Netflow mit OpenNMS

Transcript

1. … wo OpenNMS, Nagios überlegen ist. Network Flows

2. Ronny Trommer indigo423 · he/him Contributor to OpenNMS since 2008

   St a rted to use OpenNMS in 2004 Working full-time for OpenNMS since 2015 openITCOCKPIT Summit 2024 I open source

3. … wo OpenNMS, Nagios überlegen ist. Network Flows 🍎 🥕

4. … wo OpenNMS, Nagios überlegen ist. Network Flows 🍎 🥕

5. Network Flows in a Nutshell

6. Network Flows in a Nutshell Wie setzt sich der Netzwerkverkehr

   zusammen?

7. Network Flows in a Nutshell Wie setzt sich der Netzwerkverkehr

   zusammen? • Wer mit wem?

8. Network Flows in a Nutshell Wie setzt sich der Netzwerkverkehr

   zusammen? • Wer mit wem? • Über was?

9. Network Flows in a Nutshell Wie setzt sich der Netzwerkverkehr

   zusammen? • Wer mit wem? • Über was? • Wieviel?

10. Network Flows in a Nutshell Wie setzt sich der Netzwerkverkehr

    zusammen? • Wer mit wem? • Über was? • Wieviel? Copyright © 2024 Dilbert.com - All Rights Reserved.

11. Fehleranalyse • Wer verursacht Überlastung • Wer ist betroffen

12. Kapazitätsplanung Von wo nach wo brauch ich mehr Kapazität?

13. Sicherheit Gibt es Netzwerkverkehr der da nicht sein dürfte?

14. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes

15. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400

16. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 520 192.168.1.42 52.202.62.232 23455 443 1 6 350

17. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 610 192.168.1.42 52.202.62.232 23455 443 1 6 420 192.168.1.40 172.217.42.211 11244 27960 1 17 512

18. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 870 192.168.1.42 52.202.62.232 23455 443 1 6 620 192.168.1.40 172.217.42.211 11244 27960 1 17 1536 192.168.1.102 52.210.67.110 21234 993 1 6 2354

19. Was ist ein f low? Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 1240 192.168.1.42 52.202.62.232 23455 443 1 6 920 192.168.1.40 172.217.42.211 11244 27960 1 17 2540 192.168.1.102 52.210.67.110 21234 993 1 6 3750

20. Was ist ein f low? Net fl ow Collector Net

    fl ow Exporter Net fl ow Monitor

21. Was ist ein f low? Egress Ingress

22. Was ist ein f low? eth0 eth2 eth0 eth2 egress

    ingress ingress egress

23. Net f low Verarbeiten Ad a P a Listener •

    IPv4/IPv6 • UDP • TCP

24. Net f low Verarbeiten Ad a P a rser Listener

    • Net fl ow v5 • Net fl ow v9 • IPFIX • sFlow 2055/udp 9999/udp 4739/udp 6343/udp

25. Net f low Verarbeiten Ad a P a rser Listener

    • Net fl ow v5 • Net fl ow v9 • IPFIX • sFlow 9999/UDP

26. Net f low Verarbeiten Ad a pter P a Listener

    • Flow Dokumente • Anreicherung

27. Flows anreichern Ad a pter P a Listener Source IP

    Destin a tion IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 cdn.pl a yst a tion.com your.box. a t.your.corp

28. OpenNMS Invent a r Flows anreichern Ad a pter P

    a Listener Source IP Destin a tion IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 https eth0 tcp cdn.pl a yst a tion.com your.box. a t.your.corp C a tegories Loc a tion Invent a r ID’s

29. OpenNMS Invent a r Flows anreichern Ad a pter P

    a Listener Source IP Destin a tion IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 https eth0 tcp cdn.pl a yst a tion.com your.box. a t.your.corp C a tegories Loc a tion Invent a r ID’s
30. None
31. None

32. Net fl ow v5 Net fl ow v9 IPFIX sFlow

    Cisco Cisco (RFC 3954) Open (RFC 7012) Open (RFC 3176) Flow b a sed or s a mpled Flow b a sed or s a mpled Flow b a sed or s a mpled S a mpled Ingress Only Ingress/Egress Ingress/Egress Ingress/Egress IPv4 IPv4/IPv6/VLAN/MPLS IPv4/IPv6/VLAN/MPLS IPv4/IPv6/VLAN/MPLS St a tic Extensible Extensible Extensible

33. Flow extension Source IP Destin a tion IP Source Port

    Destin a tion Port Interf a ce Protocol Bytes Routing Source AS Source a utonomous system number. Routing Destin a tion AS Destin a tion a utonomous system number. Routing Next-hop Address IP a ddress of the next hop. IP Source M a sk M a sk for the IP source a ddress. IP Destin a tion M a sk M a sk for the IP destin a tion a ddress. Tr a nsport TCP Fl a gs V a lue in the TCP fl a g fi eld.

34. Flow Extension D a D a D a D a

    D a D a Templ a te Templ a te 1 2 3 4 5 6 7

35. Local Network

36. Distributed Deployment

37. Distributed Deployment P a Listener Source IP Destin a tion

    IP Source Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 cdn.pl a yst a tion.com your.box. a t.your.corp

38. Distributed Deployment Source IP Destin a tion IP Source Port

    Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 OpenNMS Invent a r https eth0 tcp C a tegories Loc a tion Invent a r ID’s

39. Large Volume Deployment

40. Large Volume Deployment Source IP Destin a tion IP Source

    Port Destin a tion Port Interf a ce Protocol Bytes 192.168.1.23 104.125.70.17 38274 443 1 6 400 OpenNMS Invent a r https eth0 tcp C a tegories Loc a tion Invent a r ID’s

41. Skalierung Ingest 🧨 Source NAT 💥

42. Skalierung Ingest Templ a tes Net fl ow V9 /

    IPFIX Minion C Minion B Minion A Minion D

43. Skalierung Ingest Minion C Minion B Minion A Minion A

    Minion B Minion C Templ a tes Net fl ow V9 / IPFIX Minion D
44. None
45. None
46. None
47. None
48. None
49. None
50. None

51. Resources • https://github.com/indigo423/OITC-2024 • https://docs.opennms.com/horizon/33/oper a tion/deep-dive/ f lows/b a

    sic.html • https://blog.s f low.com/2022/02/udp-vs-tcp-for-re a l-time-stre a ming.html • https://opennms.discourse.group/t/how-to-use-pm a cct- a s- a -net f low-9-probe-on-ubuntu-linux- a nd-m a c-os-big-sur/1160 • https://opennms.discourse.group/t/running-in-docker- a nd-receiving- f lows-tr a ps-or-syslog-mess a ges-over-udp/1103 • https://www.v a ronis.com/blog/ f low-monitoring • https://ch a t.opennms.com/opennms/ch a nnels/opennms-discussion • https://github.com/OpenNMS/el a sticse a rch-drift-plugin