NTOP的安全策略

NTOP的安全策略

NTOP可以监测的数据包括：网络流量、使用协议、系统负载、端口情况、数据包发送时间等。通过它，基本上所有进出数据都无所遁形，不管拿来做例行的网络监测工作，还是拿来做报告，都是非常优秀的工具，让你的网络流量透明化。它工作的时候就像一部被动声纳，默默地接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况。不过，由于NTOP本质上是嗅探器，它是一把双刃剑，如何保证这些信息只能被授权的人士获得，将变得格外重要。

1 经常查看NTOP的进程和日志

经典的信息保密性安全模型Bell-LaPadula模型指出，进程是整个计算机系统的一个主体，它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用做其他不法用途，将给系统带来重大危害。在现实生活当中，许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的，而这些“木马”程序无一例外的是通过进程这一方式在机器上运行才能发挥作用的。要切实保证计算机系统的安全，我们必须对其进程进行监控和保护。

Linux系统提供了who、w、ps和top等查看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态及存活情况，从而采取相应的措施，来确保Linux系统的安全。它们是目前在Linux下最常见的进程状况查看工具，它们是随Linux套件发行的，安装好系统之后，用户就可以使用。Linux日志都以明文形式存储，所以你不需要特殊的工具就可以搜索和阅读它们。你还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中。这里有几个由系统维护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root才可以读，NTOP的日志文件查看非常方便，用鼠标点击“Utile”－“view log”按钮即可。如图-12所示。

图-12  NTOP日志界面

2 进行Web访问认证

默认情况下，编译Apache时自动加入mod_auth模块，利用此模块可以实现“用户名+密码”以文本文件为存储方式的认证功能。

（1）修改Apache的配置文件/usr/local/apache/conf/httpd.conf，对认证资源所在的目录设定配置命令。下面是对/usr/local/apache/htdocs/ntop目录的配置：

＜Directory /usr/local/apache/htdocs/ntop＞

Options Indexes FollowSymLinks

allowoverride authconfig  #表示允许对/usr/local/apache/htdocs/ntop目录下的文件进行用户认证#

order allow，deny

allow from all

＜/Directory＞

（2）在限制访问的目录/usr/local/apache/htdocs/ntop下建立一个文件.htaccess，其内容如下：

AuthName ""

AuthType basic

AuthUserFile/usr/local/apache/ntop.txt

require ntop #ntop用户可以访问#

（3）利用Apache附带的程序htpasswd，生成包含用户名和密码的文本文件/usr/local/apache/ntop.txt，每行内容格式为“用户名:密码”。

#cd /usr/local/apache/bin

#htpasswd -bc ../ntop.txt user1 234xyx14

欲了解htpasswd程序的帮助，请执行“htpasswd–h”。

（4）重新启动Apache服务器。然后在浏览器中输入localhost访问新建好的站点。这时就会要求输入用户名和口令，如图-13所示。

3 加密连接NTOP

NTOP支持SSL加密连接，为了防止非授权用户查看NTOP提供的网络信息，你可以使用SSL加密连接NTOP服务器与浏览器的数据。首先修改配置文件/etc/ntop.conf，使用以下选项：

--user ntop

### Sets the directory that ntop runs from.

--db-file-path /var/ntop

### Interface(s) that ntop will capture on (default: eth0)

#--interface eth0

### Configures ntop not to trust MAC addrs.  This is used when port mirroring or SPAN

#--no-mac

### Logging messages to syslog (instead of the console):

###  NOTE: To log to a specific facility, use --use-syslog=local3

###  NOTE: The = is REQUIRED and no spaces are permitted.

--use-syslog

### Tells ntop to track only local hosts as specified by the --local-subnets option

#--track-local-hosts

### Sets the port that the HTTP webserver listens on

###  NOTE: --http-server 3000 is the default

#--http-server 3000

###表示使用https连接#

--https-server 3001

### Sets the networks that ntop should consider as local.

###  NOTE: Uses dotted decimal and CIDR notation. Example: 192.168.0.0/24

###        The addresses of the interfaces are always local and don't need to be

specified.

#--local-subnets xx.xx.xx.xx/yy

### Sets the domain.  ntop should be able to determine this automatically.

#--domain mydomain.com

### Sets program to run as a daemon

###  NOTE: For more than casual use, you probably want this.

#--daemon

然后使用命令启动HTTPS连接和NTOP服务器。

apachectl stop

apachectl startssl

ntop start

注意 此时使用的是3001端口。

加密连接界面如图-14所示。

图-14 加密连接界面

SSL加密技术可以使NTOP提供的信息更加安全。只有授权用户可以查看。

4  NTOP使用技巧和总结

1．打开交换机SPAN端口

NTOP若是架设在集线器环境下时，便能监视到网络上所有的封包。但若是架设在交换机环境下时，除非是开放SPAN的功能，否则只能监测给自己的封包。

所谓SPAN，是The Switched Port Analyzer的缩写，通常被称为端口镜像或端口监听。SPAN功能是基于交换机的，而交换机的原理不同于集线器：交换机在获得了源端口的MAC地址后，会将流经该MAC地址的所有数据直接发往目标端口。下文主要说明如何在Catalyst 2950和Catalyst 3550上配置SPAN功能。

Catalyst 2950交换机可以在某一时间仅激活一个SPAN会话并只监听源口，Catalyst 2950交换机不能监听VLAN。Catalyst 3550交换机可以在同一时间内建立两个SPAN会话，它既能监听源口又可以监听VLAN。SPAN功能配置命令在Catalyst 2950和Catalyst 3550交换机上的使用形式是类似的，只是Catalyst 2950交换机不能用来监听VLAN。以下是SPAN实现的范例：

C2950#conf t

C2950(config)#

C2950(config)#monitor session 1 source interface fastEthernet 0/2

!-- Interface fa 0/2 is configured as source port

C2950(config)#monitor session 1 destination interface fastEthernet 0/3

!-- Interface fa0/3 is configured as destination port

C2950(config)#

C2950#show monitor session 1

Session 1

---------

Source Ports:

RX Only: None

TX Only: None

Both: Fa0/2

Destination Ports: Fa0/3

C2950#

注意 （1）与Catalyst 2900XL/3500XL系列交换机不同的是，Catalyst 2950/3550系列交换机可以对不同方向的数据流做区别处理，既支持单向又支持双向。

（2）使用Cisco IOS 12.0(5.2)WC(1)操作系统的Catalyst 2950交换机不支持以上命令，任何使用版本早于Cisco IOS 12.1(6)EA2的操作系统的Catalyst 2950交换机都不支持以上命令。

2．NTOP功能总结

NTOP能够显示基于IP地址的带宽占用情况，帮助网络管理员迅速定位恶意抢占网络带宽的用户和应用，还能基于协议的类型进行统计并生成直观的图表，帮助网络管理员了解业务流量的组成和比例，进而以此为依据来优化网络。

网络服务器的资料总流量（网卡的资料传送总数），以及CPU使用率和特殊服务等的封包传送率（或者说是流量），都是网络管理人员所必须要注意的事项，当流量发生异常变化的时候，就需要注意可能有黑客在尝试窃取我们的信息。另外，在网络管理方面，有必要了解我们Linux服务器的网络流量状态，并视流量来加以限制或者是加大带宽。本文介绍的NTOP是开源软件，但它比起其他的商业管理软件来说毫不逊色。

1

13(1)

14(1)

12(1)