Ntop

NTOP7 de dezembro de 2006

Sumário

I Sobre essa apostila 2

II Informações Básicas 4

III Ntop 9

1 O que é o Ntop 10

2 Plano de ensino 112.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

3 Visão Geral 143.1 Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143.2 Principais Características . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4 Funções do Ntop 164.1 Medição do Tráfego da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164.2 Monitoramento do Tráfego da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 194.3 Otimização e Planejamento da Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . 204.4 Detecção de Violações de Segurança da Rede . . . . . . . . . . . . . . . . . . . . . 20

5 Instalação e Execução 215.1 Como instalar o Ntop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215.2 Como executar o Ntop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

6 Exemplos de Uso 236.1 Gráfico de Distribuição Global de Protocolos TCP/UDP . . . . . . . . . . . . . . . . 236.2 Gráfico de Distribuição de Protocolos IP . . . . . . . . . . . . . . . . . . . . . . . . . 266.3 Estatísticas de Vazão (Throughtput) . . . . . . . . . . . . . . . . . . . . . . . . . . . 296.4 Informações Sobre um Host . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

1

CDTC Centro de Difusão de Tecnologia e Conhecimento Brasil/DF

7 Outras Abordagens de Monitoramento 337.1 Alternativas de Uso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

2

Parte I

Sobre essa apostila

3


Conteúdo

O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in-ternet, disponíveis em diversos sites ou originalmente produzido no CDTC em http://www.cdtc.org.br.

O formato original deste material bem como sua atualização está disponível dentro da licençaGNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seção demesmo nome, tendo inclusive uma versão traduzida (não oficial).

A revisão e alteração vem sendo realizada pelo CDTC ([email protected]), desde outubrode 2006. Criticas e sugestões construtivas são bem-vindas a qualquer tempo.

Autores

A autoria deste conteúdo, atividades e avaliações é de responsabilidade de Edson Lek HongMa ([email protected]) .

O texto original faz parte do projeto Centro de Difusão de Tecnolgia e Conhecimento, que vemsendo realizado pelo ITI em conjunto com outros parceiros institucionais, atuando em conjuntocom as universidades federais brasileiras que tem produzido e utilizado Software Livre, apoiandoinclusive a comunidade Free Software junto a outras entidades no país.

Informações adicionais podem ser obtidas atráves do email [email protected], ou dahome page da entidade, atráves da URL http://www.cdtc.org.br.

Garantias

O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi-lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizamdireta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido.

Licença

Copyright ©2006,Edson Lek Hong Ma ([email protected]) .

Permission is granted to copy, distribute and/or modify this document under the termsof the GNU Free Documentation License, Version 1.1 or any later version published bythe Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS-TILA. A copy of the license is included in the section entitled GNU Free DocumentationLicense.

4

Parte II

Informações Básicas

5


Sobre o CDTC

Objetivo Geral

O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina-ção de soluções que utilizem padrões abertos e não proprietários de tecnologia, em proveito dodesenvolvimento social, cultural, político, tecnológico e econômico da sociedade brasileira.

Objetivo Específico

Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário ede código fonte aberto, identificando e mobilizando grupos de formadores de opinião dentre osservidores públicos e agentes políticos da União Federal, estimulando e incentivando o mercadonacional a adotar novos modelos de negócio da tecnologia da informação e de novos negóciosde comunicação com base em software não-proprietário e de código fonte aberto, oferecendotreinamento específico para técnicos, profissionais de suporte e funcionários públicos usuários,criando grupos de funcionários públicos que irão treinar outros funcionários públicos e atuar comoincentivadores e defensores de produtos de software não proprietários e código fonte aberto, ofe-recendo conteúdo técnico on-line para serviços de suporte, ferramentas para desenvolvimento deprodutos de software não proprietários e de seu código fonte livre, articulando redes de terceiros(dentro e fora do governo) fornecedoras de educação, pesquisa, desenvolvimento e teste de pro-dutos de software livre.

Guia do aluno

Neste guia, você terá reunidas uma série de informações importantes para que você comeceseu curso. São elas:

• Licenças para cópia de material disponível

• Os 10 mandamentos do aluno de Educação a Distância

• Como participar dos foruns e da wikipédia

• Primeiros passos

É muito importante que você entre em contato com TODAS estas informações, seguindo oroteiro acima.

Licença

Copyright ©2006, Edson Lek Hong Ma ([email protected]) .

É dada permissão para copiar, distribuir e/ou modificar este documento sob os termosda Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior

6


públicada pela Free Software Foundation; com o Capitulo Invariante SOBRE ESSAAPOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu-mentação Livre GNU".

Os 10 mandamentos do aluno de educação online

• 1. Acesso à Internet: ter endereço eletrônico, um provedor e um equipamento adequado épré-requisito para a participação nos cursos a distância.

• 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá-tica é necessário para poder executar as tarefas.

• 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân-cia conta muitos pontos, pois irá colaborar para o processo ensino-aprendizagem pessoal,dos colegas e dos professores.

• 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seuscolegas de turma respeitando-os e fazendo ser respeitado pelo mesmo.

• 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisãoe a sua recuperação de materiais.

• 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações erealizá-las em tempo real.

• 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre.

• 8. Flexibilidade e adaptação: requisitos necessário à mudança tecnológica, aprendizagense descobertas.

• 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente éponto - chave na comunicação pela Internet.

• 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual nãocontrola a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração.

Como participar dos fóruns e Wikipédia

Você tem um problema e precisa de ajuda?

Podemos te ajudar de 2 formas:

A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso:

. O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informaçõesque sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas atodos participantes. Assim, se o monitor ou algum outro participante tiver uma informação queinteresse ao grupo, favor postá-la aqui.Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico docurso. É recomendado que você faça uso do Forum de dúvidas gerais que lhe dá recursos mais

7


efetivos para esta prática.

. O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativopara solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadasa todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podemajudar.Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com aformalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópicoé recomendável ver se a sua pergunta já foi feita por outro participante.

A segunda forma se dá pelas Wikis:

. Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par-ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podemser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece umótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé-dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, porpessoas de todas as partes do mundo. Acesse-a em português pelos links:

• Página principal da Wiki - http://pt.wikipedia.org/wiki/

Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo!

Primeiros Passos

Para uma melhor aprendizagem é recomendável que você siga os seguintes passos:

• Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar;

• Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar dasferramentas básicas do mesmo;

• Entrar nas lições seguindo a seqüência descrita no Plano de Ensino;

• Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais.

Perfil do Tutor

Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores.

O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivosvalores e atitudes, incentiva mas é honesto, imparcial, amável, positivo, respeitador, aceita asidéias dos estudantes, é paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar.A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e,para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutorou instrutor:

• fornece explicações claras acerca do que ele espera, e do estilo de classificação que iráutilizar;

8


• gosta que lhe façam perguntas adicionais;

• identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por-que motivo a classificação foi ou não foi atribuída’;

• tece comentários completos e construtivos, mas de forma agradável (em contraste com umreparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, deameaça e de nervossismo’)

• dá uma ajuda complementar para encorajar um estudante em dificuldade;

• esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente;

• ajuda o estudante a alcançar os seus objetivos;

• é flexível quando necessário;

• mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso,talvez numa fase menos interessante para o tutor);

• escreve todas as correções de forma legível e com um nível de pormenorização adequado;

• acima de tudo, devolve os trabalhos rapidamente;

9

Parte III

Ntop

10

Capítulo 1

O que é o Ntop

Ntop (Network Traffic Probe) é um aplicativo capaz de mostrar a utilização da rede, detalhandoa utilização por host, protocolo, etc. Ele é baseado no libpcap e tem sido escrito de uma formaportável para rodar em qualquer ambiente Unix-like e Win32. Características como uma interfaceWeb (ex.: Firefox), opções de administração e configuração por esta interface e reduzido uso dememória e processamento fazem com que o seu uso seja fácil e apropriado para o monitoramentode vários tipos de redes.

O curso, com base na distribuição Debian possui uma semana, começando na Segunda-Feiraprimeira semana e terminando no Domingo da última semana. Todo o conteúdo do curso estarávisível somente a partir da data de início. Para começar o curso você deve ler o Guia do aluno aseguir.

O material deste curso é baseado na página oficial do ntop, na qual está disponível sob GPL,v2 (ou posterior). A licença pode ser encontrada na página do "Free Software Foundation".

11

Capítulo 2

Plano de ensino

2.1 Objetivo

Qualificar técnicos para uma compreensão e utilização de uma ferramenta para Gerência deRedes.

2.2 Público Alvo

Qualquer pessoa que desejar conhecer e/ou trabalhar na área de Gerência de Redes.

2.3 Pré-requisitos

Os usuários deverão ser, necessariamente, indicados por empresas públicas e ter conhecimentobásico acerca de Redes de Computadores.

2.4 Descrição

O curso de Ntop será realizado na modalidade EAD e utilizará a plataforma Moodle como fer-ramenta de aprendizagem. Ele é composto de um módulo de aprendizado e um módulo deavaliação que será dado na primeira semana. O material didático estará disponível on-line deacordo com as datas pré-estabelecidas no calendário. A versão utilizada para o ntop será a v3.2

2.5 Metodologia

O curso está dividido da seguinte maneira:

2.6 Cronograma

• Descrição das atividades

• Semana 1

Lição 1 - Visão Geral

12


Lição 2 - Funções do Ntop

Lição 3 - Instalação e Execução

Lição 4 - Exemplos de Uso

Lição 5 - Outras Abordagens de Monitoramento

Avaliação de aprendizagem

Todo o material está no formato de livro, e estará disponível ao longo do curso. O livro poderáser acessado quantas vezes forem necessárias. Aconselhamos a leitura de "Ambientação doMoodle", para que você conheça o produto de Ensino a Distância, evitando dificuldades advindasdo "desconhecimento"sobre o mesmo.

Ao final de cada semana do curso será disponibilizada a prova referente ao módulo estudadoanteriormente que também conterá perguntas sobre os textos indicados. Utilize o material decada semana e os exemplos disponibilizados para se preparar para prova.

Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deve serdisponibilizada no fórum ou enviada por e-mail. Diariamente os monitores darão respostas eesclarecimentos.

2.7 Programa

O curso oferecerá o seguinte conteúdo:

• Visão Geral

*Introdução

*Principais Características

• Funções do Ntop

*Medição do Tráfego da Rede

*Monitoramento do Tráfego da Rede

*Optimização e Planejamento da Rede

*Detecção de Violações de Segurança da Rede

• Instalação e Execução

*Como Instalar o Ntop

*Como Executar o Ntop

• Exemplos de Uso

*Gráfico de Distribuição Global de Protocolos TCP/UDP

*Gráfico de Distribuição de Protocolos IP

*Estatísticas de Vazão (Throughput)

*Informações Sobre um Host

• Outras Abordagens de Monitoramento

13


2.8 Avaliação

Toda a avaliação será feita on-line.Aspectos a serem considerados na avaliação:

• Iniciativa e autonomia no processo de aprendizagem e de produção de conhecimento;

• Capacidade de pesquisa e abordagem criativa na solução dos problemas apresentados.

Instrumentos de avaliação:

• Participação ativa nas atividades programadas.

• Avaliação ao final do curso.

• O participante fará várias avaliações referente ao conteúdo do curso. Para a aprovação eobtenção do certificado o participante deverá obter nota final maior ou igual a 6.0 de acordocom a fórmula abaixo:

• Nota Final = ((ML x 7) + (AF x 3)) / 10 = Média aritmética das lições

• AF = Avaliações

2.9 Bibliografia

• Site official: http://www.ntop.org

14

Capítulo 3

Visão Geral

• Introdução

• Principais Características

3.1 Introdução

Gerência de Redes é uma área que tem se tornado uma tarefa bem complexa devido a grandevariedade dos tipos de rede e a integração entre esses diferentes meios de transmissão de infor-mação. Logo, é indispensável o uso de ferramentas de gerência para auxiliar e facilitar o esforçohumano nessa área de trabalho. Esse curso tem o objetivo de prover informações importantesmostrando um pouco do mundo de um gerente de redes e também terá um foco para as pessoascom interesse no uso do ntop.

Ntop é uma ferramenta software livre, simples de usar e portável com a finalidade de mo-nitoramento e análise de tráfego de rede. Atividades de gerência como: optimização da rede,planejamento e detecção de violações de segurança são algumas características oferecidas poreste aplicativo. Este também tem se mostrado uma ferramenta com grande simplicidade porpossuir um rápido acesso para monitoramento de redes (baseado em interface web). A grandevantagem de utilizar o ntop é devido a pouca necessidade de esforço e custo (para instalação eaprendizado) comparado a outras complexas e caras (apesar de sofisticados e flexíveis) platafor-mas de gerência.

Serão abordados nas lições seguintes, descrições das principais características do ntop, comofazer a instalação e execução e alguns casos de exemplos de uso. Outras abordagens de moni-toramento também serão discutidos.

3.2 Principais Características

No mundo Unix, existe uma ferramenta chamada "top"que é utilizada para mostrar a utilizaçãoda CPU pelos processos ativos na máquina. Os autores basearam nessa idéia para a criaçãodo Ntop, pois sentiram necessidade na identificação rápida dos "hosts"(usuários) que estivessemocupando valiosos recursos de rede.

15


Ntop oferece interfaces baseados em linha de comando e web com disponibilidade para pla-taformas Unix-like e Windows.

As principais funções do Ntop são:

• Medição do Tráfego da Rede.

• Monitoramento do Tráfego da Rede.

• Otimização e Planejamento da Rede.

• Detecção de Violações de Segurança da Rede.

Na lição a seguir, entraremos em maiores detalhes em cada uma destas funções.

16

Capítulo 4

Funções do Ntop

Como já foi listado anteriormente as principais funções do Ntop, agora iremos especificar de ummodo detalhado, cada uma das funções.

4.1 Medição do Tráfego da Rede

A Medição do tráfego consiste em ilustrar a utilização da rede por atividades relevantes. O Ntopacompanha a utilização da rede gerando uma série de estatísticas para cada "host"(cliente) emsua subrede e também por toda as outras subredes. Sendo assim, as informações que se dese-jam ser adquiridas, são coletadas pelo "host"(cliente com o ntop ativo) simplesmente observandoo tráfego da rede. O modelo centrado no cliente favorece uma diminuição das necessidades paraprocessar e adquirir dados de outros nós (computadores) ativos. Todos os pacotes da subredesão capturados e associados a uma tupla "remetente/destinatário", deste modo, é possível acom-panhar todas as atividades de um host conectado à uma rede.

Os itens a seguir mostram as informações guardadas pelo ntop para cada host ligado na rede:

• Dados Enviados/Recebidos

O tráfego total (por volume e pacotes) gerados ou recebedos pelo host. Classificaçãode acordo com os protocolos da camada de rede (IP, IPX, AppleTalk, etc...) e protocolos dacamada de aplicação (FTP, HTTP, NFS, etc...)

• Largura de Banda Utilizada

Valor Atual, a Média ou os picos de utilização da Banda.

• IP MultiCast

Sessões TCP atualmente ativas, estabelecidas ou aceitas pelo host e estatísticas detráfego associadas a estas sessões.

• Sessões TCP / Histórico

Quantidade Total de Tráfego UDP ordenado por portas.

17


• Tráfego UDP

Lista de serviços baseados em IP (ex.: portas abertas ou ativas) fornecidadas pelo hostjuntamente com uma lista dos últimos hosts externos que utilizaram esses serviços.

• TCP/UDP - Serviços Utilizados

Lista de serviços baseados em IP (ex.: portas abertas ou ativas) fornecidadas pelo hostjuntamente com uma lista dos últimos hosts externos que utilizaram esses serviços.

• Tráfego - Distribuição

Lista do Tráfego Local, Tráfego Local para Remoto, Tráfego Remoto para Local.

• Tráfego IP - Distribuição

Tráfego UDP x TCP, distribuição relativa do protocolo IP de acordo com o nome do host.

Alguns Exemplos dos dados capturados pelo Ntop:

18


O Ntop além de capturar dados locais do host (cliente com o ntop instalado), ele também gerarelatório estatístico do tráfego global da rede. A seguir são citados os dados que o Ntop conseguecapturar:

• Tráfego - Distribuição

Tráfego local da subRede, local vs remoto, remoto vs local.

• Pacotes - Distribuição

Número total de Pacotes ordenado por tamanho do pacote, unicast vs broadcast vsmulticast e tráfego IP vs não-IP.

