Monitoraggio

NethSecurity offre funzionalità di monitoraggio complete per aiutare gli amministratori a tenere traccia delle prestazioni e dello stato di salute del firewall. Il monitoraggio è essenziale per garantire il funzionamento ottimale del firewall e individuare eventuali problemi che potrebbero comprometterne la funzionalità.

NethSecurity offre due tipi di monitoraggio:

• Monitoraggio in tempo reale: sfrutta Netdata, Netify agent e i log per fornire informazioni immediate sulle prestazioni del firewall. Legge i dati dai log e dai database locali, memorizzando le metriche nella RAM. Si noti che queste metriche vengono azzerate a ogni riavvio, garantendo che vengano visualizzati solo i dati più recenti.

• Monitoraggio storico: per una visione più completa nel tempo, il monitoraggio storico memorizza i dati su un controller remoto. Questo consente di preservare le metriche anche dopo i riavvii e permette un monitoraggio centralizzato. Si noti che questa funzionalità richiede un abbonamento valido sia sul firewall che sul controller.

Monitoraggio in tempo reale

Il monitoraggio in tempo reale è una funzionalità essenziale nei moderni sistemi firewall, che consente agli amministratori di avere una visibilità immediata sul traffico di rete, sulle connessioni VPN e sulle minacce alla sicurezza. In NethSecurity, il monitoraggio in tempo reale fornisce dati aggiornati in tempo reale, garantendo che problematiche come congestione della rete, accessi non autorizzati e violazioni della sicurezza vengano individuate e mitigate tempestivamente. Il monitoraggio in tempo reale memorizza i dati in RAM e si azzera a ogni riavvio della macchina.

La pagina Monitor in tempo reale fornisce una panoramica completa delle prestazioni e dello stato del firewall, con approfondimenti dettagliati sul traffico di rete. È suddivisa in quattro sezioni principali: Traffico, Live Flows, Top Talkers, Connettività WAN, VPN e Sicurezza.

Traffico giornaliero

Il grafico sottostante legge i dati dal demone dpireport:

• Traffico totale giornaliero: questo contatore mostra il volume totale di dati trasferiti attraverso il firewall per la giornata corrente.

• Traffico recente: l’istogramma del traffico giornaliero rappresenta visivamente il traffico di rete nel tempo, aggiornato ogni 60 minuti. Aiuta a identificare i periodi di maggiore attività e ad analizzare le fluttuazioni del traffico durante la giornata. Picchi improvvisi o cali potrebbero indicare potenziali problemi di prestazioni o minacce alla sicurezza.

• Host locali: questo grafico si concentra sugli host interni (locali) e sul loro traffico. Aiuta a identificare i dispositivi più attivi sulla rete, facilitando la gestione della larghezza di banda e il rilevamento di potenziali rischi di sicurezza interni, come dispositivi compromessi che generano traffico inatteso.

• Applicazioni: questo grafico mostra il traffico suddiviso per applicazione, consentendo di monitorare quali software o servizi stanno generando la maggior parte del traffico. È utile per comprendere il comportamento delle applicazioni, rilevare i maggiori consumatori di banda e monitorare la conformità alle policy di utilizzo.

• Host remoti: questo grafico elenca gli host esterni (remoti) che hanno scambiato la maggior quantità di dati con la rete. Analizzando questi dati, gli amministratori possono monitorare le interazioni con specifiche entità esterne, aiutando a rilevare fonti esterne malevole o modelli insoliti di traffico in uscita.

• Protocollo: questo grafico mostra la ripartizione del traffico giornaliero per protocollo (ad esempio, HTTP, HTTPS, FTP). È utile per identificare quali protocolli stanno consumando la maggior parte della banda e per assicurarsi che le risorse di rete vengano utilizzate in modo appropriato. Un utilizzo elevato di protocolli non familiari può indicare attività non autorizzate.

È possibile restringere la ricerca a un host, un’applicazione o un protocollo specifico facendo clic sull’etichetta corrispondente nella tabella sotto il grafico.

