NTOP

NTOP est un outil de monitoring de flux en temps réel. Basé sur la librairie libcap, il observe tous les flux passant sur une ou plusieurs cartes réseau et en ressort un rapport en temps réel.

Il permet notamment de générer le graphique des flux par ports ou type de traffic, de donner la moyenne de bande passante consommée par un hôte ou encore le total de traffic émis/reçu par celui-ci. En cliquant sur un hôte on peut également visualiser les derniers traffics que celui a émis.

NTOP reste néanmoins limité puisqu’il n’agit qu’au niveau 2 et 3 de la couche OSI, il n’ira donc pas visualiser la couche applicative du traffic. Néanmoins cela reste un bon outil de gestion de traffic/bande passante.

Installation

Installez tout d’abord le paquet

apt-get install ntop

A l’installation un nom de compte et mot de passe vous seront demandés pour l’authentification admin sur l’interface web.

Configuration

L’installation va vous créer un utilisateur ntop qui lancera l’application. Pour configurer l’interface par défaut de ntop, ouvrez le fichier /var/lib/ntop/init.cfg et éditez la ligne INTERFACES pour mettre votre interface principale d’écoute

INTERFACES="eth4"

Maintenant nous allons configurer les groupes de ports que ntop identifiera par un nom précis. Ouvrez le fichier /etc/ntop/protocol.list. Chaque protocole s’identifie de la façon suivante : NOM=port1|port2|port3 séparé par une virgule. Les ports peuvent être soit des numéros de ports soit des noms (sous réserve qu’ils soient dans /etc/services)

FTP=ftp|ftp-data,PROXY=3128|8080,HTTP=http|www|https,DNS=name|domain,Telnet=telnet|login,
NBios-IP=netbios-ns|netbios-dgm|netbios-ssn,Mail=pop-2|pop-3|kpop|smtp|imap|imap2,
SNMP=snmp|snmp-trap,NEWS=nntp,DHCP-BOOTP=67-68,NFS=mount|pcnfs|bwnfs|nfs|nfsd-status,
X11=6000-6010,SSH=ssh,Gnutella=6346|6347|6348,Kazaa=1214,WinMX=6699|7730,eDonkey=4661-4665,
Messenger=1863|5000|5001|5190-5193

N’oubliez pas de configurer un port en miroring sur votre switch/coeur de réseau (tutoriel ici) afin de visualiser l’ensemble du traffic et d’activer le mode promiscious sur votre carte réseau d’écoute

ifconfig eth4 /promisc

Assurez vous que ntop dispose des droits d’écriture sur son répertoire de travail:

chown ntop:ntop -R /var/lib/ntop

Le service NTOP est prêt à être utilisé. Vous pouvez le lancer:

service ntop start

Utilisation du service

Ouvrez un navigateur à l’adresse http://serveur:3000 (port par défaut de ntop).

Nous allons tout de suite configurer quelques données essentielles. Allez dans le menu Admin > Configure > Startup Options. Sélectionnez l’ensemble des interfaces réseau à écouter en les cochant, puis modifiez le port HTTP par 0 et le port HTTPS par 3000 (ou tout autre que vous souhaitez). Cliquez ensuite sur Save Prefs.

Redémarrez le service

service ntop restart

L’inconvénient principal de ntop est qu’il ne sauvegarde par ses données si vous redémarrez le service. Maintenant connectez vous à l’adresse https://serveur:3000 et acceptez le certificat.

Les panneaux que nous jugeons essentiels sur NTOP sont les suivants :

  • Summary > Traffic : résumé du traffic par groupement de ports et par horaire
  • All Protocols > Traffic(trié par ordre décroissant sur le champ data) : total du traffic engrangé par les hôtes
  • All Protocols > Throughput (trié par ordre décroissant sur le champ current) : bande passante en temps réelle d’un hôte
  • All Protocols > Activity : l’activité par hôte chaque heure depuis une journée

Vous savez désormais utiliser NTOP.