Анализатор трафика является одним из важнейших компонентов как при обеспечении бесперебойной работы локальной сети так и организации информационной безопасности внутри периметра.
Мониторинг пропускной способности, экспертиза сети, анализ ИБ составляющей, распознавание и классификация работающих приложений — лишь малая часть того, что умеет хороший анализатор сетевого трафика.
Перед началом стоит отметить, что ваш маршрутизатор должен поддерживать протокол NetFlow (в статье рассмотрим Mikrotik Traffic Flow).
Мы будем использовать связку NtopNG — Netflow2NG на чистой виртуальной машине с серверной Ubuntu 22. В статье не будет best practices и часть действий будет от root, так как целью является просто показать работу инструмента.
Установка
Обновляемся
sudo apt-get update -y
Устанавливаем необходимое
sudo apt-get install software-properties-common wget gnupg -y
Добавляем репозиторий и загружаем ntop
sudo add-apt-repository universe
wget https://packages.ntop.org/apt/22.04/all/apt-ntop.deb
Устанавливаем пакет
sudo apt install ./apt-ntop.deb
Снова обновляемся
sudo apt-get update -y
Устанавливаем необходимое для ntop
sudo apt-get install pfring-dkms nprobe ntopng n2disk cento -yНастройка
Редактируем файл
sudo nano /etc/ntopng/ntopng.conf
Изменяем следующее
-i=tcp://ip_address:5556 (добавляете свой ip адрес)
-w=3000 (порт для веб-интерфейса)
-n=1 (dns-mode)
В конец добавляем
--online-license-check
--community
Делаем рестарт и автозапуск
sudo systemctl restart ntopng
sudo systemctl status ntopng
sudo systemctl enable ntopngСтавим коллектор
Устанавливаем go
cd ~
curl -OL https://golang.org/dl/go1.21.0.linux-amd64.tar.gz
sudo tar -C /usr/local -xvf go1.21.0.linux-amd64.tar.gz
sudo nano ~/.profile
Добавляет в конец файла
export PATH=$PATH:/usr/local/go/bin
source ~/.profile
Проверяем
go version
Устанавливаем сам коллектор
git clone https://github.com/synfinatic/netflow2ng.git
cd netflow2ng
make
Если в процессе возникнут ошибки
может помочь следующее (читайте логи ошибок, возможно у вас будут другие)
apt install pkg-config
apt install libzmq3-dev
Настраиваем автозапуск коллектора
touch /etc/systemd/system/netflow2ng.service
chmod 664 /etc/systemd/system/netflow2ng.service
nano /etc/systemd/system/netflow2ng.service
[Unit]
Description=netflow collector
After=network.target
[Service]
ExecStart=/root/netflow2ng/dist/netflow2ng (указываете свой путь, из под рута ставлю просто в качестве примера)
Type=simple
[Install]
WantedBy=multi-user.target
Выполняем
systemctl daemon-reload
systemctl start netflow2ng.service
systemctl status netflow2ng.service
systemctl enable netflow2ng.serviceЗаходим на веб-интерфейс
ip_address:3000 (ваш ip адрес)
Вводим admin admin и меняем пароль
После входа рекомендую ознакомиться с Settings и настроить по вашему усмотрению.
Готово