ntopng è la versione di prossima generazione dell’originale ntop, una sonda di traffico di rete che monitora l’utilizzo della rete.
ntopng fornisce un’interfaccia utente web intuitiva e crittografata per l’esplorazione di informazioni sul traffico in tempo reale e storico. E’ nato come strumento di analisi del traffico e con il tempo si è “evoluto” fino a diventare un application filter.
Che cos’è NtopNG
ntopng è uno strumento di networking per l’analisi del traffico che offre una visibilità senza precedenti
sui pacchetti che viaggiano in rete.
Una delle funzioni più interessanti presenti dell’ultima versione di ntopng è senza dubbio quella di application filter, grazie alla quale possiamo controllare più di 250 applicazioni tra le quali Facebook, Youtube, WhatsApp, Skype e Tor, bloccando o limitando la banda delle richieste dei client e impedendo, di fatto, il loro utilizzo non controllato. Vediamo adesso alcune funzioni e scopriamone le potenzialità.
Panoramica delle features
ntopn viene rilasciato in tre differenti versioni: Community, Professional ed Enterprise. Le varie feature sono indicate nella seguente tabella comparativa.
[adrotate banner="2"]
| Feature | Community | Professional | Enterprise |
|---|---|---|---|
| Monitoraggio dei flussi attivi e degli hosts della rete † | ✓ | ✓ | ✓ |
| Identificazione di protocolli applicativi (Facebook, Youtube, BitTorrent, etc) nel traffico | ✓ | ✓ | ✓ |
| Registrazione e visualizzazione dell’utilizzo dei protocolli applicativi per ogni host nel tempo | ✓ | ✓ | ✓ |
| Raggruppamento degli host per VLAN, Sistema Operativo, Paese, e Autonomous Systems | ✓ | ✓ | ✓ |
| Mappa geografica delle comunicazioni di rete effettuate da ogni host | ✓ | ✓ | ✓ |
| Identificazione degli host top talker (mittenti e ricevitori) con risoluzione al minuto | ✓ | ✓ | ✓ |
| Visualizzazione dei siti HTTP più richiesti da ciascun host | ✓ | ✓ | ✓ |
| Esportazione delle comunicazioni su MySQL ed ElasticSearch | ✓ | ✓ | ✓ |
| Generazione di allarmi basati su soglie di tempo/traffico ovvero su comportamenti sospetti come la visita di un sito malizioso | ✓ | ✓ | ✓ |
| Allarmi e avvisi come messaggi Slack | ✓ | ✓ | ✓ |
| Visualizzazione del traffico per ogni VLAN | ✓ | ✓ | ✓ |
| Collezionamento di dati da nProbe per trattare le interfacce remote monitorate da nProbe e dispositivi di esportazione dei flussi (ad esempio router e switch) come se fossero locali | ✓ | ✓ | ✓ |
| Visualizzazione di dati raccolti da nProbe | ✓ | ✓ | ✓ |
| Raggruppamento degli hosts in set logici di indirizzi IP e MAC noti come pool di hosts †† | ✓ | ✓ | ✓ |
| Visione in tempo reale dei top talkers e dei protocolli applicativi e confronto con le attività quotidiane | ✗ | ✓ | ✓ |
| Esplorazione dei dati MySQL registrati per identificare la causa dei problemi di rete | ✗ | ✓ | ✓ |
| Generazione di report grafici con i top hosts, protocolli applicativi, paesi, reti e autonomous systems in periodi di tempo configurabili | ✗ | ✓ | ✓ |
| Storicizzazione del traffico in base ai profili creati utilizzano la sintassi BPF (Berkeley Packet Filter) ‡ | ✗ | ✓ | ✓ |
| Limitazione/blocco del traffico degli host con politiche personalizzate per ogni protocollo * | ✗ | ✓ | ✓ |
| Integrarezione con i server di autenticazione LDAP | ✗ | ✓ | ✓ |
| Interrogazione di dispositivi SNMP per avere dati come lo stato della porta, il traffico e le informazioni sull’indirizzo MAC | ✗ | ✓ | ✓ |
| Integrazione con Nagios * | ✗ | ✓ | ✓ |
| Inserimenti MySQL per ottenere scritture sul database 5x più veloci | ✗ | ✗ | ✓ |
| Aggregazione dei dati in MySQL per esplorazioni storiche più rapide | ✗ | ✗ | ✓ |
| Generazione di report di traffico e attività totale per qualsiasi host, rete o interfaccia | ✗ | ✗ | ✓ |
| Individuazione di attaccanti e vittime attraverso avvisi in tempo reale | ✗ | ✗ | ✓ |
| Esplorazione e filtraggio gli allarmi | ✗ | ✗ | ✓ |
| Visualizzazione e storicizzazione del traffico per porta SNMP | ✗ | ✗ | ✓ |
| Visualizzazione e storicizzazione dei dati dei dispositivi NetFlow/sFlow | ✗ | ✗ | ✓ |
| Captive Portal per la navigazione Internet * | ✗ | ✗ | ✓ |
| Quote di traffico giornaliere che vengono applicate ai client * | ✗ | ✗ | ✓ |
| Parental control con l’integrazione DNS di SafeSearch * | ✗ | ✗ | ✓ |
* Caratteristica non disponibile con Windows
† La versione Enterprise consente il monitoraggio simultaneo fino a 128 diverse interfacce di rete. Le versioni Professional e Community consentono il monitoraggio fino a 32 diverse interfacce.
†† La versione Enterprise consente il monitoraggio simultaneo fino a 128 diversi host pools. Le versioni Professional e Community consentono il monitoraggio simultaneo fino a 3 differenti host pools.
‡ La versione Enterprise consente il monitoraggio simultaneo fino a 128 diversi profili di traffico. La versioni Professional consente la creazione di 16 profili traffico.
Piattaforme supportate**
- Unix (including Linux, *BSD, and MacOSX)
- Windows x64 (incluso l’ultimo Windows 10)
- ARM
Web GUI
- Disponibile tramite web browser HTML5-ready /li>
- Supporto SSL/HTTPS
Requisiti
- Utilizzo di memoriaDipende dalla configurazione ntop, dal numero di host e dal numero di sessioni TCP attive. Generalmente varia da pochi MB (piccola LAN) a 100 MB per una WAN.
- Utilizzo della CPUDipende dalla configurazione ntop e dalle condizioni del traffico. Su un PC moderno e su una grande LAN, è inferiore al 10% del carico complessivo della CPU.
Protocolli
- Ethernet
- IPv4/IPv6
- TCP/UDP/ICMP
- GRE
- DHCP/BOOTP/NetBIOS/DNS…
- 250+ applicazioni con protocollo Layer-7 supportato con nDPI
- …molti altri.
Estensibilità
- Compatibilità con scripts in LUA
- Estensioni dell’interfaccia Web senza dover cambiare il motore Ntopng C ++.
Caratteristiche aggiuntive
- sFlow, NetFlow (incluso v5 e v9) e IPFIX supportato tramite nProbe (la raccolta da più nProbes è supportata).
- Statisticche per: Internet Domain, AS (Autonomous Systems), VLAN (Virtual LAN).
- Protocollo di decodifica per tutti i protocolli applicativi supportati da nDPI.
**NtopNg è disponibile anche per Ubiquiti EdgeRouter (Lite o X).
