NTOP (de Network Top) es una herramienta que permite monitorizar en tiempo

real una red. Es útil para controlar los usuarios y aplicaciones que están
consumiendo recursos de red en un instante concreto y para ayudarnos a detectar
malas configuraciones de algún equipo, (facilitando la tarea ya que. justo al
nombre del equipo, aparece sale un banderín amarillo o rojo, dependiendo si es
un error leve o grave), o a nivel de servicio.

Posee un micro servidor web desde el que cualquier usuario con acceso puede
ver las estadísticas del monitorizaje.

El software está desarrollado para plataformas Unix y Windows.

En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la

red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada
en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para
almacenar persistentemente estadísticas de tráfico.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX,

DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de
agruparlos por FTP, HTTP,DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.
Es una herramienta muy completar y algunas de sus características son:

Captura de paquetes
Captura / transmisión de paquetes a velocidad de cable utilizando hardware
básico con PF_RING . Distribución de paquetes de copia cero en subprocesos,
aplicaciones, máquinas virtuales. Soporte de Libpcap para una integración
perfecta con aplicaciones heredadas.

Grabación de tráfico
Registro de tráfico de red sin pérdidas de 10 Gbit y más con n2disk . Formato de
archivo PCAP estándar de la industria. La indexación sobre la marcha para
recuperar rápidamente paquetes interesantes utilizando fast-BPF y el intervalo de
tiempo. Repetición precisa del tráfico con disk2n .
 Sonda de red
nProbe : sonda extensible NetFlow v5 / v9 / IPFIX con soporte de complementos
para la inspección de contenido L7. nProbe Cento : hasta 100 Gbit NetFlow,
clasificación de tráfico y derivación de paquetes para la aceleración de IDS /
paquete a disco.

Análisis de tráfico
Análisis de tráfico basado en web de alta velocidad y recolección de flujo
mediante ntopng . Estadísticas de tráfico persistentes en formato RRD. Análisis de
la capa 7 aprovechando nDPI , un marco de código abierto de DPI.
  Es un proyecto de software libre.
 Su interfaz es muy sencilla y vía web.
 Dispone de gran variedad de informes: globales de carga de red, de tráfico
entre elementos, de sesiones activas de cada elemento, etc.
 Es un software multiplataforma (Windows, Linux, BSD, Solaris y MacOSX) y
muy fácil y rápido de instalar.
 Para capturar los paquetes, la interfaz de red de la máquina que ejecute
NTOP debe entrar en modo promiscuo, lo que implica que hay que
disponer de permisos de administrador en dicha máquina.
 NTOP usa por defecto el puerto 3000/TCP para el servidor web de la
interfaz.
 En Linux, NTOP está presente en las principales distribuciones y es
fácilmente instalable desde el gestor de paquetes de software de la
distribución.
 Analiza protocolos TCP/UDP/ICMP.
 Dentro de TCP/UDP es capaz de agruparlos por tipo de servicio que se
este utilizando como FTP, HTTP, SSH, DNS, Telnet,SMTP/POP/IMAP,
SNMP, NFS, X11.
Dentro de este completo programa podemos encontrarnos herramientas como la
siguiente:
Herramienta RRDTOOL RRDtool es el acrónimo de Round Robin Database tool.
Se trata de una herramienta que trabaja con una base de datos que maneja
planificación. Esta técnica trabaja con una cantidad de datos fija, definida en el
momento de crear la base de datos, y un puntero al elemento actual. Su finalidad
principal es el tratamiento de datos temporales y datos seriales como
temperaturas, transferencias en redes, cargas del procesador…
La primera imagen da información sobre el propio servidor:

Recién arrancado todavía no mostrará mucha información. A media que vayamos

navegando, o haya actividad en la red, nos irá mostrando información. Podemos
configurar el programa para dar información de subredes en concreto.
NTOP puede generar estadísticas como la siguiente, sobre el uso de la red:

Este programa nos ayudará a localizar puntos de acceso inalámbrico, y ver los
puertos que se han utilizado. Lograremos ver la actividad de puertos como el FTP
(20 y 21) , SSH (22) o cualquier otro.
 Instalación y Configuración de NTOP
INSTALCION

La instalación de NTOP es muy sencilla solamente tendremos que tener

configurado correctamente nuestro servidor de repositorios debían. Podemos
instalarlo con el comando aptitude o por medio del comando apt-get install, que en
nuestro caso fue el que se utilizó. Debemos asegurarnos de que estén instaladas
las dependencias necesarias para que se ejecute Ntop. A continuación, se
muestran los paquetes que deben ser instalados antes de Ntop

(rrdtool y rrdtool-devel)

Para la instalación ejecutamos la siguiente línea de comando:

monitor:~# apt-get install ntop graphviz

El paquete graphviz se utiliza para generar los gráficos que serán mostradas en la
interface web.

PASSWORD ADMIN

Después de instalado el ntop debemos establecer una clave para el user admin lo
cual haremos tecleando el siguiente comando.

monitor:~# ntop –set-admin-password

A continuación, se nos pide que establezcamos la contraseña, tecleamos una y

damos enter, a continuación, se nos pide confirmar, volvemos a teclearla y damos
enter nuevamente.

Please enter the password for the admin user:

Please enter the password again:

Thu Agu 17 13:13:50 2014 Admin user password has been set
CONFIGURACION

En la configuración de Ntop solamente es necesario que le indiquemos que

interface o interfaces de red va escuchar. En este caso modificamos en
fichero init.cfg. Para esto usamos cualquier editor de texto, aquí usamos vim.

monitor:~# vim /var/lib/ntop/init.cfg

Este archivo contiene solo 2 parámetros que indican el usuario encargado de la

ejecución y que interfaz de red va a escuchar.

USER=”ntop”

INTERFACES=”eth0″

En caso que deseemos analizar varias interfaces de red solamente tenemos que
escribirlas separadas por comas entre cada interfaz de red.

Ejemplo:

INTERFACES=”eth0, eth1″

PUERTO

Ntop usa por defecto el puerto 3000/tcp, en caso de que necesitemos cambiar
este puerto a otro puerto por estar siendo utilizando por alguna otra aplicación, o
por razones de seguridad, podemos hacerlo modificando el fichero ntop como se
muestra a continuación.

monitor:~# vim /etc/default/ntop

En este archivo existe el parámetro GETOPT=”“, este parámetro es el encargado

de la configuración del puerto de Ntop, por defecto viene comentado con el
símbolo (#), solamente tendremos que habilitarlo eliminando el símbolo de
comentario (#) y agregarle el puerto deseado.

Ejemplo:

Cambiar #GETOPT=””

Por GETOPT=”-w 4000″

En este ejemplo se habilitó el puerto 4000, usted puede utilizar el puerto que
desee, siempre que no entre en conflicto con otra aplicación.

INICIANDO NTOP

Iniciamos el servicio de Ntop de la siguiente manera:

monitor:~# /etc/init.d/ntop start

Starting network top daemon: Thu Jun 17 13:31:52 2010 NOTE: Interface merge
enabled by default

Thu Jun 17 13:31:52 2010 Initializing gdbm databases ntop

Podremos acceder a la consola administrativa web desde cualquier navegador

simplemente tecleando la siguiente

“http://ip-de-su-servidor:puerto”

ejemplo:

http://192.168.x.x:3000

Debe tener en cuenta que 3000 es el puerto por defecto configurado con ntop, si
usted lo ha cambiado debe especificar el nuevo puerto en la dirección web.

RECONFIGURACION

En caso de que usted desee reconfigurar algunos de los parámetros de Ntop

después de instalado, como puede ser adicionar o eliminar alguna interface de red
lo puede hacer mediante el comando:

monitor:~# dpkg –reconfigure ntop

Esto abrirá un from-end que le permitirá cambiar alguno de los parámetros ya

configurados de Ntop.
Pros:

 Fácil instalación, configuración y uso.

 Las tablas y gráficos que tanto nos gustan.

 Su interfaz Web: Ubicuidad y portabilidad en su máxima expresión

Contras :

 Al ser básicamente un sniffer con una interfaz bonita, dependiendo de las

características de la maquina en la cual se instale y la cantidad de tráfico a
analizar, paulatinamente puede consumir los recursos del sistema hasta
dejarlo completamente saturado. Recomiendo utilizar MRTG para análisis
continuo de nuestro tráfico y ntop en casos puntuales o análisis de rutina
limitados a máximo 24 o 48 horas.
 CONCLUSION

NTOP es una herramienta excelente para conocer a fondo la utilización de nuestro

canal y la información que presenta sirve para optimizar nuestro firewall
(permitiendo detectar tráfico en puertos o en máquinas en las cuales no debería
haberlo) o detectar abusos por parte de nuestros clientes (usuarios que
indiscriminadamente utilizan todo el ancho de banda disponible o utilizan software
P2P en una red en la cual no está permitido, etc.).