[Sysadmins] IP audit

[Sysadmins] IP audit

[ABATAPA]

	Доброго дня!
Кто чем пользуется для ip audit (и, возможно, accounting)?
Под этим подразумевается сбор, обработка, классификация, аггрегирование 
трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ). Хочется 
по всему срезу трафика видеть как можно больше статистики - какие IP больше 
получали или отдавали трафика, какие имели наибольшее число src/dst хостов, 
какие протоколы преобладают, каков был объем трафика по каждому критерию в 
некий период, как группируется трафик по хостам, сетям, диапазонам сетей как 
для одного любого IP, так и для некоего диапазона...

-- 
ABATAPA

Re: [Sysadmins] IP audit

[Evgenii Terechkov]

ABATAPA пишет:

> Кто чем пользуется для ip audit (и, возможно, accounting)?
> Под этим подразумевается сбор, обработка, классификация, аггрегирование 
> трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ). Хочется 
> по всему срезу трафика видеть как можно больше статистики - какие IP больше 
> получали или отдавали трафика, какие имели наибольшее число src/dst хостов, 
> какие протоколы преобладают, каков был объем трафика по каждому критерию в 
> некий период, как группируется трафик по хостам, сетям, диапазонам сетей как 
> для одного любого IP, так и для некоего диапазона...

По описанию напоминает NetFlow.

-- 
                                        С уважением, системный
                                        администратор ООО "Крастел",
                                        Терешков Евгений.

Re: [Sysadmins] IP audit

[Eugene Prokopiev]

ABATAPA пишет:
> 	Доброго дня!
> Кто чем пользуется для ip audit (и, возможно, accounting)?
> Под этим подразумевается сбор, обработка, классификация, аггрегирование 
> трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ). Хочется 
> по всему срезу трафика видеть как можно больше статистики - какие IP больше 
> получали или отдавали трафика, какие имели наибольшее число src/dst хостов, 
> какие протоколы преобладают, каков был объем трафика по каждому критерию в 
> некий период, как группируется трафик по хостам, сетям, диапазонам сетей как 
> для одного любого IP, так и для некоего диапазона...

ulog-acctd + БД + свои запросы/процедуры

в качестве БД PosgreSQL удобнее всех, т.к. в нем есть специальные типы 
данных сеть/хост и соответствующие операции над ними

для отображения можно задействовать сводные таблицы ОО, хотя мне SQL хватало

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] IP audit

[ABATAPA]

5 сентября 2006 09:01, Eugene Prokopiev написал:
> ulog-acctd + БД + свои запросы/процедуры
Это - не решение. "Свои запросы" я и сам могу написАть.
Как не решение ipaudit + ipaudit-web и т.д.
Меня интересует готовое решение.
Скажем, подобное, в первом приближении, OSSIM (Open Source Security 
Information Management, http://www.ossim.net/). Но и у этого есть недостатки.
-- 
ABATAPA

Re: [Sysadmins] IP audit

[Peter Volkov]

[-- Attachment #1: Type: text/plain, Size: 1091 bytes --]

On Пнд, 2006-09-04 at 19:41 +0400, ABATAPA wrote:
> Хочется по всему срезу трафика видеть как можно больше статистики - какие IP больше 
> получали или отдавали трафика, какие имели наибольшее число src/dst хостов, 
> какие протоколы преобладают, каков был объем трафика по каждому критерию в 
> некий период, как группируется трафик по хостам, сетям, диапазонам сетей как 
> для одного любого IP, так и для некоего диапазона...

Возможно ntop (http://www.ntop.org/ntop.html) это то что вы хотите.
Правда приложение довольно капризно и на продакшн сервер его лучше не
вешать. Но если вы его вынесите на отдельный компьютер то всё будет Ок.

Peter.

[-- Attachment #2: This is a digitally signed message part --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] IP audit

[ABATAPA]

5 сентября 2006 11:03, Peter Volkov написал:
> Возможно ntop (http://www.ntop.org/ntop.html) это то что вы хотите.
> Правда приложение довольно капризно и на продакшн сервер его лучше не
> вешать. Но если вы его вынесите на отдельный компьютер то всё будет Ок.
Этот, разумеется, знаю, да и в Сизифе он есть. Но все равно - спасибо за 
мнение.
-- 
ABATAPA

Re: [Sysadmins] IP audit

[Sergey]

On Monday 04 September 2006 20:41, ABATAPA wrote:

> Под этим подразумевается сбор, обработка, классификация, аггрегирование 
> трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ). Хочется 
> по всему срезу трафика видеть как можно больше статистики - какие IP больше 
> получали или отдавали трафика, какие имели наибольшее число src/dst хостов,

Сижу и думаю: это же какие объёмы данных хранить ?..

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] IP audit

[Шенцев Алексей Владимирович]

Привет, Жень.
В сообщении от 5 сентября 2006 09:01 Eugene Prokopiev написал(a):
> ulog-acctd + БД + свои запросы/процедуры
> в качестве БД PosgreSQL удобнее всех, т.к. в нем есть специальные типы
> данных сеть/хост и соответствующие операции над ними
> для отображения можно задействовать сводные таблицы ОО, хотя мне SQL
> хватало
Расскажи как и что делал и настраивал? Давно пытаюсь сделать подобное, но ни 
как не получается ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] IP audit

[Konstantin A. Lepikhov]

<цитата от="Sergey">
> On Monday 04 September 2006 20:41, ABATAPA wrote:
>
>> Под этим подразумевается сбор, обработка, классификация, аггрегирование
>> трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ).
>> Хочется
>> по всему срезу трафика видеть как можно больше статистики - какие IP
>> больше
>> получали или отдавали трафика, какие имели наибольшее число src/dst
>> хостов,
>
> Сижу и думаю: это же какие объёмы данных хранить ?..
да не очень большие, если в сыром виде и в netflow.

-- 
WBR et al.

Re: [Sysadmins] IP audit

[ABATAPA]

5 сентября 2006 15:41, Sergey написал:
> Сижу и думаю: это же какие объёмы данных хранить ?..
Нормальные. В любом биллинге трафика гигабайтные базы, и как-то ничего...
-- 
ABATAPA

Re: [Sysadmins] IP audit

[Pavlov Konstantin]

[-- Attachment #1: Type: text/plain, Size: 606 bytes --]

On Tuesday 05 September 2006 15:41, Sergey wrote:
> On Monday 04 September 2006 20:41, ABATAPA wrote:
> > Под этим подразумевается сбор, обработка, классификация, аггрегирование
> > трафика _без_ привязки к клиенту/отдельным ip (т.е. UTM отдыхает;) ).
> > Хочется по всему срезу трафика видеть как можно больше статистики - какие
> > IP больше получали или отдавали трафика, какие имели наибольшее число
> > src/dst хостов,
>
> Сижу и думаю: это же какие объёмы данных хранить ?..

А зачем пакеты хранить. Хедеров достаточно.

-- 
Pavlov Konstantin,
ALT Linux Team,
VideoLAN Team,
jid: thresh@altlinux.org

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] IP audit

[Eugene Prokopiev]

Шенцев Алексей Владимирович пишет:
> Привет, Жень.
> В сообщении от 5 сентября 2006 09:01 Eugene Prokopiev написал(a):
> 
>>ulog-acctd + БД + свои запросы/процедуры
>>в качестве БД PosgreSQL удобнее всех, т.к. в нем есть специальные типы
>>данных сеть/хост и соответствующие операции над ними
>>для отображения можно задействовать сводные таблицы ОО, хотя мне SQL
>>хватало
> 
> Расскажи как и что делал и настраивал? Давно пытаюсь сделать подобное, но ни 
> как не получается ...

В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] IP audit

[Шенцев Алексей Владимирович]

В сообщении от 5 сентября 2006 17:01 Eugene Prokopiev написал(a):
> В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.
А я его ищу в сизифе, когда его там нет ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] IP audit

[Шенцев Алексей Владимирович]

В сообщении от 5 сентября 2006 17:01 Eugene Prokopiev написал(a):
> В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.
Жень, а вот эта статья уже устарела?
http://citforum.ru/operating_systems/linux/schema_ldap/#traffic
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] IP audit

[Sergey]

On Tuesday 05 September 2006 17:12, ABATAPA wrote:

> 5 сентября 2006 15:41, Sergey написал:
> > Сижу и думаю: это же какие объёмы данных хранить ?..

