Ip nbar protocol discovery что это

Обновлено: 05.05.2024

Распознавание сетевых приложений (англ. Network Based Application Recognition, NBAR).

Предварительные условия для средства NBAR

Перед настройкой NBAR необходимо активировать технологию Cisco Express Forwarding (CEF).

Средство NBAR включает два компонента: один отслеживает приложения сети, другой классифицирует трафик по протоколам.

Для отслеживания приложений сети необходимо включить средство распознавания протоколов.

И потом смотреть с разбивкой по протоколам, какой тип трафика преобладает:

show ip nbar protocol-discovery stats bit-rate top-n 10

Способность классифицировать трафик протокола с использованием NBAR и, далее, применять функцию QoS к
классифицированному трафику определяется конфигурацией средства Modular QoS CLI .

Структура Modular QoS CLI позволяет создавать политики управления трафиком и назначать эти политики интерфейсам.
Политика управления трафиком содержит класс трафика и включает одну или несколько функций QoS. Класс трафика используется для классификации трафика, в то время как функции QoS в политике трафика определяют способ обработки классифицированного трафика.

Конфигурация MQC включает следующие три шага:

Шаг 1 Определение класса трафика с помощью команды class-map .

Шаг 2 Создание политики трафика путем связывания класса трафика с одной или несколькими функциями QoS (используя
команду policy-map ).

Шаг 3 Подключение политики трафика к интерфейсу с помощью команды service-policy .

Шаг 1 Настройка класса трафика

Для определения класса трафика и критериев поиска соответствий, которые будут использованы для классификации трафика сети, подключенного к интерфейсу, необходимо сконфигурировать интерфейс. При использовании средства NBAR для классификации трафика будет введена команда match protocol в режиме конфигурации карты классов. Для конфигурирования интерфейса используется команда конфигурации class-map .

Шаг 2 Настройка политики трафика

Для определения политик качества обслуживания, например политики трафика, политики формирования, механизма организации и обработки очередей LLQ, маркировки на основе классов, взвешенного алгоритма равномерного обслуживания очередей на основе классов и других, необходимо использовать команду policy-map configuration для применения к классам трафика, определяемым классом трафика. Политика трафика не классифицирует и не перенаправляет трафик до тех пор, пока она не назначена интерфейсу.

Шаг 3 Назначение политики трафика интерфейсу

Политика трафика не активна до тех пор, пока она не назначена интерфейсу. Для назначения политики трафика интерфейсу и указания направления, по которому политика должна быть применена (к входящим или исходящим из интерфейса пакетам), необходимо выполнить следующее.

Администраторы сети E-Express Inc. намерены ввести в действие следующие политики 64-Кбит/с канала WAN:

Для того чтобы настроить вышеуказанные политики, необходимо выполнить следующие шаги:

Шаг 3 Классифицировать весь трафик аудио, видео и изображений:

Шаг 4 Создать политики:

Шаг 5 Подключить политики к каналу WAN:

Курс молодого бойца: защищаемся маршрутизатором. Продолжение: NBAR

На многих маршрутизаторах, даже в базовом IOS есть довольно удобная и наглядная цискина технология: Network-Based Application Recognition (NBAR). При помощи неё маршрутизатор может распознать различные протоколы и приложения и при необходимости использовать эти знания для реализации качества обслуживания (QoS)

Третий и четвертый алгоритм требует включения инспектирования протоколов (ip inspect), рассмотренные чуть ранее.

Инспектирование требует IOS c firewall feature set.

Включить технологию NBAR можно двумя способами:

1. Просто включить исследование всех известных протоколов.

2. Воспользоваться архитектурой MQC (Modular QoS CLI)

Создать класс трафика, указав необходимый протокол

Создать политику и указать для класса действие

Осталось привесить политику на интерфейс, чтобы её активировать

Например, повесим политику на вход интерфейса

Указание в классе трафика ключевых слов match protocol означает включение технологии NBAR.
Посмотреть статистику попаданий в класс можно посмотреть командой

Осталось только напомнить, что любой процесс анализа трафика производится процессором и изрядно его напрягает. По ссылке — статья с тестом производительности без примерения NBAR, с применением базовых и расширенных технологий анализа.

Результаты обработки трафика технологией NBAR можно собирать по SNMP и анализировать. С точки зрения защиты периметра, самое пристальное внимание надо уделять резкому возрастанию количества трафика по какому-нибудь протоколу. Это может свидетельствовать как о наличии в сети червей, так и о других проблемах, таких как ботнеты, спам-прокси и т.д.

Курс молодого бойца: защищаемся маршрутизатором. Продолжение: NBAR

Третий и четвертый алгоритм требует включения инспектирования протоколов (ip inspect), рассмотренные чуть ранее.

Инспектирование требует IOS c firewall feature set.

Включить технологию NBAR можно двумя способами:

1. Просто включить исследование всех известных протоколов.

2. Воспользоваться архитектурой MQC (Modular QoS CLI)

Создать класс трафика, указав необходимый протокол

Создать политику и указать для класса действие

Осталось привесить политику на интерфейс, чтобы её активировать

Например, повесим политику на вход интерфейса

А А Saturday, 3 April 2021

Мощное средство Cisco NBAR.

До недавних пор считалось что анализировать сеть с помощью NetFlow - это вполне современно и функционально. Действительно, анализизаторы NetFlow многими считаются полезными инструментами для мониторинга и анализа сетевого трафика. Анализаторы NetFlow позволяют вам определить те машины и устройства, которые негативно влияют на пропускную способность вашей сети, найти узкие места в вашей системе, а также, в конечном счете, повысить общую эффективность функционирования вашей сети.

Напомню как можно задействовать сбор данных в критических точках для обнаружения угроз в исходящем сетевом трафике через Cisco NetFlow.

Шаблон для NX-OS:

Но компания Cisco не остановилась на достигнутом и предложила более совершенный механизм NBAR. Распознавание сетевых приложений (Network Based Application Recognition, NBAR) - это предлагаемая компанией Cisco инструментальная возможность управления устройствами. С помощью NBAR осуществляется глубокий анализ пакетов, в результате которого собирается статистическая информации о трафике определенного приложения. Компания Cisco инвестировала большой объем средств в разработку NBAR нового поколения. Средство NBAR представляет собой механизм классификации, который распознает широкий диапазон приложений, включая протоколы WWW и другие сложно квалифицируемые протоколы, использующие динамическое назначение портов TCP/UDP. После того как приложение определено и классифицировано с помощью средства NBAR, сеть может запускать службы для данного приложения. Средство NBAR обеспечивает эффективное использование полосы пропускания за счет классификации пакетов и использования функции QoS для классифицированного трафика.

Ниже приводятся некоторые примеры функций QoS на базе классов, которые могут применяться к трафику после его классификации с помощью средства NBAR:

Информация о средствах, реализованных на основе классов и позволяющих перенаправлять трафик, классифицированный с помощью NBAR, приводится в описаниях отдельных модулей для конкретных средств, реализованных на основе классов, а также в Руководстве по решениям управления качеством обслуживания Cisco IOS.

Назначение функции качества обслуживания IP (Quality of Service, QoS) состоит в выделении приложениям необходимых ресурсов сети (полоса пропускания, задержка, джиттер и потеря пакетов). Функция QoS максимально увеличивает возврат инвестиций в сетевую инфраструктуру, гарантируя производительность критически важных приложений не ниже требуемой; при этом некритические приложения не оказывают на них негативного воздействия.

Развертывание функции IP QoS выполняется путем определения классов или категорий приложений. Эти классы определяются с использованием различных методов классификации, доступных в ПО Cisco IOS. После определения классов и их назначения интерфейсу к классифицированному трафику можно применить необходимые функции QoS (маркировка, управление перегрузками, избежание перегрузок, механизмы повышения эффективности каналов, создание политик, формирование трафика и пр.), для выделения соответствующих ресурсов определяемым классам.

По этой причине этап классификации траффика является важным шагом при конфигурировании функции QoS в сетевой инфраструктуре.

В средстве NBAR появилось несколько новых методов классификации, позволяющих классифицировать приложения и протоколы уровней с 4 по 7:

В средстве NBAR предусмотрена возможность классификации протоколов статических портов. Несмотря на то, что для этих целей могут использоваться и списки управления доступом (access control list, ACL), настройка средства NBAR значительно проще. Кроме того, NBAR обеспечивает статистику по классификации, недоступную при использовании списков ACL.

В NBAR входит средство распознавания протоколов (Protocol Discovery), которое представляет собой простой способ поиска протоколов приложений, работающих через определенный интерфейс. Средство распознавания протоколов позволяет идентифицировать трафик любого протокола, поддержка которого реализована в средстве NBAR. По каждому протоколу средство распознавания протоколов выполняет сбор следующих статистических данных для активированных интерфейсов: полное число входящих и исходящих пакетов и байтов, а также входящая и исходящая скорость передачи данных. Средство распознавания протоколов собирает важнейшие статистические данные по каждому протоколу в сети, который может быть использован для определения классов трафика и политик QoS для каждого класса трафика.

class-map match-all class-video

bandwidth percent 30

interface GigabitEthernet 0

service-policy output policy_video

Идентификация приложения по IP-адресу, типу протокола и номеру порта ACL L3+L4:

NBAR Protocol Discovery отличается тем что имеет:

- настройка сбора статистических данных о трафике для всех приложений, известных NBAR

- также используется для распознавания приложений

- распознавание протоколов приложений на интерфейсах и заполнение базы данных CISCO-NBAR-PROTOCOL-DISCOVERY-MIB

- поддержка как входящего, так и исходящего трафика.

count>][protocol protocol-name| top-n number>]

NBAR Modular QoS гарантирует эффективное использование пропускной способности сети при выполнении функций QoS:

- распознавание протоколов приложений на интерфейсах

- поддержка как входящего, так и исходящего трафика

- заполнение базы данных CISCO-CLASS-BASED-QOS-MIB

- счетчики до и после применения политики.

Контролируются только настроенные applications.

Карта классов class-map определяет идентифицируемый трафик.

Class-map (what is it used):

class-map match-any peer2peer

match protocol kazaa2

match protocol gnutella

match protocol fastrack

Карта политик policy-map определяет способ обработки трафика на основании карты классов class map.

Policy-map (how is it used):

bandwidth percent 10

Policy-map (where is it used):

service-policy input limit-p2p

ip nbar custom lunar_light 8 ascii Moonbeam tcp range 8000 8001

match protocol lunar_light

set ip dscp AF21

service-policy output astronomy

Используется для явной классификации на основании портов

- в системе NBAR приложения называются по умолчанию "custom-01", "custom-02" и т.д.

- совет: давать приложениям осмысленные имена

- имя будет появляться при распознавании протоколов и в экспорте NetFlow

Для проверки доступны только первые 255 байтов полезной нагрузки

- До 16 пользовательских приложений (121 в NBAR2)

- Специальные приложения на основе извлекаемых полей на данный момент отсутствуют (пример: URL, host т.д.)

Средство NBAR дает возможность определять и классифицировать трафик сети для протокола. Определение и классификация трафика представляет собой важнейший этап реализации функции QoS. Администратор сети имеет возможность более эффективно внедрять функцию QoS в структуру сети после определения количества приложений и протоколов, использующихся в работе сети. Средство NBAR дает возможность просматривать все протоколы, а также количество трафика, генерируемого каждым протоколом. После сбора данной информации пользователь получает возможность определять классы трафика. Эти классы затем могут быть использованы для назначения сетевому трафику различных уровней обслуживания, что позволяет улучшить управление сетью посредством назначения трафику необходимых сетевых ресурсов.

Курс молодого бойца cisco: защищаем периметр маршрутизатором

Не претендуя на полноту изложения, попробую описать технологии, которыми можно воспользоваться для защиты периметра.

Рассматривать будем IOS с firewall feature set. Этот набор возможностей, как правило, есть во всех IOSах (в которых есть шифрование), кроме самого базового.

Итак, пусть на границе нашей сети стоит машрутизатор cisco, который и призван обеспечивать безопасность наших внутренних ресурсов.

Защищаем трафик.

Первым делом имеет смысл порезать ненужный трафик самым простым и грубым способом — списками доступа.

Списки доступа (ACL, Access Control List) для протокола IP — на маршрутизаторах cisco бывают стандартные (проверяют только ip адрес источника и разрешают или запрещают прохождение трафика по этому параметру) и расширенные (проверяют адреса источника и назначения, протокол передачи, порты источника и назначения, а также другие поля заголовков IP, TCP, UDP и других протоколов).

Порядок строк в списке доступа очень важен, т.к. проверяются эти строки по порядку и как только будет найдено совпадение, пакет или будет пропущен или будет уничтожен

В конце любого ACL непременно стоит невидимое «запретить все», поэтому мимо ACL пакет не проскользнёт.

Списки доступа бывают нумерованные и поименованные. Рекомендую использовать поименованные со смысловыми названиями.

Примеры:
access-list 1 permit 192.168.1.0 0.0.0.255

access-list 101 permit ip any 192.168.1.0 0.0.0.255

ip access-list standard TEST
permit host 1.2.3.4

Сам по себе список доступа ничего не делает, пока не будет применен для какой либо технологии. Например, для фильтрации трафика на интерфейсе на вход или на выход ACL применяется командой

ip access-group <название ACL>

Традиционно рекомендуется на внешний интерфейс вешать так называемый антиспуфинговый ACL, т.е. предотвращающий атаки с подделанных адресов.

Пример:
ip access-list ex ANTISPOOFING
deny ip host 0.0.0.0 any
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip host 255.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
permit ip any any

Важно: с таким ACL надо быть очень осторожным в случае, если вы работаете с шифрованными туннелями IPSec. Дело в том, что ACL, висящий на вход интерфейса, проверяет сначала заголовок зашифрованного пакета, а потом — заголовок расшифрованного.

Поэтому запрет трафика от частных сетей (10, 172, 192) может нарушить работу туннеля.

Итак, порезали ненужный трафик. Пришло время заняться межсетевым экранированием. Надо обеспечить внутренних пользователей Интернетом, но при этом не пропустить снаружи внутрь несанкционированные подключения. Маршруизаторы cisco умеют быть межсетевыми экранами с сохранением сессий (stateful firewall).

Если у вас задачи простые, нет выделенных зон безопасности, нет анонса сервисов наружу, то проще всего воспользоваться базовым межсетевым экраном.

Для этого надо создать правило ip inspect, описать те протоколы, которые вы хотите обрабатывать и запоминать сессии, привесить это правило на интерфейс и… всё :) Маршрутизатор будет запоминать те сессии, которые были инициированы изнутри, и пропускать снаружи только те пакеты, которые «заказаны». Если же пришедший пакет не соответствует никакой сессии, то дальше маршрутизатор проверяет ACL, висящий на интерфейсе, на предмет наличия разрешающего правила для этого пакета.

ответного пакета TCP/UDP сессии. Например, протокол FTP имеет один служебный канал, по которому идёт согласование и аутентификация, а данные передаются совсем по другому каналу, причём сессия пытается инициироваться снаружи и маршрутизатор её не пропустит. А если включить инспектирование, маршрутизатор подслушает служебную сессию, узнает, на каких портах сервер и клиент договорились слать данные и эту сессию тоже поместит в список разрешенных.

Пусть f0/0 — внешний, а f0/1 — внутренний интерфейс

Правило вешается на вход внутреннего или выход внешнего интерфейса, т.е. в направлении на ВЫХОД трафика наружу.

На внешнем интерфейсе висит строгий ACL, который почти ничего не пропускает снаружи, например

Есть тонкость: ACL STRICT попутно запретит весь трафик на сам роутер, т.к. по умолчанию трафик роутера не попадает в инспектируемый. Чтобы инспектировать трафик маршрутизатора надо добавить

Если же задачи сложные, надо создавать различные зоны безопасности (демилитаризованные зоны, DMZ), гибко настраивать работу протоколов между этих зон, то лучше воспользоваться так называемым, зональным межсетевым экраном (zone-based firewall). Описывать его здесь не буду, ибо это уже не для молодого бойца :)

Чем ещё можно защитить трафик, проходящий через маршрутизатор?

системой предотвращения вторжений (IPS), промежуточной аутентификацией (cut-through proxy), оценкой протоколов (технология ip nbar), созданием очередей (QoS).

Eugeneer's Digital Cloud World - цифровой мир в облаках

Блог творческого ИТ-практика. Возьми свою мысль и дай ей ускорение идеи. В моем фокусе: сети, безопасность, виртуализация, web, мультимедиа.

Читайте также: