Administracin y Seguridad en redes GNU/LINUX

MDULO 5: MONITOREO DE RED Objetivo General Aprender el manejo de la herramienta Ntop para monitorear la actividad de la red.

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Objetivo Especficos : Estar en la capacidad de instalar y configurar la herramienta de monitoreo de red Ntop. Analizar los reportes estadsticos de Ntop sobre el trfico de la red. Mantenimiento de usuarios y restriccin de acceso a los enlaces URLs de Ntop. INICTEL 2 Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

INTRODUCCIN En este mdulo se ensear a instalar y configurar Ntop, as como tambin monitorear y analizar el trafico de la red para detectar problemas, como por ejemplo identificar hosts que utilicen protocolos que no son necesarios, detectar mquinas que trabajen como routers, uso de direcciones IPs duplicados, etc. Esto permitir reforzar las polticas de seguridad y una mejor optimizacin de la red. INICTEL 3 Mdulo 5

Administracin y Seguridad en redes GNU/LINUX Sumario

1.1 Ntop Network top 1.2 Instalacin 1.3 Opciones de configuracin 1.4 Interface Web de Ntop 1.5 Anlisis de trafico de red 1.6 Registro de usuarios 1.7 Restricciones de acceso 1.8 Actividades del mdulo 1.8.1 1.8.2 Auto evaluacin Laboratorio 31 5 -9 10 - 11 12 - 13 14 - 19 20 - 23 24 - 28 29 - 30

1.9 Bibliografa y enlaces recomendados

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

1.

MONITOREO DE RED
1.1. NTOP NETWORK TOP 1 Network top est basado en libpcap y muestra las estadsticas actuales de uso de la red. Utiliza

todos los protocolos estndar e incluso algunos que no admiten otras herramientas de monitorizacin de redes entre los que se incluyen DNS, X, NFS, NetBios y AppleTalk. Adems, ntop tiene una

funcin digna de mencin que convierte los exploradores web en consolas en las que se pueden ver y controlar las estadsticas de la red. Para obtener ms informacin y obtener esta herramienta de monitoreo de red visite la pgina web http://www.ntop.org/ntop.html. 1.2. INSTALACION Procedimiento a seguir para la instalacin de la herramienta de monitoreo de red: 1. Visitamos la pgina oficial de Ntop http://www.ntop.org/ntop.html . Ver Figura 1.

Figura 1: Pgina Web Oficial de Ntop

Fuente: extrado del libro Linux Mxima Seguridad, Edicin: Prentice Hall, ao 2000

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

2. Seleccionamos el enlace Download para descargar Ntop en fichero fuente como se muestra en la Figura 2.

Figura 2 : Descarga en fichero fuente de Ntop

3. Ntop requiere tener instalado previamente los programas gdbm (es una biblioteca para base de datos del GNU, incluyendo rutinas que utilizan hashing extensible), gd (biblioteca grfica que permite crear en forma rpida imgenes completas con lneas, arcos, texto, colores mltiples, etc y guardarlos en ficheros de formato PNG o JPEG), libpng (contiene una biblioteca de funciones para crear y administrar ficheros PNG (Portable Network Graphics). En la Figura 3 se verifica si el sistema tiene instalado estos programas.

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 3 : Consulta sobre programas requeridos por Ntop.

4. Otro programa que es importante para Ntop es la librera libpcap (Interfaz independiente del sistema para capturar paquetes en el nivel usuario), proporciona una estructura porttil para supervisar la red de bajo nivel. En la Figura 4 se verifica si se tiene instalado en el sistema el programa libpcap.

Figura 4 : Consulta sobre el programa libpcap

5. El programa OpenSSL (paquete de herramientas de OpenSSL proporciona la ayuda para las comunicaciones seguras entre las mquinas) y zlib (biblioteca para compresin y descompresin de datos, es usado en muchos programas). En la Figura 5 se verifica si se tiene instalado estos programas en el sistema.

Figura 5 : Consulta sobre los programas OpenSSL y zlib

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

6. A continuacin procederemos descomprimir y extraer los ficheros fuentes de Ntop. Ver Figura 6

Figura 6 : Descomprimir y extraer ficheros fuentes de Ntop 7. Acceder al directorio fuente ntop -3.0 para realizar el proceso de configuracin, compilacin e instalacin de Ntop. Ver Figura 7.

Figura 7 : Acceso al directorio fuente ntop-3.0 8. Se procede a configurar Ntop ejecutando el fichero script configure seguido de las siguientes opciones: sh-2.05b# ./configure --prefix=/usr/local/ntop with-pcap-lib=/usr/lib --with-pcap-include=/usr/include wit h-gdbm -lib=/usr/lib --with-gdbm-include=/usr/include with-gd-lib=/usr/lib --with-gd-include=/usr/include --with-libpng-lib=/usr/lib --with-libpng-include=/usr/include with-ossl-lib=/usr/lib --with-ossl-include=/usr/include with-zlib-lib=/usr/lib --with-zlib-include=/usr/include

Donde: --prefix : Prefijo que indica la ubicacin donde se instalara el programa Ntop --with-pcap-lib : Directorio donde se localiza la librera libpcap --with-pcap-include: Directorio donde se localiza pcap.h --with-gdbm -lib: Directorio donde se localiza libgdbm. --with-gdbm -include: Directorio donde se localiza gdbm.h with-gd-lib: Directorio donde se localiza libgd --with-gd-include: Directorio donde se localiza gd.h --with-libpng-lib: Directorio donde se localiza libpng --with-libpng-include: Directorio donde se localiza png.h --with-ossl-lib: Directorio donde se localiza libssl --with-ossl-include: Directorio donde se localiza ssl.h with-zlib-lib: Directorio donde se localiza libz --with-zlib-include: Directorio donde se localiza zlib.h

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

9. En la Figura 8 se ejecuta make para el proceso de compilacin de Ntop.

Figura 8 : Compilacin de Ntop 10. Despus de haber compilado ejecutamos make install para instalar Ntop como se muestra en la Figura 9.

Figura 9 : Instalacin de Ntop 11. Listando el contenido del directorio ubicado en /usr/local/ntop como se muestra en la Figura 10.

Figura 10 :Listando el contenido del directorio ntop 12. Por seguridad se crea el usuario ntop, sin asignacin de shell y el grupo ntop que se encargan de arrancar como servicio al programa Ntop. Ver Figura 11.

Figura 11 : Creacin de usuario y grupo que arranca al servicio ntop 13. El directorio ubicado en /usr/local/ntop/share/ntop contiene los archivos de ntop y base de datos que slo debe tener acceso el usuario que arranca el servicio ntop. En la Figura 12 se procede a asignar como propietario y grupo a ntop respectivamente.

INICTEL

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 12 : Cambio de propietario y grupo al directorio /usr/local/ntop/share/ntop 14.Se debe crear un directorio vaco ubicado en /usr/local/ntop/var/ntop donde se almacenarn las tablas hash (*.db) generados por ntop. Ver Figura 13.

Figura 13 : Creacin del directorio /usr/local/ntop/var/ntop 15.Tambin solo se permite al acceso a este directorio al usuario ntop. Ver Figura 14.

Figura 14 : Cambio de propietario y grupo al directorio /usr/local/ntop/var/ntop 1.3. OPCIONES DE CONFIGURACION La herramienta de monitoreo Ntop se ejecuta seguido de las siguientes opciones: -P : Ubicacin de las tablas hash (*.db) generados por ntop. -w : Puerto que se abre en el sistema para acceder va Web (http) a ntop -W : Puerto que se abre en el sistema para acceder a travs de un Web Seguro (https) a ntop. -i : Nombre de la interface de red que escucha todo el trfico de la red. -d : Permite ejecutar a ntop como servicio. -u : Nombre del usuario o GID que ejecuta el servicio ntop. -L : Habilita la salida a syslog. -p : Lista de protocolos a monitorear (ejemplo: -p tcp,udp ...) -m: Lista de direcciones de red que ntop analizara el trfico (ejemplo: -m 192.168.1.0/24, ...) -A : Pregunta para asignar una contrasea al usuario admin administrador de ntop.

INICTEL

10

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

1. En la Figura 15 se le asigna una contrasea al usuario admin, para ingresar a los enlaces de administracin de ntop previa autenticacin del usuario.

Figura 15 : Procedimiento para asignar una contrasea al usuario admin 2. Se procede a ejecutar ntop como se muestra en la Figura 16, seguido de la opcin que permite definir el puerto (-w 3000) que se abre en el sistema para acceder va Web, as como tambin se indica al usuario (-u ntop) que inicia el servicio ntop, la interface ( -i eth0) por donde escucha el trfico de la red, la opcin ( -L) para registrar los eventos de ntop en el archivo (messages) del sistema, adems se agrega la opcin (-P) para indicar la ubicacin del directorio donde almacena las tablas hash generados por ntop y la opcin (-d ) para que se inicie ntop como servicio.

Figura 16 : Ejecucin de ntop 3. En este caso se ejecuta ntop indicando la direccin IP 192.168.1.33 de la mquina en donde se abre el puerto 4500 en el sistema donde se ha instalado ntop para acceder a travs de un Web Seguro. Ver Figura 17.

Figura 17: Ejecutando ntop para acceder a travs de un Web seguro (https)

INICTEL

11

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

4. Los mensaje del servicio ntop son registrados en el archivo logs ubicado en /var/log/messages del sistema. En la Figura 18 se puede observar que al iniciar el servicio ntop se habilita el puerto 3000, para recibir solicitudes desde cualquier direccin IP que desea acceder a la interfaz Web de ntop, la interface de red eth0 pasa escuchar todo el trfico de la red mediante la captura de paquetes IP, luego es procesada la informacin de cada paquete IP y mostrada estadsticamente por ntop.

Figura 18 : Registro de mensajes de ntop en el fichero /var/log/messages

1.4. INTERFACE WEB DE NTOP Para acceder a la interface Web de ntop se escribe la direccin IP de la mquina donde se tiene instalado ntop y el puerto por donde escucha las solicitudes de los clientes. En la Figura 19 se

observa la pgina web de ntop que se accede escribiendo la direccin http://192.168.1.33:3000.

INICTEL

12

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 19 : Acceso a la pgina Web de Ntop para realizar el monitoreo de la red. El men de navegacin principal de ntop, se encuentra en el frame de arriba como se muestra en la Figura 20 donde se accede a varias opciones siendo la opcin About la que se accede por defecto en esta seccin encontrar informacin de ntop, informacin de la configuracin bsica sobre las estadsticas de solicitudes aceptadas, solicitudes invlidas, estadsticas de los paquetes recibidos , paquetes procesados inmediatamente, paquetes que est en espera o en cola para ser procesados por ntop.

INICTEL

13

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 20 : Pgina Web que muestra informacin bsica de la configuracin de ntop 1.5. ANLISIS DE TRAFICO DE RED En la opcin Summary muestra un resumen de la estadstica global del trfico, a travs de un muestreo tomado en una fecha y hor a indicada, as como un reporte del dispositivo de red por donde se captur los paquetes, en este reporte se muestra cuadro estadsticos del tamao de los paquetes, estadsticas del trfico de paquetes, carga de la red, historial de datos donde presenta informacin que se obtiene a travs de la interface de red, estos cuadros estadsticos es un muestreo tomado en la ltima hora, ltimas 6 horas, ltimas 12 horas, por da, por semana, por mes y por ao. En la Figura 21 presenta un cuadro estadstico sobre e l nmero de paquetes ethernet por segundo, tambin esta seccin presenta cuadros estadsticos sobre el n mero de hosts que envan paquetes, cantidad de paquetes IP por segundo, cantidad de paquetes TCP por segundo, cantidad de paquetes UDP por segundo, etc.

INICTEL

14

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 21 : Cuadros estadsticos de paquetes Ethernet Continuando con la descripcin de la opcin Summary se encuentra la seccin Hosts como se muestra en la Figura 22 que da informacin de todos los Hosts locales y externos, sobre el nombre de hosts, nombre del Pas origen, direccin IP, consumo de ancho de banda de cada hosts que se muestra grficamente en donde la barra horizontal de color verde es el consumo de ancho de banda al enviar paquetes y la barra horizontal de color azul es el consumo de ancho de banda al recibir paquetes.

INICTEL

15

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 22 : Cuadro estadstico de informacin de hosts La opcin IP Summary en la seccin IP Traffic muestra informacin del trafico IP. En la Figura 23 se puede observar informacin del trfico IP de todos los hosts de la cantidad total de datos enviados, medido tambin en porcentaje.

INICTEL

16

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 23 : Cuadro estadstico del trfico de la red de datos enviados. En la Figura 24 se puede observar informacin del trfico IP de todos los hosts de la cantidad total de datos recibidos, medido tambin en porcentaje.

INICTEL

17

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 24 : Cuadro estadstico del trfico de la red de datos recibidos Dentro de la opcin IP Summary en la seccin Domain muestra un cuadro estadsticos para todos los dominios como se observa en la Figura 25 donde da informacin sobre el nombre del dominio, Pas origen, as como el tamao total de paquetes TCP enviados y recibidos, paquetes UDP

enviados y recibidos y paquetes ICMP IPv4 e IPv6 enviados y recibidos por cada dominio.

INICTEL

18

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 25 : Cuadro estadstico para los dominios que han enviado y recibido paquetes La opcin All Protocols en la seccin Traffic se a naliza el trfico de la red de todos los protocolos como se puede observar en la Figura 26 se analiza el trfico de la red de todos los hosts que envan datos, en donde se indica la cantidad total de datos enviados, expresados en porcentaje, distribucin de la cantidad de data enviada por los hosts mayormente a travs de los protocolos TCP y UDP.

