Nftables i netflow

Izvor: SIS Wiki
Skoči na: orijentacija, traži

Temu rezervirao : Marijan Stanković

Sadržaj


Nftables

Nftables je novi paketni klasifikacijski okvir kojemu je cilj zamijeniti postojeće iptables, ip6tables, arptables te ebtables okvire. Nftables je predstavljen 2008. godine na Netfilter Workshopu u Parizu te je iduće godine pušten u upotrebu od strane dugogodišnjeg člana i voditelja Netfilter tima - Patricka McHardya. Krajem 2013. godine je nftbales ovkir ubačen u Linux kernel , a od 2014. godine je dostupan sa Linux kernelom 3.13.

Nftables okvir nam omogućuje filtriranje paketa (engl. firewall), oštećivanje (engl. mangling) i klasifikaciju paketa te NAT. NAT(engl. Network address translation) je metoda koja omogućuje routeru modificiranje paketa kako bi jednu javnu IP adresu moglo koristiti više uređaja.

Baš kao i sa iptables okvirom, tablice nam služe kao spremnici za lance, dok lanci sadrže individualna pravila koja mogu obavljati radnje poput ispuštanja paketa, prelazak na sljedeće pravilo ili učiniti skok na novi lanac. Nftables okvirom su ispravljene neke mane koje je imao njegov prethodnik poput skalabilnosti,performansi i održavanja koda.


Za pokretanje alata nft komandne linije potrebno je: [1][2]

libmnl je dostupna na : git://git.netfilter.org/libmnl libnftnl je dostupna na: git://git.netfilter.org/libnftnl


Usporedba iptables - nftables

U sljedećem dijelu možemo vidjeti neke glavne razlike između iptables i nftables okvira. [3]

Iptables


Nftables




Sintaksa

Sintaksa iptables okvira za ispuštanje paketa sa IP adresom 10.5.5.5

iptables -A OUTPUT -d 10.5.5.5 -j DROP 

Sintaksa nftables okvira za ispuštanje paketa sa IP adresom 10.5.5.5

nft add rule ip filter output ip daddr 10.5.5.5 drop 

NetFlow

NetFlow je mrežni protokol razvijen od strane Cisco Systems-aa za prikupljanje informacija o IP prometu i nadgledanje mrežnog prometa. Analizom prikupljenih podataka može se izraditi slika toka mrežnog prometa. Mrežni administrator može analizom prikupljenih podataka odrediti stvari kao što su izvor i odredište prometa, klasa usluge te uzroke zagušenja mreže. Za NetFlow se može reći da je postao standard kada je riječ o pračenju mrežnog prometa ali osim Cisco Systems-a, još nekoliko proizvođača hardvera je implementiralo svoju verziju tog protokola. Neke od njih su Ericson - Rflow, Huawei - NetStream, Juniper - Jflow, MikroTik - TrafficFlow itd.

Tipičan tok praćenja korištenjem NetFlowa se sadrži od 3 komponente: [4]

Mrežni protok

Mrežni protok se može definirati na više načina, a npr. Cisco NetFlow verzije 5 koji je najčešći, definira protok kao jednosmjerni slijed paketa koji se sastoje od 7 jedinstvenih stavki:


Svaki put nakon što primi paket, router pregleda svaku od tih 7 stavki te zatim odlučuje:



Slika prikazuje primjer NetFlow infrastrukture.


Na slici je prikazan primjer NetFlow statistike.


Analiza protoka podataka pomoću NetFlow Analyzer-a

Na Internetu je trenutno dostupan velik broj alata koji nam omogućuju korištenje samog NetFlowa te analiziranje protoka podataka. Zbog nemogućnosti autora da sam isproba korištenje nekog od dostupnih besplatnih verzija NetFlow alata poput ManageEngine NetFlow Analyzer, Solarwinds Real-Time NetFlow Analyzer, Ntopng zbog nepodržane dostupne opreme (isprobano na usmjerivačima D Link Dir 600 te na 2 TP-Link usmjerivača), u nastavku će biti prikazani rezultati praćenja mrežnog prometa u jednoj znanstvenoj ustanovi u Srbiji kako bi se studentima moglo prikazati kako to zapravo izgleda. Svi grafikoni koji će biti prikazani su preuzeti iz rada navedenog istraživanja, dostupnog u literaturi. [5]

Naime radi se o istraživanju trojice profesora iz Niša, koji su na Visokoj tehničkoj školi u Nišu u periodu od 6 mjeseci pratili mrežni promet te sa ostalima podijelili zanimljive izvještaje. Također prilikom praćenja su vršili i određene testove tako što su u određenom periodu blokirali neke stranice poput Facebook-a i Youtube-a te su ti rezultati zaista zanimljivi. Programski alati koje su koristili prilikom istraživanja su: ManageEngine –NetFlow Analyzer, Mikrotik – The Dude i Zabbix. Model usmjerivača koji su koristili je MikroTik RB433. Postavljena je otvorena bezična mreža koju su studenti mogli koristiti bez lozinke. Najveći broj spojenih uređaja na bežičnu mrežu su predstavljali mobiteli te nekolicina prijenosnih računala. Sljedeća slika predstavlja shematski prikaz mreže na kojoj je izvršeno praćenje te analiziranje podataka.