Flussi in tempo reale

La sezione Live Flows fornisce una visualizzazione in tempo reale di tutte le connessioni di rete attive, consentendo agli amministratori di monitorare il traffico mentre si verifica. Questa sezione viene visualizzata in formato tabellare, con ogni riga che rappresenta un singolo flow. La tabella include le seguenti informazioni per ciascuna connessione:

• Applicazione: l’applicazione rilevata che genera il traffico.

• Protocollo: il protocollo di rete utilizzato per il flusso (ad esempio TCP, UDP, HTTP).

• Tag: eventuali tag rilevanti assegnati al flusso per la classificazione (ad es. Outgoing, Remote, Internal)

• Sorgente: la sorgente della connessione, che mostra tipicamente l’indirizzo IP e la porta del dispositivo che ha iniziato la connessione.

• Destinazione: la destinazione della connessione, che mostra tipicamente l’hostname o l’indirizzo IP e la porta del dispositivo di destinazione.

• Scarica: la velocità attuale di trasferimento in download del flusso, che indica la rapidità con cui i dati vengono ricevuti.

• Upload: la velocità attuale di trasferimento in upload del flusso, che indica la rapidità con cui i dati vengono inviati.

• Durata: il tempo totale durante il quale il flusso è stato attivo dalla sua prima rilevazione. Questo aiuta a comprendere per quanto tempo una determinata connessione è stata mantenuta.

• Last Seen At: il timestamp dell’attività più recente per il flow; questo indica quando il flow ha trasmesso o ricevuto dati l’ultima volta, aiutando a identificare connessioni inattive o inattive.

• Dettagli: l’icona della lente d’ingrandimento con un segno più; facendo clic su questa icona si apre una vista dettagliata del flow, che mostra tutte le informazioni disponibili, inclusi i dati non visualizzati direttamente nella tabella principale. Questo consente agli amministratori di accedere a tutti i metadati del flow per un’analisi più approfondita o per la risoluzione dei problemi.

Questa tabella in tempo reale consente agli operatori di identificare rapidamente gli utenti intensivi, monitorare il comportamento delle applicazioni e risolvere i problemi di rete man mano che si verificano.

Configurazione

La sezione Live Flows include anche opzioni di configurazione per gestire il comportamento del servizio di monitoraggio dei flussi:

• Flows Daemon Enabled: un interruttore per abilitare o disabilitare il servizio di monitoraggio dei flussi in tempo reale; disattivando il daemon si interrompe la raccolta dei dati di flusso in tempo reale.

• Persistenza dei Flussi dopo la Scadenza: un’impostazione che determina per quanto tempo i record dei flussi vengono conservati dopo che il flusso è terminato; questo consente agli amministratori di regolare la conservazione dei dati in base alle esigenze di monitoraggio e alla disponibilità di spazio di archiviazione.

Principali interlocutori

Lo scopo principale della sezione Top Talkers è fornire una panoramica iniziale sull’utilizzo della banda, identificando rapidamente i principali “contributori” al traffico di rete. Queste informazioni possono servire come punto di partenza per analisi più approfondite, attività di troubleshooting o per il monitoraggio generale dell’efficienza della rete.

La sezione Top Talkers visualizza i dati di traffico aggiornati ogni 30 secondi, offrendo una panoramica rapida e aggiornata su quali entità stanno generando il maggior traffico di rete. È suddivisa in tre categorie:

• Host locali: elenca tutti gli host locali rilevati e il loro stato attuale del traffico, ordinati per volume di traffico. Questo permette di identificare rapidamente quali dispositivi stanno utilizzando più banda, senza distinguere il tipo di connessione o il protocollo.

• Applicazioni: mostra tutte le applicazioni rilevate e il loro traffico attuale, ordinate per volume. Questa vista aiuta a comprendere quali servizi o applicazioni stanno consumando la maggior parte delle risorse di rete, indipendentemente dal dispositivo su cui sono in esecuzione.

• Protocolli: elenca tutti i protocolli rilevati e il loro traffico attuale, ordinati per volume. Questo fornisce una visione immediata su quali tipi di traffico (ad esempio, HTTP, DNS, SMTP) stanno dominando la rete, senza considerare quale host o applicazione li stia generando.

Collegamenti uplink WAN

La sezione degli uplink WAN fornisce una panoramica delle connessioni WAN, inclusi stato, allocazione della larghezza di banda e dati sul traffico.

Questa pagina mostra le seguenti informazioni:

• WAN: elenco delle connessioni WAN con il loro stato attuale (UP/DOWN) e l’indirizzo IP pubblico. Le informazioni sullo stato aiutano a garantire che le connessioni di rete critiche siano online e che eventuali interruzioni vengano affrontate immediatamente. I dati provengono dallo stato mwan3 del firewall.

• Eventi WAN: questa sezione elenca i recenti eventi di connessione e disconnessione WAN delle ultime 24 ore, fornendo informazioni sulla stabilità della rete e sulle interruzioni. Aiuta gli amministratori a comprendere la frequenza e la durata delle interruzioni di rete, facilitando la risoluzione dei problemi e la pianificazione della capacità. I dati vengono recuperati dai log delle ultime 24 ore. Se i log non coprono l’intero periodo di 24 ore, i dati potrebbero essere incompleti. I risultati vengono memorizzati nella cache per 5 minuti.

• Traffico interfaccia WAN: questo istogramma mostra i dati di traffico per ciascuna connessione WAN negli ultimi 60 minuti, provenienti da Netdata. Aiuta a monitorare le prestazioni in tempo reale e a diagnosticare problemi come il bilanciamento del carico non uniforme o la saturazione del collegamento WAN.

• Latenza verso <indirizzo>: questa sezione fornisce dati in tempo reale sulla latenza per un indirizzo IP specifico configurato all’interno del modulo Monitoraggio latenza del ping. Il grafico aiuta a monitorare le prestazioni della rete e a identificare potenziali problemi di connettività.

• Tasso di consegna dei pacchetti verso <indirizzo>: questa sezione fornisce dati in tempo reale sul tasso di consegna dei pacchetti per un indirizzo IP specifico configurato all’interno del modulo Monitoraggio latenza del ping. Se il tasso è inferiore al 100%, ciò potrebbe indicare congestione di rete o problemi di connettività.

VPN

La sezione VPN fornisce approfondimenti dettagliati sui server OpenVPN Road Warrior, sui tunnel OpenVPN e sui tunnel IPsec.

Per ogni server OpenVPN Road Warrior, vengono visualizzate le seguenti informazioni:

• Stato: questa sezione mostra lo stato attuale del server OpenVPN. Aiuta gli amministratori a monitorare la disponibilità del servizio VPN e a rilevare eventuali problemi che potrebbero influire sulla connettività degli utenti.

• Client connessi: questo visualizza il numero totale di utenti attualmente registrati sul server VPN. Monitorare gli utenti registrati è fondamentale per garantire una corretta pianificazione della capacità e le prestazioni della VPN, soprattutto quando il sistema si avvicina al limite massimo di utilizzo.

• Traffico totale per ore: questo grafico mostra il totale dei dati trasferiti da tutti i client VPN durante ciascuna ora, fornendo una panoramica dell’utilizzo della banda VPN. Aiuta a monitorare la quantità di traffico di rete generato dalla VPN e a identificare le ore di maggiore utilizzo, che potrebbero causare problemi di prestazioni.

• Connessioni giornaliere: questa sezione elenca tutti gli utenti VPN attualmente connessi e l’orario in cui si sono collegati. È utile per monitorare la durata delle sessioni e rilevare eventuali usi impropri della VPN, come connessioni che durano insolitamente a lungo. I dati provengono dal database locale delle connessioni SQLite.

• Clienti collegati per ora: questo grafico mostra il numero di client connessi alla VPN nel tempo. Consente agli amministratori di monitorare l’attività della VPN durante la giornata, aiutando a identificare i periodi di picco e a pianificare un aumento della capacità quando necessario. I dati provengono dal database locale delle connessioni SQLite.

• Traffico cliente per ora: questo grafico suddivide il traffico VPN per singolo client nel tempo. Aiuta a rilevare utenti che potrebbero consumare una quantità eccessiva di banda o svolgere attività non autorizzate, facilitando l’identificazione di potenziali minacce interne. I dati provengono dal database locale delle connessioni SQLite.

La sezione Site-to-Site VPN fornisce informazioni su tunnel OpenVPN e IPsec:

• Tunnel connessi: questo contatore mostra il numero di tunnel VPN site-to-site attivi.

• Tunnel configurati: questo contatore mostra l’elenco di tutti i tunnel VPN site-to-site configurati, inclusi il loro stato e il tipo.

• Traffico tunnel: questo istogramma fornisce dati sul traffico in tempo reale per ciascun tunnel VPN site-to-site negli ultimi 60 minuti. Aiuta a rilevare problemi come bassa velocità di trasferimento o instabilità della connessione.

Sicurezza

La sezione sicurezza fornisce informazioni sulla rilevazione di malware e sul monitoraggio degli attacchi, aiutando gli amministratori a identificare e mitigare le minacce alla sicurezza. Per abilitare questa sezione, è necessario abilitare il modulo Threat shield IP. I dati provengono dai log relativi alle ultime 24 ore. Se i log non coprono l’intero periodo di 24 ore, i dati potrebbero essere incompleti. I risultati vengono memorizzati nella cache per 5 minuti per migliorare le prestazioni.

La sezione Blocklist fornisce una panoramica dei pacchetti bloccati in base alle blocklist abilitate. I grafici disponibili sono:

• Minacce bloccate: questo contatore mostra il numero totale di pacchetti bloccati dal firewall a causa del rilevamento di malware per la giornata corrente. Fornisce una panoramica chiara del volume delle minacce intercettate, offrendo agli amministratori una misura dell’efficacia del firewall.

• Minacce bloccate per ora: questo grafico tiene traccia del numero di pacchetti bloccati ogni ora. Aiuta a identificare i momenti della giornata in cui la rete è più vulnerabile agli attacchi, facilitando l’adozione di misure preventive.

• Minacce per direzione: un grafico che mostra la distribuzione del malware bloccato per catena del firewall. A seconda dell’opzione di registrazione abilitata, il firewall può registrare i pacchetti provenienti dalle seguenti catene:

  • inp-wan: pacchetti provenienti dall’interfaccia WAN e destinati al firewall

  • fwd-wan: pacchetti provenienti dall’interfaccia WAN e destinati alla rete LAN

  • fwd-lan: pacchetti provenienti dalla rete LAN e destinati all’interfaccia WAN

  • pre-ct: invio in flooding dei pacchetti che si trovano in stato non valido

  • pre-syn: invio massiccio di pacchetti che fanno parte di una connessione TCP e si trovano nello stato SYN

  • pre-udp: invio massiccio di pacchetti che fanno parte di una connessione UDP

• Minacce per categoria: un grafico che suddivide il malware bloccato per categoria, aiutando gli amministratori a individuare le blocklist più efficaci.

La sezione Attacchi brute force fornisce informazioni sul numero di IP bloccati in base al numero di tentativi di accesso non riusciti. I dati provengono dai log relativi alle ultime 24 ore. Se i log non coprono l’intero periodo di 24 ore, i dati potrebbero essere incompleti. I risultati vengono memorizzati nella cache per 5 minuti per migliorare le prestazioni. I grafici disponibili sono:

• Indirizzi IP Bloccati: questo contatore mostra il numero totale di indirizzi IP bloccati a causa di attività dannose per la giornata corrente. Aiuta a monitorare il volume dei tentativi di intrusione.

• Indirizzi IP bloccati per ora: questo grafico tiene traccia del numero di indirizzi IP bloccati nel tempo, aiutando a identificare i periodi di maggiore attività di attacco.

• Indirizzo IP bloccato più frequentemente: questo carattere mostra gli indirizzi IP che sono stati bloccati più frequentemente. È utile per identificare minacce persistenti o fonti di attacco che dovrebbero essere investigate o inserite in blacklist.

Netdata

NethSecurity utilizza Netdata come strumento di monitoraggio in tempo reale. Netdata è uno strumento open-source per il monitoraggio delle prestazioni e la risoluzione dei problemi di sistemi e applicazioni in tempo reale. Fornisce approfondimenti completi sulle prestazioni e sullo stato di salute di sistemi e applicazioni tramite visualizzazioni e metriche dettagliate. Netdata è progettato per essere leggero, veloce e facile da usare.

Netdata è abilitato di default su NethSecurity ed è accessibile dalla rete LAN. Per accedervi, andare alla pagina Monitoraggio e fare clic sul pulsante Apri report dalla scheda Report in tempo reale.

Le metriche di Netdata vengono salvate in RAM e saranno azzerate a ogni riavvio della macchina. Se il firewall è connesso al controller remoto, le metriche verranno memorizzate direttamente sul controller e saranno preservate anche dopo i riavvii.

Monitoraggio latenza del ping

Configurare lo strumento di monitoraggio per valutare il tempo di andata e ritorno (round-trip time) e la perdita di pacchetti trasmettendo messaggi ping agli host di rete. Questo strumento viene utilizzato per monitorare la qualità della connettività di rete. È possibile includere uno o più host da monitorare ed è anche possibile aggiungere indirizzi IP all’interno di una VPN per valutare la qualità del tunnel.

Per monitorare un nuovo host o indirizzo IP, fare clic sul pulsante Aggiungi host e inserire le informazioni richieste, quindi fare clic sul pulsante Salva per confermare le modifiche.

Le modifiche vengono applicate immediatamente. Per rimuovere un host dall’elenco, fare clic sull’icona di eliminazione.

È possibile visualizzare un grafico della latenza del ping accedendo a Netdata dalla pagina del report.

Storico monitoraggio

Subscription richiesta

Questa funzionalità è disponibile solo se il firewall e il controller dispongono di una subscription valida.

Se l’unità è stata collegata al controller prima che la subscription fosse attiva, lo storico del monitoraggio non verrà abilitato automaticamente. La pagina Controller mostrerà un messaggio che indica che il monitoraggio storico è disabilitato.

Per abilitarlo, seguire questi passaggi:

1. Disconnettere l’unità dal controller.

2. Assicurarsi che il NethServer 8 su cui è installato il controller disponga di una subscription valida.

3. Ricollegare l’unità al controller.

Consultare controller metrics per ulteriori informazioni.

Allarmi

Il sistema di allarmi sfrutta la potenza del motore Netdata per un monitoraggio e una segnalazione efficienti.

Il sistema di allarmi dà priorità solo a quegli allarmi che hanno il potenziale di interrompere o compromettere la funzionalità del firewall. Concentrandosi su indicatori critici, gli amministratori possono affrontare in modo efficiente i problemi che rappresentano una reale minaccia per la sicurezza e il funzionamento del firewall.

Se il server dispone di una Subscription valida, le notifiche di allerta vengono inviate automaticamente ai server remoti per il monitoraggio e la gestione centralizzata. Sia my.nethesis.it che my.nethserver.com fungono da hub centrali per la ricezione degli avvisi, consentendo agli amministratori di rimanere informati sullo stato del firewall e di rispondere tempestivamente a eventuali situazioni critiche.

Allarmi implementati:

• Spazio su disco: l’avviso relativo allo spazio su disco viene attivato quando lo spazio disponibile sul disco del sistema raggiunge un livello critico. Questa notifica proattiva aiuta a prevenire potenziali interruzioni affrontando i problemi di spazio su disco prima che possano influire sul funzionamento del firewall.

• Stato MultiWAN (Attivo/Non attivo): questo avviso notifica agli amministratori quando ci sono cambiamenti nello stato del MultiWAN, indicando se le connessioni sono attive o non attive. Una consapevolezza tempestiva dei cambiamenti di stato del MultiWAN è fondamentale per mantenere una connettività Internet continua e affidabile.