Free NetFlow Resources

皆様！Scrutinizer v7ネットフローコレクターのリリースをお楽しみ頂けていますでしょうか。既存のお客様からたくさんお褒めの言葉を頂き、一生懸命働いた甲斐がありました。

IPv6、フレキシブルなネットフロー、ASA NSELサポート等の大きな変化に気付いていると思います。新しい製品をナビゲートし、お探しの機能を見つけることにより慣れ親しんでもらうためにビデオチュートリアルを最近掲載致しましたので、ご報告します。

これがトラフィックのために特定のフィルタを作成する方法を紹介するすばらしいビデオです。この新しいフィルタ機能はv6のCUSTOM REPORTオプションを置き換えたものです。きっと気に入ると思います。ぜひ見てみて下さい。

P.S: 私がNetFlow rap video Mix Master Mitch madeのビデオで踊っていることに関して、不機嫌なコメントをするためだけに電話をしてきた全てのお客様に感謝したいと思います。

いくつかのことをここで明確にしておきましょう。

a)     私はプロのバックアップダンサーではありません。

b)     ブリトニースピアーズのミュージックビデオに出たことはありません。尋ねてくれたことには感謝します。

c)      どの会社のパーティーのためにも雇われて踊るつもりはありません。

- Nate

いい天気はここSouthern Maineで終わってしまうようです。土曜日今年初めての雪が降りました。ホリデーパーティはとても素敵で外は雪が降っています。そして日曜日の朝目覚めて外の景色がまるでCurrier and Ivesの世界のようでした。

最近わたしは新しいフローAnalyticツールを紹介するブログを始めました。新しいフローAnalyticツールはPlixer Internationalの最近のネットフローとSフローanalytics ツール（Scrutinizerｖ7.3）で使用することができます。

Scrutinizer7.3で利用できる4つの新しい分析ツールのうちの3番目をあなたに紹介します。 Breach Attempt Violation はあるソースからある送信先のたくさんの小さいフローを探しています。これはbrute forceやdictionaryアタックなどを表示することができます。

典型的なシナリオは攻撃する特定サービスを探しているあなたのネットワークをスキャンしているポートです。例えばルータかLinuxサーバがポート23に実行しているSSHサーバを持っているsubnetフィールドをスキャンしているホストです。

クラッカーはSSHサーバとデバイスをあなたが持っていることを知っているので、違ったパスワードの組み合わせを試してデバイスにアクセスを集めようとします。

 Breach Attempt　アルゴリズムは次の特徴を持つトラフィックを特定しようとします。

・    一般的にTCPフローはFINフラッグで閉じられ完了

・    小さく1KB以下

・    フローにつき25パケット以下

・    数多くある

・    1シングルホストから別のシングルホストまで

しきい値はシンプルでフロー Analytics Overview gadget「インバウンドしきい値」内でセットされます。このしきい値セッティングは重大なアタックに対して光で知らせたいかどうかを調整する手助けをします。デフォルトしきい値は100です。

これら全てのフローAnalyticアルゴリズムはネットワークトラフィック分析や監視を改善します。もっと詳しい特徴や近日発売のScrutinizer7.3で使用可能なレポートをブログに載せようと思います。チェックしてください。

-Scott

まだ知らない方がいるかもしれないのでお知らせします。最近私たちはネットフローCisco ASAサポートを大事にしています。Scrutinizerネットフロー＆sフローアナライザーバージョン７のリリースによってPlixerは、ASAハードウェアからエクスポートされたネットフローの完全なサポートを提供する唯一のネットワーク監視会社になりました。もしネットフローをエクスポートするためにCisco ASAを設定したくても、何から始めていいかわからないのでしたら、このページに来て正解です。

完全なハーモニーで共存するScrutinizerとCisco ASA firewallsについて十分に探求したので、トピックを紹介するべきでしょう。トピックはWebinarです。

先週、Scrutinizerの製品マネージャであるMichael PattersonがWebinarのシリーズを紹介しました。もし見逃してしまったのであれば、ここに物理的証拠があります。レコーディングをオンライン上に記載するよう、（いつものように）かなりの数のリクエストがありました。こちらに記載しています！

