Przejdz do tresci
Avanet

Konfigurowanie monitorowania sFlow na Sophos Firewall

Sophos Firewall

Dzięki monitorowaniu sFlow Sophos Firewall może wysyłać próbki ruchu do zewnętrznego Collectora. Umożliwia to lepsze zrozumienie szczytów wolumenu, podejrzanych przepływów, nietypowych celów lub rozkładu obciążenia na interfejsach niż tylko za pomocą pojedynczych logów na żywo. Sophos wprowadził sFlow jako funkcję monitorowania w Sophos Firewall v22.

Funkcja ta jest szczególnie interesująca dla rozwiązywania problemów, planowania pojemności i monitorowania bezpieczeństwa. sFlow nie zastępuje jednak ani Log Viewer, ani Packet Capture, ani przechowywania logów za pomocą Central Firewall Reporting lub Syslog. sFlow odpowiada na inne pytania: nie “która reguła dokładnie zadziałała?”, ale “jakie przepływy ruchu przechodzą przez ten interfejs i jak się rozkładają?”. Dla stanu sprzętu, temperatury, wentylatorów, zasilaczy i PoE bardziej odpowiednie jest SNMP Hardware Monitoring.

Kiedy sFlow jest przydatny

sFlow jest przydatny, gdy dostępny jest zewnętrzny Collector lub system monitorowania i chcemy zobaczyć wzorce ruchu w czasie.

Typowe przypadki użycia:

  • Rozpoznawanie nieoczekiwanych szczytów przepustowości na interfejsach WAN, LAN lub Core.
  • Lepsze zrozumienie ruchu między VLAN-ami lub lokalizacjami.
  • Wspieranie planowania pojemności dla zapory, łącza uplink lub przełączania Core.
  • Znajdowanie podejrzanych przepływów jako punktu wyjścia do dalszej analizy.
  • Porównywanie danych monitorowania z logami zapory, Central Reporting lub danymi SIEM.

Jeśli chcemy sprawdzić tylko jedno połączenie, sFlow często nie jest odpowiednim narzędziem. Do celowych testów wydajności lepiej nadaje się iPerf. W przypadku konkretnych problemów z połączeniem Log Viewer, Policy Test i Packet Capture są zazwyczaj szybsze.

Wymagania

Do korzystania z sFlow potrzebne są:

  • Sophos Firewall z SFOS 22.0 lub nowszym.
  • Dostęp administracyjny do Device Console.
  • Dostępny sFlow Collector, na przykład NMS, SIEM lub narzędzie do analizy przepływów.
  • Bezpieczna sieć między zaporą a Collectorem.
  • Jasna decyzja, które interfejsy sprzętowe mają być monitorowane.

Konfiguracja nie odbywa się w normalnym interfejsie WebAdmin, ale za pomocą Device Console z system sflow. Advanced Shell nie jest odpowiednim miejscem do tego. Różnica między Device Console a Advanced Shell jest wyjaśniona w artykule Sophos Firewall Troubleshooting: Services und Logs.

Ważne ograniczenia przed aktywacją

sFlow wydaje się nieszkodliwy, ale może mieć wpływ na działanie i bezpieczeństwo.

sFlow nie jest szyfrowany

Ruch sFlow z zapory do Collectora nie jest szyfrowany. Dlatego Collector powinien być dostępny przez zaufaną sieć zarządzania, wewnętrzną sieć monitorowania lub inną chronioną ścieżkę.

⚠️ sFlow nie powinien być wysyłany bez ochrony przez niezabezpieczone sieci. Dane przepływu mogą ujawniać wewnętrzne adresy IP, relacje komunikacyjne i systemy docelowe.

FastPath jest wyłączany na monitorowanym interfejsie

Gdy sFlow jest aktywny na interfejsie, Fast Path na tym interfejsie jest wyłączany. Jest to szczególnie ważne w przypadku mocno obciążonych interfejsów WAN, LAN lub Core.

Przed aktywacją należy sprawdzić:

  • Jak bardzo obciążony jest interfejs?
  • Czy przez niego przechodzi ruch o wysokiej przepustowości?
  • Czy jest dostępne okno konserwacyjne na pierwszy test?
  • Czy można porównać wydajność przed i po aktywacji?

Dla podstawowego zrozumienia wydajności zapory odpowiedni jest artykuł Leistungsdaten der Sophos Firewall richtig verstehen.

HA-Cluster: sFlow działa tylko na Primary

W klastrze HA agent sFlow działa na Primary. Należy to uwzględnić przy analizach i testach failover. Po zmianie roli należy sprawdzić, czy Collector nadal otrzymuje dane i czy adres IP agenta pozostaje zgodny z oczekiwaniami.

Dla planowania działania HA i monitorowania odpowiedni jest artykuł Sophos Firewall High Availability einrichten.

Planowanie interfejsu i Collectora

sFlow jest konfigurowany na interfejsach sprzętowych. Mogą być widoczne również zależne interfejsy, takie jak aliasy i VLAN-y wybranego interfejsu sprzętowego. Wybór interfejsu powinien zawsze odpowiadać rzeczywistej ścieżce ruchu, a nie tylko nazwie VLAN-u lub pożądanej analizie w Collectorze.

To jest praktyczne, ale może prowadzić do błędnych interpretacji:

  • Jeśli monitorowany jest Port1, mogą być widoczne również powiązane interfejsy VLAN lub aliasy w próbkach.
  • Jeśli interesuje nas tylko konkretny VLAN, należy dokładnie filtrować w Collectorze.
  • Jeśli istnieje wiele portów Core lub WAN, nie należy od razu aktywować wszystkich interfejsów.
  • W przypadku projektów LAG, Bridge lub VLAN należy wcześniej ustalić, gdzie rzeczywiście przepływa istotny ruch.

Podstawą do tego jest zrozumiała planowanie interfejsów i stref. Artykuł Sophos Firewall Zonen und Interfaces konfigurieren pomaga w klasyfikacji interfejsów fizycznych, VLAN-ów, mostków, LAG-ów i RED.

Planowanie pilota, ochrony danych i ścieżki powrotnej

Przed pierwszą aktywacją sFlow powinien być traktowany jak zmiana monitorowania produkcyjnego. Funkcja generuje dodatkowe dane, zmienia FastPath na monitorowanym interfejsie i wysyła informacje o przepływach do innego systemu. Dlatego nie wystarczy tylko wprowadzić adres IP Collectora i Sampling Rate.

Przed pilotem powinny być ustalone następujące punkty:

  • Jaki konkretny problem ma rozwiązać sFlow: planowanie pojemności, szczyty przepustowości, monitorowanie bezpieczeństwa czy rozwiązywanie problemów?
  • Kto zarządza Collectorem i kto może zobaczyć dane przepływu?
  • Jak długo będą przechowywane dane przepływu?
  • Jaką ścieżką sieciową pakiety sFlow docierają do Collectora?
  • Który interfejs będzie testowany jako pierwszy?
  • Jakie wartości pomiarowe są uznawane za bazowe przed aktywacją?
  • Kiedy sFlow zostanie ponownie dezaktywowany lub przeniesiony na inny interfejs?

Dane przepływu mogą ujawniać wewnętrzne adresy IP, relacje komunikacyjne, systemy docelowe, porty i wolumen ruchu. Dane te są mniej szczegółowe niż pełny Packet Capture, ale nadal mają znaczenie operacyjne i bezpieczeństwa. Jeśli Collector jest podłączony do SIEM lub centralnej platformy monitorowania, odpowiedzialność powinna być równie jasno określona jak w przypadku Sophos Firewall Syslog an SIEM senden.

Dla pierwszego testu warto przeprowadzić ograniczony pilot:

  1. Udokumentować stan wyjściowy: obciążenie interfejsu, obciążenie CPU, dotknięte usługi, dostępne dane monitorowania.
  2. Wybrać pojedynczy, nie maksymalnie obciążony interfejs.
  3. Ustawić konserwatywnie Sampling Rate.
  4. Sprawdzić odbiór Collectora i ilość danych.
  5. Obserwować wydajność, opóźnienia i przepustowość po aktywacji.
  6. Przetestować ścieżkę powrotną: system sflow off lub usunąć monitorowany interfejs.

Ścieżka powrotna powinna być jasna przed aktywacją. Jeśli wydajność na produkcyjnym interfejsie pogorszy się, nie należy jednocześnie zmieniać Sampling Rate, Collectora, routingu i reguł zapory. Najpierw dezaktywować sFlow lub usunąć dotknięty interfejs z monitorowania za pomocą system sflow monitor delete interface-name ..., a następnie ponownie zmierzyć.

Dodawanie sFlow Collectora

Najpierw definiuje się Collectora. Standardowy port dla sFlow to często 6343; w środowiskach produkcyjnych port musi pasować do używanego Collectora.

Przykład:

system sflow collector add ip-address 192.0.2.10 port 6343

Sophos obsługuje do pięciu Collectorów. Każdy Collector jest dodawany osobno.

Aktualny status można sprawdzić za pomocą:

system sflow show

Jeśli Collector ma zostać usunięty:

system sflow collector delete ip-address 192.0.2.10 port 6343

Konfiguracja interfejsu i Sampling Rate

Następnie określa się, który interfejs będzie monitorowany i z jaką Sampling Rate będą wybierane pakiety.

Przykład:

system sflow monitor add interface-name Port1 sampling-rate 1000

Sampling Rate decyduje, jak często pakiety są wybierane jako próbki. Niższa liczba generuje więcej próbek, a tym samym więcej szczegółów, ale także większe obciążenie i więcej danych w Collectorze. Wyższa liczba zmniejsza ilość danych, ale może sprawić, że krótkie lub mniejsze przepływy będą mniej widoczne.

Istotne wartości graniczne to:

WartośćZnaczenie
400Standardowa Sampling Rate
10najmniejsza dozwolona wartość
10000000największa dozwolona wartość

Na początek warto wybrać konserwatywną wartość, na przykład 1000 lub wyższą. Następnie należy sprawdzić w Collectorze, czy ilość danych, szczegółowość i wydajność odpowiadają celowi.

Monitorowany interfejs można usunąć:

system sflow monitor delete interface-name Port1

Ustawianie Polling Interval

Oprócz Packet Sampling, sFlow może również pobierać statystyki i liczniki interfejsów w określonym interwale. Sophos pozwala na Polling Interval między 30 a 300 sekund. Ustawienie 0 dezaktywuje Polling.

Przykład:

system sflow polling-interval 80

Dezaktywacja Polling:

system sflow polling-interval 0

Dla większości środowisk odpowiedni jest średni interwał. Zbyt krótkie interwały generują więcej danych i nie są automatycznie bardziej pomocne.

Aktywacja sFlow

Gdy Collector, interfejs i Polling są zaplanowane, sFlow jest aktywowany:

system sflow on

Sprawdzenie statusu:

system sflow show

Dezaktywacja sFlow:

system sflow off

Po aktywacji należy sprawdzić nie tylko zaporę, ale także Collectora. Tam muszą docierać dane z adresu IP agenta zapory i być sensownie rozwiązywane.

Walidacja po aktywacji

Po włączeniu należy sprawdzić następujące punkty:

  1. system sflow show poprawnie wyświetla Collectora, interfejs, Sampling Rate i status.
  2. Collector odbiera dane sFlow z oczekiwanego adresu IP zapory.
  3. Czas na zaporze i Collectorze jest zgodny.
  4. Nazwy interfejsów i kierunek przepływu są zrozumiałe w Collectorze.
  5. Obciążenie zapory i Collectora pozostaje niekrytyczne.
  6. Ilość danych odpowiada planowanemu przechowywaniu i przetwarzaniu.
  7. Zdefiniowana ścieżka powrotna została przetestowana lub przynajmniej udokumentowana jako konkretny polecenie.
  8. W przypadku klastrów HA po failoverze należy sprawdzić, czy dane nadal docierają.

Jeśli równocześnie analizowane są reguły zapory, NAT, VPN lub TLS Inspection, sFlow nie powinien być rozpatrywany w izolacji. Dla konkretnych decyzji dotyczących połączeń kluczowe pozostają Log Viewer i Packet Capture. Dla długoterminowej analizy warto sprawdzić, czy dodatkowo potrzebne są Syslog lub Central Reporting.

Rozwiązywanie problemów

Brak ruchu w Collectorze

Najpierw sprawdź system sflow show. Następnie sprawdź, czy adres IP Collectora, port, routing i reguły zapory pasują do Collectora. Dodatkowo na Collectorze należy sprawdzić, czy port UDP jest dostępny i czy przychodzące pakiety sFlow nie są odrzucane.

Widoczny jest tylko część ruchu

sFlow działa z próbkowaniem. To normalne, że nie każde pojedyncze pakiet jest widoczne. Jeśli brakuje ważnych przepływów, można dostosować Sampling Rate lub wybrać inny interfejs. W przypadku VLAN-ów i aliasów należy sprawdzić, czy monitorowany jest właściwy interfejs sprzętowy.

Wydajność zmienia się po aktywacji

Jeśli monitorowany jest mocno wykorzystywany interfejs, wyłączenie FastPath może być istotne. W takim przypadku należy testowo dezaktywować sFlow i porównać wydajność. W przypadku produkcyjnych interfejsów Core lub WAN lepszy jest zaplanowany test niż spontaniczna aktywacja.

Dane HA wydają się niekompletne

W środowiskach HA agent sFlow działa na Primary. Po failoverze należy sprawdzić, która zapora jest obecnie Primary, jaki adres IP jest używany jako adres IP agenta i czy Collector nadal poprawnie przypisuje dane.

Lista kontrolna operacyjna

  • Umieść Collectora w bezpiecznej sieci.
  • Udokumentuj właściciela, cel, dostęp i przechowywanie danych przepływu.
  • Sprawdź port UDP i routing do Collectora.
  • Zacznij od jednego lub kilku interfejsów.
  • Zbierz bazowe dane przed i po dla obciążenia interfejsu, CPU, opóźnienia i przepustowości.
  • Wybierz konserwatywnie Sampling Rate i dostosuj później.
  • Uwzględnij wpływ FastPath na krytyczne interfejsy.
  • Udokumentuj ścieżkę powrotną: system sflow off lub usuń monitorowany interfejs.
  • Przetestuj failover HA, jeśli sFlow jest używany w klastrze.
  • Porównaj dane przepływu z Log Viewer, Packet Capture i Reporting.
  • Regularnie sprawdzaj, czy dane są nadal analizowane, czy tylko zbierane bez użycia.

FAQ

Czym jest sFlow na Sophos Firewall?

sFlow to funkcja monitorowania, która pozwala Sophos Firewall wysyłać próbki danych ruchu i statystyki interfejsów do zewnętrznego Collectora. Pomaga to w analizie ruchu, planowaniu pojemności i monitorowaniu bezpieczeństwa.

Czy sFlow to to samo co Packet Capture?

Nie. Packet Capture pokazuje konkretne pakiety do celowej analizy. sFlow dostarcza próbki i statystyki dotyczące przepływów ruchu. Dla dopasowania reguł, błędów NAT lub pojedynczych połączeń Packet Capture pozostaje dokładniejszy.

Czy Sophos Firewall szyfruje dane sFlow?

Nie. Ruch sFlow z zapory do Collectora nie jest szyfrowany. Collector powinien być dostępny przez chronioną wewnętrzną sieć.

Dlaczego sFlow może wpływać na wydajność?

Gdy sFlow jest aktywowany na interfejsie, Sophos Firewall dezaktywuje FastPath na tym interfejsie. Dlatego sFlow powinien być świadomie testowany na mocno wykorzystywanych interfejsach i obserwować wydajność.

Ile Collectorów sFlow obsługuje Sophos Firewall?

Sophos Firewall obsługuje do pięciu Collectorów sFlow. Każdy Collector jest konfigurowany osobno za pomocą system sflow collector add.