alphaspirit - stock.adobe.com
Mit ntopng den Netzwerkverkehr überwachen
Das Open-Source-Tool ntopng kann den Netzwerkverkehr überwachen und gefiltert anzeigen. Auch aktive Hosts im Netzwerk lassen sich damit in Echtzeit überwachen.
Die Open-Source-Lösung ntopng kann Netzwerke überwachen, Hosts und deren Netzwerkdaten anzeigen und auch Alarme auslösen. Die Verwaltung und Konfiguration erfolgt über eine Weboberfläche.
Ntopng kann auch auf Firewalls, wie zum Beispiel PfSense installiert werden. Das ermöglicht parallel die Überwachung des Netzwerkverkehrs, bei gleichzeitiger Analyse der Geräte, die aus dem internen Netzwerk Daten in das Internet senden.
Ntopng installieren
Sie können ntopng hier kostenlos herunterladen. Die Installation der Software kann unter Linux auch über die jeweilige Paketverwaltung erfolgen. Am Beispiel von Debian und Ubuntu zum Beispiel mit:
sudo apt-get install ntopng
Wenn die aktuelle Version von ntop nicht in den Paketquellen integriert ist, erledigen Sie am Beispiel von Ubuntu 20.04 LTS die Installation mit der neusten Version folgendermaßen, wobei bei den Befehlen meistens sudo benötigt wird:
apt-get install software-properties-common wget
add-apt-repository universe
wget https://packages.ntop.org/apt/20.04/all/apt-ntop.deb
apt install ./apt-ntop.deb
apt-get clean all
apt-get update
apt-get install pfring-dkms nprobe ntopng n2disk cento
Ntopng an das eigene Netzwerk anpassen
Um ntopng einzurichten, öffnen Sie die Konfigurationsdatei des Tools mit einem Editor, zum Beispiel mit Nano:
sudo nano /etc/ntopng.conf oder sudo nano /etc/ntopng/ntopng.conf
Wichtig ist hier die Anpassung des Ports für die Weboberfläche. Der Port ist dann anschließend auch in der Firewall auf dem Linux-Computer freizuschalten, beispielsweise mit:
sudo ufw allow 3000
Nach Anpassungen an der Konfiguration wird der Systemdienst neu gestartet:
sudo systemctl restart ntopng
Auf dem Docker-Hub stehen auch Container für den Betrieb von ntopng zur Verfügung.
Ntopng nutzen
Nach der Installation wird die Weboberfläche zunächst mit http://<IP-Adresse>:3000 aufgerufen. Die standardmäßige Anmeldung erfolgt mit dem Benutzer admin und dem Kennwort admin.
Beides sollten Sie in der Weboberfläche ändern. Sollte diese GUI nicht richtig funktionieren, dann setzen Sie die Einstellungen einfach zurück:
sudo systemctl stop ntopng
redis-cli keys "ntopng.*" | xargs redis-cli unlink
sudo rm /var/lib/ntopng/runtimeprefs.json
sudo systemctl restart ntopng
ntopng lässt sich nicht nur in der Weboberfläche verwalten, sondern auch über das Terminal. Hier steht der Befehl ntopng zur Verfügung. Eine Hilfe wird mit ntopng --help angezeigt. Am Ende dieses Befehls zeigt ntopng eine Liste der Netzwerkschnittstellen an, die auf dem Server zur Überwachung genutzt werden können. Die Daten benötigen Sie zur Konfiguration der Überwachung im Terminal.
Überwachung mit ntopng starten
Um eine Überwachung in ntopng zu starten, wird zunächst mit ntopng --help überprüft, wie die systeminterne Bezeichnung der Netzwerkadapter sind. Anschließend kann die Überwachung für diese Schnittstelle aktiviert werden. Dazu starten Sie zum Beispiel den Befehl ntopng -i eth0.
Sind auf einem Computer mehrere Adapter verbaut, lässt sich die Überwachung auch gleichzeitig mit mehreren Adaptern starten, etwa mit ntopng -i eth0 -i eth1. Der Status von ntopng lassen Sie sich mit systemctl status ntopng anzeigen. Hier ist auch die verwendete Lizenz zu sehen. Die Community Edition steht kostenlos zur Verfügung und wird verwendet, wenn keine andere Lizenz hinterlegt wird.
In der Weboberfläche sind bei Hosts die gefundenen Geräte zu sehen, die ntopng im Netzwerk findet. Neben IP-Adresse, Name, lokale Alarme und gesendete/empfange Bytes, können hier auch weiterführende Informationen angezeigt werden. Wenn die Netzwerküberwachung aktiviert ist, zum Beispiel mit ntopng -i eth0, zeigt ntopng die gefundenen Geräte an, sobald diese Daten ins Netzwerk senden und von ntopng erkannt wurden. Die Daten sind anschließend in der Weboberfläche zu finden.
Durch einen Klick auf einen Host in der Weboberfläche werden ausführlichere Informationen angezeigt. Dazu gehören Betriebssystem, IP-Adresse, Datum und Uhrzeit der letzten Aktionen und die Menge des Datenverkehrs, die durch diesen Computer in das Netzwerk gesendet wurden.
SNMP mit ntopng nutzen – auch in Echtzeit
ntopng kann auch SNMP-Daten empfangen und verarbeiten. Für die Geräte, die ntopng in der Weboberfläche anzeigt, sind ausführliche Informationen auch in Echtzeit möglich. Über den Menüpunkt Devices\SNMP können Sie neue SNMP-Geräte mit dem Menüpunkt Add New Device hinzufügen.
Nach der Eingabe der IP-Adresse und der SNMP-Community wird das Gerät zugeordnet. Für jedes konfigurierte SNMP-Gerät ist eine Detail-Seite verfügbar. Dazu müssen Sie das Gerät lediglich anklicken. Durch das Anklicken sendet ntopng SNMP-Anfragen an das entsprechende Gerät und zeigt die Daten in Echtzeit an. Zu den Informationen gehören Schnittstellen, Betriebszeit, MAC-Adressen und die übertragenen Bytes im Netzwerk. Das Tool erkennt auch, wenn die Geräte über nicht ausreichend Netzwerkleistung verfügen. Ebenso lassen sich Daten aus der Vergangenheit anzeigen und filtern.
Der Zugriff auf die Detailseite löst eine Reihe von SNMP-Abfragen aus, um den Zustand und den Status des betreffenden Geräts abzurufen. Zu den ermittelten Informationen gehören unter anderem die Gerätebeschreibung, der Kontakt und die Betriebszeit sowie die Schnittstellen, die angeschlossenen MAC-Adressen und die übertragenen Bytes.
Eine praktische Warnung erscheint, wenn an einem Nicht-Trunk-Port mehrere Mac-Adressen zu sehen sind oder wenn langsame Geräte mit Hochgeschwindigkeits-Ports verbunden wurden.
Anwendungen und ihre Ports in ntopng integrieren
Wenn Software im Unternehmen bestimmte Ports nutzt, können Sie die Anwendung, den zugehörigen Port und weitere Daten in ntopng hinterlegen. Dadurch lässt sich der Datenverkehr umfassend messen. Im ersten Schritt erstellen Sie eine leere neue Datei, in unserem Beispiel anwendungsports.txt, die sich im ntopng-Verzeichnis befinden sollte. Sie müssen angeben, welchen Port Sie überwachen wollen und welcher Anwendung der Port zugeordnet ist. Das erfolgt diesem Befehl:
echo "udp:1345 @Anwendung1" > “/usr/share/ntopng/httpdocs/anwendungsports.txt"
So werden die Daten der Anwendung in die Datei anwendungsports.txt aufgenommen, Nun integrieren Sie die Datei noch in ntopng:
echo "-p /usr/share/ntopng/httpdocs/anwendungsports.txt" >> /etc/ntopng/ntopng.conf
Nach dem Neustart von ntopng zeigt das Tool in der Weboberfläche die Daten an. Dadurch, dass Sie die Datei erstellt und sie in die Konfiguration eingebunden haben, kennt ntopng die Datei und zeigt bei dem Netzwerkverkehr nicht mehr unkown an.
Der Netzwerkverkehr, der mit dem entsprechenden Port in Verbindung steht, wird in der Weboberfläche von ntopng mit der Bezeichnung angegeben, die in der Textdatei und damit der Konfigurationsdatei von ntopng festgelegt ist.