ntopng

ntopngntopng è la versione di prossima generazione dell’originale ntop, una sonda di traffico di rete che monitora l’utilizzo della rete.
ntopng fornisce un’interfaccia utente web intuitiva e crittografata per l’esplorazione di informazioni sul traffico in tempo reale e storico. E’ nato come strumento di analisi del traffico e con il tempo si è “evoluto” fino a diventare un application filter.

Che cos’è NtopNG
ntopng è uno strumento di networking per l’analisi del traffico che offre una visibilità senza precedenti
sui pacchetti che viaggiano in rete.
Una delle funzioni più interessanti presenti dell’ultima versione di ntopng è senza dubbio quella di application filter, grazie alla quale possiamo controllare più di 250 applicazioni tra le quali Facebook, Youtube, WhatsApp, Skype e Tor, bloccando o limitando la banda delle richieste dei client e impedendo, di fatto, il loro utilizzo non controllato. Vediamo adesso alcune funzioni e scopriamone le potenzialità.

Panoramica delle features
ntopn viene rilasciato in tre differenti versioni: Community, Professional ed Enterprise. Le varie feature sono indicate nella seguente tabella comparativa.

FeatureCommunityProfessionalEnterprise
Monitoraggio dei flussi attivi e degli hosts della rete †
Identificazione di protocolli applicativi (Facebook, Youtube, BitTorrent, etc) nel traffico
Registrazione e visualizzazione dell’utilizzo dei protocolli applicativi per ogni host nel tempo
Raggruppamento degli host per VLAN, Sistema Operativo, Paese, e Autonomous Systems
Mappa geografica delle comunicazioni di rete effettuate da ogni host
Identificazione degli host top talker (mittenti e ricevitori) con risoluzione al minuto
Visualizzazione dei siti HTTP più richiesti da ciascun host
Esportazione delle comunicazioni su MySQL ed ElasticSearch
Generazione di allarmi basati su soglie di tempo/traffico ovvero su comportamenti sospetti come la visita di un sito malizioso
Allarmi e avvisi come messaggi Slack
Visualizzazione del traffico per ogni VLAN
Collezionamento di dati da nProbe per trattare le interfacce remote monitorate da nProbe e dispositivi di esportazione dei flussi (ad esempio router e switch) come se fossero locali
Visualizzazione di dati raccolti da nProbe
Raggruppamento degli hosts in set logici di indirizzi IP e MAC noti come pool di hosts ††
Visione in tempo reale dei top talkers e dei protocolli applicativi e confronto con le attività quotidiane
Esplorazione dei dati MySQL registrati per identificare la causa dei problemi di rete
Generazione di report grafici con i top hosts, protocolli applicativi, paesi, reti e autonomous systems in periodi di tempo configurabili
Storicizzazione del traffico in base ai profili creati utilizzano la sintassi BPF (Berkeley Packet Filter) ‡
Limitazione/blocco del traffico degli host con politiche personalizzate per ogni protocollo *
Integrarezione con i server di autenticazione LDAP
Interrogazione di dispositivi SNMP per avere dati come lo stato della porta, il traffico e le informazioni sull’indirizzo MAC
Integrazione con Nagios *
Inserimenti MySQL per ottenere scritture sul database 5x più veloci
Aggregazione dei dati in MySQL per esplorazioni storiche più rapide
Generazione di report di traffico e attività totale per qualsiasi host, rete o interfaccia
Individuazione di attaccanti e vittime attraverso avvisi in tempo reale
Esplorazione e filtraggio gli allarmi
Visualizzazione e storicizzazione del traffico per porta SNMP
Visualizzazione e storicizzazione dei dati dei dispositivi NetFlow/sFlow
Captive Portal per la navigazione Internet *
Quote di traffico giornaliere che vengono applicate ai client *
Parental control con l’integrazione DNS di SafeSearch *

* Caratteristica non disponibile con Windows
† La versione Enterprise consente il monitoraggio simultaneo fino a 128 diverse interfacce di rete. Le versioni Professional e Community consentono il monitoraggio fino a 32 diverse interfacce.
†† La versione Enterprise consente il monitoraggio simultaneo fino a 128 diversi host pools. Le versioni Professional e Community consentono il monitoraggio simultaneo fino a 3 differenti host pools.
‡ La versione Enterprise consente il monitoraggio simultaneo fino a 128 diversi profili di traffico. La versioni Professional consente la creazione di 16 profili traffico.

Piattaforme supportate**

  • Unix (including Linux, *BSD, and MacOSX)
  • Windows x64 (incluso l’ultimo Windows 10)
  • ARM

Web GUI

  • Disponibile tramite web browser HTML5-ready /li>
  • Supporto SSL/HTTPS

Requisiti

  • Utilizzo di memoriaDipende dalla configurazione ntop, dal numero di host e dal numero di sessioni TCP attive. Generalmente varia da pochi MB (piccola LAN) a 100 MB per una WAN.
  • Utilizzo della CPUDipende dalla configurazione ntop e dalle condizioni del traffico. Su un PC moderno e su una grande LAN, è inferiore al 10% del carico complessivo della CPU.

Protocolli

  • Ethernet
  • IPv4/IPv6
  • TCP/UDP/ICMP
  • GRE
  • DHCP/BOOTP/NetBIOS/DNS…
  • 250+ applicazioni con protocollo Layer-7 supportato con nDPI
  • …molti altri.

Estensibilità

  • Compatibilità con scripts in LUA
  • Estensioni dell’interfaccia Web senza dover cambiare il motore Ntopng C ++.

Caratteristiche aggiuntive

  • sFlow, NetFlow (incluso v5 e v9) e IPFIX supportato tramite nProbe (la raccolta da più nProbes è supportata).
  • Statisticche per: Internet Domain, AS (Autonomous Systems), VLAN (Virtual LAN).
  • Protocollo di decodifica per tutti i protocolli applicativi supportati da nDPI.

**NtopNg è disponibile anche per Ubiquiti EdgeRouter (Lite o X).