martes, 1 de abril de 2014

Ntopng. Instalación


Aquí voy a explicar una de las mejores y más completas herramientas que he encontrado para el control del tráfico que pasa por mi red. Sin hacer uso del protocolo NetFlow que mi electrónica de red no está preparada.



El programa se llama ntopng, su versión anterior es el ntop. Son muy parecidos, pero que las mejoras gráficas en el segundo son notables a la hora de presentar y acceder a la información.

Pruebas hechas con Debian 7 y Ubuntu 12.10.

Recomendaría tener el puerto en modo promiscuo en el host que lo instalemos y hacer llegar todo el tráfico que pase de nuestra salida a internet, o nuestra puerta de enlace, camino a los servidores,etc ... que más nos interese. Si tenemos electrónica de red Cisco, puede que nos ayude este post: http://gonsystem.blogspot.com.es/2011/04/port-mirror.html


Para instalar el ntopng necesitamos tener los siguiente paquetes instalados previamente en nuestra máquina Linux:

glib2.0
libgeoip-dev
libpcap-dev
libxml2-dev
redis-server
automake
autoconf 
checkinstall
libtool
libxml2-dev
libsqlite3-dev

La manera de instalarlos que yo he seguido ha sido:

apt-get install "nombre del paquete" y asi con todos o uno a uno.



Ya tenía instalado el Apache2, que seguro lo acabaré necesitando para acceder por web.

Me creo una carpeta con la que trabajar para la instalación del ntopng y procedo con el comando: 
svn co https://svn.ntop.org/svn/ntop/trunk/ntopng/


Si no tenemos el svn lo podemos instalar de la siguiente manera:  apt-get install subversion


Nos metemos en la carpeta que se nos ha creado con el nombre "ntopng" con el comando: "cd ntopng"

Seguimos con el comando "./configure"




Hacemos el "make geoip" que nos pide.

Seguimos poniendo "make"



Lo siguiente es un "make install"




Si no hemos tenido ningún error, ya no hay que instalar nada más.


Ahora ya esta instalado, vamos arrancar la aplicación, para ello debemos poner el numero de puerto, en este caso el 3000, y la tarjeta de red, en este caso la 1 (que es mi eth0):


ntopng -w 3000 -i 1



Si queremos ya podemos borrar la carpeta que hemos creado para la instalación.

Nuestro terminal se quedará inutilizable por las gestiones del Ntopng, siempre podemos hacer un Ctrl+C y salir (no lo hagais!! si quereis seguir con las pruebas).

Para ver si nos ha funcionado bien, a través de un navegador web, debemos poner la siguiente URL "http://IP:3000"


La información por defecto para poder acceder es:

Usuario: admin
Password: admin

En otro Post hablaré de que información nos muestra. 


GoN

domingo, 30 de marzo de 2014

Cacti. Uso básico.



Me encargo de la Lan y Wan de un grupo de empresas, el tráfico de cada día es más grande y he empezado a quedarme sin herramientas que me den visión de todo lo que pasa. Actualmente uso el OPUtils 6 que está muy bien pero es de pago, para el control de hosts uso el Packet-Shaper de Packeteer, pero se me ha quedado pequeño.

En la búsqueda de posibles sustitutos del OPUtils me encontré con el MRTG y el Cacti. Los dos están muy bien, pero aprobándolos me ha parecido más completo y sencillo de configurar el Cacti.

Aquí explicaré como monitorizar un puerto de un Switch con Cacti. Que como veréis la explicación se puede extender a todo lo que queramos.
Las pruebas las haré en Debian 7 y Cacti Version 0.8.8a.


CREAR HOST:

Lo primero en la pantalla de inicio será crear un "Device" a monitorizar, dando a "Create devices"


Le daremos a "Add" que está en la parte superior derecha para añadir el "Device"


Lo daré de alta con los siguiente parámetros:


En la parte inferior nos mostrará información de una consulta que ha hecho al host. En este caso es un Cisco Catalyst 2960



En la parte inferior nos aparecerán los siguientes desplegables que en principio los dejo por defecto:

Con lo anterior podemos añadir controles al host dado de alta.

CREAR GRÁFICA:

Como mi propósito es monitorizar puertos del Switchiré a la opción siguiente "Create Graphs for this Host":


Como solo me interesan los puertos que considero críticos, señalaré los puertos de enlace entre armarios o switches:


Y le damos al "create"

VER GRÁFICAS Y HOSTS CREADOS

Iremos al botón marcado en rojo en la pantalla siguiente:


Nos mostrará todos los host que tenemos dados de alta para graficar:


Si marcamos alguno nos mostrará las gráficas de los datos adquiridos:



AGRUPAR DATOS. ESTRUCTURA DE ARBOLES

Si tenemos varios hosts, nos puede ser útil hacer agrupaciones lógicas, como por ejemplo puertos de comunicaciones, puertos de enlace, puertos de servidores, los que hay en un rack,  etc... 

Aquí enseñare a crear una agrupación y luego podeis hacer tantas como necesitéis.

Opción: Console->Graph Trees y le daremos a la opción "Add"




Save -> Return.

En la rama "Acceso a internet" que acabamos de crear, se pueden seguir creando sub-ramas como ADSL, F.O, RF, etc.. 

Podemos situar los puertos que tenemos definidos en la rama lógica que hemos creado.

Console->Graph Management-> Marcamos la línea/lineas que queremos agrupar y en "Choose an action" lo asociamos a la rama lógica que hemos creado, en este caso "Acceso a Internet"



Ahora toca jugar con los filtros para visualizar la información que nos interesa.

Como habéis visto tiene muchísimas opciones, solo toco seguir probándolo hasta dejarlo como mejor nos convenga.


GoN