monitor de trafico de red evolucionado desde el programa original conocido como Ntop, el

cual fue creado por la organización inglesa del mismo nombre en 1998. Ntopng es una
aplicación para monitorizar el tráfico de red basada en web y lanzada bajo GPLv3. Nos va a
proporcionar una interfaz de usuario web intuitiva y encriptada para explorar la información
del tráfico de red en tiempo real y de forma histórica.

Está aplicación está diseñada para ser un reemplazo de alto rendimiento y bajo consumo de
recursos para ntop. El nombre viene de “ntop next generation”. Las versiones del código
fuente están disponibles para los sistemas operativos: Unix, Gnu/Linux, BSD, Mac OS X y
Windows. Las versiones binarias se encuentran disponibles para CentOS, Ubuntu y OS X. El
motor de ntopng está escrito en C ++, mientras que la interfaz web está escrita en Lua.

Ntopng básicamente es una sonda de tráfico de red que va a monitorizar el uso de la red. Está
basado en libpcap, una Librería escrita como parte de un programa más grande
llamado TCPDump. Ntopng se basa en el servidor de valores clave Redis en lugar de una base
de datos tradicional, aprovecha nDPI para la detección de protocolos, admite la
geolocalización de hosts y puede mostrar análisis de flujo en tiempo real para hosts
conectados.

Ntopng está disponible en tres versiones; Community: Versión gratuita y de código

abierto alojada en GitHub  con licencia GNU GPLv3, Professional y Enterprise. Las versiones
Professional y Enterprise nos van a ofrecer algunas características adicionales.

 Geolocalizar y superponer hosts → Esto lo hará sobre un mapa geográfico.

 Motor de alertas → Podremos capturar hosts anómalos y sospechosos.
 Producir estadísticas de tráfico de red → Utilizando tecnología HTML5/AJAX.
 Tendremos soporte completo para los protocolos de red actuales → Incluyendo IPv4 e
IPv6.

 Mostrar tráfico de red: Tanto en tiempo real y hosts activos.

 Geolocalizar y superponer hosts: Sobre un mapa geográfico.
 Motor de alertas: Para capturar hosts anómalos y sospechosos.
 Monitorización continua de dispositivos de red: Vía SNMP v1/v2c.
 Destunelización de protocolos de tunelización: Incluyendo GTP/GRE.
 Analizar el tráfico IP: Llegando incluso a clasificarlo según la fuente/destino.
 Producir estadísticas de tráfico de red: Utilizando tecnología HTML5/AJAX.
 Dar soporte completo para los protocolos de red actuales: Incluyendo IPv4 e IPv6.
 Informar sobre el uso del protocolo IP: Llegando incluso a clasificarlo por tipo de
protocolo.
 Full compatibilidad con los protocolos de Capa 2 (Layer-2): Incluyendo estadísticas
ARP.

Adicionales

 Producir informes a largo plazo sobre métricas de red: Incluyendo protocolos de

rendimiento y de aplicación.
 Visualizar listado de indicadores principales: Top talkers (emisores/receptores), Top
ASs, Top Aplicaciones L7.
 Almacenar en disco de estadísticas de tráfico persistente: Para permitir futuras
exploraciones y análisis post-mortem.
 Caracterizar el tráfico HTTP: Aprovechando los servicios de navegación segura
proporcionados por Google y HTTP Blacklist.
 Ordenar el tráfico de red: Entre muchos criterios tales como Dirección IP, Puerto,
Protocolo L7, Rendimiento, Sistemas autónomos (AS).
 Soporte para la exportación de datos monitorizados: Usando MySQL, ElasticSearch
y LogStash. Para MySQL agrega la exploración histórica interactiva de los datos.
 Descubrimiento de protocolos de aplicaciones: Tales como Facebook, YouTube,
BitTorrent, entre otros, mediante tecnología nDPI (ntop Deep Packet Inspection).
 Monitorizar y reportar parámetros de red: Incluyendo el rendimiento en vivo, las
latencias de la red y de las aplicaciones, el tiempo de viaje redondo (Round Trip Time –
RTT), las estadísticas TCP (retransmisiones, paquetes fuera de servicio, paquetes
perdidos), y los bytes y paquetes transmitidos

Versiones
El software ntopng viene en cuatro versiones: Community, Professional,
Enterprise M, Enterprise L, cada versión desbloquea características adicionales
con respecto a la más pequeña.

Una lista completa de características y una tabla de comparación está disponible

en la página de productos ntopng

comunidad ntopng
La versión comunitaria es de código abierto y de uso gratuito. El código fuente
completo se puede encontrar en Github .

ntopng profesional
La versión Professional ofrece algunas características adicionales con respecto a
la Comunidad, que son particularmente útiles para las PYMES, incluidos informes
gráficos, perfiles de tráfico y autenticación LDAP.

ntopng Enterprise M
La versión Enterprise M ofrece algunas características adicionales con respecto a
la versión Professional, que son especialmente útiles para las grandes
organizaciones, incluido el soporte SNMP, la exportación rápida de MySQL, la
gestión avanzada de alertas, la indexación de flujo de alto rendimiento.
ntopng Enterprise L
La versión Enterprise L ofrece algunas características adicionales con respecto a
la versión Enterprise M, incluida la administración de identidades (la capacidad
de correlacionar usuarios con el tráfico). Esta versión también desbloquea n2disk
1 Gbit (grabación continua) y nProbe Pro (Flow Collection) sin necesidad de
licencias adicionales.

Redis es un motor de base de datos en memoria, basado en el almacenamiento en tablas

de hashes (clave/valor) pero que opcionalmente puede ser usada como una base de datos
durable o persistente. Está escrito en ANSI C por Salvatore Sanfilippo, quien es
patrocinado por Redis Labs. Está liberado bajo licencia BSD por lo que es
considerado software de código abierto.

 COMUNIDAD NTOPNG

La versión comunitaria es de código abierto y de uso gratuito. El código fuente completo se

puede encontrar en Github .

NTOPNG PROFESIONAL

La versión Professional ofrece algunas características adicionales con respecto a la Comunidad,

que son particularmente útiles para las PYMES, incluidos informes gráficos, perfiles de tráfico y
autenticación LDAP.

NTOPNG ENTERPRISE M

La versión Enterprise M ofrece algunas características adicionales con respecto a la versión

Professional, que son especialmente útiles para las grandes organizaciones, incluido el soporte
SNMP, la exportación rápida de MySQL, la gestión avanzada de alertas, la indexación de flujo
de alto rendimiento.

ntopng Enterprise L

La versión Enterprise L ofrece algunas características adicionales con respecto a la versión

Enterprise M, incluida la administración de identidades (la capacidad de correlacionar usuarios
con el tráfico). Esta versión también desbloquea n2disk 1 Gbit (grabación continua) y nProbe
Pro (Flow Collection) sin necesidad de licencias adicionales.

Licencia
ntopng Community se distribuye bajo la licencia GNU GPLv3. Las versiones
Professional y Enterprise también están sujetas a los términos del EULA .
La versión Enterprise L ya incluye licencias n2disk 1 Gbit (grabación continua) y nProbe
Pro (Flow Collection)

Imagen de comparativa

RECOMENDACIONES

Desde nuestro punto de vista y teniendo en cuenta la experiencia vivida en la

instalación de estas 3  herramientas de monitoreo llegamos a la conclusión de que
el NTOP es la herramienta más adecuada para monitorear la Red.  En fin cada quien
es libre de escoger que herramienta que se ajuste a sus necesidades pero lo mejor de
estas 3 herramientas es que son GPL (Genaral Public License).

CONCLUSIONES

El protocolo SNMP se ha convertido en un estándar de gestión de red y es muy

utilizado por los Administradores de Red porque es fácil de implementar y consume
muy pocos recursos de red.

https://www.ntop.org/products/traffic-analysis/ntop/