Monitorización con Raspberry Pi

Objetivos

  • Guía para la conexión a la red y configuración del dispositivo.
  • Instalación del agente y del satélite de Pandora FMS en un dispositivo Raspberry.
  • Creación automática del usuario pandora, securizar el protocolo ssh.

Componentes hardware

Raspberry

Un dispositivo Raspberry es un computador de placa reducida, computador de placa única o computador de placa simple (SBC) de bajo coste. Su sistema operativo oficial es una versión Open Source adaptada de Debian, denominada Raspbian.

Teclado

Teclado con conexión USB

Monitor

Monitor con conexión HDMI

Software

Imagen Pandora FMS para Raspberry

La imagen distribuida se basa en el sistema operativo Raspbian. Contiene el agente, el satélite, el cliente de eHorus, los paquetes para instalar una sonda netflow y todas las dependencias de estos.

Instalación

Flashear imagen en la tarjeta SD

Descargar imagen oficial de Pandora FMS para raspberry

El paso inicial de instalación es descargar la imagen oficial de Pandora FMS para Raspberry en su página de descargas oficial: Pagina descargas oficial Nos habremos descargado un archivo .img que procederemos a flashear en nuestra tarjeta SD de al menos 4gb.

Descargar Etcher

Para flashear la imagen usaremos el software Etcher, que puede ser descargado en Etcher Pagina Oficial y que funciona de manera similar tanto en Windows como en Linux.

Proceso para flashear la imagen en la tarjeta SD

Seleccionamos la imagen de Pandora FMS que queremos montar en la tarjeta SD pulsando en select image. Esto abrirá el explorador de archivos para que seleccionemos nuestra imagen de Pandora FMS previamente descargada.

Seleccionamos nuestra tarjeta SD previamente insertada en el ordenador. Si nuestra tarjeta es la que aparece por defecto, lo dejamos como está y si no pulsamos en change y seleccionamos la tarjeta SD deseada.

Pulsamos en el botón de Flash! para montar la imagen en la tarjeta. Posteriormente extraemos la tarjeta de forma segura.

Conexión hardware

En este paso conectaremos todos los componentes para encender la Raspberry con nuestro sistema operativo:

  • Introducimos la tarjeta SD en el compartimento de la parte inferior de la caja.
  • Conectamos el teclado a cualquier puerto USB.
  • Conectamos el cable HDMI al monitor y al puerto HDMI de la Raspberry.
  • Conectamos el cable de alimentación al dispositivo y a la corriente eléctrica.

Configuración de red

En el monitor veremos cómo se inicia el dispositivo y tras esto nos aparecerá un instalador en el que podremos seleccionar qué interfaz deseamos configurar.

Cableada DHCP

Seleccionamos Eth0 para configurar la interfaz de red por cable:

Nos preguntará si deseamos cambiar la configuración de la interfaz Eth0

Seleccionamos DHCP en caso de que tengamos un servidor DHCP en la red.

Tras esto, nos aparecerá un mensaje de que la red cableada se ha configurado correctamente.

Cableada Estática

Seleccionamos IP STATIC si deseamos configurar la interfaz cableada manualmente.

Introducimos la IP estática de nuestra Raspberry.

Introducimos la Gateway de nuestra red.

Introducimos la máscara de red.

Introducimos el DNS público.

Obtendremos un mensaje de que la configuración se ha realizado con éxito.

Inalámbrica DHCP

Seleccionamos Wlan0 para configurar la interfaz de red inalámbrica.

Nos preguntará si deseamos cambiar la configuración de la interfaz Wlan0

Seleccionamos DHCP en caso de que tengamos un servidor DHCP en la red.

Nos dará a escoger en una lista el nombre de nuestro punto de acceso.

Introducimos la clave de nuestro punto de acceso.

Obtendremos un mensaje de que la configuración se ha realizado correctamente.

Inalámbrica Estática

Seleccionamos WIFI STATIC si deseamos configurar la interfaz cableada manualmente.

Nos dará a elegir en una lista el nombre de nuestro punto de acceso.

