Mikrotik – Configuración de Netflow con Ntopng (Monitor de Red)

Muchas veces al trabajar en pequeñas empresas o simplemente el hecho de tener un diagrama visual estadístico de todo el tráfico de red, conexiones, puertos, paquetes, flujos son útiles en muchas situaciones (dependen del escenario a trabajar).

En esta situación, brindaré una guía paso a paso para tener todo funcional; luego cada uno puede seguir investigando como hacer diferentes scripts, comprender las gráficas, medidas y contramedidas.

En el mercado hay herramientas de pago (valen cada centado) y open-source.


¿ Que es necesario para hacer funcionar el esquema ?

  • Routerboard Mikrotik o Placa con licencia
  • Servidor o equipo que recibirá los flujos para mostralos (Pc / Servidor dedicado / RBpi)
  • NtopNg

Extraigo un parrafo del sitio oficial de ntop.rg:

Código: Text

  1.  
  2. Como su predecesor, ntopng en si mismo no es un colector de flujos. Puede actuar como un colector en combinación
  3. con Nprobe. Para realizar esta conexion, debe iniciar Nprobe con el parametro –zmq y apuntar a la interfaz de ntopng
  4. para el Nprobe zmq endpoint.
  5. Utilizando ésta configuración da al administrador la posibilidad de utilizar ntopng como colector gráfico (web-ui / gui).
  6.  

Unificando los elementos.

Los pasos son sencillos, para quienes quieran incursionar más en lo que ntopng es capaz de hacer, hay guías y sobre todo, la ayuda de cada comando.

Aclaración: todo el desarrollo se lleva bajo entorno Windows Server 2008R2 y 2012.

Orden de herramientas a descargar:
1 –   Redis
  a.   Qué es redis. aws.amazon.com/es/elasticache/what-is-redis/
  b.   github.com/dmajkic/redis/downloads  para ver el repositorio
  c.   github.com/downloads/dmajkic/redis/redis-2.4.5-win32-win64.zip
2 –   Winpcap.
  a.   Qué es Winpcap. es.wikipedia.org/wiki/WinPcap
  b.   winpcap.org/install/bin/WinPcap_4_1_3.exe
3 –   Ntopng (Testeado en Windows Server 2008R2 y 2012)
  a.   Que es Ntop. es.wikipedia.org/wiki/Ntop
  b.   Enlace de descarga: packages.ntop.org/Windows/
  i.   packages.ntop.org/Windows/nProbeWin-x64-8.3.180407.zip
  ii.   packages.ntop.org/Windows/ntopng-3.6.180822-x64.zip
  c.   Hay veces que al instalar brinda error en runtime, lo que se debe hacer es bajar una versión anterior que funcione con la versión runtime 12.0.21005
  i.   packages.ntop.org/Windows/old/ntopng-3.4.180417-x64.zip

Una vez descargadas todas las herramientas, hay que comenzar con las configuraciones de cada una de ellas para que el collector, se dedique a la tarea que tiene encomendada.


Configurando en Mikrotik Netflow

Netflow permitirá enviar todos los datos a un collector, quien será encargado de procesar y mostrar los informes necesarios y parametrizables.

1-   Ir a Ip
2-   Hacer clic en traffic-flow
3-   En la nueva ventana que se lanza, hacer clic en “enabled” y presionar el botón “targets”
4-   Al lanzar la ventana “target” hacer clic en el botón “+” para agregar un nuevo host.
5-   En traffic flow target completar:
  a.   Dst-Address: el host que recibirá los datos para procesarlos
  b.   Port: colocar 2055
  c.   Versión: elegir la versión 9.

Luego de ello, aceptar todas las configuraciones realizadas.

Aclaracion: en traffic-flow setting es posible establecer una interfaz particular para ver las estadísticas, caso opuesto, elegir “all”.


Instalación de herramientas en Windows

Si utilizamos los instaladores por defecto (netflow) habrán muchos inconvenientes en los registros, servicios además al momento de utilizar, una situación bastante compleja.

Todo se debe ejecutar con los máximos privilegios (Administrador en caso de ser un Ad-Dc).

1-   Winpcap
2-   Copiar “redis” a una ubicación a elegir
3-   Instalar “Nprobe”
   a.   Una parte de la instalación pide unos parámetros:
     i.   Dirección Ip del host (es la misma dirección seteada en dst-address)
     ii.   Port: puerto seteado en traffic-flow
     iii.   Order Id: como indica el mensaje. 00000000

  b.   Luego pide instalar una librería de Windows.
  c.   Al finalizar NO instalar winpcap.
4-   Instalar “Ntop”
  a.   Llegada una parte de la instalación pide instalar Winpcap (dar cancelar)
  b.   Al finalizar la instalación pide instalar Redis (dar cancelar)

Una vez concluida la instalación, hay que continuar con las configuraciones de cada aplicación para tener el box completo.


Configuración Ntop y Nprobe

Al concluir la instalación, hay que empezar a configura las herramientas.
Veremos algunos comandos, más que nada enfocados a poder dejar todo el box listo para que haga el trabajo de collector e informe los flujos.

