.
SISTEMA DE MONITOREO, CONTROL DE ENLACES Y USO DE DATOS
DE ALTA VELOCIDAD UTILIZANDO NTOP
Lynn Cobeñas Muñoz
e-mail: lcobenas2014@gmail.com
RESUMEN: El presente artículo desarrolla las
características principales e importantes del Ntop que es
una herramienta de software libre la cual permite
monitorear en tiempo real (sniffer) a los equipos y
aplicaciones que están consumiendo recursos de red en
un tiempo determinado; Posee su propio servidor web
integrado que permite que cualquier usuario, una vez
autenticado, pueda acceder a los reportes de ntop de
forma remota con cualquier navegador. Las
aplicaciones que tiene así como también las ventajas y
desventajas de usar este tipo de monitor de red.
PALABRAS CLAVE: Monitoreo, Control y Uso de
datos.
1 INTRODUCCIÓN
Hoy en día, surge la necesidad de contar con un
sistema de monitoreo y control que permita obtener en
tiempo real e histórico, información sobre el
comportamiento de la red en lo referente al uso y
consumo del ancho de banda hacia Internet, con la
finalidad de poder tomar medidas que eviten saturación
del enlace y que las aplicaciones críticas o más
sensibles no se afecten.
Ntopng es una herramienta de monitorización de red
pasiva centrado en los flujos y las estadísticas que se
pueden obtener a partir del tráfico capturado por el
servidor.
Como administrador de servidores basados en
GNU/Linux y más específicamente aquellos encargados
de administrar el tráfico entre varias redes (como proxy,
firewall o simple enrutador) uno de los retos que se tiene
que enfrentar es el análisis de trafico de red, que
consiste (entre algunas cosas) en observar cómo está
siendo utilizado nuestro ancho de banda para determinar
posibles abusos, vulnerabilidades o falencias en nuestro
esquema de red y servicios para tomar las decisiones
preventivas o correctivas necesarias para conservar (y si
es posible, mejorar) la calidad de los servicios de red
que preste nuestra organización.
1
Para ese tipo de situaciones se recomienda Ntop, una
herramienta de software libre que permite obtener
estadísticas de la utilización de nuestro canal que
pueden ser consultadas desde nuestro navegador Web
(Firefox, Opera, Chrome. etc).
La instalación de ntop es bastante sencilla, en la página
http://www.ntop.org/ puede descargarse el código fuente
de ntop o versiones binarias listas para instalar en
nuestro sistema operativo tipo UNIX favorito. También
existe una versión gratis para Windows limitada a
capturar máximo 2000 paquetes y se puede comprar
una licencia para utilizarla sin restricciones.
Este documento describe el proceso de
implantación al sistema, el control, monitoreo de red,
ventajas, desventajas y los beneficios alcanzados.
2 NTOP
2.1 IMPLANTACION O INSTALACION DE
Ntop
2.1.1 Implantación en un sistema Linux
La instalación puede realizarse de varias formas:
Descargando las fuentes de Ntop e instalando de forma
habitual en GNU/Linux:
./configure
Make
make install
Usando el gestor de paquetes:
apt-get install ntop graphviz
Una vez descargado e instalado ntop, solo será
necesario modificar algunos parámetros sencillos el
archivo ntop.conf (usualmente ubicado en /etc/ntop.conf)
para ajustarlo a nuestra red:
.

-interface: este parámetro indica el dispositivo de red en

el cual se llevara a cabo el análisis de tráfico. Por lo
general se configura el dispositivo que corresponde a la
tarjeta de red externa de nuestra máquina pero puede
configurarse cualquiera e incluso especificar varios
dispositivos, un ejemplo de esta línea seria:
-interface eth1
2.1.2 Instalación en plataforma Windows
Ntopng se puede ejecutar como un servicio o como
aplicación (es decir, puede iniciarlo desde cmd.exe). El
instalador ntopng registra el servicio y automáticamente
comienza es como se muestra a continuación.

-http-server: indica el puerto sobre el cual se ejecutara

el servidor Web de ntop y al cual dirigiremos nuestro
navegador, el puerto por defecto es el 3000 pero puede
escogerse cualquier puerto disponible por encima del
1024 (puede ejecutarse en un puerto inferior, pero ntop
debería ser ejecutado por el usuario root lo cual es
completamente desaconsejado); un ejemplo de esta
línea seria:

-http-server 3000

-local-subnets: aquí establecemos el (los) segmento(s)

de red que corresponden a nuestra Intranet para que
ntop pueda determinar cual trafico es local y cual es
externo, un ejemplo de esta linea seria:

-local-subnets 192.168.1.0/255.255.255.0 El Administrador de servicios de Windows

Si nuestra red tiene varios segmentos (por ejemplo en
una red con DMZ) podemos especificarlos en este
parámetro, separando cada segmento con una coma.
-daemon: Especifica que ntop se ejecutara como un
servicio del sistema, y podremos gestionarlo mediante
los clásicos parámetros start, restart, status o stop de
cualquier otro servicio.
Si no desea que ntop se gestione como servicio del
sistema puede omitir este parámetro comentándolo con
un #. En este caso puede ejecutar ntop desde la consola
con el comando:
ntop @/etc/ntop.conf
Y detenerlo presionado Ctrl+C.
Una vez instalado y configurado, ntop puede ser
ejecutado. En caso de estar configurado como servicio
del sistema puede ser iniciado ejecutando el comando
(en sistemas Red Hat, Fedora Core):
Con el fin de interactuar con ntopng desde la línea de
comandos, el fuego de una Comandos Promt Windows y
navegue hasta el directorio de instalación ntopng. Puede
que tenga que ejecutar la promo comandos con
privilegios de administrador. Los comandos se emiten
después de un / c, que es sinónimo de “consola”. Por
ejemplo, para visualizar la ayuda en línea, basta con
ejecutar
ntopng / c -h
Especificar interfaces supervisadas
Como interfaces de red en Windows pueden tener
nombres largos, un índice numérico está asociado a la
interfaz con el fin de facilitar la configuración ntopng. El
nombre de la interfaz de asociación y de índice se
muestra en la ayuda en línea.
c: \ Archivos de programa \ ntopng> ntopng / c -H A partir
ntopg Correr ntopng.

service ntop start

Si ntop no está configurado para ejecutarse como

servicio, el comando para iniciarlo sería:

ntop @/etc/ntop.conf

Con ntop ejecutándose en el sistema simplemente

abrimos un navegador web y abrimos la URL
correspondiente. Por ejemplo, si el firewall en el cual
instalamos ntop tiene la IP 192.168.1.1 y el puerto de
ntop es el 3000, escribimos en la barra de direcciones
del navegador http://192.168.1.1:3000/ (no sobra decir
que este puerto debe estar abierto en el firewall para ser
accedido únicamente desde ciertas direcciones).

2
.

La interfaz gráfica de usuario Web ntopng

El Promt de comandos de Windows
Una vez iniciado ntopng puede ver la interfaz gráfica de
-interfaces disponibles (-i <índice de interfaz>): usuario. Por defecto, la interfaz gráfica de usuario se
1. Intel (R) PRO / 1000 MT Desktop Adapter puede acceder desde cualquier navegador web en http:
{8EDDEFE3-D6DB-4F9B-9EDF-
// <ntopng IP>: 3000 /.
FBC0BFF67F3C}
Un puerto diferente se puede especificar como una
En el ejemplo anterior, el adaptador de red Intel (R) PRO opción de línea de comandos durante la ntopng inicio.
/ 1000 MT Desktop está asociada con el índice 1. Para La primera página que siempre se sale contiene el
seleccionar este adaptador ntopng necesita ser iniciado formulario de acceso - a condición de que el usuario no
con -i 1 opción. ha decidido convertir la autenticación fuera durante el
La ejecución como un servicio de Windows arranque.
Veremos una página como la siguiente:
Servicios de Windows se inician y detienen el uso de la
parte de aplicación de Servicios de las herramientas
administrativas de Windows. Cuando se utiliza como
ntopng servicio, opciones de línea de comandos es
necesario especificar en el registro del servicio y sólo se
pueden modificar mediante la eliminación y volver a
agregar el servicio. El instalador registra ntopng como un
servicio con las opciones predeterminadas. Las
opciones de servicio por defecto registrado pueden
cambiarse utilizando estos comandos:

ntopng / r (Quitar el servicio)

ntopng / i <nuevo conjunto de opciones> (Instalar el

servicio con las opciones especificadas.)

En una consola Comandos Promt:

c: \ Archivos de programa \ ntopng> ntopng / r ntopng

eliminado.

Donde se ingresará la cuenta del administrador y su

c:\ Archivos de programa \ ntopng> ntopng / i -i instalado contraseña de uso.
1 ntopng.
Nota: La contraseña predeterminada para el usuario
Después se visualizará un cuadro de resumen de
'admin' se ha ajustado a 'admin'. c: \ Archivos de
estadísticas del puerto o puertos que está monitorizando
programa \ ntopng>

2.2 ENTORNO GRAFICO

3
.

Adicionalmente podemos ordenar la tabla en orden

Donde encontraremos gráficos y resúmenes del tráfico
de nuestra red. En esta página podemos desplazarnos
hasta la sección “Historical Data” y hacer clic en el icono
para ver estadísticas más detalladas. Un gráfico
bastante útil es que nos permite ver el historial de tráfico
de nuestra red discriminado por protocolo:
ascendente o descendente según la cantidad total de
datos recibido o trasmitidos, o discriminados por
protocolo haciendo clic en el encabezado de la columna
correspondiente.
Al hacer clic en algún host de nuestro interés, veremos
las estadísticas detalladas acerca del su tráfico que ntop
ha recopilado hasta el momento:

También es posible ver la distribución de nuestro canal El último aspecto que mencionare acerca de ntop es la
en orden de utilización haciendo clic en IP -> Summary utilidad para exportar las estadísticas de tráfico
->Traffic recopiladas por ntop (haciendo clic en Utils -> Data
Dump):

Aquí podemos seleccionar el tráfico que deseamos ver:

En la sección “Hosts” (parte superior izquierda)

seleccionaremos si el tráfico que nos interesa es local
(Local Only), remoto (Remote Only) o todo el tráfico sin
importar su origen (All). La exactitud de este análisis
depende de la configuración de la variable --local-
subnets de la cual ya hablamos.
En la sección “Data” (parte superior derecha)
seleccionaremos el sentido del tráfico que nos interesa:
los datos enviados desde nuestra red hacia el exterior Donde podremos exportar los datos como archivos
(Sent Only), los datos recibidos por nuestra red de texto separado por comas, XML, o arreglos en
(Received Only) o todo el tráfico sin importar su origen lenguajes de programación como PHP, Perl o Python;
(All). jugosa información para ser analizada con herramientas

4
.

externas como hojas de cálculo o ser almacenados en

bases de datos como MySQL y PostgreSQL.

3 VENTAJAS Y DESVENTAJAS DE
MPEG-4
3.1 VENTAJAS
- Fácil instalación, configuración y uso.
- Las tablas y gráficos que tanto nos gustan.
- Su interfaz Web: Ubicuidad y portabilidad en su
máxima expresión

3.2 DESVENTAJAS

- Al ser básicamente un sniffer con una interfaz

bonita, dependiendo de las características de la maquina
en la cual se instale y la cantidad de tráfico a analizar,
paulatinamente puede consumir los recursos del sistema
hasta dejarlo completamente saturado. Recomiendo
utilizar MRTG para análisis contínuo de nuestro tráfico y
ntop en casos puntuales o análisis de rutina limitados a
máximo 24 o 48 horas.

4 CONCLUSIONES FINALES
- Como conclusión, ntop es una herramienta
excelente para conocer a fondo la utilización de nuestro
canal y la información que presenta sirve para optimizar
nuestro firewall (permitiendo detectar tráfico en puertos o
en máquinas en las cuales no debería haberlo) o
detectar abusos por parte de nuestros clientes (usuarios
que indiscriminadamente utilizan todo el ancho de banda
disponible o utilizan software P2P en una red en la cual
no está permitido, etc.).

5 REFERENCIAS
[1] https://es.scribd.com/document/172475232/NTOP-
manual-de-configuracion
[2] http://drivemeca.blogspot.pe/2013/09/como-graficar-
conexiones-en-pfsense-con.html
[3] http://linuxiandounrato.blogspot.pe/2006/08/ntop-una-
interfaz-web-para-anlisis-de.html
[4]https://blog.unlugarenelmundo.es/2013/03/25/instalaci
on-y-primeros-pasos-con-ntop-5-en-debian-6/
[5]https://www.ntop.org/support/documentation/document
ation/