Des informations limités sur les pare-feu

Les firewalls Open Source pfSense® et OPNsense® offrent des possibilités limitées d'analyse temps réel de ce qui se passe sur les réseaux…

1. Pour pfSense® Status >> Traffic Graph

Cette section offre un accès temps réel avec quelques informations basiques :
pfsense flow collection analysis
Ce graph temps réel est très largement insuffisant !
En effet, il ne permet d'avoir que quelques adresses IP avec le traffic associé en temps réel.
Il se remet à jour dès que la page est rechargée ou que l'on change l'un des paramètres du formulaire associé.
Les équipements avec un faible trafic ne sont pas représentés…
 

2. Pour OPNsense

La situation est légèrement meilleure pour OPNsense® qui  dispose nativement d'un collecteur de traffic au format NetFlow.
Cette section est appelée "Insight" et se règle au niveau de l'onglet "NetFlow".
Le collecteur de flux est basée sur le logiciel samplicate qui est un collecteur de flux très basique.

La collecte des flux permets (en théorie) d'afficher du traffic en provenance des interfaces que l'on sélectionne dans le paramétrage de NetFlow. Cela permet aussi d'exporter des flux vers un "collecteur Netflow" distant.

La qualité de l'outil rends difficile la collection des flux et de nombreux problèmes se posent si vous disposez d'interfaces bridge ou d'interface utilisant PPPoE. Dans ce cas la collection des flux semble complexe, voire inopérationnelle.

Il existe aussi la section "Santé" ou "Traffic" qui permettent de visualiser pour le premier les données RRD issues du traffic et pour le second des données temps réel (équivalent à celles de pfSense présentées dans la section précédente).

Ces données sont partiels et n'offrent pas une vision au delà du L3 (IP), sauf pour la partie "Insight" qui semble assez bugé à ce stade (v.19.7.x).
 

Comment obtenir des métriques professionnels ?

ntopng pfsense opnsenseLa solution la plus simple est d'utiliser ntopng.

Ce logiciel est inclus sous forme de package aussi bien dans pfSense® que OPNsense®, cependant nous vous déconseillons vivement de l'installer sur votre firewall (sauf pour un rapide test). En effet, ce logiciel, bien que très optimisé, n'est pas fait pour être déployé sur un firewall et pourrait impacter très négativement les performances de votre pare-feu (collecte de log trop volumineuses, impact sur les performances importantes).

Il est donc préférable de le déployer de façon autonome sur une machine virtuelle par exemple…

Lors de l'installation du package sur votre serveur, l'installer va déployer plusieurs composants dont les deux plus utiles pour nous seront ntopng et nprobe.
Ntopng est la nouvelle version du logiciel Open Source ntop : sonde de traffic réseau qui permet la supervision des usages  web. Ce logiciel est basé sur libpcap et a été écrit de façon à pouvoir être porté sur n'importe quelle plate-forme dérivée de Unix (Linux, Mac OSX) et même Windows. Ntopng offre une interface web simple, intuitive et encrypté (après une courte manipulation) qui permet d'explorer en temps réel l'historique du traffic d'un ou de plusieurs réseaux.
Il deviendra ainsi très simle de collecter les flux de plusieurs de vos réseaux en temps réel.

L'excellente nouvelle ce sont les performances incroyables de ntopng et nprobe.
En effet, Ntopng est capable de collecter des dizaines de milliers de flux sans utiliser plus que quelques gigas de RAM, sans tirer sur le processeur !
Un bandeau situé en bas de la fenêtre vous donne des indications utiles sur les nombre de flux collectés en temps réel. Dans l'exemple proposé ci-dessous le collecteur récupère 2420 paquets par secondes en provenance de 26883 hôtes et à destination de 396 hôtes internes pour un total de 545.875 flux - le tout sur un serveur virtuel auquel on a dédié 4Go de RAM et 2CPU…

Un véritable bonheur quand on analyse les offres concurentes telles que Graylog ou Splunk :

  • la complexité de déploiement de ce type d'outils
  • les ressources nécessaires pour faire tourner des outils de ce type : généralement un minimum de 4 ou 5 serveurs barebones avec des réplication croisées…
  • et enfin le coût de déploiement d'outils similaires…

La promesse de ces logiciels est pourtant assez similaire à ce que propose ntopng : "Sachez ce qui se passe en temps réel" (promesse que l'on retrouve sur la homepage de Splunk).
Bien évidemment Splunk ou Graylog poussent l'analyse beaucoup plus loin que les simples logs NetFlow… mais quelle est la valeur ajoutée d'une analyse des logs NTP temps réel ? ou Syslog qui va collecter de multiples métriques extrêmement différents ?
 

Quels sont les logiciels à mettre en œuvre ?

 
ntopng est composé d'un ensemble d'outils dont les principaux sont les suivants :
  • un collecteur de flux
  • un analyseur de traffic qui joue aussi le rôle de collecteur de flux
 

Nprobe peut donc être utilisé :

  • pour collecter et exporter les flux NetFlow généré par les pare-feux pfSense ou OPNsense
  • en remplacement de collecteur aux faibles performances
  • pour analyser un traffic de n-Gbit temps réel sans perte de paquet
  • afin de rediriger les flux supervisés vers un collecteur tel que le logiciel OpenSource Ntop-NG ou bien vers des logiciels de tierce partie (Cisco NetFlow Collector ou Plixer par exemple)
 

Une fois déployé les outils permettront de visualiser en temps réel votre traffic réseau !
Si vous n'avez pas souscrit de licence, l'outil sera quand même opérationnel, mais pendant une courte durée (suivant le nombre de flux réseau traité, cela durera de quelques minutes à quelques secondes)… Après l'outil se mettra directement en pose.

Il est donc nécessaire de faire l'acquisition d'une licence pour pouvoir continuer à utiliser ntopng sans encombre. La bonne nouvelle c'est que vous pouvez passer par nous pour obtenir votre licence ou pour vous simplifier la vie est procéder à l'installation de l'outil.
 

Une fois déployé, qu'est-ce que cela donne ?

C'est un véritable plaisir de travailler avec cet outil car il offre des performances exceptionnelles pour un coût très réduit.
Son interface est simple à appréhender et il est tout à fait complémentaire de ce que votre pare-feu offre en standard.
 

Une vision générale temps réel :

L'outil propose deux tableaux de bords génériques : "Traffic Dashboard" et "Traffic Report"
Ces tableaux de bords sont très complets et mis à jour en temps réel. En plus d'offrir un panorama par adresses IP, ils offrent aussi un vision par application fort utile).
ntopng traffic dashboard

La section Traffic Report donne plus de détail (ceux-ci peuvent se paramétrer dans les préférences de l'outil).

On trouvera aussi dans cette section le détail par pays ou par AS…

Un système d'alertes

Ntopng intègre aussi un système d'alertes paramétrables.
ntopng alert dashboard
L'outil bénéficie d'une détection de flux anormaux basé sur les IP black-listés, sur des flux non-conformes ou de nombreux autres métriques. Pour plus de détail consultez la documentation ici.

Il est possible d'envoyer les flux d'alerte afin de les traiter et de blacklister les IPs ainsi détectées (format JSON, syslog RFC 5424, texte).
ntop flow alerts

Il faut aussi noter que les flux Netflow collectés le sont avant d'être filtré par le firewall.
Les alertes générées ne sont donc (la plupart du temps et si vous avez un firewall correctement paramétré) pas effective et correspondent bien souvent à un scan de ports ou des petits paquets forgés afin de tenter d'exploiter une faille…

L'intérêt de filtrer ces alertes est de permettre de définitivement balcklister les IPs avant qu'elles n'aient pu atteindre un cible (un port ouvert sur un service vulnérable). 
 

Des détails par IP fantastiques

Sur chaque alerte un boutton "Drilldown" permet un accès très détaillé à l'IP source de l'attaque. Il permet ainsi d'obtenir des détails sur la surface de l'attaque et le volume de données en provenance de cette IP. Les données exposées ici sont très précieuses et permettent de vraiment bien comprendre ce qui se passe sur une IP donnée.
De très nombreuses possibilités de traitement s'offrent à vous à partir de cet onglet. Cela offre donc la posisbilité de parfaitement comprendre ce qui se passe sur un hôte donné en faisant varier les paramètres à votre dispoisition vous parviendrez à identifier dans le détail ce qui se passe. 
ntopng host analysis

Des données géographiques sont aussi disponibles (à condition d'avoir donné son ID Google Maps afin d'activer les API associées).
ntopng geoip map

Il est aussi possible de l'interconnecter avec SNMP afin de disposer de métrique très précis sur les interfaces physiques de votre pare-feu. Le détail des interfaces est alors similaire à celui présenté dans la section consacré à la vision détaillée des hôtes.
 

Pour aller plus loin

Il est possible d'obtenir des analyses détaillées par VLANs ou pour de multiples firewalls en se basant sur les interfaces.
Le paramétrage de l'outil de collecte nprobe est sensible et constitue la partie la plus complexe à réaliser dans le cadre d'un déploiement de l'outil.

Bien comprendre ce que l'on souhaite analyser, avec quel objectif, combien de temps on va décider de conserver les logs, … Toutes ces décisions doivent être prises en connaissance de cause pour pouvoir tirer pleinement profit de l'outil ntopng.
 

Conclusion : ntopng l'outil nécessaire de votre analyse réseau temps réel

A notre sens la promesse d'obtenir des données analytiques précises sur votre réseau en temps réel est tenue par ntopng.
Non seulement il permet un traitement complet temps réel, mais il permet aussi d'aller réellement dans le détail et l'analyse (contrairement à tous les outils présent sur les firewalls pfSense® et OPNsense®).

De plus sa capacité de collecte permet de se constituer une archive plus ou moins longue qui vous permettra en cas d'interrogation de comprendre ce qui s'est passé.

Enfin, il est impératif d'insister sur le prix auquel cet outil est disponible: pour une version entreprise avec un collecteur nprobe, le coût est inférieur à 1000€ avec un coût annuel d'environ la moitié.

La difficulté principale consiste à savoir régler et déployer ces outils. Mais heureusement, vous pouvez compter sur OSNet pour vous aider dans la mise en œuvre de vos projets. Contactez-nous pour obtenir plus d'information sur le logiciel et sur nos prestations.