UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS

Transcripción

1 UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS TEMA: IMPLEMENTAR UN ADMINISTRADOR DE MONITORIZACIÓN DE REDES COMO MEDIDA DE SEGURIDAD PARA LA AGENCIA SUCRE DE LA COOPERATIVA JEP DE LA CIUDAD DE CUENCA. AUTOR: RENE XAVIER MUÑOZ ANGAMARCA TUTOR: ING. DIEGO FAJARDO Cuenca - Ecuador 2011

2 UNIVERSIDAD TECNÓLOGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS CERTIFICADO DE RESPONSABILIDAD Ing. Diego Fajardo. Director de Tesis CERTIFICA: Que el presente trabajo de investigación Implementar un Administrador de Monitorización de Redes como Medida de Seguridad para la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca. realizado por el Sr. RENÉ XAVIER MUÑOZ ANGAMARCA, egresado de INGENIERIA DE SISTEMAS, se ajusta a los requerimientos técnico-metodológicos y legales establecidos por la Universidad Tecnológica Israel, por lo que se autoriza su presentación. Cuenca, Noviembre 07 del 2011 Ing. Diego Fajardo DIRECTOR DE TESIS Ing. Diego Fajardo. II

3 UNIVERSIDAD TECNÓLOGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS ACTA DE CESIÓN DE DERECHOS Yo, RENÉ XAVIER MUÑOZ ANGAMARCA, declaro conocer y aceptar la disposición de la Normativa de la Universidad Tecnológica Israel que en su parte pertinente textualmente dice: Forma parte del Patrimonio de la Universidad la propiedad intelectual de las investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a través, o con el apoyo financiero, académico o institucional (operativo) de la Universidad. Cuenca, Noviembre 07 del 2011 RENÉ XAVIER MUÑOZ ANGAMARCA III

4 UNIVERSIDAD TECNÓLOGICA ISRAEL FACULTAD DE SISTEMAS INFORMÁTICOS CERTIFICADO DE AUTORÍA El documento de tesis con titulo Implementar un Administrador de Monitorización de Redes como Medida de Seguridad para la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca. ha sido desarrollado por René Xavier Muñoz Angamarca con C.C. No persona que posee los derechos de autoría y responsabilidad, restringiéndose la copia o utilización de cada uno de los productos de esta tesina sin previa autorización René Xavier Muñoz Angamarca IV

5 DEDICATORIA La presente tesina está dedicado de manera especial aquellas personas que siempre estuvieron a mi lado en momentos buenos y malos. A mi esposa, mis amados padres y hermanos, de manera muy especial y con mucho amor a mi pequeño angelito que está en camino. La cosa esta en lo improbable, en lo difícil, en lo imposible. La cosa esta allí mismo, donde no debería de estar: Un paso más allá que el largo de las manos. (Silvio Rodríguez D) RENÉ XAVIER MUÑOZ ANGAMARCA V

6 AGRADECIMIENTO Han sido muchos los años que he dedicado para alcanzar mi meta planteada que hoy se cierra y también han sido muchas las personas con las que me he cruzado a lo largo de este camino. Todas ellas han influenciado positivamente en el resultado final, aportando la dosis exacta de inteligencia, discusión, compresión, simpatía y cariño. Me han hecho valorar la gran cantidad de horas invertidas, demostrando que al final del camino se ve reflejado todo el esfuerzo. De todas estas personas, en primer lugar quiero agradecer a mi Esposa, quien ha sido mi principal apoyo y me ha dado toda la fuerza y equilibrio para culminar con este trabajo de grado. De manera especial quiero agradecerles a mis Padres por todo el apoyo depositado en mí, a todo el esfuerzo que realizarón día tras día para ahora estar compartiendo uno de los momentos más felices de mi vida, siendo sus consejos y ánimos imprescindibles para superar los momentos complicados. VI

7 RESUMEN Como en todas las empresas en crecimiento, la evolución de las redes y su trabajo, causan cada vez más un gran impacto en el mundo de la información y de las comunicaciones. Por esto los servicios brindados mediante este importante medio debe ser y estar dentro de un parámetro de monitorización, con la finalidad de mejorar en general todo el servicio que se da ha los usuarios. Con todo esto se pretende contar con un servicio de calidad y planificado, manteniendo una visión a futuro para un constante crecimiento no solo de la cooperativa sino también de los usuarios y manteniendo seguro la información de todos los socios. Esta tesina presenta el funcionamiento de un programa que tiene como finalidad la de optimizar los recursos de red por medio de la monitorización de las redes. El programa utilizado presta mayor facilidad de administración de la red así como un incremento considerable en el rendimiento de la misma. VII

8 SUMARY Since in all the companies in growth, the evolution of the networks and his work, they cause every you see more a great impact in the world of the information and of the communications. For this the services offered by means of this important way it must be and be inside a parameter of monitoring, with the purpose of improving in general the whole service that to the users. With all that one tries to possess a planned qualit service and, supporting a vision to future for a constant not alone growth of the cooperative but also of the users and keeping sure the information of all the partners. This investigation presents the functioning of a program that takes it as a purpose of optimizing the resources of network by means of the monitoring of the networks. The used program gives major facility of administration of the network as well as a considerable increase in the performance of the same one. VIII

9 TABLA DE CONTENIDOS CAPITULO I... XII INTRODUCCIÓN... XII 1.1 Diagnóstico o planteamiento de la problemática general... XV 1.2 Causa - Efectos... XVI 1.3 Pronóstico.-... XVIII 1.4 Control de Pronóstico... XX 1.5 Formulación de la Problemática Específica... XXI Problema principal... XXI Problemas secundarios... XXII 1.6 Objetivos... XXIII Objetivo General... XXIII Objetivos Específicos... XXIII 1.7 Justificación... XXIV Justificación Teórica... XXIV Justificación Metodológica... XXV Justificación Práctica... XXVI CAPITULO II... XXVII MARCO DE REFERENCIA... XXVII 2.1 MARCO TEORICO... XXVII Medición de tráfico de red:... XXIX Objetivos principales:... XXIX Medición de tráfico... XXX Monitoreo de tráfico... XXX Optimización y planeación... XXXI Detección de violaciones a la seguridad de la red... XXXII Características principales... XXXII 2.2 MARCO ESPACIAL... XXXIV 2.3 MARCO TEMPORAL... XXXV CAPITULO III... XXXVI METODOLOGÍA... XXXVI 3.1 TIPO DE INVESTIGACIÓN.... XXXVI 3.2 METODOS... XXXVII Justificación Metodológica... Error! Marcador no definido. 3.3 FUENTES.... XXXIX CAPITULO IV... XXXIX DESARROLLO... XL 4.1 CONCEPTOS BÁSICOS DE REDES... XL QUÉ ES UNA RED DE DATOS?... XL IX

