Monitoring Serwerów - Forum o monitoringu infrastruktury IT
Wsparcie NetFlow oraz VPN w Cisco ASA - Printable Version

+- Monitoring Serwerów - Forum o monitoringu infrastruktury IT (https://monitoringserwerow.pl)
+-- Forum: MONITORING INFRASTRUKTURY IT (https://monitoringserwerow.pl/forumdisplay.php?fid=1)
+--- Forum: Scrutinizer (https://monitoringserwerow.pl/forumdisplay.php?fid=14)
+--- Thread: Wsparcie NetFlow oraz VPN w Cisco ASA (/showthread.php?tid=39)



Wsparcie NetFlow oraz VPN w Cisco ASA - ArturB - 07-30-2019

W codziennej pracy ze sprzętem sieciowym mam do czynienia z przeróżnymi urządzeniami. Dziś opisuję jedno z nich – Cisco ASA. Postaram się wyjaśnić funkcjonalność tego routera w odniesieniu do monitoringu VPN, o który często pytają moi klienci.

Czym jest VPN?

Wirtualna Sieć Prywatna VPN (z ang. Virtual Private Network) to rozszerzenie klasycznej sieci wewnętrznej o użytkowników znajdujących się fizycznie poza nią. Dzięki VPN mają oni możliwość zalogowania się jako pełnoprawni jej użytkownicy i korzystania w pełni z jej funkcjonalności. Zmartwieniem administratorów takich sieci jest rzekomo nierozwiązywalny problem z monitorowaniem aktywności takich „zewnętrznie zalogowanych” użytkowników. Gdy pokazuję jak mogą łatwo pozbyć się tego zmartwienia, czapki spadają im z głów.

Monitorowanie VPN za pomocą NetFlow

Poniżej załączam raport ruchu VPN w sieci PLIXERa sprzed kilku dni. Raport został wygenerowany z CISO ASA, jednak podobny obraz otrzymamy z każdego innego urządzenia VPN eksportującego NetFlow lub inny rodzaj danych flow. Widoczny rezultat to efekt założenia filtrów na porty skojarzone z VPN/połączenia szyfrowane oraz na połączenia UDP. Na pozostałą krótką listę składają się nasi użytkownicy VPN z Maine, Turcji, Florydy i New Hampshire. Jak możecie podejrzewać, szybki dostęp do tych danych może być bardzo przydatny w zidentyfikowaniu przyczyny spowolnienia w sieci czy zagrożenia płynącego właśnie przez VPN.

[Image: juniper-vpn-report.png]

Przykład ten pokazuje, jak nasz analizer wspaniale radzi sobie z monitoringiem VPN przez zwyczajne filtrowanie na podstawie portu/protokołu. Potem wystarczy już tylko podrążyć w aktywności wyznaczonych użytkowników, żeby uzyskać obraz tego co aktualnie dzieje się w sieci. Oznacza to prawdziwą, 100% przejrzystość sytuacji.

Jake@PLIXER