La gestione di reti aziendali di medie e grandi dimensioni sta divenendo un compito sempre più complesso, che necessita di essere supportato da strumenti adatti, possibilmente che siano al contempo efficaci e semplici da utilizzare. Ntop è un tool open source per il monitoraggio passivo del traffico, che supporta varie attività di gestione della rete, sia in termini di ottimizzazione e pianificazione sia in termini di rilevamento di anomalie e potenziali violazioni della sicurezza. In questo articolo esamineremo le caratteristiche e le potenzialità di ntop, minuscolo nel suo nome originale, mostrando in che modo esso possa supportare le attività dei gestori o degli operatori della vostra rete aziendale.
Network top
Ntop è un prodotto con oltre dieci anni di sviluppo alle spalle e attualmente utilizzato da molte importanti aziende: il nome del progetto deriva dal comando Unix top, che presenta statistiche sull’uso delle risorse da parte dei singoli processi in esecuzione su una macchina. Ntop ha prima di tutto lo scopo di fornire importanti dati statistici che caratterizzino il traffico, al fine di fornire informazioni su cui basarsi per rilevare e risolvere problemi alla rete. Attraverso una semplice e chiara interfaccia Web, ntop consente di visualizzare dati quali
- Distribuzione del traffico per protocollo (TCP, ICMP, …) o per servizio (FTP, P2P, …)
- Matrici di comunicazione (“chi parla con chi”)
- Connessioni attive per ogni client
- Percentuale di banda utilizzata da ogni host
- Traffico VoIP
- Storico delle sessioni TCP
Figura 1: Esempio di matrice di comunicazione
Ntop comprende inoltre funzionalità per l’inventario di rete, quali ad esempio
- Mappatura delle strutture di rete (router, proxy, …)
- Mappatura dei servizi di rete (DNS, routing, …)
- Distribuzione del traffico
- Mappa topologica della rete
- Inventario di servizi attivi su ogni host
- Individuazione di host sospetti
Figura 2: Esempio di mappa topologica della rete
Rilevazione dei problemi di rete e sicurezza
Una delle caratteristiche più interessanti di ntop è la capacità di fornire supporto per la rilevazione di problemi di vario tipo all’interno della propria rete. L’amministratore può essere avvertito di un’anomalia rilevata attraverso un allarme inoltrato, ad esempio, via email o sms da ntop stesso. Alcuni esempi di anomalie individuabili sono i seguenti:
- Duplicazione o spoofing di indirizzi IP
- Server DNS che non fanno uso di cache
- Interfacce di rete in modalità promiscua (pericolo di sniffing)
- Host configurati come router (pericolo di man in the middle)
- Uso eccessivo di banda (dipendenti con download attivi, ma anche worm per lo spamming)
- Port scanning (possibile interesse alla vostra rete da parte di un malintenzionato)
- Denial of Service (banda satura e conseguente impossibilità di erogare servizi)
Per una trattazione più specifica dei singoli pericoli potete fare riferimento al precedente articolo La sicurezza di una LAN o direttamente al canale Sicurezza.
Per avere un’immagine del comportamento medio della rete, facilitando il compito di comprendere e prevenire eventuali attacchi, lo storico del traffico può venire archiviato su un database, e i dati possono essere esportati, anche solo parzialmente (e.g. filtro per protocollo), in diversi formati, tra cui XML, RRD e PHP.
Monitoraggio su reti ad alta velocità
Gli standard per il monitoraggio di rete, oggigiorno, non mancano: Netflow di Cisco è uno standard commerciale de facto, che agisce sui router ed esporta le informazioni che passano attraverso di essi; IPFIX è NetFlow versione 9 standardizzato IETF. Il problema per questo tipo di sonde sono le performance: processando fino a circa 10.000 pacchetti al secondo, non riescono a coprire reti veloci (Gbit), e devono sopperire a questa mancanza con il sampling, ossia facendo processare alla sonda solo un sottoinsieme di pacchetti. Ntop consente, attraverso un plugin, l’analisi di flussi Netflow, ma garantisce anche una soluzione migliore in presenza di reti veloci.
Sflow è uno standard per reti switchate ad alta velocità, basato sul sampling. Garantisce il non peggioramento delle performance della rete, e offre dati dettagliati in tempo reale e storico del traffico. Ntop fa parte del consorzio sflow.org.
nProbe è invece una sonda open source per il monitoring di reti Gbit che non necessita di sampling: utilizzato assieme a ntop offre una soluzione completa ed efficiente di monitoraggio e analisi del traffico anche su reti ad alta velocità. Entrambi i prodotti sono disponibili per tutti i più diffusi sistemi operativi (Linux, Windows, MacOSX), con l’unico appunto che il monitoraggio di reti Gbit su Linux richiede di patchare il kernel con PF_RING.
NProbe è distribuita come applicazione software stand-alone o in appliance denominate nBox.
Figura 3: Appliance nBox
Conclusioni
Ntop è uno strumento che può rivelarsi di grande utilità in reti di medie o grandi dimensioni anche ad alta velocità, consentendo in modo semplice e flessibile di monitorare e analizzare il traffico, rendendo così più efficiente il processo di individuazione di anomalie e problemi di diverso tipo all’interno della propria rete. L’opportunità di riuscire a comprendere e prevenire problematiche legate in particolar modo alla sicurezza non andrebbe sottovalutata in un contesto in cui sia presente il pericolo di attacchi al proprio sistema informativo aziendale.