10 4.1.2 MODELOS DE PROTOCOLO Y REFERENCIA... XLII ATAQUES PASIVOS Y ACTIVOS.... XLV Ataques Pasivos... XLV Ataques Activos... XLVI 4.2 ANÁLISIS E IMPLEMENTACIÓN DE NTOP.... XLVIII CARACTERÍSTICAS... XLVIII IMPLEMENTACIÓN... XLIX Instalación de Ntop... XLIX Instalar Ntop desde el Código Fuente (Distribuciones basadas en Debian) XLIX Instalar Ntop desde el Código Fuente (Distribuciones basadas en Red Hat) LIV Instalar Ntop desde los repositorios (Distribuciones basadas en Debian) LVIII Instalar Ntop desde los repositorios (Distribuciones basadas en Red Hat) LIX Parámetros de la línea de comandos... LXI Parámetros por defecto y configuraciones esenciales de NtopLXIII Ingresar en la interface web de Ntop... LXIV Estructura del menú de Ntop... LXV Capturas de pantalla de Ntop en ejecución... LXVIII Menu Summary Traffic... LXVIII Summary Hosts... LXX Summary Network Load... LXXI IP Summary Multicast... LXXII CAPITULO V... LXXIII CONCLUSIONES Y RECOMENDACIONES... LXXXII 5.1 CONCLUSIONES... LXXXII 5.2 RECOMENDACIONES... LXXXV BIBLIOGRAFÍA... LXXXVI X

11 LISTA DE CUADROS Y GRAFICOS Figura. 1. Diagrama Causa Efecto... XVII Figura 2: Clasificación de Redes de Datos según su distancia... XLII Figura 3: Modelos de protocolo y referencia... XLIV Figura 4: Captura de Ntop en menú Summary Traffic... LXX Figura 5: Captura de Ntop en menú Summary Hosts... LXXI Figura 6: Captura de Ntop en menú Summary Network Load... LXXII Figura 7: Captura de Ntop en menú Ip Summary Multicasts... LXXII Tabla 1 Dependencias requeridas por Ntop... LI Tabla 2 Ubicación de los archivos de Ntop... LXIV Tabla 3 Descripción del menú de opciones de Ntop... LXVIII XI

12 CAPITULO I INTRODUCCIÓN Hoy en día el avance tecnológico implica cada vez más responsabilidades, por ende también se necesita herramientas para administrar, controlar y verificar cada uno de las redes de computadores en este caso, las existentes dentro de la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca, por todo esto se ha visto la necesidad de obtener recursos eficientes para así satisfacer la mayoría de las exigencias que se dan dentro de lo laboral en cuanto a la monitorización y trabajo con las redes. Dentro de la Agencia Sucre de la Cooperativa JEP lo que se pretende es tener un control y también elevar las seguridades correspondientes a las redes, mejorando así no solo la calidad de servicio a nuestros clientes, sino el medio por el cual se van a laborar todas las áreas de trabajo, para esto lo más importante que se va a revisar es el tráfico de datos que circulan en cada una de las maquinas, y si por cualquier circunstancia nos encontramos con un tráfico inusual podemos revisar si está realizando descargas o si está realizando un mal uso del internet. XII

13 La Cooperativa de Ahorro y Crédito "Juventud Ecuatoriana Progresista" Ltda., es una entidad dedicada a las finanzas sociales, nacida el 31 de diciembre de 1971 y calificada por la Superintendencia de Bancos y Seguros. En la actualidad cuenta con más de 300 mil socios dueños de la Cooperativa, aproximadamente un 70% de los mismos son mujeres, vinculadas a diferentes actividades micro-productivas, tanto de los sectores rurales, como urbano marginales. La cooperativa JEP está en una época de crecimiento por lo que se han venido dando una serie de cambios estructurales a todo nivel, incluso en el área de sistemas, por lo cual las nuevas generaciones que se van uniendo y van adquiriendo compromisos con el desarrollo de sus actividades laborales, pero para esto se debería tener un conocimiento y un control minucioso de su área, buscando y extrayendo datos para de esta forma saber cómo está la estructura de la misma, y poder tomar decisiones en momentos en el cual más lo amerite la institución, para mejorar el rendimiento, transaccionabilidad, atención, rapidez y porque no, dar confianza a todos los clientes que conforman la cooperativa más grande del País; Porque si se tiene una buena estructura en las áreas se notara el XIII

14 buen trabajo interno que se lleva, siendo de esta manera una gran catapulta para la confiabilidad de los clientes y la adhesión de más y más socios. Para que de todo esto, comience a rendir sus frutos se ha venido realizando una serie de revisiones para mejorar el área de redes ya que al momento, se están dando caídas de sistema de manera constante, y esto puede deberse a muchos factores de riesgo como son en primer lugar el no tener un administrador y monitorizador de redes, segundo lugar, al no tener este tipo de herramientas, no se puede realizar análisis de tráfico, no se puede detectar si una máquina esta o no evadiendo la seguridad, e instaló programas para descarga de música y se está apoderando del ancho de banda en mejor de los casos o sino en la parte de seguridad se permite el ingreso libre de muchos virus y hasta que un administrador querer responder puede ser demasiado tarde, entonces es la propuesta de instalación de esta herramienta que nos dará una gran ayuda y un apoyo constante en la correcta administración y monitorización de la red. Y sin una herramienta con características muy buenas y amplias como las tiene NTOP, no nos va a permitir administrar de manera eficiente las redes, ni cubrir servicios, ni protocolos, y todo esto no tendría ni un parecido a un sistema de gestión de red donde no existiesen herramientas para el monitoreo ni un control integrado de redes, con todo esto unido si no se implementa NTOP seguirá siendo XIV

15 cada vez más lenta la red, los usuarios podrán convertirse en potenciales portadores de riesgos para la seguridad de la cooperativa y como parte primordial se estaría perdiendo credibilidad con los usuario y también se diera una perdida sustancial en cuanto a lo económico se trata. 1.1 Diagnóstico o planteamiento de la problemática general Con el desarrollo de este tema nos permitirá demostrar los beneficios de realizar una monitorización de redes, pudiendo generar mayor seguridad para la empresa mediante la detección de virus o intrusos en la red. Dicha investigación será implementada en la Agencia Sucre de la Cooperativa JEP y monitorizada constantemente por un administrador, a más de esto nos brindara una serie de impactos como son el económico ya que cuando no existen perdidas de enlace el desenvolvimiento de los trabajadores llegara a ser óptimo, sin corte, con gran fluidez; a más de tener equipos libres de virus y por ende fiabilidad en el trabajo que se realiza. Otro impacto que también abarca este tema es tecnológico ya que al momento de administrar la monitorización se tendrán reportes de lo que está sucediendo en la red, se controlará e incluso con estos datos permitirá resolver problemas antes de convertirse en una amenaza. XV

16 Podemos saber lo que realiza los usuarios, tanto dentro de la empresa como usuarios que se encuentran fuera de la misma y tratan de realizar un ingreso no autorizado. Dentro de la cooperativa se pudieran dar algunos errores en la red, que se puede monitorear o detectar, con la herramienta NTOP: - Componentes defectuosos en la red. - Errores de configuración o de conexión. - Fluctuaciones en el tráfico. - Tráfico no habitual en el servidor. - Malas configuraciones de algún equipo. 1.2 Causa - Efectos XVI

17 Figura. 1. Diagrama Causa Efecto En este gráfico nos indica las causas para realizar esta investigación que son el tráfico de datos, cuando no se tiene un control se da la sobrecarga de redes y la pérdida de la señal, también nos indica sobre la seguridad de la información que nos muestra control de usuarios y las estadísticas de datos, también nos muestra que el Ntop tienen un control de usuarios, y la monitorización supervisa y controla procesos. En la cooperativa JEP las redes tienen una gran importancia ya que mientras más grandes son, tienden a tener sistemas complejos soportando más aplicaciones y XVII

