NetFlow + ntopng — Analyse de trafic réseau OPNsense

BOTUM vous présente le Billet 15 de la série Stack OPNsense Enterprise : comment déployer NetFlow + ntopng pour obtenir une visibilité complète sur votre trafic réseau. Identifiez les top talkers, détectez les anomalies comportementales et réalisez des audits de conformité — sans capturer un seul octet de payload.

Cet article fait partie de la série Stack OPNsense Enterprise. Retrouvez tous les billets sur le Hub du Stack OPNsense Enterprise.

Comprendre NetFlow et IPFIX

NetFlow est un protocole développé par Cisco permettant de collecter des métadonnées sur les flux IP traversant un équipement réseau. Contrairement à une capture de paquets complète (pcap), NetFlow enregistre uniquement les en-têtes : IP source/destination, port, protocole, bytes, paquets et durée du flux. IPFIX (IP Flow Information Export) est la standardisation IETF de NetFlow v9. OPNsense supporte les deux formats via le plugin softflowd.

Impact performance : < 2% CPU sur OPNsense, données NetFlow < 1% du trafic réel. Ce que NetFlow vous donne : top talkers, distribution protocolaire (TCP/UDP/HTTP/DNS), analyse géographique, détection d'anomalies (port scans, exfiltration, botnets C2), audit de conformité.

Activer le plugin NetFlow sur OPNsense

OPNsense utilise softflowd pour exporter les flux NetFlow/IPFIX. Installation depuis System → Firmware → Plugins → os-softflowd. Configuration : Services → NetFlow → Settings.

Paramètres essentiels : Interface(s) WAN/LAN/VLANs, Collector IP (adresse ntopng), Collector Port 2055, Version IPFIX recommandée, Idle timeout 60s.

Installer ntopng sur un serveur dédié (LXC/VM)

ntopng Community Edition est gratuit. Déployez sur un LXC Proxmox dédié (2 vCPU, 4 GB RAM, 50 GB SSD).

apt install -y wget gnupg2
wget https://packages.ntop.org/apt/ntop.key && apt-key add ntop.key
echo "deb http://packages.ntop.org/apt/22.04/ amd64/" > /etc/apt/sources.list.d/ntop.list
apt update && apt install -y ntopng nprobe redis-server
systemctl enable --now redis-server ntopng nprobe

Configurer ntopng comme collecteur NetFlow

Fichier /etc/ntopng/ntopng.conf : --community --interface=eth0 --http-port=8080 --data-dir=/var/lib/ntopng --no-promisc --zmq tcp://127.0.0.1:5556. Pour nprobe : --collector-port 2055 --zmq tcp://127.0.0.1:5556.

Dans l'interface ntopng : Settings → Preferences → Interfaces → ajouter interface ZMQ. Vérifier que le compteur de flux s'incrémente.

Tableau de bord ntopng : top talkers, protocoles, géolocalisation

Vues principales : Dashboard (bande passante, top apps), Hosts (volumes, pays, OS), Flows (temps réel), Alerts (anomalies), Traffic Analysis (L7 DPI, ASN, géo).

Configuration des seuils : hôte > 100 Mbps pendant 60s → alerte critique, DNS > 1000 req/min → possible DNS tunneling, connexion vers pays blacklisté → alerte immédiate.

Alertes comportementales et détection d'anomalies

ntopng Community inclut un moteur de détection comportementale : Flow Alerts (IPs malveillantes), Host Alerts (port scans, exfiltration), Network Alerts (seuils bande passante). Intégration webhook Telegram/Slack et export syslog vers Wazuh disponibles nativement.

Rétention des données et performance

Dimensionnement : 1 000 hôtes actifs à 100 Mbps ≈ 2 GB/jour, 30 jours de rétention ≈ 60 GB SSD. Redis + RRD, rotation automatique. Pour haut débit : sampling softflowd 1:10 (-s 10) et filtrage BPF pour trafic WAN uniquement.

Cas d'usage : forensic réseau et troubleshooting

Saturation bande passante : Dashboard → Top Hosts → trier par Total Traffic → identifier l'hôte fautif en 30 secondes. Mouvement latéral suspect : poste interne contactant 50+ IPs sur port 445 en < 5 min = indicateur d'infection. Isolation immédiate via API OPNsense. Audit conformité : vérification mensuelle flux vers pays non autorisés via Geo Map ntopng.

Conclusion

NetFlow + ntopng transforme OPNsense en une sonde de visibilité complète. Vous savez exactement qui fait quoi sur votre réseau, en temps réel et en historique. Investissement : plugin gratuit + LXC 4 GB RAM + 2-3 heures. Retour : troubleshooting accéléré et incidents détectés avant qu'ils ne deviennent des crises.