Detaljert beskrivelse av lokalnettovervåking

Her er nærmere beskrivelse av UNINETTs tjeneste lokalnettovervåking.

Hva er lokalnettovervåking?

Lokalnettovervåking er i praksis en server med en tilpasset portefølje av overvåkningsprogrammer og driftsverktøy, heretter kalt "verktøykassen".

UNINETT ordner anskaffelse, initiell idriftsetting og vedlikehold/drift. Vi inkorporerer verktøykassene som en egen gruppe i vårt sentraliserte driftskonsept, der målepåler også inngår. UNINETT driftssenter og UNINETT beredskapsvakt har døgnkontinuerlig beredskap. Vi har eget reservedelslager for rask erstatning ved evt. havari.

Verktøykassa er 1U rackmonterbare servere som kjører Debian. Puppet benyttes i driftsløsningen, dette gir mange fordeler, blant annet sentralisert konfigurasjon og administrasjon, herunder fortløpende pakkeoppdatering m.m.

For alle verktøy som inngår i portefølgen vil vi besørge vedlikeholdte Debianpakker i et vårt sentrale pakkearkiv. I noen tilfeller vil UNINETT selv gjøre vedlikeholdet, i andre tilfeller er dette håndtert av andre.

Institusjoner som foretrekker å selv drive overvåkningsmaskiner, kan naturligvis velge et slikt løp. Dersom Debian benyttes vil vi her kunne gi tilgang til vårt pakkearkiv. For større verktøy som NAV, vil det også være miljøer som vedlikeholder andre distribusjoner.

Verktøyene i kassen

Følgende verktøy er standard for verktøykassen:

  • Programvare for overvåkning - NAV (Network Administration Visualized)
  • Netflowportefølje (NfSen / nfdump)
  • Tjenesteovervåkning med Xymon (evt NAV)
  • Konfigurasjonsarkiv for nettelektronikk (basert på tftp)
  • Sysloggserver
  • Autentiseringstjeneste for nettelektronikk
  • Løsning for administrasjon av aksesslister (Firewall Builder)

Detaljert beskrivelse av verktøyene

Programvare for overvåkning - NAV

NAV er et omfattende produkt med et sett av verktøy. NAV har en lang historie i sektoren der initiell uvikling startet på NTNU i 1999. NAV utvikles fra 2006 i samarbeid med flere parter, der UNINETT og NTNU er sentrale. Du kan lese mer om NAV på https://nav.uninett.no/

Netflow-portefølje

Netflow-data supplerer de dataene NAV samler inn. Netflow gir oversikt over alle sesjonene i nettverket, hvem som snakker med hvem, fra hvilken IP-adresse og port (TCP/UDP) til hvilken IP-adresse og port. Netflow-data kan eksporteres fra Cisco-rutere, herunder Catalyst 6500, Catalyst 4500 og Cisco Nexus plattformene.

IPFIX er en IETF standard som langt på vei baserer seg på netflow v9. IPFIX benyttes av bl.a. Juniper. nfdump (se under) støtter også IPFIX.

Følgende komponenter inngår i netflowporteføljen:

  • Nfdump er innsamlingssystemet som tar i mot netflowdata fra ruterne. Dataene lagres i et komprimert filformat. En rekke verktøy følger med pakken som gjør det mulig å søke i datamengden.
  • NfSen (Netflow Sensor) er en webfront som gjør netflow dataene enklere tilgjengelig. Du kan søke via et webgrensesnitt i stedet for å benytte kommandolinjegrensesnitt. NfSen forholder seg til netflow rådata fra Nfdump. NfSen lager også en del overordnet statistikk og lagrer dette i RRD-filer. Det er mulig å lage egendefinerte filtre som genererer alarmer når en konfigurert terskel overskrides. Deteksjon av mailspammere er et eksempel. På verktøykasse presenterer vi NfSen som et verktøy (tool) fra NAV sin “toolbox”.

Tjenesteovervåkning med Xymon

Xymon (tidligere Hobbit) er en tjenesteovervåker som tilbys på verktøykassene. Det er god integrasjon mellom NAV og Xymon. Les mer i brukerdokumentasjonen for Xymon.

