-
monitoring duzej sieci.
Witajcie.
Szukam rozwiazania ktore pomoze mi zanalizowac siec pod wzgledem ruchu sieciowego.
Moze byc to rozwiazanie platne, bezplatne bez znaczenia.
Ale muszą być dane archiwanle oraznp. W RealTime per host pobieranie danych, z jakiego ip,co itp.
Mozliwosc ustalenia trigerow (gdzie zadamy im pilnowanie ustalonych wartosci (sciaganych danych).
Notifiacion na maila itp.
Siec zbudowana z switchy, ktorych jest dosc sporo. Wszystko wpiete do routera posadowionego na Linuxie.
Co byście polecili.Wiekszosc hostow (XP, W7).
Myslalem o Nagios XI, ale musi byc to rozwiazanie ktore bede mogl szybko wdrozyc.
Zarowno na serwerze jak i klientach.
Ktos pomoze ?
-
Moglbys doklaniej okdeslic co chcesz monitorowac - dzialanie sieci i stan urzadzen czy ruch sieciowy?
Jakos nie widze aby Nagios XI dostarczal to o czym piszesz...
Monitoring sieci to owszem Nagios ale na zasadzie czy urzadzenia dzialaja, jak bardzo sa zajete itd...
1. Mozesz Nagiosem (darmowym) odpytywac switche via snmp i zaczytywac liczniki pakietow na portach, dalej generowac wykresy z tego... albo od razu postawic MRTG i miec to samo praktycznie.
2. Jesli chcesz wiedziec czy koncowka dziala to smokeping, do zliczania ruchu mozesz liczniki na iptables zrobic albo na switchach.
3. Do reagowania na to co sie dzieje i co biega po sieci da rade Snort - wpinasz go na span-port i dajesz do serwera monitorujacego osobna sieciowke... wtedy nie jest in-line ale widzi co sie dzieje i generuje alerty tak jak ustawisz.
4. Korelacja logow - Splunk, RSA enVision, itp... ja uzywam u siebie darmowego Splunk'a - wersja free ma limit do 500MB logu na dobe ale daje rade, powyzej 500MB ceny ida ostro w gore
5. Monitoring ruchu sieciowego - mozesz zobaczyc na StealthWatch od Lancope, daje rade ale nie wiem ile kosztuje ;-)
Zobacz na OSSIM (AlienVault - Unified Security Management - Community) wiekszosc tego co podalem jest tam zintegrowana i jest to bardzo przydatne narzedzie.
-
pewnie chodzi o pelna inwigilacje uzytkownikow.
nie wiem dlaczego od razu mowisz o nagios XI skoro sam do konca nie wiesz do czego sluzy i czym sie rozni od darmowego nagios'a
co do nagios'a - mam, wdrozylem - jezeli bedziesz mial jakiekolwiek pytania to nie jest problem, nagios przedemna tajemnic nie ma;
- komunikacja po nrpe w przypadku bsd/linux - kontrola: mem,cpu,bazy danych,hdd,www,interfejsow itd itd
- urzadzenia kontrolowane za pomoca snmp. Albo znajdujesz gotowe wtyczki, albo sam operujesz na mib'ach.
- jezeli sa to maszyny windowsowe - do komunikacji z nagiosem wykorzystujesz nsclient++.
Najlepiej nagios'a postaw na serwerze linux (chyba, ze jestes wygodny to bsd) - bedziesz bez problemu mogl kontrolowac takze vmware esxi.
