gigacampus » start page » verktoykasse

Verktøykasser

UNINETT @campus tilbyr tjenesten “verktøykassa”. Verktøykassa er en server med en tilpasset portefølje av overvåkningsprogrammer og driftsverktøy.

Verktøykassa vil gradvis vokse i omfang og tar mål av seg å dekke et stort sett med drift/overvåkningsbehov i sektoren. På sikt kan “kassa” vokse utover en enkelt server, i hvertfall for større institusjoner. Vi snakker da om verktøykassa som et konsept som er realisert på et sett av maskiner.

@campus driftspakke

Verktøykassa er et tilbud til alle UH-institusjoner. UNINETT ordner anskaffelse, initiell idriftsetting og vedlikehold/drift. Vi inkorporerer verktøykassene som en egen gruppe i vårt sentraliserte driftskonsept, der samson3-maskiner og målepåler også inngår. UNINETT driftssenter og UNINETT beredskapsvakt har døgnkontinuerlig beredskap. Vi har eget reservedelslager for rask erstatning ved evt. havari.

Verktøykassa er 1U rackmonterbare servere som kjører Debian. Puppet benyttes i driftsløsningen, dette gir mange fordeler, blant annet sentralisert konfigurasjon og administrasjon, herunder fortløpende pakkeoppdatering m.m.

For alle verktøy som inngår i portefølgen vil vi besørge vedlikeholdte Debianpakker i et vårt sentrale pakkearkiv. I noen tilfeller vil UNINETT selv gjøre vedlikeholdet, i andre tilfeller er dette håndtert av andre.

Institusjoner som foretrekker å selv drive overvåkningsmaskiner, kan naturligvis velge et slikt løp. Dersom Debian benyttes vil vi her kunne gi tilgang til vårt pakkearkiv. For større verktøy som NAV, vil det også være miljøer som vedlikeholder andre distribusjoner.

Verktøyene i kassa

Verktøykassene vil gradvis vokse i omfang, pr august 2014 er følgende verktøy på plass:

  • Overvåkningssystemet NAV
  • Netflowportefølje (nfsen / nfdump)
  • Applikasjonsgjenkjenning med Appflow (krever målepåle i tillegg)
  • Tjenesteovervåkning med Hobbit (evt NAV)
  • Konfigurasjonsarkiv for nettelektronikk
  • Sysloggserver
  • Autentiseringstjeneste for nettelektronikk
  • Karantenenettløsning
  • Firewall Builder (for administrasjon av aksesslister)

En nærmere beskrivelse av verktøyporteføljene gis her.

Overvåkningssystemet NAV

NAV er et omfattende produkt med et sett av verktøy. NAV har en lang historie i sektoren, initiell uvikling startet på NTNU i 1999. NAV utvikles fra 2006 i samarbeid med flere parter, der UNINETT og NTNU er sentrale.

NAVs viktigste verktøy er:

  • Topologidatabase som har oppdatert oversikt over sammenkoblingen av campusnettet med ditto rutere, servere, basestasjoner og servere.
  • Grafisk visualisering av nettet med nettkart (geografisk og topologisk) og “network explorer”.
  • Rapporter som viser oversikt over komponenter, programvareversjon, forbruk av IP prefiks, oppsett av ruter- og svitsjeporter med mer. Herunder også en “device browser” som viser oppdatert portstatus. Det er også en romoversikt der man kan laste opp bilder fra rommet.
  • Maskinsporing med historiske data gir svar på hvor maskinene i nettverket befinner seg til enhver tid. Støtter også IPv6. Inkluderer dnsnavn og netbiosnavn. En egen IP info side gir all informasjon NAV har om en gitt IP-adresse. L2 traceroute viser lag2 stien i nettet mellom to noder. Macwatch-tjenesten sender alarm når en gitt macadresse dukker oppp på nettet.
  • Statusmonitor som detekterer utfall av komponenter i nettverket. Dette inkluderer også alarm ved defekt strømforsyning, samt alarm fra UPSer og miljøovervåkere.
  • Trafikkstatistikk fra alle ruter- og svitsjeporter. Også annen type statistikk fra rutere, svitsjer og basestasjoner, som CPU, minne med mer. NAV benytter her tredjepartsløsningen Graphite. En egen terskelmonitor vil trigge på konfigurerte terskeloverskridelser og sende alarm.
  • Integrert alarmsentral med fleksiblet opplegg der driftspersonell kan sette opp sine egne varslingsprofiler. Varslingskanalene epost, SMS og Jabber støttes. Merk at vi inkluderer en mobiltelefon/GSM-terminal koblet til USB-porten på verktøykassa, slik at all hardware er på plass for å kunne benytte verktøykassen for sending av SMS-alarmer.
  • Tjenesteovervåker som overvåker tjenester på servere. En rekke tjenester støttes, per i dag ssh, http, imap, pop, smtp, smb, rpc, dns, dc og mer.
    • Merk: Vi tilbyr også Hobbit. Hobbit er en mer omfattende tjenesteovervåker, NAVs styrke er på nettverk.
  • Maskinsperrer som tar en maskin av nett ved å sperre aktuelle svitsjeport den er koblet til, alternativt sette maskinen på et karantenenett (dvs i stedet skifte vlan på svitsjeporten).
  • Radius accounting tool som lar deg søke i radius data, f.eks. for å spore brukere pålogget eduroam eller annen IEEE 802.1X nettløsning.

Les mer om NAV.

Netflow-portefølje

Netflow-data supplerer de dataene NAV samler inn. Netflow gir oversikt over alle sesjonene i nettverket, hvem som snakker med hvem, fra hvilken IP-adresse og port (TCP/UDP) til hvilken IP-adresse og port. Netflow-data kan eksporteres fra Cisco-rutere, herunder Catalyst 6500, Catalyst 4500 og Cisco Nexus plattformene.

IPFIX er en IETF standard som langt på vei baserer seg på netflow v9. IPFIX benyttes av bl.a. Juniper. nfdump (se under) støtter også IPFIX.

Følgende komponenter inngår i netflowporteføljen:

  • Nfdump: Nfdump er innsamlingssystemet som tar i mot netflowdata fra ruterne. Dataene lagres i et komprimert filformat. En rekke verktøy følger med pakken som gjør det mulig å søke i datamengden.
  • NfSen (Netflow Sensor): NfSen er en webfront som gjør netflow dataene enklere tilgjengelig. Du kan søke via et webgrensesnitt i stedet for å benytte kommandolinjegrensesnitt. NfSen forholder seg altså til netflow rådata fra Nfdump. NfSen lager også en del overordnet statistikk og lagrer dette i RRD-filer. Det er mulig å lage egendefinerte filtre som genererer alarmer når en konfigurert terskel overskrides. Deteksjon av mailspammere er et eksempel. På verktøykasse presenterer vi NfSen som et verktøy (tool) fra NAV sin “toolbox”.

Applikasjonsgjenkjenning med Appflow

Appflow gir deg trendstatistikk for trafikken inn og ut av campusnettet. Du får oversikt over applikasjonsfordeling i en gitt tidsperiode. Du kan også se fordeling mellom IPv4 og IPv6 trafikk, samt trafikkmønster i forhold til avsender/destinasjons AS og geografisk lokasjon.

Appflow krever at du har en målepåle fra Uninett. Målepålen bruker et passivt nettverkskort som “lukter på” all trafikk som går ut/inn fra campusnettet til/fra forskningsnettet. Appflow ser på alle pakker og gjenkjenner hvilke applikasjoner som kjøres. Dette gjøres ved å se dypere inn i pakkeheadere enn bare portnumre. Appflow dataene eksporteres i et utvidet IPFIX-format og lagres i neste instans i en database. Appflow sin web frontend er integrert med NAV på verktøykassen (på samme måte som NfSen).

Tjenesteovervåkning med Hobbit

NAV tilbyr en egen tjenesteovervåker, men vi innser at funksjonaliteten her ikke kan konkurrere med systemer som har tjenesteovervåkning som sitt primærfokus. Vi vilbyr derfor Hobbit som et supplement.

Vi har jobbet med god integrasjon mellom Hobbit og NAV. Les mer i brukerdokumentasjonen for Hobbit.

Konfigurasjonsarkiv for nettelektronikk

Løsningen gir et oppdatert arkiv for all nettelektronikk som inkluderer rutere, svitsjer og basestasjoner. Løsningen gir også et separat arkiv for pakkefilter, samt en egnet plattform for opplasting av ny programvare til nettutstyret.

Følgende inngår:

  • tftp-tjener: Denne er satt opp sikkert, slik at ikke uønskede kan skrive eller lese informasjon. Innarbeide rutiner ved institusjonen sørger for at enhver endring i konfigurasjon på nettutstyret etterfølges av en lagring til nvram på boksen (“write”) og til tftptjeneren (“write network”).
  • RCS-løsning for konfigurasjonen: RCS gir historisk arkiv, slik at man kan se endringer som er gjort tilbake i tid.
  • Nattlig epost til driftsansvarlige med rapport om siste døgns endringer.
  • Sentral kopi av konfigurasjonsarkivet til sentral UNINETT-tjener: Dette gir en styrket robusthet ved utfall. Dersom en lokal svitsj ryker og lokal verktøykasse ryker / er utilgjengelig kan UNINETT fremskaffe konfigurasjon evt også reservedeler fra eget lager.
  • Opplegg for vedlikehold av aksesslister
  • Opplegg for oppgradering av programvare på nettelektronikk (tftp eller scp benyttes, sistnevnte er nødvendig når image overgår 32MB)
    • Viktig tjeneste i dette bildet blir sentralt vedlikeholdt web-side fra UNINETT som gir råd om foretrukken programvereversjon for de ulike plattformene, samt oppskrift på oppgraderingsprosedyre og ikke minst arkiv med relevant programvare. Denne lastes ned til lokal verktøykasse før opplasting på eget utstyr.

Følgende har vært vurdert men ikke implementert pr dags dato:

  • Cronbasert script som automatisk skriver konfigurasjon fra nettutstyr til tftp-server: Dette blir nødvendig dersom egne rutiner med selvpålagt tftp lagring ved hver endring ikke lar seg gjennomføre i praksis. Scrriptløsningen vil imidlertid kreve snmp skriverettighet og må implementeres med varsomhet, i et tilstrekkelig sikret design (jfr kapittel om sikkerhet).
  • Rammeverk for å gjøre bulkkonfigurasjon mot mange enheter samtidig: Løsningen vil baseres seg på expectscript som sekvensielt og automatisk logger seg inn på en predefinert liste med bokser og gjør en predefinert konfigurasjonsendring her. Dersom globale parametre skal endres (f.eks. ny NTP tjener), så er dette et veldig rasjonelt verktøy.

Sysloggserver

Denne tjenesten er enkel, men viktig. Den inneholder:

  • syslogg konfigurert til å motta sysloggmeldinger fra nettelektronikk (rutere, svitsjer, basestasjoner). Herunder rotering av logger.
  • NAV har mulighet til å strukturere Cisco syslogmeldinger og gjøre dette søkbart tilgjengelig i webgrensesnitt. Meldingene sorteres her bl.a. etter alvorlighetsgrad (severity).

På verktøykassene har vi implementert en “ja, takk, begge deler” løsning. Sysloggmeldinger blir både liggende på flatfil (og rotert) og lagt inn i NAV sin syslogdatabase.

Merk at UNINETT nå (2014) ser på en kraftigere logganalyseløsning basert på logstash/elastic search/Kibana. Dette kan på sikt bli en ny tjeneste.

Autentiseringstjeneste for nettelektronikk

Løsningen gir mulighet for brukernavn/passord innlogging på all nettelektronikk. I dag er dette ofte basert på felles passord (line password). Ved å benytte personlige brukere oppnår man bl.a.:

  • Det blir mulig å se hvem som har gjort hvilken konfigurasjonsendring.
  • Det blir lettere å fase ut tilgang til brukere når de slutter i organisasjonen.

Et opplegg basert på radiusrele kan i tillegg gi tilgang til UNINETT driftsenter/beredskapsvakt, hvilket styrker muligheten til sentral assistanse ved behov.

Firewall Builder for administrasjon av aksesslister

Firewall Builder er åpenkildekode programvare for adminstrasjon av aksesslister/brannmurregler. Applikasjonen er en X-applikasjon (UNINETT arbeider med å tilby et webgrensesnitt) som er installert på verktøykassen. Det er flere fordeler med Firewall Builder. Blant annet blir parallelt vedlikehold av IPv4 og IPv6 aksesslister mye enklere.

Firewallbuilder støtter i utgangspunktet Cisco IOS og Linux iptables, men Uninett har utvidet støtten til også å omfatte Juniper og Cisco NX-OS.

Dokumentasjon og diskusjonsforum

  • Det blir vedlikeholdt en brukerdokumentasjon for verktøykassene som gir nøkkelinformasjon for de ulike verktøyene. Se også egen Hobbit dokumentasjon.
  • I tillegg har NAV og Stager egne dokumentasjonssider og etablerte epostlister. Det er etablert en epostliste vk@uninett.no for diskusjon rundt verktøyene. Her vil også nyheter og driftsmeldinger fra oss bli lansert.
  • Driftsinstruks og sikkerhetsdirektiv for verktøykassene er skrevet.

Løsninger rundt verktøykassen

Karantenenett

Weathergoose

 
 
gigacampus/verktoykasse.txt · Last modified: 2015/11/25 09:51 by mvold@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups