lunes, 22 de noviembre de 2010

¿Por qué mi Red está lenta?

Muchas veces el administrador de sistemas se habrá preguntado porque su red va lenta, que es lo que ocurre, si es que hay algún software malintencionado saturando la red, o si hay algún usuario haciendo un uso exhaustivo de la red (p2p etc).

Lo cierto es, que las herramientas de análisis de red requieren conocimientos avanzados, y son arduas de utilizar y generalmente en organizaciones pequeñas precisamente lo que falta es tiempo y recursos. Solo las organizaciones grandes pueden permitirse el lujo de tener su propio departamento de seguridad de red (quienes se ocupan de crear las reglas en sus firewalls, crear y mantener la DMZ, WIFI, VPN y demás), en el resto de empresas, la labor de dar seguridad la red y de mantener la buena actividad de la misma, sigue siendo una de las muchas que debe afrontar el departamento de informática.


¿Qué podemos hacer entonces?

Usar Ntop que es un proyecto Open Source para sistemas UNIX como puede serlo cualquier distribución Linux. Lo que nos permite es poder medir el tráfico de cada uno de los hosts de nuestra red, dividiendo este trafico entre diferentes servicios/protocolos (http, ftp, ssh, snmp...), pudiendo de esta manera detectar equipos infectados, o equipos que emitan demasiado tráfico por alguna razón no normal (generalmente porque están llenas de virus aquellas que saturan la red con tráfico Broadcast).

Lo que necesitamos en un equipo (puede ser un equipo viejo que esté en desuso), con al menos una tarjeta de red (que pueda ser habilitada en modo promiscuo para escuchar todo el tráfico de red), y que tenga un sistema UNIX instalado, si no se lo instalamos. En este caso explicaré como hacerlo con una distro RedHat bueno CentOS, instalamos:

Podemos instalar ntop sin problemas con yum pero existen muchas mejoras extras en la nueva versión por lo cual mejor compilaremos el paquete.

1) Instalaremos la dependencias necesarias para la compilación.

# yum install gcc make libtool gdbm-devel zlib-devel

2) Descargaremos la herramientas de rrdtool en la versión 4.

# wget http://www.express.org/~wrl/rrdtool/rrdtool-perl-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-devel-1.4.4-1.el5.wrl.i386.rpm

3) Instalamos los 3 paquetes que descargamos:

# rpm -ivh *.rpm

4) Instalación de dependencias de ntop

# yum install libpcap-devel libpcap geoip geoip-devel php-pear python python-devel

5) Instalamos la aplicacion geoip para poder utilizar los mapas de google maps

# pecl install geoip

6) Descargamos la nueva versión de ntop dentro /opt

# cd /opt

Buscamos en la web ntop.tar.hz (descarguen la versión mas actual)

7)Descomprimimos el fichero descargado.

# tar -zxvf ntop-3.3.6.tar.gz

8) Entraremos a la carpeta ntop-3.3.6 y ejecutamos el siguiente comando.

# ./autogen.sh

9) terminado esto solamente queda compilar e instalar.

# make

# make install

10) Creamos usuario ntop y le damos permiso a los directorios ntop:

# useradd -M -s /sbin/nologin -r ntop

Damos permisos a usuario ntop:

# chown ntop:root /usr/local/var/ntop/

# chown ntop:root /usr/local/share/ntop/

11) Asignamos un password al administrador de ntop:

# ntop -A

Mon Nov 22 18:43:44 2010 NOTE: Interface merge enabled by default
Mon Nov 22 18:43:44 2010 Initializing gdbm databases
ntop startup - waiting for user response!
Please enter the password for the admin user:
Please enter the password again:
Mon Nov 22 18:43:52 2010 Admin user password has been set

11) Podremos ejecutar ntop de la siguiente manera.

# /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

Si tenemos múltiples interfaces (eth0, eth1...) ejecutamos:

# /usr/local/bin/ntop -i "eth0,eth1" -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

12) Entramos a la aplicación vía web de la siguiente manera:

http://localhost:3000


3 comentarios:

  1. Bueno yo tengo instalado en una PC virtual pero no me captura mucho solo mi trafico de mi propia tarjeta.
    Mi pregunta es la siguiente es necesario que en NTOP este instalado en el mismo Firewall o puede estar instalado en otra maquina que este conectada en la lan.

    ResponderEliminar
  2. Obviamente en un entorno real de producción podrás ver el potencial de esta herramienta.
    La idea es gastar los recursos necesario si la PC donde tienes el firewall tiene lo suficiente te recomiendo hacerlo ahí mismo, y si tienes algo más de recurso podrías hacerlo en otra pc de la LAN, obviamente al momento de acceder ya no usarías localhos sino:
    http://ip_pcntop:3000

    Otra bondad ntop es ligero, lo tengo en una pc core duo, donde tengo vpn, firewall, proxy alguito mas x ahí y me anda sin complicaciones... éxitos

    ResponderEliminar
  3. Bueno Gracias por la Respuesta pero yo lo realice de otra manera que capas para ti te puede ser de mucha ayuda.
    Tuve que instalar un Pc con el Ubuntu y Ntop.
    lo conecte a la lan y desde el Switch Cisco lo que realice es una configuracion de SPAN (Switch Port ANalyzer o Analizador de Puertos de Switch), y listo puede sacar todo el potencial al NTOP.

    ResponderEliminar