1. kowa22

    No comment

    kowa22
Changes in body
Source | HTML | Preview
@@ -1,128 +1,128 @@
どうも、おはこんばんわ。
今更ながらAWSで VPC トラフィックミラーリング(Traffic Mirroring)を実装したかったので、やってみた。
(今回はSplunkのお話しではないです)
###公式ドキュメント
-・What is Traffic Mirroring?[link](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
+・What is Traffic Mirroring?[(link)](https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html)
###AWSの構成
+++++++++++++++++++++++
+ N1 < === > N2 === > N3  +
+++++++++++++++++++++++
N1 = Amazon Linux 1
N2 = Amazon Linux 2
N3 = Amazon Linux 3
###やりたいこと
N1からN2へSSHを発信し、そのパケットをN3へミラーリングする。
ミラーリング後はWireshark等の解析ツールでパケットの中身を確認する。
###ノードのネットワーク情報
|ノード|IPアドレス|インターフェイス|
|:---|:---|:---|
|N1|192.168.1.10/24|eni-01|
|N2|192.168.1.20/24|eni-02|
|N3|192.168.1.30/24|eni-03|
*IPアドレスとインターフェイスはフェイク
###使用ポート
|通信名|送信元|宛先|UDP/TCP|ポート番号|備考|
|:---|:---|:---|:---|:---|:---|
|ssh|N1|N2|TCP|22|テスト通信|
|vxlan|N2|N3|UDP|4789|仕様上必須の通信|
*他の通信でもモニタリング可能です。
###トラフィックミラーリングの場所はここ!
①AWS Web
②VPC
③トラフィックのミラーリング(VPCダッシュボード内)
##ここから設定していくよ!
##ターゲットの設定
ミラーリングしたパケットの宛先と思ってください。
①VPCダッシュボード内の「ターゲットをミラーリングする」をクリック
②「トラフィックミラーターゲットの作成」をクリック
③以下の様に設定
 [ターゲット設定]
 ・名前タグ - オプション
  → テストターゲット(お好み)
 ・説明 - オプション
  → お好み
 [ターゲットを選択]
 ・ターゲットタイプ
  → ネットワークインターフェイス(今回はネットワークインターフェイスを指定)
 ・ターゲット
  → eni-03(N3のインターフェイスを指定)
 [タグ]
  → 今回は無し
##フィルターの設定
ミラーリングしたいパケットの指定と思ってください。
①VPCダッシュボード内の「フィルターをミラーリングする」をクリック
②「トラフィックミラーフィルターの作成」をクリック
③以下の様に設定
 [フィルターの設定]
 ・名前タグ - オプション
  → テストフィルター(お好み)
 ・説明 - オプション
  → お好み
 ・ネットワークサービス - オプション
  → 「amazon-dns」No Check
 [インバウンドルール - オプション
]
 ・ルールを追加(以下参照)
|番号|ルールアクション|プロトコル|送信元ポート範囲 - オプション|送信先ポート範囲 - オプション|送信元 CIDR ブロック|送信先 CIDR ブロック|説明|
|:---|:---|:---|:---|:---|:---|:---|:---|
|100|accept|すべてのプロトコル|空白|空白|0.0.0.0/0|0.0.0.0/|All_Packet_Mirroring|
*個別でパケットを指定する場合は一般的なACLと同様で「番号」による処理順序に注意
 [アウトバウンドルール - オプション
]
 ・ルールを追加
  → 今回は無し
 [タグ]
  → 今回は無し
##セッションの設定
①VPCダッシュボード内の「セッションをミラーリングする」をクリック
②「トラフィックミラーセッションの作成」をクリック
③以下の様に設定
 [セッションの設定]
 ・名前タグ - オプション
  → お好み
 ・説明 - オプション
  → お好み
 ・ミラーソース
  → eni-02(N2のインターフェイスを指定)
 ・ミラーターゲット
  → テストターゲット(さっき作成したターゲットを指定)
 [追加設定]
 ・セッション数
  → 1(今回はデフォルト)
 ・VNI - オプション
  → 今回は無し
 ・パケット長 - オプション
  → 今回は無し
 ・フィルタ
  → テストフィルター(さっき作成したフィルターを指定)
 [タグ]
  → 今回は無し
##セキュリティグループの設定
テスト用パケットのSSHとVXLANをインバウンドで許可してください。
本機能ではミラーリングするパケットをカプセル化する為、必ずVXLAN(UDP:4789)を許可してください。
今回は割愛。
-・公式ドキュメント : Traffic Mirroring packet format[link](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-packet-formats.html)
-・VXLAN : RFC 7348[link](https://tools.ietf.org/html/rfc7348)
+・公式ドキュメント : Traffic Mirroring packet format[(link)](https://docs.aws.amazon.com/vpc/latest/mirroring/traffic-mirroring-packet-formats.html)
+・VXLAN : RFC 7348[(link)](https://tools.ietf.org/html/rfc7348)
あとはN3でTcpdumpや直接Wireshark等で解析を行うだけ。
超簡単!!
###その他
AWS上のトラフィックをミラーリングできるのはうれしい!
けどカプセル化されるのは正直微妙だと思いました。
又、制約もある為、今後に期待!(公式ドキュメント要確認)