ELK Stack – Kibana Filebeat Dashbords (Netflow)

Published by Lello on

Una dashboard creata da Filebeat è quella relativa all’analisi dei flussi di rete Netflow; tali dati potranno essere analizzati anche in SIEM, una delle dashboard più importanti di Kibana.

NetFlow è una funzionalità introdotta sui router Cisco intorno al 1996 che offre la possibilità di raccogliere il traffico di rete IP quando entra o esce da un’interfaccia. Netflow viene molto utilizzato dagli amministratori di rete per capire la tipologia e la quantità di traffico presente su una rete, la classe di servizio, e soprattutto le cause di  eventuali congestione.

Una tipica configurazione di monitoraggio tramite analisi Netflow è composta da tre componenti principali:

  • Flow exporter : aggrega i pacchetti in flussi e li esporta verso uno o più raccoglitori di flusso;
  • Flow collector : responsabile della ricezione, archiviazione e pre-elaborazione dei dati di flusso ricevuti da uno o più esportatore di flussi;
  • Analysis application: analizza i dati di flusso ricevuti nel contesto del rilevamento delle intrusioni o della profilazione del traffico.

In questo esempio, utilizzeremo:

Abilitazione Netflow su OPNsense ed export verso filebeat

Per abilitare OPNsense a creare ed esportare un flusso Netflow, dopo essere entrati nell’interfaccia grafica del prodotto, navigare su:

Reporting –> Netflow

Kibana Netflow

Sulla scheda Capture:

  • Listening interface: selezioniamo le interfacce su cui vogliamo abilitare il Netflow; possono essere solo alcune o eventualmente tutte (in base alla necessità che abbiamo);
  • WAN Interface: indichiamo quale sia l’interfaccia WAN, per evitare di avere traffico NAT ripetuto;
  • Version: indichiamo il tipo di versione NetFlow che vogliamo utilizzare (un esaustivo  elenco dei vari tipi di Netflow lo trovate a questo indirizzo); in questo caso esporteremo Netflow in versione 9;
  • Destination: indichiamo l’indirizzo IP/porta UDP a cui vogliamo inviare il flusso Netflow (la macchina su cui abbiamo attivato il modulo Netflow di Filebeat).

Avendo precedentemente già configurato il modulo Netflow di Filebeat, ci ritroveremo tra le dashboard di Kibana, quella di Netflow; cerchiamola tra le dashboards presenti:

Kibana Dashboard Netflow

Selezioniamo [Filebeat Netflow] Overview; verrà presentata la dashboard che ci permette di analizzare il traffico Netflow contenuto in Elasticsearch. Chiaramente in questa schermata viene rappresentata la collect di TUTTI i dati Netflow presenti in Elasticsearch; se avete più sistemi che esportano flussi Netflow, potete impostare un filtro nella barra posta in alto relativa al sistema da analizzare. 

La dashboard è composta da diverse sezioni:

  • Overview: da questa sezione è possibile avere un’idea di massima del traffico e impostare eventualmente dei filtri per avere maggiori informazioni su alcuni dettagli;

Kibana Netflow

  • Conversation Partner: in questa sezione, è possibile visualizzare gli indirizzi di origine e destinazione dei client e dei server coinvolti nelle conversazioni del flusso che stiamo analizzando;

Kibana Netflow Conversation Partner

  • Traffic analysis: in questa dashboard, è possibile effettuare un’analisi del traffico, suddivisa per:
    • Indirizzi IP Sorgenti e Destinazioni (suddivisi per bytes e packets)
    • Porte sorgenti e destinazioni (bytes e packets)
    • Tipi di servizio (bytes e pacchetti)
    • VLAN (bytes e pacchetti)
    • Autonomous Systems (bytes e pacchetti)
    • TCP Flags (bytes e pacchetti)
    • Countries,Cities  (bytes e pacchetti) 

Kibana Netflow Traffic Analysis

  • Top-N: in questa sezione vengono rappresentati le sorgenti e destinazioni (IP address, Ports, Protocol, Cities) che generano più traffico nel flusso Netwflow; 

Kibana Netflow Top-N

  • Geo Location: in questa dashboard è possibile visualizzare la posizione di destinazioni e fonti su una mappa; le informazioni rappresentate riguardano:
    • Country e Cities
    • Destinazioni e sorgenti (IP e porte)
    • Mappa

Kibana Netflow Geo Location

  • Autonomous Systems: AS coinvolti nel traffico analizzato.

Kibana Netflow Autonomous Systems

  • Flow exporters: apparecchiature che esportano flussi netflow e relative interfacce analizzate.

Kibana Netflow Flow Exporters

  • RAW Flow records; dettaglio dei flussi che arrivano a Kibana.

Kibana Netflow Flow records

 

La dashboard di Netflow è uno strumento potentissimo messo a disposizione degli amministratori di rete; se ad esempio si volesse indagare su un bottleneck, con questo strumento è possibile analizzare i flussi Netflow, applicando i filtri più disparati sino  ad arrivare alla causa del problema.

Ricordarsi inoltre, che questa è l’interfaccia predefinita creata da Filebeat per analizzare il flusso Netflow; esiste sempre la possibilità di creare dashboards personalizzate per avere sempre sotto controllo i dati che interessano maggiormente.

 

← ELK Stack – Kibana Filebeat Dashbords (Apache)

ELK Stack – Installazione Auditbeat →