18 usuarios. A medida que estas redes crecen en escala, dos factores comienzan a evidenciarse: En la red interna, los recursos asociados y las aplicaciones distribuidas comienzan a hacerse indispensables. Muchos dispositivos pueden fallar, inutilizando la red o una porción de ella, o la carga sobre la red, puede ir degradando el desempeño hasta niveles inaceptables. 1.3 Pronóstico Luego de identificar muchos aspectos dentro de la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca, y con la herramienta NTOP, nos podemos preguntar Que pasaría si no se implementa esta herramienta en la Cooperativa JEP de la agencia sucre de la ciudad de Cuenca? : XVIII

19 - No se pudiera identificar los equipos con mayor actividad dentro de la red. - No se pudiera identificar los equipos que están enviando paquetes con errores. - No se pudiera ver y ni filtrar ciertos tipos de paquetes. - No se pudiera conocer el rendimiento real de la red para identificar tendencias. - No se pudiera comprobar componentes, conexiones y el cableado generando paquetes de prueba y comprobando los resultados. - Y no se pudiera identificar condiciones problemáticas configurando parámetros para la generación de alertas. Pero a más de esto si un equipo genera mucho tráfico y está haciendo lenta la red, no se pudiera definir qué o cual equipo se debería cambiar a otro segmento de la red o caso contrario debería retirarse y repararse. Y sin una herramienta con características muy buenas y amplias como las tiene NTOP, no nos va a permitir administrar de manera eficiente las redes, ni cubrir servicios, ni protocolos, y todo esto no tendría ni un parecido a un sistema de gestión de red donde no existiesen herramientas para el monitoreo ni un control integrado de redes, con todo esto unido si no se implementa NTOP seguirá siendo XIX

20 cada vez más lenta la red, los usuarios podrán convertirse en potenciales portadores de riesgos para la seguridad de la cooperativa y como parte primordial se estaría perdiendo credibilidad con los usuario y también se diera una perdida sustancial en cuanto a lo económico se trata. 1.4 Control de Pronóstico Lo que se pretende entregar a la cooperativa es una herramienta que supervisará y controlará los elementos de la red, mediante: Monitoreo constante de la Red para detección oportuna de fallas. Administración de los recursos de red para brindar un mejor servicio. Análisis de tráfico en tiempo real. Con la finalidad de que: XX

21 El uso de estas herramientas nos permitirá mantener una operación más estable. Sea reducido los tiempos de respuesta ante una eventualidad. Hayan contribuido a la prevención de fallas. 1.5 Formulación de la Problemática Específica Problema principal En la actualidad dentro de la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca se han venido suscitando una serie de fallas afectando así el rendimiento y buen servicio, dichos sucesos son la red cada día más lenta, y sobre todo esto la no identificación de equipos o usuarios con más actividad dentro de la red, esto puede ser porque algún usuario o programa está realizando un uso inadecuado de la red, y por esta razón es que necesitamos una herramienta que nos ayude a identificar la causa del o los problemas. La Cooperativa JEP siempre tiene como prioridad el buen servicio a todos sus clientes, para esto se tiene que minimizar los problemas o mejorar aún más sus XXI

22 servicios, entonces se deberá obtener un rendimiento eficiente y sobre todo un nivel estable de la red, realizando también un monitoreo constante de la red para la detección oportuna de fallas, a más de administrar los recursos de red para brindar un mejor servicio Problemas secundarios Se explica adicionalmente que entre unas de las situaciones que se dan por no tener un administrador y un monitorizador de redes, se presenta constantemente o de forma muy normal el no tener controlado el tráfico local, lo que implica que con el paso de los días, meses o años se podrán adquirir de manera indetectable un sinnúmero de virus afectando así en forma directa a la Cooperativa JEP. Pero también se presentaran una serie de incógnitas: Porque no se tiene un monitoreo constante de la red para la detección de alguna falla? O XXII

23 Porque no se administra recursos de red para obtener un servicio mejorado? (Cajas Servicio al Cliente, etc.). 1.6 Objetivos Objetivo General Realizar la implementación de un administrador de monitorización de redes como medida de seguridad para la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca Objetivos Específicos 1. Utilización de la herramienta NTOP de distribución libre para monitorear la red de la Agencia Sucre. 2. Optimizar el funcionamiento y operación de la red en base a los resultados obtenidos de la herramienta NTOP. XXIII

24 3. Mostrar estadísticas de tráfico de la Agencia Sucre. 4. Identificar los computadores de los usuarios, con mayor cantidad de utilización de recursos. 1.7 Justificación Justificación Teórica Dentro de las áreas de negocios de la Agencia Sucre de la Cooperativa JEP, y a nivel externo también dependen cada vez más de sus redes para transferir datos, proveer servicios de comunicación y habilitar operaciones básicas. Cuando hay pérdidas de rendimiento o fallas del sistema pueden impactar en el resultado final de la cooperativa. La monitorización continua de redes y servidores facilita discernir y resolver problemas antes de que se conviertan en una amenaza, proporcionando una mayor calidad de servicio a todos sus clientes. Mediante esta valoración del aplicativo se reduciría costos dependiendo según sus necesidades e incrementando ganancias al reducir tiempos de falla, dentro de la XXIV

25 aplicación misma se obtendrá un ambiente gráfico pero también muy amigable para el usuario, obteniendo seguridad y confianza mediante la recepción de alarmas de PRTG, lo cual nos indicara que todo está funcionando perfectamente Justificación Metodológica Dentro de la Cooperativa JEP se tienen identificados tres dimensiones de la administración de redes: a) Dimensión Funcional. Se refiere a la asignación de tareas de administración por medio de áreas funcionales. b) Dimensión Temporal. Se refiere a dividir el proceso de administración en diferentes fases, incluyendo las fases de planeación, implementación y operación. c) Dimensión del escenario. Se refiere al resto de los escenarios adicionales al de administración de redes, como son administración de sistemas, administración de aplicaciones, etc. XXV

26 La meta de esta actividad es satisfacer los requerimientos inmediatos y futuros de la red, reflejarlos en su valoración hasta llegar a su función, llegando así al objetivo de estas actividades que es conseguir un manejo adecuado de los recursos dentro de la red, las tareas de instalación del software contemplan, abarcar dispositivos completos, como un switch o ruteadores, como también una tarjeta de red, tarjetas procesadoras, módulos, etc. Al momento del manejo de la herramienta se deberá tomar muy en cuenta las siguientes consideraciones: - Asegurarse que la aplicación ya instalada sea compatible con los componentes ya existentes. - Después se obtendrá un estimado sobre el tiempo de duración de cada paso de la instalación y configuración Justificación Práctica El monitoreo de la red puede indicar la presencia de troyanos o virus, ya que pueden inducir tráfico excesivo y ser una brecha de seguridad, además se puede XXVI

27 determinar si un cableado está dando problemas de crosstalk, enrutar el tráfico a tu gusto, limitar la navegación o servicios de la red, puedes ver si la velocidad hacia o desde la internet se está aprovechando de manera óptima, si es la suficiente, o si necesitas subir el ancho de banda, se puede ver si está funcionando el QOS: calidad de servicio para las vídeo y audio-conferencias, así como otras aplicaciones de voz, entre otros aspectos más. Entonces basándonos en todo esto, se inclina la balanza hacia el valor agregado que tiene la implementación de este tema en la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca, para su buen desenvolvimiento y sobre todo en el control que va a obtener sobre la amplia red. CAPITULO II MARCO DE REFERENCIA 2.1 MARCO TEORICO Ntop es una herramienta que nos permite analizar el tráfico de nuestra red en detalle, a diferencia de MRTG y aplicaciones similares, Ntop analiza los paquetes de la red y los agrupa según las direcciones MAC o IP (según como esté XXVII

28 configurado) de origen y destino e inclusive agrupando el tráfico según los protocolos establecidos en la capa transporte presente en el Modelo TCP/IP. Esta herramienta es muy interesante porque nos permite conocer: Que equipos están traficando. De donde y hacia dónde van los paquetes. La cantidad de paquetes y sus respectivos tamaños. Total de paquetes TCP, UDP y otros. Lo enviado y lo recibido. Los tipos de servicio utilizados. Los puertos a los cuales se ha conectado una u otra máquina. Recuperado de Esta herramienta será la que se instalara en la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca, pretendiendo obtener el máximo provecho y sobre todo intentando dar una mejor calidad en sus servicios para todos los clientes demostrando compromiso social y calidad en los mismos. XXVIII

29 Con la mejora de los servicios aumenta también la seguridad en todos los niveles por lo que se deja muy claro la responsabilidad, cuidado y buen uso de las herramientas de trabajo. Medición de tráfico de red: Utilizando un robusto componente de software, el administrador de infraestructura de TI puede administrar la red observando el tráfico y uso de la red en tiempo real a través de gráficas y tablas lo suficientemente explícitas y amigables. Haciendo uso de Ntop para el monitoreo y la medición de tráfico de la red, se puede obtener información que rápidamente identifica los hosts o usuarios que más están haciendo uso de los recursos de red, los protocolos que más se están usando sobre un canal de comunicaciones, entre otra información de administración que ayuda a identificar y planearla administración de la infraestructura de TI. Objetivos principales: Medición del tráfico de red. Monitoreo de tráfico de red. Optimización y planeación. XXIX

30 Detección de violaciones a la seguridad de la red. Medición de tráfico Consiste en la medición relevante al tráfico que generan ciertas actividades en la red. Ntop sigue el uso del canal de comunicaciones, generando una serie de estadísticas para cada host en la subred local. Todos los paquetes en la subred son capturados y asociados con un par emisor - receptor lo cual permite identificar todas las actividades del tráfico de un host en particular. Algunas características de esta función incluyen: Especificación de filtros para observar todas las mediciones de un protocolo en particular. Protocolos que más ancho de banda están usando. Conexiones abiertas y consumo de cada conexión por host. Entre otras. Monitoreo de tráfico XXX

31 El monitoreo de tráfico comprende la identificación de aquellas situaciones en donde el tráfico no cumple con unas políticas específicas o cuando éste excede límites bien definidos. Algunas características de la función de monitoreo de tráfico incluye: Detección del uso duplicado de direcciones IP. Identificación de hosts locales en modo promiscuo. Configuraciones erróneas en el software a través del análisis de los protocolos implicados. Identificación de hosts que están usando protocolos innecesarios. Identificación de estaciones de trabajo mal configuradas actuando como enrutadores. Uso excesivo del ancho de banda disponible. Entre otras. Optimización y planeación Ntop le permite al administrador de infraestructura de TI identificar fuentes potenciales de uso no productivo del ancho de banda, particularmente de aquellos protocolos innecesarios y de configuraciones no óptimas asociadas a los problemas de enrutamiento. Particularmente a través de la distribución y XXXI

32 caracterización de tráfico es posible revisar las políticas de la red que permiten dimensionar más o menos ancho de banda. Con Ntop, el administrador también puede identificar si los proveedores de servicios están cumpliendo con no solo con los anchos de banda contratados sino también, en los casos de QoS sobre la red del proveedor, los SLA's asociados. Detección de violaciones a la seguridad de la red Algunos ataques a la infraestructura de red de una organización tienen su origen en la red interna, por lo tanto, Ntop permite identificar huecos potenciales en la seguridad tales como IP Spoofing, tarjetas de red en modo promiscuo, ataques de denegación del servicio, ataques de troyanos y ataques de escaneo de puertos. La identificación de estas fallas en la seguridad permite notificar al administrador en diferentes formas y tomar algunas acciones previamente definidas. Características principales Ordenar el tráfico de red de acuerdo a varios protocolos. Ordenar el tráfico de la red de acuerdo a varios criterios. Mostrar estadísticas de tráfico. XXXII

33 Almacenar en disco de manera persisten las estadísticas de tráfico. Identificar los computadores de los usuarios. Identificación del sistema operativo. Mostrar la distribución de tráfico IP de varios protocolos. Analizar tráfico de acuerdo a criterios fuente/destino. Mostrar el tráfico IP de la subred (quién está hablando con quién). Reportar el uso de un uno o varios protocolos en particular. Actuar como colector NetFlow/sFlow para los flujos generados por enrutadores (Cisco, Juniper, entre otros) y switches. Producir estadísticas de tráfico al estilo RMON. Soporte para protocolos VoIP. Soporte para múltiples interfaces virtuales. Soporte WAP. Entre otras. Con estas definiciones nos encontramos en la posibilidad de realizar la instalación y puesta en funcionamiento del mismo, para su uso de manera responsable y muy bien enfocada hacia seguridades, y mejoramiento de la red y por ende un rendimiento óptimo. XXXIII

34 Recuperado de: MARCO ESPACIAL Este tema establece la instalación de la herramienta Ntop en la Cooperativa JEP Agencia Sucre de la Ciudad de Cuenca, para realizar una administración y un monitoreo de la red ya que durante un tiempo atrás se ha venido dando algunos inconvenientes como la saturación de la red y por ende su caída, estos cortes se han venido haciendo más constantes por lo que se vio la opción de utilizar dicha herramienta, la cual es considerada una de las mejoras en cuanto a monitoreo de tráfico y paquetes en redes, pero también nos dará una gran ayuda en cuanto a la planeación de la red y detección de violaciones de seguridad en la misma. Una vez instalado y funcionando en la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca esta herramienta rastreara el uso de la red generando una serie de estadísticas para cada máquina en la subred y para toda la red, por lo que XXXIV

35 el administrador tendrá los recursos suficientes para poder determinar algunos o la mayoría de problemas que a partir de la instalación se den. 2.3 MARCO TEMPORAL El tema a realizar es aplicativo ya que se lo va implementar en la Cooperativa JEP Agencia Sucre de la Ciudad de Cuenca, esta herramienta al ser gratuita no tendrá mucho inconveniente para su instalación sobre cualquier plataforma y su funcionamiento se dará aproximadamente dos meses a partir del momento que se plantea el tema hasta su culminación cuando ya esté funcionando. Todo esto contempla la cantidad de elementos, pruebas y argumentos que se podrán realizar en la agencia al momento de la ejecución. Permitiendo a la cooperativa, mantener una continua monitorización de los procesos y funciones que se realizan en la empresa, de tal forma que vamos a optimizar el tiempo del tráfico de datos que maneja cada empleado y también se tendrá una gráfica estadística del tráfico de datos por cada equipo. XXXV

36 CAPITULO III METODOLOGÍA 3.1 METODOLOGIA DE LA INVESTIGACIÓN. Esta investigación instaló NTOP dentro de la Cooperativa JEP Agencia Sucre con el fin de monitorear las redes que internamente funcionan, para esto se aplico la investigación aplicada, ya que es la que ayudara a optimizar el funcionamiento y operatividad de toda la red para mejor la calidad de los servicios tanto hacia los socios como hacia los trabajadores internos. XXXVI

37 A más de ser una investigación aplicada también es una investigación de campo ya que se realiza en el lugar de los hechos es decir en la Agencia Sucre de la Cooperativa JEP de la Ciudad de Cuenca. 3.2 METODOS Dentro de la Cooperativa JEP Agencia Sucre JEP se a realizado una investigación de campo ya que los problemas por el cual se va a implementar la herramienta se tuvieron que constatar y vivir en el lugar mismo, a más de la aplicación de la herramienta se la va a realizar en la institución financiera, y pora esto se tienen identificados dos dimensiones de la administración de redes: XXXVII

38 a) Dimensión Funcional. Se refiere a la asignación de tareas de administración por medio de áreas funcionales. b) Dimensión del escenario. Se refiere al resto de los escenarios adicionales al de administración de redes, como son administración de sistemas, administración de aplicaciones, etc. La meta de esta actividad es satisfacer los requerimientos inmediatos y futuros de la red, reflejarlos en su valoración hasta llegar a su función, llegando así al objetivo de estas actividades que es conseguir un manejo adecuado de los recursos dentro de la red, las tareas de instalación del software contemplan, abarcar dispositivos completos, como un switch o ruteadores, como también una tarjeta de red etc. Al momento del manejo de la herramienta se deberá tomar muy en cuenta las siguientes consideraciones: Asegurarse que la aplicación ya instalada sea compatible con los componentes ya existentes. XXXVIII

39 Después se obtendrá un estimado sobre el tiempo de duración de cada paso de la instalación y configuración. 3.3 FUENTES Internet. Software. CAPITULO IV XXXIX

40 DESARROLLO 4.1 CONCEPTOS BÁSICOS DE REDES QUÉ ES UNA RED DE DATOS? Las redes de datos nacen de la necesidad de compartir información entre varios computadores y del crecimiento en número de los mismos; ya que anteriormente al modificar un archivo compartido se requería el uso de disquetes para difundir dicho archivo modificado, lo cual se convertía en un gran problema debido a la delicadeza del disquete y más aun cuando el archivo era modificado por varios usuarios. El networking representa un significativo ahorro de recursos y aumenta la productividad ya que se requiere menos tiempo para difundir información, permitiendo también comunicación entre estaciones de trabajo y coordinación de actividades. En un comienzo la tecnología de networking se fue desarrollando rápidamente pero de una manera desorganizada, esto debido a la incompatibilidad entre los XL

41 distintos dispositivos. Esto llevo a la creación de estándares de Red de Área Local (LAN Local Área Network), este estándar permitió la estabilidad en la implementación de redes locales, dejando atrás la incompatibilidad de equipos y dando las pautas para el desarrollo de hardware y software más avanzado. A medida que el uso del computador y el manejo de información se fueron incrementando las redes locales no fueron suficientes, por lo que fue necesaria una forma de transmisión de información no solo dentro de una empresa sino entre empresas y sucursales de las mismas en diferentes ciudades. Los estándares de Red de Área Metropolitana (MAN) y Red de Área Extensa (WAN) fueron la solución, permitiendo una comunicación a gran escala y mejorando notablemente la productividad empresarial. XLI

42 Figura 2: Clasificación de Redes de Datos según su distancia Fuente: Cisco systems, Inc Cisco Networking Academy Program. [Disponible en: MODELOS DE PROTOCOLO Y REFERENCIA Existen dos tipos básicos de modelos de networking: modelos de protocolo y modelos de referencia. XLII

43 Un modelo de protocolo proporciona un modelo que coincide con la estructura de una suite de protocolo específico. El modelo TCP/IP es un modelo de protocolo porque describe las funciones que se producen en cada capa de los protocolos dentro del conjunto TCP/IP. Un modelo de referencia proporciona una referencia común para mantener consistencia en todos los tipos de protocolos y servicios de red. Un modelo de referencia no está pensado para ser una especificación de implementación ni para proporcionar un nivel de detalle suficiente para definir de forma precisa los servicios de la arquitectura de red. El propósito principal de un modelo de referencia es asistir en la comprensión más clara de las funciones y los procesos involucrados. El modelo de interconexión de sistema abierto (OSI) es el modelo de referencia de internetwork más ampliamente conocido. Se utiliza para el diseño de redes de datos, especificaciones de funcionamiento y resolución de problemas. XLIII

44 Figura 3: Modelos de protocolo y referencia Fuente: Cisco systems, Inc Cisco Networking Academy Program. [Disponible en: Monitoreo: El monitoreo muy importante para la seguridad de la red, ya que así se podrá obtener información acerca de los intentos de ataque a los que puede estar sometido. Medición de tráfico: consiste en medir el uso de las actividades de tráfico relevantes. Ntop rastrea el uso de la red generando una serie de estadísticas para cada máquina en la subred y para toda la red. La información requerida es colectada por el servidor que posee ntop observando simplemente el tráfico en la red. Todos los paquetes de la subred son capturados y asociados a un par emisor/receptor. De este modo es posible rastrear todas las actividades de tráfico de un host en particular. XLIV

45 Monitoreo de tráfico: El monitoreo de tráfico es la habilidad de identificar aquellas situaciones donde el tráfico de la red no cumple con las políticas especificadas o cuando excede algún umbral definido. En general, el administrador de la red especifica políticas que se aplican al comportamiento de la red monitoreada. Sin embargo, es posible que algunas máquinas no cumplan con las políticas prescritas ATAQUES PASIVOS Y ACTIVOS Ataques Pasivos Un ataque en el cual se gana una parte de acceso a la red pero no modifica su contenido, puede realizarse un análisis de tráfico, se tienen 2 tipos de ataques relacionados. XLV

46 Eavesdropping: El atacante realiza un monitoreo de la transmisión y puede ver el contenido de los mensajes. Un ejemplo de este ataque es una persona escuchando la transmisión de datos entre dos estaciones de trabajo en una red LAN, o entre un dispositivo inalámbrico y una estación base. Análisis de Tráfico: El atacante usa un modo más discreto, gana inteligencia monitoreando la comunicación de dos entidades de la red. Gran cantidad de información está contenida entre dos partes que intervienen en la comunicación Ataques Activos Estos ataques son realizados por una entidad no autorizada que realiza modificaciones de un mensaje, flujo de datos o archivos. Es posible detectar este tipo de ataques, pero es difícil prevenirlos. Los ataques activos pueden tomar cuatro formas: XLVI

47 Enmascaramiento: Un atacante se hace pasar por un usuario autorizado y por tanto gana privilegios que no eran autorizados. Reemplazo (Replay): El atacante monitorea la transmisión y retransmite mensajes como un usuario legítimo. Modificación de mensajes: El atacante altera un mensaje legítimo borrándolo, adhiriendo, cambiando o reordenándolo. Negación de Servicio: El atacante imposibilita el uso normal de las comunicaciones o facilidades de su administración. Recuperado de: XLVII

48 4.2 ANÁLISIS E IMPLEMENTACIÓN DE NTOP CARACTERÍSTICAS Ntop proporciona soporte para la detección de algunos problemas en la configuración de la red: Uso de IP's duplicados Identificación de hosts locales en "modo promiscuo" Fallas en la configuración de aplicaciones analizando el protocolo de tráfico de datos. Detección de uso inapropiado de servicios, como la identificación de hosts que no utilizan el proxy especificado. Identificación de hosts que utilicen protocolos que no son necesarios. Detección de estaciones de trabajo que trabajen como routers. Utilización excesiva del ancho de banda. XLVIII

49 4.2.2 IMPLEMENTACIÓN Instalación de Ntop Como en la mayoría de los programas de linux, Ntop se puede instalar desde los repositorios de ambos tipos de distribuciones ya sean basados en Debian o en RPM o se puede descargar el código fuente y ser compilado Instalar Ntop desde el Código Fuente (Distribuciones basadas en Debian) La clave para la instalación desde la fuente es asegurar que todas las dependencias requeridas por Ntop están completamente instaladas. El asunto es que por cualquier dependencia que no esté instalada, Ntop no compilara y arrojara un mensaje de error que indica que paquete es necesario usar y que no ha sido encontrado. Cuando esto sucede, lo que se debe hacer es buscar en los repositorios los paquetes el paquete mencionado en el mensaje de error. XLIX

50 Para la instalación de Ntop en Ubuntu server 8.04 es necesario seguir los siguientes pasos y tener preinstalado AMP (Apache MySQL & PHP) y los servidores Open SSH. 1. Descargar el código fuente de Ntop desde sourceforge.net. Usualmente este paquete esta comprimido en formato *.tar.gz. 2. Extraer el contenido tecleando untar xzvf ntop tar.gz 3. Instalar todas las dependencias Una lista de todas las dependencias requeridas se encuentra a continuación junto a una descripción de su aportación a Ntop. Dependencia glibc, glibc-devel, gcc, cpp awk libtool (1.4 o superior) m4 autoconf (2.53 o superior) Descripción Requerido para compilar software desde el código fuente Utilidad para realizar tareas de procesamiento de texto Requerido para compilar software desde el código fuente Requerido para compilar software desde el código fuente Requerido para compilar software desde el código fuente L

51 automake (1.6 o superior) gdbm, gdbm-devl libpcap, libpcap-dev gd, gd-dev libpng,libpng-dev openssl,openssl-dev zlib,zlib-dev rrdtool, librrd2, librrd2-dev Graphviz Requerido para compilar software desde el código fuente Alternativa para una completa base de datos relacional. Activa almacenamiento y búsqueda rápida de datos Requerido para decodificar los paquetes que son dirigidos hacia Ntop Usado para crear archivos de imágenes.png Usado para crear archivos de imágenes.png Activa el acceso a la interfaz web de Ntop vía HTTPS Usado para comprimir paginas HTML Usado para crear bases de datos Round-Robin, la cuales son usadas para almacenar y graficar datos históricos en un formato que permite retención de larga duración sin incrementar el tamaño de los datos. Usado para construir el mapa de tráfico local Tabla 1 Dependencias requeridas por Ntop Fuente: Deri, L Ntop-Network Top. [Disponible en: A continuación se detallan los comandos necesarios para la instalación de las dependencias mencionadas anteriormente. Validos para las distribuciones basadas en Debian. sudo apt-get install build-essential4 sudo apt-get install libtool sudo apt-get install autoconf sudo apt-get install automake sudo apt-get install m4 sudo apt-get install libpcap sudo apt-get install libpcap-dev sudo apt-get install libgdbm-dev LI

52 sudo apt-get install zlib1g sudo apt-get install zlib1g-dev sudo apt-get install rrdtool sudo apt-get install librrd2 sudo apt-get install librrd2-dev sudo apt-get install graphviz 4. Cambiar al directorio creado donde se extrajo el código fuente (cd ntop ) 5. Compilar e instalar la aplicación tecleando individualmente cada uno de los siguientes comandos y esperando a que se complete sin errores./autogen.sh Make sudo make install Los mensajes de error al realizar el comando./autogen.sh son probablemente debidos a la falta de dependencias. LII

53 Ntop necesita se arrancado con privilegios de Root para que capture paquetes desde la tarjeta de red en la PC servidor. Después de arrancar el servicio, por defecto, Ntop otorgara privilegios al usuario llamado nobody (si es que no ha sido especificado otro usuario con la opción -u). Lo importante es notar que este usuario al cual Ntop otorga privilegios debe tener derechos en el directorio donde Ntop almacena su base de datos (/usr/local/var/ntop por defecto). Para otorgar derechos y privilegios en el directorio antes mencionado, se debe introducir: chown R /usr/local/var/ntop Para configurar un password de administrador se debe introducir el siguiente comando: sudo ntop A Ahora se puede ejecutar Ntop con el comando sudo ntop -d (la opción -d ejecuta Ntop como demonio, es decir que se ejecute en background) LIII

54 Ntop necesita ser ejecutado con privilegios de root para poner a la interfaz de red en modo promiscuo. Para que Ntop se ejecute desde el arranque del sistema operativo y escuche la primera interface, se debe introducir el siguiente comando: sudo /usr/local/bin/ntop -d in /etc/rc.local Instalar Ntop desde el Código Fuente (Distribuciones basadas en Red Hat) La instalación de Ntop en distribuciones basadas en Red Hat como es centos, es básicamente la misma, la única diferencia es el lenguaje de los comandos. Para la instalación de Ntop en este tipo de sistemas basándose en la compilación del código fuente se debe seguir los pasos: 1. Descargar el código fuente cd /opt wget 2. Extraer el código fuente LIV

55 tar -zxvf ntop tar.gz 3. Se debe tener preinstalado RRD tool y se necesita instalar libcap para esto se debe introducir el siguiente comando: yum install libpcap-devel libpcap 4. Para compilar e instalar Ntop: cd ntop./autogen.sh 5. Compilar Ntop: make 6. Para instalar Ntop ingrese el comando: make install make install-data-as 7. Para ejecutar Ntop y crear un usuario para Ntop: LV

56 useradd -M -s /sbin/nologin -r ntop 8. Establecer los permisos sobre el directorio: chown ntop:root /usr/local/var/ntop/ chown ntop:ntop /usr/local/share/ntop/ 9. Establecer el password de administrador: ntop -A 10. Ejecutar Ntop: /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop --skip-version-check use-syslog=daemon 11. Para ejecutar Ntop para monitorear varias interfaces: /usr/local/bin/ntop -i "eth0,eth1" -d -L -u ntop -P LVI

57 /usr/local/var/ntop --skip-version-check use-syslog=daemon Donde, -i "eth0, eth1": Especifica la interfaz de red o las interfaces a ser usadas por top para el monitoreo de red. -d: Ejecuta Ntop como demonio -L: Envía todos los mensajes de registro al registro del sistema (/var/log/messages). -u ntop: Iniciar Ntop como usuario registrado -P /usr/local/var/ntop: Específica donde Ntop almacena los archivos de base de datos. --skip-version-check: Por defecto, Ntop accesa a un archivo remoto para un chequeo periódico si mas de una versión esta en ejecución. --use-syslog=daemon: Usa el demonio de registro del sistema. LVII

58 12. Por defecto Ntop escucha por el puerto 3000, para visualizar las estadísticas de Ntop se debe ingresar a la siguiente dirección Instalar Ntop desde los repositorios (Distribuciones basadas en Debian) El equipo donde será instalado Ntop debe estar conectado a internet. Para instalar la aplicación solo hace falta escribir el comando sudo apt-get install ntop, el problema con este método es que no se obtiene la última versión del software. Para la instalación es necesario seguir los siguientes comandos: 1. Tener habilitado el repositorio universal (descomentar la línea pertinente en /etc/apt/sources.lst) 2. Ingresar: sudo apt-get install ntop -y LVIII

59 3. Establecer el password de administrador: sudo ntop --set-admin-password 4. Arrancar la aplicación: sudo ntop -u ntop d 5. Ntop está configurado para ejecutarse desde el arranque del sistema 6. Para reiniciar, parar o ejecutar Ntop: sudo /etc/init.d/ntop start stop restart Instalar Ntop desde los repositorios (Distribuciones basadas en Red Hat) El equipo donde será instalado Ntop debe estar conectado a internet. Para iniciar la instalación de Ntop se debe tener configurado los repositorios DAG. LIX

60 1. Para los repositorios DAG se debe agregar el siguiente archivo: /etc/yum.repos.d/dag.repo [dag] name=dag RPM Repository for Red Hat Enterprise Linux baseurl= gpgcheck=1 gpgkey= enabled=1 2. Ejecutar el siguiente comando: yum install ntop -y 3. Para iniciar Ntop desde el arranque del sistema chkconfig ntop on 4. Iniciar el servicio de Ntop service ntop start LX

61 Parámetros de la línea de comandos Para averiguar que opciones en la línea de comando están disponibles se puede ingresar el comando ntop -h o ntop help y se obtiene una lista de los parámetros que Ntop soporta. Cada parámetro puede ser escrito en mayúsculas o en su forma corta seguida de un guion y un alfabeto único, por ejemplo -i eth0. Algunos ejemplos de los comandos más usados son los siguientes: Escuchar una segunda interfaz Ethernet en una maquina con linux: o Forma corta: ntop -i eth1 o Forma larga: ntop interface eth1 Escuchar dos interfaces Ethernet: o Forma corta: ntop -i etho,eth1 o Forma larga: ntop interface eth0,eth1 Escuchar el puerto TCP 5000 en lugar del puerto por defecto 3000 Forma corta: ntop -w 5000 o Forma larga: ntop http-server 5000 Escuchar el puerto TCP 5005 en modo seguro HTTPS LXI

62 o Forma corta: ntop -w 5005 o Forma larga: ntop https-server 5005 Tratar todas las direcciones IP RFC1918 (asignación de direcciones privadas) como locales y todas las direcciones restantes como remotas: o Forma corta: ntop m /8, /12, /16 o Forma larga: ntop --local-subnets /8, /12, /16 No resolver las direcciones IP a nombres: o Forma corta: ntop -n o Forma larga: ntop numeric-ip-addresses Ejecutar Ntop como demonio en el background o Forma corta: ntop -d o Forma larga: ntop daemon Solamente estadísticas de seguimiento para ls host locales o Forma corta: ntop -g o Forma larga: ntop track-local-hosts Adicionalmente se puede combinar múltiples parámetros en la misma línea, por ejemplo: ntop i eth0,eth1 w 5000 W 5005 d LXII

63 Este comando ejecuta Ntop escuchando las interfaces eth0 y eth1(-i), escuchando el puerto 5000 (-w) para http y el 5005 para https (-W) así también ejecutando Ntop como demonio Parámetros por defecto y configuraciones esenciales de Ntop En el mundo de Linux, la mayoría de la aplicaciones poseen un archivo *.conf en el directorio /etc/ el cual sirve para modificar dicha aplicación. En Ntop este archivo no se crea automáticamente, sin embargo se puede crear un archivo de configuración y cambiar los parámetros de Ntop dentro de él, luego se puede arrancar Ntop y apuntar este al archivo para que surtan efecto los cambios realizados. Esto se realiza mediante el comando sudo ntop@/etc/ntop.conf La siguiente lista especifica los parámetros que utiliza Ntop. - Captura datos de la interfaz de red eth0 LXIII

64 - Establece la interfaz de red en modo promiscuo. - Escucha por el puerto TCP Fusiona los datos de todas las interfaces físicas. Por defecto, una configuración de Ntop es almacenada en un archivo llamado prefscache.db en el directorio de la base de datos del usuario. File Type Data files Config files Location /usr/local/share/ntop /usr/local/etc/ntop Run directory /usr/local/var/ntop Plugin files /usr/local/lib/ntop/plugins Database files /usr/local/var/ntop Tabla 2 Ubicación de los archivos de Ntop Fuente: Deri, L Ntop-Network Top. [Disponible en: Ingresar en la interface web de Ntop Después de la instalación de Ntop por cualquiera de los métodos mencionados, introduciendo el password de usuario y ejecutando la aplicación, es posible ingresar a la interface web de Ntop. Para ello se puede ingresar a cualquier LXIV

65 navegador web e introducir la dirección donde a.b.c.d. es la dirección IP del host en el cual Ntop se está ejecutando (para acceder desde el mismo host, usar Los puertos usados por defecto para acceder a Ntop pueden ser cambiados ya sea desde el menú de preferencias en la interface web como desde la línea de comandos que ejecutan Ntop Estructura del menú de Ntop Menú Summary-Traffic Descripción Esta página muestra información en un set de tablas y gráficos bajo las siguientes cabeceras. Estadísticas globales de tráfico Reporte de tráfico de las interfaces activas Distribución global de protocolos Distribución global de protocolos TCP/UDP Summary-Hosts Summary- Network Load Summary-VLAN Info Summary Network Flows All Protocols- Traffic Distribución de tráfico de puertos TCP/UDP: Vista de último minuto Entrega información acerca del host para todos los hosts vistos. El tráfico se muestra para cada host y puede ser visto por byte o por paquetes. Los valores del ancho de banda son el porcentaje del total de bytes que Ntop ha visto en el interface y el total de los valores no será el 100% en el tráfico local se contará dos veces (una como enviado y otra como recibido). El ancho de banda enviado y recibido es mostrado en barras de diferentes colores Muestra gráficos del rendimiento de red para los últimos 10 minutos, 1 hora, 1 día y 1 mes. Click en el grafico para mostrar una tabla de los 3 hosts más generadores de tráfico por minuto. Provee información acerca de los datos enviados y recibidos por cada Vlan en la red. Los hosts que existen en cada una de las Vlans son listados también. Muestra información acerca de normativas especificas del flujo definido por el usuario Muestra una tabla que contiene una lista de todos los hosts, cuantos datos ha transferido, que porcentaje del tráfico total este representa y la cantidad de tráfico enviado por algunos protocolos clave. (TCP, UDP, ICMP, ICMPv6, DLC, IPC, RARP, Appletalk, GRE, Ipv6, OSPF, IPSec y otros protocolos) LXV

66 All Protocols- Throughput All Protocols- Activity IP Summary Traffic IP Summary Multicast IP Summary Internet Domain IP Summary ASs IP Summary Host Clusters Muestra una tabla del rendimiento de la red. Se puede elegir ver información para hosts locales solamente o solamente para hosts remotos o para todos los hosts de cada opción, se puede ver también los datos enviados, recibidos o el total de enviados y recibidos. Por defecto, el rendimiento es mostrado para todas las Vlans pero se puede elegir el límite de información para una vlan especifica. Por ejemplo para ver los hosts que consumen más ancho de banda de internet, se selecciona la opción Local host only, data received y all VLANs. Muestra una tabla con el tráfico generado por cada host en una hora. El valor del porcentaje para un determinado host es el tráfico generado por este en una hora dividido para el tráfico total generado por ese host en las últimas 24 horas. La celda (host, hora) tiene cuatro colores posibles dependiendo del porcentaje de tráfico enviado en esa hora. Para 0%, la celda es de color blanco, para 0% - 25% de color cian claro, para 25% - 75% es de color verde claro y para 75% - 100% es de color rojo. En la práctica esto es muy útil para validar reclamos de usuarios que no han estado online por periodos específicos pero Ntop puede entregar datos que comprueban que si lo han hecho o que sus sistemas han sido comprometidos por malware, el cual inicia toda la actividad de red. Muestra una tabla que lista la dirección ip de cada host, cantidad de datos que el host a transferido, que porcentaje del tráfico total representa y la cantidad de tráfico enviado por algunos protocolos TCP/IP (FTP, HTTP, DNS, Telnet, Nbios-IP, Mail, DHCP-BOOTP, SNMP, NNTP, NFS/AFS, VoIP X11, SSH, Gnutella, Kazaa, WinMX, DC++, edonkey, BitTorrent, Messenger y otros protocolos IP). Se puede mostrar esta información para hosts locales, remotos o todos y los datos enviados, recibidos o enviados y recibidos así también como para cada Vlan o para todas las Vlans. Muestra una tabla de todos los grupos multicast y fuentes además de la cantidad de datos que cada fuente ha enviado o la cantidad de datos que cada grupo ha recibido. Muestra estadísticas de tráfico para todos los dominios de internet. Para datos TCP/IP enviados/recibidos en Kbytes y como porcentaje para TCP UDP. Para ICMP tráfico enviado/recibido de Ipv4 e Ipv6. Muestra una lista de los sistemas BGP autónomos por los que atraviesa el tráfico. Muestra información del tráfico agregada por host clusters predefinidos. IP Summary Distribution IP Traffic Directions Local to Local IP Traffic Directions Local to Remote IP Traffic Directions Remote to Local Muestra un grafico circular con la cantidad relativa de tráfico generado localmente, local a remoto y de remoto a local. Para cada una de estas categorías, una tabla provee mas detalles desglosados por protocolo IP Muestra para cada host local la dirección IP así como los datos enviados y recibidos, ambos en Kbytes y en porcentaje. Pequeños iconos adjuntos a la columna de los hosts ofrecen buenos indicadores de los servicios que utilizan (http, mail, p2p, etc.) así como banderas que indican el estatus de estabilidad del host. Al final de la página existe una pequeña tabla que sumariza el tráfico total, los datos totales enviados y recibidos así también como el ancho de banda usado. Provee la misma información que el menú anterior pero limitado a las estadísticas del tráfico que se origina en los hosts locales destinado a hosts remotos. Provee estadísticas de tráfico por host para el tráfico originado desde un host remoto hacia un host local LXVI

67 IP Traffic Directions Remote to Remote IP Local Ports Used IP Local Host Fingerprint IP Local Host Characterization IP Local Network Traffic Map IP Local Local Host Matrix Utils Data Dump Utils View Log Plugins cpacket Plugins Last Host Seen Plugins ICMP Watch Plugins NetFlow Plugins PDA Plugins Remote Plugins Round Robin Databases Plugins sflow Plugins All Admin Switch NIC Admin Configure Startup Admin Configure Provee estadísticas de tráfico por host que se origina en un host remoto y tiene como destino otro host remoto. Muestra una tabla que contiene cada servicio en uso (ftp, telnet y http) e identifica el puerto TCP/UDP, la dirección IP de los clientes y servidores que usan dicho servicio. Muestra el sistema operativo de los hosts que han sido detectados en la red. Muestra una tabla que identifica que tipo de dispositivo es un host (L2 switch, gateway, impresora) y qué tipo de servicios se ejecutan en el (VoiP NTP/DNS server, Mail, Directrio, HTTP, FTP, DHCP, WINS services, si el host está ejecutando algún programa P2P y si el host esta estable o no) Dibuja una mapa de tráfico de la red que muestra gráficamente que hosts están accesando a otros Muestra una matriz de hosts en la subred local y cuanto tráfico se intercambia entre ellos. Provee una página donde se puede grabar las estadística de Ntop acerca de host conocidos, matriz de tráfico local, información por interface o información acerca de la configuración del flujo de red en varios formatos (text, xml, perl, python, php y json] Esta página muestra los últimos 50 mensajes de registro de Ntop Esta plugin es usado para recopilar estadísticas de tráfico emitidas por dispositivos cpacket ctap. Este plugin produce un reporte con los últimos paquetes desprendidos de cada host. Este plugin genera un reporte acerca de los paquetes ICMP que Ntop ha visto. El reporte incluye cada host, byte y cuentas por tipo (enviado/recibido) Ofrece opciones para ver y configurar Ntop como recolector de tráfico NetFlow. Opción para ver y configurar el acceso a Ntop desde un PDA usando WAP Este plugin permite que aplicaciones remotas accesen a los datos de Ntop Ofrece opciones para ver y configurar la base de datos round robin Ofrece opciones para ver y configurar Ntop como un recolector y analizador de sflow. Muestra en forma de tabla el estado de los plugins Permite intercambiar entre varias fuentes de datos de Ntop, tanto todas las interfaces de red como las interfaces de NetFlow. Esta página muestra las opciones de configuración de Ntop. En esta página se pueden establecer las preferencias para Ntop. Típicamente se LXVII

68 Preferences Admin Configure Packet Filter Admin Configure Reset Stats Admin Configure Web Users Admin Configure Protect URLs Admin Shutdown asigna un valor de 0 para deshabilitar una opción o 1 habilitarla Permite establecer una expresión filtro que determina el tipo de tráfico que Ntop analiza Elimina la información de todos los hosts que Ntop tiene en memoria y empieza una nueva cuenta de recolección de datos. Configura una lista de nombres de usuarios y contraseñas para las personas que pueden usar Ntop Configura el acceso a varias páginas de Ntop, las cuales solo ciertos usuarios tienen acceso Cierra la aplicación Tabla 3 Descripción del menú de opciones de Ntop Fuente: Deri, L Ntop-Network Top. [Disponible en: Capturas de pantalla de Ntop en ejecución Menu Summary Traffic LXVIII

69 LXIX

70 Figura 4: Captura de Ntop en menú Summary Traffic Fuente: Deri, L Ntop-Network Top. [Disponible en: Summary Hosts LXX

71 Figura 5: Captura de Ntop en menú Summary Hosts Fuente: Deri, L Ntop- Network Top. [Disponible en: Summary Network Load LXXI

72 Figura 6: Captura de Ntop en menú Summary Network Load Fuente: Deri, L Ntop-Network Top. [Disponible en: IP Summary Multicast Figura 7: Captura de Ntop en menú Ip Summary Multicasts LXXII