En el siguiente artículo vamos a echar un vistazo a Ntopng. Se trata de un monitor de trafico de red evolucionado desde el programa original conocido como Ntop, el cual fue creado por la organización inglesa del mismo nombre en 1998. Ntopng es una aplicación para monitorizar el tráfico de red basada en web y lanzada bajo GPLv3. Nos va a proporcionar una interfaz de usuario web intuitiva y encriptada para explorar la información del tráfico de red en tiempo real y de forma histórica.
Está aplicación está diseñada para ser un reemplazo de alto rendimiento y bajo consumo de recursos para ntop. El nombre viene de “ntop next generation”. Las versiones del código fuente están disponibles para los sistemas operativos: Unix, Gnu/Linux, BSD, Mac OS X y Windows. Las versiones binarias se encuentran disponibles para CentOS, Ubuntu y OS X. El motor de ntopng está escrito en C ++, mientras que la interfaz web está escrita en Lua.
Ntopng básicamente es una sonda de tráfico de red que va a monitorizar el uso de la red. Está basado en libpcap, una Librería escrita como parte de un programa más grande llamado TCPDump. Ntopng se basa en el servidor de valores clave Redis en lugar de una base de datos tradicional, aprovecha nDPI para la detección de protocolos, admite la geolocalización de hosts y puede mostrar análisis de flujo en tiempo real para hosts conectados.
Ntopng está disponible en tres versiones; Community: Versión gratuita y de código abierto alojada en GitHub con licencia GNU GPLv3, Professional y Enterprise. Las versiones Professional y Enterprise nos van a ofrecer algunas características adicionales.
Características generales de Ntopng
- Captura de paquetes → Captura / transmisión de paquetes utilizando hardware básico con PF_RING. Distribución de paquetes de copia cero en subprocesos, aplicaciones y máquinas virtuales. Incluye soporte de Libpcap para una integración perfecta con aplicaciones heredadas.
- Grabación de tráfico → Grabación de tráfico de red sin pérdida de 10 Gbit y superior con n2disk. Formato de archivo PCAP estándar de la industria. Permite recuperar rápidamente paquetes usando BPF. Reproducción precisa del tráfico con disk2n.
- Sonda de red → nProbe: sonda extensible NetFlow v5 / v9 / IPFIX con soporte de complementos para la inspección de contenido L7.
- Informar sobre el uso del protocolo IP → Llegando incluso a clasificarlo por tipo de protocolo.
- Análisis de tráfico → Análisis de tráfico basado en web de alta velocidad y recopilación de flujo utilizando ntopng. Estadísticas de tráfico persistentes en formato RRD. Análisis de capa 7 aprovechando nDPI, un marco DPI de código abierto. Llegando incluso a clasificar el tráfico según la fuente/destino.
- Geolocalizar y superponer hosts → Esto lo hará sobre un mapa geográfico.
- Motor de alertas → Podremos capturar hosts anómalos y sospechosos.
- Producir estadísticas de tráfico de red → Utilizando tecnología HTML5/AJAX.
- Tendremos soporte completo para los protocolos de red actuales → Incluyendo IPv4 e IPv6.
Estas son solo algunas de las características. Se pueden consultar todas ellas en la página web del proyecto.
Instalación de ntopng en Ubuntu
Para instalar esta herramienta en Ubuntu 18.04, no habrá más que abrir una terminal (Ctrl+Alt+T) y escribir el siguiente comando en ella:
sudo apt install ntopng
Lo siguiente que tendremos que hacer es editar el archivo de configuración situado en /etc/ntopng.conf y descomentar la línea de nuestra interfaz de red o añadirla:
sudo vim /etc/ntopng.conf
El siguiente paso será editar el archivo /etc/ntopng.start y añadir en ahí la IP de nuestro servidor:
sudo vim /etc/ntopng.start
Tras la instalación y configuración, podemos reiniciar el servicio de ntopng con este comando:
systemctl restart ntopng
En este punto, ya podemos entrar desde el navegador web a la interfaz de Ntopng mediante la siguiente URL:
http://IP-DEL-SERVIDOR:3000
El usuario y la contraseña predeterminadas son admin – admin para el primer login. Justo después nos pedirá que cambiemos esta contraseña.
Documentación
Si quieres saber más sobre su funcionamiento u obtener más información sobre ntopng, se puede visitar la Documentación para el usuario y la Documentación de la API. También se puede encontrar más información en la página web del proyecto.
Esta es una gran herramienta de software libre que nos ofrece excelentes posibilidades a para la monitorización del tráfico de red. Ntopng resulta una excelente opción a probar para aquellos que gustan de utilizar aplicaciones un poco más avanzadas de lo normal para analizar el tráfico de red.