Netzwerküberwachung mit ntopng

Veröffentlicht in Hardware, Linux

Um mein Netzwerk und die Kommunikation der Netzwerkteilnehmer besser zu analysieren, setze ich ntopng auf einem HP t620 plus unter Debian 11 ein. ntopng überwacht den Datenverkehr im Netzwerk, liefert statistische Auswertungen und erlaubt die Sortierung bzw. Filterung nach Kriterien wie z.B. IP-Adresse, VLAN, L7-Protokoll oder Durchsatz.

Damit das funktioniert, muss der ntopng Computer auf einer dedizierten Netzwerkkarte den gesamten Datenverkehr mitlesen können. Üblicherweise verbindet man dazu die Netzwerkkarte mit dem Mirrorport eines Switches (wenn der Switch das kann). Vereinfacht dargestellt wird der Switch so konfiguriert, dass er den Datenverkehr aller oder ausgewählter Ports des Switches und/oder VLANs als Kopie an den Mirrorport sendet.

Da der ntopng Computer dauerhaft läuft, war ich auf der Suche nach einem kompakten Computer mit einem stromsparenden Prozesser, mindestens zwei Netzwerkanschlüssen und einer SSD für die Daten.

Bisher nutze ich schon einen HP t620 plus mit einer Intel PRO/1000 PT LP Quad Port Gigabit Ethernet Netzwerkkarte für meine pfSense Firewall und auf ebay finden sich immer wieder Angebote unter 100€ für diesen ThinClient mit 4GB RAM, 16GB SSD und Netzteil.

Der Thin Client gehört zur HP t620 PLUS Flexibler Thin-Client Reihe von HP und es ist wichtig beim Kauf auf das richtige Model zu achten: Es gibt ein Model mit (HP t620 plus) und ein schmaleres Model ohne (HP t620) low profile PCIe Erweiterungssteckplatz.

  • AMD GX-420CA @ 2GHz low power APU SoC (Jaguar)
  • 4GB PC3L-12800 DDR3L 1600 MHz 1,35V DDR3L 204pin SODIMM CL11
  • Sandisk SDSA6MM-016G 16G M.2 SATA SSD
  • Realtek R8169 NIC (onboard Netzwerkadapter)
  • Intel Pro / 1000 PT Dual Port LP PCI-Express x4 Netzwerkadapter

Der PCI-e Steckplatz mit halber Bauhöhe ist physisch ein x16 Steckplatz, elektrisch aber nur x4. Im technischen Referenzhandbuch finden sich Informationen zu beiden Modellen. Den Troubelshooting Guide habe ich nur in Englsich gefunden.

Mein HP t620 plus kam mit einem Rev B Mainboard ohne den zusätzlichen mSATA Anschluss, über den das Rev A Mainboard verfügt.

Art of Server hat auf Youtube gezeigt, dass der HP t620 plus bis zu 32GB RAM verwenden kann. Allerdings sind die empfohlenen 16GB SODIMM Module aktuell (Januar 2022) mit ca. 200€ pro Stück zu teuer.

Der Stromverbrauch liegt im ausgeschalteten Zustand bei 1,6 W. Während des Starts steigt der Verbrauch kurzzeitig auf 21W, liegt im Leerlauf dann aber bei 11W (ohne Last / idle). Wenn ntopng läuft, liegt der Stromverbrauch um die 17W (Linux average load stark schwankend zwischen 1 und 3).

Netzwerkkarte installieren

Die Intel Pro / 1000PT Netzwerkkarte in halber Bauhöhe (LP = low profil) kann ohne Werkzeug eingebaut werden. Das technische Referenzhandbuch beschreibt das im Detail ab Seite 11 und 24, daher hier nur die wesentlichen Schritte:

  1. Computer vom Strom trennen
  2. Kunststoffblende auf der Rückseite entfernen
  3. Verriegelung der Abdeckung lösen (kleiner grünen Schieber im 3. Bild)
  4. Abdeckung nach vorne schieben und entfernen
  5. Verriegelung der Lüftereinheit lösen und die Einheit hochklappen (Bild 5)
  6. Netzwerkkarte einbauen

Der Zusammenbau erfolgt dann einfach in umgekehrter Reihenfolge.

Die Netzwerkkarte wird übrigens über dem Speichermodulfach installiert. Die beiden S0DIMM Steckplätze befinden sich unter dem Lochblech, das mit zwei Schrauben gesichert ist. Will man also den Speicher aufrüsten, ist das der richtige Zeitpunkt.

Nicht ganz so optimal ist der Umgang mit eingesteckten Netzwerkkabeln (siehe Bild 7). Netzwerkstecker mit Rastnase (ich liebe diesen Begriff) und Abknickschutz sitzen tief im Gehäuse und es braucht schon schmale Finger oder einfach einen kurzen Schraubenzieher um den Netzwerkstecker wieder zu lösen. Also nicht wirklich ein Problem.

Debian 11 installieren

Die Installation von Debian 11 auf dem HP t620 plus ist einfach. Benötigt wird ein bootfähiger USB-Stick, der z.B. mit Rufus und dem aktuellen netinstall ISO Datei von der Debain Downloadseite erstellt werden kann.

Die Multiboot- Umgebung Ventoy ist eine gute Opensource Alternative, um einen bootfähigen USB-Stick mit mehreren ISO Dateien zu erstellen. Dann reicht es, die netinstall ISO Datei auf den USB-Stick zu kopieren und Ventoy bietet nach dem Booten vom USB-Stick alle gespeichert ISO Dateien zum Start an.

Wer Probleme hat, den HP t620 plus vom USB Stick zu booten, kann während des Bootvorgangs F10 drücken und im Computer Setup Dienstprogramm die Bootreihenfolge von SSD und USB-Sticks ändern.

Nach der Debian 11 Minimal-Installation als Server (also ohne grafische Benutzeroberfläche und nur mit SSH-Server und Standard Systemwerkzeugen) habe ich die Grundinstallation des Debian Server durchgeführt.

Die Realtek R8169 onboard Netzwerkkarte wird als enp2s0 erkannt und die beiden Ports der Intel Pro / 1000 PT Netzwerkkarte als enp1s0f0 und enp1s0f1.

Über enp1s0f0 erfolgt der Zugriff auf die Weboberfläche von ntopng und enp1s0f0 (im Bild 7 das blaue Kabel) wird als Monitoringport verwendet.

ntopng auf Debain 11 installieren

Die Installation von ntopng erfolgt in drei Schritten und ist gut dokumentiert. Vor der Installation der ntop Pakete muss zunächst offizielle ntop repository ergänzt werden.

ntop Repository ergänzen

Die Datei /etc/apt/sources.list legt fest, von welchen Quellen (Repositories) Programmpakete installiert werden sollen. In dieser Datei muss bei jeder Zeile, die mit deb oder dbr-src beginnt, am Ende contrib ergänzt werden. 

sudo nano /etc/apt/sources.list
# deb cdrom:[Debian GNU/Linux 11.1.0 _Bullseye_ - Official amd64 NETINST 20211009-10:07]/ bullseye main

#deb cdrom:[Debian GNU/Linux 11.1.0 _Bullseye_ - Official amd64 NETINST 20211009-10:07]/ bullseye main

deb http://deb.debian.org/debian/ bullseye main contrib
deb-src http://deb.debian.org/debian/ bullseye main contrib

deb http://security.debian.org/debian-security bullseye-security main contrib
deb-src http://security.debian.org/debian-security bullseye-security main contrib

# bullseye-updates, to get updates before a point release is made;
# see https://www.debian.org/doc/manuals/debian-reference/ch02.en.html#_updates_and_backports
deb http://deb.debian.org/debian/ bullseye-updates main contrib
deb-src http://deb.debian.org/debian/ bullseye-updates main contrib

contrib (contributions) ermöglicht die installation von Paketen, die – wie ntopng – nicht oder nicht in der aktuellsten Version im Debain main Archiv verfügbar sind.

Anschließend kann das ntop Tepository für Debian 11 (bullseye) ergänzt werden

wget https://packages.ntop.org/apt-stable/bullseye/all/apt-ntop-stable.deb
apt install ./apt-ntop-stable.deb

ntop Pakete installieren

sudo apt-get clean all 
sudo apt-get update 
sudo apt-get install pfring-dkms nprobe ntopng n2disk cento

ntop konfigurieren

sudo nano /etc/ntopng/ntopng.conf
--daemon
--interface=enp1s0f0
--local-networks="10.10.70.0/24,10.10.80.0/24"
--dns-mode=1
--disable-autologout
--http-port=0
--https-port=443

Die ntopng Dokumentation beschreibt die einzelnen Command Line Options.

Firewall anpassen

In der Standardkonfiguration erfolgt der Zugriff auf ntopng über den Port 3000 (http) bzw. 3001 (https). Falls eine lokale Firewall verwendet wird, muss der verwendete Port freigegeben werden. 

sudo ufw allow 3000
sudo ufw reload

Ich habe den http Zugriff deaktiviert (--http-port=0) und den https Zugriff über den Standardport (--https-port=443) konfiguriert.