Nettadministrasjon fra Sikt

Nettverksansvarlige ved virksomheter som drifter sitt eget lokalnett kan oppleve å komme til kort når det gjelder overvåkning av nettverket. Nettadministrasjon fra Sikt tilbyr verktøyene som trengs for nettovervåkning og trafikkanalyse.

Mangel på tid, ressurser, kompetanse og gode verktøy kan føre til at lokale campusnett og tilhørende tjenester ikke blir monitorert og fulgt opp slik de burde.

Nettadministrasjon fra Sikt er et tilbud til virksomheter som ønsker å drive eget lokalnett, og trenger gode verktøy for nettovervåkning og trafikkanalyse.

Nettadministrasjon benyttes til å overvåke det lokale campusnettet med tilhørende tjenester ved bruk av sentrale verktøy for nettovervåking, trafikkanalyse, tjenesteovervåking og konfigurasjonsarkiv for nettelektronikk.

Gode verktøy er halve jobben

Ved å benytte Sikts tjeneste for Nettadministrasjon kan nettverksansvarlige ved virksomhetene være trygge på at drift og overvåkning av lokalnettet er ivaretatt.

Sikt installerer en server med en rekke overvåkningsverktøy. Serveren driftes av Sikt, og ansvarlig IKT-personell ved virksomheten får tilgang til et webgrensesnitt slik at de kan monitorere driftssituasjonen i eget nett.

Tjenesten for lokalnettovervåkning inneholder følgende verktøy:

  • Programvare for nettovervåkning – NAV (Network Administration Visualized)
  • Netflowportefølje (NfSen / nfdump)
  • Tjenesteovervåkning med NAV
  • Konfigurasjonsarkiv for nettelektronikk (basert på tftp)
  • Sysloggserver
  • Autentiseringstjeneste for nettelektronikk
  • Løsning for administrasjon av aksesslister (Firewall Builder)

Beskrivelse av verktøyene

Nettadministrasjon i praksis

Tjenesten Nettadministrasjon fra Sikt forutsetter at det installeres en lokal server, som plasseres på et sikkert og godt beskyttet nettsegment.

Sikt må ha tilstrekkelig tilgang til serveren, slik at den kan overvåkes og driftes av oss. Alternativt kan serveren installeres i en av Sikt sine sentrale maskinrom.

Nettadministrasjon er i praksis en server med en tilpasset portefølje av overvåkningsprogrammer og driftsverktøy. Sikt sørger for anskaffelse, initiell driftsetting og vedlikehold/drift ved å inkorporere verktøyene som en egen gruppe i vårt sentraliserte driftskonsept.

Sikt overvåker nettet med døgnkontinuerlig beredskap og har eget reservedelslager for rask erstatning ved ev. havari.

Verktøykasse for administrasjon av lokalnett

Verktøykassen består av 1U rackmonterbare servere som kjører Debian. Puppet benyttes i driftsløsningen, noe som gir mange fordeler, blant annet sentralisert konfigurasjon og administrasjon, herunder fortløpende pakkeoppdatering m.m.

For alle verktøy som inngår i porteføljen sørger vi for vedlikeholdte Debianpakker i vårt sentrale pakkearkiv.

Virksomheter kan også velge å selv drive overvåkningsmaskinene. Om de da benytter Debian kan vi gi tilgang til Sikts pakkearkiv. For større verktøy som NAV, vil det også være miljøer som vedlikeholder andre distribusjoner.

Programvare for overvåking – NAV

NAV (Network Automation Visualized) er programvare for nettverksadministrasjon og overvåkning og det mest sentrale verktøyet i tjenesten Nettadministrasjon fra Sikt. Les mer om NAV og last ned programvaren

Verktøyet er utviklet av våre lokale eksperter i Sikt, men benyttes ved en rekke universiteter/forskningsinstitusjoner og av store kommersielle virksomheter over hele verden.

NAV overvåker alle komponenter i nettet, og nettverksansvarlig kan sette opp en varslingsprofil for å bli alarmert dersom noe er nede. NAV samler også statistikk på mengden trafikk i nettet, og data som er nyttige for å ivareta sikkerheten gjennom sporing av mistenkelig aktivitet. Hvordan denne type informasjon benyttes er regulert av databehandleravtalen.

En rekke utdannings- og forskningsinstitusjoner i bl.a. Norge, Sverige, Island, Frankrike, Tsjekkia, Italia, Malaysia, England og USA benytter NAV til administrasjon og overvåkning av sine nettverk. I tillegg benyttes tjenesten av både kommersielle og ideologiske virksomheter innen diverse fagfelt.

NAV har en lang historie i sektoren der initiell utvikling startet på NTNU i 1999. NAV har siden 2006 blitt utviklet i samarbeid med flere parter, der Sikt (tidligere Uninett), og NTNU er sentrale.

Netflow-portefølje

Netflow-data supplerer dataene NAV samler inn. Netflow gir oversikt over alle sesjonene i nettverket, hvem som snakker med hvem, fra hvilken IP-adresse og port (TCP/UDP) til hvilken IP-adresse og port. Netflow-data kan eksporteres fra Cisco-rutere, herunder Catalyst 6500, Catalyst 4500 og Cisco Nexus plattformene.

IPFIX er en IETF standard som langt på vei baserer seg på netflow v9. IPFIX benyttes av bl.a. Juniper. Nfdump (se nedenfor) støtter også IPFIX.

Følgende komponenter inngår i netflowporteføljen:

  • Nfdump er innsamlingssystemet som tar i mot netflowdata fra ruterne. Dataene lagres i et komprimert filformat. En rekke verktøy følger med pakken som gjør det mulig å søke i datamengden.
  • NfSen (Netflow Sensor) er et webgrensesnitt som gjør netflow dataene enklere tilgjengelig. Du kan søke via NfSen i stedet for å benytte kommandolinjegrensesnittet. NfSen forholder seg til netflow rådata fra Nfdump. NfSen lager også en del overordnet statistikk og lagrer dette i RRD-filer. Det er mulig å lage egendefinerte filtre som genererer alarmer når en konfigurert terskel overskrides. Deteksjon av mailspammere er et eksempel. På verktøykassen presenterer vi NfSen som et verktøy (tool) fra NAVs “toolbox”.

Tjenesteovervåking med Xymon

Xymon (tidligere Hobbit) er en tjenesteovervåker som tilbys på verktøykassene. Det er god integrasjon mellom NAV og Xymon.

Konfigurasjonsarkiv for nettelektronikk

Løsningen gir et oppdatert arkiv for all nettelektronikk som inkluderer rutere, svitsjer og basestasjoner. Løsningen gir også et separat arkiv for pakkefilter, samt en egnet plattform for opplasting av ny programvare til nettutstyret.

Følgende inngår:

  • tftp-tjener: Denne er satt opp sikkert, slik at ikke uønskede kan skrive eller lese informasjon. Rutiner ved institusjonen sørger for at enhver endring i konfigurasjon på nettutstyret etterfølges av en lagring til nvram på boksen (“write”) og til tftptjeneren (“write network”).
  • RCS-løsning for konfigurasjonen: RCS gir historisk arkiv, slik at man kan se endringer som er gjort tilbake i tid.
  • Nattlig epost til driftsansvarlige med rapport om siste døgns endringer.
  • Opplegg for vedlikehold av aksesslister
  • Opplegg for oppgradering av programvare på nettelektronikk (tftp eller scp benyttes, sistnevnte er nødvendig når image overgår 32MB)
  • En sentral del av tjenesten er en sentralt vedlikeholdt web-side fra Sikt som gir råd om foretrukken programvereversjon for de ulike plattformene, samt oppskrift på oppgraderingsprosedyre og arkiv med relevant programvare. Denne lastes ned til lokal verktøykasse før opplasting på eget utstyr.

Sysloggserver

På verktøykassene har vi implementert en “ja, takk, begge deler” løsning.

Sysloggmeldinger blir både liggende på flatfil (og rotert) og lagt inn i NAVs syslogdatabase.

Tjenesten inneholder:

  • syslogg konfigurert til å motta sysloggmeldinger fra nettelektronikk (rutere, svitsjer, basestasjoner). Herunder rotering av logger.
  • NAV har mulighet til å strukturere Cisco syslogmeldinger og gjøre dette søkbart tilgjengelig i webgrensesnitt. Meldingene sorteres her bl.a. etter alvorlighetsgrad (severity).

Autentiseringstjeneste for nettelektronikk

Det er satt opp en Radius-daemon på verktøykassene. Denne kan settes opp som autentiseringsserver for pålogging på f.eks. nettverksutstyr. Å ha en samlet plass for autentisering gjør at:

  • Det blir mulig å se hvem som har gjort hvilken konfigurasjonsendring.
  • Det blir lettere å fase ut tilgang til brukere når de slutter i organisasjonen.

Det er også mulig å sette opp serveren til å autentisere Sikt-brukere. Dette gjør at man kan slippe inn Sikt-ansatte ved behov for teknisk assistanse.

Firewall Builder for administrasjon av aksesslister

Firewall Builder er fri programvare for administrasjon av aksesslister/brannmurregler. Applikasjonen er en X-applikasjon som er installert på verktøykassen. En av fordelene med Firewall Builder er at det gjør parallelt vedlikehold av IPv4 og IPv6 aksesslister mye enklere.

Firewall Builder støtter i utgangspunktet Cisco IOS og Linux iptables, men Sikt har utvidet støtten til også å omfatte Juniper og Cisco NX-OS

Dokumentasjon og diskusjonsforum

Det blir vedlikeholdt en brukerdokumentasjon for verktøykassene som gir nøkkelinformasjon for de ulike verktøyene.

I tillegg har NAV egne dokumentasjonssider og etablerte e-postlister. Det er etablert en e-postliste for diskusjon rundt verktøyene. Her vil også nyheter og driftsmeldinger fra oss bli lansert.

Relaterte produkter og tjenester