Řešení NetFlow pod Linuxem nebo BSD

pepix

Řešení NetFlow pod Linuxem nebo BSD
« kdy: 30. 11. 2016, 15:17:20 »
Má někdo doporučení, praktickou zkušenost se sledováním sítě? Jde mi o monitoring, co jaká ip provádí, monitorovat např četnost smtp komunikace (např. spam ze sítě atp.), útoky směrem ze sítě (dos atd.). Uvažuji nasadit linux nebo bsd, komerčním řešením se chci vyhnout.
« Poslední změna: 30. 11. 2016, 15:57:51 od Petr Krčmář »


lieko

Re:netflow
« Odpověď #1 kdy: 30. 11. 2016, 15:40:02 »
nfsen

Re:Řešení NetFlow pod Linuxem nebo BSD
« Odpověď #2 kdy: 30. 11. 2016, 19:39:58 »
Pokud by ti nevadilo komerční java řešení, které je zdarma do 2 sledovaných interfaces, tak https://www.manageengine.com/products/netflow/netflow-analyzer-editions.html

Dělá moc pěkné výstupy a pokud používáš Cisco, tak se hodí i podpora NBAR.
Síťař a vývojář v Lyntu

maros

Re:Řešení NetFlow pod Linuxem nebo BSD
« Odpověď #3 kdy: 01. 12. 2016, 06:39:29 »
Dělá moc pěkné výstupy a pokud používáš Cisco, tak se hodí i podpora NBAR.
1. NBAR je addon, je zdarma pre free verziu?
2. Nema free verzia obmedzenie na pocet tokov (flows) za 24h, ktore dokaze spracovat?
3. Dokaze free verzia zobrazit vsetky toky z/do urcitej IP za urcite casove obdobie (1h, 4h, 24h, ...)?
4. Dokaze free verzia notifikovat spravcu pri urcitej anomalii, ktoru ju mozne definovat (spominany bol pocet SMTP spojeni, ...)?
5. Do akej hlbky je free verzia customizovatelna (suvisi s otazkou cislo 4)?
6. Ma free verzia obmedzenie po aky dlhy casovy usek uchovava udaje?

.



drunkez

Re:Řešení NetFlow pod Linuxem nebo BSD
« Odpověď #5 kdy: 01. 12. 2016, 22:41:29 »
osobne zbieram netflow-tools bohuzial nemam nad tym nejake rozumne parsovadlo/filtrovadlo uvazujem nad ELK stackom

Re:Řešení NetFlow pod Linuxem nebo BSD
« Odpověď #6 kdy: 02. 12. 2016, 19:40:59 »

Trump

Re:Řešení NetFlow pod Linuxem nebo BSD
« Odpověď #7 kdy: 04. 12. 2016, 13:44:24 »
Kedysi davno som nieco take riesil a dospel som k nazoru ze vsetky opensource netflow riesenia su iba vykreslovace niekolko grafov. Pozadovanu funkcionalitu mozno dosiahnut IDS, napr. Aanval. Detekciu anomalii z netflow dokaze komercny FTAS, ktory vyvija CESNET.