Cosa server per usare Fl0wer?
Fl0wer è una piattaforma normalmente pacchettizzata per sistemi di tipo Linux. Sono supportate le seguenti distribuzioni:
- RHEL 7 / CentOS 7
- RHEL 8 / CentOS 8
- RHEL 9 / CentOS Stream
- Debian 8 e derivate
- Debian 9 e derivate
- Debian 10 e derivate
- Debian 11 / *Ubuntu 20.04 e derivate
E’ anche disponibile (su richiesta) una VM già pre-configurata per il reporting basata su CentOS 7.
Sono liberamente scaricabili dal sito le versioni dimostrative per le suddette piattaforme (come anche il client Windows 10) che hanno le seguenti limitazioni:
- il supporto al multithreading è disabilitato;
- non vengono gestiti i protocolli Netflow 9 ed IPFix;
- non vengono gestiti i flussi di traffico di tipo IPv6;
- i certificati per le comunicazioni client/server Fl0wer sono di tipo SSLv2/SSLv3 esclusivamente dinamico.
Sono anche disponibili per il download i cosiddetti Fl0wer RTE (Runtime Environment), che contengono un ambiente Python 3.7 autonomo con cui poter lavorare con i sorgenti delle varie applicazioni messe a disposizione in formato sorgente (GUI, CLI, Data Pumper, ecc.).
Quali sonde di rete sono supportate?
La piattaforma Fl0wer è in grado di ricevere i metadati di traffico trasmessi tramite i seguenti protocolli standard:
- Netflow versione 1.
- Netflow versione 5.
- Netflow versione 9.
- IPFix (RFC7012).
- sFlow versione 5.
Il traffico deve essere indirizzato verso il sistema Fl0wer tramite la porta UDP 2056 per i protocolli Netflow ed IPFix, e verso la porta 6343 per il protocollo sFlow.
Questi protocolli, descrivono il traffico dati in maniera molto simile ad una bolletta telefonica. Molto sintenticamente, vengono riportati ora di inizio e fine della conversazione, protocolli, sorgente e destinazione della conversazione, porte di rete utilizzate. Il contenuto non viene assolutamente trasmesso.
I protocolli di tipo Netflow ed IPFix sono spesso disponibili su apparati di tipo Firewall, Router, piattaforme di virtualizzazione ed agent su sistemi host.
Il protocollo sFlow è spesso disponibile su apparati di tipo Switch Layer 2, Firewall ed agent su sistemi host.
Alcuni vendor hanno implementato i protocolli di tipo Netflow od IPFix usando altri nomi (eg. Huawei chiama Netstream la sua implementazione di Netflow), ma nella quasi totalità dei casi l’unica differenza riscontrata è appunto il nome.
Una lista parziale di apparati e sistemi testati con Fl0wer è disponibile al link seguente: