You are on page 1of 5

.

SISTEMA DE MONITOREO, CONTROL DE ENLACES Y USO DE DATOS


DE ALTA VELOCIDAD UTILIZANDO NTOP
Lynn Cobeñas Muñoz
e-mail: lcobenas2014@gmail.com

Para ese tipo de situaciones se recomienda Ntop, una


RESUMEN: El presente artículo desarrolla las herramienta de software libre que permite obtener
características principales e importantes del Ntop que es estadísticas de la utilización de nuestro canal que
una herramienta de software libre la cual permite pueden ser consultadas desde nuestro navegador Web
monitorear en tiempo real (sniffer) a los equipos y (Firefox, Opera, Chrome. etc).
aplicaciones que están consumiendo recursos de red en La instalación de ntop es bastante sencilla, en la página
un tiempo determinado; Posee su propio servidor web http://www.ntop.org/ puede descargarse el código fuente
integrado que permite que cualquier usuario, una vez de ntop o versiones binarias listas para instalar en
autenticado, pueda acceder a los reportes de ntop de nuestro sistema operativo tipo UNIX favorito. También
forma remota con cualquier navegador. Las existe una versión gratis para Windows limitada a
aplicaciones que tiene así como también las ventajas y capturar máximo 2000 paquetes y se puede comprar
desventajas de usar este tipo de monitor de red. una licencia para utilizarla sin restricciones.

PALABRAS CLAVE: Monitoreo, Control y Uso de Este documento describe el proceso de


datos. implantación al sistema, el control, monitoreo de red,
ventajas, desventajas y los beneficios alcanzados.

1 INTRODUCCIÓN
2 NTOP
Hoy en día, surge la necesidad de contar con un
sistema de monitoreo y control que permita obtener en 2.1 IMPLANTACION O INSTALACION DE
tiempo real e histórico, información sobre el Ntop
comportamiento de la red en lo referente al uso y
consumo del ancho de banda hacia Internet, con la
finalidad de poder tomar medidas que eviten saturación 2.1.1 Implantación en un sistema Linux
del enlace y que las aplicaciones críticas o más
sensibles no se afecten. La instalación puede realizarse de varias formas:
Ntopng es una herramienta de monitorización de red Descargando las fuentes de Ntop e instalando de forma
pasiva centrado en los flujos y las estadísticas que se habitual en GNU/Linux:
pueden obtener a partir del tráfico capturado por el
servidor. ./configure
Como administrador de servidores basados en Make
GNU/Linux y más específicamente aquellos encargados make install
de administrar el tráfico entre varias redes (como proxy,
firewall o simple enrutador) uno de los retos que se tiene Usando el gestor de paquetes:
que enfrentar es el análisis de trafico de red, que
consiste (entre algunas cosas) en observar cómo está apt-get install ntop graphviz
siendo utilizado nuestro ancho de banda para determinar
posibles abusos, vulnerabilidades o falencias en nuestro Una vez descargado e instalado ntop, solo será
esquema de red y servicios para tomar las decisiones necesario modificar algunos parámetros sencillos el
preventivas o correctivas necesarias para conservar (y si archivo ntop.conf (usualmente ubicado en /etc/ntop.conf)
es posible, mejorar) la calidad de los servicios de red para ajustarlo a nuestra red:
que preste nuestra organización.

1
.

-interface: este parámetro indica el dispositivo de red en


el cual se llevara a cabo el análisis de tráfico. Por lo 2.1.2 Instalación en plataforma Windows
general se configura el dispositivo que corresponde a la
tarjeta de red externa de nuestra máquina pero puede Ntopng se puede ejecutar como un servicio o como
configurarse cualquiera e incluso especificar varios aplicación (es decir, puede iniciarlo desde cmd.exe). El
dispositivos, un ejemplo de esta línea seria: instalador ntopng registra el servicio y automáticamente
comienza es como se muestra a continuación.
-interface eth1

-http-server: indica el puerto sobre el cual se ejecutara


el servidor Web de ntop y al cual dirigiremos nuestro
navegador, el puerto por defecto es el 3000 pero puede
escogerse cualquier puerto disponible por encima del
1024 (puede ejecutarse en un puerto inferior, pero ntop
debería ser ejecutado por el usuario root lo cual es
completamente desaconsejado); un ejemplo de esta
línea seria:

