Exportation et analyse du flux réseau

_images/Flux_NetFlow_general.png

NetFlow est une architecture de surveillance des réseaux développée par Cisco, elle est implémentée dans le noyau FreeBSD grace à ng_netflow (Netgraph). Puisque Netgraph est implémenté au niveau du noyau, il est très rapide et surcharge peu le système par rapport à softflowd ou pfflowd (implémentés sur pfSense®).

Alors que de nombreuses solutions de surveillance telles que Nagios, Cacti et vnstat ne capturent que des statistiques de trafic, Netflow assure une capture de paquets complète, y compris la source, la destination et le numéro de port.

DynFi Firewall offre un support complet pour l’exportation de données Netflow vers des collecteurs externes, ainsi qu’un analyseur complet pour la surveillance en ligne “live”.

DynFi Firewall est l’une des seules solution Open Source avec un analyseur Netflow intégré dans son interface graphique. Il est accessible via la section Rapports >> Flux.

Versions prises en charge

DynFi Firewall supporte les versions 5 (IPv4) et 9 (IPv4 & IPv6) de Netflow.

Principes de base de Netflow

Pour analyser les données de flux, il est important de comprendre la différence entre le trafic entrant et le trafic sortant.

Le trafic entrant

Trafic à destination ou en provenance du pare-feu.

Le trafic sortant

Trafic passant par le pare-feu.

Ingress + Egress = Double comptage des flux

En activant à la fois l’entrée et la sortie, le trafic est compté deux fois en raison de la traduction d’adresses de réseau (Network Address Translation), car tous les paquets allant vers le WAN en provenance du LAN passent la translation d’adresse de réseau du pare-feu, créant ainsi un flux entrant.

Si vous n’êtes pas intéressé par le trafic entrant, DynFi Firewall offre la possibilité de filtrer ce trafic. Si vous utilisez un proxy sur le même appareil, il est important de capturer les flux d’entrée, sinon tout le trafic du proxy ne sera pas visible. L’inconvénient est bien sûr que tout le trafic ne passant pas par le proxy sera compté deux fois en raison de l’effet NAT mentionné.

Exporter vos Flux

DynFi Firewall Netflow Exporter prend en charge plusieurs interfaces, le filtrage des flux entrants, et de multiples destinations, y compris la capture locale pour l’analyse par Flux (DynFi Firewall Analyse des Flux).

Analyseur de flux net - Flux

DynFi Firewall offre un analyseur de flux réseau complet avec les caractéristiques suivantes :

  • Capture avec 5 niveaux de détails

    • 2 dernières heures, moyenne de 30 secondes

    • 8 dernières heures, moyenne de 5 minutes

    • Dernière semaine, moyenne sur 1 heure

    • Dernier mois, moyenne sur 24 heures

    • Dernière année, moyenne sur 24 heures

  • Représentation graphique des flux (empilés, en flux et étendus)

  • Utilisation maximale par interface, à la fois pour les ips et les ports.

  • Trafic d’entrée et de sortie complet en paquets et en octets

  • Vue détaillée avec sélection de la date et filtre port/ip (jusqu’à 2 mois)

  • Exportation des données au format csv pour une analyse hors ligne

    • Niveau de détail sélectionnable

    • Niveau de détail sélectionnable

    • Plage de données sélectionnable

_images/Export_Flux_details.png

Configuration de l’exportateur Netflow

_images/Export_Flux.png

La configuration de l’exportateur Netflow est une tâche simple. Rendez-vous dans la section Rapports >> Paramètres Flux.

Sélectionnez toutes les interfaces à partir desquelles vous souhaitez collecter/exporter des données.

Si vous ne voulez pas enregistrer le trafic en provenance ou à destination du pare-feu lui-même ajouter les interfaces à Egress seulement afin d’éviter un double comptage du même flux de (Voir aussi la section ci-dessus Ingress + Egress = Double comptage des flux pour plus d’informations).

Pour une analyse locale à l’aide de Flux, activez également Capture local.

En fonction de l’application que vous souhaitez utiliser, sélectionnez Version 5 ou 9.

Note

La version 5 de Netflow ne supporte pas IPv6.

Ajoutez votre / vos Destinations (ip:port puis entrez) l’IP locale sera ajoutée automatiquement si l’option Capture locale est sélectionnée.

Utilisation de Flux - Analyse NetFlow

DynFi Firewall est équipé d’un analyseur de flux réseau flexible et rapide appelé Flux. Pour utiliser Flux, il faut configurer l’exportateur de Flux pour capturer localement les données Netflow. des données Netflow.

Consultez la section Exporter vos Flux pour plus de détails.

Interface utilisateur

Flux est entièrement intégrée à DynFi Firewall. Son interface utilisateur est simple et puissante. Elle est accessible via Rapports >> Flux.

Flux offre un ensemble complet d’outils d’analyse, allant d’une vue d’ensemble offerte par différents graphiques à un exportateur CSV pour une analyse plus poussée à l’aide de votre tableur préféré.

Graphiques et totaux

La vue par défaut de Flux offre un aperçu des utilisateurs principaux agrémentée d’une vue graphique. Cette vue permet d’examiner rapidement les flux actuels et passés, en affichant un graphique pour le trafic entrant et sortant pour chaque interface configurée.

Sélection de la plage et de la résolution

Dans le coin supérieur droit, il est possible de sélectionner la plage de dates et la précision (résolution) des flux de trafic collectés.

Type de vue

Il est possible d’afficher les flux de trafic de manière empilée (par défaut), sous forme de flux ou de manière étendue pour comparer l’utilisation de différentes interfaces.

empilé

_images/vue_empilee_Flux_Netflow.png

Stream

_images/vue_par_flux_Netflow.png

Expanded

_images/vue_etendue_Netflow.png

Interfaces

Un clic sur une interface désactive ou active la vue graphique, un double clic sélectionne uniquement cette interface.

Utilisateurs principaux

Les 25 premiers utilisateurs sont affichés pour une interface sélectionnée, à la fois pour les ports et les IPs dans la plage de dates sélectionnée précédemment.

Interface Top

Sélectionnez l’interface pour voir les 25 premiers utilisateurs.

Camembert des ports

Le camambert d’aperçu des ports montre le pourcentage par port/application. On peut changer de vue en cliquant ou en double-cliquant sur l’un des noms/numéros de port affichés.

_images/camembert_complet_flux.png

En cliquant sur une partie du graphique, une vue détaillée s’ouvre pour une analyse plus approfondie.

_images/details_flux.png

Camembert des adresses IP

Le diagramme à secteurs des adresses IP fonctionne de la même manière que le diagramme à secteurs des ports et indique le pourcentage par adresse IP. On peut changer de vue en cliquant ou en double-cliquant sur l’une des adresses IP affichées.

En cliquant sur une partie du camembert, une vue détaillée s’ouvre pour une analyse plus approfondie.

Totaux des interfaces

La dernière version inclut également un total pour l’interface sélectionnée, avec les paquets (In, Out, Total) et les octets (In, Out, Total).

Vue détailée

On peut ouvrir la vue détaillée en cliquant sur l’un des morceaux du camembert ou en en cliquant sur l’onglet Détails.

Lorsque l’on ouvre la vue détaillée en cliquant sur l’onglet, on peut faire une nouvelle requête.

Après avoir sélectionné une plage de dates (de/à) et une interface valides, il est possible de limiter la sortie en filtrant sur le port ou l’interface. Il est possible d’affiner sa sélection en filtrant sur le port ou l’adresse IP. Sélectionnez l’icône d’actualisation pour mettre à jour le résultat. Laissez le champ port et adresse vides pour obtenir une liste détaillée complète.

_images/Flux_vue_detail_recherche.png

Vue d’exportation

La vue Export vous permet d’exporter les données en vue d’une analyse plus approfondie dans votre tableur favori ou toute autre application d’analyse de données.

_images/Export_Flux.png

Pour exporter des données, sélectionnez une collection :

  • FlowSourceAddrTotals - Totaux par adresse source

  • FlowInterfaceTotals - Totaux par interface

  • FlowDstPortTotals - Totaux par port de destination

  • FlowSourceAddrDetails - Détails complets par adresse source

Sélectionnez la Résolution en secondes (300,3600,86400)

Sélectionnez ensuite une plage de dates (de/à) et cliquez sur le bouton exporter.

_images/Flux_export_CSV.png