ANALISIS DE TRAFICO

UNIVERSIDAD DE EL SALVADOR FACULTAD MULTIDISCIPLINARIA DE OCCIDENTE DEPARTAMENTO DE INGENIERA Y ARQUITECTURA

MATERIA: COMUNICACIONES II

DOCENTE: ING. JUAN CARLOS PEA

TEMA: ANLISIS DE TRFICO

INTEGRANTES: GONZLEZ PEREZ, ALEXIS OMAR MENDEZ CADENAS, JOHANNA NATHALIE MENDOZA GUEVARA, SILVIA SARAH ALEJANDRA

INDICE Objetivos ..4 Enunciado del problema ..5 Qu es anlisis de trfico? 6 Qu es SAMBA? ..7 Cmo instalar y configurar SAMBA? .8 Cmo crear un grupo de trabajo en SAMBA? .10 Cmo configurar un grupo de trabajo en Windows creado en SAMBA? ..12 Cmo compartir carpetas y acceder a recursos compartidos? .13 Cmo compartir internet? 14 Qu es NTOP? ..17 Cmo configurar NTOP? 22 Qu es DARKSTAT? 24 Cmo instalar DARKSTAT? ..25 Cmo modificar opciones de arranque de DARKSTAT? ..26 Diagrama de red..29 Qu protocolos y servicios se han utilizado en este proyecto? ...31 Bibliografa..34

Objetivos

General: Aprender y analizar el comportamiento de una red.

Especficos:

Medir el trfico de red para establecer patrones caractersticos de trfico de red LAN, segn el perfil de los usuarios.

 Conocer con detalle el volumen de transferencia de datos de las conexiones de nuestra red, controlar de ancho de banda que se consume en nuestros enlaces, qu trfico se est moviendo, su origen, su destino, los protocolos que utiliza, los caminos que utiliza, qu sitios y protocolos son ms populares, los tiempos que toman las transacciones, las prdidas de paquetes, cunto trfico hay en cola, etc a travs de

programas que permitan monitorear los servicios de la red.

Enunciado Del Problema

De un tiempo a la fecha, los administradores de red de una institucin, han notado que la velocidad de carga de las pginas web en su institucin ha disminuido considerablemente, por tanto, desean saber qu ha generado este comportamiento. Para ello deciden averiguar el comportamiento de su red, qu trfico se est moviendo, su origen, su destino, los protocolos que utiliza, los caminos que utiliza, qu sitios y protocolos son ms populares, los tiempos que toman las transacciones, las prdidas de paquetes, cunto trfico hay en cola, etc. Este mecanismo de anlisis debe ser automatizado, es decir, generar reportes que presenten informacin resumida, con capacidad para ver los detalles de cada elemento, bajo peticin de los administradores de red pero sin que conlleven procesamiento manual.

QUE ES ANALISIS DE TRFICO?

El crecimiento tecnolgico ha venido generando un crecimiento en el consumo de ancho de banda es por eso la importancia de mantener un continuo monitoreo y anlisis de trafico de red para logra un equilibrio optimo de nuestra red. El anlisis del trfico de red se basa habitualmente en la utilizacin de sondas con interfaz Ethernet conectadas al bus. Dichas sondas, con su interfaz Ethernet funcionando en modo promiscuo, capturan el trfico a analizar y constituyen la plataforma en la que se ejecutaran, de forma continua, aplicaciones propietarias o de dominio pblico, con las que se podr determinar el tipo de informacin que circula por la red y el impacto que pudiera llegar a tener sobre la misma.
6

El trafico de redes de rea local se mide como la cantidad de informacin promedio que se transfiere a travs del canal de comunicacin, y a la velocidad que se transfiere por ello la importancia, del conocimiento sobre la Teora de la informacin y sus diferentes elementos para poder evaluar en formas ms eficiente y eficaz el trfico en la red.

Qu es SAMBA?

Es una implementacin libre del protocolo de archivos de Microsoft Windows (antiguamente llamado SMB,

compartidos renombrado

recientemente a CIFS) para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con GNU/Linux, Mac OS X o Unix en general se vean como servidores o acten como clientes en redes de Windows. Samba tambin permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un

dominio Active Directory para redes basadas en Windows; aparte de ser capaz de servir colas de impresin, directorios compartidos y autentificar con su propio archivo de usuarios.

Samba

configura

directorios

Unix

GNU/Linux

(incluyendo

sus

subdirectorios) como recursos para compartir a travs de la red. Para los usuarios de Microsoft Windows, estos recursos aparecen como carpetas normales de red. Los usuarios de GNU/Linux pueden montar en sus sistemas de archivos estas unidades de red como si fueran dispositivos locales, o utilizar la orden smbclient para conectarse a ellas muy al estilo del cliente de la lnea de rdenes ftp. Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que se est usando en GNU/Linux. Por ejemplo, las

carpetas home pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios archivos; sin embargo, deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no ser suficiente. Cmo instalar y configurar SAMBA?

Para instalar Samba tenemos que abrir una terminal y Para realizar esta tarea, necesitamos permiso de adminsitrador (sudo) y repetir esta tarea en todos los equipos con Linux. Para llevar a cabo la instalacion se necesitaran los siguientes paquetes: samba samba-client samba-common

$ sudo apt-get install samba samba-client smbfs smbclient

8

Hay variadas herramientas las cuales podemos utilizar para facilitar la configuracin del servidor: system-config-samba : Editor grfico de configuracin. gadmin-samba : Editor grfico de configuracin Avanzado.

En Nuestro caso instalaremos la herramienta system-config-samba que es una interfaz grafica de usuario para crear, modificar y borrar recursos compartidos y usuarios de SAMBA.

La configuracin de Samba se logra editando un solo archivo, ubicado en

/etc/smb.conf o en /etc/samba/smb.conf. Archivo de configuracin /etc/samba/smb.conf

[global] workgroup = nombreGrupoTrabajo [compartido] comment = Archivos Compartidos path = /home/nombreUsuario/compartido browseable = yes read only = no guest ok = yes writable = yes valid users = nombreUsuario

Cmo crear un grupo de trabajo en SAMBA?

Una vez instalada, vamos al men Sistema/Administracin/Samba, hacer clic, y se abrir la siguiente ventana.

10

Aqu en el men Preferencias/Configuracin el servidor, le asignamos un nombre a Grupo de trabajo, es este caso LINUXNET.

Aqu lo importante es repetir esta configuracin y asignarle el mismo nombre del grupo de trabajo a todos los equipos con Linux y en todos en los equipos con Windows. En este punto, falta especificar que recursos queremos compartir, puede ser una impresora, una o varias carpetas en cualquiera de los equipos del grupo de trabajo, etc. Para esto en la pantalla principal de Samba, hacer clic en Aadir recurso compartido:

Desde esta pantalla se pueden agregar carpetas y asignarle los permisos. Otra forma, es abrir Nautilus, hacer clic con el botn secundario sobre la carpeta a compartir y seleccionar Opciones de comparicin.

11

Ahora para examinar los recursos compartidos en la red, Lugares/Red.

Cmo configurar un grupo de trabajo en Windows creado en SAMBA?

Configurando Windows Ya existe en Linux, en este caso en Ubuntu, un grupo de trabajo denominado LINUXNET, para poder acceder desde Windows tenemos que ir a Inicio/Panel de Control/Sistema, se abre una ventana y en la pestaa Nombre de Equipo, hacemos clic en el botn Cambiar, all selccionamos Grupo de trabajo y escribimos LINUXNET, luego de esto tenemos que reiniciar Windows.

12

Cmo compartir carpetas y acceder a recursos compartidos?

