Pruebenos

Netflow: recopilar y mostrar

September 23, 2016
Telecomunicación
Netflow: recopilar y mostrar
Cualquier sistema DPI analiza el tráfico y genera informes basados en parámetros específicos (protocolo, aplicación, suscriptor, ubicación, etc.), pero estos informes deben descargarse y visualizarse. Para ello se utiliza NetFlow, un protocolo de red diseñado para contabilizar el tráfico de red y desarrollado por Cisco Systems.

El protocolo es un estándar del sector y es compatible no solo con los dispositivos Cisco, sino también con muchos otros. Esto permite utilizarlo para recopilar estadísticas de la plataforma DPI.

Acerca de NetFlow

NetFlow le permite analizar el tráfico de red a nivel de sesión, registrando cada transacción TCP/IP, lo que proporciona estadísticas bastante detalladas. Actualmente, existen dos versiones de NetFlow: 5 y 9. Se desarrolló un estándar abierto llamado IPFIX basado en la versión 9. Esta versión también admite campos adicionales, como encabezados IPv6, etiquetas de flujo MPLS y direcciones de puerta de enlace BGP.

Para utilizar el protocolo NetFlow se necesitan los siguientes componentes:

  • Sensor: recopila estadísticas sobre el tráfico que pasa por él. Suele ser un conmutador o enrutador L3, aunque también se pueden utilizar sensores independientes que reciben datos mediante el reflejo del puerto del conmutador.
  • Colector: recopila los datos recibidos del sensor y los almacena.
  • Analizador: analiza los datos recopilados por el colector y genera informes legibles para los humanos (a menudo en forma de gráficos).

Explicación de Netflow

El sensor extrae conjuntos de paquetes que viajan en la misma dirección de los flujos de tráfico. Los flujos completados o actuales se envían al recolector con una frecuencia configurada.

La información recopilada se presenta en forma de registros que contienen los siguientes parámetros (para la versión 5):

  • número de versión del protocolo
  • número de registro
  • interfaz de red entrante y saliente
  • hora de inicio y finalización del flujo
  • número de bytes y paquetes en el flujo
  • dirección de origen y destino
  • puerto de origen y destino
  • número de protocolo IP
  • valor del tipo de servicio
  • para conexiones TCP: todos los indicadores observados durante la conexión
  • dirección de la puerta de enlace
  • máscaras de subred de origen y destino.

Los datos del recolector se envían al analizador (sistema de procesamiento y visualización), que debe comprender el formato del archivo entrante del recolector y mostrar la información que contiene en forma de informes y gráficos.

NetFlow para DPI

Basta con exportar las estadísticas sobre protocolos y direcciones desde los sistemas DPI en formato NetFlow 5, ya que es el más común y es compatible con la mayoría de las herramientas gratuitas y comerciales para recopilar y analizar estadísticas.

La transferencia de información DPI en formato NetFlow 5 tiene una serie de características:

  • El campo dstport se utiliza para transferir información sobre el protocolo utilizado (número de puerto). Cuando es posible, se utiliza el número de puerto asignado al protocolo por la asociación IANA, pero para los protocolos con un número libre (torrents, Skype, etc.), se asigna un número especial en el rango superior (49152-65534) reservado por la IANA para puertos privados. Si no se puede determinar el protocolo, se le asigna el número de puerto 65535.
  • Las estadísticas del protocolo se transmiten de forma agregada, es decir, el DPI acumula estadísticas sobre el protocolo, combinando información de diferentes sesiones, y luego las transmite al recolector a un intervalo especificado. Esto reduce significativamente la cantidad de información transmitida.
  • La información sobre los destinos se transmite en el campo dst_as (número de sistema autónomo).
  • Las estadísticas sobre los destinos se transmiten de forma agregada, es decir, DPI acumula estadísticas sobre el destino (número AS), combinando información de diferentes sesiones, y luego la transmite al recolector a un intervalo especificado.

Una de las formas más populares de obtener y analizar información de la plataforma DPI es una combinación de:

  1. un recolector daemon que escucha el puerto, recopila datos y escribe en archivos
  2. un volcado que lee y genera los datos nfcapd recopilados
  3. un visualizador, que es una interfaz gráfica para los datos nfdump.

nfdump

La configuración de DPI se reduce a especificar los siguientes parámetros:

  1. Habilitar el sistema de recopilación y exportación de estadísticas (por protocolos, por direcciones, para facturación, estadísticas completas por sesiones).
  2. La interfaz de red a través de la cual se enviará el flujo de red con estadísticas.
  3. Frecuencia de exportación de datos.
  4. La dirección IP y el número de puerto del recolector (o varios recolectores para diferentes tipos de datos).

Para poder crear informes sobre el tráfico del sitio web, sobre los suscriptores del sistema con asignación dinámica de direcciones y para vincular los datos de sesión y volumen con los metadatos transmitidos dentro de una sesión, es necesario utilizar el protocolo IPFIX (una evolución del protocolo NetFlow versión 9). Cualquier recolector IPFIX universal que comprenda plantillas o la utilidad IPFIX Receiver es adecuado para recopilar información en formato IPFIX.

Para instalar NfSen, necesitará una computadora con CentOS 6 o superior instalado. El espacio en disco necesario es de 250 MB a 1,5 GB por día de almacenamiento, dependiendo de la configuración. La cantidad de RAM es de 1 GB. Sin embargo, no se recomienda instalar NfSen en un servidor con una plataforma DPI: la generación de informes consume muchos recursos de la CPU, lo que puede afectar negativamente al rendimiento de la plataforma DPI. La instalación de NfSen implica la instalación del servidor web Apache, y su configuración se reduce a habilitar el inicio automático y abrir puertos en el firewall.

Después de acumular datos durante al menos un día, NfSen le permitirá crear gráficos basados en protocolos, volumen de tráfico y otra información obtenida del sistema DPI.

nfsen combined

Además de gráficos, NfSen se puede utilizar para generar informes para cualquier periodo, protocolo y dirección.

nfsen dir report

El análisis del tráfico es el primer paso para optimizar y mejorar la calidad de los servicios prestados por los operadores de telecomunicaciones. Los informes y gráficos muestran el consumo real de ancho de banda, las rutas más transitadas y los consumidores más «codiciosos». Esta información le permite establecer prioridades de forma informada, identificar de antemano la aplicación o el usuario con mayor carga de ancho de banda, ver las tendencias y proteger la red de la sobrecarga limitando la velocidad.

Vota:
5 de 5
Valoración media : 5
Valorado por: 2
Etapas de un ciberataque Ataque DDoS desde dispositivos IoT