Instalacin y primeros pasos con ntop 5 en Debian 6

Josemara | 25 de marzo de 2013 | 6 comentarios

ntop es la herramienta ms popular y completa para monitorizar el trfico de una red decuando
nos interesa, no slo conocer la magnitud del mismo sino su procedencia y caractersticas. Colocado en
un punto estratgico de nuestra red nos sirve para detectar cualquier tipo de anomala en la misma. Si lo
instalamos en un servidor nos sirve para auditar el tipo de trfico que este emite y recibe de forma
grfica y muy didctica.
Como ocurre en algunas ocasiones la versin en la paquetera de debian (4.0.33 en la estable y 4.99.3
en testing y unstable) va bastante por detrs de la del producto (5.0.1) as que si te apetece jugar con lo
ltimo lo mejor es bajarte los fuentes y compilarlos en tu mquina. Pero ya sabes que, en este caso,
tendrs que preocuparte de posibles actualizaciones de forma manual. ntop, en particular, no parece
tener ningn aviso automtico de la aparicin de nuevas versiones. Vamos a ello.
Antes que nada, instalamos los paquetes necesarios para realizar la instalacin, las dependencias y
alguna otra cosa necesaria:
apt-get install build-essential libtool automake autoconf libpcap1 dev libgdbm-dev rrdtool librrd-dev libssl-dev python-dev libgeoipdev graphviz subversion python-pip
A continuacin nos descargamos de aqu la ltima versin estable de ntop, la copiamos en, por
ejemplo, el directorio /tmp de nuestra mquina y la descomprimimimos:
wget -c http://sourceforge.net/projects/ntop/files/ntop/Stable/ntop1 5.0.1.tar.gz
2
tar xvfz ntop-5.0.1.tar.gz
Ahora entramos al directorio donde se han descomprimido los fuentes (ntop-5.0.1 en este caso) y
generamos los binarios.
1 cd ntop-5.0.1/
2 ./autogen.sh
3 make
4 make install
5 ldconfig
Y listo. Slo nos quedan unos cuantos retoques. Los datos que ntop capture una vez est en
funcionamiento se guardarn en /usr/local/var/ntop. El daemon de ntop se ejecuta con el usuario
nobody, as que debemos de hacerlo propietario de dicho directorio para que pueda escribir libremente
en l:
1chown -R nobody /usr/local/var/ntop
El binario de ntop ya est listo para ejecutarse y se encuentra en el directorio /usr/local/bin. Si escribes
ntop -help tendrs una detallada lista de posibles opciones. Las mas son estas:

1/usr/local/bin/ntop -i eth0 -w 3001 -L -d

De esta forma ntop monitorizar todo el trfico enviado y recibido por el interfaz de red eth0 de nuestra
mquina, el interface web de ntop escuchar peticiones en el puerto 3001 (por defecto lo hara en el
3000), guardar los mensajes de log en el syslog de la mquina (/var/log/syslog) y se ejecutar como
daemon o servicio en segundo plano.
En la primera ejecucin nos pedir que introduzcamos la contrasea para el usuario admin necesaria
para entrar a ciertas pginas restringidas del programa. Muy pocas, la verdad, pero luego veremos
como solucionar esto.
ACTUALIZACI?N: Las ltimas compilaciones llevan por defecto la contrasea admin para el
usuario admin
Para acceder a ntop ya slo tenemos que ir a nuestro navegador y escribir lo siguiente sustituyendo ipde-la-maquina por la direccin o nombre correcto donde hemos hecho la instalacin y cambiando el
puerto por el adecuado si lo hemos modificado en la orden de inicio anterior:
1 http://ip-de-la-maquina:3001

Para proteger el acceso a cualquier pgina de ntop (imprescindible sobre todo si es visible desde
Internet) debemos de entrar en el men superior (Admin -> Configure -> Protect URLs) y aadir una
regla con un asterisco * al limitado grupo de usuarios que deseemos (o al usuario admin si es una
instalacin de uso particular).

Ahora ya slo nos quedan unos pequeos ajustes para disponer de algunos grficos y diagramas
adicionales que, por defecto, no vienen configurados. El plugin Round-Robin Database debera de
estar activado para disponer de los grficos de Network Load generales o por protocolo.

Para ello, adems de activar el plugin (Plugins -> Round-Robin Database -> Activate), deberamos
de comprobar que en la pantalla de Preferencias (Admin -> Configure -> Preferences) la cadena
rrd.rrdPath apunta a un directorio donde el usuario nobody tenga permisos de escritura (tpicamente
/usr/local/var/ntop/rrd), que en la configuracin del plugin (Plugins -> Round-Robin Database ->
Configure) las dos cadenas del bloque RRD Files Path apuntan al mismo directorio y que en el bloque
Data to Dump de esta misma pantalla tenemos seleccionada, al menos, la opcin de Interfaces. Si
seleccionamos todas las opciones tendremos muchos ms datos de captura pero a costa de cargar ms la
ejecucin y el espacio ocupado por las capturas. Mucho cuidado con el espacio en disco, que podemos
necesitar fcilmente 2 Gigas por da en un servidor con un trfico corrientito.

Para ver los mapas por regiones tenemos que instalar las plantillas Mako para python. Como al
principio de todo hemos instalado el paquete python-pip nos basta con salir a lnea de comandos y
ejecutar lo siguiente:
1pip install Mako

Por ltimo, aunque hemos instalado graphviz y Dot es uno de sus elementos integrantes, nos hace falta
aadir un path en las Preferencias (Admin -> Configure -> Preferences) para disponer de los Mapas
de Trfico de Red Locales. Entramos en ellas y, al final de la tabla, aadimos la cadena dot.path con el
valor /usr/bin/dot. Pulsamos Add, confirmamos y listo.

ntop tiene muchas otras grficas y pginas de informacin til e interesante adems de estas que he
mostrado y cuyo nico motivo para aparecer aqu es que necesitan de algn retoque extra en la
configuracin para poder usarlas, as que lo mejor es que las explores una a una. La documentacin
para interpretarlas es escasa, todo hay que decirlo, pero ltimamente se estn poniendo las pilas en este
sentido y han prometido, por fin, un manual de usuario en breve.
Y ya slo nos queda un pequeo detalle para concluir. Si quieres que ntop se ejecute de forma
automtica como servicio cada vez que hagas un reinicio de la mquina donde la tienes instalada slo
tienes que crear un fichero .sh (por ejemplo ntop.sh) con la lnea de ejecucin que has usado antes para
ponerlo en marcha, crear un enlace al mismo en el directorio init.d y ejecutar lo siguiente:
1 ln -s /opt/Scripts/ntop.sh /etc/init.d/ntop
2

update-rc.d ntop defaults 99

Configuracin en el router
En el router configure adems de asignar el direccionamiento para que se haga ping con la
computadora, realice los siguientes pasos para habilitar el netflow:
# configure terminal
(config)# interface FastEthernet 0/0
(config-if)# ip flow ingress
(config-if)# ip flow egress
(config-if)# exit
(config)# ip flow-export destination 10.10.0.254 999X
(config)# ip flow-export version 5
(config)# ip flow-cache timeout active 5
This breaks up long-lived flows into 5-minute fragments. You can choose any number of minutes
between 1 and 60. If you leave it at the default of 30 minutes your traffic reports will have spikes.
(config)# snmp-server ifindex persist
This enables ifIndex persistence globally. This ensures that the ifIndex values are persisted during
router reboots.
Now configure how you want the ip flow top-talkers to work:
(config)#ip flow-top-talkers
(config-flow-top-talkers)#top 20
(config-flow-top-talkers)#sort-by bytes
(config-flow-top-talkers)#end

Habilitar el monitoreo de netflow en el ntop

Start Ntop as a Daemon

# ntop -cd -i eth0 -u ntop -W 0.0.0.0:3001 -m 10.132.1.0/24

-c : prevent idle hosts from being purged from memory

-d : causes ntop to become a daemon
-i : specifies the network interface to use
-u : the user ntop should run as after it initialises (but must be started as root)
-W : starts an embedded ntop web server for HTTPS
-m : specifies local subnets
Use man ntop for more command line options if needed. Also note that port 3001 needs to opened on a
firewall if public access is needed.

Troubleshooting Ntop
If you get the error message below when launching ntop:
error while loading shared libraries: libntopreport-5.0.1.so: cannot open shared
object file: No such file or directory

Update links and cache to the shared libraries:

# /sbin/ldconfig

Enable and Configure NetFlow Plugin on Ntop

Connect to ntop web interface here:
https://localhost:3001
Active NetFlow plugin: Plugins -> NetFlow -> Activate.
Open NetFlow configuration panel: Plugins -> NetFlow -> Configure.
Click Add NetFlow Device and fill in the following:
1. NetFlow Device: Mikrotik
2. Local Collector UDP Port: 2055
3. Virtual NetFlow Interface Network Address: 10.132.1.0/24 (change appropriately!)