Compartiendo carpetas El proceso de compartir carpetas en Windows es similar a Linux, simplemente hacemos clic con el botn derecho del mouse sobre una carpeta, aparece el men contextual, en este seleccionamos Compartir y seguridad, en la ventana que se abre elegimos Compartir esta carpeta en la red, si adems queremos que los usuarios puedan modificar los archivos, seleccionamos Permitir que los usuarios de la red cambien mis archivos.
13

Accediendo a los recursos compartidos desde Windows Una vez que hemos reiniciado Windows, desde el explorador, vamos a Mis sitios de red y si todo sali bien, veremos todas las carpetas que hemos compartido en el grupo de trabajo, que en este caso, recordemos est integrado por computa doras con Linux y Windows. Accediendo a los recursos compartidos desde Linux En el men Lugares seleccionamos Red, este nos mostrar todos los equipos del grupo de trabajo como las carpetas en cada equipo.

Cmo compartir internet?

En el presente proyecto proporcionamos los pasos detallados para compartir internet a travs de un modem usb dentro de la red local. 1. Convertir la maquina que va a tener internet en router por medio del siguiente comando:

nano /proc/sys/net/ipv4/conf/all/forwarding

Cambiamos su valor a 1. Por un lado tendremos una red interna (LAN) con direccin 192.168.1.0/24 de la interfaz de red eth0 (la
14

tarjeta de red ethernet) a la que daremos acceso a internet por la interfaz ppp0 (la que nos ha creado el modem-usb-tigo).

2. Configurar la interfaz eth0 con direccion ip estatica. Podemos hacerlo desde Network-Manager o editando el siguiente fichero : nano /etc/network/interfaces Y dejamos el fichero de la siguiente manera: auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.1.1 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255

Reiniciamos la red para que se apliquen los cambios :

/etc/init.d/networking restart

3. Activar el reenvio de paquetes. Esto lo que hace es permitir todo el trafico que no esta destinado solamente a las interfaces locales, pudiendo asi enrutar trafico con destino a internet. Lo activamos de la siguiente manera :

echo 1 > /proc/sys/net/ipv4/ip_forward

15

4. Activar el NAT. El NAT lo que hace es enmascarar el trafico de la LAN con direccin ip origen 192.168.1.x a direccin ip origen ip pblica. Esto se hace con iptables:

iptables t nat A POSTROUTING o ppp0 j

MASQUERADE

Con esta lnea le decimos que haga NAT en la interfaz ppp0. Las reglas de iptables se guardan en RAM.

Server DHCP: Podemos montar un server DHCP rpidamente para que aplique las configuraciones de red a los equipos que vamos a conectar. 5. Instalamos el paquete dnsmasq :

apt-get install dnsmasq

6. Editamos el fichero de configuracin en /etc/dnsmasq.conf y aadimos estas lneas al final : listen-address=192.168.1.1(direccin ip interfaz ) bind-interfaces dhcp-range=192.168.1.2,192.168.1.50,24h
16

(rango que vamos a asignar a los clientes)

7. Reiniciamos dnsmasq: /etc/init.d/dnsmasq restart 8. Y solo quedara conectar los hostsmediante DHCP Hay 2 maneras: A) 1 solo host : Podemos conectar un solo host, con un cable de red. B) Switch : Conectar un switch a la tarjeta de red del router con un cable normal o recto de red. Y luego al switch todos los equipos que queramos con cable normal o recto de red.

A continuacin se presentan algunas opciones de las herramientas ms completas para el monitorea y anlisis de una red:

Qu es NTOP?

NTOP: NTOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que estn consumiendo recursos de red en un instante concreto y adems es capaz de ayudarnos a la hora de detectar malas configuraciones de algn equipo (esto salta a la vista porque al lado del host sale un bandern amarillo o rojo, dependiendo si es un error leve o grave), o
17

a nivel de servicio. Posee un microservidor web que permite que el administrador, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y adems es GNU. El software esta desarrollado para plataformas Unix y Windows. NTOP es una aplicacin de supervisin de red hbrida de los niveles 2 y 3 que se ejecuta en su propia mquina (como una caja Linux). Por defecto utiliza direcciones Media Access Control (MAC) del nivel 2 y direcciones TCP/IP del nivel 3. NTOP asocia ambas de forma que se combina el trfico IP y no IP para crear una visin completa de la actividad de la red. La herramienta supervisa prcticamente cualquier interfaz de red ya sea loopback, Token Ring, Ethernet, Fibre Channel, etc. Al ser de cdigo abierto, se puede modificar con facilidad si dispone de algunos conocimientos de programacin. Los protocolos que es capaz de monitorizar ste ltimo son:

TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

18

Donde encontraremos grficos y resmenes del trfico de nuestra red. En esta pgina podemos desplazarnos hasta la seccin Historical Data y hacer clic en el icono para ver estadsticas ms detalladas. Un grfico

bastante til es que nos permite ver el historial de trfico de nuestra red discriminado por protocolo:

Tambin es posible ver la distribucin de nuestro canal en orden de utilizacin haciendo clic en IP -> Summary / Traffic

Aqu podemos seleccionar el trfico que deseamos ver:

19

En la seccin Hosts (parte superior izquierda) seleccionaremos si el trafico que nos interesa es local (Local Only), remoto (Remote Only) o todo el trafico sin importar su origen (All). La exactitud de este anlisis depende de la configuracin de la variable --local-subnets de la cual ya hablamos. En la seccin Data (parte superior derecha) seleccionaremos el sentido del trafico que nos interesa: los datos enviados desde nuestra red hacia el exterior (Sent Only), los datos recibidos por nuestra red (Received Only) o todo el trafico sin importar su origen (All). Adicionalmente podemos ordenar la tabla en orden ascendente o descendente segn la cantidad total de datos recibido o trasmitidos, o discriminados por protocolo haciendo clic en el encabezado de la columna correspondiente.

Al hacer clic en algn host de nuestro inters, veremos las estadsticas detalladas acerca del su trfico que ntop ha recopilado hasta el momento:

20

El ltimo aspecto que mencionaremos acerca de ntop es la utilidad para exportar las estadsticas de trfico recopiladas por ntop (haciendo clic en Utils / Data Dump):

donde podremos exportar los datos como archivos de texto separado por comas, XML, o arreglos en lenguajes de programacin como PHP, Perl o Python; jugosa informacin para ser analizada con herramientas externas como hojas de clculo o ser almacenados en bases de datos como MySQL y PostgreSQL.

Como conclusin, ntop es una herramienta excelente para conocer a fondo la utilizacin de nuestro canal y la informacin que presenta sirve para optimizar nuestro firewall (permitiendo detectar trfico en puertos o en mquinas en las cuales no debera haberlo) o detectar abusos por parte de nuestros clientes (usuarios que indiscriminadamente utilizan todo el ancho de banda disponible o utilizan software P2P en una red en la cual no est permitido.
21

1. Para instalarlo usamos el siguiente comando: apt-get install ntop 2. Luego le configuramos la clave del administrador de NTOP:

ntop --set-admin-password 3. Finalmente reiniciamos el servicio usando:

/etc/init.d/ntop restart 4. Para acceder a las estadsticas de red tenemos que navegar la direccin: http://localhost:3000

Cmo configurar NTOP?

Se puede modificar la configuracin de NTOP? La configuracin por defecto puede cambiarse en el mismo Ntop por web en la pgina Admin > Configure.

Cul es la contrasea para el "admin" de ntop y cmo se cambia? La contrasea predeterminada es igual al mismo ID del servidor
22

y el usuario predeterminado es admin; estos datos pueden cambiarse desde esta misma pgina (recomendamos cambiarla recordando sin embargo que en las reinstalaciones al hacer clic en Configuracin Inicial, Actualizacin o Actualizar Programas auxiliares de estadsticas de la pgina de Setup, la contrasea de Ntop se resetear nuevamente al ID de licencia). Cmo configurar NTOP para que registre la actividad de varias interfaces de red?

En versiones anteriores: en el men Admin >> Configure >> Preferences de Ntop por web agregamos al final un nuevo campo a la izquierda que diga ntop.devices y a la derecha establecemos los nombres de las placas de red separadas por coma (Ej.: eth1, eth2) sobre las cuales queremos que el ntop recopile informacin, preferentemente las placas internas. Deben ser las placas de red conectadas a los usuarios y no las placas conectadas a internet. Cmo reseteo las estadsticas? En el men Admin >> Configure >> Reset Stats

23

Qu es DARKSTAT?

DARKSTAT: Es una herramienta para monitorizar una red, el cual analiza el trfico de la red y en base a los datos obtenidos genera un informe estadstico en formato HTML. Este informe se puede ver con cualquier navegador. Entre las observaciones que realiza el programa, permite: realizar la estadstica de direcciones que se generan en la comunicacin entre hosts, el trfico que se produce y los diferentes nmeros de puerto usados por los diversos protocolos. Adicionalmente, el programa permite obtener un breve resumen y grficos por periodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.

24

Como instalar DARKSTAT?

1. Para instalarlo usamos el siguiente comando: sudo apt-get install darkstat

2. Editamos el siguiente fichero: sudo gedit /etc/darkstat/init.cfg

Y cambiamos el valor de la siguiente linea: START_DARKSTAT=no a START_DARKSTAT=yes

25

3. Ahora como root iniciamos el proceso con: sudo /etc/init.d/darkstat start

4. Para acceder a darkstat tenemos que navegar la direccin: http://localhost:666

5. Para parar el proceso darkstat :

sudo /etc/init.d/darkstat stop

Cmo modificar opciones de arranque de DARKSTAT?

Tal como se mencion previamente,"darkstat" hay varias opciones, que se puede proporcionar al inicio. Estos parmetros son:

Cmo especificar la interfaz que se va a monitorear?

Con la opcin "-i" se puede especificar el interface a monitorizar. darkstat -i eth1 Cambiar el puerto para abrir DARKSTAT? Si "darkstat" se ejecuta sin parmetros iniciales, el programa abre automticamente el puerto 666. Se puede cambiar este puerto mediante el
26

parmetro "-p": darkstat -p 8080 Como ocultar un puerto para un dispositivo concreto? Se puede usar la opcin "-b". En el siguiente ejemplo, ocultamos la direccin local de "loopback": darkstat -b 127.0.0.1

Cmo prevenir el uso de la resolucin DNS? Se puede hacer con el parmetro "-n". Esta opcin es til para gente sin una red de tasa de flujo constante o linea dedicada . darkstat n

Cmo prevenir que "darkstat" tenga el interface en "modo promiscuo"?

La opcin "-P" previene De todos modos, esto no es recomendable , ya que "darkstat" slo captura los paquetes que son direccionados con la direccin MAC del interface de red que esta siendo monotorizado. El resto de paquetes son rechazados.
27

darkstat P

Cmo activar correctamente SNAT?

El parametro "-l" activa correctamente "SNAT"- en la red local. "SNAT" simboliza "Source Network Address Translation" y significa que tu router enmascara la direccin IP local con su direccin pblica. De esta manera el programa envia sus requerimientos , en lugar de los requerimientos originales del cliente. darkstat -l 192.168.1.0/255.255.255.0

Cmo filtrar paquetes en DARKSTAT? Con el parmetro "-e" se puede ejecutar la expresin para filtra paquetes. darkstat -e "port not 22" Como activar la ayuda de DARKSTAT? Si estas interesado en el nmero de versin de "darkstat" o en su completo uso y sintaxis, prueba con el parmetro "-h". darkstat h

28

Diagrama de Red

Direccin IP de la interfaz eth0: 192.168.1.0/24

29

 Nube: Representa modem que provee el servicio a internet que se conecta por el protocolo ppp0.

Router 2620XM y Server PT:

Es un equipo porttil que se

configurado como router, y a la vez como servidor DHCP para asignar una direccin IP a todos los host que se agreguen a la red, tambin se convierte en un servidor DNS(servidor de nombres de dominio). A
30

travs del cual se capturan todos los paquetes que entran y salen de la red local.

Switch: Se realiza una conexin del equipo porttil que realizara la funcin de switch para que este provea una direccin IP a travs de DHCP a cada host que se conecte a la red.

Que protocolos y servicios se han utilizado en este proyecto?

Como activar la ayuda de DARKSTAT? Como activar la ayuda de DARKSTAT?
31

 TCP/IP:

El conjunto Protocolo de control de transporte/protocolo

Internet el principal conjunto de protocolos que se utiliza en Internet para transmitir o recibir datos e informacin. Protocolo utilizado en las aplicaciones Ntop y Darkstat para obtener la informacin a travs de los puertos 3000 y 666 respectivamente para acceder al servidor web.

SNMP (Simple Network Management Protocol) (Protocolo simple de administracin de redes) : es un protocolo que permite a un dispositivo ser administrado por otro de manera remota. Los servidores de Web pueden mantener un conteo del nmero de veces que han sido accesados. (IPX/SPX): como Intercambio de paquetes entre redes e Intercambio de paquetes en secuencia en una NIC dentro de una LAN. DHCP :(sigla en ingls de Dynamic Host Configuration Protocol Protocolo de configuracin dinmica de host) es un protocolo de red que permite a los clientes de una red IP obtener sus parmetros de configuracin automticamente.

32

 Protocolo de mensajes de control de Internet (ICMP): El ICMP es utilizado por los protocolos IP y superiores para enviar y recibir informes de estado sobre la informacin que se est transmitiendo. Los routers suelen utilizar ICMP para controlar el flujo, o velocidad, de datos entre ellos. Si el flujo de datos es demasiado rpido para un router, pide a los otros routers que reduzcan la velocidad de transmisin

Protocolo de resolucin de direcciones (ARP): Antes de enviar un paquete IP a otro host se tiene que conocer la direccin hardware de la mquina receptora. El ARP determina la direccin hardware (direccin MAC) que corresponde a una direccin IP. Si ARP no contiene la direccin en su propia cach, enva una peticin por toda la red solicitando la direccin. Todos los hosts de la red procesan la peticin y, si contienen un valor para esa direccin, lo devuelven al solicitante. A continuacin se enva el paquete a su destino y se guarda la informacin de la nueva direccin en la cach del router.

FTP (Protocolo de transferencia de archivos). Para la interconexin de archivos entre equipos que ejecutan TCP/IP.

HTTP o Hypertext Transfer Protocol o (en espaol protocolo de transferencia de hipertexto) es el protocolo usado en cada transaccin de la World Wide Web.

SMTP (Protocolo simple de transferencia de correo) es el protocolo estndar que permite la transferencia de correo de un servidor a otro mediante una conexin punto a punto.

33

 El servidor DNS :utiliza una base de datos distribuida y jerrquica que almacena informacin asociada a nombres de dominio en redes como Internet.

(UDP User Datagram Protocol:) es un protocolo del nivel de transporte basado en el intercambio de datagramas (Paquete de datos). Permite el envo de datagramas a travs de la red sin que se haya establecido previamente una conexin, ya que el propio datagrama incorpora suficiente informacin de direccionamiento en su cabecera

PPP: provee un protocolo de encapsulamiento a travs de enlaces sncronos y asncronos. PPP utiliza HDLC como base para la encapsulacin. El diseo de PPP ha sido desarrollado con el objetivo de soportar hardware de uso comn. Una de las caractersticas ms importantes de PPP es la capacidad de proveer el multiplexaje de diferentes protocolos a travs del mismo enlace.

HDLC (High-level Data Link Control:, es usado como base de transmisiones con PPP, es un protocolo orientado a bit, utilizando bit stuffing para mantener la transparencia en la transmisin de los datos y la secuencia de bits 01111110 para delimitar las tramas

NAT (Network Address Translation - Traduccin de Direccin de Red: es un mecanismo utilizado por enrutadores IP para intercambiar paquetes entre dos redes que se asignan mutuamente direcciones incompatibles. Consiste en convertir en tiempo real las direcciones utilizadas en los paquetes transportados. Tambin es necesario editar los paquetes para permitir la operacin de protocolos que incluyen informacin de direcciones dentro de la conversacin del protocolo.

34

Bibliografia:
www.wikipedia.com www.guia-ubuntu.org http://www.guia-ubuntu.org/index.php?title=Samba http://www.zonalinux.com.ar/tutorial-como-compartir-archivos-en-una-redlinuxwindows/

www.cert.inteco.es/ www.unix4life.org/darkstat

35