Analizando tráfico con Netflow – pmacct – flowAnalyzer.

Además de usar LibreNMS en aaNetworks, desde hace tiempo tenía la idea de usar NetFlow [https://en.wikipedia.org/wiki/NetFlow], esta configuración está al borde de OverKill en un home network, pero qué más da!

 Flow Exporter: por el momento cuento con cinco equipos que cumplen con esta tarea, lo exportadores o probe como son mejor conocidos son los encargados de agregar los paquetes en flows y exportarlos al equipo central el cual se usara para hacer visualización de la información exportada.

Equipos cumpliendo esta tarea son:

zappMikrotik RB493AH: RouterOS tiene la funcionalidad de capturar paquetes y enviarlos como flow ya sean v5, v9 o IPFIX, en mi caso está configurado para v9.

 

elzar – Ubuntu 17.04.

vul – Debian Jessie.

leela – Debian Stretch.

fry – Debian Stretch.

En el caso de Debian, existen varias opciones para tener la funcionalidad de PROBE, algunas son directamente en el kernel otras son aplicaciones que usan libcap, en mi caso me decidí por una aplicación llamada pmacct (ni idea como se pronuncia) la cual cuenta con un PROBE y muchas otras funcionalidades que en una entrada futura hablare de ellas.

Flow Collector: esta es la plataforma/aplicación responsable de recibir los flows que fueron generados en los PROBE, esta es la parte difícil, muchas de estas plataformas/aplicaciones son de pago. La razón, sencilla, los PROBE ya vienen en los routers asi que solo faltaría el Collector y dependiendo de la calidad del software que se use para colectar se verán los beneficios de tener NetFlow.

En mi caso he implementado una aplicación no tan conocida, tope con ella en un sub-reddit. flowAnalyzer es una combinación de varias aplicaciones las cuales forman el Colector y la aplicación de Análisis. Esta plataforma está basada en ELK, esta es la ventaja, luego que tenemos información generada en los probe importadas en un index de Kibana, podemos generar cualquier tipo de gráficos con información importada en el index.

En el caso de flowAnalyzer, los colectores son el producto del creador de la plataforma, estos colectores fueron desarrollados específicamente para esta tarea usando Python como lenguaje.

En esta tabla se pueden apreciar las versiones de flow soportadas y sus respectivos puertos.

 

Discover: esta es una sección típica de Kibana, aquí podemos ver casi en real-time todo lo que fue indexado y procesado por ElasticSearch y Kibana. Partiendo de este punto crearemos visualizaciones para luego crear dashboards.

La siguiente captura muestra todo el tráfico relacionado a la categoría Web que ha pasado por Vul.

 

NSX Controller – Instalación falla usando solo IPv6.

Siguiendo con la agenda de usar IPv6 en un entorno NSX, intente desplegar un controlador solo asignando dirección IPv6 al pool designado para este, lamentablemente el despliegue fallo y mis sospechas apuntan a que el Controller no pudo alcanzar el Manager en la dirección IPv6 asignada.

Al intentar desplegar nuevamente el Controller, esta vez usando una dirección IPv4 todo término como de esperarse.

Tendré que investigar más sobre el tema para determinar si es una limitante o fue un error en mi configuración.

VMware vCenter con IPv6 en la interface de administración (nic0).

De camino a que todo este Dual-Stack (DS) en la red local y asignado una dirección IPv6 a vCenter (Appliance), todo tal como se esperaba excepto por la parte de configuración para el servidor DNS. Explícitamente no indica si es IPv4 o IPv6 pero por lo que pude ver solo acepta direcciones v4, el error es bastante genérico.

Aquí se puede ver una captura de toda la configuración:

Soporte IPv6 en NSX.

Desde hace tiempo quería crear una entrada con este tipo de información. recuerdo mi primer encuentro con IPv6 (2004?  Recuerdo tener un tunnel y conectar a freenode IRC!!) quede fascinado con la idea del punto-a-punto entre clientes y servidores (clientes a clientes!). Últimamente me he querido enfocar en la parte de redes de VMware, esto quiere decir que mi enfoque será NSX y la micro-segmentación.

Seria genial que NSX soportara IPv6 que tanto me gusta y que he estado desplegando en mi red local de maneras que no tienen sentido en la red del hogar de una persona. Virtualización + Redes es la combinación por la cual estoy apostando últimamente y esto quiere decir que estaré trabajando en recertificar VCP subiéndolo a versión 6 y prepararme para VCP6-NV.

 

Siguiendo en el tema, aquí les dejo una tabla del soporte actual de IPv6 en NSX y la cual estaré usando para validar su nivel de funcionalidad.

 

Detailed NSX IPv6 Support

Component Feature Support1 Notes
VM Addressing
Guest VM Addressing IPv4, IPv6, DS VXLAN encap packets are capable of carrying IPv6 payload. VMs can have only IPv6 static addresses. SLAAC (RA) and DHCPv6 (relay and server) are not supported
VXLAN Transport IPv4
NSX Manager
NSX Manager IP IPv4, IPv6, DS
NSX Controller
Management IP IPv4
NSX Edge
Management IP IPv4, IPv6 No DHCPv6 support
Syslog IPv4, IPv6 Export to IPv4 and IPv6 Syslog servers
Interface IP IPv4, IPv6, DS No DHCPv6 support
DNS IPv4
DHCP IPv4
Static Routing IPv4, IPv6
Dynamic Routing IPv4 No OSPFv3 or MP-BGP support
Firewall IPv4, IPv6
Load Balancer IPv4, IPv6 Transparent Mode
IPv4 VIP w/ IPv4 Pool (L4 & L7)
IPv6 VIP w/ IPv6 Pool (L4 & L7)

SNAT Mode
IPv4 VIP w/ IPv4 Pool
(L4 & L7)
IPv6 VIP w/ IPv6 Pool
(L4 TCP w/o HW accel only & L7)
IPv6 VIP w/ IPv4 Pool
(L4 TCP w/o HW accel only & L7)
IPv4 VIP w/ IPv6 Pool
(L4 TCP w/o HW accel only & L7)

NAT IPv4 NAT64, NAT 46 and NAT66 are not supported
IPSEC IPv4, IPv6 No IPv4 Peers with IPv6 internal subnet support
SSL VPN IPv4, IPv6 IPv4 and IPv6 can be used for outer packet (tunnel level) but IPv4 only for inner packet
L2VPN IPv4, IPv6 IPv4 and IPv6 can be used for outer packet (tunnel level) but IPv4 only for inner packet
NSX DLR
Management IP IPv4
Interface IP IPv4
Distributed Routing IPv4
NSX DFW
Distributed Firewall IPv4, IPv6
Virtual Distributed Switch
SNMP IPv4, IPv6, DS
LRO IPv4, IPv6
RSS IPv4, IPv6
DV Filters IPv4, IPv6
TSO IPv4, IPv6
SPAN IPv4, IPv6
RSPAN IPv4, IPv6
CDP & LLDP IPv4, IPv6
Statistics IPv4, IPv6
LACP IPv4, IPv6
IPFIX IPv4, IPv6
Traffic Filters IPv4, IPv6 No IPv6 Netflow collector can be configured

 

Esta información fue copiada de: https://www.vmbaggum.nl/2017/01/nsx-ipv6-support/

La información en la tabla proviene de la documentación oficial de NSX 6.2, la idea es actualizar la tabla usando NSX 6.3 y crear una nueva con los componentes que recibieron cambios.

Un artículo interesante que encontré mientras investigaba el soporte de IPv6 en NSX fue el uso de NSX Edge para transportar un /57 de direcciones IPv6 a una red local, comparando con la configuración actual que tengo en casa es el mismo resultado pero con implementación de software diferentes, si solo tuviera equipos en un datacenter donde pudiera correr NSX!!

https://www.vmguru.com/2016/12/using-nsx-for-ipv6-home/

 

El día de hoy desplegué el NSX Manager y asignado tanto dirección IPv4 como IPv6 en las opciones del OVF Template.

 

Más adelante posteare las actualizaciones relacionadas a las configuraciones realizadas que tengan IPv6.

Aventuras con BGP.

Cuanto tiempo!  Algunos me han preguntado que si ya no planeaba escribir más en el blog (no muchos, pero si me han preguntado.).

Por cuestiones de trabajo, poco a poco fui descuidando el blog a un punto que ahora veo que se han perdido imágenes de algunas entradas, eso me pasa por usar Dropbox como proveedor de contenidos. Eso es algo que puedo arreglar más adelante, ahora al tema de la entrada.

A mediados de 2016 pude notar que viarios participantes de dn42 estaban usando ASN públicos asignados por ARIN, que chulo no? así que comencé a investigar y termine adquiriendo un Numero Autónomo público. Para que se preguntaran algunos, la respuesta es que desde hace mucho tiempo tengo una adicción al routing a un nivel que en mi pequeña red de la casa estoy corriendo BGP + OSPF para distribuir las rutas internamente.

Después de varios meses de jugar con el ASN y cambiar todos los Debian + Quagga que tenían ASN privado (64635 – 64714) al nuevo y reluciente ASN público (207036), comenzar a anunciar asignaciones de IPv6 (ya casi todo esta dual-stack, yija!!!!), termine con una asignación /22 de IPv4.

Entonces, como esta aaNetworks al día de hoy con relación a networking?

https://aanetworks.org/

 

 

 

 

 

 

 

 

Se puede conseguir más información en BGP.he.net

http://bgp.he.net/AS207036