• Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu
    Sieci komputerowe

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Marek „Netbe” Lampart Opublikowane w

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Wstęp

    Współczesne zarządzanie siecią wymaga nie tylko blokowania lub przekierowywania ruchu, ale także jego ciągłego monitorowania i analizy. Protokoły takie jak NetFlow oraz IPFIX (Internet Protocol Flow Information Export) są szeroko stosowane w korporacyjnych środowiskach do zbierania szczegółowych informacji o ruchu sieciowym. MikroTik posiada wbudowany mechanizm eksportu danych NetFlow/IPFIX, co pozwala na jego wykorzystanie jako źródła danych dla systemów klasy NTA (Network Traffic Analysis), takich jak ntopng, PRTG, Zabbix z pluginami czy Elastic Stack.

    Krok 1 — Włączenie Exportera Traffic Flow

    Przejdź do konfiguracji Traffic Flow:

    /ip traffic-flow set enabled=yes
/ip traffic-flow target add address=192.168.1.200 port=2055 v9=yes
    • address — adres serwera kolektora NetFlow/IPFIX
    • port — domyślny port NetFlow v9 (lub IPFIX)
    • v9 — aktywacja eksportu w formacie NetFlow v9

    Krok 2 — Wybór Interfejsów do Monitorowania

    /ip traffic-flow interface add interface=ether1
/ip traffic-flow interface add interface=bridge1

    Monitoruj tylko interfejsy kluczowe z punktu widzenia analizy ruchu — zwykle uplink WAN i bridge LAN.

    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu
    Konfiguracja MikroTik — Część 67: MikroTik jako Agent NetFlow/IPFIX do Integracji z Systemami Analizy Ruchu

    Krok 3 — Weryfikacja Połączenia z Kolektorem

    Użyj narzędzia takiego jak nfdump lub nProbe aby sprawdzić, czy dane napływają:

    nfdump -r /path/to/flowdata -o long

    Krok 4 — Integracja z Systemami NTA

    MikroTik świetnie współpracuje z:

    • ntopng — wizualizacja ruchu, top talkers, analiza aplikacji
    • Elastic Stack + Logstash — gromadzenie i analiza flowów
    • PRTG — monitoring ruchu per IP/MAC
    • Zabbix — z pluginami flow sensor
    Czytaj  Diagnostyka problemów z routingiem RIP: Najczęstsze błędy konfiguracji

    Przykład konfiguracji input NetFlow w Logstash:

    input {
  udp {
    port => 2055
    codec => netflow {
      versions => [9]
    }
  }
}

    Krok 5 — Zaawansowane Ustawienia Traffic Flow

    • Active Timeout — jak często są wysyłane dane
    • Inactive Timeout — po jakim czasie nieaktywnego flowa następuje eksport
    • Sampling — ograniczenie liczby próbkowanych pakietów

    Przykład zmiany parametrów:

    /ip traffic-flow set active-flow-timeout=30m
/ip traffic-flow set inactive-flow-timeout=15m

    Krok 6 — Bezpieczeństwo i Kontrola

    Aby nie narazić się na przesycenie łącza przez export traffic flow, stosuj:

    • Ograniczenie interfejsów
    • Sampling (np. 1 na 1000 pakietów)
    • Dedykowane VLAN na eksport NetFlow

    Krok 7 — Przykład Zastosowania w Praktyce

    • Wykrywanie anomalii i ataków DDoS na poziomie flowów
    • Identyfikacja nieautoryzowanego użycia aplikacji P2P
    • Śledzenie użytkowników generujących największy ruch
    • Raportowanie trendów ruchu w organizacji

    Podsumowanie

    MikroTik z funkcją eksportu NetFlow/IPFIX może pełnić rolę lekkiego agenta monitorującego w środowiskach profesjonalnych. Pozwala na wczesne wykrywanie problemów z wydajnością, anomalii ruchu oraz nieautoryzowanych aktywności. To rozwiązanie skalowalne i kompatybilne z większością systemów klasy SIEM/NTA.

     

    Polecane wpisy
    VPN: Jak działa i dlaczego warto go używać?
    VPN: Jak działa i dlaczego warto go używać?

    VPN: Jak działa i dlaczego warto go używać? W dzisiejszych czasach, kiedy większość naszych działań przenosi się do internetu, kwestia Czytaj dalej

    Różne metody uwierzytelniania dwuskładnikowego: SMS, aplikacje uwierzytelniające, klucze U2F/FIDO2
    Różne metody uwierzytelniania dwuskładnikowego: SMS, aplikacje uwierzytelniające, klucze U2F/FIDO2

    🔐 Różne metody uwierzytelniania dwuskładnikowego: SMS, aplikacje uwierzytelniające, klucze U2F/FIDO2 Współczesne zagrożenia cyfrowe rozwijają się szybciej niż kiedykolwiek wcześniej. Ataki Czytaj dalej

    Powiązane wpisy:

    1. Konfiguracja MikroTik – Część 34: Monitorowanie ruchu sieciowego z wykorzystaniem Torch, Packet Sniffer i Traffic Flow
    2. MikroTik od podstaw do zaawansowania — część 1: Architektura systemu RouterOS i najlepsze praktyki konfiguracji
    3. Konfiguracja MikroTik – Część 38: Zaawansowane monitorowanie ruchu sieciowego i alerty z wykorzystaniem NetFlow i SNMP
    4. Konfiguracja MikroTik — Część 55: MikroTik jako Agent Zdalnego Monitoringu Zasobów Sieciowych z Wykorzystaniem SNMP, NetFlow i API
    5. Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
    Czytaj  Automatyzacja zadań administracyjnych w sieciach komputerowych za pomocą skryptów (Python, PowerShell)
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również