> Нормальные. В любом биллинге трафика гигабайтные базы, и как-то ничего...

Так они без такой детализации гигабайтные...

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Sysadmins] IP audit

[Eugene Prokopiev]

Шенцев Алексей Владимирович пишет:
> В сообщении от 5 сентября 2006 17:01 Eugene Prokopiev написал(a):
> 
>>В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.
> 
> Жень, а вот эта статья уже устарела?
> http://citforum.ru/operating_systems/linux/schema_ldap/#traffic

устарели ldif-файлы, по поводу чего мне было сказано:

-------------------------------------------------------------------------

Привет,
В статье "Централизованная схема и т.д." в теле dhcpd.ldif есть ошибки - 
и невозможно добавить такую структуру покрайней мере в OPENLDAP2.2.
В случае коррекции - будет работать. Думаю если есть возможность надо 
добавить это в доку... А то я полночи потерял - пока в форумах нашел как 
это должно быть описано.

dn: dc=myprovider, dc=ru
objectClass: top
objectClass: dhcpServer
objectClass: dcObject
cn: myprovider.ru
dhcpServiceDN: cn=Network, dc=myserver, dc=myprovider, dc=ru
dc: myprovider

-------------------------------------------------------------------------

Если собирать dhcpd с ldap-патчем, то нужно подобрать комбинацию 
последовательности наложения патчей - работают не все ... ;)

А вообще, в данном случае, вместо bind/dhcpd/ldap можно было 
использовать dnsmasq и не париться ;)

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] IP audit

[Eugene Prokopiev]

Шенцев Алексей Владимирович пишет:
> В сообщении от 5 сентября 2006 17:01 Eugene Prokopiev написал(a):
> 
>>В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.
> 
> А я его ищу в сизифе, когда его там нет ...

ушло в incoming, может даже соберется ... ;)

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] IP audit

[Шенцев Алексей Владимирович]

В сообщении от 6 сентября 2006 15:30 Eugene Prokopiev написал(a):
> ушло в incoming, может даже соберется ... ;)
Да я его вчера уже сам пересобрал. Сменил лишь номер релиза в спеке, всё 
остальное товё Жень. Так что автоматом должен собраться ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

Re: [Sysadmins] IP audit

[Eugene Prokopiev]

Eugene Prokopiev пишет:
> Шенцев Алексей Владимирович пишет:
> 
>>В сообщении от 5 сентября 2006 17:01 Eugene Prokopiev написал(a):
>>
>>
>>>В документации ulog-acctd из бэкпортов к ALM 2.4 есть рабочие примеры.
>>
>>Жень, а вот эта статья уже устарела?
>>http://citforum.ru/operating_systems/linux/schema_ldap/#traffic

Что же касается только учета трафика, то все должно работать и сейчас. 
Можно даже оторвать от NetworkConsole то, что к трафику отношения не 
имеет, если оно не нужно ;) Жесткой привязки к Firebird там нет, 
переписать процедуры учета под любимую СУБД - и вперед :)

Хотя, наверное, для учета трафика все же удобнее web-интерфейс.

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] IP audit

[Шенцев Алексей Владимирович]

В сообщении от 6 сентября 2006 15:39 Eugene Prokopiev написал(a):
> Что же касается только учета трафика, то все должно работать и сейчас.
> Можно даже оторвать от NetworkConsole то, что к трафику отношения не
> имеет, если оно не нужно ;) Жесткой привязки к Firebird там нет,
> переписать процедуры учета под любимую СУБД - и вперед :)
Интересно, интересно ... :)
>
> Хотя, наверное, для учета трафика все же удобнее web-интерфейс.
Ага, ток на текущем сизифе php 4.4.4 не работает ...
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845