Продолжаем серию статей. - Detection is easy, посвященных Detection engineering (DE), о чем я пишу в одноименном Telegram-канале. Сегодня мы рассмотрим установку OPNSense на Proxmox и настройку отправки NetFlow на коллектор ElastiFlow, который мы настроили в прошлой статье.
Для начала подключимся к Proxmox VE и создадим виртуальную машину с двумя сетевыми интерфейсами.
qm create 110 --name OPNsense --memory 2048 --cores 2 --net0 virtio,bridge=vmbr0 --net1 virtio,bridge=vmbr200 --scsihw virtio-scsi-pci --scsi0 local-lvm:10С официального сайта OPNsense скачаем архив ISO-образа и распакуем его.
wget https://mirror.ams1.nl.leaseweb.net/opnsense/releases/24.7/OPNsense-24.7-dvd-amd64.iso.bz2 && bzip2 -d OPNsense-24.7-dvd-amd64.iso.bz2Подключим ISO-образ к созданной виртуальной машине.
qm set 110 --cdrom local:iso/OPNsense-24.7-dvd-amd64.isoЗапускаем OPNSense.
qm start 110Входим в консоль PVE и настраиваем два интерфейса WAN и LAN. Авторизуемся с логином и паролем installer:opnsense. Начнется процесс установки.
После этого подключимся к веб-интерфейсу с root:<пароль, который установили при настройке>. Для конфигурирования NetFlow перейдем во вкладку Reporting -> NetFlow.
Нам доступно несколько параметров:
Listening interfaces - с каких интерфейсов слать NetFlow
WAN interfaces - интерфейсы, используемые для WAN, чтобы избежать двойного подсчета трафика NAT
Capture local - хранить статистику локально (нам это не надо)
Version - версия NetFlow, выбираем v9
Destinations - указываем адрес NetFlow-коллектора, который мы создали в прошлый раз.
На этом установка OPNSense и настройка NetFlow закончена. Здесь это выглядит достаточно просто, но когда у вас в сети сотни и тысячи сетевого оборудования, основная задача — выбрать места съема трафика и метаданных.
Vest
Какой-то у вас длинный твит получился.
У меня есть opnsense и я ожидал, что вы покажете какие-нибудь примеры, описание, что-нибудь интересное. А то вы пишете о каких-то аномалиях, а мне даже и не ясно что это. Что-то из Сталкера, да?