Monitorización de red con NTOP

Escrito por Ángel Lafuente Echeazarra el martes 11 marzo 2008 a las 11:00 :: Link permanente :: rss

Sólo las organizaciones grandes pueden permitirse el lujo de disponer de una sección de gestión de redes en su departamento de TICs. En las demás, esta labor es una de las muchas que debe afrontar el departamento de informática. La atención que se presta a la gestión de red es inversamente proporcional al tamaño de la organización. Además, el personal encargado de la red suele orientar la gestión avanzada de la misma a la prestación de nuevos servicios (WIFI, VPN) y al refuerzo de la seguridad (firewall, IDS) más que a la mejora de la capacidad de la misma (redundancia, QoS, VLAN, monitorización, mantenimiento preventivo).

La red local es la infraestructura TIC básica. Se le presta atención cuando se implanta, que es cuando se diseña (puntos de red, segmentos, cableado, switches, routers) y se calcula su capacidad, normalmente aplicando un sobredimensionamiento. Tras su puesta en marcha, su gestión pasa a un segundo plano, ya que los otros elementos de la infraestructura (PCs, servidores, aplicaciones ...) generan más incidencias en tanto que son más cercanos a los usuarios finales.

En este escenario, si en la red se produce un problema de rendimiento, necesitamos una herramienta que nos ayude a identificar la causa del problema. Habitualmente se recurre a sniffers para analizar el tráfico de red. En el ámbito del software libre disponemos de excelentes herramientas de análisis de red: WireShark para redes Ethernet y Kismet para las inalámbricas. Ambas son muy completas y potentes, pero se requieren unos conocimientos elevados de redes para sacarles partido.

Ntop es una herramienta de monitorización de red en la que prima la presentación de informes de los datos recogidos sobre la recolección de paquetes de red.

ntop

Destacamos las siguientes características de ntop:

Es un proyecto de software libre ya consolidado, con 10 años de historia.
Su interfaz es web y muy intuitivo.
Dispone de gran variedad de informes: informes globales de carga de red, de tráfico entre elementos, de sesiones activas de cada elemento, etc.
Detecta posibles paquetes perniciosos.
Permite exportar los datos a una base de datos relacional MySQL para su análisis.
Es capaz de analizar datos proporcionados por dispositivos de red que soporten NetFlow y sFlow.
Es un software multiplataforma (Windows, Linux, *BSD, Solaris y MacOSX) y muy fácil y rápido de instalar.

ntop

Es la herramienta perfecta para sacarnos de un apuro, ya que es fácil de poner en marcha.

Desde el punto de vista técnico tened en cuenta lo siguiente:

Para capturar los paquetes, la interfaz de red de la máquina que ejecute ntop debe entrar en modo promiscuo, lo que implica que hay que disponer de permisos de administrador en dicha máquina.
Si deshabilitamos el modo promiscuo, ntop analizará sólo el tráfico de red de la máquina en que se ejecuta. Esto puede ser útil en algunos escenarios.
Ntop usa por defecto el puerto 3000 TCP para el servidor web de la interfaz. Atención con el firewall si deseamos acceder a la interfaz desde otra máquina.
En Linux, ntop está presente en las principales distribuciones y es fácilmente instalable desde el gestor de paquetes de software de la distribución.
La versión para Windows tiene una restricción en el número de paquetes de red que permite analizar.
Conviene eliminar las estadísticas antiguas cada vez que recojamos datos, lo que puede hacerse fácilmente desde la interfaz de ntop (menú Admin → Configure → Reset stats).

Para que podáis probar ntop sin afectar a vuestros sistemas, hemos preparado una máquina virtual VMware con FreeBSD 7.0 y ntop. También podéis utilizar la máquina virtual para analizar el tráfico de una red problemática desde un equipo conectado con un sistema operativo más corriente, como Microsoft Windows.

¿Qué pasos debéis seguir?

Comprobar los requisitos del sistema VMware. Se precisan 96 MB de RAM y 820 MB de disco. Debe estar instalado VMware Player, VMware Workstation o VMware Server. Debe existir un servidor DHCP en la red local. Se trata de una VM con versión de hardware virtual 5, por lo que es compatible con los siguiente productos de VMware: ACE 2.x, Fusion 1.x, Server 1.x, Server 2.x, Workstation 5.x, Workstation 6.x, Player 1.x y Player 2.x. Probado con Workstation 6 y Player 2 en Windows.

Descargar la máquina virtual. Es un fichero autoextraible en MS Windows (90 MB) de 7-zip. No es necesario, por lo tanto, tener instalado 7-zip para extraer los ficheros. En otros sistemas operativos, podéis usar p7zip.

Abrir el fichero "NTOP Solid VM.vmx" con VMware. Hay que comprobar que la interfaz de red virtual está en modo bridge.

Vmware Player Network bridge mode

Se iniciará el sistema FreeBSD de la máquina virtual. En el ejemplo usamos Vmware Player.

FreeBSD en VMware Player

Entrar en el sistema con usuario root. La clave es ntop-solid. A continuación ejecutamos el comando ifconfig para averiguar qué dirección IP nos ha otorgado el servidor de DHCP de la red local. En el ejemplo de la imagen, la IP de la máquina virtual es 192.168.217.133.

ifconfig en FreeBSD

Ejecutar el comando ntop en la consola de la máquina virtual. Si no hay errores, podéis acceder a ntop desde un navegador a través de la URI http://ip_maquina_virtual:3000. En la imagen vemos la pantalla inicial de ntop para la IP del ejemplo que estamos siguiendo.

Ntop screenshot

Eliminar las estadísticas antiguas, lo que puede hacerse fácilmente desde la interfaz de ntop (menú Admin → Configure → Reset stats). Es una zona restringida a la que se accede con usuario admin y clave ntop-solid.

Para detener la máquina virtual hay que:

Hacer Ctrl+C en la consola para detener ntop.
Ejecutar shutdown -h now para detener FreeBSD.
Desde el menú de VMware, apagar la máquina virtual.

Vmware Player FreeBSD shutdown

Para descubrir todas las posibilidades de ntop, os recomendamos que leáis el manual (siempre disponible en la máquina mediante man ntop) y que exploréis la sección de documentación del proyecto.

Ntop y FreeBSD son software libre, por lo que podéis distribuir y modificar la máquina virtual según vuestras necesidades.

Solid Rock IT no recomienda utilizar esta integración de software en entornos de producción.

Si os surgen dudas o problemas, comentadlos en el blog.

En Solid Rock IT somos especialistas en la utilización de software libre en cualquiera de los ámbitos de actuación de un departamento de TICs: redes, sistemas operativos, bases de datos, aplicaciones y herramientas de gestión de TICs.

Comentarios

1. Escrito por Ángel Lafuente Echeazarra el lunes 14 julio 2008 a las 17:40

Jonathan nos ha planteado la siguiente pregunta por e-mail.

**************************

Asunto: Pregunta herramienta medición trafico interfaces switches

Hola, buscando en Google he leído en vuestro blog sobre la herramienta ntop, para la medición de trafico en elementos de red, quería saber si con esta herramienta se puede medir el trafico de red de un enlace en modo trunk por el que pasan varias VLANes, de modo que mida el tráfico de cada una de las VLANes que pasan por el trunk, por separado de manera independiente, es decir, que la granularidad de la medicion vaya más alla de a nivel de puerto o interfaz de red.

Muchas gracias y saludos.

**************************

Hola Jonathan:

La respuesta es sí. Por ejemplo, busca en "http://www.ntopsupport.com/faq.html" la palabra "trunk".

No sé qué tipo de switches estáis usando, ni qué configuración y topología de VLAN tenéis. Entiendo que lo que quieres es medir en un sólo punto o medir el tráfico del "trunk".

Para ello y dependiendo de la tecnología de tus switches deberías conectar la máquina con NTOP al trunk. Para conseguirlo debes habilitar un puerto como puerto de monitorización. A nivel de switch lo que hacemos es que todo el tráfico de red se vea reflejado en uno de los puertos.

- En dispositivos CISCO, a este puerto se llama "SPAN port".

- En dispositivos HP Procurve, a esta configuración se le llama "port mirroring".

Revisa la documentación de tus switches.

Otra alternativa es insertar un dispositivo NTAP en el trunk entre los dos switches y conectar NTOP a ese dispositivos.

También podrías habilitar tus switches para que envíen información de rendimiento vía NETFLOW O SFLOW a un NTOP conectado en una VLAN ordinaria.

Adjunto unos enlaces de interés:

http://en.wikipedia.org/wiki/Port_mirroring

http://www.cisco.com/warp/public/473/41.html

http://en.wikipedia.org/wiki/Network_tap#Companies_making_network_TAPs

Te agradeceríamos que comentases más detalles o qué has conseguido.

Saludos.

Solid Rock IT

Comentarios

Añadir un comentario

Trackbacks