Pingauksia verkkoon

Näkökulmia tietoturvaan ja tietoliikenteeseen

Näkyvyyttä verkkoon – katsaus yleisimpiin menetelmiin

1. kesäkuuta 2017

Network

Verkonvalvonta tarkoittaa monelle SNMP:n käyttöä. On kuitenkin paljon muitakin tapoja valvoa verkkoa ja saada sen liikenne näkyviin. Uudemmilla työkaluilla on mahdollista saada verkosta irti paljon enemmän, päästä näkyvyydessä aina sovelluksiin asti ja käyttää tiedon seulomiseen ja jalostamiseen big data -analytiikkaa. Tässä katsaus yleisimpiin menetelmiin.

 

SNMP - Perusasiat näkyviin

SNMP:n taru alkoi 1980-luvulla. Protokolla on elänyt sitkeästi ja viimeisin versio 3:kin on jo 15 vuotta vanha. SNMP on varmasti melkein joka paikassa käytössä. Sillä saa helposti kerättyä perustiedot ja statistiikat laitteista ja hälytykset yleisimmistä tapahtumista. Mutta SNMP:n ongelmat tulevat nopeasti esiin, jos halutaan jotain muuta kuin perustietoa. Myös pollattavien parametrien määrä ja lyhyt pollausväli alkavat helposti aiheuttaa suorituskykyongelmia. Valvontajärjestelmät usein vielä pollailevat turhaan kaikkia mahdollisia parametreja, mikä lisää kuormitusta molemmissa päissä entisestään.

 

SNMP:n piti nimensä, Simple Network Management Protocol, mukaan olla yksinkertainen ja helppo, mutta nykymaailmassa se on hidas, kankea sekä rajoittunut, ja valmistajakohtaiset toteutukset voivat olla mitä sattuu. Lopulta se on kaikkea muuta kuin yksinkertainen. SNMP ei enää vastaa nykypäivän tarpeisiin saada nopeasti paljon tietoa monimutkaisista verkoista. SNMP-pollaus sopii mm. laitteiden statistiikan keräämiseen ja perushälytysten välittämiseen. SNMP:lle on hyviä ilmaisia työkaluja graafien piirtämiseen, raja-arvojen seuraamiseen, hälytyksiin ja muuhun valvontakäyttöön.

 

Telemetria ja analytiikka – Big dataa formuloiden vauhdilla

Modernimpi tapa laitetason statistiikan keräämiseen on telemetria. Viime vuosina kaikki suuret valmistajat ovat esitelleet omia toteutuksiaan telemetriasta. Termi on tuttu formuloista, joista kerätään ajon aikana valtava määrä tietoa reaaliaikaisesti. Sama periaate on viety nyt verkkolaitteisiin. Erilaiset mittarit keräävät lähes reaaliaikaista tietoa ja striimaavat sen verkkolaitteista ulos keskitetylle kerääjälle. Siellä tieto on analytiikkatyökalujen käytettävissä.

 

Telemetrian push-malli on paljon tehokkaampi kuin pollaus. Laitteessa tiedon keräys tehdään suoraan raudassa, mikä ei rasita CPU:ta. Laite voi seurata isoja määriä parametreja millisekuntien välein ja tietoa voidaan kerätä hyvin monista asioista, jotka eivät olleet SNMP:llä mahdollisia. Tietoa striimataan jatkuvalla syötöllä ulos laitteesta ja lopputuloksena kertyy isot määrät big dataa, josta voi kaivaa haluamansa tiedot hyvin tarkasti esiin. Tässä analytiikkasovelluksella on tärkeä rooli. Telemetria-ominaisuudet ovat tuoreita ja käyttävät moderneja web-menetelmiä. Vaikka telemetria on uusi ja keskeneräinen alue, se on ehdottomasti seuraamisen ja kokeilemisen arvoinen.

 

Flow - Liikennevirrat esille

Mutta miten päästä sisälle liikenteeseen ja vielä yksittäisen IP-osoitteen tasolla? Lähes kaikki verkkolaitteet tukevat nykyään jotain flow-versiota, jolla liikenteen välitystietoihin päästään käsiksi. Flow-versioiden kenttä on sekava, mutta pääjako on kahteen: reitittimien Netflow ja kytkimien Sflow. Reitittimien Netflow-tieto voi olla 1:1 tai näytteenottoon perustuva. Kytkimillä Sflow perustuu aina näytteenottoon. Flown keräys tehdään laitteen raudassa ja se ei suuremmin rasita laitetta. Flow-tiedot sisältävät mm. laitteen läpi kulkeneen pakettivuon protokollan ja portit, lähde- ja kohdeosoitteet, aikaleimat, siirrettyjen tavujen ja pakettien määrät, laitteen sisään ja ulos portit. Siis varsin paljon tietoa, jota käyttää liikenteen sisällön seuraamiseen.

 

Flow-dataa käytetään paljon tietoturvamielessä, mutta se on myös yleisesti mainio väline poikkeamien löytämisessä ja ongelmien selvittelyssä. Graafisesta kuvaajasta on helppo huomata, jos jonkun yksittäisen IP-osoitteen tai verkkolaitteen liikenneprofiili muuttuu yhtäkkiä. Flow:ta voi myös käyttää siirrettyjen datamäärien mittaamiseen ja laskutukseen. Verkkolaitteet keräävät tiedot ja lähettävät ne säännöllisesti keskitetylle kerääjälle, joka yhdistelee tietoa ja tallentaa sen tietokantaan. Kerääjiä ja graafisia analyysityökaluja on ilmaisia ja maksullisia. Maksullisissa tuotteissa saa hienoja valmiita näkymiä.

 

Lokit - Tapahtumiin perustuva tilannekuva

Moni varmasti tallentaa laitteiden syslogia keskitettyyn paikkaan, mutta kuinka moni lukee tai analysoi sitä? Laitteiden lokitiedon kautta saadaan paljon lisäinformaatiota järjestelmän toiminnasta ja tapahtumista. Lokia voidaan tuottaa monelta tasolta: Laitealustasta, käyttöjärjestelmästä tai sovelluksista. Verkkolaitteissa lokitieto antaa aivan erilaiset mahdollisuudet seurata tapahtumia kuin SNMP-valvonta. Tapahtumatieto voidaan lähettää laitteesta ulos esim. syslogina tai hakea laitteelta vaikka tiedostoina. Myös hankalampia tietolähteitä esim. webbisivuja voidaan parsia tekstiksi ja siirtää keskitettyyn lokiin, tai paremminkin tietovarastoon. Kun tapahtumatieto on keskitetty yhteen paikkaan, voidaan tietoja yhdistellä ja tehdä laajempia havaintoja ja päätelmiä, sekä etsiä juurisyytä helpommin.

 

Nykyään tietoa on valtavasti ja se on eri muotoista, siksi vapaamuotoinen tiedon tallennus alkaa olla ainoa järkevä tapa varastoida sitä. Vapaamuotoinen tieto ei vaadi tallennushetkellä mitään määrityksiä, eikä tietoa karsita matkalla. Kaikki tieto löytyy myöhemmin ja sitä voidaan vapaasti käsitellä eri muotoihin jälkikäteen. Tapahtumatiedon tallentamiseen löytyy ilmaisia työkaluja, mutta maksullisissa tuotteissa saa usein mukana valmiita analytiikka-, näkymä- ja raportointiportaaleja, joista järjestelmän hyöty tulee. Erilaisista tapahtumatiedoista voi rakentaa visuaalisia näkymiä tai raportteja, tietoa voi rikastaa ja yhdistellä tai tapahtumista ja raja-arvoista voi määritellä hälytyksiä. Todellinen monitoimialusta siis.

 

SLA-mittaus - Yhteyden laatu tarkkailuun

Aktiivista verkon mittausta voi tehdä agenteilla tai erillisillä mittalaitteilla. Perinteinen verkkolaitetason mittaustapa on Cisco IP SLA ja vastaavat muilla valmistajilla. Verkkolaite voi pollata jotain IP-osoitetta esim. pingaamalla, HTTP:llä tai jollain TCP/UDP-portilla. Näin saadaan mitattua yhteyden käytettävyyttä ja laatua päästä päähän. Uudempi, monipuolisempi tapa tehdä mittausta myös pelkässä ethernet-verkossa on Ethernet OAM, jota käytetään enemmän operaattoripuolella. Siinä ethernet-yhteydellä mitataan päästä päähän toimivuutta, viivettä, viiveen vaihtelua ja pakettihäviötä. Verkkolaitteilla tehtynä mittaus ja mittadatan käsittely on kankeaa ja huonosti skaalautuvaa. IP SLA -tyyppisillä mittauksilla rajat ja luotettavuus tulevat nopeasti vastaan. Käytännössä mittauksiin vaaditaan joku kaupallinen tuote ja erilliset mittapurkit. Näistä saadaankin sitten hyviä ja kattavia mittaustuloksia verkon laadusta.

 

Reititysanalytiikka - Protokollat tarkkailuun

Reititysprotokollien tarkkailu on oiva tapa nähdä dynaamisen reititinverkon tila nyt ja menneisyydessä. Dynaaminen reititys elää omaa elämäänsä ja kokonaisuudesta on usein vaikea hahmottaa mistä liikenne minnekin kulkee ja mitä tapahtuu ongelmatilanteissa. Ongelmien selvittämiseksi on hienoa päästä jälkikäteen käsiksi ongelmahetkeen: missä ja milloin muutos tapahtui, mikä muuttui ja miten se vaikutti koko verkkoon? Reititysanalytiikka perustuu reititysprotokollien kuunteluun ja tallentamiseen. Analysaattori tuottaa mm. päätelmiä, visualisointia, raportointia ja hälytyksiä reititystapahtumista. Lisäksi tuotteella voi myös mm. simuloida ja suunnitella muutoksia ja vaikutuksia. Reititysanalytiikka on varsin käyttökelpoinen isompaan reititinverkkoon.

 

TAP - Kaikki verkkoliikenne käsittelyyn

Äärimmäinen ja täyden vapauden antava näkymä verkkoliikenteeseen saadaan, kun tuotantoliikenne kopioidaan toiseen paikkaan käsiteltäväksi. Oikean liikenteen kopioille voi tehdä sitten mitä lystää: suodattaa, yhdistellä, jakaa ja viedä eri paikkoihin eri työkaluille. Parhaiten liikenteen kopiointi onnistuu Tap-haaroittimella, joka asennetaan kaapelin väliin. Malleja löytyy sekä kuituun että kuparikaapeliin. Jotkut kytkimet voivat suoraan sisäisesti monistaa liikenteen portista toiseen linjanopeudella aina 100Gb/s-nopeuteen asti. Perinteinen kytkimen span tai port mirror ei toimi kunnolla enää yli 1Gb/s-nopeuksilla, siksi datan kopiointia on mietittävä uudella tavalla. Tap-malliin liittyy yleensä myös joku suodatuslaite (Network Packet Broker) ja erillinen monitorointiverkko, jolla data voidaan kerätä halutuista pisteistä, suodattaa, yhdistellä ja siirtää keskitettyyn paikkaan esim. analysaattorille tai tietoturvalaitteelle. Kun verkosta saa valittua kaiken tai halutun liikenteen, ja vietyä sen yhteen keskitettyyn pisteeseen, kaikki mahdollisuudet ovat avoinna.


Antti Leimio

 

Olen helsinkiläinen tietoliikenneinsinööri, jolla on pitkä kokemus tietoliikenteestä palveluntarjoajan verkoissa. Olen rakentanut tietoliikenneratkaisuja erilaisille palveluille ja sovittanut palveluita verkon päälle. Erikoisosaamistani ovat MPLS-tekniikka ja -palvelut, konesaliverkot, internet, sekä IP multicast ja audio/videopalvelut.

 

Vapaa-ajalla tykkään puuhailla jotain konkreettista, kotoilla ja matkailla. Harrastan rintamamiestaloelämää lähiössä vaimon ja kolmen tyttären kanssa. Yritän seurata alaa ja jakaa ideoita ja näkemyksiä: Teknisempää ja viihteellisempää asiaa Twitterissä ja yleisempää LinkedInissä.