System- und Netzwerkadministration ntop ng

Zur Analyse des Netzverkehrs im eigenen Netzwerk bieten sich eine Reihe Programme an, bspw. Wireshark. Für eine permanente Überwachung des gesamten Verkehrs und der grafischen Aufbereitung dieser Ergebnisse bietet sich jedoch eine andere Komponente an: ntop

ntop (oder auch ntop ng) lässt sich relativ einfach auf Linux Systemen installieren.  Gute Anleitungen finden sich zuhauf und können einfach befolgt werden.

Ein paar Ideen zu der Installation die genereller Natur sind und vielleicht Beachtung finden sollten:

  • Das System sollte zur besten Funktionsweise zwei Netzwerkkarten haben
  • Eine der Karten muss im Promiscuous mode laufen
  • Es kann sehr viel Last auf dem System je nach Netz generiert werden (vor allem wenn man auch vor hat DPI einzusetzen). Dementsprechend sollte man das System dimensionieren und auch darauf achten, dass keine wichtigen Dienste in Mitleidenschaft gezogen werden.
  • Es muss für den Promiscuous Mode ein Spiegelport angelegt werden (am Switch)

Dies sind einige der Voraussetzungen die beachtet werden sollten. Bei einigen der Punkte kann keine Allgemein gültige Anleitung gegeben werden, es gibt Unterschiede je nach eingesetzten Systemen.  Im System des jeweiligen OS kann man Ethernet Interfaces in den Promiscuous Mode geben:

ifconfig eth0 promisc #schaltet promisc ein auf Interface eth0

ifconfig eth -promisc #schaltet promisc aus auf Interface eth0

Promiscuous Mode bedeutet dass das Netzwerkinterface alle Pakete die es im Netz sehen kann auch annimmt. Normalerweise würde das Interface nicht für das System bestimmte Pakete ablehnen.

Über die Switch Konfiguration muss nun aber noch geregelt werden, dass an dem Interface aber auch alle Pakete ankommen die im Netzwerk auflaufen. Bei Cisco Netzwerktechnik kann konfiguriert werden dass aller Traffic eines Ports auf einen anderen umgeleitet wird (nützlich wenn aller Internet Traffic nur über einen Port an ein vorgelagertes Gateway geht) oder man kann auch den gesamten Traffic eines VLANs auf ein einzelnes Interface spiegeln, um sämtlichen Netzverkehr zu sehen, auch den internen (Stichwort SPAN). Sollte sich so ein Spiegelport nicht konfigurieren lassen weil die eingesetzte Netztechnik die Funktion nicht anbietet, gibt es entsprechende Hardware die diese Funktion bietet.

Dies ist insbesondere dann nützlich, wenn man über MRTG feststellt dass der Netzwerkverkehr unverhältnismäßig gestiegen ist, eventuell sogar so stark dass dies Probleme bereitet. Über ntop lässt sich dann genau heraus finden welche Systeme die Hohe Last verursachen und damit kann man dem auch entgegen wirken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.