Scrutinizer Webinar

Scrutinizerやその他の機能でCisco ASAネットフローがサポート

いつものように、Scrutinizerを使用するためにCisco ASA ファイアウォールのセットアップまたは設定、もしくはWebinarで紹介されているその他のトピックについての質問がある場合は、207-324-8805までお気軽にお問い合わせ下さい。

Jon Mills

ルータやスイッチからのネットフローとsフローを収集するためにバージョン６を使用した後、Scrutinizer ネットフロー及びsフローアナライザーのバージョン７をインストールすることによって、ウェブインタフェースにすっかり詳しくなっていることでしょう。

バージョン７を使用するに当たり、状態ページから始めると思いますが、これを見てあなたは言うでしょう。“これは何だろう？以前とは変わっている。どうしたらいいのだろうか？”

状態タブの概要についてのウェブキャストを参照することをお勧めします。

このウェブキャストは状態タブのページの全ての新しい機能と引き続き存在しているその他の機能を紹介し、バージョン７でどのように表示され、アクセスされているかも同じように紹介します。

このウェブキャストは、新しいネットフローレポーティングツールのビューをカスタマイズするのを助けるいくつかのアドミン機能についても紹介します。

 来週には、ネットワークを監視するためのScrutinizerバージョン７の使用を助けるためのその他のウェブキャストについてのブログが掲載されると思います。

 これからも引き続きブログを読み、Scrutinizerについてもっと知って下さい。

 Cisco ASDM 6.2を始めましょう
バージョン8.2.1かそれより新しいバージョンを実行する必要があるASAからネットフローをセットアップするには、CiscoASDM(Adaptive Security Device Manager) を使い、ネットフローエクスポーターをセットアップしてください。
それから、Firewall設定・作成、ACLマッチング　ANY to ANYに行って下さい。

上のACLを編集し、ネットフロールールアクションをイベントタイプ（ALLなど）に照会します。5つ以上のコレクターが入力されます。下記画像を見てください。 

トラフィックがファイヤーウォオールを通して通過するとき、ネットフローは異なるテンプレートタイプにエクスポートし始めます。

ASAからのネットフローはどこに?
Scrutinizerはネットフローテンプレートを開き”Graph”という文字をクリックすると、ネットフローを表示します。全てのテンプレートはグラフになるわけでなく、エラーメッセージが出るのでお気をつけ下さい。ここに、どのようにScrutinizerｖ７がテンプレートを表示するのか載せておきます。

フロービューをクリックすれば、全てのテンプレートでローメッセージにアクセスすることが可能です。テンプレートにはじき出された全てのフィールドをフロービューは表示させます。

データがよく、レポートツール内で除外されのを見るとき、このレポートはとても興味深いでしょう。このブログの一番下のsome limitations when Scrutinizer reports on NetFlow from the ASAを読んで下さい。

テンプレートにある全て
ネットフローｖ９はテンプレートを使っています。ｖ9と人気バージョンのネットフローｖ5では大きな違いがあります。NSELはネットフローｖ9に基づくフレキシブルネットフローを使っています。ネットフローレコードを始動させる３つの人気なイベントタイプは

* flow-create
　　　* flow-denied
　　　* flow-teardown　　　です。

注意: 上の ‘no XLATE’ テンプレートは NAT translation が行われなかった時に作られます。IPv6 もユニークテンプレートとして作成されます。

Scrutinizer v7で上のデータを見ることができます。 Scrutinizerをここでダウンロードしてください。

Michael Patterson

DDoS アタックを検知
 DDos アタックは扱いにくいモンスターのようなものです。なぜなら、一見合法トラフィックに見えるからです。精密な私たちのテストからDDoSアタックを検出するためのアルゴリズムを私たちは作りだしました。それは不正ポジティブのリスクを大幅に軽減するので私たちはこう言っています。不正ポジティブとはフローボリュームやバイトサイズ、スタンダード統計偏差を含みます。それはとても複雑だけれども、長い時間をかけて、DDoS活動としての変更が依然必要でしょう。

