Mikrotik - Configuración de Netflow con Ntopng (Monitor de Red)

Iniciado por xyz, Septiembre 15, 2018, 11:40:36 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Septiembre 15, 2018, 11:40:36 PM


Muchas veces al trabajar en pequeñas empresas o simplemente el hecho de tener un diagrama visual estadístico de todo el tráfico de red, conexiones, puertos, paquetes, flujos son útiles en muchas situaciones (dependen del escenario a trabajar).

En esta situación, brindaré una guía paso a paso para tener todo funcional; luego cada uno puede seguir investigando como hacer diferentes scripts, comprender las gráficas, medidas y contramedidas.

En el mercado hay herramientas de pago (valen cada centado) y open-source.



¿ Que es necesario para hacer funcionar el esquema ?


  • Routerboard Mikrotik o Placa con licencia
  • Servidor o equipo que recibirá los flujos para mostralos (Pc / Servidor dedicado / RBpi)
  • NtopNg

Extraigo un parrafo del sitio oficial de ntop.rg:

Código: text


Como su predecesor, ntopng en si mismo no es un colector de flujos. Puede actuar como un colector en combinación
con Nprobe. Para realizar esta conexion, debe iniciar Nprobe con el parametro --zmq y apuntar a la interfaz de ntopng
para el Nprobe zmq endpoint.
Utilizando ésta configuración da al administrador la posibilidad de utilizar ntopng como colector gráfico (web-ui / gui).





Unificando los elementos.

Los pasos son sencillos, para quienes quieran incursionar más en lo que ntopng es capaz de hacer, hay guías y sobre todo, la ayuda de cada comando.

Aclaración: todo el desarrollo se lleva bajo entorno Windows Server 2008R2 y 2012.

Orden de herramientas a descargar:
1 -   Redis
  a.   Qué es redis. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  b.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta  para ver el repositorio
  c.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
2 -   Winpcap.
  a.   Qué es Winpcap. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  b.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
3 -   Ntopng (Testeado en Windows Server 2008R2 y 2012)
  a.   Que es Ntop. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  b.   Enlace de descarga: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  i.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  ii.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
  c.   Hay veces que al instalar brinda error en runtime, lo que se debe hacer es bajar una versión anterior que funcione con la versión runtime 12.0.21005
  i.   No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Una vez descargadas todas las herramientas, hay que comenzar con las configuraciones de cada una de ellas para que el collector, se dedique a la tarea que tiene encomendada.



Configurando en Mikrotik Netflow

Netflow permitirá enviar todos los datos a un collector, quien será encargado de procesar y mostrar los informes necesarios y parametrizables.



1-   Ir a Ip
2-   Hacer clic en traffic-flow
3-   En la nueva ventana que se lanza, hacer clic en "enabled" y presionar el botón "targets"
4-   Al lanzar la ventana "target" hacer clic en el botón "+" para agregar un nuevo host.
5-   En traffic flow target completar:
  a.   Dst-Address: el host que recibirá los datos para procesarlos
  b.   Port: colocar 2055
  c.   Versión: elegir la versión 9.

Luego de ello, aceptar todas las configuraciones realizadas.

Aclaracion: en traffic-flow setting es posible establecer una interfaz particular para ver las estadísticas, caso opuesto, elegir "all".




Instalación de herramientas en Windows

Si utilizamos los instaladores por defecto (netflow) habrán muchos inconvenientes en los registros, servicios además al momento de utilizar, una situación bastante compleja.

Todo se debe ejecutar con los máximos privilegios (Administrador en caso de ser un Ad-Dc).



1-   Winpcap
2-   Copiar "redis" a una ubicación a elegir
3-   Instalar "Nprobe"
   a.   Una parte de la instalación pide unos parámetros:
     i.   Dirección Ip del host (es la misma dirección seteada en dst-address)
     ii.   Port: puerto seteado en traffic-flow
     iii.   Order Id: como indica el mensaje. 00000000
 
  b.   Luego pide instalar una librería de Windows.
  c.   Al finalizar NO instalar winpcap.
4-   Instalar "Ntop"
  a.   Llegada una parte de la instalación pide instalar Winpcap (dar cancelar)
  b.   Al finalizar la instalación pide instalar Redis (dar cancelar)

Una vez concluida la instalación, hay que continuar con las configuraciones de cada aplicación para tener el box completo.

Configuración Ntop y Nprobe

Al concluir la instalación, hay que empezar a configura las herramientas.
Veremos algunos comandos, más que nada enfocados a poder dejar todo el box listo para que haga el trabajo de collector e informe los flujos.

1)   Primero, hay que lanzar redis server.
-   Ir a la carpeta donde descomprimió el archivo
-       Lanzar el servidor de redis: redis-server.exe


-   Muchas veces, el firewall de Windows notifica que una aplicación quiere estar en modo escucha, aquí hay que permitir el acceso así redis empezará a recibir los flujos de datos que envía mikrotik.
Luego de ello, no hay que tocar esa ventana (debe quedar en modo listening).

2)   Configurar como servicio Nprobe.
-   Para ver la ayuda de los comandos hay que lanzar nprobe.exe /c –h

-   Hay que anotar el índice, ya que Windows difiere el modo de mostrarse a Gnu/Linux.
-   Como el comando debe iniciarse como servicio, hay que lanzar la siguiente secuencia:
o   Nprobe.exe /i <nombre-del-servicio> -i <índice-de-interfaz> -n <dirección ip y puerto> --zmq <protocolo:ip:puerto
o   Nprobe.exe /i Nprobe –i none –n none –zmq No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Para eliminar el servicio, hay que lanzar el siguiente comando:
-   Nprobe.exe /r <nombre del servicio>

3)   Configurar Ntop como servicio.
-   Primero, hay que lanzar el comando para identificar las interfaces de red el mismo desplega los parámetros.
-   Ntopng.exe /c –h

-   Luego, resta lanzar el comando para que el servicio quede registrado.
-   Ntopng.exe /i <nombre-del-servicio> -i <numero-interfaz-de-red> --community –i <interfaz de red> <protocolo:dirección host:puerto>

-   ntopng.exe /i Ntop2 --local-networks "192.168.20.0/24,192.168.30.0/24,172.16.10.0/24" --community  No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
-      Con --local-networks indicamos a ntop que reconozca los segmentos de red que hay, ya que por defecto identifica todo como "remote"
-   La opción community lanzara Ntop con las opciones de la versión indicada.
-   Y para remover el servicio basta lanzar el comando:
o   Ntopng.exe /r <nombre_servicio>

4)   Ir al administrador de servicios y lanzarlos.



Abriendo puerto en Windows.
A veces el servidor no permite conexiones entrantes, ahora resta abrir el puerto 3000 (o el que se decida utilizar) para ingresar al web-ui.

Las siguientes imagenes muestran como abrir el puerto 3000.






La siguiente imagen muestra un mapeo realizado con Nmap.




NtopNg Web-Ui

Al concluir con las configuraciones, estamos en condiciones de acceder al panel web de Ntop, donde todo es más "amigable".

Por defecto, se debe ingresar a la Ip que se configuró en Mikrotik con el puerto 3000. En este ejemplo es: 192.168.20.210:3000 y las credenciales son admin:admin


La primera vez que ingresamos al panel, require cambiar la contraseña de administrador.

Para quienes deseen conocer en profundidad todo el entorno gráfico y las opciones, el siguiente enlace cumple todos los requisitos: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las siguientes imagenes muestran la información que proporciona NtopNg de toda la topología de red / segmentos / flujos de conexiones / protocolos / paquetes / estadísticas por Host / Sistemas Autonomos y también las alertas.


Muestra un mapeo a un equipo de red. Esto se ubica en el panel de "Advertencias"


Ese informe está ubicado en: "Hosts -> Looking Glass"
Ntop es capaz de identificar dispositivos por capa 2 (Mac) y capa 3 (Red), brinda información detallada del host (Sistema Operativo, Versión, flujo de paquetes, puertos activos)

Con ntopng.exe /i --dns-mode <opcion> permite modificar las resoluciones Dns.
Código: text
[--dns-mode|-n] <modo>| Modo de resolución de direcciones DNS 
                                    | 0 - Decodifica respuestas DnS y resuelve direcciones Ip locales. (defecto)
                                    | 1 - Decodifica respuestas Dns y resuelve todas las direcciones Ip.
                                    | 2 - Decodifica respuestas DnS y no resuelve la dirección Ip. 
                                    | 3 - No decodifica respuestas Dns y no resuelve direcciones Ip.


Al buscar o ver el informe de un solo host, obtenemos lo siguiente:


También, flujos en tiempo real.


Protocolos en tiempo real.



Sistemas autonomos detectados.


A modo de resumen/conclusión, hay muchas cosas es capaz de mostrar:
- Estadisticas por interfaz de red
- Estadísticas por segmentos de red
- Connection Tracking en tiempo real de un host determinado.
- Implementando SSL, permite identifcar todo el tráfico de la red agrupado (Spotify, Netflix, Youtube, Facebook).

Una herramienta más que interesante y útil para conocer el estado de red detalladamente y granularmente.

Espero sea útil.

Gracias por leer, un saludo .!
Julio 08, 2019, 06:51:12 AM #1
Cuando se trata de analizadores de flujo de red, la mejor opción que uno podría tener es ANALIZADOR DE FLUJO DE RED EN TIEMPO REAL DE SOLARWINDS. Es una herramienta gratuita. ¿Qué más se puede pedir? SolarWinds se conoce como monitoreo de red, y el Analizador NetFlow en tiempo real es la respuesta de monitoreo de paquetes más razonable disponible. Vea esta lista detallada de analizadores de flujo de flujo No tienes permitido ver los links. Registrarse o Entrar a mi cuenta aquí.

Esto permite al usuario observar la utilización de la red y el ancho de banda en tiempo real. También puede ver el uso de su red y los datos de captura de paquetes a través de una aplicación basada en web. Es realmente fácil de usar, así que si eres un novato, no te preocupes. Tiene un diseño sencillo de la interfaz de usuario que hace que sea realmente sencillo ver lo que está sucediendo con su red.

El también produce gráficos que muestran datos de uso en tiempo real. Estos gráficos le permiten decidir qué dispositivos y aplicaciones utilizan más ancho de banda. Lo mejor de Real-Time NetFlow Analyzer es que sus gráficos se actualizan en tiempo real a través del procesamiento automático, para que pueda reconocer cómo funciona su red y decirle en segundos si hay algún problema.
Septiembre 21, 2021, 07:52:44 PM #2
Hola buen día. Me encuentro haciendo esta configuración pero no logro hacer que el collector (nprobe) me envíe los datos a ntopng, en las estadísticas de ntopng, puedo verlo como una conexión pero no me informa nada. Estoy haciendo esto para una WISP que se encuentra enrutada en OSPF y tengo conectado el server directamente a la RB main.
Si puedes ayudarme o si alguien podría ayudarme seria fantástico. Podemos llegar a un acuerdo de remuneración sobre la solución.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario