文:ジュピターテクノロジー よしひろ
弊社取り扱い製品、ntopng,nProbeを開発するイタリアのntop社。今回、ntop社が開催する有料のプロフェッショナルトレーニングを受講しましたので、その内容を共有します。
トレーニングスケジュールは、全5日間で1日90分間となりますので、気楽に受講することができました。ntopはイタリアの会社ですが、トレーニングは英語ですので、英語が苦手でなければ是非ご受講ください。
トレーニング内容は、座学とデモを組み合わせた内容です。それぞれ、概要を共有させていただきます。
パート1 イントロダクション
初日は、初歩的な内容ですがトラフィック可視化、分析には外せないトピックとなります。
- ntopngのイントロダクション
- 主要な機能、ntopngを使うとなにができるのか
- ntopngアーキテクチャ
- どのようにntopngは、動作するのか?キーコンポーネント、外部アプリケーションとの相互作用説明
- トラフィック分析
- パケットとDPI(ミラー、SPAN、TAP), デモ
- HPスイッチを使ったミラーポートの設定方法,
- フロー収集(sFlow, NetFlow, IPFIX),
- Ubiquitiエッジルーターを使った、sFlow, NetFlow設定
- パケット vs フロー
- 違いと短所・長所
- SNMPとアクティブモニタリング:
- CiscoスイッチでのSNMP設定
実際の講義では、テキストを使って上記の項目を詳しく説明していきます。例えば、ミラーポートとは?TAPとは?といったレベルの説明もしてくれるのではじめてフローという言葉を聞いたといった人でも問題なく受講できる内容です。
パート2 インストールとライセンス
- サポートプラットフォームとOS
- ntopngインストール
- Linux ハンズオン(Ubuntu,Centos)
- Windows
- FreeBSD/OPNsense/pfSense
- ライセンス
- ライセンスモデル
- バージョン間の違い(コミュニティ版 vs プロ vs エンタープライスMとL)
- メンテナンス
- ハンズオン:ライセンスの生成
- System ID
- ライセンスの生成と適用
- サービスとしてntopngの起動する
- 設定ファイル
- systemd
- Dokcer上でのntopng
- ライセンスとコンテナ
- ハードウェアサイジング、チューニング、インストールのベストプラクティス
事前に半年間無料で使えるntopngのライセンスが配布されます。Vmware Playerで当方はデモ環境を準備しました。他の参加者さんは、結構苦労していたようです。実運用を考えている方は、ハードウェアサイジングの座学は非常に役に立つ内容です。
パート3 ネットワークインテリジェンス
- ハンズオン
- ping google.com
- ntopngではどのように表示されるか?
- アクティブホスト、フロー、そしてライフサイクル
- アラート、異常、ネットワークとセキュリティ問題
- Checksと設定
- 除外リスト
- pcapファイル(疑わしいDNSトラフィック)の分析
- アラートと関連リスク
- スコアインジケーター指標
- アラートを外部の受信者に送付する(mail,Discord, Telegram,Slack, ElasticSearch)
- エンドポイントと受信者
- ハンズオン
- アラートをDiscordチャネルに送付する
ntopngをコマンドで起動し、google.comに対するICMPのトラフィックのみを分析します。ntopngの基本動作が学べます。また、Checksと言われるLuaスクリプトがntopngのアラートを司るプログラムであることを学び、どのようなアラートと動作をしてくれるかを端的にまなぶことができます。
パート4 フロー収集
- フロー収集 vs パケット収集
- sFlow、NetFlow/IPFIX
- フローsFlow, NetFlow/IPFIX収集の方法
- nProbeインテグレーション
- ハンズオン: nProbeからNetFlow収集
- NetFlowをエクスポートするためのnProbe設定
- NetFlowを収集するためのnProbe設定
- nProbeとntopngの接続
- ハンズオン
- NAT越しのフロー収集
- コレクターとプローブモード
- パフォーマンスとチューニング
- 大量のデバイスからのフロー収集
- Observation Points
一般的には、フローコレクターは外部エクスポーターからxFlow(sFlow,NetFlow,IPFIX等)を受信して、可視化するソフトウェアを指します。パート4では、エクスポーター側、ntopng側両方を設定し、実際にxFlowを受信してどのようにntpongで可視化できるかを体験します。
パート5 履歴データ
- 履歴データ
- 時系列
- フロー
- アラート
- ハンズオン
- 時系列データと設定
- インターフェイスとローカルホストの時系列
- 時系列データの保存(RRD, InfluxDB)
- フローデーターストア(ClickHouse,MySQL,ElasticSearch)
- ハンズオン: どのようにディスクに保存されるか?
- データーディレクトリ
- 履歴データーへのアクセス
- 時系列とフローエクスプローラー
- パケットとデーターのドリルダウン(n2disk)
- データー保持期間
- サイジング
ntopngのもっとも特徴的な機能である、時系列データーの仕組みを説明します。最近採用されたClickhouseを時系列データーベースに指定するとrawフロー分析、アラート分析の処理性能が大幅に改善されます。また、n2diskによって簡易なトラフィックレコーダーを実現することを体験していただきます。
終わりに
弊社でも日本語によるntopng教育サービスを将来的には実施していきたいなと考えている所存です。ご興味がある方は、以下の問い合わせリンクよりご連絡ください。
お問い合わせ
ntopngにご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。
10分間機能制限なし!無償でご利用いただける評価版も以下のダウンロードリンクにご用意しております。簡単に検証が開始できますので、評価ガイド(PDF)を参考にぜひお試しください!