DDoSアッタクを阻止
私は全てのDDoSアタックを阻止するための明確な解決法を提供していません。URPFを実行することがあなたが考えたいことだと思っています。

DDoS緩和のために使用している際に明らかになるURPFを搭載しているものがあります。それはソースアドレスを無効なものだと見なします。全てのものは送信を返すことができるアタッカ-かどうかを決定します。現在のアタックはより精度を高めていて、botnetを攻撃に使用する傾向があります。ルータのことを考える限り、これはこのテクニックが使用される時、有効なトラフィックとなり実行されます。これは良くないことなので、レスポンスを検出し反発することがDDoSアタックへの策略の一部として実行すべき良い解決策です。反発とは検出、誘発イベントやルータやスイッチインタフェースへのアタックを阻止するための自動化アクションをスクリプトすることを意味します

通信とフロー活動

一方でネットワークスキャンやホストインターネットの悪い連中として知られる者たちとの通信の監視は有効なセキュリティ実行です。DDoＳイベントのように明らかな謎が検出されるものは数少ないです。例えば、平均的なユーザーが100かそれ以上のホスト１フローごとのホストに通信しているとして、この普通ではないことをあなたは考えるでしょうか。
多くのセキュリティのプロはこのパターンや他のNefarious Activityは疑わしいが脅威に必要なものでないと同意するでしょう。ホストが関わったことによるのです。警告が発せられますが、アラームは必要ではありません。ホストが100のうち10%以下もしくはそれが開けたコネクションを閉じたらどうなるのでしょう。また、これは保障された問題ではないかもしれませんが、疑いと警告が発動します。Flow Analyticsでは,これらの警告はホストのためにUnique Index（UI）にあげられます。もしUIが可能なレベルを引き上げたら、イベントとアラームが誘発されるでしょう。

必要以上の警告に基づいたアラームは不正ポジティブを避けるもう一つの方法です。

特定パターンのアラーム
あなたが監視したいネットフロートラフィックかSフロートラフィックが事前に用意されたアルゴリズムの一つでないなら、あなたは何ができるでしょう。

二つ方法があります。

1. ScrutinizerネットフローとSフローアナライザーにセーブされたレポートを使用しているアルゴリズム自体をあなたは作りだすことができます。確実なトラフィックを中に入れたり、外に出したりしてレポートを確定すると、しきい値をボリュームリミットの上か下に設定できます。NBARアプリケーションのしきい値を設定している下の例をご覧下さい。

‘Skype’:

1. 監視を明確にする二つ目の方法はplixerに連絡してあなたが監視したいものを説明することです。彼らがあなたに代わってアルゴリズムを作り出しトラフィックパターンを常にチェックするためにフローAnalｙticsを使用します。

要約

あなたの最大のセキュリティー脅威は内部にあります。フローAnalytics を正しくセットアップして設定を確認するために私たちに電話してください。

どのタイプのトラフィックをあなたは監視していますか？

Michael Patterson

たちは、地元のお医者さんに行ったとき、彼らが言ったことに賛同できないことが時々あります。確かに、医学学校に行き、私たちの臓器について立派な学位を取得したわけではありません。しかし！それは、私たちの体で、たまには正しくないことくらいわかります。それで、私たちは何をしますか？私たちにはセカンドオピニオンがあります。ほとんど人生の一部－ネットワーク管理でも同じ考えは大切です。時には、正しく見えないこともありますが、私たちは、ハードウェアとソフトウェアが何を言っているのか、闇雲に信じる前にセカンドオピニオンを持つ必要があります。

何年も、Plixer(はい、私たちのSomixデーを含みます)は、MIBを歩き、SNMP情報を検証するためにゲットイフと呼ばれるすばらしい無料ツールを使用しています。それは、技術者とユーザがディバイス設定と構成を検証するサポートを許可しています。そのことは、重要です。しかしハードにおいて小さな、しかしとても便利なツールを持つことは、大変重要です。設定の間、何か予定通りに進まないとき、最初の質問は、いつも“それは、ソフトウェアですか、またはハードウェアですか？”です。お客様とSNMPの有効なディバイスを監視するDenika Performance Trenderのセットアップを評価する方を援助するとき、ゲットイフは、いつもこの質問の答えに大変助けになります。

最近、Plixerは、ネットフローのハードウェアと一緒に働いている私たちに似たような利点を提供している完全に無料のツールを発売しました。それは、フローアライザーを呼ばれています。フローアライザーは、あなたのネットフローディバイスの構成とテストでいくつかの異なるオペレーションを実行可能ではありますが、ここでひとつ注目したいは、リスナーです。

フローライザーのリスナータブは、ゲットイフが実行しているものに非常に似たの必要性を満たします。それは、ユーザに“ソフトウェアですか、それともハードウェアですか？”という質問に応えることを許可しています。フローアライザーを開き、リスナータブをクリックするだけで、あなたは起動しているPCにいくつかのフローが自動的に送られるのを見ることになるでしょう。このことは、あなたが、ネットフローがハードウェアから正しく送られているということを検証することを許可します。もしフローアライザーでネットフローが機能していることを見ることができ、しかし、あなたのネットフローコレクター(Scrutinier、または別の方法で)では、そのフローを見ることができないならば、それは、ほとんどの場合、ソフトウェアの設定の問題です。しかしながら、対照的な面では、フローアライザーを実行しているネットフローの不足は、簡単にハードウェアの設定問題を確定します。

あなたのネットフローコレクターをテストする別の方法は、ネットアライザーのネットフロージェネレイターを使うことです。ネットフロージェネレイターは、ネットフローとsフローのデータの流れを模擬実験し、ネットフローコレクションのソフトウェアが正しく設定されていることを検証するのに使用できます。全ては、ルータに何か変更が生じる前に完了します。あなたのネットフローツールで現れるフローアライザーからネットフローは送られていますか？もしそうなら、素晴らしいです！もし違うようなら、「ヒューストン、私たちには問題があります！」

ただネットフローの存在を確定するだけで、マルチプルポートで聞くことができるフローアライザーは、パケット数、ネットフローバージョンを表示し、UDPポートのフローは、機能します。ちょうどScrutinizerのように、フローアライザーは、ディバイスがトラフィックの最大量送られてくるユーザを表示することが可能です。

ですので、ここでのレッスンは、「葛藤することはやめましょう！」です。セカンドオピニオンを得るために、フローアライザーとゲットイフのように使用するツールを明確にしてください。あなたのハードウェアが正しく設定されている、または、あなたのネットフローの報告ソフトウェアが正確にセットされている・・・ということを決して信用せずに、フローアライザーのネットフローとsフローテスターで検証してください。

Jon Mills
Marketing & Public Relations Manager

先日、私はCisco3800ルータに認識されたネットフローエクスポートを手に入れていた新しい顧客と働いていました。

インタフェースごとに有効なipフローigressコマンドを使用するコンセプトを説明していた時、彼はこう言いました。

「わたしは全てのインタフェースにそのコマンドを実行しなければならない！？約10のサブインタフェースを持っていますよ

現実には１０つのインタフェースを設定するのは難しくありませんが、面倒です。

なので、もしvlanのＬＯＴとデバイスにネットフローを有効にしているなら、一番手っ取り早いのはintrangeコマンドを使用することです。

次に挙げるものを入力することで使用できます。

#:int range

昨日彼がサブインタフェースの領域のipフローingressを有効にしようと試みましたので、次のコマンドを使用しました。

#: #: int range eth0/1.160 – eth0/1.300

インタフェース領域を特定すると、次のプロンプトが出てきます。

#int range eth0/1.160-eth0/1.300>

そこから全てのインタフェースに適合させたいコマンドを入力して下さい。

-Nathan

CiscoがASAソフトウェア v8.2のリリースを開始した時に、とても盛り上がりました。ついにCiscoが他のキーデバイスのためのネットフローサポートを全ての人のネットワークに含みました。当然ながら、みんなASA用にネットフローを有効にする最新のコンフィグを探しています。

しかし、ネットフローコレクターが一度それらASAネットフローレコードに着手すると、奇妙な結果が出てきます。

数ヶ月前、お客様にいくつかの答えを見つけるのを手伝ってくれるよう頼みました。Wiresharkの助けにより、このパズルを解くための大量なデータを収集しました。

懸命な研究の末、とうとういくつかの答えに辿り着きました・・・。

ASA firewallからのネットフローエクスポート機能はNSELとして分類されます。

NetFlow Security Event Logging

NSELの目的はネットフローを使ってfirewallイベントを追跡し、そのイベントタイプと関連する全てのコンバセーションのサマリーを持つことです。

ですので、ネットフローエクスポートのためにASAを設定する時にネットフローコレクターを使って監視したいイベントを選んでいることになります。現在、監視できるイベントは３種類あります。

