• Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu
    Sieci komputerowe

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Marek „Netbe” Lampart Opublikowane w

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Wstęp

    Współczesne zarządzanie siecią wymaga nie tylko blokowania lub przekierowywania ruchu, ale także jego ciągłego monitorowania i analizy. Protokoły takie jak NetFlow oraz IPFIX (Internet Protocol Flow Information Export) są szeroko stosowane w korporacyjnych środowiskach do zbierania szczegółowych informacji o ruchu sieciowym. MikroTik posiada wbudowany mechanizm eksportu danych NetFlow/IPFIX, co pozwala na jego wykorzystanie jako źródła danych dla systemów klasy NTA (Network Traffic Analysis), takich jak ntopng, PRTG, Zabbix z pluginami czy Elastic Stack.

    Krok 1 — Włączenie Exportera Traffic Flow

    Przejdź do konfiguracji Traffic Flow:

    /ip traffic-flow set enabled=yes
/ip traffic-flow target add address=192.168.1.200 port=2055 v9=yes
    • address — adres serwera kolektora NetFlow/IPFIX
    • port — domyślny port NetFlow v9 (lub IPFIX)
    • v9 — aktywacja eksportu w formacie NetFlow v9

    Krok 2 — Wybór Interfejsów do Monitorowania

    /ip traffic-flow interface add interface=ether1
/ip traffic-flow interface add interface=bridge1

    Monitoruj tylko interfejsy kluczowe z punktu widzenia analizy ruchu — zwykle uplink WAN i bridge LAN.

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu
    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Krok 3 — Weryfikacja Połączenia z Kolektorem

    Użyj narzędzia takiego jak nfdump lub nProbe aby sprawdzić, czy dane napływają:

    nfdump -r /path/to/flowdata -o long

    Krok 4 — Integracja z Systemami NTA

    MikroTik świetnie współpracuje z:

    • ntopng — wizualizacja ruchu, top talkers, analiza aplikacji
    • Elastic Stack + Logstash — gromadzenie i analiza flowów
    • PRTG — monitoring ruchu per IP/MAC
    • Zabbix — z pluginami flow sensor
    Czytaj  Konfiguracja MikroTik — Część 82: MikroTik jako Transparentny Proxy z Redirectem HTTP/S — Bez ingerencji w urządzenia końcowe

    Przykład konfiguracji input NetFlow w Logstash:

    input {
  udp {
    port => 2055
    codec => netflow {
      versions => [9]
    }
  }
}

    Krok 5 — Zaawansowane Ustawienia Traffic Flow

    • Active Timeout — jak często są wysyłane dane
    • Inactive Timeout — po jakim czasie nieaktywnego flowa następuje eksport
    • Sampling — ograniczenie liczby próbkowanych pakietów

    Przykład zmiany parametrów:

    /ip traffic-flow set active-flow-timeout=30m
/ip traffic-flow set inactive-flow-timeout=15m

    Krok 6 — Bezpieczeństwo i Kontrola

    Aby nie narazić się na przesycenie łącza przez export traffic flow, stosuj:

    • Ograniczenie interfejsów
    • Sampling (np. 1 na 1000 pakietów)
    • Dedykowane VLAN na eksport NetFlow

    Krok 7 — Przykład Zastosowania w Praktyce

    • Wykrywanie anomalii i ataków DDoS na poziomie flowów
    • Identyfikacja nieautoryzowanego użycia aplikacji P2P
    • Śledzenie użytkowników generujących największy ruch
    • Raportowanie trendów ruchu w organizacji

    Podsumowanie

    MikroTik z funkcją eksportu NetFlow/IPFIX może pełnić rolę lekkiego agenta monitorującego w środowiskach profesjonalnych. Pozwala na wczesne wykrywanie problemów z wydajnością, anomalii ruchu oraz nieautoryzowanych aktywności. To rozwiązanie skalowalne i kompatybilne z większością systemów klasy SIEM/NTA.

     

    Polecane wpisy
    IPv6: Przewodnik po konfiguracji i znaczeniu dla przyszłości internetu
    IPv6: Przewodnik po konfiguracji i znaczeniu dla przyszłości internetu

    IPv6: Przewodnik po konfiguracji i znaczeniu dla przyszłości internetu 🌐 Wprowadzenie Rozwój technologii i gwałtowny wzrost liczby urządzeń podłączonych do Czytaj dalej

    Jak skonfigurować routing statyczny IPv6 między dwoma routerami?
    Jak skonfigurować routing statyczny IPv6 między dwoma routerami?

    Jak skonfigurować routing statyczny IPv6 między dwoma routerami? 🌐 Co to jest statyczny routing IPv6? Statyczny routing IPv6 to ręczna Czytaj dalej

    Powiązane wpisy:

    1. Konfiguracja MikroTik – Część 34: Monitorowanie ruchu sieciowego z wykorzystaniem Torch, Packet Sniffer i Traffic Flow
    2. MikroTik od podstaw do zaawansowania — część 1: Architektura systemu RouterOS i najlepsze praktyki konfiguracji
    3. Konfiguracja MikroTik – Część 38: Zaawansowane monitorowanie ruchu sieciowego i alerty z wykorzystaniem NetFlow i SNMP
    4. Konfiguracja MikroTik — Część 55: MikroTik jako Agent Zdalnego Monitoringu Zasobów Sieciowych z Wykorzystaniem SNMP, NetFlow i API
    5. Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
    Czytaj  Bezpieczeństwo Sieci Bezprzewodowych: WEP, WPA, WPA2, WPA3 i Ich Zabezpieczenia
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również