Installation de configuration de ntopng et nprobe

La société Italienne Ntop est spécialisée dans le développement d’outil d’analyse de flux réseau haute performance, elle propose entre autre les logiciels “nProbe” et “ntopng”. Compte-tenu de la complémentarité qui existe entre DynFi Firewall et ntopng / nProbe, nous avons décidé d’intégrer ces logiciels à notre système de base.

Qu’est-ce que nProbe ?

nProbe permet, l’exportation et la collecte de données NetFlow v5/v9/IPFIX et offre des services de sonde extensible grace au support de plugins dédiés à l’inspection de contenu L7. Il permet en outre une classification du trafic et la dérivation des paquets en vue de leur traitement par un IDS.

Qu’est-ce que ntopng ?

Ntopng permet l’analyse et la collecte des flux réseau transmis à grande vitesse par nProbe. Son interface graphique élaborée permet la publication en temps réel de statistiques de trafic persistantes au format RRD et Influx, ainsi que des données historiques complètes pour ClickHouse et les systèmes de données massives (big data).

Avec une analyse de la couche 7 basée sur nDPI, la gestion des identités et la prise en charge des pare-feu et d’Active Directory, c’est la solution complémentaire idéale à un traitement L7 au niveau du firewall DynFi. C’est la raison pour laquelle nous avons décidé de pré-installer Ntopng et nProbe dans DynFi Firewall.

Qu’est-ce que Redis ?

Redis est un logiciel open source permettant le stockage de données en mémoire. Il est utilisé par des millions de développeurs comme base de données, cache, moteur de streaming et broker de messages.

Configurations initiales

Le déploiement de ntopng et nProbe avec DynFi Firewall est extrêmement simple, les deux logiciels étant pré-intégrés à l’OS. Les deux logiciels sont accessibles depuis le menu Services >> nProbe et Services >> Ntopng.

Warning

Préalablement au démarrage des deux services, vous devez vous assurer que le service Redis est bien activé. Celui-ci se trouve dans le menu Services >> Redis.

Activation de Redis

L’activation de Redis se fait à partir du menu Services >> Redis. La plupart des options par défaut permettent de démarrer le service sans problème.

Dans le cadre d’une utilisation locale limitée au service ntopng / nProbe sur le pare-feu DynFi, il suffit de cocher la case Activer le Mode Protégé qui permet de limiter l’écoute du service à l’interface loopback (127.0.0.1 et ::1). C’est la seule configuration requise pour démarrer le service.

Activer Redis:

Cocher la case pour démarrer le service.

Interfaces d’écoute:

Vous pouvez ne rien spécifier si le service Ntopng est déployé sur le même pare-feu.

Activer le Mode Protégé:

Sélectionnez cette case permet de démarrer le service Redis sur l’interface de loopback IPv4 et IPv6.

Port d’écoute TCP:

Laisser le port d’écoute par défaut qui est normalement 6379.

Niveau d’enregistrement:

Laisser à la valeur par défaut qui est Avertissement.

Activer Syslog:

Vous pouvez activer syslog afin de récupérer les informations du processus dans vos logs.

Dispositif Syslog:

Normalement laisser la valeur par défaut LOCAL0.

Comptage de la base de données:

La valeur par défaut de 16 devrait convenir.

Cliquez sur “Apply” afin de valider vos modifications et démarrer le service. Une icône verte située en haut à droite devrait vous permettre de valider que le service est bien démarré.

Configuration du service Redis en local sur DynFi Firewall

Note

Afin d’améliorer la sécurité de votre installation, il est possible de vous rendre sur l’onglet Restrictions et d’ajouter des mots de passe ou de désactiver certaines commandes.

L’onglet Performance et suivi permet de définir des paramètres relatifs à la génération de logs en cas de transactions particulièrement lentes. La valeur par défaut est de 10000.

Activation de nProbe

Onglet Général :

Activer nProbe:

Permet d’activer le service nprobe.

Interface:

Sélectionnez l’interface locale d’écoute (normalement votre LAN)

Point final ZMQ:

C’est le point d’arrivée ZMQ vers lequel ce service enverra les flux. La valeur par défaut est tcp://127.0.0.1:5557.

Mode sonde ZMQ:

Permet à nProbe de se connecter à ntopng, et non l’inverse (utile en présence d’un NAT ou d’un pare-feu).

Activer le Mode IPS:

Permet d’activer le mode en ligne (IPS).

Collecter les événements IPS:

Permet à nProbe de recevoir automatiquement les politiques IPS à travers les événements ZMQ de ntopng (si cette option est activée, les politiques suivantes seront toutes ignorées).

Événements Point final ZMQ (IPS):

Point d’arrivée ZMQ pour la réception des mises à jour des politiques IPS publiées par ntopng.

Réseaux locaux (IPS):

Permet de définir les réseaux locaux à protéger lorsque le mode IPS est activé.

Abandonner les protocoles (IPS):

Permet de ne filtrer certains protocole(s) faisant partie de la liste de filtrage définie.

Catégories de dépôt (IPS):

Permet de filtrer certaines catégories de traffic faisant partie de la liste de filtrage définie.

Abandonner les flux à risque (IPS):

Permet de filtrer certains types de traffic listé dans le menu.

Abandonner les Pays (IPS):

Permet de définir des listes d’exclusion par pays.

Abandonner les Continents (IPS):

Permet de définir des listes d’exclusion par continent.

Onglet Licence

Clé de licence:

Permet de saisir les informations relatives à l’activation d’une licence nProbe.

Configuration du service nProbe en local sur DynFi Firewall

Activation de ntopng

Activer ntopng:

Activer et démarrer ntopng.

Interfaces:

Vous définissez ici les interfaces sur lesquelles ntopng doit écouter. Si vous ne sélectionnez aucune interface il écoute la première interface du système, par exemple em0, mais vous pouvez modifier les interfaces à la demande dans l’interface utilisateur de ntopng. dans l’interface utilisateur de ntopng à la demande ; en définissant une interface explicite, vous n’obtiendrez pas interface explicite, aucune autre interface ne sera présentée dans sa propre interface utilisateur.

Port HTTP:

Le port sur lequel l’interface utilisateur de ntopng doit écouter. Si vous laissez la valeur par défaut, ouvrez un navigateur et allez à l’adresse IP de votre pare-feu. navigateur et d’aller sur l’IP de votre Firewall avec le port 3000 et HTTP. Si vous voulez sécuriser la connexion connexion, n’hésitez pas à configurer HAProxy ou Nginx en tant que reverse proxy (délestage SSL).

Port HTTPS:

Le port HTTPS sur lequel l’interface utilisateur de ntopng écoutera les requêttes.

Certificat:

Permet de définir le certificat SSL utilisé pour l’activation du port HTTPS.

Mode DNS:

Permet de définir la façon donc ntopng assurera la résolution DNS (optionnel).

Configuration du service ntopng en local sur DynFi Firewall

Accès au service ntopng

Une fois le service lancé, il est extrêmement simple d’y accéder. Il vous suffit de démarrer votre navigateur favoris et de le faire pointer sur l’URL de votre firewall avec le port défini soit dans le paramètere Port HTTP ou Port HTTPS. Par exemple si votre pare-feu DynFi est déployé sur l’IP 192.168.1.1 et que vous avez choisi le port 3002 pour activer HTTPS sur ntopng, l’url d’accès sera https://192.168.1.1:3002.

Interface graphique du service ntopng en local sur DynFi Firewall