Halaman

Kamis, 16 Juni 2011

Netflow, Mata-mata dalam Jaringan

Sebuah jaringan komunikasi data yang terawat dengan baik, tentu memiliki sistem monitoring yang baik pula. Netflow merupakan sebuah solusi untuk memata-matai isi dari jaringan Anda dengan lebih detail.
Jaringan komunikasi data Anda tentu harus digunakan sebaik-baiknya. Investasi perangkat switch, router, server, modem, koneksi Internet, dan banyak lagi perangkat jaringan yang tidak murah harganya, tentu harus dibayar dengan efektivitas melakukan pekerjaan. Pekerjaan yang Anda lakukan harusnya dapat lebih cepat terselesaikan dibandingkan dengan sebelum adanya fasilitas jaringan.
Komunikasi antarcabang, antarnegara, antar-supplier, antarpelanggan, dan banyak lagi seharusnya dapat dilakukan dengan mudah jika koneksi Internet sudah ada dalam jaringan ini. Jika sudah demikian, maka investasi yang Anda keluarkan tentu akan terbayar dengan cepat.
Namun, apa jadinya ketika jaringan yang seharusnya dilakukan untuk menyelesaikan pekerjaan dengan cepat tidak dapat digunakan untuk melewatkan data Anda. Problem lambatnya koneksi Internet, lambatnya koneksi antar-PC, komunikasi antar-PC yang tidak bisa dibangun, dan banyak lagi problem yang terjadi malah membuat Anda susah untuk bekerja sehingga menghambat pekerjaan yang harus diselesaikan. Tentunya investasi Anda akan sia-sia, bukan? Apalagi ketika jaringan Anda sudah terkoneksi ke Internet, koneksi yang berharga mahal tersebut akan terlewatkan sia-sia.
Jaringan yang tidak bekerja dengan baik memang dapat disebabkan oleh sangat banyak faktor. Saking banyaknya terkadang penyebab problemnya tidak terpikir oleh Anda, padahal terkadang sederhana saja penyebabnya. Bahkan ada beberapa pendapat yang mengategorikan problem di dalam jaringan sering kali berhubungan dengan kekuatan supranatural. Beginilah jadinya jika jaringan Anda tidak dimonitor dengan baik. Pendapat tersebut sama sekali tidak benar.
Untuk dapat menyelesaikan problem dengan cepat dan mudah, Anda sangat memerlukan bantuan sebuah system monitoring. Tidak mungkin monitoring jaringan dilakukan secara manual setiap saat. Sebuah sistem monitoring yang baik tentu akan memberikan report yang baik dan berguna bagi administrator jaringan tersebut. Report tersebut kemudian akan menjadi bahan analisis Anda yang dapat menjadi kunci bagi misteri problem jaringan Anda.
Sistem monitoring jaringan juga tidak sedikit jumlahnya. Mulai dari sistem monitoring sederhana yang hanya melakukan pengecekkan apakan sebuah perangkat masih aktif atau tidak, pengecekkan volume lalu-lintas data yang melewati sebuah perangkat, hingga yang rumit dan canggih seperti analisis paket-paket data apa saja yang lalu lalang di dalam sebuah perangkat jaringan, semuanya sudah tersedia dan dapat Anda gunakan sesuai kebutuhan.
Jika Anda membutuhkan system monitoring yang cukup canggih untuk mengetahui apa sih yang sebenarnya lalu-lalang di dalam jaringan Anda, mengapa tidak coba untuk gunakan fasilitas monitoring jaringan yang cukup canggih yang biasanya tersedia di perangkat jaringan high end. Fasilitas monitoring jaringan macam ini disebut dengan nama netflow.
Apakah Netflow?
Arti harafiah dari istilah “Flow” adalah sebuah aliran. Aliran yang dimaksud dalam sistem monitoring jaringan canggih ini adalah aliran data yang keluar dan masuk di dalam sebuah perangkat. Informasi aliran data inilah yang digunakan sebagai bahan analisis yang sangat penting. Sistem penulisan, pengiriman, perhitungan, dan pengaturan informasi yang berupa flow data inilah yang sering disebut dengan istilah sistem netflow.
Sistem perhitungan flow data sebenarnya bukan hanya netflow saja. Protokol Netflow sendiri sebenarnya adalah sistem perhitungan flow yang diciptakan oleh produsen perangkat jaringan terbesar di dunia yaitu Cisco System. Selain netflow, sebenarnya masih banyak protokol penghitung flow lainnya yang biasanya dikhususkan hanya untuk
perangkat-perangkat tertentu saja. Hal ini dapat terjadi karena tidak adanya persetujuan resmi untuk menentukan standardisasi dari sistem perhitungan flow ini. Maka dari itu, masing-masing vendor menciptakan sendiri-sendiri untuk perangkat mereka.
Jika di setiap perangkat jaringan bermerk Cisco dilengkapi dengan fasilitas protokol Netflow, di perangkat keluaran Riverstone dan Cabeltron ada sistem perhitungan flow bernama LFAP (Light-weight Flow Accounting Protocol). Kemudian ada juga perangkat yang menggunakan sistem sFlow yang sesuai dengan ketentuan RFC3176. Kemudian ada sistem CRANE pada perangkat bermerk XACCT, dan ada lagi beberapa protokol perhitungan flow yang jarang digunakan seperti IPFIX, RTFM, dan IPDR.
Semua sistem dan protokol tersebut bertujuan untuk memberikan laporan dan informasi mengenai apa “isi perut” dari komunikasi yang dilakukan melalui perangkat tersebut. Namun, yang akan banyak dibahas pada artikel kali ini adalah sistem monitoring yang menggunakan netflow. Hal ini dikarenakan pengguna perangkat bermerk Cisco memang mendominasi dunia jaringan komunikasi data saat ini. Jadi mengerti mengenai netflow beserta aplikasiaplikasinya cukup berguna untuk Anda.
Bagaimana Netflow Dihasilkan oleh Perangkat Jaringan?
Netflow hampir dapat dipasang di semua perangkat jaringan keluaran Cisco yang dilengkapi dengan sebuah processor khusus bernama ASIC. Jadi perangkat yang tidak dilengkapi processor khusus ini belum tentu bisa menghasilkan data flow untuk dianalisis.
Pada perangkat yang memungkinkan hal itu, Anda tinggal memasang perintah pada interface-intercae yang ingin Anda teliti traffic-nya. Perintah tersebut bagaikan sensor, ketika ada data sekecil apapun lewat melaluinya, maka sensor tersebut akan mengetahuinya, menganalisisnya, dan mengubahnya menjadi sebuah informasi statistik tentang karakteristik data tersebut. Informasi yang dimaksud bukanlah isi dari data Anda yang sesungguhnya, melainkan hanya karakteristik dari paket yang membawa data tersebut.
Interface yang dipasangi perintah sensor netflow hanya akan menangkap informasi paket yang masuk (inbound) ke dalam interface tersebut. Maksudnya adalah paket-paket data yang datang dari luar dan ingin masuk ke interface tersebutlah yang akan tercatat. Jadi dengan demikian, informasi yang Anda dapat hanyalah paket data apa yang masuk ke sumber tujuan, sedangkan yang keluar tidak pernah tercatat.
Dengan kondisi seperti ini, Anda yang ingin mendapatkan informasi yang lengkap (informasi inbound dan outbound) harus mengetahui terlebih dulu paket data Anda keluar dan masuk lewat interface yang mana. Setelah diketahui, pasanglah sensor pada interface-interface tersebut. Jika dipasang pada interface yang tepat, maka Anda akan mendapatkan informasi yang lengkap.
Mengapa Anda Perlu Tahu “Isi Perut” Komunikasi Data dalam Jaringan?
Sistem monitoring yang menggunakan netflow memang sangat berguna bagi para administrasi jaringan. Mereka tidak segan-segan bersusah payah untuk membuat sistem monitoring menggunakan data dari netflow. Mengapa demikian? Karena sistem monitoring jaringan sangat penting untuk dimiliki. Sistem monitoring yang baik adalah sistem yang dapat mengetahui lalulintas data dalam jaringan sedetaildetailnya hingga berakhir pada batas privasi si pemilik data. Selama tidak melanggar privasi dan kerahasiaan data, maka administrator jaringan bebas melakukan monitoring.
Dengan menggunakan sistem monitorning menggunakan netflow, maka Anda dapat mengetahui lalu-lintas data dengan lebih detail lagi. Informasi yang detail ini akan sangat berguna sebagai bahan analisis terhadap sifat dan tingkah laku jaringan Anda. Dengan melakukan analisis ini, setiap kejadian, insiden, maupun kegiatan sehari-hari yang berhubungan dengan jaringan dapat terpantau dengan baik tanpa terlewatkan. Baik untuk memonitor penggunaan jaringan dari dalam, seranganserangan dari luar, virus, program-program terlarang, semuanya bisa dimonitor dengan baik oleh fasilitas ini. Akhirnya informasi ini dapat menjadi bahan pertimbangan dalam mengambil keputusan-keputusan penting.
Informasi Apa yang Dapat Diberikan oleh Protokol Netflow?
Protokol netflow tidak hanya dapat memberikan informasi berapa besar bandwidth yang telah terjadi dalam sebuah interface, tetapi jauh lebih banyak daripada itu. Protokol netflow memiliki kemampuan menangkap semua aktivitas yang keluar masuk melalui sebuah interface, kemudian memilahpilah data tersebut berdasarkan fieldfield informasi yang ada di dalamnya, dan merepresentasikannya dalam format tabel yang rapi.
Informasi apa yang dibawa oleh protokol netflow bervariasi tergantung pada versi protokol netflow itu sendiri. Namun, informasi yang paling umum dan paling banyak dibutuhkan adalah informasi seputar Source dan Destination sebuah paket data, jenis port komunikasi apa yang digunakan dalam proses transfernya, waktu pengiriman maupun penerimaannya, flag-flag TCP yang ada di dalamnya, dan banyak lagi. Semua data tersebut sangat berguna bagi para administrator jaringan untuk melakukan analisis.
Ada Berapa Versi Protokol Netflow?
Seperti telah dijelaskan di atas, informasi apa saja yang ada di dalam data netflow ditentukan dari versi protokolnya. Versi dari protokol netflow menentukan komponen apa saja yang bisa Anda pakai sebagai bahan analisis terhadap jaringan yang dimonitor. Protokol netflow versi 1 merupakan protokol netflow yang kali pertama keluar. Kurang lengkapnya informasi yang diberikan membuat protokol versi 1 ini sudah tidak direkomendasikan untuk digunakan lagi.
Versi selanjutnya dari protokol netflow adalah versi 5. Dalam versi ini, informasi yang dikirimkan keluar dari perangkat jaringan jauh lebih banyak daripada versi sebelumnya. Informasi yang keluar dari protokol netflow versi 5 adalah sebagai berikut:
  • Source IP address: Alamat asal paket tersebut dikirim.
  • Destination IP address: Alamat tujuan ke mana paket tersebut akan dikirim.
  • Source TCP/UDP Application port: Port-port aplikasi yang digunakan oleh sumber pengirim data.
  • Destination TCP/UDP Application port: Port-port aplikasi tujuan yang akan dituju oleh data.
  • Next hop router IP address: Alamat router berikutnya yang akan dituju oleh paket data.
  • Input Physical interface index: Nomor index dari interface yang mana data tersebut masuk.
  • Output Physical interface index: Nomor index dari interface yang mana data tersebut akan keluar.
  • Packet count: Perhitungan flow berdasarkan besarnya paket data.
  • Byte count: Perhitungan flow berdasarkan besarnya byte data.
  • Start of flow timestamp: Timestamp untuk menandai awal mula flow data terjadi.
  • End of flow timestamp: Timestamp untuk menandai berakhirnya flow.
  • IP Protocol: Penanda protokol IP apa yang lalu-lalang dalam flow.
  • Type of Service byte: Informasi seputar field Type of Service.
  • TCP Flags: Informasi seputar TCP flag yang ada dalam sebuah paket.
  • Source AS number: Informasi yang menunjukkan dari AS number mana paket data tersebut berasal.
  • Destination AS number: Informasi seputar AS number dari mana paket tersebut berasal.
  • Source subnet mask: Informasi subnet mask dari alamat IP dari sebuah paket data yang akan keluar.
  • Destination subnet mask: Informasi subnet mask dari alamat IP yang dituju oleh sebuah paket.
Netflof versi 5 ini merupakan yang paling umum digunakan, meskipun masih banyak lagi versi yang lainnya seperti versi 7 yang hanya digunakan oleh perangkat switch Cisco, versi 8 yang ditambah fiturnya dengan kemampuan agregasi, dan versi 9 yang diklaim oleh pihak Cisco dapat menyediakan hampir semua informasi penting seputar jaringan mulai dari layer 2 sampai dengan layer 7 dan protokol OSI.
Apakah Fasilitas Netflow Dapat Mengganggu Performa Perangkat Jaringan?
Jika dilihat begitu lengkap dan padatnya informasi yang diberikan oleh netflow, maka Anda mungkin mengiri ini adalah pekerjaan berat buat perangkat jaringan. Namun ternyata pekerjaan itu tidaklah terlalu membebani perangkat jaringan, khususnya produk Cisco. Fasilitas ini menjadi tidak terlalu membebani processor utama dari perangkat dikarenakan fasilitas ini akan dijalankan dengan bantuan ASIC dari perangkat jaringan tersebut. Processor ASIC yang merupakan processor khusus untuk melakukan “pemikiran” pada level front, akan memproses semua informasi ini. Karena ASIC jauh lebih spesifik kemampuannya dari processor biasa, maka menjalankan fasilitas netflow menjadi tidaklah membebani.
Menurut sebuah penelitian, sebuah perangkat jaringan yang diberikan informasi flow sebesar 10000 akan menambah penggunaan CPU menjadi sekitar dibawah 4%. Untuk flow yang berjumlah 45000, maka tambahan CPU nya adalah sebesar di bawah 12%. Sedangkan untuk flow sebesar 65000 proses CPU tambahannya adalah sekitar dibawah 16% saja. Dengan demikian, mengaktifkan fasilitas netflow pada perangkat jaringan tidak terlalu mempengaruhi performanya secara keseluruhan.
Bagaimana Membuat Sistem Netflow?
Membuat sistem yang dapat menangkap, menampilkan, dan menganalisis informasi netflow sebenarnya relatif tidak sulit. Yang Anda butuhkan hanyalah perangkat komputer yang berspesifikasi cukup bagus dan dapat terkoneksi ke jaringan. Dalam membuat sistem netflow, ada tiga komponen penting untuk menjadikannya sebuah informasi yang layak untuk dibaca dan dianalisa oleh manusia. Ketiga komponen tersebut adalah Netflow collector, Netflow analyzer, Netflow reporter, dan Netflow presenter.
Netflow collector atau secara harafiahnya adalah pengumpul netflow merupakan sistem yang bertugas mengambil dan mengumpulkan informasi netflow yang dikirim dari perangkat jaringan. Informasi yang masih berupa data mentah dikumpulkan dan diubah menjadi sebuah file yang nantinya akan dibaca oleh Netflow analyzer. Netflow analyzer akan membaca data mentah tersebut kemudian menganalisisnya menjadi sebuah bentuk yang dapat dibaca oleh manusia. Setelah diubah bentuknya, maka data netflow tadi dikirim ke Netflow reporter. Di dalam Netflow reporter ini data informasi netflow tadi di pilah-pilah menjadi informasi yang memang Anda inginkan. Anda dapat menentukan informasi apa yang ingin Anda tampilkan di sini. Netflow reporter kemudian akan mengirimkan ketentuan-ketentuan yang telah Anda buat tersebut ke komponen Netflow presenter. Network presenter inilah yang akan membuat data netflow menjadi grafik, tabel, dan teks yang bisa Anda baca dengan nyaman. Semua informasi terpresentasikan dengan baik dan benar di sini sehingga Anda dapat melakukan analisa lebih lanjut.
Keempat komponen ini harus bekerja sama dengan baik untuk dapat menampilkan informasi dengan baik. Tanpa adanya kerja sama yang baik antara keempat komponen ini atau bahkan salah satunya saja tidak ada, maka Anda tidak akan mendapatkan informasi netflow tersebut.
Aplikasi-aplikasi Pendukung Netflow
Aplikasi-aplikasi pendukung netflow sebenarnya dapat dibagi atas empat komponen penting tersebut. Dalam percobaan, kami menggunakan operating system Linux untuk membuat system netflow. Dipilih menggunakan Linux karena Anda akan mendapatkan semua program pendukung tersebut tanpa harus membayar sepeser pun dan tanpa harus melakukan kejahatan pembajakan. Mudah dan nyaman, bukan?
Setelah Linux tersedia, kami menggunakan program flow-tools sebagai Netflow collector. Program ini memiliki kemampuan menangkap informasi netflow yang dikirim dari perangkat jaringan dan kemudian meneruskannya kembali ke perangkat lain.
Untuk program Netflow analyzer, kami menggunakan program Flowscan yang sangat mudah dikonfigurasi dan dijalankan. Untuk program Netflow reporter-nya, kami gunakan program JKFlow yang memiliki fasilitas lengkap dalam melakukan filtering data apa saja
yang ingin ditampilkan. Setelah semuanya siap, program Netflow presenter-nya kami menggunakan program RRDtool, yang dapat menghantarkan Anda grafik realtime yang dipresentasikan dengan sistem round robin database.
Semua dinstal dengan mengikuti petunjuk yang diberikan dan dikonfigurasi sesuai keinginan kami. Hasilnya adalah sebuah grafik yang cukup informatif yang ditampilkan oleh komponen dari JKFlow.
Informasi Berguna di Mana-mana
Informasi yang diberikan oleh protokol netflow memang terbilang cukup lengkap untuk sebuah proses analisis. Dari sini Anda dapat mengetahui alamat IP yang dituju, dari mana traffic data berasal, berapa nomor port aplikasi yang digunakan dan ditujunya, serta masih banyak lagi. Ternyata, informasi yang begitu lengkap ini tidak hanya dapat digunakan oleh proses monitoring, namun ada beberapa perangkat yang menggunakan informasi tersebut sebagai bahan pertimbangan pemberian bandwidth, sebagai perangkat intrusion detection, firewall, dan banyak lagi. Maka dari itu, monitorlah perangkat Anda mulai sekarang dengan menggunakan netflow. Selamat mencoba!

Tidak ada komentar: