Меню Рубрики

Установка и настройка ntopng

ИТ База знаний

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

Настройка программных телефонов

Корпоративные сети

Популярное и похожее

Пошаговый ввод в домен Windows 10

Погружение в Iptables – теория и настройка

Про операционную систему Cisco IOS

PRTG уведомления в Telegram

Установка и настройка ntopng

Еще одна Linux — based утилита

В продолжение нашей статьи про настройку Netflow на маршрутизаторах Mikrotik, сегодня мы расскажем про Ntopng — приложение, которое анализирует трафик в вашей сети. Устанавливать будем на CentOS 7.

Установка

Ntopng не доступен в дефолтных репозиториях CentOS 7, поэтому предварительно нам нужно будет выполнить определенные действия по их добавлению. Сперва, выполните команду по добавлению EPEL репозитория:

Затем необходимо создать ntop репозиторий. Для этого нужно будет создать файл ntop.repo внутри директории /etc/yum.repos.d — для этого введите команду sudo nano /etc/yum.repos.d/ntop.repo .

В данный файл добавьте следующие строки:

Для создания файла, конечно же, можно использовать любой текстовый редактор — не только nano. Но если хотите дотошно следовать инструкции, то, вероятно, сначала текстовый редактор придется установить с помощью команды yum install nano -y . После добавления нужных строк в файл сохраните изменения с помощью сочетания клавиш CTRL+O, и выйдите из файла командой CTRL+X.

Теперь переходим к непосредственно установке — выполните команду sudo yum —enablerepo=epel install redis ntopng -y . После этого просто соглашайтесь со всеми пунктами, и, спустя минут 5, все должно быть установлено.

Запуск сервисов и настройка ntopng

После установки ntopng, необходимо установить hiredis-devel пакет и запустить redis сервер до старта ntopng:

Затем запускаем redis сервис и разрешаем ему автозапуск — и тоже самое делаем с ntopng.

Далее, проверим, работает ли ntopng командой sudo systemctl status ntopng .

Затем, превратим наш ntopng в бесплатную версию — для этого нужно отредактировать конфиг командой sudo nano /etc/ntopng/ntopng.conf и изменить строку:

После чего, сохраним и выйдем из файла и перезапустим ntopng:

Последний шаг — настроим фаерволл и перезагрузим его. Настройка заключается в разрешении порта 3000.

Первый запуск ntopng

Теперь осталось перейти по следующему адресу: http://yourhostip:3000 . Логин и пароль по умолчанию — admin. Сразу после этого вам предложат изменить пароль.

Далее, вы увидите дэшборд, с разнообразной информацией, примерно как на скриншоте ниже:

Для понимания возможностей данного приложения — попробуйте посмотреть хосты, сети и прочие — в общем, попробуйте освоиться с функционалом.

Заключение

Всем спасибо за внимание, многие крупные вендоры сейчас уделяют особое внимание протоколу Netflow и придумывают различные сценарии применения. Как это может быть полезно именно для вас, пара примеров: после недельного анализа вашей сети вы поймете, что она была недостаточно сегментирована, или увидите какие-то подозрительные потоки. Дайте нам знать, если вам интересна более подробная настройка ntopng и софта, подобного ему — обязательно напишем про это статью! :).

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Читайте также:  Установка canon лазерные принтеры

источник

Установка и настройка ntopng

В продолжение нашей статьи про настройку Netflow на маршрутизаторах Mikrotik , сегодня мы расскажем про Ntopng — приложение, которое анализирует трафик в вашей сети. Устанавливать будем на CentOS 7 .

УСТАНОВКА

Ntopng не доступен в дефолтных репозиториях CentOS 7, поэтому предварительно нам нужно будет выполнить определенные действия по их добавлению. Сперва, выполните команду по добавлению EPEL репозитория:

Затем необходимо создать ntop репозиторий. Для этого нужно будет создать файл ntop.repo внутри директории /etc/yum.repos.d — для этого введите команду sudo nano /etc/yum.repos.d/ntop.repo.

В данный файл добавьте следующие строки:

Для создания файла, конечно же, можно использовать любой текстовый редактор — не только nano . Но если хотите дотошно следовать инструкции, то, вероятно, сначала текстовый редактор придется установить с помощью команды yum install nano -y. После добавления нужных строк в файл сохраните изменения с помощью сочетания клавиш CTRL+O , и выйдите из файла командой CTRL+X .

Теперь переходим к непосредственно установке — выполните команду sudo yum —enablerepo=epel install redis ntopng -y . После этого просто соглашайтесь со всеми пунктами, и, спустя минут 5, все должно быть установлено.

ЗАПУСК СЕРВИСОВ И НАСТРОЙКА NTOPNG

После установки ntopng , необходимо установить hiredis-devel пакет и запустить redis сервер до старта ntopng :

sudo yum —enablerepo=epel install hiredis-devel

Затем запускаем redis сервис и разрешаем ему автозапуск — и тоже самое делаем с ntopng.

sudo systemctl start redis.service
sudo systemctl enable redis.service

sudo systemctl start ntopng.service
sudo systemctl enable ntopng.service

Далее, проверим, работает ли ntopng командой sudo systemctl status ntopng.

Затем, превратим наш ntopng в бесплатную версию — для этого нужно отредактировать конфиг командой sudo nano /etc/ntopng/ntopng.conf и изменить строку:

После чего, сохраним и выйдем из файла и перезапустим ntopng:

sudo systemctl restart ntopng

Последний шаг — настроим фаерволл и перезагрузим его. Настройка заключается в разрешении порта 3000.

sudo firewall-cmd —permanent —add-port=3000/tcp
sudo firewall-cmd —reload

ПЕРВЫЙ ЗАПУСК NTOPNG

Теперь осталось перейти по следующему адресу: http://yourhostip:3000 . Логин и пароль по умолчанию — admin . Сразу после этого вам предложат изменить пароль.

Далее, вы увидите дэшборд, с разнообразной информацией, примерно как на скриншоте ниже:

Для понимания возможностей данного приложения — попробуйте посмотреть хосты, сети и прочие — в общем, попробуйте освоиться с функционалом.

ЗАКЛЮЧЕНИЕ

Всем спасибо за внимание, многие крупные вендоры сейчас уделяют особое внимание протоколу Netflow и придумывают различные сценарии применения. Как это может быть полезно именно для вас, пара примеров: после недельного анализа вашей сети вы поймете, что она была недостаточно сегментирована, или увидите какие-то подозрительные потоки. Дайте нам знать, если вам интересна более подробная настройка ntopng и софта, подобного ему — обязательно напишем про это статью! :).

источник

Глубокий анализ потока трафика с NtopNG

Всем привет! Сегодня немного разовью тему подсчёта трафика и спущусь немного глубже.

Задача

Как всегда, с постановки задачи. Нужно знать кто сколько качает, какая идёт нагрузка на канал. Причём, трафик нужно пропускать без задержек, то есть первоначальный вариант поставить прокси-сервер Squid и кидать веб через него – не пройдёт. Как-то нужно обойтись без дополнительных шлюзов.

Размышления

Раз дополнительный шлюз ставить нельзя, значит пускать трафик через какое-либо устройство тоже не вариант – придётся работать с копией трафика. А то, что нужна детализация в том числе по DNS-именам сайтов, к которым идёт обращение, делает неприемлемым использование NetFlow и Ulog из предыдущей статьи. На счастье ядром сети является Cisco Catalyst 3550, значит можно попробовать снять копию трафика (зеркалирование) и анализировать уже её.

Читайте также:  Установка видеорегистратора а ниссан альмера н16

В общем виде сеть выглядит так:

Вся основная сеть не показана (она в правой части). Я решил снять копию трафика с порта, ведущего к провайдеру и послать его на виртуальный сервер через ещё один коммутатор Catalyst3560G, по счастливой случайности оказавшийся возле сервера виртуализации.

Решение проблемы

Далее по шагам опишу, как удалось вполне сносно решить проблему.

Зеркалирование трафика

На коммутаторе, который светит провайдеру:

Послать копию трафика (SPAN) с какого-либо интерфейса на другой – не сложно. Некоторая особенность есть с тем, чтобы послать копию трафика на удалённый коммутатор. Здесь нам будет необходимо использовать RSPAN (Remote).

  1. Создал ещё один VLAN, который помечен для RSPAN, который будет использоваться для копии всего трафика. Также нам понадобится незанятый интерфейс.
  2. В режиме глобальной конфигурации пропишем:
    (config)# vlan 111
    (config-vlan)# remote-span
    (config-vlan)# exit
    (config)# monitor session 2 source interface Fa0/1
    (config)# monitor session 2 destination remote vlan 111 reflector-port Fa0/35

Где Fa0/1 – интерфейс к провайдеру, 111 – номер нашего нового VLAN, а Fa0/35 – незанятый интерфейс для использования RSPAN технологии.

На коммутаторе, который светит к серверу виртуализации:

  1. Создаём VLAN с тем же номером, помечаем его как используемый для RSPAN:
    (config)# vlan 111
    (config-vlan)# remote-span
    (config-vlan)# exit
    (config)# monitor session 2 source remote vlan 111
    (config)# monitor session 2 destination interface Gi0/40
  2. Подключаем 40-ой порт в сервер виртуализации (например, в порт 5).

Сервер виртуализации

На этом скрине у меня уже настроена RSPAN-сеть (внизу), удалять уже не буду, стрелкой отметил как её создать:

Создаём именованную сеть для подключения к потоку виртуальных машин.

Зададим имя на VLAN ID. Также разрешим Promiscuous Mode, лишним не будет.

Теперь создаём новую виртуальную машину с двумя сетевыми интерфейсами, один будет в нашей обычной сети (Служебный интерфейс, Интернет, чтобы качать софт и настраивать виртуалку), второй – будет в сети RSPAN (Рабочий интерфейс, слушать весь трафик).

В качестве ОС я выбрал CentOS 7. Про установку и настройку рассказывать не буду особо, что мне потребовалось:

  1. Повесил IP на служебный интерфейс адрес, прописал настройки IP;
  2. Обновил репозитории;
  3. Поставил wget, tcpdump, nano, epel-release;
    Проверил, как льётся трафик:
    # tcpdump -i ens192 -nn
    Бешенный поток трафика полетел, едва успел нажать, всё нормально, поток ловим.
  4. Создал новый репозиторий /etc/yum.repos.d/ntop.repo следующего содержания:
    [ntop]
    name=ntop packages
    baseurl=http://www.nmon.net/centos-stable/$releasever/$basearch/
    enabled=1
    gpgcheck=1
    gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri
    [ntop-noarch]
    name=ntop packages
    baseurl=http://www.nmon.net/centos-stable/$releasever/noarch/
    enabled=1
    gpgcheck=1
    gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri
  5. Установил NtopNG и сервер Redis (нужен для NtopNG)
    # yum update
    # yum install ntopng ntopng-data
    # yum install redis php-pecl-redis
  6. Сконфигурировал /etc/ntopng/ntopng.conf:
    -G=/var/run/ntopng.pid
    -i=ens192
    -w=3000
    -m=19X.XX.XXX.XXX/27
    -n=3

    где -i=ens192 – рабочий интерфейс (куда льётся поток), -w=3000 – порт веб-морды, -m=X.X.X.X/27 “локальная сеть”, -n=3 – тип резолвинга адресов (в конфиге есть комментарии, я отключил резолвинг локальных адресов).
  7. Прописал автозагрузку и запустил службы
    # systemctl start redis.service
    # systemctl enable redis.service
    # systemctl start ntopng.service
    # systemctl enable ntopng.service
  8. Прописываем в файрволле разрешающее правило для доступа к веб-морде:
    # firewall-cmd —direct —add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp —dport 3000 -s 192.168.1.0/24 -j ACCEPT

Обзорчик NtopNG

Система ОЧЕНЬ глобальная, для админа однозначно MUST HAVE! Сочетает в себе функции DPI,/>

Окно “Хосты” показывает трафик, соотношение приёма-передачи, количество потоков и т.д. Над таблицей справа есть ряд фильтров. Я вот отфильтровал по локальным адресам (да, хосты можно произвольным образом группировать).

Детальная информация об узле. Адреса различных уровней, трафик, сверху ряд разделов, где можно посмотреть более глубоко подробности по конкретному хосту. Покажу далее.

Читайте также:  Установка короткоходная кулиса для 2110

Разбор различных протоколов! Шикарный функционал, я считаю. Основной трафик конечно же SSL

Основные узлы, с которыми ведёт обмен выбранный хост. Красивые диаграммы.

Прикручен GeoIP модуль, может быть полезно в случае определения месоположения пиров.

Есть временная шкала, где можно посмотреть загруженность трафиком хоста или интерфейса в определённый момент времени и увидеть ТОП абонентов, создающих наибольшую загруженность.

Среди обзора потоков мне понравилась возможность выбрать определённый протокол! Я даже нашёл Telnet-сессии. Надо теперь разбираться, что это за фигня Среди протоколов есть также сессии TeamViewer, торренты, ГуглДрайв, Стим и т.д. Интересненько.

Там же есть фильтры, в которых можно увидеть потоки инициированные изнутри или снаружи. Тоже админу может быть интересно. Что-то типа рейтинга по загруженности канала. Вверху идёт линия времени, по интенсивности закраски можно понять загруженность. Справа замазал я IP адреса, так-то оно более наглядно.

Ну и нельзя не упомянуть такой момент, сколько все эти свистульки потребляют. Вот скрин окна top. Честно говоря, весьма прожорливая система, в среднем ест около 50% процессора (в интерфейсе), если браузер закрыть – порядка 5,5%…

Забыл пароль админки

При первом входе (admin:admin) нам предложили сменить пароль админа. Я сменил, но войти не смог ни под старым ни под новым, пришлось сбивать обратно. Как это сделать?

Получили хеш от пароля ac05b33f4a068ea15350bc25ba40ff2a.

# redis-cli SET ntopng.user.admin.password ac05b33f4a068ea15350bc25ba40ff2a

Если понравилась данная статья – ставьте Like! Вступайте в группу, чтобы ничего не пропустить!

источник

ntop вернулся. Релиз нового поколения — ntopng

ntop это сетевой зонд, который показывает использование сети подобно *nix приложениям top и processes.
Спустя 15 лет с момента представления оригинального ntop, пришло время создать новый, современный ntop. Мы называем его ntopng, ntop next generation (ntop следующее поколение). Цели преследуемые этим приложением многогранны:

  1. Публикация под GNU GPLv3
  2. Представление современного, основанного на HTML5 и Ajax веб интерфейса (предостережение: вам нужен современный браузер для использования ntopng)
  3. Небольшой движок приложения, разумное потребление памяти и отказоустойчивость
  4. Возможность определить протокол приложения с помощью nDP, DPI (Deep Packet Inspection) фреймворка ntop’a c открытым исходным кодом
  5. Возможность пользователей использовать скрипты, расширять и модифицировать страницы ntopng программируя с помощью LuaJIT, небольшого, но в то же время быстрого языка
  6. Характеризовать HTTP траффик за счет использования сервисов категоризации block.si (ntopng уже включает в себя лицензионный код, но вы можете получить личный код связавшись через info@block.si.)
  7. Использование redis как кеша данных, для разделения движка и хранилища данных
  8. Возможность собирать потоки — flows (sflow, NetFlow, IPFIX) используя nProbe в качестве зонда/прокси
  9. Быстрый, очень быстрый движок масштабирующийся вплоть до 10 Гбит на голом PC с помощью PF_RING/DNA.
  10. Поддержка Unix, BSD, MacOSX и Windows (включая 7/8).






Движок ntop написан на С++, веб страницы генерируются с помощью LUA. В ближайшие недели мы опубликуем руководства по разработке для тех, кто готов внести свой вклад в этот проект и сделать ntopng еще лучше. Мы понимаем, что многих других функции не хватает, но они придут позже в этом году, в качестве дополнительных обновлений. Мы покажем план разработки в ближайшим будущем, а также будем поощрять пользователей и компании, использовать ntopng в своих продуктах и дистрибутивах. Цель заключается в создании экосистемы, где каждый может внести свой вклад.

  • Source (all platforms)
  • CentOS/Ubuntu binaries
  • MacOS binary (устанавливает /usr/local/bin/ntopng)
  • Windows binary (demo). Полный релиз доступен здесь: это наш способ поддержать проект, но вы можете собрать проект из исходников самостоятельно

источник

Добавить комментарий