[GTER] dimensionamento de equipamento para netflow

Douglas Fischer fischerdouglas at gmail.com
Tue Feb 3 08:41:50 -02 2015


Na minha opinião,
para análise de flows(seja netflow sflow, etc etc) no estilo cubo de
informações(postmortem, como disseram) a melhor ferramenta do mercado é o
netflow analyser da manage engine. A da SolarWinds chega perto, mas não
bate...

O único problema é que ela não performa nada bem.

Para performar, a coleta tem que ser de cara redirecionada para análises
pré-definidas, que vão segurar apenas o que foi definido na análise e jogar
fora todo o resto.
E isso limita muito o aprofundamento da análise em um caso mais específico.


Se você for cair para esse com análises prédefinidas(como é o snort),
maquinas pequenas tocam numa boa.
Mas se quiseres fazer análises mais complexas, no estilo DataWarehouse,
Vais ter que falar em 8 threads e 8GB para começo de conversa.


Em 30 de janeiro de 2015 11:21, Carlos Ribeiro <cribeiro at telbrax.com.br>
escreveu:

> Respostas rápidas:
>
> 1) Sim, tanto em tempo real como "post mortem" (útil pra ataques de
> madrugada onde o técnico não percebe na hora).
> 2) Você pode fazer espelhamento ou fazer coleta de bilhetes Netflow
> diretamente no roteador. Dependendo do seu roteador a segunda estratégia é
> mais simples e pode dar resultados bem eficazes.
> 3) Depende da taxa de amostragem... agora estou sem tempo mas depois dá
> para discutir como chegar nesse número.
> 4) A gosto do freguês. Mas eu pessoalmente prefiro usar um analisador
> NetFlow comercial. Vem tudo "pronto" e resolve um problema fundamental que
> é a manutenção constante dos logs rotativos, que é bem chata de fazer.
>
> *Carlos Ribeiro*
> *Sócio*
> Cel: +55 (31) 9303-3366
> Tel: +55 (31) 3305-5620
> Geral: +55 (31) 3305-5600
> cribeiro at telbrax.com.br
> www.telbrax.com.br
>
> Em 30 de janeiro de 2015 11:05, Paulo Coimbra <coimbra.root at gmail.com>
> escreveu:
>
> > Bom dia,
> >
> > Estou pensando em adquirir um servidor para utilizar o netflow (e
> > provavelmente algo como snort) em um link atualmente de 1Gb. Pretendo
> rodar
> > esse servidor em uma porta espelhada do switch. Com isso, surgiram
> algumas
> > dúvidas e gostaria da opinião dos colegas.
> > 1) É viável uma aquisicao dessas para esse tipo de serviço para
> > monitoramento de eventuais "anomalias" na rede?
> > 2) A ideia de espelhar uma porta no switch para isso é o recomendado, no
> > caso somente de monitoramento? O switch atual é um HP V1910-16G.
> > 3) Qual seria um bom dimensionamento para esse servidor?
> > 4) Qual S.O recomendariam? FreeBSD, Linux?
> >
> >
> > --
> > br,
> >
> > Paulo Coimbra
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list