ntop ist für Netzwerke das, was top für Prozesse auf dem lokalen System ist. Mit top kann lassen sich Prozess-Informationen aller Art einsehen: Speicher- und Prozessorauslastung, Systemauslastung und so weiter. ntop macht ähnliche Informationen transparent, nur in Bezug auf Netzwerkprozesse: Netzwerkdurchsatz, aktive Verbindungen, welche Hostrechner mit welchen Sites verbunden sind, die Bandbreitenmenge, die an eine bestimmte Site übertragen wird, welche Protokolle genutzt werden und mehr. ntop bietet so viele Informationen, dass es eine Weile dauert, bis man einen Überblick bekommt und findet, was einen interessiert.
Eine Reihe von Linux-Distributionen liefern ntop als fertiges Installationspaket, sodass es sich bequem mit yum, urpmi oder apt-get aufspielen lässt. Wenn es installiert ist, sollte es zuerst manuell gestartet werden, damit ein Administrator-Passwort festgelegt werden kann. Statt service ntop start auszuführen, startet man ntop direkt. Es fragt dann nach einem Passwort, bevor es den eigentlichen Dienst initialisiert. Ist ein Passwort festgelegt, kann man mit CTRL-C den Dienst beenden. Damit der Dienst im Hintergrund laufen kann, muss jetzt service ntop start ausgeführt werden.
Die Verbindung mit dem Host, auf dem ntop läuft, klappt standardmäßig über Port 3000. Möglicherweise bestehen Zugriffsbeschränkungen, die den Zugriff auf alles andere als Verbindungen, die vom lokalen Host ausgehen, verbieten. Wer von einem anderen Host aus eine Verbindung herstellen möchte, muss eventuell die ntop-Konfigurationsdatei (/etc/ntop.conf bei Fedora) bearbeiten. Bei Fedora zum Beispiel hört ntop auf 127.0.0.1:3000 für http-Verbindungen. Um die Adresse erreichbar zu machen, muss sie geändert werden, zum Beispiel in 192.168.10.1:3000. Ein Neustart macht die Änderungen wirksam. Jetzt kann sich der Nutzer mit einem Webbrowser über die Adresse http://[ip_address]:3000 einloggen oder über https://[ip_address]:3001, wenn der HTTPS-Server aktiviert ist (siehe Konfigurationsdatei).
Nach dem Einloggen bietet ntop jede Menge Informationen über den Datenverkehr im Netzwerk. Auf der Hauptseite findet man allgemeine Traffic-Statistiken, die unter anderem folgende Informationen liefern:
Oben auf der Seite befinden sich Links zur Konfiguration verschiedener Plug-ins und Konfigurationsoptionen für ntop. Es gibt auch Links zu anderen Darstellungsmöglichkeiten der Daten, etwa die Statistik zur Netzwerkauslastung in Form von RRD-Grafiken oder eine Darstellung der Verbindungen nach Host. Letzteres ist wirklich praktisch, wenn man wissen möchte, welche Systeme mit einer bestimmten Domäne verbunden sind und auf welche Weise.
Ein Beispiel: Wer auf einen Link wie „www.facebook.com“ klickt, kann genau sehen, wann in den letzten 24 Stunden Daten dorthin geschickt wurden, welche Hosts im lokalen Subnetz sich damit verbunden haben und welches Protokoll verwendet wurde (etwa HTTP oder HTTPS). Es gibt sogar Links, bei denen man mithilfe von Google Maps sehen kann, wo der Zielhost geografisch steht, und mit einem einfachen Klick sind sogar WHOIS-Informationen verfügbar.
Die Informationsmenge, die ntop bereitstellt, ist sehr beeindruckend. Wer Fehler beseitigen oder die Netzwerkauslastung und den Durchsatz überwachen muss, ist mit ntop definitiv gut bedient.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…