generalnie nagios jest podstawa, piekielne mozliwosci daje; do wykresow wszystkich uslug uzywam narzedzia, ktore zintegrowalem z nagiosem - pnp4nagios
Jezeli tak ochoczo mowisz o rozwiazaniach platnych: podejrzewam, ze siec do 100uzytkownikow; zakup sonicwall, a do tego np na w2k3/k8 postaw sonicwall viewpoint z mysql - jesli dobrze masz skonfigurowane AD oraz dns to gwarantuje pelna inwigilacje sieci: kto z jakiego ip sciagal, jak dlugo siedzial na okreslonych stronach, ile sciagal, co robil, ktore protokoly sa najczesciej wykorzystywane itp itd oczywiscie ustawiasz sobie pozniej raporty na mejla co 24h o najbardizej aktywnych uzytkownikach; dodatkowo masz informacje o anomaliach sieciowych, ktore maja wplyw na bezpieczenstwo infrastruktury
Ostatnio edytowane przez Whizz_BANG : 01-13-2011 - 21:47
-
Przyznaje pod tym wzgledem sonicwall'e sa fajne ale jesli bazujesz na IPSec to nie polecam - sonicwall'e maja przypadlosc wredna ze czasami IPSec zdycha i pomimo keep-alive i dead peer detecion = on nadal tunel lezy... trzeba sie zalogowac, odkliknac i ponownie wlaczyc. Poza tym to calkiem przyjemne urzadzenia i jak sprzet nie nawali to chodza calkiem ladnie.
Co do pnp4nagios - swietna sprawa ale trzeba do nagiosa dodac nieco mocy obliczeniowej, wiec jak masz duza siec to lepiej dokladnie zaplanuj na czym to stawiasz i jak czesto testujesz urzadzenia (bo nagios potrafi swoje zjesc)...
Tak jak mowi Whizz_BANG - nagios to totalna podstawa
Zrob nagios + Splunk lub podobne cos do korelacji logow i wysylaj logi z urzadzen+kompow (nawet via syslog) i masz calkiem fajny wglad w to co sie dzieje.
-
co do sonicwalla - fajnie czyta sie takie cos, ze ktos ma podobne doswiadczenia
co do sprzetu do nagios'a - podstawa jest szybki dysk, bardzo szybki... - jest duzo drobnych zapisow na dysk (pnp4nagios wykonuje wykresy z rrdtool; sam nagios tez trzyma informacje o kazdej usludze); np. w moim przypadku w ciagu 5 minut nagios wykonuje grubo ponad 1000 operacji/punktow na wykresach, ktore pnp4nagios ladnie prezentuje; nagios jest zwirtualizowany, zuzywa malo procesora, natomiast zuzycie pamieci jest caly czas na poziomie okolo 700M, dyski w macierzy maja 15k obrotow. W innym miejscu i czasie postawilem kiedys nagios'a na 2rdzeniowej maszynie z 1G ramu, ale dyski 5400 - przy 400 uslugach maszyna byla mocno obciazona
-
to sie zgadza... jak chcesz odciazyc maszyne znacznie to sugerowalym przeniesc 'stats file' na jaks FS ktory jest podmnotowany jako /dev/shm :-) wtedy plik bedzie w RAM a tak na prawde jedyne co on trzyma to aktualny stan uslug - ten plik wlasnie jest najczesciej zapisywany/przerabiany przez nagiosa i on powoduje najwieksze obciazenie na I/O...
sprawdza sie szczegolnie jak masz zintegorwana platforme odpalana z pamieci flash - tak czeste zapisy wykoncza nosnik w ciagnu max 2-3 miesiecy... moze dociagnie do 6-8 jesli masz na prawde dobrej jakosci 'przemyslowa' pamiec :P
A co do Sonicwall'a - ten problem zauwazylem tylko w wyzszych modelach... Stary dobry Pro 230 tego problemu nie ma ale w Pro 3060 takie cos dzialo sie co pare miesiecy generalnie i wymagalo recznej interwencji. Rozmawialem z szefem dzialu technicznego Sonicwall'a w trakcie ktorychs targow i byl ciezko zaskoczony ze takie cos w IPSec zauwazylem... to jeden z powodow dlaczego juz nie uzywamy Sonicwall'i... jako firma przez te padu IPSec'a stracilismy zdecydowanie za duzo kasy... moglbym za te pieniadze kupic kilka(nascie) najdrozszych Cisco albo Juniper'ow.
Dobra - Sonicwall EOT, poszlismy ladnie off-topic :P
Ostatnio edytowane przez TQM : 01-13-2011 - 23:01
-
Dzieki, za odpowiedzi.
