Netflow – мониторинг трафика в OPNsense
Задача:
---------------------------------------------------------------Настроить на файрволе OPNSense анализатор трафика NetFlow
NetFlow – это сетевой протокол, также как и технология. Разработал это всё Cisco Systems и за всемя существования, netflow перерос в стандарт используемый такими брендами как: Cisco, ZTE , Enterasys, Juniper и Unix-подобными системами.
В OPNSensen реализованы две версии (5 и 9) протокола. 9 версия дала жизнь открытому стандарту для экспорта информации о потоках IP (IPFIX – Internet Protocol Flow Information eXport)
Все настройки умещаются на одной картинке
Тоже самое, только с включенными расширенными настройками и описанием
- Listening interfaces – указываем все интересующие для сбора статистики интерфейсы.Я выбрал все имеющиеся.
- WAN interfaces – исходящий WAN-интерфейс или интерфейсы (если их несколько).
- Capture local – локальный захват пакетов. Возможность локального анализа с использованием Insight.
- Version – если используете IPv6 стоит выбрать версию 9. В версии 5 потдержка только IPv4. В девятой версии также можно видеть метки потоков MPLS и адрес шлюза BGP.
- Destinations – при активном (Capture local) локальный IP-адрес будет добавлен автоматически. Если коллектор находится отдельно от маршрутизатора, указываем его адрес в формате: 192.168.0.1:2550
Архитектура NetFlow подразумевает три роли или независимых устройства, однако OPNSensen может одновременно выполняет роль всех трех компонентов.
- сенсор или экспортер нужен для сбора статистики и передачи её коллектору. По сути это маршрутизатор, через который и проходит весь трафик
- коллектор необходим только для хранения собранных данным и передачи их анализатору
- анализатор формирует данные в человеко понятный формат
Какие отчёты NetFlow есть в OPNSense:
- Отчет по сетевой статистике – данный отчёт поддерживает фильтр и возможно сделать выборку о по дате, периоду, порту назначения, адресу источника или назначения.
- Отчет по наиболее популярным сетевым службам и наиболее популярным IP-адресам назначения
Есть возможность экспортировать данные в CSV. Поддерживаются следующие варианты экспорта:
- FlowSourceAddrTotals – Суммарные данные по IP-адресу источника
- FlowInterfaceTotals – Суммарные данные по интерфейсу
- FlowDstPortTotals – Суммарные данные по порту назначения
- FlowSourceAddrDetails – Полные данные по IP-адресу источника
1 комментарий
[…] Netflow – мониторинг трафика в OPNsense […]