Ntopng, un monitor de trafico de red avanzado

Un monitor de trafico de red evolucionado desde el programa original conocido como Ntop, el cual fue creado por la organización inglesa del mismo nombre en 1998. Ntopng es una aplicación para monitorizar el tráfico de red basada en web y lanzada bajo GPLv3. Nos va a proporcionar una interfaz de usuario web intuitiva y encriptada para explorar la información del tráfico de red en tiempo real y de forma histórica.

Panel de control vía web en tiempo real y con datos históricos exportables mediante pcap

Está aplicación está diseñada para ser un reemplazo de alto rendimiento y bajo consumo de recursos para ntop. El nombre viene de “ntop next generation”. Las versiones del código fuente están disponibles para los sistemas operativos: Unix, Gnu/Linux, BSD, Mac OS X y Windows. Las versiones binarias se encuentran disponibles para CentOS, Ubuntu y OS X. El motor de ntopng está escrito en C ++, mientras que la interfaz web está escrita en Lua.

Ntopng básicamente es una sonda de tráfico de red que va a monitorizar el uso de la red. Está basado en libpcap, una Librería escrita como parte de un programa más grande llamado TCPDump. Ntopng se basa en el servidor de valores clave Redis en lugar de una base de datos tradicional, aprovecha nDPI para la detección de protocolos, admite la geolocalización de hosts y puede mostrar análisis de flujo en tiempo real para hosts conectados.

Ntopng está disponible en tres versiones; Community: Versión gratuita y de código abierto alojada en GitHub  con licencia GNU GPLv3, Professional y Enterprise. Las versiones Professional y Enterprise nos van a ofrecer algunas características adicionales.

Características generales de Ntopng

• Captura de paquetes → Captura / transmisión de paquetes utilizando hardware básico con PF_RING. Distribución de paquetes de copia cero en subprocesos, aplicaciones y máquinas virtuales. Incluye soporte de Libpcap para una integración perfecta con aplicaciones heredadas.
• Grabación de tráfico → Grabación de tráfico de red sin pérdida de 10 Gbit y superior con n2disk. Formato de archivo PCAP estándar de la industria. Permite recuperar rápidamente paquetes usando BPF. Reproducción precisa del tráfico con disk2n.
• Sonda de red → nProbe: sonda extensible NetFlow v5 / v9 / IPFIX con soporte de complementos para la inspección de contenido L7.
• Informar sobre el uso del protocolo IP → Llegando incluso a clasificarlo por tipo de protocolo.
• Análisis de tráfico → Análisis de tráfico basado en web de alta velocidad y recopilación de flujo utilizando ntopng. Estadísticas de tráfico persistentes en formato RRD. Análisis de capa 7 aprovechando nDPI, un marco DPI de código abierto. Llegando incluso a clasificar el tráfico según la fuente/destino.
• Geolocalizar y superponer hosts → Esto lo hará sobre un mapa geográfico.
• Motor de alertas → Podremos capturar hosts anómalos y sospechosos.
• Producir estadísticas de tráfico de red → Utilizando tecnología HTML5/AJAX.
• Tendremos soporte completo para los protocolos de red actuales → Incluyendo IPv4 e IPv6.

Instalar ntopng

sudo apt install ntopng

Lo siguiente que tendremos que hacer es editar el archivo de configuración situado en /etc/ntopng.conf  y descomentar la línea de nuestra interfaz de red o añadirla.

El siguiente paso será editar el archivo /etc/ntopng.start y añadir en ahí la IP de nuestro servidor

Tras la instalación y configuración, podemos reiniciar el servicio de ntopng con este comando:

systemctl restart ntopng

En este punto, ya podemos entrar desde el navegador web a la interfaz de Ntopng mediante la siguiente URL:

http://IP-DEL-SERVIDOR:3000

El usuario y la contraseña predeterminadas son admin – admin para el primer login. Justo después nos pedirá que cambiemos esta contraseña.

Instalar ntopng con Docker

docker-compose

version: '3.9'
services: 
 ntopng:
    hostname: ntopng
    image: ntop/ntopng:stable
    container_name: ntopng
    mem_limit: 4g
    cpu_shares: 768
    security_opt:
      - no-new-privileges:true
    restart: on-failure:5
    volumes:
      - /volume1/docker/ntopng:/var/lib/ntopng:rw
    network_mode: host
    command: --community

Por defecto Las interfaces de red de los contenedores no pueden ver el tráfico del host. Si planea desplegar las herramientas ntop en un contenedor y monitorizar el tráfico del host, por favor considere usar « -network=host» cuando inicie el contenedor.

• --net=host: utiliza la pila de red del host para simplificar la configuración de la red y mejorar el rendimiento.
• -v ntopng_data:/var/lib/ntopng:Crea un volumen Docker llamado «ntopng_data» y móntalo en el directorio /var/lib/ntopng dentro del contenedor. Este volumen le permite persistir los datos y configuraciones de ntopng.

docker-compose up -d

ntopng + Redis

ntopng:
  container_name: "ntopng"
  image: vimagick/ntopng
  command: --community -d /var/lib/ntopng -i enp3s0 -r 127.0.0.1:6379@0 -w 0.0.0.0:3003
  volumes:
    - ./data/ntopng:/var/lib/ntopng
  network_mode: host
  restart: unless-stopped
  ports:
  - "3003:3003"

redis:
  container_name: "ntopng-redis"
  image: vimagick/ntopng
  image: redis:alpine
  command: --save 900 1
  ports:
    - "6379:6379"
  volumes:
    - ./data/redis:/data
  restart: unless-stopped

Puertos

App Overview - Live flows

TCP Packets Analysis

Traffic Statics

Map

GeoMap

Countries

ASN

Networks

Tráfico Host

Flows

DNS

Top 10 Aplications

Top Peers

Active Flows

Packets Summary

Traffic Protocols

Local Hosts

All hosts

Recently Live Flows

Local Traffic Rules

Options

Collector

Automatic Updates

Una gran herramienta de software libre que nos ofrece excelentes posibilidades a para la monitorización del tráfico de red. Ntopng resulta una excelente opción a probar para aquellos que gustan de utilizar aplicaciones un poco más avanzadas de lo normal para analizar el tráfico de red.

Fuentes:
https://ubunlog.com/ntopng-monitor-trafico-de-red/