TAPなしSPANなし、ブリッジ接続を利用したntopngによるトラフィックモニタリング

ジュピターテクノロジーでは、ネットワークモニタリング、トラフィック可視化を実現する製品開発に力をいれてまいりました。

今回の記事は、Ubuntu18.04.4 LTS(Bionic Beaver)にインストールしたntopngを社内ルーターの前段に配置、社内LANの見える化をTAPなし、SPANなしで実現しようというお話です。

文：ジュピターテクノロジー　よしひろ

想定する社内LAN環境は図1左側の構成です。
ルーターとスイッチ間にntopngをインストールしたPCを配置します。
このPCは図1右側の様に、２つのネットワークインターフェィスを持つ必要があります。本ブログ記事は、既にntopngがインストールされたPCが存在するところから始めます。ntopngのインストール方法に関しては、本ブログ記事最下部のお問い合わせリンクから、評価ガイドのリクエストをお願いします。

図1 ntopngのブリッジ接続構成

Ubuntu18.04のブリッジ設定

最初にブリッジ設定を行うのに必要なパッケージ、ブリッジユーティリティをインストールします。

$ sudo apt-get install bridge-utils

Ubuntu18.04のネットワーク関連設定は、netplanを利用します。
今回の環境は、ルーター・スイッチ間は"192.168.1.0/24"セグメントです。
PCとルータ―側のNICの名称は、enp3s0、PCとスイッチ側のNICはenp4s0です。
以下の様に、ブリッジ接続を構成するbr0を設定します。

$ sudo vi /etc/netplan/01-netcfg.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    enp3s0:
      addresses: []
    enp4s0:
      addresses: []
  bridges:
    br0:
      addresses: [192.168.1.254/24]
      gateway4: 192.168.1.1
      nameservers:
        addresses: [8.8.8.8]
      interfaces: [enp3s0, enp4s0]
      parameters:
        stp: false

        forward-delay: 0
$ sudo netplan generate
$ sudo netplan apply

以上でブリッジ設定は完了です。

ntopngのインターフェィス設定

ntopngをデフォルト設定で起動すると、PCが認識する全てのインターフェイスを監視する設定で起動します。
今回は、ブリッジインターフェイスの監視を行いたいので、br0のみの監視を行うように設定変更をします。

$ sudo vi  /etc/ntopng/ntopng.conf
-i=br0 ※追記して保存
$ sudo systemctl restart ntopng

以上でntopngの追加設定は完了です。
最後にntopngのGUIにログインしLANに接続するホストが表示されるかを確認しましょう。

LANのホスト可視化確認

図2 br0のホスト表示

"192.168.1.0/24"セグメントのPCが表示され、ルータを介するLAN上のデバイス間通信を確認することができます。
特定ホストの行動を追跡するには、それぞれのIPアドレスのリンクをクリックするだけです。

一般的なフローコレクターが収集するNetFlowはポート番号の把握しかできず、L7アプリケーション情報は含まれません。
ntop社の製品であれば、リアルタイムかつL7分析が可能といった他製品にない特長があります。
是非、ntop社製品の導入をご検討ください。

本記事で扱っているntop社のntopngという製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください！