MENADŽMENT I MONITORING MREŽNE INFRASTRUKTURE Ivanović RCUB AMRES Banjaluka

MENADŽMENT I MONITORING MREŽNE INFRASTRUKTURE Ivanović, RCUB/AMRES Banjaluka, novembar 2012. connect • communicate • collaborate

Menadžment mreža- Ciljevi Definisati mrežnu topologiju Izolovati menadžment mrežnu infrastrukturu - implementacija OOB (Out of Band) menadžmenta Kako rešiti problem kada nije moguće izolovati menadžment mrežu Pozicija i Implementacija NMSa (Network Monitoring System) Definisati menadžment protokole i njihov način korišćenja Pravila pristupa menadžment mreži SNMP v 2 c & v 3 Šta monitorisati? connect • communicate • collaborate

Out-of-band okruženje OOB - Napraviti izolovanu mrežu i povezati sve uređaje Menadžement pristupni portovi Mrežni uređaji – OOB menadžment port (AUX – modem access) – Konzolni port (CON – Terminal access) – Poseban ethernet interfejs (Mgmt interfejs) Serveri – Većina vendora nudi OOB specijalizovani port – Odvojiti poseban ethernet interfejs – KVM Infrastruktura UPS, štampači, klime, itd… – Namenski menadžment interfejs (serijski port i/ili ethernet) connect • communicate • collaborate

Out-of-band okruženje Privatni opseg connect • communicate • collaborate

Pristup uređajima PC direktno konektovan u OOB mrežu Konfiguracija preko PC-a Pristup iz administratorskog VLAN-a kroz L 3 uređaj Definsati polise za pristup (Access Lists, iptables…) Pristup iz udaljene mreže putem VPN tehnologije – Podrazumeva se da je jedan interfejs VPN uređaja u OOB menadžment mreži NAT – Korišćenje interneta connect • communicate • collaborate

Menadžment pristup uređajima connect • communicate • collaborate

Pristup uređajima u situaciji kada nije moguće koristiti OOB Tipična situacija u kampusima gde ne postoji redundantna infrastruktura pa nije moguće iskoristiti drugi link za OOB menadžment Ruteri i svičevi – Veliko fizičko rastojanje Kod servera se ređe javlja – Malo fizičko rastojanje Rešenja Menadžment VLAN Fizičke ili logičke mrežne interfejse povezati u poseban menadžment VLAN (802. 1 q) – Izbegavati Vlan 1!!! Izbegavati rutiranje OOB menadžment IP ospega kroz ostatak mreže Interfejs za menadžment servera mora biti u menadžment VLAN-u – Kartice na starijim serverima ne podržavaju tagovanje paketa connect • communicate • collaborate

Lokacija NMS servera U OOB mreži Izdvojen interfejs u OOB mreži NMS serveru se prilazi kroz interfejs OOB mreže (SSH, HTTP) u cilju menadžmenta I monitoringa VLAN okruženje Poseban interfejs u menadžment VLAN-u (802. 1 q) Moguće koristiti statički NAT za prisup serveru connect • communicate • collaborate

Primer In-band & Out-of-band situacije Najčešće se koristi kombinacija prethodna dva slučaja Primer AMRES Ironport Proxy menadžment sistema Squid Log Menadžment sistema Sawmill - obrada podataka connect • communicate • collaborate

Primer In-band & Out-of-band Provera se stanja CPUa i memorije Provera proksiranja (Nagios check_httpd) – Performanse odziva Ping ka proksi serverima Ukupan broj otvorenih TCP konekcija ka serverima Monitoring količine saobraćaja connect • communicate • collaborate

Protokoli za menadžment Mežni uređaji TTY Telnet SSH HTTP, HTTPS Serveri SSH Grafički pristup - RDP, VNC Ostali uređaji Telnet HTTP, HTTPS SNMP connect • communicate • collaborate

SNMP Protokol V 3 vs. V 2 c SNMP V 2 c se još uvek koristi više nego V 3, zašto? Nedostatak iskustva sa SNMP V 3 SNMP V 2 c se lakše konfiguriše (snmpd, snmptrapd). SNMP V 2 c se pokreće kao default verzija Mrežni uređaji moraju da podržavaju enkripciju da bi koristili SNMP V 3 sa najjačom enkripcijom može da optereti uređaje Da li je V 2 c sigurna za rad? connect • communicate • collaborate

SNMP Protokol V 3 vs. V 2 c SNMP V 3 user-based sigurnosni modeli Auth. Priv (Autentifikacija - MD 5/SHA , Enkripcija - DES/AES) Auth. No. Priv ( Autentifikacija - MD 5/SHA , Nema enkripcije) No. Auth. No. Priv (Koristi se username kao community string u V 2 c) connect • communicate • collaborate

SNMP Protokol - konfiguracija Izabrati verziju (V 2 c ili V 3) Definisati sigurnosni model (Izbegavati WRITE sa V 2 c) Definisati parametre za Read i Read/Write Uvesti ograničenja u okviru MIB baze Koristiti dodatne sigurnosne zaštite (ACL, Firewall…. ) connect • communicate • collaborate

Najčešće korišćene SNMP variables Mrežni uređaji CPU opterećenje – Primer: cpm. CPUTotal. Table (. 1. 3. 6. 1. 4. 1. 9. 9. 109. 1. 1) Slobodna memorija – I/O memorija – CPU memorija – Primer: cisco. Memory. Pool. Table (. 1. 3. 6. 1. 4. 1. 9. 9. 48. 1. 1) Stanje interfejsa – Protok (bytes/sec, packets/sec) – Status interfejsa (L 2 Up/Down, L 3 Up/Down) – Primer: if. XTable (. 1. 3. 6. 1. 2. 1. 31. 1. 1) connect • communicate • collaborate

Najčešće korišćene SNMP variables Serveri CPU opterećenje – Linux primer: system. Stats (. 1. 3. 6. 1. 4. 1. 2021. 11) – Windows primer: hr. Processor. Table (. 1. 3. 6. 1. 25. 3. 3. 1) Status memorije – RAM memorija – Storage memorija – Primer: hr. Storage. Table (. 1. 3. 6. 1. 25. 2. 3) Stanje interfejsa – Protok(bytes/sec, packets/sec) – Interfejs status(L 2 Up/Down, L 3 Up/Down) – Primer: if. XTable (. 1. 3. 6. 1. 2. 1. 31. 1. 1) connect • communicate • collaborate

Najčešće korišćene SNMP variables Serveri Broj uspostavljenih TCP sesija – Primer: tcp. Curr. Estab (. 1. 3. 6. 1. 2. 1. 6. 9) Lista pokrenutih proces – Primer : hr. SWRun. Table (. 1. 3. 6. 1. 25. 4. 2) Broj trenutno ulogovanih korisnika – Primer : hr. System. Num. Users (. 1. 3. 6. 1. 25. 1. 5) connect • communicate • collaborate

Najčešće korišćene SNMP variables UPS Status – Primer : ups. Basic. Output. Status (. 1. 3. 6. 1. 4. 1. 318. 1. 1. 1. 4. 1. 1) UPS kapacitet baterije – Primer : ups. Adv. Batterty. Capacity (. 1. 3. 6. 1. 4. 1. 318. 1. 1. 1. 2. 2. 1) UPS preostalo vreme rada baterije – Primer : ups. Adv. Batterty. Runtime. Remaining (. 1. 3. 6. 1. 4. 1. 318. 1. 1. 1. 2. 2. 3) UPS temperatura baterije – Primer : ups. Adv. Battery. Temperature (. 1. 3. 6. 1. 4. 1. 318. 1. 1. 1. 2. 2. 2) UPS izlazno opterećenje – Primer : ups. Adv. Output. Load (. 1. 3. 6. 1. 4. 1. 318. 1. 1. 1. 4. 2. 3) connect • communicate • collaborate

Najčešće korišćene SNMP variables Ostali uređaji Klima uređaji (Temperatura, Vlažnost, Stanje kompresora…. ) Senzorski uređaji (Buka, Temperatura, Vlažnost, Vibracija, Pokret, Dim, Curenje tečnosti…) Printer (Stanje ketridža, Stanje papira, Broj odštampanih stranica…. ) connect • communicate • collaborate

KRAJ http: //www. terena. org/activities/campus-bp/ http: //www. bpd. amres. ac. rs connect • communicate • collaborate