Ntop

De Wikipedia, la enciclopedia libre

NTOP

---

La enciclopedi libre

NTOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y además es GNU. El software esta desarrollado para platarfomas Unix y Windows.

En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente estadísticas de tráfico.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.

---

Instalación

Para instalarlo, nada más sencillo;

    1.- bajarse las fuentes de su sección descargas o directamente la versión más reciente.
    2.- hacerle el "./configure; make; make install", pero conviene estar atentos por si no
        entra alguna que otra biblioteca. 

Para hacerlo funcionar con todas sus prestaciones, conviene tener instalado:

- GDChart, lsof, nmap, bibliotecas OpenSSL, Servidor MySQL

Uso del programa

Una vez instalado todo el software necesario podremos arrancar el programa, de entre varias, de esta manera:

-P /var/lib/ntop -w 3000 -W 3003 -i eth0 -b localhost:4000 -d -E -L -a /www/logs/ntop.log

Leyenda:

    -P /var/lib/ntop: Donde se dejan las tablas hash.
    -w 3000: Abrimos el servidor en el puerto 3000.
    -W 3003: Abrimos el servidor SSL en el puerto 3003.
    -i eth0: Escuchamos todo el tráfico que pasa por la tarjeta de red eth0.
    -b localhost:4000 : Donde está el programa puente para el servidor MySQL.
    -d: Para que se convierta en demonio.
    -E: Para que se ayude de herramientas externas (lsof, nmap, ...).
    -L: Habilita la salida al syslog.
    -a /www/logs/ntop.log: Es el fichero de acceso a la página web del ntop.

Una vez que ha arrancado, podemos ver qué está pasando en nuestra red visitando la página web [1].

Opciones

El menú de navegación principal se encuentra en el frame de arriba, y nos permite ver las siguientes opciones:

- About: Muestra una explicación del programa, así como los créditos de las personas lo han hecho.

- Data Rcvd, Data Sent: Nos enseña que datos se han recibido/transmitido. Las posibilidades para visualizarlo es agrupándolo por protocolos, por TCP/UDP, qué cantidad se ha tratado, la actividad de cada host, y netflows.

- Stats: Es el apartado de estadísticas, en la que nos eseña información muy completa acerca del estado de la red. Nos enseña si es tráfico unicast, o multicast, la longitud de los paquetes, el Time To Live del paquete, y el tipo de tráfico que viaja (todo ello con porcentajes). También saca un listado de dominios, y qué plugins podemos activar o desactivar.

- IP Traffic: Nos da información acerca del sentido del tráfico, si va de la red local a una red remota, o viecevera.

- IP Protos: Nos da estadísticas del uso, pero a nivel de red como conjunto de hosts.

- Admin: Sirve para poder cambiar la inerfaz de red, crear filtros, y un mantenimiento de usuarios.

---