-http-server 3000

-local-subnets: aquí establecemos el (los) segmento(s)


de red que corresponden a nuestra Intranet para que
ntop pueda determinar cual trafico es local y cual es
externo, un ejemplo de esta linea seria:

-local-subnets 192.168.1.0/255.255.255.0 El Administrador de servicios de Windows

Si nuestra red tiene varios segmentos (por ejemplo en Con el fin de interactuar con ntopng desde la línea de
una red con DMZ) podemos especificarlos en este comandos, el fuego de una Comandos Promt Windows y
parámetro, separando cada segmento con una coma. navegue hasta el directorio de instalación ntopng. Puede
que tenga que ejecutar la promo comandos con
-daemon: Especifica que ntop se ejecutara como un privilegios de administrador. Los comandos se emiten
servicio del sistema, y podremos gestionarlo mediante después de un / c, que es sinónimo de “consola”. Por
los clásicos parámetros start, restart, status o stop de ejemplo, para visualizar la ayuda en línea, basta con
cualquier otro servicio. ejecutar
Si no desea que ntop se gestione como servicio del
sistema puede omitir este parámetro comentándolo con ntopng / c -h
un #. En este caso puede ejecutar ntop desde la consola
con el comando: Especificar interfaces supervisadas
Como interfaces de red en Windows pueden tener
ntop @/etc/ntop.conf nombres largos, un índice numérico está asociado a la
interfaz con el fin de facilitar la configuración ntopng. El
Y detenerlo presionado Ctrl+C. nombre de la interfaz de asociación y de índice se
muestra en la ayuda en línea.
Una vez instalado y configurado, ntop puede ser
ejecutado. En caso de estar configurado como servicio c: \ Archivos de programa \ ntopng> ntopng / c -H A partir
del sistema puede ser iniciado ejecutando el comando
(en sistemas Red Hat, Fedora Core): ntopg Correr ntopng.

service ntop start

Si ntop no está configurado para ejecutarse como


servicio, el comando para iniciarlo sería:

ntop @/etc/ntop.conf

Con ntop ejecutándose en el sistema simplemente


abrimos un navegador web y abrimos la URL
correspondiente. Por ejemplo, si el firewall en el cual
instalamos ntop tiene la IP 192.168.1.1 y el puerto de
ntop es el 3000, escribimos en la barra de direcciones
del navegador http://192.168.1.1:3000/ (no sobra decir
que este puerto debe estar abierto en el firewall para ser
accedido únicamente desde ciertas direcciones).

2
.

La interfaz gráfica de usuario Web ntopng


El Promt de comandos de Windows
Una vez iniciado ntopng puede ver la interfaz gráfica de
-interfaces disponibles (-i <índice de interfaz>): usuario. Por defecto, la interfaz gráfica de usuario se
1. Intel (R) PRO / 1000 MT Desktop Adapter puede acceder desde cualquier navegador web en http:
{8EDDEFE3-D6DB-4F9B-9EDF-
// <ntopng IP>: 3000 /.
FBC0BFF67F3C}
Un puerto diferente se puede especificar como una
En el ejemplo anterior, el adaptador de red Intel (R) PRO opción de línea de comandos durante la ntopng inicio.
/ 1000 MT Desktop está asociada con el índice 1. Para La primera página que siempre se sale contiene el
seleccionar este adaptador ntopng necesita ser iniciado formulario de acceso - a condición de que el usuario no
con -i 1 opción. ha decidido convertir la autenticación fuera durante el
La ejecución como un servicio de Windows arranque.
Veremos una página como la siguiente:
Servicios de Windows se inician y detienen el uso de la
parte de aplicación de Servicios de las herramientas
administrativas de Windows. Cuando se utiliza como
ntopng servicio, opciones de línea de comandos es
necesario especificar en el registro del servicio y sólo se
pueden modificar mediante la eliminación y volver a
agregar el servicio. El instalador registra ntopng como un
servicio con las opciones predeterminadas. Las
opciones de servicio por defecto registrado pueden
cambiarse utilizando estos comandos:

ntopng / r (Quitar el servicio)

ntopng / i <nuevo conjunto de opciones> (Instalar el


servicio con las opciones especificadas.)

