Professional Documents
Culture Documents
MDULO 5: MONITOREO DE RED Objetivo General Aprender el manejo de la herramienta Ntop para monitorear la actividad de la red.
INICTEL
Mdulo 5
Objetivo Especficos : Estar en la capacidad de instalar y configurar la herramienta de monitoreo de red Ntop. Analizar los reportes estadsticos de Ntop sobre el trfico de la red. Mantenimiento de usuarios y restriccin de acceso a los enlaces URLs de Ntop. INICTEL 2 Mdulo 5
INTRODUCCIN En este mdulo se ensear a instalar y configurar Ntop, as como tambin monitorear y analizar el trafico de la red para detectar problemas, como por ejemplo identificar hosts que utilicen protocolos que no son necesarios, detectar mquinas que trabajen como routers, uso de direcciones IPs duplicados, etc. Esto permitir reforzar las polticas de seguridad y una mejor optimizacin de la red. INICTEL 3 Mdulo 5
INICTEL
Mdulo 5
MONITOREO DE RED
1.1. NTOP NETWORK TOP 1 Network top est basado en libpcap y muestra las estadsticas actuales de uso de la red. Utiliza
todos los protocolos estndar e incluso algunos que no admiten otras herramientas de monitorizacin de redes entre los que se incluyen DNS, X, NFS, NetBios y AppleTalk. Adems, ntop tiene una
funcin digna de mencin que convierte los exploradores web en consolas en las que se pueden ver y controlar las estadsticas de la red. Para obtener ms informacin y obtener esta herramienta de monitoreo de red visite la pgina web http://www.ntop.org/ntop.html. 1.2. INSTALACION Procedimiento a seguir para la instalacin de la herramienta de monitoreo de red: 1. Visitamos la pgina oficial de Ntop http://www.ntop.org/ntop.html . Ver Figura 1.
Fuente: extrado del libro Linux Mxima Seguridad, Edicin: Prentice Hall, ao 2000
INICTEL
Mdulo 5
3. Ntop requiere tener instalado previamente los programas gdbm (es una biblioteca para base de datos del GNU, incluyendo rutinas que utilizan hashing extensible), gd (biblioteca grfica que permite crear en forma rpida imgenes completas con lneas, arcos, texto, colores mltiples, etc y guardarlos en ficheros de formato PNG o JPEG), libpng (contiene una biblioteca de funciones para crear y administrar ficheros PNG (Portable Network Graphics). En la Figura 3 se verifica si el sistema tiene instalado estos programas.
INICTEL
Mdulo 5
4. Otro programa que es importante para Ntop es la librera libpcap (Interfaz independiente del sistema para capturar paquetes en el nivel usuario), proporciona una estructura porttil para supervisar la red de bajo nivel. En la Figura 4 se verifica si se tiene instalado en el sistema el programa libpcap.
5. El programa OpenSSL (paquete de herramientas de OpenSSL proporciona la ayuda para las comunicaciones seguras entre las mquinas) y zlib (biblioteca para compresin y descompresin de datos, es usado en muchos programas). En la Figura 5 se verifica si se tiene instalado estos programas en el sistema.
INICTEL
Mdulo 5
Figura 6 : Descomprimir y extraer ficheros fuentes de Ntop 7. Acceder al directorio fuente ntop -3.0 para realizar el proceso de configuracin, compilacin e instalacin de Ntop. Ver Figura 7.
Figura 7 : Acceso al directorio fuente ntop-3.0 8. Se procede a configurar Ntop ejecutando el fichero script configure seguido de las siguientes opciones: sh-2.05b# ./configure --prefix=/usr/local/ntop with-pcap-lib=/usr/lib --with-pcap-include=/usr/include wit h-gdbm -lib=/usr/lib --with-gdbm-include=/usr/include with-gd-lib=/usr/lib --with-gd-include=/usr/include --with-libpng-lib=/usr/lib --with-libpng-include=/usr/include with-ossl-lib=/usr/lib --with-ossl-include=/usr/include with-zlib-lib=/usr/lib --with-zlib-include=/usr/include
Donde: --prefix : Prefijo que indica la ubicacin donde se instalara el programa Ntop --with-pcap-lib : Directorio donde se localiza la librera libpcap --with-pcap-include: Directorio donde se localiza pcap.h --with-gdbm -lib: Directorio donde se localiza libgdbm. --with-gdbm -include: Directorio donde se localiza gdbm.h with-gd-lib: Directorio donde se localiza libgd --with-gd-include: Directorio donde se localiza gd.h --with-libpng-lib: Directorio donde se localiza libpng --with-libpng-include: Directorio donde se localiza png.h --with-ossl-lib: Directorio donde se localiza libssl --with-ossl-include: Directorio donde se localiza ssl.h with-zlib-lib: Directorio donde se localiza libz --with-zlib-include: Directorio donde se localiza zlib.h
INICTEL
Mdulo 5
Figura 8 : Compilacin de Ntop 10. Despus de haber compilado ejecutamos make install para instalar Ntop como se muestra en la Figura 9.
Figura 9 : Instalacin de Ntop 11. Listando el contenido del directorio ubicado en /usr/local/ntop como se muestra en la Figura 10.
Figura 10 :Listando el contenido del directorio ntop 12. Por seguridad se crea el usuario ntop, sin asignacin de shell y el grupo ntop que se encargan de arrancar como servicio al programa Ntop. Ver Figura 11.
Figura 11 : Creacin de usuario y grupo que arranca al servicio ntop 13. El directorio ubicado en /usr/local/ntop/share/ntop contiene los archivos de ntop y base de datos que slo debe tener acceso el usuario que arranca el servicio ntop. En la Figura 12 se procede a asignar como propietario y grupo a ntop respectivamente.
INICTEL
Mdulo 5
Figura 12 : Cambio de propietario y grupo al directorio /usr/local/ntop/share/ntop 14.Se debe crear un directorio vaco ubicado en /usr/local/ntop/var/ntop donde se almacenarn las tablas hash (*.db) generados por ntop. Ver Figura 13.
Figura 13 : Creacin del directorio /usr/local/ntop/var/ntop 15.Tambin solo se permite al acceso a este directorio al usuario ntop. Ver Figura 14.
Figura 14 : Cambio de propietario y grupo al directorio /usr/local/ntop/var/ntop 1.3. OPCIONES DE CONFIGURACION La herramienta de monitoreo Ntop se ejecuta seguido de las siguientes opciones: -P : Ubicacin de las tablas hash (*.db) generados por ntop. -w : Puerto que se abre en el sistema para acceder va Web (http) a ntop -W : Puerto que se abre en el sistema para acceder a travs de un Web Seguro (https) a ntop. -i : Nombre de la interface de red que escucha todo el trfico de la red. -d : Permite ejecutar a ntop como servicio. -u : Nombre del usuario o GID que ejecuta el servicio ntop. -L : Habilita la salida a syslog. -p : Lista de protocolos a monitorear (ejemplo: -p tcp,udp ...) -m: Lista de direcciones de red que ntop analizara el trfico (ejemplo: -m 192.168.1.0/24, ...) -A : Pregunta para asignar una contrasea al usuario admin administrador de ntop.
INICTEL
10
Mdulo 5
Figura 15 : Procedimiento para asignar una contrasea al usuario admin 2. Se procede a ejecutar ntop como se muestra en la Figura 16, seguido de la opcin que permite definir el puerto (-w 3000) que se abre en el sistema para acceder va Web, as como tambin se indica al usuario (-u ntop) que inicia el servicio ntop, la interface ( -i eth0) por donde escucha el trfico de la red, la opcin ( -L) para registrar los eventos de ntop en el archivo (messages) del sistema, adems se agrega la opcin (-P) para indicar la ubicacin del directorio donde almacena las tablas hash generados por ntop y la opcin (-d ) para que se inicie ntop como servicio.
Figura 16 : Ejecucin de ntop 3. En este caso se ejecuta ntop indicando la direccin IP 192.168.1.33 de la mquina en donde se abre el puerto 4500 en el sistema donde se ha instalado ntop para acceder a travs de un Web Seguro. Ver Figura 17.
Figura 17: Ejecutando ntop para acceder a travs de un Web seguro (https)
INICTEL
11
Mdulo 5
1.4. INTERFACE WEB DE NTOP Para acceder a la interface Web de ntop se escribe la direccin IP de la mquina donde se tiene instalado ntop y el puerto por donde escucha las solicitudes de los clientes. En la Figura 19 se
INICTEL
12
Mdulo 5
Figura 19 : Acceso a la pgina Web de Ntop para realizar el monitoreo de la red. El men de navegacin principal de ntop, se encuentra en el frame de arriba como se muestra en la Figura 20 donde se accede a varias opciones siendo la opcin About la que se accede por defecto en esta seccin encontrar informacin de ntop, informacin de la configuracin bsica sobre las estadsticas de solicitudes aceptadas, solicitudes invlidas, estadsticas de los paquetes recibidos , paquetes procesados inmediatamente, paquetes que est en espera o en cola para ser procesados por ntop.
INICTEL
13
Mdulo 5
Figura 20 : Pgina Web que muestra informacin bsica de la configuracin de ntop 1.5. ANLISIS DE TRAFICO DE RED En la opcin Summary muestra un resumen de la estadstica global del trfico, a travs de un muestreo tomado en una fecha y hor a indicada, as como un reporte del dispositivo de red por donde se captur los paquetes, en este reporte se muestra cuadro estadsticos del tamao de los paquetes, estadsticas del trfico de paquetes, carga de la red, historial de datos donde presenta informacin que se obtiene a travs de la interface de red, estos cuadros estadsticos es un muestreo tomado en la ltima hora, ltimas 6 horas, ltimas 12 horas, por da, por semana, por mes y por ao. En la Figura 21 presenta un cuadro estadstico sobre e l nmero de paquetes ethernet por segundo, tambin esta seccin presenta cuadros estadsticos sobre el n mero de hosts que envan paquetes, cantidad de paquetes IP por segundo, cantidad de paquetes TCP por segundo, cantidad de paquetes UDP por segundo, etc.
INICTEL
14
Mdulo 5
Figura 21 : Cuadros estadsticos de paquetes Ethernet Continuando con la descripcin de la opcin Summary se encuentra la seccin Hosts como se muestra en la Figura 22 que da informacin de todos los Hosts locales y externos, sobre el nombre de hosts, nombre del Pas origen, direccin IP, consumo de ancho de banda de cada hosts que se muestra grficamente en donde la barra horizontal de color verde es el consumo de ancho de banda al enviar paquetes y la barra horizontal de color azul es el consumo de ancho de banda al recibir paquetes.
INICTEL
15
Mdulo 5
Figura 22 : Cuadro estadstico de informacin de hosts La opcin IP Summary en la seccin IP Traffic muestra informacin del trafico IP. En la Figura 23 se puede observar informacin del trfico IP de todos los hosts de la cantidad total de datos enviados, medido tambin en porcentaje.
INICTEL
16
Mdulo 5
Figura 23 : Cuadro estadstico del trfico de la red de datos enviados. En la Figura 24 se puede observar informacin del trfico IP de todos los hosts de la cantidad total de datos recibidos, medido tambin en porcentaje.
INICTEL
17
Mdulo 5
Figura 24 : Cuadro estadstico del trfico de la red de datos recibidos Dentro de la opcin IP Summary en la seccin Domain muestra un cuadro estadsticos para todos los dominios como se observa en la Figura 25 donde da informacin sobre el nombre del dominio, Pas origen, as como el tamao total de paquetes TCP enviados y recibidos, paquetes UDP
enviados y recibidos y paquetes ICMP IPv4 e IPv6 enviados y recibidos por cada dominio.
INICTEL
18
Mdulo 5
Figura 25 : Cuadro estadstico para los dominios que han enviado y recibido paquetes La opcin All Protocols en la seccin Traffic se a naliza el trfico de la red de todos los protocolos como se puede observar en la Figura 26 se analiza el trfico de la red de todos los hosts que envan datos, en donde se indica la cantidad total de datos enviados, expresados en porcentaje, distribucin de la cantidad de data enviada por los hosts mayormente a travs de los protocolos TCP y UDP.
INICTEL
19
Mdulo 5
Figura 26 : Cuadro estadstico del Trfico de red de todos los protocolos 1.6. REGISTRO DE USUARIOS Para visualizar los usuarios registrados seleccionamos la opcin Admin en la seccin Users donde se muestran los usuarios registrados para acceder a la Web de ntop. En la Figura 27 se muestra la pgina de registro de usuarios, solo el usuario admin administrador de ntop puede acceder a esta pgina.
INICTEL
20
Mdulo 5
INICTEL
21
Mdulo 5
Seleccionando la opcin Sho w Users volvemos a la p gina de usuarios registrados como se muestra en la Figura 29 donde el usuario user2 esta en la lista de usuarios registrados para acceder a la Web de ntop. En la tabla de registro de usuarios est conformado por dos campos el primer campo Users lista los usuarios registrados y el segundo campo Actions muestra un icono que se selecciona para eliminar un usuario de ntop.
INICTEL
22
Mdulo 5
Para cambiar de contrasea al usuario ir a la p gina de administracin de usuarios como se observa en la Figura 30 donde el usuario user2 se le asigna una nueva contrasea y luego se selecciona el botn Modify Users para realizar los cambios al usuario de ntop.
INICTEL
23
Mdulo 5
1.7. RESTRICCIONES DE ACCESO El administrador de ntop adems de registrar usuarios, tambin administra el acceso o restriccin hacia los enlaces URLs de ntop. En la Figura 31 muestra una lista de enlaces URLs que se accede seleccionando la opcin Show URLs, en donde slo el administrador tiene acceso a esta pgina.
INICTEL
24
Mdulo 5
En la Figura 32 se da un ejemplo en donde el administrador de ntop autoriza al usuario user2 acceder al enlace URLs shut donde se permite que pare el servicio ntop.
INICTEL
25
Mdulo 5
Cuando el usuario user2 selecciona la opcin Shutdown aparece una ventana que consulta si est seguro que pare el servicio ntop, donde el usuario responde presionando el botn OK en aceptar que pare el servicio ntop. Ver Figura 33.
INICTEL
26
Mdulo 5
Luego de haber confirmado que pare el servicio ntop, aparece otra ventana para la autenticacin del usuario, se verifica si user2 est autorizado para acceder al enlace shutdown. Ver Figura 34;
INICTEL
27
Mdulo 5
INICTEL
28
Mdulo 5
INICTEL
29
Mdulo 5
Experiencia practica 1.- Instalacin de Ntop Duracin 45 minutos Objetivos Brindar al participante las recomendaciones y procedimiento que debe considerarse durante la instalacin y configuracin de Ntop en Linux. Recursos a utilizar Una PC por alumno con Linux distribucin (RedHat 9.0 o Deban 3.0) Ejecucin de la Prctica I Obtener en fichero fuente ntop visitando la pgina Web http://www.ntop.org/ntop.html Descomprimir y extraer los ficheros fuentes de ntop Configurar, compilar e instalar ntop Ejecutar ntop considerando las opciones necesarias para que se inicie como servicio. Monitorear el trfico de la red. Hacer un anlisis basndose en los reportes estadsticos de ntop.
INICTEL
30
Mdulo 5
INICTEL
31
Mdulo 5