viernes, 15 de enero de 2010

Como analizar el trafico de nuestra red con Ntop

Fuente: http://www.axlinux.es/2009/07/como-analizar-el-trafico-de-nuestra-red.html

NTOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y además es GNU. El software esta desarrollado para plataformas Unix y Windows.

En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente estadísticas de tráfico.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.


Ntop esta disponible en los repositorios de Ubuntu, lo puedes usar como demonio o ejecutarlo como comando.

Para instalarlo solo tienes que escribir:

$sudo apt-get install ntop

Para ejecutarlo tienes que hacerlo como sudo con la siguiente sintaxis.

$sudo ntop

Ojo si ya lo has configurado como demonio, no tienes porque ejecutar el comando, directamente puedes ver el análisis del trafico de red con para ello abrimos el navegador y escribimos:

http://localhost:3000

¿Para que nos sirve Ntop?

Ntop nos sirve para auditar el trafico de nuestra en busca de errores en la misma.

¿Como podemos hacer esto?

Ntop nos facilita una serie de menús que nos permite estudiar los diferentes componentes de nuestra red con los diferentes protocolos mencionados anteriormente.

¿Qué información nos aporta Ntop?

  • Dispone de gran variedad de informes: informes globales de carga de red, de tráfico entre elementos, de sesiones activas de cada elemento, etc.
  • Detecta posibles paquetes perniciosos.
  • Permite exportar los datos a una base de datos relacional MySQL para su análisis.
  • Es capaz de analizar datos proporcionados por dispositivos de red que soporten NetFlowsFlow. y
  • Pues hasta el mínimo detalle. Ntop nos aporta mucha información tandt de los interfaces, el trafico y los host de nuestra red. Nos dice a que hora se utiliza la red, durante cuanto tiempo se esta conectado a un servicio, pagina web... Que web se visitan, donde están estas web, que sistemas operativos usan....
  • Nos muestra gráficas del uso de la red, en sus diferentes dispositivos, con sus diferentes protocolos y sus diferentes niveles de detalle.

¿Para que nos sirve esta información?

Para muchas cosas, ejemplos:

  • Un hogar donde se usa Linux y Windows. Supón que en Windows el ordenador tiene un troyano o gusano que cada x tiempo manda información a internet. Con Ntop podríamos observar que se esta mandando es información, a que dirección web la esta mandando y con que frecuencia se esta mandando.
  • Un hogar donde los niños pequeños navegan por internet y queremos saber a que sitios están entrando nuestros hijos y/o que uso de la red están haciendo. Pues podríamos ver si usan un programa de mensajería instantánea, si entran en chats, foros o redes sociales, etc.
  • También podríamos ver si alguien que no pertenece a nuestra red esta haciendo uso de la misma.

No hay comentarios: