Está en la página 1de 7

MRTG - Monitoreo de tráfico

El ( MRTG ) es software libre


para el seguimiento y la
medición de la carga de tráfico
en la red de enlaces. Permite
al usuario ver la carga de
tráfico en una red con el
tiempo en forma gráfica.

MRTG es una avanzada utilidad gráfica escrita por Tobias Oetiker y Dave Rand para
representar gráficamente los datos que los gestores SNMP leen de los agentes SNMP.
Produce unas vistosas páginas HTML con gráficos GIF sobre el tráfico entrante y saliente en
los interfaces de red prácticamente tiempo real. Con esta herramienta se evita el tener que
trabajar directamente con las utilidades CMU-SNMP mediante línea de comandos. Ésta es la
herramienta más potente y fácil de utilizar que he encontrado en la Internet.

MRTG utiliza una implementación de SNMP escrita completamente en Perl, por tanto, no es
necesario instalar otros paquetes. El programa principal está escrito en "C" para acelerar el
proceso de toma de muestras y la generación de imágenes GIF. Los gráficos son generados
con la ayuda de la biblioteca GD escrita por Thomas Boutell, autor de la FAQ WWW.

El paquete contiene algunas utilidades para analizar los interfaces de enlace, extraer sus
características y generar los ficheros de configuración base, que luego se pueden modificar
para adaptarlos a las necesidades concretas.

Otra característica interesante del MRTG es la cantidad de información que produce. Permite
cuatro niveles de detalle para cada interface: tráfico en las últimas 24 horas, la última
semana, el último mes y un gráfico anual. Esto permite recoger información para realizar
estadísticas. Guarda toda esta información en una base de datos utilizando un algoritmo de
consolidación que impide que los ficheros crezcan de forma desmesurada.

Principales característica:

• Medidas dos valores (I para la entrada, O para la salida) por objetivo.


• Obtiene sus datos a través de un SNMP agente, o a través de la salida de una línea de comandos.
• Normalmente recoge datos cada cinco minutos (se puede configurar para recopilar datos con
menos frecuencia).
• Crea un HTML página por cada blanco, que cuenta con cuatro gráficos ( GIF o PNG imágenes).
• Los resultados se representan en función del tiempo en el día, semana, mes y año gráficos, con
la que representa como una zona verde lleno, y el O como una línea azul.
• reduce o amplía automáticamente el eje Y de los gráficos para mostrar más detalles.
• Agrega calculada máxima, media y los valores actuales tanto para I y O a la página HTML del
objetivo.
• También puede enviar mensajes de correo electrónico de advertencia si los objetivos tienen
valores por encima de un cierto umbral.

Funcionamiento:
MRTG ejecuta como un
demonio o invocado desde
las tareas programadas del
cron. Por defecto, cada
cinco minutos recolecta la
información de los
dispositivos y ejecuta los
scripts que se le indican en
la configuración.
En un primer momento,
MRTG consultaba la
información, la procesaba
y generaba el informe y las gráficas. En las últimas versiones, esta información es almacenada en una
base de datos gestionada por RRDtool a partir de la cual, y de forma separada, se generan los informes
y las gráficas.

Plataformas: MRTG está escrito en Perl y se puede ejecutar en de Windows, Linux ,


Unix , MAC OS y NETWARE.

Kismet -Escaneo inalámbrico


Kismet es un sniffer, un husmeador
de paquetes, y un sistema de
detección de intrusiones para redes
inalámbricas 802.11. Kismet
funciona con cualquier tarjeta
inalámbrica que soporte el modo de
monitorización raw, y puede rastrear
tráfico 802.11b, 802.11a, 802.11g y
802.11n.
Tiene varios usos, como:
– Verificar que nuestra red está bien
configurada y que puede trabajar en
modo monitor.
– Detectar otras redes que pueden
causar interferencias a la nuestra.
– También nos sirve para WarDriving, es decir, detectar todos los APs que están a nuestro alrededor.
– Para valorarnos a nosotros mismos, al saber si lo llegamos a usar correctamente, que tenemos ciertas
habilidades con linux y somos capaces de compilar programas, de instalar programas y de
configurarlos correctamente. Y mas cuando los resultados con poco trabajo son tan agradecidos y
refrescantes.

Características:
Kismet se diferencia de la mayoría de los otros sniffers inalámbricos en su funcionamiento pasivo. Es
decir que lo hace sin enviar ningún paquete detectable, permitiendo detectar la presencia de varios
puntos de acceso y clientes inalámbricos, asociando unos con otros.
Kismet también incluye características básicas de Sistemas de detección de intrusos como detectar
programas de rastreo inalámbricos incluyendo a NetStumbler, así como también ciertos ataques de red
inalámbricos.
Kismet tiene algunas ventajas:
• – A diferencia de Netstumbler, Kismet muestra información sobre los clientes conectados a la
red.
• – Kismet nos indica el tipo de protección (WEP, WPA….) sin equivocarse tanto como
Netstumbler.
• – Kismet funciona con la tarjeta en modo monitor y guarda un archivo con los paquetes
capturados. Esto es fundamental.

Funcionamiento: Además el funcionamiento del Kismet es completamente distinto al


Netstumbler. Como ya hemos dicho anteriormente, la tarjeta debe y trabaja solo en modo monitor.
Una aclaración que
siempre es
confundida, el
Netstumbler siempre
emite su posición y es
altamente detectable,
de hecho en modo
monitor en Windows,
el Netstumbler no
detectaría nada, esto
es teórico puesto que
hay una serie de
tarjetas que
incumplen quizás con
definición en mano,
con esta norma, por
ejemplo mi Belkin, que además de funcionar con los mismos drivers, sea en modo monitor o en modo
normal, si funciona con el Netstumbler con los drivers de wildpackets para modo monitor, pero si
inicio la función de modo monitor a través de las librerías del Aeropeek (base del airodump para
Windows y del winairodump) no detectaría ninguna señal, por lo tanto podemos afirmar que el
Netstumbler no trabaja en modo monitor sino en modo normal.
Sin embargo, con el Kismet la cosa cambia, este programa no obliga a nuestra tarjeta a emitir ninguna
señal, sino que trabaja teóricamente en pleno silencio, esto no es del todo cierto ya que como he dicho
alguna vez, hay tarjetas en linux que en modo monitor cada cierto tiempo emiten «algo» al exterior, de
forma que si son detectadas. Por lo tanto si nuestra tarjeta no acepta el modo monitor en linux, Kismet
no funcionara. El Kismet se puede instalar de muchas maneras y en función de la distribución usada,
por lo tanto es responsabilidad de cada uno leer los readme que acompañan a todas las aplicaciones de
linux. Solo citare que muchas veces y siempre antes de ejecutar el programa, es necesario editar el
fichero Kismet.conf.
Esta configuración depende de la tarjeta utilizada entre otras cosas, como el abanico de posibilidades es
muy grande, no podemos realizar una súper guía con todo tipo de instalación, los que conocéis un
poquito linux ya sabéis como funciona este mundo, el cual es mas abierto que no el mundo de
Windows, donde todos hacemos los mismos pasos, en linux ya sabemos, es bien diferente, y eso lo
hace atractivo a la vez que un poquito y solo un poquito mas complicado. Solo comentaremos algunos
aspectos fundamentales a la hora de ejecutarlo, de instalarlo y de configurarlo.
Requisitos mínimos:
Es necesario tener un S.O. Linux y que la tarjeta wireless que utilicemos tenga soporte para modo
monitor. En la mayoría de Lives-CD como Auditor, Whax, Troppix o Backtrack ya viene incluido y
solo es necesario escribir en una consola kismet para arrancarlo.
Kismet tiene tres partes diferenciadas:
1. Una sonda que puede usarse para recoger paquetes, que son enviados a un servidor para su
interpretación.
2. Un servidor que puede o bien ser usado en conjunción con una sonda, o consigo mismo,
interpretando los datos de los paquetes, extrapolando la información inalámbrica, y
organizándola.
3. El cliente se comunica con el servidor y muestra la información que el servidor recoge.

Plataformas:
El programa corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. El cliente puede también
funcionar en Windows, aunque la única fuente entrante de paquetes compatible es otra sonda.
Ntop - Monitoreo de tráfico

Ntop (de Network Top) es una herramienta que permite monitorizar en tiempo real una red. Es útil para
controlar los usuarios y
aplicaciones que están
consumiendo recursos de red en
un instante concreto y para
ayudarnos a detectar malas
configuraciones de algún equipo,
(facilitando la tarea ya que, justo
al nombre del equipo, aparece
sale un banderín amarillo o rojo,
dependiendo si es un error leve o
grave), o a nivel de servicio.

Características Principales:
• Mostrar tráfico de red: Tanto en tiempo real y hosts activos.
• Geolocalizar y superponer hosts: Sobre un mapa geográfico.
• Motor de alertas: Para capturar hosts anómalos y sospechosos.
• Monitorización continua de dispositivos de red: Vía SNMP v1/v2c.
• Destunelización de protocolos de tunelización: Incluyendo GTP/GRE.
• Analizar el tráfico IP: Llegando incluso a clasificarlo según la fuente/destino.
• Producir estadísticas de tráfico de red: Utilizando tecnología HTML5/AJAX.
• Dar soporte completo para los protocolos de red actuales: Incluyendo IPv4 e IPv6.
• Informar sobre el uso del protocolo IP: Llegando incluso a clasificarlo por tipo de protocolo.
• Full compatibilidad con los protocolos de Capa 2 (Layer-2): Incluyendo estadísticas ARP.

Adicionales
• Producir informes a largo plazo sobre métricas de red: Incluyendo protocolos de
rendimiento y de aplicación.
• Visualizar listado de indicadores principales: Top talkers (emisores/receptores), Top ASs,
Top Aplicaciones L7.
• Almacenar en disco de estadísticas de tráfico persistente: Para permitir futuras exploraciones
y análisis post-mortem.
• Caracterizar el tráfico HTTP: Aprovechando los servicios de navegación segura
proporcionados por Google y HTTP Blacklist.
• Ordenar el tráfico de red: Entre muchos criterios tales como Dirección IP, Puerto, Protocolo
L7, Rendimiento, Sistemas autónomos (AS).
• Soporte para la exportación de datos monitorizados: Usando MySQL, ElasticSearch y
LogStash. Para MySQL agrega la exploración histórica interactiva de los datos.
• Descubrimiento de protocolos de aplicaciones: Tales como Facebook, YouTube, BitTorrent,
entre otros, mediante tecnología nDPI (ntop Deep Packet Inspection).
• Monitorizar y reportar parámetros de red: Incluyendo el rendimiento en vivo, las latencias
de la red y de las aplicaciones, el tiempo de viaje redondo (Round Trip Time – RTT), las
estadísticas TCP (retransmisiones, paquetes fuera de servicio, paquetes perdidos), y los bytes y
paquetes transmitidos.

Versiones
«Ntopng» está disponible en tres versiones:

• Community: Versión gratuita y de código abierto (Alojado en GitHub) con licencia GNU
GPLv3.
• Professional
• Enterprise
Nota: Las versiones Professional y Enterprise ofrecen algunas características adicionales que son
particularmente útiles para las PYMES o las organizaciones más grandes. Y sus términos de propiedad
y uso (condiciones o limitaciones) están contemplados en su respectivo Acuerdo de Licencia con el
Usuario Final (End-User License Agreement – UELA).

Funcionamiento: Posee un microservidor web desde el que cualquier usuario con acceso
puede ver las estadísticas del monitorizaje.
En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la red. Viene
con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear
aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente
estadísticas de tráfico.
Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet,
AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS,
Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.
Plataformas: El software está desarrollado para platarfomas Unix y Windows.
Dentro del microservidor web podemos escoger que ver, en menú de navegación principal se encuentra
en el frame de arriba, que nos permite ver las siguientes opciones:

About: Muestra una explicación del programa, así como los créditos de las personas lo han
hecho.

Data Rcvd, Data Sent: Nos enseña que datos se han recibido/transmitido. Las posibilidades
para visualizarlo es agrupándolo por protocolos, por TCP/UDP, qué cantidad se ha tratado, la
actividad de cada host, y netflows.
Stats: Es el apartado de estadísticas, en la que nos enseña información muy completa
acerca del estado de la red. Nos enseña si es tráfico unicast, o multicast, la longitud de los
paquetes, el Time To Live del paquete, y el tipo de tráfico que viaja (todo ello con
porcentajes). También saca un listado de dominios, y qué plugins podemos activar o
desactivar.
IP Traffic: Nos da información acerca del sentido del tráfico, si va de la red local a una red
remota, o viecevera. también nos informa de algún error

IP Protos: Nos da la información sobre los interfaz que hay enganchados en la red

Admin: Sirve para poder cambiar la interfaz de red, crear filtros, y un mantenimiento de
usuarios.