DiagnosticsRed ntop

Diagnósticodered

TrabajofinaldeACSO

AdriánFerreiraGarcía

AdriánGarcíaLópez

ManuelA.GonzálezAndrade

D i a g n ó s t i c o d e r e d

2

1. Índice

2. Tabla de Figuras......................................................................................3

3. Introducción ............................................................................................5

4. Estado del arte ........................................................................................6

5. Descripción técnica y configuraciones.....................................................8

5.1 Problemas detectados........................................................................................ 10

5.1.1 Trabajo en los clientes ............................................................................................. 105.1.2 Configuración del Proxy........................................................................................... 12

6. Resultados experimentales....................................................................20

6.1 Ejemplo 1: Utilización de mensajería intantánea (MSN y meebo) ......................... 21

6.1.1 Análisis utilizando Ntop............................................................................................ 216.1.2 Análisis utilizando Wireshark .................................................................................... 24

6.2 Ejemplo 2: Utilización de redes P2P.................................................................... 27

6.2.1 Análisis utilizando Ntop............................................................................................ 276.2.2 Análisis utilizando Wireshark .................................................................................... 30

6.3 Ejemplo 3: Acceso al exterior mediante pasarelas seguras (SSH)........................ 32

6.3.1 Análisis utilizando Ntop............................................................................................ 32

6.3.2 Análisis utilizando Wireshark .................................................................................... 33

6.4 Ejemplo 4: Análisis de accesos HTTP ................................................................. 35

6.4.1 Análisis utilizando Ntop............................................................................................ 35

6.4.2 Análisis utilizando Wireshark .................................................................................... 37

7. Interpretación y discusión de los resultados ..........................................44

8. Conclusiones ........................................................................................46


3

9. Bibliografía ............................................................................................47

2. Tabla de Figuras

Ilustración 1: Captura de la topología de red implementada .............................................. 9

Ilustración 2: Captura del archivo interfaces configurado con ip estática ......................... 11

Ilustración 3: Archivo resolv.conf modificado para utilizar la DNS de Google ................... 11

Ilustración 4: Archivo interfaces que define los parámetros de las tarjetas de red del proxy

....................................................................................................................................... 12

Ilustración 5: Modificación del parámetro ip_forward....................................................... 13

Ilustración 6: Reglas de iptables para permitir tráfico bidireccional de todo tipo............... 14

Ilustración 7: Reiniciando interfaces de red ..................................................................... 15

Ilustración 8: Instalando Apache y librerías necesarias .................................................... 16

Ilustración 9: Instalando Wireshark y librerías necesarias ................................................. 17

Ilustración 10: Ntop mostrando tráfico de mensajería instánea........................................ 22

Ilustración 11: Captura de Ntop mostrando tráfico saliente de IM ................................... 22

Ilustración 12: Ntop mostrando acceso a web de mensajería instánea (meebo.com) ...... 23

Ilustración 13: Captura de Ntop de hosts que han accedido a un determinado servicio de

IM ................................................................................................................................... 23

Ilustración 14: Tráfico de IM en Wireshark....................................................................... 25

Ilustración 15: Seguimiento de una conversación mediante Wireshark ............................ 26

Ilustración 16: Tráfico de protocolo P2P en Ntop ............................................................ 28

Ilustración 17: Tráfico eDonkey y BitTorrent en Ntop....................................................... 28

Ilustración 18: Caracterización de un host que hace uso de redes P2P........................... 29

Ilustración 19: Filtro de red eDonkey en Wireshark .......................................................... 30

Ilustración 20: Tráfico P2P de tipo BitTorrent detectado utilizando Wireshark.................. 31

Ilustración 21: Pasarela segura descubierta utilizando Ntop ............................................ 33


4

Ilustración 22: Análisis y filtrado de paquetes por pasarela segura utilizando Wireshark... 34

Ilustración 23: Host de la red accediendo por pasarela segura accediendo a un host

externo ........................................................................................................................... 34

Ilustración 24: Acceso a webs sociales descubierto utilizando Ntop................................ 35

Ilustración 25: Información adicional del sitio accedido desde la red privada ................... 36

Ilustración 26: Lista de hosts que accedieron a la web analizada anteriormente.............. 36

Ilustración 27: Resumen estadístico del tráfico de la red según el tipo de paquete.......... 39

Ilustración 28: Estadística de saltos de un paquete en la red y resumen estadístico de la

carga de la red................................................................................................................ 41

Ilustración 29: Resumen del tráfico de red clasificado por protocolo ............................... 43


5

3. Introducción

En este proyecto se describirá el uso de varios sistemas que registran parámetros diversos de una red. Esta tarea forma parte de lo que se entiende como administración de la red. Existen multitud de parámetros a registrar, como distribución por paquetes, protocolos, etc.

Trataremos de interpretar la información obtenida mediante estos programas para dar solución a problemas causados por sobrecargas en la infraestructura de red, uso de protocolos no admitidos dentro de la política de la empresa (P2P, BitTorrent...) etc. Además se compararán la funcionalidad y características de las herramientas empleadas.

La monitorización de red resulta básica a la hora de realizar un diagnóstico de la misma y conocer así el uso que se está haciendo de ella por parte de los usuarios conectados. Dicha tarea recae sobre el puesto de administrador de red, que es el que trataremos de simular en esta práctica, obteniendo datos útiles para la toma de decisiones en cuanto a infraestructura de red o políticas de utilización de la misma. Para la realización de las tareas del administrador de la red hemos simulado una red de carácter empresarial y el tráfico de entrada/salida en la misma.


6

4. Estado del arte

Las herramientas elegidas para la realización del proyecto son Ntop y Wireshark.

Ntop (Network top) es una herramienta que permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo, o a nivel de servicio. Posee una interfaz web que permite a los usuarios con acceso al equipo (administrador de red) conocer los datos obtenidos en tiempo real.

Wireshark (conocido anteriormente como Ethereal) es un analizador de paquetes de red utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos así como una herramienta didáctica para educación. Ofrece muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras). Permite examinar datos de una red o de un archivo de captura previamente guardado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete.

A la hora de elegir estas herramientas sobre otras opciones, se tuvieron en cuenta varios factores:

⊗ Ambas están distribuidas bajo licencia GNU GPL, y por tanto son software libre.

⊗ Facilidad de instalación, configuración y uso.

⊗ Disponibilidad para todas las plataformas importantes (Windows, Linux, Mac OS X, Solaris, *BSD).


7

⊗ Cantidad y tipo de protocolos que son capaces de monitorizar: ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios. Dentro de TCP/UDP: FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11, etc.

⊗ Ambos proporcionan una interfaz de usuario amigable. La de Wireshark es muy flexible y potente; Ntop, por su parte, proporciona una interfaz web que permite su uso de forma remota, además de opciones limitadas de configuración y administración de la misma.

Una de las principales opciones barajadas en un principio para la realización de la práctica fue Nagios. Algunos de los motivos por los cuales se desechó su utilización fueron los siguientes:

1. Complejidad de configuración básica: El modelo de arquitectura de nagios se divide en un servidor + plugins ejecutados en clientes; cada plugin en cliente supone una configuración de elevada complejidad.

2. Disponibilidad: Nagios está soportado únicamente para plataformas *Nix.

3. Interfaz poco amigable.

A su favor únicamente tenía el hecho de ser una plataforma completa e integrada de análisis y gestión de red.


8

5. Descripción técnica y configuraciones

La finalidad de nuestro trabajo ha sido la de ocupar el puesto de administrador de una red de carácter empresarial. Mediante dicho trabajo, monitorizaremos varios parámetros de red que influyen directamente en la configuración de dicha red. Estos parámetros son:

→ Carga de la red: mediante el proceso de monitorización, podemos saber el porcentaje real de carga de la red, clasificando las peticiones por host, por protocolo, por procedencia de los paquetes.

→ Distribución de hosts: gracias a la monitorización de carga de red, podemos tomar decisiones respecto a la distribución de los puestos de trabajo.

→ Política de protocolos: mediante la monitorización, podemos vigilar el cumplimiento de una política de restricción de acceso a redes de pares (P2P), entrada en páginas web no permitidas, mensajería instantánea, protocolos seguros (SSH), etc.

Por tanto, para monitorizar dicho tráfico, hemos creado una red propia que emulara una típica red empresarial.

La topología de la red es la siguiente:

3 hosts: 2 PC + 1 Mac emulando a los diferentes posibles ordenadores de la empresa.