En una consola Comandos Promt:

c: \ Archivos de programa \ ntopng> ntopng / r ntopng


eliminado.

Donde se ingresará la cuenta del administrador y su


c:\ Archivos de programa \ ntopng> ntopng / i -i instalado contraseña de uso.
1 ntopng.
Nota: La contraseña predeterminada para el usuario
Después se visualizará un cuadro de resumen de
'admin' se ha ajustado a 'admin'. c: \ Archivos de
estadísticas del puerto o puertos que está monitorizando
programa \ ntopng>

2.2 ENTORNO GRAFICO

3
.

Adicionalmente podemos ordenar la tabla en orden


ascendente o descendente según la cantidad total de
datos recibido o trasmitidos, o discriminados por
Donde encontraremos gráficos y resúmenes del tráfico protocolo haciendo clic en el encabezado de la columna
de nuestra red. En esta página podemos desplazarnos correspondiente.
hasta la sección “Historical Data” y hacer clic en el icono
para ver estadísticas más detalladas. Un gráfico Al hacer clic en algún host de nuestro interés, veremos
bastante útil es que nos permite ver el historial de tráfico las estadísticas detalladas acerca del su tráfico que ntop
de nuestra red discriminado por protocolo: ha recopilado hasta el momento:

También es posible ver la distribución de nuestro canal El último aspecto que mencionare acerca de ntop es la
en orden de utilización haciendo clic en IP -> Summary utilidad para exportar las estadísticas de tráfico
->Traffic recopiladas por ntop (haciendo clic en Utils -> Data
Dump):

Aquí podemos seleccionar el tráfico que deseamos ver:

En la sección “Hosts” (parte superior izquierda)


seleccionaremos si el tráfico que nos interesa es local
(Local Only), remoto (Remote Only) o todo el tráfico sin
importar su origen (All). La exactitud de este análisis
depende de la configuración de la variable --local-
subnets de la cual ya hablamos.
En la sección “Data” (parte superior derecha)
seleccionaremos el sentido del tráfico que nos interesa:
los datos enviados desde nuestra red hacia el exterior Donde podremos exportar los datos como archivos
(Sent Only), los datos recibidos por nuestra red de texto separado por comas, XML, o arreglos en
(Received Only) o todo el tráfico sin importar su origen lenguajes de programación como PHP, Perl o Python;
(All). jugosa información para ser analizada con herramientas

4
.

externas como hojas de cálculo o ser almacenados en


bases de datos como MySQL y PostgreSQL.

3 VENTAJAS Y DESVENTAJAS DE
MPEG-4
3.1 VENTAJAS
- Fácil instalación, configuración y uso.
- Las tablas y gráficos que tanto nos gustan.
- Su interfaz Web: Ubicuidad y portabilidad en su
máxima expresión

3.2 DESVENTAJAS

- Al ser básicamente un sniffer con una interfaz


bonita, dependiendo de las características de la maquina
en la cual se instale y la cantidad de tráfico a analizar,
paulatinamente puede consumir los recursos del sistema
hasta dejarlo completamente saturado. Recomiendo
utilizar MRTG para análisis contínuo de nuestro tráfico y
ntop en casos puntuales o análisis de rutina limitados a
máximo 24 o 48 horas.

4 CONCLUSIONES FINALES
- Como conclusión, ntop es una herramienta
excelente para conocer a fondo la utilización de nuestro
canal y la información que presenta sirve para optimizar
nuestro firewall (permitiendo detectar tráfico en puertos o
en máquinas en las cuales no debería haberlo) o
detectar abusos por parte de nuestros clientes (usuarios
que indiscriminadamente utilizan todo el ancho de banda
disponible o utilizan software P2P en una red en la cual
no está permitido, etc.).

5 REFERENCIAS
[1] https://es.scribd.com/document/172475232/NTOP-
manual-de-configuracion
[2] http://drivemeca.blogspot.pe/2013/09/como-graficar-
conexiones-en-pfsense-con.html
[3] http://linuxiandounrato.blogspot.pe/2006/08/ntop-una-
interfaz-web-para-anlisis-de.html
[4]https://blog.unlugarenelmundo.es/2013/03/25/instalaci
on-y-primeros-pasos-con-ntop-5-en-debian-6/
[5]https://www.ntop.org/support/documentation/document
ation/