Wydawalo mi sie,ze Nagios XI raczej robi to samo co darmowy, lecz jest to platforma bardziej hardwerowa.
Widzicie, siec budowana na switchach 3com,obecnie hp.
Mam Kilka zarzadzlnych, kilka warstwy 3, kilka z prio voipem itp. czasem sie dlink trafi jakis.
Wszystko co idzie na swiat przechodzi przez router linuxowy RH.
Taki nagios na nim zainstalowany zalatwi mi to bez problemu.
Ale...
W momencie kiedy, na jednym hoscie ktos komus cos udostepni to juz nie bardzo nagios da rade.
Chyba ze RA, jakiegos da sie zainstalowac na kazdym hoscie,ale czy to dobre rozwiazanie ?
druga sprawa, pytacie co chce monitorować ?
Np. Ile host o IP 192.168.0.1 o nazwie TRALALALA zajmuje pasma w lan a ile w WAN.
Gdzie wszedl to akurat sargiem mozna zrobic i to robie.ale juz https ruchu nie zobaczy taki sarg.
Interesuje mnie w miare pelna wiedza co sie dzieje na routerze, co sie dzieje na sieci i cosie dzieje miedzy hostami.
Sarg,nagios,snort, super...znam 1 i 3 ale to kilka rozwiazan ktore zeby skonfigurowac trzeba posiedziec.
A mnie zalezy na tym, zeby to szybko zrobic i zeby od razu dzialalo.
Przynosilo wymierny efekt w postaci wykrywania anomalii itp.Dlatego napisalem
o platnym i darmowym rozwiazaniu. Bo to darmowe wcale nie jest darmowe, jesli
policzyc godziny spedzone na wczytywaniu sie w dokumentacje.
Kiedys zainstalowam Nagiosa, ale wydal mi sie bardzo primitywny, potrafiacy
dac jedynie informacje o sprzecie na ktorym stoi. A o reszcie np. czy host zyje
to juz informowal wysylajac do niego pinga. To bylo z 4 lata temu. Moze idzie w lepsze.
Chetnie zobaczylbym jak macie to zrobione u siebie. Jesli oczywiscie pozwolicie.
-
... i nagios wlasnie to robi - sprawdza zdalne uslugi, pinguje zdalne maszyny, odpytuje switche po SNMP na przyklad, loguje sie do maszyn po ssh jak trzeba... i zmiany w stanie uslugi raportuje mailem (najczesciej). Jak padnie jeden z zarzadzalnych switchy to wiesz ze wszystko za nim tez pada - nagios pokaze to jako 'blocking outage' i pokaze gdzie padlo.
Nagiosa musisz skonfigurowac, to zajmie nieco czasu, choc wiedzac jak to zrobic (hint - nazwij hosty odpowiednio i uzywaj widcard'ow do pogrupowania ich) bedziesz mogl bardzo szybko dodac duze ilosci maszyn do monitorowania.
Nagios nie zrobi Ci zliczania ruchu w podziale uch w LAN, ruch WAN... takie cos z tego co widze potrafilby zrobic OSSIM jednym z narzedzi ale musisz miec tak ustawiona siec, aby switch do ktorego go wepniesz widzial calutki ruch - wtedy stawiasz sobie maszyne osobna na OSSIM, dajesz 2 sieciowki - do jednej ty sie laczysz a druga w promisc i na span-port switcha... a do tego dalej zliczanie ruchu z firewalla i wiesz kto co ile i kiedy.
Jesli martwi Cie czas ktory potrzebujesz na konfiguracje to nie znajdziesz ani platnego ani darmowego rozwiazania.
U kolegi wprowadzilismy nagiosa na sieci z ponad 700 urzadzen, monitorujac po pare parametrow na kazdym... zajelo to okolo pol dnia - doslownie napisanie skryptu ktory konwertuje rejestr sprzetu i opis struktury sieci do formatu nagiosa.
