Documento original: Manim
Nuestro amigo megabsd implementó esta herramienta, la cual es considerada una de las mejores en cuanto a monitoreo de tráfico IP y paquetes en redes privadas se trata.
1. Consideraciones iniciales
- NTOP
- NTOP (Network Top) es un programa capaz de monitorear pasivamente una red, recolectando datos sobre protocolos y hosts.
- Analiza los paquetes que generan tráfico en la red;
- Lista y ordena el tráfico de red de acuerdo con varios protocolos;
- Muestra estadísticas de tráfico;
- Almacena estadísticas de forma permanentemente en base de datos;
- Identifica pasivamente información relacionada con los hosts de la red, incluyendo el sistema operativo ejecutado y direcciones de e-mail del usuario de la estación;
- Muestra la distribución de tráfico IP entre varios protocolos de la capa de aplicación;
- Decodifica varios protocolos de la capa de aplicación, incluso los encontrados en software de tipo P2P;
- Actúa como recolector de flujos generados por routeadores y switchs a través de la tecnología NETFLOW;
- Posee un WebServer integrado que permite consultar la información a través de un browser.
- Por default, el Ntop monitorea solamente un conjunto reducido de protocolos, listados en la siguiente tabla:
Protocolo.....................Puertos
FTP.............................20 21
HTTP...........................80 443 3128
DNS.............................53
Telnet..........................23 513
NBios-IP........................137 138 139
Mail.............................25 109 110
DHCP/BOOTP..................67 68
DNMP...........................161 162
NNTP...........................119
NFS/AFS.......................2049 7000-7009
X11.............................6000-6010
SSH.............................22
Kazaa...........................1214
WinMX..........................6699 7730
eDonkey........................4661-4665
BitTorrent......................6881-6999 6969
Messenger ......................1863 5000 5001
Monitoreo de protocolos adicionales:
2. Instalación de Ntop
Acceda a su BFW utilizando un administrador ssh o terminal (ex: PuTTY).
1º) Descargue el Ntop
- Código: Selecionar todos
mt
cd /mnt
wget http://www.brazilfw.com.br/users/fw_user/ntop.tgz
cd /
umt
reboot
2º) Crear archivos de backup e iniciar Ntop
- Por facilidad; copie el contenido de abajo y colóquelo en sus administrador de ssh o terminal (ex: PuTTY).
- Código: Selecionar todos
cat >/var/lib/lrpkg/ntop.list <<FIM
/var/lib/lrpkg/ntop.*
/usr/local/lib/libmyrrd-3.2.so
/usr/lib/libssl.so.0.9.7
/usr/lib/libcrypto.so.0.9.7
/usr/local/lib/libgdbm.so.3
/usr/local/lib/libgdbm.so.3.0.0
/usr/local/lib/libgd.so.2
/usr/local/lib/libgd.so.2.0.0
/usr/local/lib/libfreetype.so.6
/usr/local/lib/libfreetype.so.6.3.8
/usr/local/lib/libpng12.so.0
/usr/local/lib/libpng12.so.0.14.0
/usr/local/lib/libntop*
/usr/lib/libz.so
/usr/local/lib/libpcap.a
/usr/local/share/ntop*
/usr/local/bin/ntop*
/usr/local/etc/ntop*
/usr/local/lib/ntop*
/etc/rc.d/pkgs/rc.ntop
FIM
Atención en este paso.
- Código: Selecionar todos
cat >/etc/rc.d/pkgs/rc.ntop <<FIM
#!/bin/sh
# iniciar ntop
. /etc/coyote/coyote.conf
rfc_1918="ipdesuBFW/24,ip_de_primera_interface_de_red/24,ip_de_segunda_interface_de_red/24"
/usr/local/bin/ntop -i \$IF_LOCAL -P /partition/ntop -m \$rfc_1918 -n -u root -d
FIM
chmod 700 /etc/rc.d/pkgs/rc.ntop
Opcional =ip_de_segunda_interface_de_red/24.
Si cuenta con más interfaces en su servidor BFW, simplemente agregue los respectivos ip´s seguidos de la mascara de red.
3º) Definir el directorio de la Base de Datos y configurar la contraseña de acceso privilegiado para la interface Web.
- Por facilidad; copie el contenido de abajo y cole en su administrador de terminal (ex: PuTTY).
- Código: Selecionar todos
mkdir -p /partition/ntop
ntop -u root -A -n -P /partition/ntop
Se requiere de una contraseña de acceso, la cual usted debe digitar y repetir para confirmar.
4º) Iniciar el Ntop
- Por facilidad; copie el contenido de abajo y pegelo en su administrador ssh o terminal (ex: PuTTY).
- Código: Selecionar todos
/etc/rc.d/pkgs/rc.ntop
backup ntop
5º) Acceder a Ntop en el puerto 3000 a modo de ejemplo
http://ipdesuBFW:3000
Créditos y agradecimientos a nuestro amigo megabsd por este trabajo.