2021年8月11日水曜日

【ntopng and nProbeによる高速トラフィック分析入門】第9章 トラフィック監視実践

第9章 トラフィック監視実践

本章ではいよいよntopng, nProbe2つのソフトウェアを活用したトラフィック分析方法を学びます。

先ずは本章で説明する3つのトラフィック分析パターンをみてみましょう。

(2022年2月9日(水) ebookの記載を追加)

文:ジュピターテクノロジー よしひろ

  • (2022年2月9日(水) 追記)
    2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。
    本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。
    是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。

注意)本記事で紹介している図をクリックすると拡大しますので、図が見づらい場合は別タブで表示する等してください。


9.1 ntopng,nProbeアーキテクチャ3パターン

  1. ntopngが、ネットワーク機器のミラーポートと直接接続する方式
  2. nProbeが、ネットワーク機器のミラーポートと直接接続し、トラフィック情報をローカルもしくはリモートにインストールしたntopngに伝送する方式(nProbeのプローブモードといいます)
  3. xFlowエクスポート対応のネットワーク機器からnProbeがフロー受信し、ローカルもしくはリモートにインストールしたntopngに伝送する方式(nProbeのプロキシモードといいます)

図9-1 ntopng, nProbeのアーキテクチャ3パターン

こちらの3つのモードですが、それぞれ長短ありますので、以下にまとめてみました。
   

1.ntopng単独配置し、ミラーポートと直接接続する

単一拠点であれば、詳細な監視の実現及びコストパフォーマンスのよい構成となります。

L7分析が可能で、かつトラフィックレコーディングモジュールn2diskと連携してインデックス付きのpcapファイルをntopngサーバーのディスクに保存することができます。

ただし、複数拠点のトラフィック監視には向いておりません。

2.nProbeプローブモード。配置した機器からフロー情報をntopngにエクスポート

遠隔拠点にnProbeプロキシーモードを設定したPCを配布すれば、xFlowエクスポートに対応していないネットワーク機器が配置されている分散環境でもトラフィック分析を実現でき、かつL7分析を行うことができます。

しかし、複数拠点全てにnProbeをインストールしたデバイスを配布する必要がありますので、それなりのコストがかかります。

3.nProbeプロキシモード。遠隔拠点の既設ルーター/スイッチからxFlowを受信

例えば本社にnProbeとntopngを1インスタンスずつ配置し、遠隔拠点のルーター/スイッチからNetFlowを受信します。

既設のルーター/スイッチが、xFlowエクスポートに対応していれば一番コストがかからない構成です。

しかし、上記1,2と比較するとL7分析能力が失われます。

以降、上記3パターン実際の設定方法をご紹介します。

こちらの記事をntop製品の構築作業にお役立てください。

9.2 ntopngを単独配置し、ミラーポートと直接接続する設定

ntopngをインストールしたPCのNICにルーター/スイッチのミラーポートを直接差し込むだけです。

物理構成は、非常に単純で以下の図の通りです。

図9-2 ntopng単独利用

nProbeを起動する必要はありません。

弊社で販売するntop製品のアプライアンスをご利用の場合は、デフォルトで本モードに対応しております。

ソフトウェアライセンスを購入した場合の設定方法をご紹介します。

ntopngの設定は非常に簡単で、-iオプションでntopngをインストールしたPCのNIC(スイッチ/ルーターのミラーポートに接続しているNIC)を指定して再起動するだけです。

$sudo vim /etc/ntopng/ntopng.conf
-i=enp3s0f1
-F=nindex
:wq!

$systemctl restart ntopng

以上で、ntopngの単独利用時の設定は完了です。

9.3 nProbeプローブモード。配置した機器からフロー情報をntopngにエクスポートする設定


nProbeプローブモードをインストールしたPCを遠隔拠点に設置し、ルーター/スイッチのミラーポートに直接差し込みます。

物理構成は、以下の図の通りです。

図9-3 nProbeプローブモード利用


ntopng, BlueVault io nProbe間のプロトコルは、ZeroMQを利用します。

弊社で販売するntop製品のアプライアンス(nProbe)をご利用の場合は、デフォルトで本モードに対応しております。

ソフトウェアライセンスを購入した場合の設定方法をご紹介します。

nProbeはNetFlow v5/v9, IPFIXをエクスポートすることができますが、ZeroMQ利用の方が軽量でntopngが必要な入力情報を簡単に設定することができます。

以下は、遠隔拠点の工場Aに設置したnProbeの設定です。

$sudo vim /etc/nprobe/nprobe.conf
-i=enp3s0f1
--zmq=tcp://192.168.91.128:5556
--zmq-probe-mode
-n=none
-T=@NTOPNG@
:wq!

$systemctl restart nprobe

ntopng側の設定は、ZeroMQ経由で遠隔のnProbeからフロー情報を受信する設定とします。

$suco vim /etc/ntopng/ntopng.conf
-i=tcp://*.5556c
-w=3000
--https-port=3001
-m=192.168.92.0/24
-F=nindex
:wq!
$systemctl restart ntopng
以上で、nProbeプローブモードの設定は完了です。

最後に、nProbeプロキシモードの設定方法をご紹介します。

9.4 nProbeプロキシモード。遠隔拠点の既設ルーター/スイッチからxFlowを受信する設定

nProbeとntopngを本社側に起動するだけです。

弊社で販売するntop製品のアプライアンスをご利用の場合は、デフォルトで本モードに対応しております。

以下、ソフトウェアライセンスを購入した場合の設定方法をご紹介します。

物理構成は、以下の図の通りです。

図9-4 nProbeプロキシモード利用


以下は、本社のnProbe設定です。

nProbe側の待ち受けポートは、2055/udpを設定しております。

$sudo vim /etc/nprobe/nprobe.conf
-i=none
-n=none
--collector-port=2055
-T=@NTOPNG@
--zmq="tcp://*:5556"
:wq!

$systemctl restart nprobe

nProbeと同じサーバーで起動するntopngの設定は、以下の通りです。

$suco vim /etc/ntopng/ntopng.conf
-i=tcp://127.0.0.1.5556
--https-port=3001
-F=nindex
:wq!
$systemctl restart ntopng
以上t 
以上で説明は終わりです。

如何でしょうか?この3つの設定さえおさえておけば、あらゆる環境でも簡単にトラフィック可視化環境を作成できるといったイメージが持てたのではないでしょうか?



記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!