Pacchetti VS flussi: quale opzione è la migliore?

hacker-1944688_1280

By Giordano Zambelli, Direzione Security e Networking VerXo
Reposted from ntop: see more on https://www.ntop.org/nprobe/packets-vs-flows-which-option-is-the-best/

In uno scenario di monitoraggio le scelte più difficili sono decidere il punto migliore in cui monitorare il traffico di rete e la strategia ottimale per osservare questo traffico.
Le opzioni principali sono fondamentalmente due:

  1. Port Mirroring / Network Tap
  2. NetFlow / sFlow Flow Collector

Port Mirroring / Network TAP
Il Port Mirroring (spesso chiamato span port) e il Network TAP (Terminal Access Point) sono due tecniche utilizzate per fornire l’accesso ai pacchetti.
I pacchetti spesso rappresentano il modo migliore per risolvere i problemi di rete poiché essi sono percepiti come una verità di base (“packets never lie””).
Ciò significa con i sistemi L2 (mirror) o L1 (tap) siamo in grado di avere una “visibilità a pacchetto completo”.
Esistono vari tipi di hardware taps: il più complesso è chiamato broker di pacchetti di rete.
Bisogna ricordare che se si monitora il traffico su un computer a cui si ha accesso, si può evitare questa tecnica semplicemente eseguendo lo strumento di monitoraggio sull’host: ciò introdurrà del carico aggiuntivo sul server e quindi le comunicazioni di rete potrebbero essere leggermente influenzate dalle attività di monitoraggio.

Flow Collectors: NetFlow / sFlow
Nel caso di utilizzo di Flow Collectors non si ha accesso diretto ai pacchetti, con alcune piccole differenze a seconda della tipologia di tecnica usata.
In NetFlow / IPFIX è la sonda che gira all’interno del router che raggruppa pacchetti simili in base a una chiave 5-tuple (proto, IP / port src / dst) e calcola le metriche come byte, pacchetti; in un certo senso NetFlow / IPFIX “comprime” (non letteralmente) il traffico per produrre un “riassunto” delle comunicazioni di rete.
In sFlow, invece, la sonda è in esecuzione all’interno dello switch di rete e emette campioni che includono “pacchetti di campioni” che sono pacchetti catturati su porte switch tagliati su uno snaplen (in genere 128 byte) e inviati a un sFlow collector incapsulato su sFlow. Se si confronta sFlow con l’acquisizione di pacchetti, non si ha visibilità completa del pacchetto (sia in termini di lunghezza del pacchetto che in termini di capacità di vedere tutti i pacchetti e non solo un campione), ma d’altra parte si ha accesso a ulteriori metadati come il nome dell’utente autenticato (ad esempio via Radius o 802.1X) che ha creato tale traffico. Questa è un’informazione importante che può essere molto utile durante la risoluzione dei problemi o l’analisi di sicurezza.
In questo scenario, è necessario tenere presente che è possibile vedere solo il traffico prefiltrato e pre-sintetizzato dal dispositivo che sta inviando il flusso: significa che non è possibile avere la “visibilità completa del pacchetto” ma solo una sua versione riepilogativa.

Quale opzione è la migliore?
E’ necessario decidere quale strategia di visibilità della rete adottare, in base alle aspettative di monitoraggio. I network TAP sono in definitiva una buona opzione per le persone orientate ai pacchetti, ma bisogna sapere che è possibile avere anche scenari misti in cui alcune reti vengono monitorate utilizzando pacchetti e altre utilizzando i flussi.

Strumenti di monitoraggio fisico o virtuale?
Spesso le persone ci chiedono se una casella fisica presenti vantaggi rispetto a una Virtual Machine che monitora il traffico. Bisogna ricordare innanzitutto che non esiste il “miglior scenario” da seguire.
La tendenza IT si muove prevalentemente verso il virtuale ma una cartella fisica potrebbe aiutare in uno scenario di prova.
L’hardware potrebbe essere più semplice ma può variare ogni volta.
L’ambiente virtuale consente di evitare possibili problemi hardware ma richiede una scheda NIC fisica dedicata per lo scenario in modalità TAP, che non è sempre possibile.

I requisiti tecnici per il monitoraggio dipendono da ciò che è necessario monitorare e raccogliere, ma la base di partenza dovrebbe essere:

– CPU Intel, due core
– 4 GB di RAM
– 120 GB di spazio su disco. SATA o SSD dipendono dal traffico che è necessario verificare, ma SSD è preferibile.
– 1 NIC solo per la modalità Flow Collection. 2 NIC come minimo per la TAP Visibility.
– Sistema operativo Linux.

verXo supporta il cliente nella scelta e nella predisposizione degli strumenti di monitoraggio della rete e utilizza i servizi di ntop per l’osservazione del traffico di rete.