Selamlar,
Networkünüzdeki trafiği kullanıcılarınızla firewall unuz arasına bir katman sokmadan izlemek istiyorsanız kullanabileceğiniz opensource tool lardan birisi olan NTOPNG nin kurulumu aslında oldukça basittir. Bunu yapabilmeniz için 2 ethernet interface i olan bir fiziksel yada sanal makina işinizi gayet rahat görecektir. Ancak burada dikkat etmeniz gereken unusur yapılacak işin paket analizi olduğunu unutmayarak RAM miktarınızı 4 GB tan aşağıda tutmamak ve mümkünse işlemcinizi hızlı seçmektir.
Öncelikle http://ftp.itu.edu.tr/Mirror/CentOS/6.4/isos/x86_64/ adresinden Centos’un minimal ISO sunu indirip işletim sistemini kuruyoruz. (Çift Interface olmasına dikkat ediyoruz.) Selinux ü kapatıp firewall u disable ediyoruz.
Selinux ü disable etmek için;
vi /etc/selinux/config dosyasındaki aşağıdaki satırı disable ediyoruz.
SELINUX=enforced satırını SELINUX=disabled olarak değiştiriyoruz.
not: vi editörünün kullanımı için http://www.linuxprogramlama.com/index.php?topic=48.0;wap2 sitesini ziyaret edebilirsiniz.
İptables ı kapatmak için;
chkconfig iptables off
chkconfig ip6tables off
service iptables stop
service ip6tables stop
Not: iptables ı tamamen disable etmek bir güvenlik açığı oluşturacaktır ancak en azından datayı mirror ettiğiniz interface için kapatmanız gerekecektir.
2. aşamada yönetim için kullanacağımız interface e ip vermemiz gerekmekte. Default olarak Centos un minimal kurulumunda mevcut interface ler kapalı olarak gelir yani ifconfig komutunu çalıştırdığınızda sadece loopback interface e ait bilgiler olacaktır.
Makalede eth0 management eth1 sniffing interface olarak kurgulanmıştır.
Bunun için yapmanız gereken adımlar;
1- Management Interface Ayarları
Aşağıda belirttiğim komutu çalıştırdığınızda açılan dosyada Kalın olarak yazılmış satırları değiştirmeniz/eklemeniz gerekmektedir.
vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
HWADDR=00:00:00:00:00:00
TYPE=Ethernet
UUID=caf16889-f94f-0000-0000-000000000000
ONBOOT=yes –>Serverın açıldığında interface in Up olması için
NM_CONTROLLED=yes
BOOTPROTO=static –>DHCP den değil statik bir IP adresi alması için (Eğer DHCP den IP almasını istiyorsanız bu kısma dhcp yazarak aşağıdaki satırları eklememeniz gerekir.)
IPADDR= <Server IP Adresi>
NETMASK=<Subnet 255.255.255.0 gibi>
GATEWAY=<Firewall, yada modeminizin IP adresi> –>Bu satırı yazdığınızda el ile route tablosuna 0.0.0.0 için default route girmenize gerek kalmayacaktır.
2- Sniffing Interface Ayarları
Aşağıda belirttiğim komutu çalıştırdığınızda açılan dosyada Kalın olarak yazılmış satırları değiştirmeniz gerekmektedir.
vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
HWADDR=00:00:00:00:00:00
TYPE=Ethernet
UUID=caf16889-f94f-0000-0000-000000000000
ONBOOT=yes –>Serverın açıldığında interface in Up olması için
NM_CONTROLLED=yes
BOOTPROTO=static –>DHCP den değil statik bir IP adresi alması için bu konfigürasyon yapılıyor. Aşağıda herhangi bir IP adresi belirtmediğimiz için bu interface e ait bir IP adresi olmuyor ki gerekte yok.
Temel ayarları bitirdikten sonra gelelim NtopNG kurulumuna…
İlk önce kurulum sırasında bize gerekecek olan 2 tool u kuralım;
yum -y install wget
yum -y install mlocate
ardından updatedb komutu çalıştırılır ki locate komutu ile istediğimiz dosyayı daha çabuk bulabilelim. (mlocate paket kurulumu opsiyoneldir. kurmasakta olur.)
NtopNG yi kurmak için 2 yöntem mevcut. 1. yöntem yazılımları ntop.org sitesinden download edip derleyerek kurmak, 2. si ise daha kolay bir yöntem olan yum paket yöneticisini kullanmak. Ben size basit olan yöntemi anlatacağım çünkü diğer yöntem ciddi derecede başlangıç için zor.
NtopNG Centos’un default yum reposunda bulunmamaktadır. Öncelikle Yum paket yöneticisine bakması gereken repolar arasına Ntop reposunu da alması gerektiğini söylemektir. Bunun için;
vi /etc/yum.repos.d/ntop.repo
komutu çalıştırılır ve içerisine aşağıdaki satırlar eklenir;
[ntop]
name=ntop packages
baseurl=http://rpm.ntop.org/$releasever/$basearch/
enabled=1
gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri
Ardından da Epel Reposunun kurulması gerekmektedir.
cd /root
wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -Uvh epel-release-6-8.noarch.rpm
rm -rf epel-release-6-8.noarch.rpm
Sıra paketlerin kurulumuna geldi;
yum clean all
yum -y update
yum -y install pfring n2disk nProbe ntopng ntopng-data
Kurulum bittikten sonra yapılması gereken ufak tefek ayarlar kalıyor;
Öncelikle ntopng yi açılışta çalıştırmak için aşağıdaki komutları çalıştırıyoruz.
chkconfig ntopng on
chkconfig redis on
Ardından NtopNG’nin konfigurasyon dosyalarını oluşturarak gerekli konfügürasyonu giriyoruz.
touch /etc/ntopng/ntopng.start
touch /etc/ntopng/ntopng.conf
vi /etc/ntopng/ntopng.start
–local-networks “your subnet here”
–interface 1
vi /etc/ntopng/ntopng.conf
Örnek Konfigürasyon
-G=/var/run/ntopng.pid
-U ntopng
#–daemon
-w 3000
#–data-dir /etc/ntopng/data
#–httpdocs-dir /usr/local/share/ntopng/httpdocs
#–scripts-dir /usr/local/share/ntopng/scripts
#–callbacks-dir /usr/local/share/ntopng/scripts/callbacks
#–redis localhost:6379
–interface eth1
-i eth1
#–interface 6
#–pid /var/run/ntopng/ntopng.pid
#-G=/var/run/ntopng/ntopng.pid
#–protocols /usr/local/ntop/etc/ntop/protocol.list
#–local-subnets “192.168.40.0/24,192.168.42.0/24,192.168.43.0/24,192.168.45.0/24”
-m “192.168.0.0/24”
#–verbose
NtopNG için kullanıcımızı oluşturalım;
useradd ntopng
Şifresini belirleyelim;
passwd ntopng
Sıradaki İşlemimiz ise NtopNG’nin kullandığı GEOIP Databaselerini güncellemek.
Bunun için sırasıyla aşağıdaki komutları çalıştırmanız yeterli olacaktır.
cd /usr/local/share/ntopng/httpdocs/geoip
wget http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
gunzip GeoIPASNum.dat.gz
wget http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNumv6.dat.gz
gunzip GeoIPASNumv6.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gunzip GeoLiteCity.dat.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCityv6-beta/GeoLiteCityv6.dat.gz
gunzip GeoLiteCityv6.dat.gz
Son olarak artık sistemi ayağa kaldırma zamanı geldi.
Bunun için sırasıyla;
service redis start
service ntopng start
komutlarını çalıştırıyoruz.
Not: Service ntopng stop komutu çalışmayacaktır. NtopNG yi durdurmak için ise;
ps -ef |grep ntopng
komutu çalıştırılır ve PID numarasına bakılır.
Ardından
kill -9 PID numarası
komutu çalışıtırılır.
Son olarak
shutdown -r now
yapıyoruz ki tüm konfigürasyon temiz olarak load edilsin…
Web arayüzüne ulaşmak için;
http://IP ADRESI:3000
User: admin
Password: admin
İyi çalışmalar…