Nettadministrasjon fra Sikt

Nettverksansvarlige ved virksomheter som drifter sitt eget lokalnett kan oppleve å komme til kort når det gjelder overvåkning av nettverket. Nettadministrasjon fra Sikt tilbyr verktøyene som trengs for nettovervåkning og trafikkanalyse.

Mangel på tid, ressurser, kompetanse og gode verktøy kan føre til at lokale campusnett og tilhørende tjenester ikke blir monitorert og fulgt opp slik de burde.

Nettadministrasjon fra Sikt er et tilbud til virksomheter som ønsker å drive eget lokalnett, og trenger gode verktøy for nettovervåkning og trafikkanalyse.

Nettadministrasjon benyttes til å overvåke det lokale campusnettet med tilhørende tjenester ved bruk av sentrale verktøy for nettovervåking, trafikkanalyse, tjenesteovervåking og konfigurasjonsarkiv for nettelektronikk.

Gode verktøy er halve jobben

Ved å benytte Sikts tjeneste for Nettadministrasjon kan nettverksansvarlige ved virksomhetene være trygge på at drift og overvåkning av lokalnettet er ivaretatt.

Sikt installerer en server med en rekke overvåkningsverktøy. Serveren driftes av Sikt, og ansvarlig IKT-personell ved virksomheten får tilgang til et webgrensesnitt slik at de kan monitorere driftssituasjonen i eget nett.

Tjenesten for lokalnettovervåkning inneholder følgende verktøy:

  • Programvare for nettovervåkning – NAV (Network Administration Visualized) (ekstern lenke)
  • Netflowportefølje (NfSen / nfdump)
  • Tjenesteovervåkning med NAV
  • Konfigurasjonsarkiv for nettelektronikk (basert på tftp)
  • Sysloggserver
  • Autentiseringstjeneste for nettelektronikk
  • Løsning for administrasjon av aksesslister (Firewall Builder)

Prøv Argus gratis og få samlet nettverksalarmer og hendelser på ett sted

De fleste nettverksansvarlige bruker et mylder av applikasjoner for å overvåke infrastrukturen og tjenestene sine. Du må administrere varslingsprofiler manuelt, og overvåke dashboardene i hver enkelt applikasjon. Dette gjør det vanskelig å ha oversikt.

Med Argus får du samlet alle nettverksalarmer og hendelser fra ulike systemer på ett sted. I tillegg får du enkelt konfigurert varslinger til både e-post, SMS, Slack og Teams.

Nå tilbyr vi Argus som en gratis tilleggstjeneste. Er du interessert? Ta kontakt med oss

Argus er utviklet av Sikt i samarbeid med GÉANT.

Les mer om Argus her (ekstern lenke)

Beskrivelse av verktøyene

Tjenesten Nettadministrasjon fra Sikt forutsetter at det installeres en lokal server, som plasseres på et sikkert og godt beskyttet nettsegment.

Sikt må ha tilstrekkelig tilgang til serveren, slik at den kan overvåkes og driftes av oss. Alternativt kan serveren installeres i en av Sikt sine sentrale maskinrom.

Nettadministrasjon er i praksis en server med en tilpasset portefølje av overvåkningsprogrammer og driftsverktøy. Sikt sørger for anskaffelse, initiell driftsetting og vedlikehold/drift ved å inkorporere verktøyene som en egen gruppe i vårt sentraliserte driftskonsept.

Sikt overvåker nettet med døgnkontinuerlig beredskap og har eget reservedelslager for rask erstatning ved ev. havari.

Verktøykassen består av 1U rackmonterbare servere som kjører Debian. Puppet benyttes i driftsløsningen, noe som gir mange fordeler, blant annet sentralisert konfigurasjon og administrasjon, herunder fortløpende pakkeoppdatering m.m.

For alle verktøy som inngår i porteføljen sørger vi for vedlikeholdte Debianpakker i vårt sentrale pakkearkiv.

Virksomheter kan også velge å selv drive overvåkningsmaskinene. Om de da benytter Debian kan vi gi tilgang til Sikts pakkearkiv. For større verktøy som NAV, vil det også være miljøer som vedlikeholder andre distribusjoner.

NAV (Network Automation Visualized) er programvare for nettverksadministrasjon og overvåkning og det mest sentrale verktøyet i tjenesten Nettadministrasjon fra Sikt. Les mer om NAV og last ned programvaren

Verktøyet er utviklet av våre lokale eksperter i Sikt, men benyttes ved en rekke universiteter/forskningsinstitusjoner og av store kommersielle virksomheter over hele verden.

NAV overvåker alle komponenter i nettet, og nettverksansvarlig kan sette opp en varslingsprofil for å bli alarmert dersom noe er nede. NAV samler også statistikk på mengden trafikk i nettet, og data som er nyttige for å ivareta sikkerheten gjennom sporing av mistenkelig aktivitet. Hvordan denne type informasjon benyttes er regulert av databehandleravtalen.

