Мониторинг Cisco IDS/IPS на примере модуля IDSM2 c помощью MRTG. Часть 2::Журнал СА 6.2009
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6418
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7121
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4400
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3088
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3884
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3900
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6389
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3235
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3531
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7366
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14101
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9193
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7143
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5448
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4684
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3497
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3091
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Мониторинг Cisco IDS/IPS на примере модуля IDSM2 c помощью MRTG. Часть 2

Архив номеров / 2009 / Выпуск №6 (79) / Мониторинг Cisco IDS/IPS на примере модуля IDSM2 c помощью MRTG. Часть 2

Рубрика: Безопасность /  Безопасность

Андрей Дугин

Мониторинг Cisco IDS/IPS
на примере модуля IDSM2 c помощью MRTG
Часть 2

Рано или поздно перед администратором систем обнаружения вторжений возникают вопросы рациональности использования ресурсов; соответствия официально заявленных производителем параметров реальным данным; возможности распределения сенсоров различной мощности по разным участкам сети. В первой части статьи я рассказывал о том, как можно использовать MRTG для своевременного определения сбоев в функционировании IDS или о реконфигурации сети. Для определения необходимости балансировки нагрузки на сенсоры и подобных задач также может пригодиться MRTG.

Особенности создания конфигурационного файла

Если для мониторинга интерфейсов возможно использование стандартных MIB, то для контроля загрузки процессоров необходимо знать специфические для производителя Cisco OID.

Согласно официальной информации производителя [1], модули IDSM2 поддерживают следующие MIB, доступные на сайте ftp://ftp-sj.cisco.com/pub/mibs/oid:

  • CISCO-CIDS-MIB;
  • CISCO-PROCESS-MIB;
  • CISCO-ENHANCED-MEMPOOL-MIB;
  • CISCO-ENTITY-ALARM-MIB.

Cisco IDSM2 модуль является двухпроцессорным. Загрузка процессора напрямую зависит от количества и характера инспектируемого трафика. Показатели среднего значения загрузки за 5 минут CPU1 и CPU2 дают OID: 1.3.6.1.4.1.9.9.109.1.1.1.1.8.1 и 1.3.6.1.4.1.9.9.109.1.1.1.1.8.2 соответственно, относящиеся к CISCO-PROCESS-MIB. Конфигурационный файл в данном случае лучше создать на основе файла-шаблона. Пример можно найти в страницах инструкций man cfgmaker и отредактировать под свои задачи.

Мой файл-шаблон после редактирования изначального варианта выглядит следующим образом:

$head_lines .= <<ECHO;

#----------------------------------------------------------

ECHO

 

my $target_name = $router_name . ".cpu";

 

$target_lines .= <<ECHO;

 

YLegend[$target_name]: CPU load, %

ShortLegend[$target_name]: %

Legend1[$target_name]: CPU1 load in %

Legend2[$target_name]: CPU2 load in %

Legend3[$target_name]: Max Observed CPU1 load

Legend4[$target_name]: Max Observed CPU2 load

LegendI[$target_name]: CPU1 Load:

LegendO[$target_name]: CPU2 Load:

WithPeak[$target_name]: ywm

MaxBytes[$target_name]: 100

Options[$target_name]: growright, gauge, nobanner,

Title[$target_name]: $router_name CPU load

Target[$target_name]:

1.3.6.1.4.1.9.9.109.1.1.1.1.8.1&

1.3.6.1.4.1.9.9.109.1.1.1.1.8.2:$router_connect

PageTop[$target_name]: <h1>$router_name CPU load</h1>

<div>

<table>

<tr>

<td>System:</td>

<td>$router_name in $html_syslocation</td>

</tr>

<tr>

<td>Maintainer:</td>

<td>$html_syscontact</td>

</tr>

<tr>

<td>Description:</td>

<td>$html_sysdescr</td>

</tr>

<tr>

<td>Resource:</td>

<td>CPU.</td>

</tr>

</table>

</div>

ECHO

 Вкратце о параметрах в файле, которые пришлось отредактировать:

  • YLegend – легенда оси Y графика;
  • ShortLegend – единица измерения оси Y;
  • Legend1 – легенда графика зеленого цвета, в данном случае средней загрузки CPU1;
  • Legend2 – легенда графика синего цвета, в данном случае средней загрузки CPU2;
  • Legend3 – легенда дополнительного графика темно-зеленого цвета, в данном случае пиковой загрузки CPU1 за единицу времени;
  • Legend4 – легенда дополнительного графика фиолетового цвета, в данном случае пиковой загрузки CPU2 за единицу времени;
  • LegendI – интерпретация параметра Legend1 на странице дополнительных графиков;
  • LegendO – интерпретация параметра Legend2 на странице дополнительных графиков;
  • WithPeak – использование пиковых значений в дополнительных графиках за неделю (w), месяц (m), год (y);
  • MaxBytes – максимальное значение оси Y;
  • growright – указывает направление оси X вправо;
  • gauge – обработка параметров, значения которых не возрастают постоянно;
  • nobanner – не добавлять баннер MRTG к страницам с дополнительными графиками;
  • unknaszero – неизвестные значения отображать как нулевые, вместо повторения предыдущего значения – для более наглядной сигнализации о сбоях.

Настройка

Конфигурационный файл создается командой:

# cfgmaker --nointerfaces \

--host-template=/etc/mrtg/templates/cpu-idsm \

--global "WorkDir: /var/www/mrtg/idsm" \

community_name@sensor1 \

community_name@sensor2 \

community_name@sensor3 \

community_name@sensor4 \

community_name@sensor5 > /etc/mrtg/idsm.cfg

В данном случае рассматривается автономный от интерфейсов вариант мониторинга загрузки CPU. Соответственно, кроме конфигурационного файла создается отдельная веб-директория:

# mkdir /var/www/mrtg/idsm

и, соответственно, index.html в ней:

# indexmaker --nolegend \

--title="IDSM CPU" \

/etc/mrtg/idsm.cfg > /var/www/mrtg/idsm/index.html

Создаем в /etc/cron.d/ отдельный файл, в котором указываем новые параметры конфигурации для запуска MRTG 1 раз в 5 минут, а также путь для записи ошибок в отдельный лог-файл:

# vim /etc/cron.d/idsm-mrtg

и записываем:

*/5 * * * * root if [ -x /usr/bin/mrtg ] && [ -r /etc/mrtg/idsm.cfg ]; /

then env LANG=C /usr/bin/mrtg /etc/mrtg/idsm.cfg 2>&1 | tee -a /var/log/mrtg/idsm-mrtg.log ; fi

Веб-интерфейс мониторинга CPU будет находиться по адресу http://yourserver/mrtg/idsm.

Сопоставить загрузку процессора и сниффер-порта модуля можно на следующем примере. Зеленым цветом показана загрузка CPU1, синим – CPU2 сенсора (см. рис. 1).

Рисунок 1. Сопоставление загрузки процессора и сниффер-порта модуля

Рисунок 1. Сопоставление загрузки процессора и сниффер-порта модуля

На рис. 2 показана загрузка интерфейса, принимающего SPAN, того же модуля в то же время. Сенсором контролируется пользовательский сегмент, можно заметить резкий рост трафика, а также соответствующей нагрузки на процессоры в понедельник после выходных.

Рисунок 2. Загрузка интерфейса, принимающего SPAN, того же модуля в то же время

Рисунок 2. Загрузка интерфейса, принимающего SPAN, того же модуля в то же время

Практическое применение

После того как появилась возможность анализа загрузки и процессоров, и сниффер-порта, на основании выводимой информации можно принимать решение о:

  • необходимости снятия части нагрузки с модуля путем исключения из SPAN-сессии некоторых интерфейсов либо VLAN в случае высокой загрузки модуля;
  • возможности наращивания инспектируемого трафика в случае низкой нагрузки;
  • целесообразности добавления дополнительного модуля в коммутатор – в случае перегрузок;
  • целесообразности замены модуля в коммутаторе на более соответствующий поставленным задачам для данного участка сети сенсор другого производителя – как в случае чрезмерно высокой, так и низкой загрузки;
  • возможности агрегации SPAN-сессий из разных коммутаторов для инспектирования на одном сенсоре любого производителя – при наличии такой необходимости;
  • решения некоторых проблем, возникающих в ходе текущей эксплуатации.

Заключение

Итого, сопоставляя полученные данные мониторинга систем, имеем, как минимум, дополнительный факт для принятия решения в зависимости от поставленной задачи. В ряде случаев показатели загрузки могут косвенно свидетельствовать о наличии аномалий сетевой активности, что ускорит процесс реагирования на инцидент информационной безопасности. Соответственно, в некоторых ситуациях MRTG еще и помогает системам IDS выполнять свои основные функции.

  1. http://www.cisco.com/en/US/docs/security/ips/7.0/configuration/guide/cli/cli_snmp.html#wp1042408.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru