Lo cierto es, que las herramientas de análisis de red requieren conocimientos avanzados, y son arduas de utilizar y generalmente en organizaciones pequeñas precisamente lo que falta es tiempo y recursos. Solo las organizaciones grandes pueden permitirse el lujo de tener su propio departamento de seguridad de red (quienes se ocupan de crear las reglas en sus firewalls, crear y mantener la DMZ, WIFI, VPN y demás), en el resto de empresas, la labor de dar seguridad la red y de mantener la buena actividad de la misma, sigue siendo una de las muchas que debe afrontar el departamento de informática.
¿Qué podemos hacer entonces?
Usar Ntop que es un proyecto Open Source para sistemas UNIX como puede serlo cualquier distribución Linux. Lo que nos permite es poder medir el tráfico de cada uno de los hosts de nuestra red, dividiendo este trafico entre diferentes servicios/protocolos (http, ftp, ssh, snmp...), pudiendo de esta manera detectar equipos infectados, o equipos que emitan demasiado tráfico por alguna razón no normal (generalmente porque están llenas de virus aquellas que saturan la red con tráfico Broadcast).
Lo que necesitamos en un equipo (puede ser un equipo viejo que esté en desuso), con al menos una tarjeta de red (que pueda ser habilitada en modo promiscuo para escuchar todo el tráfico de red), y que tenga un sistema UNIX instalado, si no se lo instalamos. En este caso explicaré como hacerlo con una distro RedHat bueno CentOS, instalamos:
Podemos instalar ntop sin problemas con yum pero existen muchas mejoras extras en la nueva versión por lo cual mejor compilaremos el paquete.
1) Instalaremos la dependencias necesarias para la compilación.
# yum install gcc make libtool gdbm-devel zlib-devel
2) Descargaremos la herramientas de rrdtool en la versión 4.
# wget http://www.express.org/~wrl/rrdtool/rrdtool-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-devel-1.4.4-1.el5.wrl.i386.rpm
3) Instalamos los 3 paquetes que descargamos:
# rpm -ivh *.rpm
4) Instalación de dependencias de ntop
# yum install libpcap-devel libpcap geoip geoip-devel php-pear python python-devel
5) Instalamos la aplicacion geoip para poder utilizar los mapas de google maps
# pecl install geoip
6) Descargamos la nueva versión de ntop dentro /opt
# cd /opt
Buscamos en la web ntop.tar.hz (descarguen la versión mas actual)
7)Descomprimimos el fichero descargado.
# tar -zxvf ntop-3.3.6.tar.gz
8) Entraremos a la carpeta ntop-3.3.6 y ejecutamos el siguiente comando.
# ./autogen.sh
9) terminado esto solamente queda compilar e instalar.
# make
# make install
10) Creamos usuario ntop y le damos permiso a los directorios ntop:
# useradd -M -s /sbin/nologin -r ntop
Damos permisos a usuario ntop:
# chown ntop:root /usr/local/var/ntop/
# chown ntop:root /usr/local/share/ntop/
11) Asignamos un password al administrador de ntop:
# ntop -A
Mon Nov 22 18:43:44 2010 NOTE: Interface merge enabled by default
Mon Nov 22 18:43:44 2010 Initializing gdbm databases
ntop startup - waiting for user response!
Please enter the password for the admin user:
Please enter the password again:
Mon Nov 22 18:43:52 2010 Admin user password has been set
11) Podremos ejecutar ntop de la siguiente manera.
# /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon
Si tenemos múltiples interfaces (eth0, eth1...) ejecutamos:
# /usr/local/bin/ntop -i "eth0,eth1" -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon12) Entramos a la aplicación vía web de la siguiente manera:
Bueno yo tengo instalado en una PC virtual pero no me captura mucho solo mi trafico de mi propia tarjeta.
ResponderEliminarMi pregunta es la siguiente es necesario que en NTOP este instalado en el mismo Firewall o puede estar instalado en otra maquina que este conectada en la lan.
Obviamente en un entorno real de producción podrás ver el potencial de esta herramienta.
ResponderEliminarLa idea es gastar los recursos necesario si la PC donde tienes el firewall tiene lo suficiente te recomiendo hacerlo ahí mismo, y si tienes algo más de recurso podrías hacerlo en otra pc de la LAN, obviamente al momento de acceder ya no usarías localhos sino:
http://ip_pcntop:3000
Otra bondad ntop es ligero, lo tengo en una pc core duo, donde tengo vpn, firewall, proxy alguito mas x ahí y me anda sin complicaciones... éxitos
Bueno Gracias por la Respuesta pero yo lo realice de otra manera que capas para ti te puede ser de mucha ayuda.
ResponderEliminarTuve que instalar un Pc con el Ubuntu y Ntop.
lo conecte a la lan y desde el Switch Cisco lo que realice es una configuracion de SPAN (Switch Port ANalyzer o Analizador de Puertos de Switch), y listo puede sacar todo el potencial al NTOP.