Friday 30 August 2019

Лучшие анализаторы Netflow.

Всем привет.

Системным инженерам и администраторам сетей, постоянно приходится сталкиваться с проблемами, причины которых не всегда очевидны. В этих случаях очень полезным будет провести беглый анализ сетевого трафика. Вашему вниманию представляется обзор лучших анализаторов и коллекторов Netflow, которые помогут значительно упростить нам жизнь.

Анализаторы и коллекторы NetFlow - это очень полезный инструментарий для мониторинга и анализа данных сетевого трафика, который поможет вам обнаружить возможные проблемы еще до того, как они станут реальной угрозой. Анализаторы NetFlow позволят вам определить те машины и устройства, которые негативно влияют на пропускную способность вашей сети, найти узкие места в вашей системе, а также, в конечном счете, повысить общую эффективность функционирования вашей сети.

Само понятие «NetFlow» относится к сетевому протоколу, разработанному компанией Cisco для сбора информации о трафике, проходящем через различные устройства в сети. Существует несколько версий протокола NetFlow (от 1 до 9), часть из которых уже устарели. На данный момент наиболее распространенными являются NetFlow версии 5, 7 и 9. Сейчас NetFlow представляет собой, фактически, промышленный стандарт и поддерживается не только оборудованием Cisco, но и многими другими устройствами от других производителей.

В то же время часть вендоров используют собственные версии NetFlow: к примеру, компания Juniper Networks называет свой протокол J-Flow, у компании Huawei — это NetStream. Несмотря на то, что эти «Flow» имеют разные имена, все они работают аналогичным NetFlow образом, предоставляя, в основном, одну и ту же информацию. Кроме того, на основе NetFlow версии 9 также был разработан открытый универсальный стандарт IPFIX (Internet Protocol Flow Information eXport) для передачи информации об IP-потоках.

Информация, которую собирает из IP-трафика NetFlow, включает в себя:

  • IP-адрес источника;
  • IP-адрес назначения;
  • порт источника для UDP и TCP;
  • порт назначения для UDP и TCP;
  • тип и код сообщения для ICMP;
  • номер интернет-протокола транспортного уровня, инкапсулированного в протокол IP;
  • тип обслуживания (Type of Service, ToS);
  • сетевой интерфейс.

Собирая и анализируя эту информацию, вы можете много узнать о функционировании вашей сети, а также использовать ее для разных целей, включая мониторинг пропускной способности, устранение неполадок в работе сети и обнаружение аномалий.

Когда в сети реализована поддержка протокола NetFlow, активируется работа двух основных компонентов: Flow Exporter и Flow Collector. Flow Exporter захватывает статистическую информацию о потоке и отправляет ее в коллектор. Он обычно настраивается на устройстве, таком, как маршрутизатор или коммутатор, а в некоторых случаях на одном устройстве используется несколько Flow Exporter для мониторинга разных потоков. Flow Collector получает данные о потоках и сохраняет их. Во многих современных решениях для анализа сетевого трафика функциональность коллектора и анализатора совмещена в одном решении — статистическая информация о потоках не только собирается и сохраняется, но также обрабатывается и анализируется, чтобы представить ее пользователям в удобном для понимания виде. В ряде случае Flow Collector может использоваться просто для получения данных, при этом их анализ осуществляется другим приложением с функциональностью анализатора.

Существует множество программных решений на основе протокола NetFlow, и в рамках этой статьи мы представим вам 5 лучших коммерческих и бесплатных анализаторов и коллекторов NetFlow. Большинство поставщиков программного обеспечения NetFlow, перечисленных ниже, имеют инструкции по включению NetFlow на устройства различных производителей. Кроме того, эта информация также должна содержаться в документации производителя вашего устройства.

Saturday 24 August 2019

Поиск первой даты публикации.

Всем привет.

Нередко авторы публикуют статьи в сети и не указывают дату ее публикации. Вот например здесь https://networkguru.ru/5-best-netflow-analyzer-collector/ хороший материал про 5 лучших анализаторов и коллекторов Netflow.

Как узнать когда впервые автор ее вынес в сеть?

Не сложно. Идем в поисковик Google и вписываем фразу в кавычках "5 лучших анализаторов и коллекторов Netflow". Переходим по опциям поиска «Инструменты /За год» жмем «Поиск». Получаем ответ где наша искомая статья с датой публикации  28 ноября 2018.


Скорее всего это уже повторная редакция. Переходим по опциям поиска «Инструменты /За период…»  и ставим крайнюю дату периода поиска на год раньше, 2017-й. Жмем «Поиск». 

Так и есть, получаем ответ где наша искомая статья с датой публикации  28 августа 2015. Поищем может она публиковалась еще раньше. Ставим крайнюю дату периода поиска на 27 августа 2015. 

И получаем «Нет результатов.»

Делаем вывод что наша искомая статейка впервые была опубликована  под названием "5 лучших анализаторов и коллекторов Netflow" именно 28 августа 2015.

Вуаля! Задачка решена.

Friday 23 August 2019

DLP от McAfee.

Всем привет.

В McAfee есть отличный модуль Data Protection. Который как раз и предназначен для организации процесса мониторинга использования съемных носителей на фирме. Но есть нюанс.

Независимо от принятой политики запрета в журнал DLP Incident Manager попадает информация об используемом носителе. Если это была флешка то устройство вполне адекватно определяется и по имени и по ID.

Пример:

Device Friendly Name : JetFlash Transcend 32GB USB Device
Device Description: Disk drive
Instance ID :         USBSTOR\Disk&Ven_JetFlash&Prod_Transcend_32GB&Rev_8.07\
USB Serial Number: 5200843DFE9E5685

Если это была не флешка, а например, смартфон, то все намного печальнее.

Пример:

Device Friendly Name : Remote NDIS based Internet Sharing Device
Device Description: Remote NDIS based Internet Sharing Device
USB Serial Number: KFKF5L8PMR09CIAU
Instance ID :         USB\VID_04E8&PID_6863\5200843DFE9E7785
USB (VID/PID Codes): 04E8-6863

Как видно в этом случае имя устройства безликое. А по VID/PID кодам можно только делать догадки ибо про их идентичность сейчас мало кто из производителей заботится. Ну разве что серийный номер нам сможет что-то сказать.(

Ну такое.

Thursday 22 August 2019

Рекомендованное вам от youtube 2.

Всем привет.

Сегодня очередная разминка на тему Youtube. Уже столько сказано и написано. Но его алгоритмы постоянно совершенствуются. И я вам покажу результат экспериментов воочию. Недавно я вам писал что поведенческий алгоритм водит зрителя от ролика к ролику весьма настойчиво. А если наш зритель при это этом еще и залогинился в Google, то считайте что он пропал.)

Более того Youtube научился не только ловить ваше настроение, он уже умеет вычитывать тембр, тональность музыкального ряда, и прочее. И дело тут даже не в вездесущем копирайте.

Судите сами, вот слушаем легендарный хит Simple Man - Lynyrd Skynyrd 


Прекрасная песня, отличная игра. Чуть ниже в "Рекомедованное вам" следует не менее известное от Scorpions


Не плохо, да? И как "подозрительно" похожа игра на соло-гитаре.)

Бывают случаи и похитрее, которые только на первый взгляд случайны. Это Goolge ребятки, тут случайности исключены.

Берем, к примеру, Within Temptation - Faster 


Шарон ден Адель жжет на полную! Супер. Опять же в "Рекомедованное вам" я вижу Chris Isaak - Wicked Game. Ну какая ту связь? "Да никакой" - скажите вы.



А вот и нет. Романтичная Wicked Game это та же Faster, только в блюзе. Увеличьте скорость в два раза и забудьте про лирику. Теперь то убедились?

Youtube отжигает.


Saturday 17 August 2019

Less и ness могут быть рядом.

Все привет.

За английским на  соскучились?)

Досталось мне из одной умной книжки сокращение STER, что в раскладе значит 4 слова: Selflessness, Timelessness, Effortlessness, Richness.

Сейчас не так важно что значит само сокращение и его книжный перевод как Бессамость,  Вневременность, Легкость и Насыщенность. Прикол в том что я никогда не думал что в английском языке могут быть рядом  суффиксы less  и ness. Это просто сюрприз для меня. Или выверт автора книги?

Сам Google предлагает более понятный перевод этих слов: Самоотверженность, Безвременье, Беззаботность, Богатство.

Крутим переводчик обратно и получаем: Selflessness, Timelessness, Carefreeness, Wealth. Т.е. автор крутанул со словом Effortlessness которое можно перевести как Легкость. А в остальном, да, less и ness могут быть рядом.

Увидимся.

Friday 16 August 2019

Блокировка пользователя в домене и Powershell.

Всем привет.

В работе администратора домена Active Directory довольно часто возникает необходимость найти причину блокировки пользователя. Иногда причиной блокировки пользователя является заражённый вирусом хост - в таких случаях особо важна скорость обнаружения источника проблемы. В PowerShell есть прекрасный командлет Get-WinEvent который позволяет решать данную задачу за пару минут даже в большом домене.

Но для поиска причины блокировки пользователей потребуется некоторая настройка аудита безопасности на контроллерах домена. Должны быть включены следующие категории аудита на контроллерах домена:
  • Audit Account Logon Events (Вход учётной записи), отказ, для события 4771 Kerberos pre-authentication failed;
  • Audit Logon Events (Вход/Выход) Logon (Аудит входа в систему), отказ, для события  4625 An account failed to log on;
  • Audit Logon Events (Вход/Выход) Account Lockout (Аудит блокировки учётных записей), успех, для события  4740 Account locked.


В PowerShell я могу проверить кто сейчас заблокирован просто:
Search-ADAccount -UsersOnly –LockedOut

Также просто разблокировать пользователя:
Unlock-ADAccount -Identity test


Теперь посмотрим когда же пользователь заблокировался и с какой станции.

$Username = "test"

$Pdce = (Get-AdDomain).PDCEmulator
$GweParams = @{
"Computername" = $Pdce
"LogName" = "Security"
"FilterXPath" = "*[System[EventID=4740] and EventData[Data[@Name='TargetUserName']='$Username']]"
}

$Events = Get-WinEvent @GweParams
$Events | foreach {$_.Properties[1].value + ' ' + $_.TimeCreated}


Более подробный запрос для нескольких аккаунтов можно выполнить так:

param (
    $User,
    $PDC = "FORZA01",
    $Count = 5
 )

$Username = "test"

    $FilterHash = @{}
    $FilterHash.LogName = "Security"
    $FilterHash.ID = "4740"
    if ($User) {
        $FilterHash.data =$User
        $Count = 1
    }
   
    $FilterHash2 = @{}
    $FilterHash2.LogName = "Security"
    $FilterHash2.ID = @("4625", "4771")

    Get-WinEvent -Computername $PDC -FilterHashtable $FilterHash -MaxEvents $Count | ForEach-Object {
        $ResultHash = @{}
        $ResultHash.Username = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetUserName"} | %{$_."#text"}
        $ResultHash.CallerFrom = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "TargetDomainName"} | %{$_."#text"}
        $ResultHash.LockTime = $_.TimeCreated

        $FilterHash2.data = $Username
        Get-WinEvent -Computername $PDC -FilterHashtable $FilterHash2 -MaxEvents $Count | ForEach-Object {
            $ResultHash.SrcAdrHost = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "IpAddress"} | %{$_."#text"}
            $ResultHash.LogonType = ([xml]$_.ToXml()).Event.EventData.Data | ? {$_.Name -eq "LogonType"} | %{$_."#text"}
            $ResultHash.FalureTime = $_.TimeCreated
            $ResultHash
        }
    }


Wednesday 14 August 2019

MS Windows10 и SCCM.


Всем привет.

Тот же неловкий момент Windows10 и WSUS в MS SCCM обрабатывается более мягко. Окно обновления с призывом  «RESTART»  дает нам 24 часа на ребут. Если жмем "HIDE" он просто прячет окно обновления и ждет 24 часа. Если ты ничего не делаешь он за 1 час до ребут высветит снова это окно, но уже не даст его закрыть пока не перегрузишь. Ну и разумеется как выйдет 24 часа тогда ребутнет наш ПК вне зависимости от того будет юзер за ПК или нет.



24 часа даются исходя из того что за сутки пользователь точно должен перегрузить свой ПК. Как то так. И да, надо пользователям чуть подучить английский для прочтения таких сообщений.)



Saturday 10 August 2019

Зависимый мозг.

Всем привет.

"Разница между использованием технологий 
и рабством состоит в том, что рабы полностью осознают свою несвободу."
Насим Н. Талеб

Время от времени я читаю книги. Не руководства и справочники, а именно книги. Иногда их рекомендую своему читателю. Недавно с увлечением прочитал книгу Жадсона Брюера «Зависимый мозг". В оригинале - Judson Brewer «The Craving Mind: From Cigarettes to Smartphones to Love - Why We Get Hooked and How We Can Break Bad Habits».

Книга о механизмах формирования человеческих зависимостей и о путях борьбы с ними. Хорошая возможность взглянуть на себя со стороны и оценить насколько же вы свободный человек.

Жадсон Брюер - американский нейро-ученый и психиатр, занимается изучением нейронных механизмов осознанности (mindfulness) с помощью функциональной магнитно-резонансной томографии. Автор долгие годы исследует природу формирования зависимостей различных типов и методы их преодоления. Основным методом, который он рекомендует, является медитация. Он считает себя последователем секулярного буддизма и уже несколько десятков лет сам практикует медитацию не только для борьбы с зависимостью, но и, например, для преодоления гнева и достижения общего гармоничного психического состояния. Среди интересных зависимостей в книге рассмотрены зависимость от социальных сетей, от мышления, от лени и прокрастинации, от отношений. Особенно интересными оказались его мысли про отношения между людьми, которые он весьма удачно называет "токсическими".

Эта, как и следующая книга, помогают взглянуть со стороны на собственную зависимость от смартфона, от соцсетей и прочей ерунды которой мы заполняем свою жизнь.

Следующая книга Стивена Котлера и Джейми Уила "Похищая огонь". 

Она о том как поток и другие измененные состояния сознания помогают решать сложные задачи. Книга о современных Прометеях, людях, которые решились «заглянуть за облака» и максимально приблизились к реализации этой мечты. Она рассказывает о влиянии измененных состояний сознания на способности человека. Авторы утверждают, что этот опыт повышает креативность мышления и продуктивность и приводит к рождению прорывных идей.


Удачи.

Tuesday 6 August 2019

Учетки для McАfee.

Всем привет.

В Active Directory существуют неперсонифицированные пользователи для сервисных функций сторонних комплексов. 

Например пользователи для антивируса McАfee:

1) mcafee-bd    - учетная запись для связи с базой данных McAfee
2) mcafee-admin   - учетная запись для FrontEnd McAfee
3) mcafee-sync   - учетная запись для синхронизации  данных с AD     
4) mcafee-dlp – учетная запись для сервиса DLP
5) epo-email – учетная запись для посылки алертов по почте
6) mcafee-agent – учетная запись для установки агентов McAfee.

И разумеется согласно политике безопасности фирмы им надо менять периодически пароль. Так как пользователи расположены в ЕРО McАfee в разных местах то я ниже покажу где же найти каждого.

И так поехали.
forza.com\mcafee-bd   - меняем пароль пользователя для связи с базой данных MS SQL.

forza.com\ mcafee-admin -  меняем пароль пользователя и сразу проверяем ее работу. На ePO для него ничего делать не нужно.

forza.com\mcafee-sync      - меняем пароль синхронизации объектов с AD, заходим на ePO и  вносим соответствующие изменения. Из основного меню: Зарегистрированные серверы - Сервер LDAP – forza.com 



forza.com\mcafee-dlp  - сначала меняем пароль пользователя  в AD. Заходим на ePO и  вносим соответствующие изменения из основного меню - Параметры DLP. Но этого не достаточно!

Saturday 3 August 2019

Схлопывание (flapping) событий в Zabbix.

Всем привет. 

Триггеры в системе мониторинга Zabbix несут полезную информационную нагрузку. Их полезность зависит от кода условия который вы в нем укажите. 

Вот пригодилось лично мне пару условий которые я недавно нашел в сети и публикую их вам ниже.

Оценить производительность системы можно так:
{server:system.cpu.load.last()} > 5

Производительность системы с 10-ти минутной историей:
{server:system.cpu.load.min(10m)} > 5

Оценить доступность сервиса по http можно так:
{server:net.tcp.service[http].last()} = 0

Доступность сервиса с 10-ти минутной историей:
{server:net.tcp.service[http].max(5m)} = 0
OR
{server:net.tcp.service[http].max(#3)} = 0

Как преодолеть схлопывание (Flapping) события? Это связано с количеством оповещений в рамках данной проблемы.

Исходное условие пишется так:
{server:system.cpu.load.last()} > 5

А должно быть так:
({TRIGGER.VALUE}=0 and {server:system.cpu.load.last()}>5)
OR
({TRIGGER.VALUE}=1 and {server:system.cpu.load.last()}>1)

Для оценки производительности системы:
({TRIGGER.VALUE}=0 and {server:system.cpu.load.min(5m)}>3)
OR
({TRIGGER.VALUE}=1 and {server:system.cpu.load.max(2m)}>1)

Для оценки свободного места:
({TRIGGER.VALUE}=0 and {server:vfs.fs.size[/,pfree].last()}<10)
OR
({TRIGGER.VALUE}=1 and {server:vfs.fs.size[/,pfree].min(10m)}<30)

Для оценки доступности SSH-сервиса:
({TRIGGER.VALUE}=0 and {server:net.tcp.service[ssh].max(#3)}=0)
OR
({TRIGGER.VALUE}=1 and {server:net.tcp.service[ssh].min(#10)}=0)

Для оценки аномалии производительности системы в течении недели:
{server:system.cpu.load.avg(1h)} > 2 *
{server:system.cpu.load.avg(1h,7d)}

На сегодня все.

Thursday 1 August 2019

Gmail и отложенная отправка почты.

Всем привет.

Не знаю как давно, но в Google Gmail появилась отложенная отправка почты. Очень полезная фишка, которая мне нужна была много лет тому назад. Теперь она есть. Ура! 


Теперь я могу любые письма к определенной дате (Новый год, например) написать прямо сейчас, выставить время отправки и... забыть про них.

Вот такая вот мелочь, а приятно.

Версия на печать

Популярное