Имеется задача — найти альтернативу Netflow для L3-свитчей Cisco 3550, 3560 и им подобным.
На данный момент ведущая идея — port mirroring + Capsa.
Есть какое-то более удачное решение?
Смотря какой анализ нужен. Если фиксировать наличие заранее известных пакетов, то можно разрешающий ACL повесить (если заранее известно, что пакетов очень мало, то можно даже попробовать со словом «log», но лучше без этого).
Уточню — хочется знать сколько и какой именно траффик ходит через внешний порт. Откуда он ходит и куда. Опять-таки — аналог netflow, которого на этом оборудовании нет. Как пример — несколько дней назад девайс атаковали, «стукнули» несколькими сотнями мегабит в секунду. Очень хотелось бы знать что это был за траффик и откуда он шёл.
Если б у меня был другой девайс в сети, с которого можно собрать netflow — я б это уже сделал :)
Относительно сторонних систем — можете посоветовать что нибудь? Желательно что-нибудь с централизованным управлением.
Наверное, можно сразу в сторону IDS/IPS посмотреть. Например, Snort или нечто на базе него. При правильной настройке он сам будет сообщать об атаках — как DDoS, так и всяких эксплоитах.
Не столько нужен именно IDS/IPS. Требуется просто что-то что может нормально просниффить траффик и пропарсить его по разным параметрам. Атака была только одним из примеров :) Так же, например, хочется знать как лучше балансировать трафик идущий на нескольких провайдеров с помощью BGP, а для этого нужно знать профиль того что входит и выходит из POP-a.
IDS как раз такая штука, в которой можно весьма гибко настраивать правила парсинга. Всякие надстройки над снортом еще и красивые графики умеют рисовать.
SPAN — довольно ресурсоемкая штука, уж на случай атаки не годится вовсе.
Можно поставить специализированное TAP-устройство (пример) и лить копию трафика на любой трафик-анализатор (у того же Fluke тоже есть и софтовые и программно-аппаратные анализаторы трафика, вплоть до уровня приложений) или на любую систему NBA (network behavior analysis).
Средний