1 Proxy: PC con doble tarjeta de red. Dicho puesto sería controlado por el administrador.


9

1 Switch, al que se conectan los ordenadores clientes, y el cual se conecta a una de las tarjetas de red del proxy.

1 Router para acceso a Internet

Ilustración 1: Captura de la topología de red implementada

En ella se aprecia como los diferentes terminales de los hipotéticos trabajadores están todos unidos a un switch. Éste se conecta a una de las interfaces del computador del administrador, estando la otra interfaz conectada al router, para de esta forma poder ver todo el tráfico generado por los hosts. Esta configuración se conoce como proxy.


10

5.1 Problemas detectados

La creación de la red fue de una dificultad media-alta, ya que tuvimos que configurar las tarjetas de red de los clientes para que se comunicaran con la tarjeta de red receptora del proxy, y a su vez configurar la otra tarjeta de red del proxy para que recibiera por DHCP salida a internet.

5.1.1 Trabajo en los clientes

Modificar el archivo /etc/network/interfaces para introducir en él la

configuración deseada de las tarjetas de red de los clientes.

− auto eth0 hace que automáticamente, al iniciar el ordenador, esa interfaz

cargue esa confuguración.

− Con iface eth0 inet static se declara como estática la dirección IP.


11

Ilustración 2: Captura del archivo interfaces configurado con ip estática

Modificar la resolución de nombres de dominio mediante la modificación del archivo etc/resolv.conf y se pasa a utilizar un servidor de DNS público (Google).

Ilustración 3: Archivo resolv.conf modificado para utilizar la DNS de Google


12

Seguidamente, se reinician las interfaces:

sudo /etc/init.d/networking restart

Con esto, finaliza la configuración de red en los clientes.

5.1.2 Configuración del Proxy

Modificación del archivo etc/network/interfaces dejándolo de la siguiente manera:

Ilustración 4: Archivo interfaces que define los parámetros de las tarjetas de red del proxy

La configuración de la interfaz interna (eth1) quedará de la misma forma que en el caso de los clientes. Para la interfaz conectada al router (eth0), usaremos iface eth0


13

inet dhcp, de forma que obtenga dirección IP por parte del router de forma

automática.

Cambiar el parametro ip_forward localizado en /proc/sys/net/ipv4: Nos

logueamos como root. Ejecutamos posteriormente el siguiente comando: echo “1” > /proc/sys/net/ipv4/ip_forward

Ilustración 5: Modificación del parámetro ip_forward

Con esto conseguimos que ambas tarjetas de red “se conozcan” y puedan fluir los paquetes entre ambas para hacer de puente entre ambas redes.

El siguiente paso será ejecutar el siguiente script para modificar las tablas de rutas de iptables, dando salida a internet a los ordenadores de la red interna.


14

Ilustración 6: Reglas de iptables para permitir tráfico bidireccional de todo tipo

Para ejecutar el script hay que editar un archivo que posteriormente guardaremos con el nombre que deseemos y el sufijo .sh (que denomina a los scripts en bash). Para poder ejecutarlo de manera normal tendremos que dar a dicho script permisos de ejecución, lo que se hará con el siguiente comando:

sudo chmod +x miscript.sh

El script asigna unas reglas de iptables para permitir la comunicación bidireccional con el exterior.

Como último paso de configuración de red nos quedará levantar las interfaces, que se

realiza con la siguiente linea de comando sudo /etc/init.d/networking

restart obteniendo la siguiente salida:


15

Ilustración 7: Reiniciando interfaces de red

Pasamos ahora a descargar los paquetes necesarios para realizar la monitorización. Primeramente instalamos el servidor de páginas web Apache2, que es una dependencia requerida para poder acceder a la interfaz web de Ntop (ejecutada en local). Esto se hará de la siguiente manera:

sudo apt-get install apache2


16

Ilustración 8: Instalando Apache y librerías necesarias

El siguiente paso es instalar Ntop mediante la siguiente linea de terminal:

sudo apt-get install ntop

Para la instalación de la otra herramienta de monitorización de red utilizada, Wireshark, ejecutaremos la siguiente linea en la terminal:

sudo apt-get install wireshark


17

Ilustración 9: Instalando Wireshark y librerías necesarias

Por último solo nos queda arrancar los programas instalados para que queden a la escucha.

Para arrancar Ntop, el servidor de Apache ha de estar previamente en funcionamiento. Para asegurarnos de que está activo, escribiremos en una terminal sudo

/etc/init.d/apache2 status si nos dice que está parado, para arrancarlo

ejecutaremos sudo /etc/init.d/apache2 start.

sudo ntop -A

Con este comando establecemos la contraseña de administrador para gestionar las preferencias de Ntop.

sudo ntop -i eth1

Con esto arrancamos el demonio “escuchando” en el interface de la red privada.


18

Para acceder a la aplicación en sí, arrancaremos un navegador web, y escribiremos la siguiente dirección: http://localhost:3000/

Para arrancar la aplicación Wireshark hay que ejecutar el siguiente comando: sudo

wireshark -i eth1. De esta manera tendremos la aplicación escuchando en la interfaz de red interna.

Con esto, se habrá terminado la instalación y configuración de las aplicaciones necesarias en el proxy de la red.

Después de la configuración de las tarjetas de red tanto de los hosts de la red interna, como del proxy, y de la instalación en éste de los programas de diagnóstico, la configuración de nuestro sistema finaliza y damos comienzo a las pruebas.

Deberemos decir que no hemos tenido demasiadas dificultades a la hora de la adquisición de programas, ya que tanto los programas Ntop como Wireshark, y el servidor Apache son libres y gratuitos y se encuentran a disposición de cualquier usuario en los repositorios de software libre.

Ambos programas proporcionan gran cantidad de datos e información al usuario, necesitando pocos recursos hardware:

− Ordenadores Pentium 4.

− 1 GB RAM.

− 300 megas de disco duro libres.

− Tarjeta Gráfica de prestaciones mínimas.

Esta configuración de red, así como la instalación de los programas, es totalmente aplicable a múltiples y diferentes sistemas, ya sea de gran o pequeño tamaño, y se podría adaptar perfectamente a nuestras necesidades empresariales, permitiendo una monitorización completa y detallada del sistema y de su red. Mediante dicha


19

información, podemos tomar decisiones operativas en cuanto a la carga de red, distribución de los puestos de trabajo, o políticas de uso de redes de pares (P2P).


20

6. Resultados experimentales

Como ya expusimos anteriormente, este trabajo pretende reproducir la tarea de un hipotético administrador de red teniendo a su cargo la encomienda de gestionarla para que funcione de manera eficiente y eficaz.

En nuestro caso hemos definido una serie de experimentos para llevar a cabo, que pretenden emular alguna de las diferentes tareas de control que un administrador puede llevar a cabo.

Análisis y detección de tráfico no deseado en una red empresarial:

• Uso de programas de mensajería.

• Uso de programas P2P.

• Detección de pasarelas seguras (SSH): “alguien no quiere ser detectado”

• Acceso a websites no deseados. (Análisis y detección de de peticiones HTML)

Dada la gran cantidad de programas existentes en el mundo informático para esta tarea, trataremos de ver el más adecuado para llevar a cabo el control de nuestra red, en función de su sencillez, funcionalidad y posibilidades proporcionadas.

Para poder decidirnos por uno u otro (Ntop o Wireshark) llevaremos a cabo los diferentes ejemplos propuestos en ambos programas, intentando decidir en función de aspectos como sencillez, rapidez o potencia de análisis cual seria mas adecuado.


21

6.1 Ejemplo 1: Utilización de mensajería intantánea (MSN y meebo)

Los hosts emularán una conversación utilizando la red interna mediante programas de mensajería instantánea (Pidgim, MSN Messenger, Adium, etc.) y de acceso web (meebo).

Intentaremos detectar el uso de dichos protocolos a utilizando Ntop y de Wireshark.

6.1.1 Análisis utilizando Ntop


22

Dentro de la aplicación Ntop accedemos al menu IP -> Summary -> Traffic. En la primera captura podemos apreciar el uso, por parte de uno de los usuarios de la red

Ilustración 10: Ntop mostrando tráfico de mensajería instánea

privada, de cualquier aplicación de mensajería que utilice el protocolo MSNMS (conocido como Microsoft Messenger).

Ilustración 11: Captura de Ntop mostrando tráfico saliente de IM


23

En la segunda captura se puede apreciar como el único tráfico existente en la red hasta ese momento, pertenece a ese protocolo. Haciendo click sobre uno de los dominios señalados en la primera captura, podremos obtener información detallada de cuándo y quién utilizó dicho protocolo, como veremos en posteriores capturas.

En los últimos años han surgido servicios web que canalizan la mensajería instantánea por protocolo http (por ejemplo, meebo). El administrador debería conocer este tipo de servicios, para poder ver si son usados, y posteriormente tomar acciones sobre ello.

Ilustración 12: Ntop mostrando acceso a web de mensajería instánea (meebo.com)

En la captura anterior puede observarse el acceso a la web de uno de estos servicios. Si se hace click sobre el link señalado, se obtendrá, entre otra información, la mostrada en la captura siguiente, en la que puede verse el host de la red privada que ha accedido al servicio meebo:

Ilustración 13: Captura de Ntop de hosts que han accedido a un determinado servicio de IM


24

6.1.2 Análisis utilizando Wireshark

Desde el ordenador del administrador , lanzamos Wireshark, y lo ponemos a capturar paquetes en la interfaz interna (la nuestra corresponde con eth1); y una vez determinado el protocolo a detectar, se aplica el filtro correspondiente al mismo mediante la opción filter del programa. De esta manera podremos saber tanto la IP del usuario como el protocolo (MSNMS para mensajería messenger) que está siendo usando.

Como puede observarse en la captura, podemos asociar determinado protocolo con una determinada ip de de la red privada.


25

Ilustración 14: Tráfico de IM en Wireshark

Si se deseara, el administrador podría llegar a conocer el contenido de la conversación. Para ello seleccionamos uno de los paquetes capturados, y pulsando sobre el botón derecho del ratón elegimos la opción Follow TCP Stream.


26

Ilustración 15: Seguimiento de una conversación mediante Wireshark

Como se puede observar, si seguimos el stream TCP podemos reconstruir una conversación realizada a través del protocolo MSNMS.


27

6.2 Ejemplo 2: Utilización de redes P2P

Mediante este ejemplo podremos observar como se puede detectar el uso de programas de descarga P2P con diferentes protocolos (eDonkey y BitTorrent). Estos programas crean sobrecargas en la red y producen perdidas de tiempo y rendimiento dentro de la red por lo cual su detección podría ser muy útil en el ámbito empresarial.

Para la simulación hemos descargado un archivo .torrent en uno de los equipos de la red y arrancado el cliente de Torrent (Transmission). Por otra parte hemos arrancado un cliente de eDonkey (aMule) para simular otro tipo de tráfico P2P.


Para detectar dicho tráfico tendremos que acceder al puesto de proxy y desde el navegador acceder a la opción de Ntop IP → Summary → Distribution. En el apartado remote to local podemos observar todo el tráfico entrante agrupado por protocolo TCP/UDP y a qué pertenece cada uno:


28

Ilustración 16: Tráfico de protocolo P2P en Ntop

De la misma manera podemos detectar tráfico P2P de tipo eDonkey, y como éste (en el mismo tiempo de ejecución) genera mucho menos tráfico que el Torrent:

Ilustración 17: Tráfico eDonkey y BitTorrent en Ntop


29

Una de las formas para detectar qué hosts de la red están haciendo uso de las redes de pares (P2P) es accediendo a la opción del menú IP → Summary → Traffic y en el apartado Hosts seleccionar “Local only” para filtrar todo el tráfico saliente.

Ilustración 18: Caracterización de un host que hace uso de redes P2P

En la captura superior podemos observar que uno de los puestos de la red privada (Baldur (2)) está marcado con un flag indicativo de que está generando tráfico P2P.


30


Para detectar el tráfico P2P utilizando el Wireshark desde el ordenador del administrador , lanzamos la aplicación Wireshark, activamos la captura de paquetes (primer icono o menu Capture) y una vez determinado el protocolo a detectar, se aplica el filtro correspondiente al mismo mediante la opción filter del programa.

Así, de esta manera podemos filtrar el tráfico eDonkey y Torrent, así como el host de la red privada que está estableciendo las conexiones (source y destination) como podemos ver en las siguientes capturas:

Ilustración 19: Filtro de red eDonkey en Wireshark


31

Ilustración 20: Tráfico P2P de tipo BitTorrent detectado utilizando Wireshark


32

6.3 Ejemplo 3: Acceso al exterior mediante pasarelas seguras (SSH)

Este ejemplo pretende ilustrar como los usuarios de la red privada (mayormente usuarios avanzados) pueden intentar acceder a un servicio localizado externamente vía SSH (pasarela segura). A esta acción se le denomina encapsular vía SSH una conexión, y permite ocultar a terceros qué es lo que el usuario de la red privada está haciendo con la misma. Se pueden encapsular todo tipo de conexiones, desde la navegación web hasta conversaciones (muchos protocolos de mensajería modernos incorporan esta funcionalidad, encapsulando mediante SSL la conversación).


Para la detección de este tipo de conexiones hay que acceder al menú de la herramienta IP → Local → Ports used . Aquí podemos distinguir el tráfico saliente distribuido por puertos, y cuál de los hosts de la red privada ha sido el que ha hecho uso del mismo.


33

Ilustración 21: Pasarela segura descubierta utilizando Ntop


Desde el proxy del administrador de red, accediendo a Wireshark, una vez puesto a capturar paquetes la interfaz de red interna (en nuestro caso eth1); estableceremos un filtro por protocolo SSH tal y como podemos ver en la captura, en ella también podemos apreciar como uno de los hosts de la red está haciendo uso del protocolo SSH.


34

Ilustración 22: Análisis y filtrado de paquetes por pasarela segura utilizando Wireshark

Ilustración 23: Host de la red accediendo por pasarela segura accediendo a un host externo


35

Como podemos ver en la captura anterior, el host accedido desde la red interna es el 193.147.87.188, que se trata del host target de la petición de login vía SSH que adjuntamos.

6.4 Ejemplo 4: Análisis de accesos HTTP

Una de las principales pérdidas de productividad en la empresa es el acceso a redes sociales y otro tipo de websites haciendo uso de la red empresarial. Nos referimos a la utilización por parte de los trabajadores de todo tipo de páginas web enfocadas al ocio. Entre ellas nos podemos encontrar las típicas como páginas de información deportivas, redes sociales, de información cinematográfica y musical, periódicos online...

En nuestro caso los diferentes hosts de la red accederán al tipo de páginas mencionadas anteriormente y procuraremos detectar tanto los destinos de tales accesos, como la IP del host que pretende acceder a dicha página.


Para acceder a la información que mostramos en la captura; desde el proxy accederemos al Ntop y dentro de él a IP → SUMMARY → TRAFFIC

Ilustración 24: Acceso a webs sociales descubierto utilizando Ntop


36

En ella puede apreciarse el acceso a dos conocidas redes sociales. Pinchando en cada uno de los links podemos saber qué hosts han accedido y cuando, como podemos observar en la siguientes capturas

Ilustración 25: Información adicional del sitio accedido desde la red privada

Ilustración 26: Lista de hosts que accedieron a la web analizada anteriormente


37

Como podemos observar, uno de los apartados que nos muestra el Ntop es el de los últimos accesos a dichos sites desde nuestra red privada.

Así pues, en base a los datos recojidos utilizando esta herramienta, podemos establecer una lista de sites a visitar que pueden ser filtrados utilizando reglas de iptables o en cualquier otro firewall comercial.


El análisis y detección de hosts que navegan por sites no deseados desde Wireshark es más complejo, ya que dicho software no dispone de resolución de dominios, trabaja a nivel de paquetes IP, analizando tramas y streams, por lo que en lugar de conocer el nombre del dominio, el administrador de la red deberá de conocer las IPs asociadas a dichos dominios.

Por ello, si se desea conocer el tráfico de red a este tipo de webs utilizando Wireshark se llevarán a cabo los mismos pasos que en los ejemplos anteriores, esto es:

1. Activar Wireshark, haciendo que comience a capturar paquetes (Primer icono o menu -> Capture e iniciando la captura pulsando Start con las opciones default).

2. Establecer un filtro en el menú filter, en este caso filtraremos el protocolo HTTP.

3. Anotar las IPs de destino de las cuales deseemos conocer información

4. Abrir un terminal en una máquina conectada a la red y hacer uso del comando whois (presente en todos los sistemas *NIX) de la siguiente manera whois

193.147.87.188 y nos mostrará toda la información que deseemos.


38

Como podemos observar, el administrador de red deberá poseer, además de unos conocimientos técnicos avanzados, la inteligencia necesaria para adelantarse a los usuarios de la red de la cuál está al cargo, adelantándose a dichos usuarios y conociendo la manera de pensar que tienen dichos usuarios para poder adelantar acontecimientos y salvaguardar el buen funcionamiento de la red.

Además de esto, el administrador de red puede necesitar y obtener una valiosa información mediante la correcta visualización e interpretación de la herramienta Ntop. La información requerida pueden ser todo tipo de estadísticas de carga, uso de la red por parte de los hosts, saltos en la red, etc. Seguidamente veremos algunos ejemplos.

Las estadísticas que mostramos a continuación se obtienen en el menú inicial que el Ntop muestra a modo de sumario una vez abierta la aplicación (recordar que, para abrir la aplicación hay que lanzar el demonio de ntop en terminal para que registre los datos de la interfaz que deseemos: sudo ntop –i eth1 y seguidamente abrir un

navegador y apuntarlo a la dirección http://localhost:3000)


39

Estadística del tipo de paquetes enviados a través de la red: unicast, multicast, broadcast.

Ilustración 27: Resumen estadístico del tráfico de la red según el tipo de paquete

Con esto podemos determinar que todo el trafico existente consiste en trafico unicast, que es el tráfico más común en la red internet (tráfico dirigido de host a host).


40

En el caso de que el tráfico fuese principalmente broadcast podemos inferir que se trata del router lanzando paquetes a todos los dispositivos de la red, inundándola de tráfico innecesario, por lo que tendríamos que tomar medidas con el router (revisar su configuración interna y reponerlo de ser necesario).

Estadística de saltos necesarios para llegar a destino.

Con esta estadística podemos ver gráficamente cual es el número de saltos (hops) que un paquete tiene que hacer para llegar a su destino.


41

Ilustración 28: Estadística de saltos de un paquete en la red y resumen estadístico de la carga de la red

Como podemos observar, el número de saltos tiende a situarse entre los 14 y 16 saltos, esto indica que un paquete, para llegar desde su salida hasta su destino pasa por entre 16 y 14 hops. Cada salto es un router por el que ha pasado, esto se hace porque los paquetes IP tienen un campo denominado TTL (Time To Limit) que comienza en 255, por cada uno de los routers por los que pasa se descuenta un número de dicho campo, obteniendo así el número de routers por los que ha pasado hasta llegar a su destino.

Esta medida nos indica el tiempo que un paquete está físicamente viajando a través de la red (medido en saltos de red), en el caso de que dicha media tuviese unos valores más altos (en torno a 30 o más) nos indicaría que:

a) La red empresarial cuenta con demasiados routers: hay que tomar decisiones en cuanto a la infraestructura de red, aligerándola lo más posible y evitando routers


42

innecesarios, agilizando así el tráfico global de la red y disminuyendo el tiempo de respuesta de la misma (cuantos menos saltos, más rápido viajan los paquetes de información).

b) Las rutas de los encaminadores no están optimizadas, haciendo que el paquete pase por saltos innecesarios, para atajar dicho problema es recomendable crear un diagrama de la infraestructura de red en el que estén presentes las rutas de los encaminadores para poder aplicar un algoritmo de encaminamiento óptimo (por ejemplo, Dijkstra).

Así mismo, en la captura anterior podemos observar la carga de red, uno de los datos básicos a la hora de administrar la red y detectar posibles conflictos en cuanto a velocidad de respuesta. La estadística está agrupada por tiempos (actual, último minuto y últimos 5 minutos) además de realizar la media y el pico de carga; y dividida en Kbits por segundo y paquetes por segundo, siendo el dato de los kbits/s el más comprensible y fácil de interpretar con respecto a las prestaciones que la red debería ofrecer sobre el papel.

Distribucion de Protocolos

Este gráfico nos ofrece una idea general del tipo de trafico presente en nuestra red, porcentualmente hablando, distribuido por protocolos.


43

Ilustración 29: Resumen del tráfico de red clasificado por protocolo

Con esto damos por finalizado el análisis de una red utilizando las herramientas Ntop y Wireshark.


44

7. Interpretación y discusión de los resultados

En general, los resultados obtenidos con las dos herramientas han sido plenamente satisfactorios. Las cuatro pruebas realizadas a imagen y semejanza de los trabajos de administración de la red que puede llevar a cabo un administrador se han podido realizar en su totalidad. Si bien, cabe destacar que, a la hora de detectar un acceso vía web con el Wireshark, hay que echar mano de la herramienta whois para conocer

datos acerca del site sobre el que estamos haciendo el seguimiento, pero cuenta con la ventaja de ser una herramienta de uso habitual, de fácil utilización, bien documentada y presente en todas las arquitecturas.

Observamos que con ambas herramientas se puede realizar un diagnóstico en profundidad de la red a nuestro cargo. En particular, en el caso de la detección y análisis de tráfico P2P detectamos que el tráfico de redes con protocolo eDonkey es mucho menos eficaz que el protocolo eDonkey ya que durante el mismo tiempo de ejecución (5 min.) con el programa para descarga de Torrents registramos una transferencia total de 10.7 Mb frente a los escasos 23Kb; por lo que concluímos que el primero puede ser el principal causante de una sobrecarga en nuestra red y, por tanto, deberíamos valorar el tomar decisiones acerca de dicho tráfico en una red a nuestro cargo.

Cabe destacar la versatilidad y facilidad de manejo de Ntop, así como su prácticamente nula configuración necesaria, con lo que nos encontramos ante una herramienta de fácil uso y configuración que nos ofrece resultados eficazmente y de manera sencilla.

También cabe destacar aquí la vocación educativa de la segunda herramienta (Wireshark) enfocada más a mostrar el tráfico de red a bajo nivel y con gran detalle, mostrando de manera sencilla y rápida los flujos de una transacción de una amplia variedad de protocolos siguiendo el stream de paquetes correspondiente; si bien, una de los principales puntos fuertes (no mostrado en el diseño de los ejemplos prácticos)


45

es el apartado estadístico de esta herramienta, enfocado a la estadística de paquetes de la red de manera gráfica. También destacamos las posibilidades de configuración, filtrado de paquetes y variedad de protocolos que es capaz de manejar el Wireshark.

Las principales limitaciones a la hora de realizar nuestras mediciones han sido:

Por una parte con Ntop, la falta de herramientas u opciones para analizar a más bajo nivel los flujos de información de la red, de la manera en la que lo puede hacer

Wireshark, no obstante, cuenta con una opción para poder hacer un volcado de toda la información a un log y poder analizarla mediante otras herramientas.

Por otra parte, en cuanto a Wireshark, la falta de resolución de dominios a la hora de conocer la procedencia y destino de la información es una importante limitación en cuanto a la visualización de la información; también cabe destacar la falta de una visión más generalista, desde una perspectiva no tan centrada en el flujo de paquetes sino en

el flujo de información. También se echa en falta un resumen estadístico al finalizar la captura de paquetes por parte de la aplicación.


46

8. Conclusiones

Brevemente, algunas de las conclusiones que hemos obtenido con la realización de esta práctica son las siguientes:

La tarea de administración de redes requiere no solo de habilidades técnicas demostrables, sino que también es necesaria inteligencia para ponerse en el lugar de los hosts de la red que tenemos al cargo e intentar pensar como ellos tratarían de sacar mejor partido de la misma.

Existen alternativas a sistemas de compleja instalación como Nagios: Wireshark combinado con Ntop es un claro ejemplo.

El tamaño de la red que hemos simulado, pese a ser reducida, se puede colapsar fácilmente con la utilización masiva de las redes de pares (P2P).

A mayor tamaño de red se incrementa el número de motivos por los que esta puede funcionar incorrectamente o por debajo de unos límites deseables en cuanto a tiempo de respuesta y fiabilidad.

Con un hardware de bajo coste y un software de coste cero hemos demostrado que se pueden realizar tareas de diagnosis de red de manera sencilla.

La habilidad de interpretar los datos ofrecidos por las herramientas es básica: sin alguien con los conocimientos necesarios que interprete los datos, éstos no sirven de nada en la toma de decisiones.

Hemos aprendido varias técnicas de diagnóstico y análisis de red, así como adquirido un buen nivel en el manejo de interfaces de red y en la interpretación de estadísticas de tráfico de red.


47

La utilización de ambas herramientas bordea la línea de la legalidad en cuanto a privacidad de datos en la red. Por ello, han de ser utilizadas con la mayor precaución y solo por personal autorizado (por la empresa) y confiable.

9. Bibliografía

La bibliografía utilizada para la realización de esta práctica ha sido toda on-line:

1. en.wikipedia.org/ntop [visitada el 8/1/2010]

2. en.wikipedia.org/Nagios [visitada el 8/1/2010]

3. en.wikipedia.org/Wireshark [visitada el 8/1/2010]

4. wireshark.org/docs [visitada por última vez 29/1/2010]

5. wiki.nagios.org [visitada por última vez 10/1/2010]

6. sucka.net [visitada por última vez 10/1/2010]

7. help.ubuntu.com/community/ntop [visitada por última vez 20/1/2010]

8. ntop.org/documentation [visitada por última ver 29/1/2010]

9. nagios.sourceforge.net [visitada por última vez 10/1/2010]

10. howtoforge.com/network_monitoring_with_ntop [visitada por

última vez 29/1/2010]


48

Documents

DiagnosticsRed ntop