・    Flow Create

・    Flow Denied

・    Flow Teardown

ネットフローv9をエクスポートしている各ルータとは違い、ASAのためにイベントタイプを監視している時はそのイベントのためにエクスポートされることができる複数の固有テンプレートがあります。例えば、FLOW CREATEイベントだと、エクスポートされることができる４つのテンプレートがあります。

２つのテンプレートはIPv4アドレスの使用と関連づいています。残り２つはIPv6と関連づいています。

３つのイベントタイプ全てを統合すると、コレクターを管理するために１７もの固有テンプレートができます！

先に少し述べたように、それらのテンプレートは一般のネットフローv9のフォーマットに従っているにも関らず、いくつかは独自の方向に進んでいってしまっています・・・。

しかし、それはパート２で解決します。

少し前にフレキシブルネットフロー（aka ネットフローｖ9）を使用しているMACアドレスの入手について尋ねてきた顧客がいました。　可能ですが、正しく動かすためにMACアドレスを手に入れるには２つ問題があります。

・ルータがMACアドレスをエクスポートする必要がある

・コレクターが、MACアドレスを許可・表示させる必要がある

ルータ設定

MACアドレスをエクスポートするにはルータの設定が必要です。その方法がここにあります。

ステップ１:  フローレコードを作り、あなたがエクスポートしたいフィールドを明確にしてください。それに名前をつけます。ここにMACアタックと呼ばれているものがあります。他にもたくさんのフィールドがあります。アウトプットMACｓもエクスポートします。そうすることによりルータがMACになったら表示されます。

• flow record MAC_ATTACK
• description MAC address flow monitor
• match application name
• collect ipv4 id
• collect ipv4 source address
• collect ipv4 source prefix
• collect ipv4 source mask
• collect ipv4 destination address
• collect ipv4 destination mask
• collect transport source-port
• collect transport destination-port
• collect transport tcp source-port
• collect transport tcp destination-port
• collect transport udp source-port
• collect transport udp destination-port
• collect interface input
• collect interface output
• collect counter bytes
• collect counter packets
• collect timestamp sys-uptime first
• collect timestamp sys-uptime last
• collect datalink mac source address input
• collect datalink mac destination address input

ステップ２: エクスポータ作成

• flow exporter my-happy-funtime-exporter

• description flexible NF v9
• destination 66.186.184.205
• source FastEthernet0/1
• transport udp 2055
• template data timeout 60

ステップ３:フローモニタ作成

使用するどのエクスポータとレコードなのかルータに通知します。

• flow monitor My-flow-monitor
• description app traffic analysis
• record app-traffic-analysis
• exporter export-to-scrut7

ステップ 4:  Add モニターをデザイナーインタフェイスに加える

• interface FastEthernet0/0
       ip flow monitor My-flow-monitor input
• interface FastEthernet0/1
       ip flow monitor My-flow-monitor  input

ステップ 5:  MAC の良さを楽しんで
 

ネットフローコレクターはMAC対応している必要があります
ネットフローコレクタはMACアドレスがある新しいネットフローパケットに対応している必要があります。さらに、ネットフローレポートインタフェースは送信先MACアドレスとソースを探してそれを見れるようにしている必要があります。ここにこのデータのはじめのインタフェースがあります。  
vlandId の上の画像の右に注意してください。ソートとサーチがどのコラムでもできます。下記でMACアドレスを検索しています。

 MACのIPアドレスとを見ることやIPのトラフィックをトレンドすることができます。これらは全てScrutinizerの無料バージョンです。

「異常なネットワークトラフィックパターンとIPとMACアドレスと同じようにエンドユーザのアイデンティティを関連付ける能力は企業のITセキュリティにとって重要です。」とヤンキーグループのシニアアナリストであるPhil Hochmuthが言っていました。
Scrutinizerｖ７はフレキシブルネットフローをサポートしCisco NSEL (i.e. NetFlow Security Event Logs)と PSAMP,などを受信して保存できます。このため私たちのコレクターはNetFlow v9 formatではじかれたものを受信・表示することができます。 しかしそのデータがテンプレートの中になかったりレコードが私たちのデフォルトでないものがあると、表示するのが難しいときもあります。 

ネットフローｖ９のデータが表示できないときは、わたしにWireShark packet traceをテンプレートがあるキャプチャということを確認して送って下さい。

Scrutinizer Has It Covered

Michael Patterson