Surveiller le trafic/utilisation du réseau par PORT

Vous avez demandé des idées et... voici les miennes.

Pour résoudre votre problème, vous avez deux conditions très restrictives :

1. Vous ne pouvez pas prendre en main votre Cisco (car il ne vous appartient pas et sa configuration ne peut pas être modifiée pour répondre à vos besoins) ;

2. Vous ne pouvez pas changer (du moins, pas facilement) la façon dont Zeroshell fonctionne (en raison de la nature même de Zeroshell [il est assez complexe de reconstruire Zeroshell pour répondre à vos besoins [voir ci-dessous]).

De l'autre côté, si vous voulez une MONITORING_TIME_REAL et une COMPTABILISATION TRAFFIC-PORT, vous êtes obligé d'avoir au moins un point (une interface réseau) où.. :

3. Tout le trafic sera fluide, donc pour vous de "rendre compte" de tout cela ;
4. l'interface est "possédée" par un équipement que vous pouvez gérer.

Ce que j'ai fait dans de telles situations est de REMPLACER l'appareil existant (dans votre cas : Zeroshell ; dans mon cas, plusieurs appliances matérielles de différents fournisseurs) avec quelque chose que je peux entièrement gérer sans contraintes : une boîte linux commune avec au moins deux interfaces correctement configurées pour router/pare-feu le trafic.

Supposons que cela puisse vous convenir (...même si je comprends que cela puisse être un problème pour vous, en raison des efforts de configuration initiaux).

SI une telle machine est disponible, ALORS J'ajouterais à l'ensemble des logiciels à installer dessus :

• IPTRAF : malgré son âge, il est toujours parfaitement capable de fournir des données en TEMPS RÉEL à partir de vos interfaces réseau. Il fournit une interface utilisateur en mode caractère, de sorte qu'il peut être lancé à distance, dans le cadre d'une simple connexion SSH (pas de web, pas de grosses librairies GUI, etc.) ;

• NTOP : du site officiel : " ...une sonde de trafic réseau qui montre l'utilisation du réseau, similaire à ce que fait la populaire commande top Unix... ". NTOP est beaucoup plus riche en fonctionnalités qu'IPTRAF. Il est définitivement plus puissant (mais plus complexe à configurer/installer qu'un simple " apt-get install " ou " yum install ")

Comme indiqué clairement, les deux outils ci-dessus fournissent de bons REAL-TIME données (comme vous l'avez demandé dans votre question). Quoi qu'il en soit, je suis tout à fait convaincu que vous devez AUSSI données asynchrones : Je suis sûr que vous voulez aussi être capable de vérifier quelque chose comme : " Quels sont les hôtes/MAC qui ont généré/consommé le plus de trafic hier ? Et pour quels protocoles ? ", en remontant probablement ces données jusqu'à une seule IP/MAC/PORT, et jusqu'à une granularité de.... 1 minute. Vous n'êtes pas d'accord ? Dans un tel cas, je vous recommande fortement de le faire :

• PMACCT : du site officiel : " ...pmacct est un petit ensemble d'outils de surveillance passive du réseau pour mesurer, comptabiliser, classer, agréger et exporter le trafic IPv4 et IPv6... ". Veuillez noter que PMACCT peut résoudre un large éventail de problèmes, la plupart d'entre eux étant adaptés aux grands ISP/opérateurs. Néanmoins, il peut fonctionner parfaitement sur votre machine Linux et prendre en compte le trafic circulant sur ses interfaces. Avec une configuration comme celle-ci :

-

host:~# cat /etc/pmacct/pmacctd.conf

interface: eth0
daemonize: true
aggregate: src_mac,dst_mac,src_host,dst_host,proto,src_port,dst_port

ports_file: /etc/pmacct/ports.list 

plugins: mysql

sql_user: pmacct
sql_passwd: sqlpassword
sql_db: pmacct
sql_table: acct_v4_%Y_%m_%d
[...]

il peut facilement garder la trace du trafic circulant sur eth0 dans une table mysql, afin que vous puissiez facilement vérifier ce qui s'est passé sur votre réseau avec une requête SQL commune/simple.

Pour vous donner quelques chiffres réels, j'ai utilisé avec succès PMACCT sur un serveur avec un XEON X3350 ; 4GB de RAM ; 4 interfaces broadcom GigaEth ; près de 70 VLANs configurés sur eth0 et pmacct écoutant sur chacun d'eux ; +/- 300GB de trafic IP divers routé sur une base quotidienne ; PMACCT générant une comptabilité CHAQUE_MINUTE, pour CHAQUE_VLAN, pour CHAQUE tuple (src_mac, dst_mac, src_ip, dst_ip, src_port, dst_port) ; +/- 60. 000.000 d'enregistrements comptables par jour. Tout cela, sans aucun problème (mais en écrivant sur des fichiers textes, pas dans MySQL). Dans les petits environnements, de toute façon, il n'y a aucun problème à écrire directement dans MySQL.

De plus, veuillez noter que grâce à l'ACPMD, je garde la trace des éléments suivants CHAQUE les adresses IP vues sur mes réseaux, sur une base quotidienne (en d'autres termes : Je sais que 10.29.19.89 n'ont pas été vues depuis le 16 juillet 2014 ; 172.17.1.45 n'ont jamais été vues [depuis le début de la comptabilité PMACCT] ; etc ).

Toujours sur PMACCT : J'ai configuré le commutateur ethernet qui connecte ma passerelle Internet principale, pour "refléter" son trafic vers un port libre, où j'ai branché une boîte linux ad-hoc qui comptabilise tout le trafic Internet (un lien 1GEth). Aucun problème.

Une dernière remarque à propos de PMACCT : si vous (ou d'autres lecteurs) vous demandez pourquoi je PAS a choisi une sonde/collecteur NETFLOW/IPFIX plus commune, la raison en est très simple : PMACCT est le seul que j'ai trouvé capable de comptabiliser aussi les adresses MAC.