1)   Primero, hay que lanzar redis server.
–   Ir a la carpeta donde descomprimió el archivo
–       Lanzar el servidor de redis: redis-server.exe

–   Muchas veces, el firewall de Windows notifica que una aplicación quiere estar en modo escucha, aquí hay que permitir el acceso así redis empezará a recibir los flujos de datos que envía mikrotik.
Luego de ello, no hay que tocar esa ventana (debe quedar en modo listening).

2)   Configurar como servicio Nprobe.
–   Para ver la ayuda de los comandos hay que lanzar nprobe.exe /c –h

–   Hay que anotar el índice, ya que Windows difiere el modo de mostrarse a Gnu/Linux.
–   Como el comando debe iniciarse como servicio, hay que lanzar la siguiente secuencia:
o   Nprobe.exe /i <nombre-del-servicio> -i <índice-de-interfaz> -n <dirección ip y puerto> –zmq <protocolo:ip:puerto
o   Nprobe.exe /i Nprobe –i none –n none –zmq tcp://127.0.0.1:2055

Para eliminar el servicio, hay que lanzar el siguiente comando:
–   Nprobe.exe /r <nombre del servicio>

3)   Configurar Ntop como servicio.
–   Primero, hay que lanzar el comando para identificar las interfaces de red el mismo desplega los parámetros.
–   Ntopng.exe /c –h

–   Luego, resta lanzar el comando para que el servicio quede registrado.
–   Ntopng.exe /i <nombre-del-servicio> -i <numero-interfaz-de-red> –community –i <interfaz de red> <protocolo:dirección host:puerto>

–   ntopng.exe /i Ntop2 –local-networks “192.168.20.0/24,192.168.30.0/24,172.16.10.0/24” –community  tcp://127.0.0.1:2055
–      Con –local-networks indicamos a ntop que reconozca los segmentos de red que hay, ya que por defecto identifica todo como “remote”
–   La opción community lanzara Ntop con las opciones de la versión indicada.
–   Y para remover el servicio basta lanzar el comando:
o   Ntopng.exe /r <nombre_servicio>

4)   Ir al administrador de servicios y lanzarlos.


Abriendo puerto en Windows.
A veces el servidor no permite conexiones entrantes, ahora resta abrir el puerto 3000 (o el que se decida utilizar) para ingresar al web-ui.

Las siguientes imagenes muestran como abrir el puerto 3000.

La siguiente imagen muestra un mapeo realizado con Nmap.


NtopNg Web-Ui

Al concluir con las configuraciones, estamos en condiciones de acceder al panel web de Ntop, donde todo es más “amigable”.

Por defecto, se debe ingresar a la Ip que se configuró en Mikrotik con el puerto 3000. En este ejemplo es: 192.168.20.210:3000 y las credenciales son admin:admin

La primera vez que ingresamos al panel, require cambiar la contraseña de administrador.

Para quienes deseen conocer en profundidad todo el entorno gráfico y las opciones, el siguiente enlace cumple todos los requisitos: ntop.org/guides/ntopng/web_gui/index.html

Las siguientes imagenes muestran la información que proporciona NtopNg de toda la topología de red / segmentos / flujos de conexiones / protocolos / paquetes / estadísticas por Host / Sistemas Autonomos y también las alertas.

Muestra un mapeo a un equipo de red. Esto se ubica en el panel de “Advertencias”

Ese informe está ubicado en: “Hosts -> Looking Glass”
Ntop es capaz de identificar dispositivos por capa 2 (Mac) y capa 3 (Red), brinda información detallada del host (Sistema Operativo, Versión, flujo de paquetes, puertos activos)

Con ntopng.exe /i –dns-mode <opcion> permite modificar las resoluciones Dns.
Código: Text

  1. [–dns-mode|-n] <modo>| Modo de resolución de direcciones DNS
  2.                                     | 0 – Decodifica respuestas DnS y resuelve direcciones Ip locales. (defecto)
  3.                                     | 1 – Decodifica respuestas Dns y resuelve todas las direcciones Ip.
  4.                                     | 2 – Decodifica respuestas DnS y no resuelve la dirección Ip.
  5.                                     | 3 – No decodifica respuestas Dns y no resuelve direcciones Ip.
  6.  

Al buscar o ver el informe de un solo host, obtenemos lo siguiente:

También, flujos en tiempo real.

Protocolos en tiempo real.

Sistemas autonomos detectados.


A modo de resumen/conclusión, hay muchas cosas es capaz de mostrar:
– Estadisticas por interfaz de red
– Estadísticas por segmentos de red
– Connection Tracking en tiempo real de un host determinado.
– Implementando SSL, permite identifcar todo el tráfico de la red agrupado (Spotify, Netflix, Youtube, Facebook).

Una herramienta más que interesante y útil para conocer el estado de red detalladamente y granularmente.

Espero sea útil.

Gracias por leer, un saludo .!

Deja un comentario