Cистема сбора и хранения статистики трансляций сетевых адресов

БЕСПЛАТНЫЙ аудит информационной безопасности
  • 1. Общая информация о решении STAT NAT
  • 2. Архитектура решения STAT NAT
  • 3. Алгоритм работы с системой STAT NAT
left right

STAT NAT представляет собой надстройку над программно-аппаратным комплексом, реализующим функции трансляции сетевых адресов (NAT), и предназначена для сбора статистики о зафиксированных трансляциях сетевых адресов. STAT NAT позволяет формировать выборки о трансляциях сетевых адресов по заданным параметрам для последующего анализа.

STAT NAT предназначен для интернет провайдеров, использующих или планирующих использовать в своей инфраструктуре NAT (трансляторы сетевых адресов). Система STAT NAT не требует дополнительного программного обеспечения и обучения пользователей, а для работы с ней достаточно любого современного интернет-браузера.

Основная задача системы STAT NAT - параметрическая выборка информации о зафиксированных трансляциях сетевых адресов. Пользователь через веб-интерфейс отправляет запрос, в ответ на который получает файл в формате csv, содержащий все записи о трансляциях, удовлетворяющие параметрам запроса.

Для упрощения встраивания системы STAT NAT в существующую структуру контроля и мониторинга, система предоставляет минимальный и достаточный набор функций посредством Web-API. Функции предоставляются посредством запросов-ответов по протоколу http.

2.1. Архитектура решения

Система STAT NAT состоит из нескольких модулей:

  • Коллектор. Предназначен для сбора с оборудования NAT информации о трансляциях сетевых адресов в формате NetFlow в соответствии с настраиваемыми шаблонами;
  • Распределенная база данных. Обеспечивает хранение информации о трансляциях сетевых адресов. Количество БД зависит от требуемых параметров производительности системы (количество NAT шлюзов, требуемое время хранения);
  • Серверная компонента. Осуществляет управление запросами пользователей (менеджер запросов) – распараллеливает запросы, создаёт и контролирует очередь запросов;
  • Служебная база данных веб-интерфейса (в составе веб-сервера). Обеспечивает хранение информации о пользователях, сетях и запросах;
  • Веб-интерфейс (в составе веб-сервера). Позволяет отправлять запросы, получать и просматривать их результаты, предоставляет справочную информацию о сетях и пользователях системы.

2.2. Интеграция системы STAT NAT в существующую сеть

Для экспорта данных с устройств, выполняющих функцию трансляции сетевых адресов (NAT) используется протокол NetFlow v9. Поддерживаются следующие устройства:

  • Cisco ASR 1000
  • Cisco CRS c модулями CGSE-PLIM

Коллектор должен быть доступен с маршрутизаторов, выполняющих NAT. Для транспорта сообщений протокола Netflow v9 используется протокол UDP, порт 9955. При необходимости, коллектор и устройство, выполняющее экспорт таблицы трансляций, могут быть настроены на использование другого UDP порта.

Ниже приведена схема интеграции коллектора в сеть.

Работать с веб-интерфейсом системы STAT NAT можно при помощи любого современного интернет-браузера без установки какого-либо дополнительного ПО (в том числе плагинов и фреймворков).

Работа со всеми разделами веб-интерфейса системы включает в себя несколько блоков.

1. Авторизация

Доступ в систему разрешён только авторизованным пользователям. Для входа пользователю необходимо ввести предоставленный администратором системы логин и пароль. Пароль можно позднее изменить в настройках профиля пользователя.

2. Настройки профиля пользователя

Каждый пользователь системы STAT NAT, по умолчанию, обладает небольшим набором настроек запроса, изменить которые можно в разделе «Настройки». В данном разделе для изменения пользователю доступны следующие настройки профиля:

  • Пароль пользователя;
  • диапазон выборки (в минутах) – если в запросе пользователь заполнит лишь поле [Время с], то выборка автоматически произведётся в указанном здесь диапазоне;
  • максимальное количество строк в ответе – при желании пользователь может ограничить размер итогового файла выборки эти количеством строк.

3. Формирование запроса

После авторизации пользователь попадает на страницу отправки запроса. Именно здесь происходит настройка и отправка запроса на выборку данных из логов оборудования NAT. При формировании запроса на выборку данных, пользователю доступны следующие параметры:

  • Время с – обязательный параметр. Обозначает начало временного промежутка, трансляции за который интересуют пользователя. Значение должно соответствовать приведённому в качестве примера шаблону даты.
  • Время по – окончание временного промежутка, трансляции за который интересуют пользователя. Если этот параметр не указан, временной промежуток выборки устанавливается в границах ±10 минут от времени, указанного в поле [Время с]. Этот диапазон по умолчанию каждый пользователь может поменять в настройках своего профиля. Значение должно соответствовать приведённому в качестве примера шаблону даты.
  • Внутренний IP:[порт] – IP-адрес и порт абонента в пределах внутренней сети. Значение ip-адреса должно соответствовать шаблону, поле [порт] принимает только цифровые значения.
  • Внешний IP:[порт] – транслированные IP-адрес и порт абонента (присвоенные NAT). Значение ip-адреса должно соответствовать шаблону, поле [порт] принимает только цифровые значения.
  • IP назначения:[порт] – IP-адрес и порт удаленного сервера, которому адресуется запрос пользователя. Значение ip-адреса должно соответствовать шаблону, поле [порт] принимает только цифровые значения.
  • Приоритет – «Нормальный» или «Высокий». Запросы с приоритетом «Высокий» в очереди запросов исполняются раньше прочих. Если есть несколько запросов с высоким приоритетом, их очерёдность определяется временем создания запроса.

Среди параметров запроса, только параметр [Время с] является обязательным, прочие параметры могут использоваться в любом сочетании.

В подвале страницы формирования запроса приведена справочная информация о сетях, используемых оборудованием NAT. Данная информация о сетях носит вспомогательный характер и помогает определить, какая сеть в какой промежуток дат использовалась, что позволяет сузить диапазон выборки и, как следствие, сократить время поиска.

Указав все желаемые параметры выборки после нажатия кнопки «Отправить запрос» пользователь передает запрос на страницу информации о запросе.

4. Отправка запроса

Для отправки запроса на выборку формируется http-request со следующими параметрами:

  • action=send – параметр, указывающий, что это запрос на отправку
  • user - логин пользователя, от имени которого выполняется запрос.
  • psw - пароль пользователя, от имени которого выполняется запрос.
  • datetime_from - время начала выборки в формате yyyy-MM-dd hh:mm:ss. Обязательный параметр. Вместо пробела используйте символ "плюс" (+).
  • datetime_to - время конца выборки в формате yyyy-MM-dd hh:mm:ss. Если параметр datetime_to не задан, то автоматически осуществляется выборка в заданном настройками пользователя диапазоне по умолчанию от времени datetime_from. Вместо пробела используйте символ "плюс" (+).
  • src - Исходный IP-адрес источника, например 192.168.1.42.
  • srcXlated - транслирвованный IP-адрес, например 192.168.1.42.
  • srcPort - порт источника, например 4792.
  • srcPortXlated - транслированный порт, например 4792.
  • dst - IP-адрес назначения, например 192.168.1.42.
  • dstPort - порт назначения, 7613.
  • priority - приоритет запроса (0 - обычный, 1 - высокий).
  • distinct - агрегация по одному из адресов (no - без агрегации, src - по внутреннему адресу, srcXlated - по внешнему адресу, dst - по адресу назначения).

Для отправки, в запросе должен быть указан хотя бы один IP-адрес. Возвращаемое значение: уникальный идентификатор запроса (целочисленное целое значение) или сообщение об ошибке.

5. Результат запроса

Страница информации о запросе содержит все указанные пользователем параметры запроса, а также дату его создания и информацию о состоянии и результатах выполнения запроса.

Здесь же на этой странице пользователь может скачать себе на компьютер файл с результатом выполнения запроса. Файл в формате csv имеет следующую структуру полей:

  • datetime – дата и время трансляции адреса оборудованием NAT;
  • ip – IP-адрес абонента в пределах внутренней сети;
  • ipXlated – транслированный IP-адрес абонента;
  • port - порт абонента в пределах внутренней сети;
  • portXlated – транслированный порт абонента;
  • dstIp – IP-адрес удаленного сервера;
  • dstPort - порт удаленного сервера.

Запросы пользователя и их результаты могут храниться в системе неограниченное количество времени. Просмотреть список своих запросов пользователь может на странице «История». При этом, пользователь без прав администратора может видеть только свои запросы. Пользователь с правами администратора (роль «Администратор») может видеть запросы все пользователей, зарегистрированные системой.

6. Работа с сетями

Справочную информацию о сетях, представленную на странице формирования запроса, можно просматривать в разделе «Сети». Раздел доступен пользователям с ролями «Модератор» и «Администратор». Также в данном разделе пользователю доступна функция создания, редактирования и удаления диапазонов IP-адресов.

Список сетей в данном разделе носит исключительно характер справочной информации и никак не связан с работой оборудования NAT. Актульность списка должна поддерживаться обладающим соответствующей информацией сотрудником с ролью «Модератор». Основная функция этого списка сетей - помощь в составлении более «точных» запросов при выборке по транслированному IP-адрес.

7. Управление пользователями

Список пользователей системы можно найти в разделе «Пользователи». Для предотвращения несанкционированного доступа в систему, данный раздел доступен только пользователям в роли «Администратор».

Здесь администратор может создавать, удалять и редактировать пользователей системы STAT NAT.