AnmerkungBeispiel 8
Ziel
Sie sind Administrator eines grossen Internet Service Providers (ISP). Sie haben
eine 10Mbit Gatewayverbindung, ungefähr 200 Kunden (sagen wir mal, diese
benutzen die IP Adressen 192.168.0.0/24) und 5000-10000 aktive Verbindungen.
Sie möchten nun alle Pakete zwischen dem Internet und ihren Kunden aufzeichnen.
Was ist die beste Lösung?
Vorgehensweise
In diesem Szenario wäre es sehr mühsam, für jeden Benutzer einen
eigenen Filter zu erstellen. Der vernünftigste Weg ist einen Filter zu
erstellen, der den Traffic zwischen "ihren Kunden" und dem "WAN"
erfasst und das Paket Logging aktiviert:
| Filter 1. Internettraffic aller User | ||||||||
| N Regel |
IP Protokoll |
Ursprung Adresse |
Ursprung Port |
Ziel Adresse |
Ziel Port |
Beide Richtungen |
Aktion | Sonstiges |
| 1 | Jedes | 192.168.0.0/24 | IP Adressen des WAN | Ja | Zählen | |||
Anmerkung
Aufgrund der Tatsache das der Paketsammler über eine Grösse von 2000 Positionen verfügt, besteht die Möglichkeit, dass bei einer so grossen Anzahl von gleichzeitigen Verbindungen ein Overflow entsteht. Dies würde bedeuten, dass nicht alle erfassten Pakete auch aufgezeichnet würden. Um dieses Problem zu umgehen, sollten Sie die Frequenz mit der der Paketsammler geleert wird auf 10 Sekunden oder weniger verringern oder eine Art "Load Balancing" für den Paketsammler erstellen. Dies erreicht man dadurch, das man das IP Netz in mehrere logische (nicht physikalische) Netze zerlegt und die Paketaufzeichnung für jedes dieser "logischen" Netzwerke aktiviert. Somit erreicht man quasi eine Vermehrfachung der zur Verfügung stehenden Positionen:
| Filter 1. Traffic des logischen Netzes 192.168.0.0/26 | ||||||||
| N Regel |
IP Protokoll |
Ursprung Adresse |
Ursprung Port |
Ziel Adresse |
Ziel Port |
Beide Richtungen |
Aktion | Sonstiges |
| 1 | Any | 192.168.0.0/26 | IP Adressen des WAN | Ja | Zählen | |||
| Filter 2. Traffic des logischen Netzes 192.168.0.64/26 | ||||||||
| N Regel |
IP Protokoll |
Ursprung Adresse |
Ursprung Port |
Ziel Adresse |
Ziel Port |
Beide Richtungen |
Aktion | Sonstiges |
| 2 | Any | 192.168.0.64/26 | IP Adressen des WAN | Ja | Zählen | |||
| Filter 3. Traffic des logischen Netzes 192.168.0.128/26 | ||||||||
| N Regel |
IP Protokoll |
Ursprung Adresse |
Ursprung Port |
Ziel Adresse |
Ziel Port |
Beide Richtungen |
Aktion | Sonstiges |
| 3 | Any | 192.168.0.128/26 | IP Adressen des WAN | Ja | Zählen | |||
| Filter 4. Traffic des logischen Netzes 192.168.0.192/26 | ||||||||
| N Regel |
IP Protokoll |
Ursprung Adresse |
Ursprung Port |
Ziel Adresse |
Ziel Port |
Beide Richtungen |
Aktion | Sonstiges |
| 4 | Any | 192.168.0.192/26 | IP Adressen des WAN | Ja | Zählen | |||
Wenn Sie weiterhin die Nachricht "Packet Collector is full" für einen der Filter erhalten, können Sie das Netz in noch kleinere logische Netze unterteilen (z.B. /28).
Kann man die Grösse des Paketsammlers nicht beliebig vergrössern?
Doch. Aber dies wird nicht viel nützen. Um das Paket in den Paketsammler zu schreiben, muss eine freie Position gefunden werden. Je mehr Positionen vorhanden sind, desto mehr CPU Zyklen braucht die Suche danach.