En rekke utdannings- og forskningsinstitusjoner i bl.a. Norge, Sverige, Island, Frankrike, Tsjekkia, Italia, Malaysia, England og USA benytter NAV til administrasjon og overvåkning av sine nettverk. I tillegg benyttes tjenesten av både kommersielle og ideologiske virksomheter innen diverse fagfelt.

NAV har en lang historie i sektoren der initiell utvikling startet på NTNU i 1999. NAV har siden 2006 blitt utviklet i samarbeid med flere parter, der Sikt (tidligere Uninett), og NTNU er sentrale.

Netflow-data supplerer dataene NAV samler inn. Netflow gir oversikt over alle sesjonene i nettverket, hvem som snakker med hvem, fra hvilken IP-adresse og port (TCP/UDP) til hvilken IP-adresse og port. Netflow-data kan eksporteres fra Cisco-rutere, herunder Catalyst 6500, Catalyst 4500 og Cisco Nexus plattformene.

IPFIX er en IETF standard som langt på vei baserer seg på netflow v9. IPFIX benyttes av bl.a. Juniper. Nfdump (se nedenfor) støtter også IPFIX.

Følgende komponenter inngår i netflowporteføljen:

  • Nfdump er innsamlingssystemet som tar i mot netflowdata fra ruterne. Dataene lagres i et komprimert filformat. En rekke verktøy følger med pakken som gjør det mulig å søke i datamengden.
  • NfSen (Netflow Sensor) er et webgrensesnitt som gjør netflow dataene enklere tilgjengelig. Du kan søke via NfSen i stedet for å benytte kommandolinjegrensesnittet. NfSen forholder seg til netflow rådata fra Nfdump. NfSen lager også en del overordnet statistikk og lagrer dette i RRD-filer. Det er mulig å lage egendefinerte filtre som genererer alarmer når en konfigurert terskel overskrides. Deteksjon av mailspammere er et eksempel. På verktøykassen presenterer vi NfSen som et verktøy (tool) fra NAVs “toolbox”.

Xymon (tidligere Hobbit) er en tjenesteovervåker som tilbys på verktøykassene. Det er god integrasjon mellom NAV og Xymon.

Løsningen gir et oppdatert arkiv for all nettelektronikk som inkluderer rutere, svitsjer og basestasjoner. Løsningen gir også et separat arkiv for pakkefilter, samt en egnet plattform for opplasting av ny programvare til nettutstyret.

Følgende inngår:

  • tftp-tjener: Denne er satt opp sikkert, slik at ikke uønskede kan skrive eller lese informasjon. Rutiner ved institusjonen sørger for at enhver endring i konfigurasjon på nettutstyret etterfølges av en lagring til nvram på boksen (“write”) og til tftptjeneren (“write network”).
  • RCS-løsning for konfigurasjonen: RCS gir historisk arkiv, slik at man kan se endringer som er gjort tilbake i tid.
  • Nattlig epost til driftsansvarlige med rapport om siste døgns endringer.
  • Opplegg for vedlikehold av aksesslister
  • Opplegg for oppgradering av programvare på nettelektronikk (tftp eller scp benyttes, sistnevnte er nødvendig når image overgår 32MB)
  • En sentral del av tjenesten er en sentralt vedlikeholdt web-side fra Sikt som gir råd om foretrukken programvereversjon for de ulike plattformene, samt oppskrift på oppgraderingsprosedyre og arkiv med relevant programvare. Denne lastes ned til lokal verktøykasse før opplasting på eget utstyr.

På verktøykassene har vi implementert en “ja, takk, begge deler” løsning.

Sysloggmeldinger blir både liggende på flatfil (og rotert) og lagt inn i NAVs syslogdatabase.

Tjenesten inneholder:

  • syslogg konfigurert til å motta sysloggmeldinger fra nettelektronikk (rutere, svitsjer, basestasjoner). Herunder rotering av logger.
  • NAV har mulighet til å strukturere Cisco syslogmeldinger og gjøre dette søkbart tilgjengelig i webgrensesnitt. Meldingene sorteres her bl.a. etter alvorlighetsgrad (severity).

Det er satt opp en Radius-daemon på verktøykassene. Denne kan settes opp som autentiseringsserver for pålogging på f.eks. nettverksutstyr. Å ha en samlet plass for autentisering gjør at:

  • Det blir mulig å se hvem som har gjort hvilken konfigurasjonsendring.
  • Det blir lettere å fase ut tilgang til brukere når de slutter i organisasjonen.

Det er også mulig å sette opp serveren til å autentisere Sikt-brukere. Dette gjør at man kan slippe inn Sikt-ansatte ved behov for teknisk assistanse.