Slika 3. Shematski prikaz korištene mreže, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Putem DHCP(engl. Dynamic Host Configuration Protocol) koji služi za dodjeljivanje IP adresa i ostalih mrežnih postavki, MikroTik je mreži dodjeljivao adrese iz opsega brojeva 100-200 te pri tome sve adrese nisu nikada bile zauzete istovremeno te je maksimalan broj uređaja na mreži bio 73.

Ograničenja koja su postavili u određenim periodima istraživanja su:

Na sljedećim slikama su vidljivi grafikoni dobiveni putem NetFlow Analyzera.

Slika 4. Količina podataka po mjesecima, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Na slici je moguće vidjeti grafikon koji predstavlja protok podataka na mreži kroz cijelo vrijeme trajanja istraživanja. Može se vidjeti par protoka podataka između ožujka i travnja što je ujedno i vrijeme kada je Facebook bio nedostupan na mreži!

Slika 5. Protok podataka s točkama ograničenja, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Kada je Facebook ponovo omogućen , na grafikonu se jasno vidi kako je protok podataka ponovo porastao. Onemogućavanje Youtube stranice nije toliko utjecalo na protok podataka zbog toga što za tu stranicu postoje određene alternative međutim u slučaju Facebooka bio je evidentan pad protoka podataka.

Slika 6.Promjena protoka podataka po mjesecima, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Gornji grafikon je jedan od najzanimljivijih i iz kojih se može vidjeti dosta korisnih informacija. Npr. u vremenu kada su se održavali kolokviji u školi evidentno je smanjenje protoka i korištenja Interneta. 1. svibnja je protok pao na nulu što je razumljivo pošto je to neradni dan. U lipnju je vidljiv pad protoka pošto su tada već bila gotova predavanja i počinjali su ispitni rokovi.

Na gornjom grafikonu je moguće vidjeti ukupan protok podataka u vremenu istraživanja. Dan u tjednu kada je najviše bio korišten Internet je četvrtak. Također se pred vikend, točnije petak vidi znatan pad protoka te u subotu i nedjelju kada škola ne radi.

Slika 8.Dnevni protok podataka po satima, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Preklapanjem svih grafikona dnevnog protoka podataka u vremenu istraživanja, dobiven je prikazan gornji grafikon. Iz dobivene slike vidi se da je zauzetost mreže najveća bila između 08 i 15h te da je najveći protok podataka bio između 09 i 12h te između 16 i 18h kada su bila predavanja na specijalističkim studijima.

Slika 9.Zastupljenost stranica po mjesecima, Izvor:http://infoteh.etf.unssa.rs.ba/zbornik/2016/radovi/RSS-1/RSS-1-12.pdf

Na slici je prikazan grafikon zastupljenosti stranica u mjesecima istraživanja. Jasno se vidi kako je Facebook najposjećenija stranica te vrijeme kada on nije bio dostupan koje su se stranice više koristile. Jedna od zanimljivosti je i navedena stranica cache.google.com. Kada bi unesli taj url u naš pretraživač izbacilo bi nam 404 error. Naime radi se zapravo o izvoru koji se koristi za Youtube sadržaj. Dakle kada se na Youtube-u gleda neki video , video podatci se prenose sa te stranice cache.google.com.

Zaključak

Nftables je novi paketni klasifikacijski okvir koji je zamijenio prijašnji okvir iptables. Od 2014. je dostupan sa Linux kernelom 3.13. On nam omogućuje filtriranje, modficiranje te klasifikaciju paketa. NetFlow je mrežni protokol razvijen od strane Cisco Systems-aa za prikupljanje informacija o IP prometu i nadgledanje mrežnog prometa. Za NetFlow se može reći da je postao standard kada je riječ o pračenju mrežnog prometa. Analizom prikupljenih podataka može se izraditi slika toka mrežnog prometa. Na Internetu je trenutno dostupan velik broj alata koji nam omogućuju korištenje samog NetFlowa te analiziranje protoka podataka. Neki od dostupnih besplatnih verzija NetFlow alata su ManageEngine NetFlow Analyzer, Solarwinds Real-Time NetFlow Analyzer, Ntopng. Praćenje mrežnog protoka podataka je veoma korisno te može biti od veoma velike pomoći. Mrežni administrator može analizom prikupljenih podataka odrediti stvari kao što su izvor i odredište prometa, klasa usluge te uzroke zagušenja mreže te se iraditi razne statitstike i predviđanja.



Literatura

  1. Debian Wiki (2017), Wiki Debian,, preuzeto 17.01.2017. sa: [1]
  2. Florian Westphal (2016), What comes after 'iptables'? Its successor, of course: `nftables`, Red Hat Developers Blog, preuzeto 17.01.2017. sa: [2]
  3. Netfilter (2016), The netfilter.org "nftables" project, Netfilter, preuzeto 17.01.2017. sa: [3]
  4. Wikipedia (2016), Netflow, Wikipedia, preuzeto 15.01.2017. sa: [4]
  5. Perica Federšpil,Dušan Stefanović,Slavomir Stošović (2016), Praćenje navika studenata na Internetu analizom IP saobraćaja upotrebom NetFlow analajzera, Infoteh Javorina, preuzeto 09.01.2017. sa: [5]
Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima