Vagrant와 Ansible을 이용한 흐름 정보의 시각화 환경 생성

FUJITSU Advent Calendar 2018의 11일째 기사입니다.
(주의) 이 기사는 개인의 견해이며, 소속하는 회사, 조직을 대표하는 것이 아닙니다.

소개



Wireshark에서 1GB 이상의 PCAP 파일을 추적하는 것은 어렵습니다.

도전



네트워크의 흐름 정보로부터 유용한 정보를 얻고 싶지만 netflow나 IPfix의 흐름 정보의 가시화 환경 구축은 번거로움

해결 방법



Vagrant와 Ansible을 사용하여 ElasticStack과 Grafana를 사용하여 흐름 정보를 시각화하는 VM (Ubuntu 16.04 기반)을 만들었습니다.

Vagrant 및 Ansible로 생성되는 VM 구성


  • 네트워크 인터페이스에서 수신 된 패킷을 YAF에서 IPfix 형식의 흐름 정보로 변환
  • super_mediator에서 IPfix를 JSON 형식의 파일로 변환
  • JSON 형식의 파일을 Logstash를 통해 Elasticsearch에 입력
  • Elasticsearch에서 흐름 정보 검색
  • Elasticsearch의 검색 결과를 Kibana 및 Grafana로 시각화

  • 운영 환경


  • 메모리 8GB 이상의 Windows,Mac,Linux
  • 대상 네트워크에 연결할 수 있는 NIC
  • git
  • VirtualBox
  • Vagrant
  • vagrant-disksize plugin
  • vagrant-proxyconf plugin (http proxy 사용 환경)
  • vagrant-vbguest (선택 사항)
  • firefox or chrome (IE, edge 불가)

  • 리포지토리



    설치 방법 등의 상세



    발표 자료



    2018/06/16의 보안 마이스터 도장 (SecDojo) ~ 여름 장소 ~ LT 프레임 발표 자료 (2018/11/08 수정)



    Ansible Night in Osaka 2018.11 LT



    Kibana 표시 예



    대시보드(bar2)


  • 흐름 수 추이 (당일, 1 일 전, 1 주일 전)
  • DNS 문의 이름
  • 옥텟 수 추이
  • 흐름 수 (IP, 포트, MAC, TCP 플래그, 프로토콜 번호로 분류)
  • http Host
  • http Referer
  • http Get
  • http UserAgent
  • http ServerString


  • JSON 파일에 포함된 정보는 추가 표시 가능




  • SSL 인증서 만료
  • SIP 전화 번호

  • Grafana 표시 예


  • 흐름 수
  • 옥텟 수 (순방향, 역방향)
  • 패킷 수 (순방향, 역방향)
  • 흐름, 옥텟 및 패킷 수로 경고를 보내는 데 사용됩니다.



    URL



    CERT NetSA Security Suite



    YAF



    super_mediator

  • 좋은 웹페이지 즐겨찾기