Co do tego ze ktos cos na hoscie w LAN udostepni - tego nagios sam nie wykryje bo nie do tego sluzy... musisz mu podac gdzie jakie uslugi ma sprawdzac. Cos mam wrazenie ze sam nie bardzo wiesz co chcesz monitorowac a tym bardziej jak sie do tego zabrac.
Wyglada mi to na siec malego (moze osiedlowego) ISP albo maly akademik albo cos w tym rodzaju... dobra rada - nagios do monitorowania switchy i serwerow, mrtg do zajetosci pasma (doslownie do odpytywania portow na switchach) i OSSIM do reszty - bedzie Ci latwiej skonfigurowac niz calosc recznie klikac... albo napisz wlasne oprogramowanie
-
TQM- czemu tak oczeniasz od razu ludzi ?wiem co chce monitorowac.
W port-spanie to se moge. Jednorazowa sprawa.
Jak masz jedno urzadzenie to ok, jak kilka to juz jest problem.
Zwlaszcza ze masz topologie gwiazdy.
Chyba ze kazdy switch ma taka opcje i masz na tyle kabli.
Ja nie mam.
2) powiem szczerze zrezygnowalbym z monitorowania uslug na razie.
Ale bardzo przydalyby sie statyski host -> internet(wan)
co gdzie, kiedy, ile za pomoca czego itp (smtp,www)itp.
Chce miec to wszystko w jedym miejscu a nie w kilku, roznych miejscach.
Dostepne przez ssh, www lub klienta.
-
Nie zrozum mnie zle, nie oceniam Ciebie absolutnie - oceniam jedynie Twoje oczekiwania i to z przymrozeniem oka
Monitoring to nie jest taka prosta sprawa aby zrobic go poprawnie w realiach jakie panuja w organizacji i do tego nie wydajac fortuny na rozwalenie sieci i zbudowanie jej od nowa. Ciesze sie ze sa osoby ktore takie wyzwania podejmuja... poza tym planujesz cos duzego, wiec zalozenia i wymagania ciagle sie zmieniaja na tym etapie - to jest normalne. U nas jest caly zespol ludzi pracujacy od lat w security i chyba nadal dorastamy do tego co chcemy monitorowac, jak monitorowac, itd. A to pojawia sie nowe dane, nowe rzeczy ktore mozemy wplesc w monitoring itd - ten projekt nigdy sie nie konczy
Co do statystyk ruchu w takim razie - hmmm temat nie jest taki prosty. Chcesz miec statystyki per host w rozbiciu na uslugi/porty i protokoly... Nie wiem ilu masz tam ludkow do nadzoru ale do zrobienia tego na iptables musialbys miec bardzo wydajny serwerek i w cholere regulek na firewallu a to tez za darmo nie jest - bedzie spowalniac. Ile to nie wiem dokladnie bo takich wielkich nie budowalem - moje skonczylo sie na okolo 500 userach i zdechlo w momencie odpalenia snort'a do detekcji P2P na tej sieci...
Widze ze OSSIM robi to co potrzebujesz ale nie wiem czy w podziale na hosty - wyglada mi to na ntop'a albo tcptrack'a... zobacz na http://www.alienvault.com/images/panel_new.png osattnie dwa wykresy na dole. Sadze ze jesli to jedno z tych narzedzi to daloby sie to jakos recznie przewalic na wiecej wykresow aby rozbic ruch na konkretne hosty i miec do tego podsumowane wszystko ladnie na poziomie sieci.
Niestety ten routerek na RH to jedyny jak widze centralny punkt sieci i to jedyne miejsce gdzie ruch mozna lapac... wiec jesli ten switch przy nim ma span-port to nie musisz lapac ruchu na switchach nizej - i tak bedziesz widzial wszystko co idzie lan<->wan, wiec jedna sieciowka i jeden kabel zalatwia sprawe.
Zasady Postowania
- Nie możesz zakładać nowych tematów
- Nie możesz pisać wiadomości
- Nie możesz dodawać załączników
- Nie możesz edytować swoich postów
-
Forum Rules