Konfigurasjonsarkiv for nettelektronikk

Løsningen gir et oppdatert arkiv for all nettelektronikk som inkluderer rutere, svitsjer og basestasjoner. Løsningen gir også et separat arkiv for pakkefilter, samt en egnet plattform for opplasting av ny programvare til nettutstyret.

Følgende inngår:

  • tftp-tjener: Denne er satt opp sikkert, slik at ikke uønskede kan skrive eller lese informasjon. Rutiner ved institusjonen sørger for at enhver endring i konfigurasjon på nettutstyret etterfølges av en lagring til nvram på boksen (“write”) og til tftptjeneren (“write network”).
  • RCS-løsning for konfigurasjonen: RCS gir historisk arkiv, slik at man kan se endringer som er gjort tilbake i tid.
  • Nattlig epost til driftsansvarlige med rapport om siste døgns endringer.
  • Sentral kopi av konfigurasjonsarkivet til sentral UNINETT-tjener: Dette gir en styrket robusthet ved utfall. Dersom en lokal svitsj ryker og lokal verktøykasse ryker / er utilgjengelig kan UNINETT fremskaffe konfigurasjon evt også reservedeler fra eget lager.
  • Opplegg for vedlikehold av aksesslister
  • Opplegg for oppgradering av programvare på nettelektronikk (tftp eller scp benyttes, sistnevnte er nødvendig når image overgår 32MB)
    • Viktig tjeneste i dette bildet blir sentralt vedlikeholdt web-side fra UNINETT som gir råd om foretrukken programvereversjon for de ulike plattformene, samt oppskrift på oppgraderingsprosedyre og ikke minst arkiv med relevant programvare. Denne lastes ned til lokal verktøykasse før opplasting på eget utstyr.

Sysloggserver

Tjenesten inneholder:

  • syslogg konfigurert til å motta sysloggmeldinger fra nettelektronikk (rutere, svitsjer, basestasjoner). Herunder rotering av logger.
  • NAV har mulighet til å strukturere Cisco syslogmeldinger og gjøre dette søkbart tilgjengelig i webgrensesnitt. Meldingene sorteres her bl.a. etter alvorlighetsgrad (severity).

På verktøykassene har vi implementert en “ja, takk, begge deler” løsning. Sysloggmeldinger blir både liggende på flatfil (og rotert) og lagt inn i NAV sin syslogdatabase.

Autentiseringstjeneste for nettelektronikk

Det er satt opp en Radius-daemon på verktøykassene. Denne kan settes opp som autentiseringsserver for pålogging på f.eks. nettverksutstyr. Å ha en samlet plass for autentisering gjør at:

  • Det blir mulig å se hvem som har gjort hvilken konfigurasjonsendring.
  • Det blir lettere å fase ut tilgang til brukere når de slutter i organisasjonen.

Det er også mulig å sette opp serveren til å autentisere UNINETT-brukere. Dette gjør at man kan slippe inn UNINETT-ansatte ved behov for teknisk assistanse.

Firewall Builder for administrasjon av aksesslister

Firewall Builder er fri programvare for adminstrasjon av aksesslister/brannmurregler. Applikasjonen er en X-applikasjon som er installert på verktøykassen. En av fordelene med Firewall Builder er at det gjør parallelt vedlikehold av IPv4 og IPv6 aksesslister mye enklere.

Firewallbuilder støtter i utgangspunktet Cisco IOS og Linux iptables, men Uninett har utvidet støtten til også å omfatte Juniper og Cisco NX-OS.

Dokumentasjon og diskusjonsforum

Det blir vedlikeholdt en brukerdokumentasjon for verktøykassene som gir nøkkelinformasjon for de ulike verktøyene. Se også egen Xymon dokumentasjon.
I tillegg har NAV egne dokumentasjonssider og etablerte epostlister. Det er etablert en epostliste vk@uninett.no for diskusjon rundt verktøyene. Her vil også nyheter og driftsmeldinger fra oss bli lansert.

Løsninger rundt verktøykassen

GSM-terminal

UNINETT tilbyr anskaffelse av en GSM-terminal for å muliggjøre mottak av alarmer fra NAV og Xymon via sms-meldinger.