INICTEL

19

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 26 : Cuadro estadstico del Trfico de red de todos los protocolos 1.6. REGISTRO DE USUARIOS Para visualizar los usuarios registrados seleccionamos la opcin Admin en la seccin Users donde se muestran los usuarios registrados para acceder a la Web de ntop. En la Figura 27 se muestra la pgina de registro de usuarios, solo el usuario admin administrador de ntop puede acceder a esta pgina.

INICTEL

20

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 27 : Pgina de usuarios registrados

INICTEL

21

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Para registrar una cuenta de usuario seleccionamos la opcin Add User y accedemos a la pgina de administracin de usuarios como se muestra en la Figura 28, en donde se ingresa el nombre del usuario user2 y contrasea, luego se presiona el botn Add User para que se registre como usuario de ntop.

Figura 28 : Pgina de administracin de usuarios de ntop

Seleccionando la opcin Sho w Users volvemos a la p gina de usuarios registrados como se muestra en la Figura 29 donde el usuario user2 esta en la lista de usuarios registrados para acceder a la Web de ntop. En la tabla de registro de usuarios est conformado por dos campos el primer campo Users lista los usuarios registrados y el segundo campo Actions muestra un icono que se selecciona para eliminar un usuario de ntop.

INICTEL

22

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 29 : Pgina de usuarios registrados de ntop

Para cambiar de contrasea al usuario ir a la p gina de administracin de usuarios como se observa en la Figura 30 donde el usuario user2 se le asigna una nueva contrasea y luego se selecciona el botn Modify Users para realizar los cambios al usuario de ntop.

INICTEL

23

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 30 : Cambio de contrasea al usuario de ntop

1.7. RESTRICCIONES DE ACCESO El administrador de ntop adems de registrar usuarios, tambin administra el acceso o restriccin hacia los enlaces URLs de ntop. En la Figura 31 muestra una lista de enlaces URLs que se accede seleccionando la opcin Show URLs, en donde slo el administrador tiene acceso a esta pgina.

INICTEL

24

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 31 : Pgina de restriccin URLs de ntop

En la Figura 32 se da un ejemplo en donde el administrador de ntop autoriza al usuario user2 acceder al enlace URLs shut donde se permite que pare el servicio ntop.

INICTEL

25

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 32 : Pgina de administracin de URLs

Cuando el usuario user2 selecciona la opcin Shutdown aparece una ventana que consulta si est seguro que pare el servicio ntop, donde el usuario responde presionando el botn OK en aceptar que pare el servicio ntop. Ver Figura 33.

INICTEL

26

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 33 : Confirmacin del usuario para que acceda al enlace Shutdown

Luego de haber confirmado que pare el servicio ntop, aparece otra ventana para la autenticacin del usuario, se verifica si user2 est autorizado para acceder al enlace shutdown. Ver Figura 34;

INICTEL

27

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

Figura 34 : Autenticacin del usuario para acceder al enlace Shutdown

INICTEL

28

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

1.8. ACTIVIDADES DEL MDULO 1.8.1. AUTO EVALUACIN 1. Cul de las siguientes alternativas son tareas de mantenimiento que realiza ntop? a. Acceso a enlaces URLs b. Adicionar enlaces URLs c. Restriccin a enlaces URLs d. Lista de enlaces URLs 2. Cul es la opcin que carga como un servicio a ntop?. a. -L b. -W c. -d d. -P 3. Cul es la opcin que nos da informacin acerca del sentido del trfico de la red? a. Local-Remote b. Traffic c. Remote-Local d. IP Summary 4. Cul es la seccin que nos da un resumen detallado acerca del estado de la red? a. Traffic b. IP Summary c. Summary d. Network Load 5. Cul de las siguientes secciones pertenece a la opcin All Protocols? a. Distribution b. Domain c. Activity d. Traffic

INICTEL

29

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

1.8.2. LABORATORIO

Experiencia practica 1.- Instalacin de Ntop Duracin 45 minutos Objetivos Brindar al participante las recomendaciones y procedimiento que debe considerarse durante la instalacin y configuracin de Ntop en Linux. Recursos a utilizar Una PC por alumno con Linux distribucin (RedHat 9.0 o Deban 3.0) Ejecucin de la Prctica I Obtener en fichero fuente ntop visitando la pgina Web http://www.ntop.org/ntop.html Descomprimir y extraer los ficheros fuentes de ntop Configurar, compilar e instalar ntop Ejecutar ntop considerando las opciones necesarias para que se inicie como servicio. Monitorear el trfico de la red. Hacer un anlisis basndose en los reportes estadsticos de ntop.

INICTEL

30

Mdulo 5

Administracin y Seguridad en redes GNU/LINUX

1.9. BIBLIOGRAFA Enlace. http://www.ntop.org/ntop.html Pgina Web oficial de Ntop, donde encontrar documentacin en PDF, libros recomendados y manuales de ntop.

INICTEL

31

Mdulo 5