DETAILS

MORE INFORMATION ABOUT THE PROJECT.

Was ist NetFlow?

NetFlow ist ein Protokoll, welche Informationen über ein- bzw. ausgehenden Datenverkehr an einem Router-Port sammelt. Paketee mit gleicher Quelle, gleichem Ziel und gleichem Protokoll werden zusammengefasst und in einer Datenbank archiviert.
NetFlow baut auf dem Simple Network Management Protocol (SNMP) auf, das den Anforderungen der modernen Netzwerktechnik längst nicht mehr gewachsen ist. 1996 veröffentlichte Netzwerkriese Cisco die erste Version seiner Eigenentwicklung NetFlow, später v5. Mit 2003 wurde NetFlow v9 als offener Standard (RFC3917) eingeführt, welcher auch IPv6 unterstützt. Version 9 ist die Basis des herstellerunabhängigen Standards IPFIX. Auf diesem Standard basieren die Netzwerküberwachungs-Protokolle aller Hersteller:

  • NetFlow (Cisco)
  • Traffic Flow (MikroTik)
  • J-Flow (Juniper)
  • Netstream (Huawei)
  • cflowd (Alcatel-Lucent)
  • Rflow (Ericsson)

Was wird benötigt, um diese Technik nutzen zu können?

  1. Flow Exporter:

    Der Exporter ist das NetFlow Protokoll. Je nach Lizenz kann das Protokoll schon am Router implementiert sein, muss aber noch aktiviert werden. Dabei werden Datenpakete mit gleichen Eigenschaften gesammelt und als Flow an einen Flow Collector weiter gesendet.

  2. Flow Collector

    Empfängt die Flows und wertet diese anhand gewisser Parameter aus. Danach werden die Daten mit einem Zeitstempel in einer Datenbank abgespeichert und für die weitere Analyse bereitgsetellt.

  3. Analysis application

    Um Zusammenhänge oder gewisse Probleme erkennen zu können, muss diese Fülle an Daten analysiert werden. Dies kann ein eifriger Netzwerkadministrator bei der Inspektion der Datenbank erledigen. Etwas komfortabler l&aufl;sst es sich mit einer Analyse-Software erledigen, wie bei unserem Projekt. Dabei werden statistische Schlüsse aus den gesammelten Daten gezogen, welche übersichtlich dem Betrachter bereitgestellt werden.

Welche Lösungen gibt es bereits?

  • PRTG Network Monitor (Paessler)




  • SevOne Dedicated Network Analyzer




  • Solarwinds NetFlow Traffic Analyzer




  • ntop (Freeware)





Wozu entwickeln wir den NetAnalyzer?

Mithilfe des NetAnalyzers ist es dem Administrator unseres Schulnetzwerks möglich, rasch und ohne großem Aufwand einen Einblick in sein/ihr Netzwerk zu erlangen. Mithilfe der Diagramme kann man auf einem Blick erkennen, ob Unregelmäßigkeiten auftreten. Dies kann entweder ein großer Download eines Benutzers, aber auch ein externer Angreifer verursachen. Auch parasitäre Programme oder Benutzer, sowie mögliche Viren innerhalb des Netzwerk können so ausfindig gemacht werden.

Welche Features gibt es im NetAnalyzer?

Under construction...

Wo wurde der NetAnalyzer bisher getestet?

NetFlow wurde im Schulnetzwerk bisher nur an unserer Firewall aktiviert und getestet. Dies hat einerseits den Vorteil, dass die interne Kommunikation (zu schulinternen Servern, etc.) nicht betrachtet werden muss, andererseits laufen "interessante" Verbindungen ins Internet natürlich nur über unsere Firewall. Somit können interessante Vorgänge (Downloads, Surfverhalten, externe Angriffe, usw.) genauestens betrachtet werden.