Я первым раз пишу статьи, особенно на профильных ресурсах. Так что если заметите ошибки, неточности и т.д - пишите сюда и я поправлю ошибки. Спасибо за понимание
0. Вступление
Наверняка, на данном форуме собрались безопасники, которые следят за актуальными уязвимостями и занимаются устранением дыр в корпоративной сети, пентестеры, которые ищут дыры в корпоративной сети и помогают их устранить, а также те люди, которые взламывают корпоративные системы ради своей или чей-то выгоды. Но знаете ли вы на все 100 процентов, что происходит в вашей домашней, локальной сети? 24/7 гонять Wireshark и потом читать логи - не вариант. Поэтому мы сегодня рассмотрим, как поднять ntopng - веб анализатор с алертами, или SME на минималках.
1. Подготовка инфраструктуры
Я уже установил ntopng на свой роутер, а переустанавливать и настраивать с нуля мне лень. Поэтому часть скринов будет с инета.
ntopng поставляется ввиде VM, готовых железок (по очень большому оверпрайсу. Об этом ниже), бинарников для Linux/BSD/macOS, Docker образах. В данном случае мы будем устанавливать ntopng на OPNSense, который в свою очередь у меня установлен на мини ПК с Китая за 11к рублей.
О мини ПК
Я брал Findarling AN2 J4125 на озоне за 11k рублей. У него есть 4 ethernet порта, на борту современный селерон, 8гб ОЗУ и ноунейм NVMe SSD. В принципе, для домашней сетки больше и не надо. Но он, кстати, способен вытягивать сетку с ~500 хостами и 7 VLAN-ов и это не предел. Но тут стоит забыть об использовании ntopng, тут ЦП уже задыхается Я установил на него OPNSense. В данном случаи я имею больше настроек и более понятный интерфейс, нежели у микротиков.
Кстати, вот подобный ПК рекламируется на сайте ntop за оверпрайс. Зато, с предустановленным ntopng.
Когда уже установили и настроили OPNSense/pfSense, то устанавливаем ntopng в качестве плагина.
Для этого открываем веб морду OPNSense.
2. Устанавливаем пакеты "os-ntopng" и "os-redis"
3. Включаем Redis и потом ntopng
Также надо забиндить ntopng на какой либо порт. Я для себя в сделал, чтобы работал через http и закрыл файрволом, чтобы мог туда зайти только я со своего ПК.
Ну, а дальше переходим по адресу, где у нас находится OPNsense и порту, который мы назначили.
3. Базовая настройка, где смотреть трафик и прочее.
И так, мы наконец зашли в вебку ntopng и нам интересно, кто сканит наш айпишник, где сейчас сидит наша жена, какую порнуху смотрит сын, куда отсылает пакеты этот подозрительный софт, но обо всем по порядку.
Первым делом, надо внести в вайт лист DNS сервера, которые мы используем, иначе засрет все алерты. Переходим в Settings > Behavioural Settings. Тут ищем "Unexpected DNS server" и "Edit check options"
Включаем, вписываем используемые DNS сервера.
Далее проваливаемся в Behavioural Checks > All и включаем/отключаем проверки, которые нам нужны.
А как трафик то смотреть? Все просто. Flows -> Live
Ну а в Alerts можно глянуть, кто пытается подменить DNS сервер, запустил левый DHCP сервер, сканирует сетку
На этом все. Если будут вопросы по OPNSense-у, то тоже готов на них ответить.
