NFSEN

NFSEN
Información sobre la plantilla
Flows.png
Última versión estableNFSEN 1.3.5 para su uso con nfdump 1.6.1.
LicenciaBSD
Sitio web
nfsen.sourceforge.net

NFSEN. Es una aplicación web para representar gráficamente los flujos de tráfico en la red. Existen varios protocolos para representar ese tráfico de modo que los switches y routers armen los flujos y los envíen a un equipo para su análisis. Los dos protocolos más utilizados son NetFlow y Sflow. NFSEN puede trabajar con ambos en simultáneo. Esta herramienta se distribuye bajo la licencia BSD y está escrito en los lenguajes Perl y PHP.

Desarrollo

La principal función de NFSEN es guardar un histórico del tráfico, de modo que ante alguna eventualidad se pueda detectar la anomalía. Los flujos proveen información como IPs de origen y destino, puertos de origen y destino, protocolo y flags para los protocolos, entre otras cosas. Es válido aclarar que en los flujos no están los datos y que esta herramienta sólo trabaja con flujos, no con SNMP ni con la salida de algún programa o script.

Utilizando NFSEN se pueden detectar hosts que están abusando de la red (haciendo spam, por ejemplo, o tratando de replicar un virus). Se puede detectar tráfico anormal, como puede ser un tráfico UDP en exceso, etc.

Esta herramienta es reactivo, se puede configurar para que realice una tarea ante un patrón de tráfico determinado. Además, dispone de una interface para escribr nuevos plugins. Permite mantener todas las ventajas conveniente de la línea de comandos mediante nfdump directamente y le da también una visión general gráfica sobre los datos de su netflow.

Funciones

  • Navegar fácilmente a través de los datos NetFlow.
  • Procesar los datos NetFlow en el intervalo de tiempo especificado.
  • Crear la historia, así como los perfiles de continuo.
  • Establecer alertas, sobre la base de varias condiciones.
  • Escribir sus propios plugins para procesar los datos NetFlow en un intervalo regular.
  • Mostrar los datos NetFlow: flujos, paquetes y bytes con RRD (Round Robin de bases de datos).

Instalación

Requisitos necesarios para su instalación:

  • NFSen está escrito en PHP y Perl, y debería funcionar en cualquier sistema NIX. Por lo menos Perl 5.6.0 y PHP 4.1 se requiere como el zócalo y la extensión Perl para expresiones regulares.
  • Alerta NFSen requiere los siguientes módulos Perl: Mail: Cabecera, Mail: Internet
  • Todos los gráficos netflow en NFSen requieren RRD. Por lo menos el módulo de Perl requiere RRDs.
  • Las herramientas nfdump son las herramientas de back-end para NFSen y recoger y procesar los datos NetFlow. Asegúrese de que tiene la versión 1.5.8 instalada. No trate de instalar otra versión porque sino los perfiles no funcionarán.

Primera instalación:

NFSen tiene una estructura de directorios muy flexible. Para simplificar la instalación cuando se realiza por primera vez el archivo de configuración está previsto por defecto, sólo requiere pequeños cambios en el trabajo. El diseño por defecto almacena todo, pero las páginas HTML se almacenan en BASEDIR. Sin embargo, puede configurar NFSen para adaptarse a sus necesidades locales.

Todos los datos NetFlow se almacenan en PROFILEDATADIR. Así que asegúrese de tener suficiente espacio en disco para este directorio. También es posible montar un volumen de disco dedicado a PROFILEDATADIR. Si ha instalado todos los requisitos previos, cambiado el directorio y copiado el fichero de configuración de plantilla NFSen NFSen-dist.conf a nfsen.conf. Editar nfsen.conf de acuerdo a sus necesidades. Cuando haya terminado con nfsen.conf, ejecute el script install.pl en el directorio de distribución NFSen: 

 ./install.pl etc/nfsen.conf . / Install.pl etc / nfsen.conf

Corriendo install.pl hará lo siguiente:

  • Crear el ambiente NFS en BASEDIR.
  • Copiar los archivos de php / html en el Htmldir
  • Crear el perfil en vivo.
  • Prepara el DBs RRD para el perfil en vivo.
  • Crea y configura config.php.

Después de la instalación, se debe encontrar el archivo nfsen.conf en CONFDIR. Esta documentación se instala en docdir. Sin embargo, la página web no tiene relación directa con la documentación.

Actualización:

Para actualizar la instalación NFSen actual primero hay que detener NFSen debido a incompatibilidades con nfprofile. 

  
 ./nfsen.rc  stop . / Stop nfsen.rc

Actualiza nfdump a estable 1.5.6. No te olvides de configurar nfdump con la opción enable-nfprofile. Esta actualización es necesaria 

 
. / Install.pl  <path/to/your/nfsen/etc/nfsen.conf>

Con esta operación se actualizará la instalación NFSen actual y ya está listo para usarse correctamente y sin fallas en le sistema. NFSen ha cambiado el diseño de base de datos RRD para poder añadir o eliminar las fuentes de NetFlow. Para ello es necesario convertir todos los DBs RRD de todos los perfiles de estilo antiguo con el nuevo estilo de diseño. Esto se hace automáticamente durante la instalación, pero tomará algún tiempo para completar, no puede interrumpir el proceso de conversión en cualquier momento o la instalación de NFSen quedará dañada. Una vez que ha realizado la actualización no se puede rebajar NFSen a una versión anterior.

Si usted tiene plugins instalados, compruebe el archivo README.plugins para algunos pequeños cambios necesarios de cada plugin. Si usted tiene instalado PortTracker , es necesario actualizar la versión PortTracker incluida en el directorio contrib, que viene con NFSen. No es necesario para reconstruir sus archivos de base de datos actual, sólo la reconstrucción de nftrack y reemplazar los archivos del plugin. Para esto vea el archivo INSTALL.

Véase también

Fuentes

  • NfSen - Netflow Sensor. (Sitio oficial en inglés). [citado noviembre, 9]. Disponible en: "nfsen.sourceforge.net".
Obtenido de «https://www.ecured.cu/index.php?title=NFSEN&oldid=1969875»