Post on 09-Jan-2017
Servicios de valor añadidoPor José M. Román
FiberCli
Somos pura fibra
• (2015 –Now) CEO @ WISP Cloud Networking Spain
• (2008 –Now) Security Consultant and Analyst
• (2000 –2007) Profesor de redes, programaación, sistemas y Base de
datos.
17 años de experiencia, Mikrotik Certified Consultant and Trainer.
MTCNA, MTCRE, MTCTCE, MTCUME, MTCWE, MTCINE, CISA, CISSP, Master
ITIL
@ M A F I A S O L E H
M A D R I D / P R A G U E
J o s e . r o m a n @ f i b e r c l i . c o m
+ 3 4 6 5 2 2 4 1 4 3 1
JOSE MANUEL ROMAN
2José Manuel Román para FiberCli
F A J A R N U G R O H O
• (2015 –2016) Infrastucture (System, Network & Security) Engineer. @
Technology and Information Department of Jakarta Capital
Cityand Jakarta SmartCity
• (2012 –Now) Freelancer @ SMB to Enterprise customers
• (2008 –2012) Helpdesk, NOC (Network Operator Center). @ Wireless
Internet Service Provider and Triple Play (CaTV, VoIP and
Internet) Service Provider
Network Engineer by Job and Troublemaker by Act, currently
focusing on MikroTik, Juniper, Arista, UBNT, Vmware Virtualization,
Linux/Unix (Debian & FreeBSD). CCNA, MTCNA, MTCRE, MTCTCE,
JNCIA, JNCIS-ENT, JNCIS-SP, JNCIP-SP,MikroTikCertifiedTrainer.
@ M A F I A S O L E H
T O L E D O / J A K A R T A
f a j a r @ f i b e r c l i . c o m
+ 6 2 8 1 3 1 7 7 7 1 4 5 5
3José Manuel Román para FiberCli
Llave en mano fibra ópticaSoporte 24 x 7
Formación en Mikrotik y Seguridad
4José Manuel Román para FiberCli
Próxima semana curso MTCNALepe (Huelva)
Octubre Curso de Seguridadbasado en equipos Mkt
5José Manuel Román para FiberCli
20% DescuentoAsistentes al MUM
6José Manuel Román para FiberCli
Problema
Múltiples eventos en la red que como administrador de sistemas o red no sabemos localizar el origen.
7José Manuel Román para FiberCli
Síntomas
Multiples incidentes que no son recogidos en ninguna parte.
Sensación de descontrol en la red.
8José Manuel Román para FiberCli
Solución
Arquitectura de red con Sistema Centralizado de Recopilación, Normalización, Visualización y Análisis
9José Manuel Román para FiberCli
AGENDA Introduction Arquitectura Centralizada ELK (ElasticSearch, Logstash, Kibana) Mkt + AAA+ con Freeradius y Bases de datos centralizadas Mkt + Log centralizado y ELK Mkt + Monitorización y ELK Mkt + Netflow y ELK Q and A
10José Manuel Román para FiberCli
¿Qué es?ELK
11José Manuel Román para FiberCli
Elast icsearchEs un motor de busqueda que almacena datos de una forma estructurada, que va a facilitar la labor de busqueda y que nos va a dar muchas alegrias
12José Manuel Román para FiberCli
Elast icsearch•Escrito en Java
•Puede indexar datos heterogeneos
•Posibilita busquedas potentes en tiempo real
•Tiene api con REST y salida JSON
13José Manuel Román para FiberCli
LogstashEs un motor de recolección de datos que nos va permitir unificar y normalizar
14José Manuel Román para FiberCli
LogstashConsta de tres partes:
Input: Convierte los logs para ser procesados a un formatoadecuado.
Filter: Condiciones para llevar a cabo una acción en caso que se produzca un evento.
Output: Toma de decisiones para los eventos procesados.
15José Manuel Román para FiberCli
KibanaEs una plataforma de visualización y análisis que nos va a ponerguapos nuestros datos.
16José Manuel Román para FiberCli
17José Manuel Román para FiberCli
Sistema AAA
18José Manuel Román para FiberCli
RadiusRADIUS es un protocolo de nivel de aplicación que proporciona
autenticación, autorización y accounting (AAA).Está definido en el RFC 2865.
19José Manuel Román para FiberCli
20José Manuel Román para FiberCli
Link-Establishment Link-Establishment
Dial-In User try to connect (username & password) RADIUS Access-Request
RADIUS Access-Challange
RADIUS Access-Request
RADIUS Access-Reject
RADIUS Access-Accept
Accounting-Request (Start)
Accounting-Response
OROR
Disconnect
Session Start
Accounting-Request (Stop)
Accounting-Response
Disconnect
Topología
21José Manuel Román para FiberCli
22José Manuel Román para FiberCli
MIKROTIK SITE 1
RADIUSDATABASE BACKEND
MIKROTIK SITE 3
MIKROTIK SITE 2
Configuración en Mikrotik
23José Manuel Román para FiberCli
24José Manuel Román para FiberCli
Freeradius produce una serie de logs que podemos procesar dentro
de logstash
http://code.metager.de/source/xref/freeradius/server/doc/schemas/logstash/
José Manuel Román para FiberCli 25
Log centralizado
26José Manuel Román para FiberCli
RSYSLOGRSYSLOG stand for "the rocket-fast system for log processing“ is an open-source software utility used on UNIX and Unix-like computer
systems for forwarding log messages in an IP network. It implements the basic syslog protocol, extends it with content-based filtering, rich filtering capabilities, flexible configuration
options and adds features such as using TCP for transport
27José Manuel Román para FiberCli
http://www.rsyslog.com/rsyslog-8-19-0-v8-stable-released/
RSYSLOGRsyslog nos ofrece:
Marca de tiempo ISO 8601 timestamp con granularidad de milisegundos
Transporte utilizando tcp y soporte de TLS
Capacidad de almacenar los logs en diferentes bases de datos.
28José Manuel Román para FiberCli
Topología
29José Manuel Román para FiberCli
30José Manuel Román para FiberCli
31José Manuel Román para FiberCli
KIBANAELASTICSEARCHLOGSTASHRSYSLOG
MikroTik log Configuration
32José Manuel Román para FiberCli
33José Manuel Román para FiberCli
34José Manuel Román para FiberCli
35José Manuel Román para FiberCli
36José Manuel Román para FiberCli
Monitorización
37José Manuel Román para FiberCli
/snmp set enabled=yes contact="jose.roman@fibercli.com" location="Mum Madrid" trap-community=public trap-version=2
38José Manuel Román para FiberCli
39José Manuel Román para FiberCli
Existen clientes para exportar historicos de datos desdezabbix a bases de datos de series temporales.
https://github.com/jojohappy/zabbix-relay
40José Manuel Román para FiberCli
Podemos integrar los eventos de zabbix como entrada a logstach, con el objetivo de tener una monitorizacion
desacoplada.
Netflow
41José Manuel Román para FiberCli
NetFlow es un protocolo de red desarrollado por Cisco Systems para recolectar información sobre tráfico IP.
42José Manuel Román para FiberCli
43José Manuel Román para FiberCli
/ip traffic-flow set active-flow-timeout=30m cache-entries=1M
\enabled=yes inactive-flow-timeout=15s interfaces=all
44José Manuel Román para FiberCli
/ip traffic-flow target add dst-address=ip.server port=5055 disabled=no \v9-template-refresh=20 v9-template-timeout=30m version=9
45José Manuel Román para FiberCli
Para recoger esta salida necesitamos un colector de netflow que va a recoger los paquetes enviados por la sonda, como por ejemplo pmacct.
46José Manuel Román para FiberCli
Una vez que recogemos los logs con pcmacct vamos a enviar las salida a en formato json a ElasticSearch.
https://github.com/pierky/pmacct-to-elasticsearch/blob/master/CONFIGURATION.md
47José Manuel Román para FiberCli
https://github.com/pierky/pmacct-to-elasticsearch/blob/master/CONFIGURATION.md
48José Manuel Román para FiberCli
49José Manuel Román para FiberCli
50José Manuel Román para FiberCli
Recursos adicionales
51José Manuel Román para FiberCli
Grafana
52José Manuel Román para FiberCli
Influxdb
53José Manuel Román para FiberCli
Fluentd
54José Manuel Román para FiberCli
55José Manuel Román para FiberCli
Muchas gracias
56José Manuel Román para FiberCli