Introducimos la clave de nuestro punto de acceso.

Introducimos la IP estática de nuestro dispositivo.

Introducimos la máscara de red.

Introducimos la Gateway de nuestro punto de acceso.

Obtendremos un mensaje diciendo que la configuración se ha realizado con éxito.

Salir del instalador

Para salir del instalador retrocedemos hasta el menú principal y pulsamos cancelar.

Configuración Agente/Satélite

Agente

Para instalar el agente seleccionamos AGENT en el menú.

Nos pedirá la IP del servidor Pandora FMS al que queremos apuntar el agente.

Ahora introducimos el grupo existente en el servidor al cual queremos añadir el agente.

Satélite

Para instalar el satélite seleccionamos SATELLITE en el menú.

Nos pedirá la IP del servidor Pandora FMS al que queremos apuntar el satélite.

Introducimos el rango de la red que queremos monitorizar junto con su máscara.

Introducimos la comunidad o lista de comunidades SNMP de los dispositivos de nuestra red.

Introducimos el usuario o lista de usuarios para hacer consultas WMI a los equipos de la red

Postinstalación

Configuración cliente eHorus

Edite el fichero /etc/ehorus/ehorus.conf y reemplace el token “eh_user” por su usuario en eHorus. Descomentar la línea de password secret y reemplazarla por una contraseña para acceder a su agente desde eHorus.

Si queremos ver el entorno gráfico debemos instalar la dependencia de x11vnc

apt-get install x11vnc

Iniciar el servicio con:

/etc/init.d/ehorus_agent_daemon start

Sonda Netflow

Su funcionamiento se basa en la utilización de varios componentes:

  • Un dispositivo con compatibilidad Netflow, generalmente un hardware de red tipo switch o router, que genera paquetes de información, o bien una sonda Netflow.
  • Un colector Netflow, que recibe los paquetes generados por el dispositivo anterior, almacenándolos y procesándolos. Suele ser una herramienta o servidor con estas capacidades.

Pandora FMS utiliza una herramienta OpenSource llamada nfcapd para procesar todo el tráfico Netflow. Este demonio lo levanta de forma automática el servidor de Pandora FMS. Este sistema almacena los datos en ficheros binarios, en una ubicación determinada. Debe instalar nfcapd en su sistema antes de poder trabajar con Netflow en Pandora FMS. El demonio nfcapd por defecto escucha en el puerto 9995/UDP, por lo que tendrá que tenerlo en cuenta si tiene firewalls para abrir este puerto y a la hora de configurar sus sondas Netflow.

Sonda Netflow por software

Si no dispone de un router con Netflow pero su tráfico “pasa” por un sistema Linux, puede instalar un software que actúe de sonda y envíe información de tráfico Netflow al colector. En Linux existe un programa llamado fprobe que captura el tráfico y lo reenvía a un servidor NetFlow. Con él puede generar tráfico Netflow, de todo el tráfico de red que pasa por sus interfaces.

Primero debemos instalar fprobe:

apt-get install fprobe

Nos preguntará qué interfaz queremos monitorizar y a qué ip:puerto queremos enviar la información. En caso de que no nos pregunte deberemos ejecutarlo con el siguiente comando:

/usr/sbin/fprobe -i <interfaz_monitorizar> -fip <ip_colector>:<puerto>

En el ejemplo siguiente se enviará todo el tráfico del interfaz eth0 al colector Netflow escuchando en el puerto 9995 de la IP 192.168.70.185:

/usr/sbin/fprobe -i eth0 -fip 192.168.70.185:9995

Una vez generado tráfico, podrá ver estadísticas de este tráfico en el colector Netflow con el comando:

nfdump -R /var/spool/pandora/data_in/netflow

Hay que habilitar Netflow para que sea accesible desde los menús Operación y Administración: Habilitar netflow

Una vez configurado el Netflow, habrá que reiniciar el servidor de Pandora FMS para que levante el servidor nfcapd. Este debe estar correctamente instalado antes de intentar arrancarlo. Compruebe los logs del servidor ante cualquier duda.

Sonda Netflow con Port Mirroring