Nota: Se stai leggendo questo messaggio è perchè non vedi i nostri file css, oppure perchè non hai un browser "standards-compliant browser". Leggi l'aiuto.

TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club ProntoImprese IlSoftware
TechTarget Italia SearchCIO.it SearchNetworking.it
Cerca
in
Usare NetFlow per controllare il funzionamento della rete
Tutorial
Usare NetFlow per controllare il funzionamento della rete
L’uso congiunto del tool e di sistemi di Security Information Management permette di avere indubbi vantaggi in termini di sicurezza, che possono portare all’individuazione di minacce in precedenza non identificabili.
Link suggeriti
Topics L'importanza dei sistemi di intrusion prevention Proteggere la vostra azienda dal cybercrime Expert Advice Esistono tool freeware per la scansione delle vulnerabilità in Ajax? Tips Blogging, le domande da porsi per rendere sicuri i dati aziendali Usare l'application logging per rilevare attacchi ai propri sistemi Learning Guide Attenzione al Layer 7, la porta d'accesso alle applicazioni Cinque tool freeware per limitare le vulnerabilità della rete
Glossario UDP
Con il termine UDP (User Datagram Protocol) s'indica un protocollo di comunicazione che offre un numero limitato di ...
» continua
VPN
(Virtual Private Network) Il principio di una VPN consiste nel creare una rete privata all'interno di una pubblica. ...
» continua
20 Giugno 2007

Per partendo da un esordio senza pretese, NetFlow nel tempo è diventato il tool più comunemente usato per il monitoring della rete. Come prodotto standalone, NetFlow fornisce potenti caratteristiche di amministrazione. Se usato assieme ai sistemi di security information e di event management (SIM) e se correlato con i dati provenienti da altri dispositivi, NetFlow diventa per certi aspetti indispensabile. In questo articolo, vedremo cos'è NetFlow, cosa fa e cosa offre ai sistemi di SIM che lo usano. Rivedremo inoltre i vantaggi che derivano dalla combinazione delle queste due potenti tecnologie.

Cos'è NetFlow?
Inizialmente, il controllo della rete era effettuato tramite il Simple Network Monitoring Protocol (SNMP). Anche se SNMP facilita la pianificazione della capacità di una rete, è davvero poco utile per il controllo del traffico nelle applicazioni, aspetto essenziale per capire come la rete supporta il business. Il traffico sulle porte è monitorato, ma le più recenti applicazioni selezionano dinamicamente nuove porte per ogni sessione e perciò SNMP non è più adatto allo scopo. Si è creata perciò la necessità di avere un'immagine più dettagliata dell'uso della larghezza di banda. L'arrivo di NetFlow ha permesso agli amministratore della rete di caratterizzare e analizzare la densità del traffico via UDP.

NetFlow è oggi integrato nella maggior parte degli switch e dei router di classe enterprise e si è trasformato in una tecnologia primaria per l'accounting del network per la rilevazione delle anomalie della rete. NetFlow risponde essenzialmente alle seguenti domande sul traffico della rete: chi, cosa, quando, dove e come.

Ogni flusso è un insieme di pacchetti caratterizzati da un determinato tipo di informazioni, quali gli indirizzi IP del mittente e del destinatario e i dati relativi alle porte interessate. I pacchetti in un particolare flusso sono contati e segnalati attraverso un collettore. Quest'ultimo classifica tutto il traffico raccolto su una rete, basandosi sul mittente, sulla destinazione e sull'applicazione. I report risultanti permettono a un amministratore di osservare i flussi classificati in funzione dell'ampiezza di banda utilizzata. La larghezza di banda può essere ancora ulteriormente analizzata per classificazioni di minori dimensioni, quali le applicazioni, gli utenti e i server.

Rilevazione di un'anomalia nel comportamento della rete
NetFlow genera un sistema basato sul comportamento che profila i tipici collegamenti che si stabiliscono fra i dispositivi. Questo genera un controllo di base che può avere cadenza oraria o quotidiana. Dopo che la rete è stata “classificata” nella sua interezza, viene segnalata qualsiasi variazione che può essere considerata anomala.

Come SIM usa i dati di NetFlow
I dati di NetFlow sono aggregati con i dati di altre fonti, quali IPS, firewall, VPN, lo strato dell'applicazione e, in alcuni sistemi, i dati di identità. Queste informazioni vengono quindi correlate usando diverse tecniche compreso quelle basate su:

  • Regole
  • Statistica 
  • Storico 
  • Vulnerabilità

Queste correlazioni sono realizzate sia per il controllo di un singolo sito sia di più siti nel contempo. I dati correlati sono classificati in base al flusso del traffico, agli attacchi all'interno di un sito o agli attacchi intersito. Viene quindi effettata un'analisi del rischio per scoprire quale attacco potenzialmente può più facilmente danneggiare l'impresa.

Idealmente, questa valutazione di rischio includerà almeno gli attacchi:

  • Ai processi di businesss
  • Ai processi a livello di network
  • Sito aziendale

Questo aspetto è stato un differenziatore nel mondo SIM. Alcuni si comportano meglio nei confronti degli attacchi basati sulla rete, mentre altri permettono persino il riesame dei processi di business. Per concludere, questi dati sono inviati a un motore di reporting. Una serie di cruscotti e di rapporti in formato testo forniscono i grafici e le tabelle relativi.

Vantaggi dell'insieme SIM/NetFlow
Uno dei più evidenti vantaggi derivanti dalla combinazione NetFlow-SIM è il miglioramento nella comprensione della sicurezza e nella relativa risposta. Con la visualizzazione in tempo reale offerta da NetFlow, possono essere creati alert con priorità. Le minacce possono anche essere correlate con altri vettori di attacco, in modo che i problemi a priorità alta vengano visti per primi e gli amministratori possano rispondere di conseguenza.

Quando raccogliete i dati di NetFlow all'interno dell'impresa e li mettete in relazione tra loro, potete rendere più evidenti anche gli attacchi stealth che sono di difficile individuazione perché rendono invisibili i cambiamenti effettuati nel sistema.

Uno dei vantaggi più interessanti è la capacità di vedere gli eventi avversi in un unico flusso con i flussi associati. Ciò è possibile perché SIM correla i dati di NetFlow attraverso l'impresa, permettendo a un amministratore di osservare sia i flussi di attacco sia i flussi che supportano l'attacco.

Tool Freeware
Se non avete installato un SIM e gradireste “vedere” NetFlow in azione, sono disponibili diversi tool per ottenere la visione desiderata. Sourceforge.net è una comunità open source che propone alcuni tool di sicurezza (freeware) davvero rilevanti. L'elenco relativo a NetFlow presente su Sourceforge.net attualmente comprende oltre 440 tool per poter visualizzare, gestire e usare i dati di NetFlow. Due tra i più popolari sono:

  • Extreme Happy NetFlow Tool
  • NFDUMP - NetFlow processing tool

Conclusioni
NetFlow è diventato un tool indispensabile sia nel settore della sicurezza sia in quello delle reti. Fornisce una visibilità in tempo reale dell'uso della larghezza di banda e delle priorità dell'utente e dell'applicazione e quindi dei flussi del processo di business. Più velocemente questi dati possono essere trasformati in informazioni utili, più velocemente i professionisti possono rispondere agli avvenimenti e minimizzare l'effetto del business sull'organizzazione. Inoltre, una volta combinato con i sistemi per le informazioni di sicurezza e la gestione degli eventi, NetFlow può rivelare minacce precedentemente non individuabili e che riguardano l'intera impresa.

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari