分間のロールアップを作成する際に、数百もしくは数千しか保存することができません。
 
３．            フローに気をつける
 
・    フローアナライザーはいつ長期のネットフローが到着したかを表示しますか？長期のフロー（i.e. 一分間以上）はトレンド内で正確でないスパイクを引き起こす可能性があります。
・    sフローとネットフローレポーターはいつ超過しているかそしてフローをドロップするべきかを表示します。
・    コレクターはフローがルータやスイッチによってドロップされたかどうかを確認するための連続番号を監視しますか？
・    ネットフローコレクターは各ルータのIngressとEgressコンフィギュレーションの不一致を処理することができますか？
・    ネットフローアナライザーは同じルータに出入りするフローを比較することによってポリシーコンフィギュレーションを確認するCBQoSを助けることができますか？基本的に、受信されたフローのingressそしてegressのDSCPもしくはDiffServ値を表示するべきです。
 
４．            ネットフローソフトウェアは革新的か
 
・    開発グループはIPv6、NSEL、そしてフレキシブルなネットフローのサポートしている業界を初めに表示していますか？
・    ネットフロー連続番号の重要性は日に日に増しています。
・    フローを表示するユニークな方法を実演していますか？
－マトリックスとフロック
－クリック可能なリンクを持つグーグルマップ
－フレキシブルなネットフロー、ネットフローイベントログ、ネットフローセキュリティイベントログ
－Host to Host、コンバセーション、接続等のユニークなレポーティングテクニック
－最終的なカスタマイズを許可する固有マッシュアップを作成するためのMyView
・    Host to Host、接続、コンバセーション、未加工フロー、アプリケーション、既知ポート、ToS値等の重要なレポートがあります。それらはWiresharkのような分析を行う際に必須となります。
 
５．            フロー解析を使用したネットワーク動作分析
 
一つのレポート内で選択されたデバイスにわたるトップアプリケーション、ホスト、フロー、カントリー、ドメイン等
 
・    可能な計画された内部アタック（e.g. SYN、XMAS、FIN等）及びConfickerのようなワームを見つけるスキャンの通知
・    フローの複製
・    閾値を持つ保存されたレポートを経由したものへのアラーム
 
６．            良いサードパーティ統合を持つ最良のタイプ
 
・    マップ上にサードパーティアイコンがあります。
・    マップ上にダブルリンクがあります（e.g. 一つは使用のため、もう一つはVoIP MOS、パケット減量、もしくはミッター）。
・    他のサードパーティアプリケーションへの便利なリンクを提供します。
・    グーグルマップ
・    ほとんどのインタフェースがURLベースなので、サードパーティページから起動させることができます。またベンダーがフレームワークやソリューション一式にロックします。
 
７．            インタフェースは未加工フローへ到達するのを許可しますか？
 
時々WireSharkを使ってできるように掘り下げる必要があります。未加工フローへのアクセスはパケットアナライザーを急に使い始める前に念入りに調べる必要がある場合、危機的です。Scrutinizerのフロービューはエクスポータによって送信されたフローの全てのフィールドを点検させてくれます。フレキシブルなネットフローでさえもサポートします。
 
概要
 
理解しやすい、簡単で、機能がたくさんついているネットフロー、sフロー、IPFIX、NetStream分析をお探しですか？ネットフローチャレンジをうけてみて下さい。
 
Michael Patterson

ネットフローアナライザーでネットフローを使用し、IPアドレスを見つける方法についてのビデオを先日掲載しました。これを参照することによって、複数のルータをわたって検索し、特定のタイムフレームを指定することができます。
 
ネットフローコレクターの様々なことについてこれが有益になるよう願っています。
 
Michael Patterson

私はNortheastの大学のお客様と働いていました。
彼はCisco　Catalyst 6513とTCAMオーバーフロー問題を抱えていて、その問題を理解するのを手助けしてくれるかどうか調べるためにネットフローエクスポートを見ていました。
彼が抱えている問題をScrutinizerが解決してくれるかどうかは定かではありませんが、lovemytoo.com『NetFlow OverFlow with TCAM Tables』にあるホストのために作られました。
どのくらい人々がネットワークトラフィック分析でScrutinizerを使うのが好きかが分かるので個人的に技術的なサポートに関わるのが好きです。
 
MIcheal Patterson
Scrutinizer　製品マネージャー

皆様！Scrutinizer v7ネットフローコレクターのリリースをお楽しみ頂けていますでしょうか。既存のお客様からたくさんお褒めの言葉を頂き、一生懸命働いた甲斐がありました。
 
IPv6、フレキシブルなネットフロー、ASA NSELサポート等の大きな変化に気付いていると思います。新しい製品をナビゲートし、お探しの機能を見つけることにより慣れ親しんでもらうためにビデオチュートリアルを最近掲載致しましたので、ご報告します。
 
これがトラフィックのために特定のフィルタを作成する方法を紹介するすばらしいビデオです。この新しいフィルタ機能はv6のCUSTOM REPORTオプションを置き換えたものです。きっと気に入ると思います。ぜひ見てみて下さい。
 
P.S: 私がNetFlow rap video Mix Master Mitch madeのビデオで踊っていることに関して、不機嫌なコメントをするためだけに電話をしてきた全てのお客様に感謝したいと思います。
 
いくつかのことをここで明確にしておきましょう。
 
a)     私はプロのバックアップダンサーではありません。
b)     ブリトニースピアーズのミュージックビデオに出たことはありません。尋ねてくれたことには感謝します。
c)      どの会社のパーティーのためにも雇われて踊るつもりはありません。
 
- Nate

いい天気はここSouthern Maineで終わってしまうようです。土曜日今年初めての雪が降りました。ホリデーパーティはとても素敵で外は雪が降っています。そして日曜日の朝目覚めて外の景色がまるでCurrier and Ivesの世界のようでした。
最近わたしは新しいフローAnalyticツールを紹介するブログを始めました。新しいフローAnalyticツールはPlixer Internationalの最近のネットフローとSフローanalytics ツール（Scrutinizerｖ7.3）で使用することができます。
Scrutinizer7.3で利用できる4つの新しい分析ツールのうちの3番目をあなたに紹介します。 Breach Attempt Violation はあるソースからある送信先のたくさんの小さいフローを探しています。これはbrute forceやdictionaryアタックなどを表示することができます。
 
典型的なシナリオは攻撃する特定サービスを探しているあなたのネットワークをスキャンしているポートです。例えばルータかLinuxサーバがポート23に実行しているSSHサーバを持っているsubnetフィールドをスキャンしているホストです。
 
クラッカーはSSHサーバとデバイスをあなたが持っていることを知っているので、違ったパスワードの組み合わせを試してデバイスにアクセスを集めようとします。
 
 Breach Attempt　アルゴリズムは次の特徴を持つトラフィックを特定しようとします。
・    一般的にTCPフローはFINフラッグで閉じられ完了
・    小さく1KB以下
・    フローにつき25パケット以下
・    数多くある
・    1シングルホストから別のシングルホストまで
しきい値はシンプルでフロー Analytics Overview gadget「インバウンドしきい値」内でセットされます。このしきい値セッティングは重大なアタックに対して光で知らせたいかどうかを調整する手助けをします。デフォルトしきい値は100です。
これら全てのフローAnalyticアルゴリズムはネットワークトラフィック分析や監視を改善します。もっと詳しい特徴や近日発売のScrutinizer7.3で使用可能なレポートをブログに載せようと思います。チェックしてください。
 
-Scott

まだ知らない方がいるかもしれないのでお知らせします。最近私たちはネットフローCisco ASAサポートを大事にしています。Scrutinizerネットフロー＆sフローアナライザーバージョン７のリリースによってPlixerは、ASAハードウェアからエクスポートされたネットフローの完全なサポートを提供する唯一のネットワーク監視会社になりました。もしネットフローをエクスポートするためにCisco ASAを設定したくても、何から始めていいかわからないのでしたら、このページに来て正解です。
 
完全なハーモニーで共存するScrutinizerとCisco ASA firewallsについて十分に探求したので、トピックを紹介するべきでしょう。トピックはWebinarです。
先週、Scrutinizerの製品マネージャであるMichael PattersonがWebinarのシリーズを紹介しました。もし見逃してしまったのであれば、ここに物理的証拠があります。レコーディングをオンライン上に記載するよう、（いつものように）かなりの数のリクエストがありました。こちらに記載しています！
 
Scrutinizer Webinar
Scrutinizerやその他の機能でCisco ASAネットフローがサポート
 
いつものように、Scrutinizerを使用するためにCisco ASA ファイアウォールのセットアップまたは設定、もしくはWebinarで紹介されているその他のトピックについての質問がある場合は、207-324-8805までお気軽にお問い合わせ下さい。
 
Jon Mills

ルータやスイッチからのネットフローとsフローを収集するためにバージョン６を使用した後、Scrutinizer ネットフロー及びsフローアナライザーのバージョン７をインストールすることによって、ウェブインタフェースにすっかり詳しくなっていることでしょう。
 
バージョン７を使用するに当たり、状態ページから始めると思いますが、これを見てあなたは言うでしょう。“これは何だろう？以前とは変わっている。どうしたらいいのだろうか？”
 
状態タブの概要についてのウェブキャストを参照することをお勧めします。
 
このウェブキャストは状態タブのページの全ての新しい機能と引き続き存在しているその他の機能を紹介し、バージョン７でどのように表示され、アクセスされているかも同じように紹介します。
 
このウェブキャストは、新しいネットフローレポーティングツールのビューをカスタマイズするのを助けるいくつかのアドミン機能についても紹介します。
 来週には、ネットワークを監視するためのScrutinizerバージョン７の使用を助けるためのその他のウェブキャストについてのブログが掲載されると思います。
 これからも引き続きブログを読み、Scrutinizerについてもっと知って下さい。

 Cisco ASDM 6.2を始めましょう
バージョン8.2.1かそれより新しいバージョンを実行する必要があるASAからネットフローをセットアップするには、CiscoASDM(Adaptive Security Device Manager) を使い、ネットフローエクスポーターをセットアップしてください。
それから、Firewall設定・作成、ACLマッチング　ANY to ANYに行って下さい。
上のACLを編集し、ネットフロールールアクションをイベントタイプ（ALLなど）に照会します。5つ以上のコレクターが入力されます。下記画像を見てください。 
トラフィックがファイヤーウォオールを通して通過するとき、ネットフローは異なるテンプレートタイプにエクスポートし始めます。
ASAからのネットフローはどこに?
Scrutinizerはネットフローテンプレートを開き”Graph”という文字をクリックすると、ネットフローを表示します。全てのテンプレートはグラフになるわけでなく、エラーメッセージが出るのでお気をつけ下さい。ここに、どのようにScrutinizerｖ７がテンプレートを表示するのか載せておきます。
フロービューをクリックすれば、全てのテンプレートでローメッセージにアクセスすることが可能です。テンプレートにはじき出された全てのフィールドをフロービューは表示させます。
データがよく、レポートツール内で除外されのを見るとき、このレポートはとても興味深いでしょう。このブログの一番下のsome limitations when Scrutinizer reports on NetFlow from the ASAを読んで下さい。
テンプレートにある全て
ネットフローｖ９はテンプレートを使っています。ｖ9と人気バージョンのネットフローｖ5では大きな違いがあります。NSELはネットフローｖ9に基づくフレキシブルネットフローを使っています。ネットフローレコードを始動させる３つの人気なイベントタイプは
* flow-create
　　　* flow-denied
　　　* flow-teardown　　　です。
注意: 上の ‘no XLATE’ テンプレートは NAT translation が行われなかった時に作られます。IPv6 もユニークテンプレートとして作成されます。
Scrutinizer v7で上のデータを見ることができます。 Scrutinizerをここでダウンロードしてください。
Michael Patterson