Firewall Builder er fri programvare for administrasjon av aksesslister/brannmurregler. Applikasjonen er en X-applikasjon som er installert på verktøykassen. En av fordelene med Firewall Builder er at det gjør parallelt vedlikehold av IPv4 og IPv6 aksesslister mye enklere.

Firewall Builder støtter i utgangspunktet Cisco IOS og Linux iptables, men Sikt har utvidet støtten til også å omfatte Juniper og Cisco NX-OS

Det blir vedlikeholdt en brukerdokumentasjon for verktøykassene som gir nøkkelinformasjon for de ulike verktøyene.

I tillegg har NAV egne dokumentasjonssider og etablerte e-postlister. Det er etablert en e-postliste for diskusjon rundt verktøyene. Her vil også nyheter og driftsmeldinger fra oss bli lansert.

Produkt- og tjenestevilkår

Nettadministrasjon forutsetter at server, innkjøpt og satt opp av Sikt, plasseres på et sikkert og godt beskyttet nettsegment. Deretter må Sikt gis tilstrekkelig tilgang slik at serveren kan overvåkes og driftes fra Sikt sitt servicesenter.

Nettadministrasjon benyttes til å overvåke det lokale campusnettet med tilhørende tjenester. Dette gjøres ved bruk av sentrale verktøy som nettovervåking, trafikkanalyse, tjenesteovervåking og konfigurasjonsarkiv for nettelektronikk.

Sikt vil anskaffe og sette opp en server, hvor aktuelle verktøy blir installert. Serveren vil driftes utelukkende av Sikt. I tillegg vil IKT-personell få et webgrensesnitt som gir tilgang til verktøyene.

Ingen spesielle forpliktelser, utover å tilfredsstille forutsetningene for at Sikt skal kunne levere tjenesten (se «Forutsetninger»).

Tjenesten har Servicenivå 1 A.

Servicenivå beskriver

  • kontaktpunkter og responstider ved behov for support og for å melde feil.
  • varsling ved feil og planlagt arbeid

Sikt skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet ved behandling av personopplysninger.

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.

Databehandleravtalen har forrang ved eventuell motstrid med Avtalens bestemmelser knyttet til behandling av personopplysninger.

Kunden har et selvstendig ansvar for å sørge for tilfredsstillende informasjonssikkerhet ved egen bruk av tjenesten. Dette følger blant annet av bestemmelsene i eForvaltningsforskriften og personopplysningsloven.

Det innebærer at kunden skal vurdere risikoen for brudd på sikkerheten og iverksette nødvendige sikringstiltak for å beskytte informasjonens konfidensialitet, integritet og tilgjengelighet.

Vurdering og iverksetting av nødvendige sikringstiltak skal skje innenfor rammen av Kundens ledelsessystem for informasjonssikkerhet.

Det skal inngås en databehandleravtale før tjenesten tas i bruk. Informasjon om håndtering av sikkerhet og personvern i tjenesten finnes nærmere beskrevet i databehandleravtalen.

Det bør gjennomføres en risiko- og sårbarhetsvurdering (ROS) for tjenesten hos Kunden. Sikt kan bistå med maler og eventuelt rådgivning i forbindelse med dette.

For statlige universiteter og høyskoler er tjenesten inkludert i grunnpakken fra Sikt.

For øvrige kunder er dette en separat tjeneste, og prisen beregnes ut fra kostnad for innkjøp og oppsett av aktuelle server, samt tid for å drifte, vedlikeholde og videreutvikle tjenesten.

Pris for tjenesten spesifiseres i kostnadsvarsel som omtalt i Sikts Generelle avtalevilkår. I forbindelse med kostnadsberegning for kommende år vil prisen kunne indeksreguleres.

Tjenesten forvaltes og videreutvikles av Sikt i tråd med sektorens samstyringsmodell. NAV (Network Administration Visualized) er det viktigste verktøyet i tjenesten «Nettadministrasjon»; fra 2011 er brukerinvolvering og sektorens behov ivaretatt gjennom NAV-referansegruppe.

De Generelle avtalevilkårene er gjeldende for tjenesten.

Der det eksisterer avtaler eller betingelser for enkelttjenester som dekker områdene i de generelle avtalevilkårene, går avtalen for enkelttjenesten foran de Generelle avtalevilkårene.

Adgangen til å heve avtalen i henhold til Generelle avtalevilkår punkt 7.1.2 gjelder ikke dersom Kunden er omfattet av pålegg om å benytte tjenesten som fellestjeneste eller lovpålagt tjeneste.

Ved mislighold i slike tilfeller skal partene følge fremgangsmåten i Generelle avtalevilkår punkt 8.4 for å løse tvisten.

Relaterte produkter og tjenester

Skriv til oss

Vedlegg:

Av sikkerhetsmessige grunner må vedlegg ettersendes. Du vil motta en bekreftelse på oppgitte e-post. Du kan ettersende vedlegg ved å svare på denne e-posten.