Aquí voy a explicar una de las mejores y más completas herramientas que he encontrado para el control del tráfico que pasa por mi red. Sin hacer uso del protocolo NetFlow que mi electrónica de red no está preparada.
El programa se llama ntopng, su versión anterior es el ntop. Son muy parecidos, pero que las mejoras gráficas en el segundo son notables a la hora de presentar y acceder a la información.
Pruebas hechas con Debian 7 y Ubuntu 12.10.
Recomendaría tener el puerto en modo promiscuo en el host que lo instalemos y hacer llegar todo el tráfico que pase de nuestra salida a internet, o nuestra puerta de enlace, camino a los servidores,etc ... que más nos interese. Si tenemos electrónica de red Cisco, puede que nos ayude este post: http://gonsystem.blogspot.com.es/2011/04/port-mirror.html
Para instalar el ntopng necesitamos tener los siguiente paquetes instalados previamente en nuestra máquina Linux:
glib2.0
libgeoip-dev
libpcap-dev
libxml2-dev
redis-server
automake
autoconf
checkinstall
libtool
libxml2-dev
libsqlite3-dev
La manera de instalarlos que yo he seguido ha sido:
apt-get install "nombre del paquete" y asi con todos o uno a uno.
Ya tenía instalado el Apache2, que seguro lo acabaré necesitando para acceder por web.
Me creo una carpeta con la que trabajar para la instalación del ntopng y procedo con el comando:
svn co https://svn.ntop.org/svn/ntop/trunk/ntopng/
Si no tenemos el svn lo podemos instalar de la siguiente manera: apt-get install subversion
Nos metemos en la carpeta que se nos ha creado con el nombre "ntopng" con el comando: "cd ntopng"
Seguimos con el comando "./configure"
Hacemos el "make geoip" que nos pide.
Seguimos poniendo "make"
Lo siguiente es un "make install"
Si no hemos tenido ningún error, ya no hay que instalar nada más.
Ahora ya esta instalado, vamos arrancar la aplicación, para ello debemos poner el numero de puerto, en este caso el 3000, y la tarjeta de red, en este caso la 1 (que es mi eth0):
ntopng -w 3000 -i 1
Si queremos ya podemos borrar la carpeta que hemos creado para la instalación.
Nuestro terminal se quedará inutilizable por las gestiones del Ntopng, siempre podemos hacer un Ctrl+C y salir (no lo hagais!! si quereis seguir con las pruebas).
Para ver si nos ha funcionado bien, a través de un navegador web, debemos poner la siguiente URL "http://IP:3000"
La información por defecto para poder acceder es:
Usuario: admin
Password: admin
En otro Post hablaré de que información nos muestra.
GoN