服务器应用:用NTOP精确监控网络(下)

在上两篇文章中，介绍了了什么需要对流量监控，以及ntop软件的安装，本篇介绍如何安全使用ntop软件。

四、安全使用NTOP

    Ntop可以监测的数据包括：网络流量、使用协议、系统负载、端口情况、数据包发送时间等。透过它﹐基本上所有进出数据都无所遁形，不管拿来做例行的网络监测工作﹐还是拿来做报告﹐都是非常优秀的工具，让您的网络流量透明化。它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况。不过﹐由于ntop本质上是嗅探器，它是一把双刃剑﹐如何保护这些信息只能给授权的人士获得﹐将变得额外重要。
 
    （1）经常查看ntop的进程和日志

     经典的信息保密性安全模型Bell-LaPadula模型指出，进程是整个计算机系统的一个主体，它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用作其他不法用途，将给系统带来重大危害。在现实生活当中，许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的，而这些“木马”程序无一例外的是需要通过进程这一方式在机器上运行才能发挥作用的。要切实保证计算机系统的安全，我们必须对其进程进行监控和保护。NTOP提供了详细的日志见图9。
 

图9 NTOP工作日志

    （2） 进行web访问认证

    缺省情况下，编译Apache时自动加入mod_auth模块，利用此模块可以实现“用户名+密码”以文本文件为存储方式的认证功能。

    1.修改Apache的配置文件/usr/local/apache/conf/httpd.conf，对认证资源所在的目录设定配置命令。

    下例是对/usr/local/apache/htdocs/ntop目录的配置：
　　＜Directory /usr/local/apache/htdocs/ntop＞
　　Options Indexes FollowSymLinks
　　allowoverride authconfig  #表示允许对/usr/local/apache/htdocs/ntop目录下的文件进行用户认证#
　　order allow,deny
　　allow from all
　　＜/Directory＞

    2.在限制访问的目录/usr/local/apache/htdocs/ntop下建立一个文件.htaccess，其内容如下：
　　AuthName ""
　　AuthType basic
　　AuthUserFile/usr/local/apache/ntop.txt
　　require ntop #ntop用户可以访问#

    3.利用Apache附带的程序htpasswd，生成包含用户名和密码的文本文件：/usr/local/apache/ntop.txt，每行内容格式为“用户名:密码”。
　　#cd /usr/local/apache/bin
　　#htpasswd -bc ../ntop.txt user1 234xyx14
　　欲了解htpasswd程序的帮助，请执行htpasswd –h

    4.重新启动Apache服务器，然后在浏览器中输入localhost访问新建好的站点。这时就会要求输入用户名和密码。

总结：

    Ntop是一款显示网络使用状况的流量监测软件，类似于在Unix系统上监控系统行程的top命令，在指令模式的状态下，Ntop会将网络的使用动况显示在虚拟终端机上，而在Web的接口中，Ntop会将所有的统计数据都绘制成图标的型式，编成HTML格式来显示。特色功能：

    网络流量统计

    Ntop可以针对整个网络环境进行流量的统计，可以在整个统计的网页中看到网络流量的使用状态，Ntop也会针对各别的使用者网络流量进行统计，所以在网页上也可以看到哪一位使用者的流量是最高的，另外Ntop也会将流量分成传送及接收两个部份，以便管理人员能够更清楚的掌握目前的流量情况为何。

    网络状态监测

    Ntop可以监测到网络上任何没有遵守既定的政策的状况，也可以侦测到超出使用限制范围的情况，许多管理人员会制定一些网络使用的政策，但是还是有一些使用者并不会遵守，例如会下载大量的MP3来消磨时间等，藉由这个功能也可以很轻易的就把这些现象给找出来。

    网络状态最佳化及规划

    管理人员可以利用Ntop所显示出来的网络状态，为企业的网络做更好的规划动作。

    监测网络安全问题

    有许多网络安全的攻击事件都来自内部网络本身，为了这个原因，Ntop提供了追踪正在进行的攻击及列出相关可能的漏洞供管理人员参考，比方说是IP伪造、网卡进入混乱模式、DoS及DDoS的攻击、特洛伊木马程序及Port Scan等攻击，当某些漏洞或是问题被发现的时候，Ntop就会发出警讯来通知系统人员(可以经由邮 件、SNMP、或是系统讯息等)，让系统人员可以解决这个问题。