Ntop e' uno strumento potente ma allo stesso tempo relativamente semplice da usare, per cui prima di passare alla pratica vale la pena leggersi una lunga ma interessante introduzione..
Le misurazioni del traffico, andando avanti nel tempo, divengono sempre piu' complesse a causa della varieta' dei tipi di traffico e delle velocita' crescenti. Per cui gli strumenti tradizionali (ad es. sniffers), che continuano ad essere molto usati per il monitoring del traffico, sono molto limitati per quanto riguarda l'analisi e la visualizzazione dei pacchetti. Il problema si presenta soprattutto quando si ha la necessita' di effettuare specifiche azioni di risposta ad anomalie nelle condizioni del traffico.
Ntop e' un'applicazione open source (rilasciato sotto licenza GPL) scritta in C per il monitoraggio di rete di tipo passivo. Tramite un interfaccia web mostra l'utilizzo corrente della rete, visualizzando la lista degli host connessi e riportando informazioni riguardo il traffico IP generato da ogni host. Ntop permette di tracciare le attivita' di rete piu' rilevanti e valutare le caratteristiche del traffico, l'utilizzo della rete, dei protocolli, il rilevamento delle congestioni, ecc. Inoltre Ntop e' estensibile tramite componenti e plugin caricabili dinamicamente, e ha un sistema di sicurezza che permette di rilevare potenziali condizioni pericolose del traffico, adattando dinamicamente e automaticamente la configurazione della rete.
Ntop inizialmente fu scritto per capire la provenienza dei problemi nella backbone della rete universitaria perche' gli strumenti per il monitoring del traffico disponibili non erano soddisfacenti per vari motivi. Il nome ntop deriva dall'analigia con il tool "top" di UNIX, che mostra l'utilizzo della CPU dai processi. Infatti l'autore (Luca Deri) aveva bisogno di un semplice tool in gradi di misurare il traffico di rete e riportare le informazioni sui pacchetti catturati. Poi col tempo Ntop si e' evoluto in uno strumento piu' flessibile, estensibile e potente, oltre che relativamente semplice da usare.
Tra gli i obiettivi principali di Ntop ci sono: - Portabilita' su piattaforme UNIX e non (funziona anche su Windows) - Semplicita' ed efficienza, basso utilizzo di risorse (sia memoria che CPU) - Possibilita' di monitorare e gestire una rete anche da remoto - Vari modi di rappresentare i dati: su terminale e su browser web - Risultati dell'analisi del traffico ricchi di contenuti e contemporaneamente semplici da leggere - Estensibilita' tramite caricamento dinamico di plugin - Cattura dei pacchetti e demultiplexing indipendente dal sistema operativo e dall'interfaccia di rete utilizzata - Server HTTP embedded per la visualizzazione del traffico senza il bisogno di dover usare un client apposito
Per la cattura dei pacchetti, che teoricamente dovrebbe essere il problema principale per lo sviluppo di un' applicazione portabile di questo tipo, sono state usate le librerie libpcap che offrono un'interfaccia generica (le stesse utilizzate ad esempio da ethereal). L'analizzatore dei pacchetti elabora un pacchetto alla volta, analizzando l'header secondo l'interfaccia di rete utilizzata. Le informazioni sugli host vengono memorizzate in una tabella hash con vari contatori che tengono traccia dei dati inviati e ricevuti dall'host ordinati in base ai protocolli di rete supportati. Quando necessario (ovvero quando la memoria riservata si riempie) vengono eliminate le informazioni meno significative dalla tabella, questo permette di garantire che la memoria utilizzata da ntop non cresca all'infinito.
Dal punto di vista di Ntop misurare il traffico significa controllare le attivita' di traffico piu significative. Ogni pacchetto catturato viene associato all'host mittente o destinatario. In questo modo dato un host, ad esempio per NIC o per IP, e' possibile trovare tutto il traffico relativo ad esso. Per ogni host vengono mantenute informazioni come: - Data sent/received: traffico generato o ricevuto classificato per protocollo di rete (IP, IPX, AppleTalk, ecc.) e applicazione (FTP, HTTP, ecc.) - IP multicast: traffico multicast generato o ricevuto - TCP sessions history: lista delle attuali connessioni TCP attive - UDP traffic: traffico UDP suddiviso per porta - TCP/UDP used services: lista dei servisi basati su IP forniti dall'host - Operating system (OS) type - Used bandwidth percentage - IP traffic distribution: UDP vs. TCP traffic
Le informazioni ricavate dal monitoring della rete sono veramente tante, tra cui anche i Network Flows (statistiche sul traffico per ogni flow definito).
In generale un amministratore di rete specifica alcune policy per la gestione della propria rete a cui tutti gli host appartenenti devono sottostare. Ntop ha dei supporti nativi per il rilevamento di alcuni problemi nella configurazione di rete, tra cui: - Uso di indirizzi IP duplicati - Rilevamento di abusi: spesso gli amministratori richiedono l'utilizzo di proxy per ridurre il traffico invece di usare connessioni dirette. Ntop permette di trovare utenti che non fanno uso dei proxy consigliati - Eccessivo utilizzo della banda: ntop permette di rilevare gli host che utilizzano maggiormente la banda - Individuazione di portscan - Sniffing detection: identificazione di host che hanno impostato la scheda di rete in modalita' promiscua, per catturare pacchetti che non sono diretti alla loro scheda di rete - Trojan horse detection - Denial of Service detection: ad esempio rilevamento di Synflood
Quando viene rilevata una violazione alla sicurezza della rete, ntop prevede diverse modalita' di reazione: - Riporta il problema all'amministratore di rete - Capisce quando e dove ha origine un attacco usando le informazioni salvate - Eseguire specifiche azioni per bloccare l'attacco e limitarne la propagazione
Fatta questa introduzione installare ed usare ntop e' piuttosto semplice. Qui potrete trovare il package adatto al vostro sistema (o se avete una distribuzione con dei propri repository potete provare a cercare li: ad esempio con gentoo basta un emerge ntop). Una volta installato usarlo e' piuttosto semplice. Ad esempio se installiamo ntop sul proprio PC basta avviarlo (nel caso di linux lanciando ntop da un terminale) e inserire la password per l'admin. Quindi collegandosi da un browser a http://localhost:3000 rispondera' il web-server embedded di Ntop visualizzandoci gia' i vari grafici, e un menu a tendina dal quale si puo' navigare tra le funzioni, abilitare i plugin, ecc..
Se avete un server web redirigere l'interfaccia web di ntop tramite un virtual host e' la cosa piu conveniente e soprattutto sicura che si puo fare. Se qualcuno e' interessato puo' dare un occhio al mini-howto "Proxying ntop through Apache" Buon monitoraggio
ntop: net monitoring
Creative Commons