• Largura de Banda

Atual, média e o pico de uso da Largura de Banda da Rede.

• Protocolos - Utilização e Distribuição

Distribuição do tráfego observado de acordo com protocolo e origem/destino(local vsremoto).

• SubRede Local - Matriz do Tráfego

Tráfego monitorado entre cada par de hosts da Subrede

• Fluxo da Rede

Estatísticas de tráfego para fluxos definidos pelo usuário (Tráfegos específicos de inte-resse do usuário)

19


Além dos dados fornecidos acima, a versão testada do ntop (versão 3.2 SourceForge .tgz)permite a adição de plugins para estatísticas detalhadas de protocolos em particular, não presen-tes na versão básica. Além de tudo isso, Ntop também gera dados sobre o host (rodando Ntop),listando sockets abertos (portas), dados recebidos/enviados e máquinas contactadas em cadaprocesso.

4.2 Monitoramento do Tráfego da Rede

O Monitoramento do tráfego de uma rede é a habilidade de identificar situações onde não sãocumpridas determinadas políticas da rede ou quando o tráfego excede limites pré-estabelecidos(ex.: consumo excessivo da banda por um único host). De modo geral, administradores de redesespecificam políticas que são aplicadas diretamente no comportamento dos elementos dentro darede gerenciada. Apesar disso, é possível que alguns hosts não satisfaçam estas políticas pré-estabelecidas e alguns exemplos de causas do não enquadramento de algum elemento da redepodem estar relacionadas à má configuração dos sistemas operacionais, das interfaces de redee dos aplicativos.

20


Ntop oferece suporte para a detecção e identificação das configurações da rede, por exemplo:

• * Uso duplicado do endereço IP.

• * Identificação dos hosts locais pelo modo "promíscuo".

• * Má configuração de aplicativos: análise do tráfego de dados de protocolos.

• * Detecção de serviços mal utilizados: identificação de hosts que não estão usando deter-minado proxy.

• * Protocolos mal utilizados: identificação de hosts que utilizam protocolos desnecessários.

• * Identificação dos roteadores da SubRede: detecção das estações de trabalho mal confi-guradas atuando como roteadores.

• * Detecção de excessiva utilização da largura da banda.

4.3 Otimização e Planejamento da Rede

Uma configuração não muito organizada dos hosts pode influenciar negativamente toda a per-formace de uma rede. Ntop permite que administradores identifiquem potenciais focos de usoimprodutivo da largura de banda da rede. Os principais fatores para o desperdício de serviçodisponível pode ser relacionado ao uso de protocolos desnecessários e má eficiência por proble-mas de roteamento. De forma indireta; podemos, pela caracterização e distribuição do tráfegoda rede, fazer uma revisão das políticas para que obtenha um uso mais inteligente da largura debanda disponível.

4.4 Detecção de Violações de Segurança da Rede

Em redes de computadores, a maioria dos ataques ocorrem de dentro da própria rede. Por estarazão Ntop fornece aos usuários serviços para acompanhamento de ataques e identificação depotenciais furos na segurança da rede (Ex.: ip Spoofing, ataques de negação de serviço, trojanhorses , ataques de varredura de portas e redes em modo promíscuo fazendo sniffing).

Quando uma violação de segurança ou má configuração da rede é detectada, Ntop oferecefacilidades para gerar alarmes para o gerente de rede (via email, SNMP traps ou pequenos sis-temas de envio de mensagem) e também de executar determinadas ações (se possível) com oobjetivo de bloquear o ataque. Isso também possibilita manter a informação do tráfego arma-zenada em um banco de dados, esses registros podem ser usados para entender o ataque eprevinir de futuros acontecimentos semelhantes.

É bem importante notar que Ntop, assim como outras ferramentas de monitoramento, podepermitir que furos na segurança não sejam identificados caso o aplicativo não esteja instaladocorretamente. Ntop oferece uma interface web na qual permite qualquer usuário com acesso webler as informações fornecidas/geradas pelo ntop, adquirindo conhecimento sobre a rede, reve-lando situações antes não identificadas.

21

Capítulo 5

Instalação e Execução

• Como Instalar o Ntop

• Como Executar o Ntop

5.1 Como instalar o Ntop

Ntop está atualmente na versão 3.2, distribuido sob a GPL (GNU General Public LIcense) e podeser copiado do site oficial do Ntop pelo endereço: http://www.ntop.org/download.html

Existem duas formas de instalação do Ntop:

1. Código fonte (na qual será compilada para plataformas Unix-like)

2. Pacotes binários de acordo com as diferentes distribuições Linux e Sistemas Operacionaisexistentes. (Linux, IRIX, Solaris, i386/SPARC, Freebsd, etc...)

Como o curso é baseado na distribuição Debian, irei abordar a instalação pelo código fonte epelo repositório de pacotes do Debian.

1. Instalação pelo código fonte:

• Primeiramente, copie para uma pasta o código fonte, pelo link:http://prdownloads.sourceforge.net/ntop/ntop-3.2.tgz?download

• Depois descompacte o arquivo digitando:tar -zxvf ntop-3.2.tgz

• Para compilar digite:sush ./configuremakemake install

22


2. Instalação pelo repositório do Debian:

• Essa é a forma mais fácil de instalar, primeiramente adquira privilégios de super usuá-rio, Digite:

su e depois a sua senha

• Para efetuar a instalação Digite:apt-get install ntop

Obs.: Durante a instalação, será pedido para informar a interface de rede e o usuário. Deixea interface padrão eth0 e o usuário ntop.

5.2 Como executar o Ntop

Executando o Ntop:

• Após a instalação, Ntop deverá ser executado com permissões de super-usuário, e este irácomeçar a capturar os pacotes da rede.

su

ntop -d

• Quando ativado o modo web (ativado por padrão), Ntop inicia seu próprio servidor (setadogeralmente na porta 3000). Para acessar o aplicativo pela web, abra seu browser favorito(ex.: firefox) e digite na barra de endereço: http://localhost:3000

23

Capítulo 6

Exemplos de Uso

• Gráfico de Distribuição Global de Protocolos TCP/UDP

• Gráfico de Distribuição de Protocolos IP

• Estatísticas de Vazão (Throughput)

• Informações Sobre um Host

6.1 Gráfico de Distribuição Global de Protocolos TCP/UDP

Alguns exemplos de uso serão mostrados nessa lição e todas são baseadas no modo de interfaceweb.

24


Para acessar a página acima, clique em:

25


As estatísticas de tráfego mostram informações gerais sobre o tráfego observado. O trá-fego é visualizado por uma perspectiva global, sem nenhuma informação específica de um host.Na figura acima, é possível visualizar a tabela e o gráfico de distribuição global de protocolosTCP/UDP. Os dados coletados pelo Ntop mostram que NFS/AFS é o protocolo que possui maiorconsumo da banda no momento da captura. Esse tipo de estatística é importante para o adminis-trador entender o tráfego, associando a determinada aplicação. Desta forma, é possível gerenciarde forma correta, a quantidade de largura de banda ainda disponível.

26


6.2 Gráfico de Distribuição de Protocolos IP

27


28


As figuras acima mostram estatísticas de tráfego local, remoto para local e local para remoto.As tabelas do tráfego local, mostram informações de troca de dados entre hosts locais. No exem-plo acima, é possível verificar que o protocolo NFS é responsável por 95% do tráfego. A tabelado tráfego remoto para local, mostra um tráfego de entrada gerado por hosts remotos(não locais).Por exemplo, podemos ver uma entrada de dados pelo protocolo "Messenger"e com o acesso aesta informação, administradores podem revisar as políticas de acesso para o uso do "Messen-ger"na rede.

Outro ponto interessante de observar é o protocolo HTTP nas tabelas "remoto para local"e"local para remoto". A quantidade de dados da primeira é muito maior que a segunda (20.3MB e4.5MB respectivamente) e com isso podemos ver uma situação razoavelmente normal da rede,na qual a quantidade de dados de entrada é bem maior do que de saída. Se ocorresse umasituação inversa, podemos suspeitar talvez de algum fator malicioso fazendo com que haja maiorrequisição de dados (local para remoto) do que a entrada de dados (remoto para local).

29


6.3 Estatísticas de Vazão (Throughtput)

O gráfico acima mostra outras estatísticas do tráfego global, mostrado na forma de vazão darede (throughput). Estes gráficos fornecem a informação da evolução da vazão total da rede esão apresentadas em escalas diferentes, de acordo com o tempo: últimos 10 min, última hora eúltimo dia.

Este tipo de gráfico é importante para determinar períodos de grande uso ou de baixo uso darede. Desta forma o administrador tem a possibilidade de agendar melhor atividades de manuten-

30


ção(troca de equipamentos de rede, configuração de switch, abaixar a prioridade de determinadostipos de tráfego, etc...). Outra informação importante é a detecção de vazão incomum, na qualpode indicar excessivo uso do recurso da rede por um grupo de usuários (emule por exemplo) ououtros comportamentos incomuns dos hosts.

Para acessar os dados acima, clique em:

6.4 Informações Sobre um Host

Os exemplos anteriores mostram o uso do Ntop para conseguir informações globais do tráfego darede. A figura a seguir mostra algumas informações fornecidas pelo Ntop para um host específico.

31


A listagem acima inclui o endereço IP, endereço MAC e nome do fabricante (apenas parahosts locais), estatísticas do total de dados recebidos/enviados (tráfegos remoto vs local), pacotesbroadcast enviados, etc...

32


A tabela acima mostram os últimos hosts que trocaram informações com o cliente na qualestamos analisando. As informações sobre os hosts ajudam operadores de rede nas configura-ções de forma mais correta e a manutenção dos elementos individuais da rede. Além do mais,hosts podem ser associados a perfis de usuários específicos e as estatísticas podem mostrarseus comportamentos na rede.

Clicando no menu abaixo, você irá encontrar uma listagem de todos os hosts remotos/locaiscom várias informações. Para acessar as telas acima contendo informações mais específicas deum host, você pode clicar em um link específico da tabela.

33

Capítulo 7

Outras Abordagens de Monitoramento

• Alternativas de Uso

7.1 Alternativas de Uso

Existem outras alternativas simples para o monitoramento de redes chamadas de Sniffers. Exem-plos desse tipo são: tcpdump, snoop, entre outros. Estas ferramentas são responsáveis pela cap-tura de pacotes da rede e a análise dos dados não é em tempo real. Estes programas requerem ouso de ferramentas externas para relacionar os dados capturados com a identificação dos fluxosde rede. Sniffers geralmente fornecem detalhes da atividade do pacote e pouca informação darede como um todo. Analisadores de protocolo como o Wireshark (ex-Ethereal), foca mais noconteúdo de cada pacote da rede e também não fornece muitas informações das atividades darede em um contexto geral.

Alternativas melhores e mais avançadas incluem os RMON(Remote Network Monitoring). Es-tes aplicativos fornecem uma diferenciação entre gerência e prospecção. Os dispositivos para aprospecção coletam dados de uma rede e a parte da gerência é relacionado às aplicações queoferecem facilidades de uso para seres humanos. Gerentes de RMON podem ser vistas comoanalisadores de dados, mas também podem configurar equipamentos para prospecção e coletardados relevantes (via SNMP). Apesar de serem alternativas bem mais flexíveis, a complexidadee o custo de soluções utiizando RMON fazem com que seu uso seja mais difundido em grandescorporações.

Outras ferramentas como NeTraMet e NFR oferecem avançadas linguagens de programaçãopara a análise do fluxo da rede e construção de sofisticados armazenamentos de relatório deeventos. Essas linguagens são úteis para gerentes de redes bem experientes e estas opçõesnão estão presentes no Ntop por questão de simplicidade.

Conseqüentemente, podemos reafirmar ao final deste curso o conceito citado anteriormente:

"Ntop é uma ferramenta software livre, simples de usar e portável com a finalidade de mo-nitoramento e análise de tráfego de rede. Atividades de gerência como: otimização da rede,planejamento e detecção de violações de segurança são algumas características oferecidas poreste aplicativo. Este também tem se mostrado uma ferramenta com grande simplicidade porpossuir um rápido acesso para monitoramento de redes (baseado em interface web). A grande

34


vantagem de utilizar o ntop é devido a pouca necessidade de esforço e custo (para instalação eaprendizado) comparado a outras complexas e caras (apesar de sofisticados e flexíveis) platafor-mas de gerência."

35

Ntop

Documents

Transcript of Ntop