NETFLOW CISCO
Introducción a Netflow
These materials are licensed under the Creative Commons Attribution-Noncommercial 3.0 Unported license
(http://creativecommons.org/licenses/by-nc/3.0/)
Agenda
Ø Netflow
– Qué es y cómo funciona
– Aplicaciones
Ø Generar y exportar registros de flujo
Ø Nfsen Nfdump
– Arquitectura
– Uso.
Ø Laboratorio
Que es un Flujo deRed (Flow)?
Ø
Ø
Ø
Paquetes que tienen atributos comunes.
En la práctica esto significa: paquetes que
pertenecen a la misma conexión de transporte.
por ejemplo:
• TCP, misma IP origen, puerto origen, IP destino,
puerto de destino
• UDP, misma IP origen, puerto origen, IP destino,
puerto de destino
• Algunas herramientas consideran "flujos
bidireccionales", es decir, A-> B yB-> A como
parte del mismo flujo.
http://en.wikipedia.org/wiki/
Traffic_flow_(computer_networking)
Flujos simples
= Paquete que pertenesca a flujo X
= Paquete que pertenesca a flujo Y
Flujo: Definición de Cisco
Secuencia unidireccional de paquetes que
comparten:
1. Dirección IP origen.
2. Dirección IP destino.
3. Puerto de origen para UDP o TCP, ó “0” para
otrosprotocolos.
4. Puerto de destino para UDP o TCP, tipo y
código para ICMP, ó “0” para otros protocolos
5. Protocolo de IP.
6. Interfaz de Ingreso (SNMP ifIndex)
7. Tipo de Servicio IP
IOS: cuál de estos seis paquetes se
encuentran en el mismo flujo?
Src IP
Dst IP
Protocol
Src Port
Dst Port
A
1.2.3.4 5.6.7.8 6 (TCP)
4001
80
B
5.6.7.8 1.2.3.4 6 (TCP)
80
4001C
1.2.3.4 5.6.7.8 6 (TCP)
4002
80
D
1.2.3.4 5.6.7.8 6 (TCP)
4001
80
E
1.2.3.4 8.8.8.8 17 (UDP) 65432
53
F
8.8.8.8 1.2.3.4 17 (UDP) 53
65432
Contabilidad de flujos
Ø Un resumen de todos los paquetes que se
observan en un flujo (hasta el momento).
• Identificación del flujo: protocolo, IP origen/
destino, puerto….
• Conteo de paquetes,
• Conteode Bytes.
• Tiempos de inicio/finalizacion.
• Tal vez información adicional, como por ejemplo;
números de Sistemas Autónomos (AS),
máscaras de red.
Ø Registrar el volumen de trafico, no el contenido.
Usos y Aplicaciones
Ø Puede responder a preguntas como:
• ¿Que usuario o departamento ha estado
cargando o descargando mas?
• ¿Cuáles son los protocolos más
utilizados en lared?
• ¿Qué dispositivos están enviando más
tráfico SMTP, y para dónde?
Ø Identificación de anomalías y ataques.
Ø Visualización mas minuciosa
(representación grafica) que se puede
hacer a nivel de interfaz.
Trabajando con flujos
1. Hay que generar los flujos en el dispositivo
(enrutador o conmutador).
2. Exportar los flujos desde el dispositivo a un
colector
• Configurarprotocolo, versión y destino.
3.
4.
Recopilar los flujos, escribirlos al disco.
Analizarlos
Hay muchas herramientas disponibles, tanto gratuitos como
comerciales
Donde generar registros de flujo
1. En un router u otro dispositivo de red
• Si el dispositivo lo soporta.
• No se requiera hardware adicional.
• Podría tener algún impacto en el
rendimiento.
2. Colector pasivo (porlo general Unix)
• Recibe una copia de cada paquete y
genera los flujos.
• Requiera un puerto espejo.
• Muchos recursos.
Recopilación en el enrutador
LAN
LAN
LAN
LAN
Registros
de flujos
Internet
Colector, recibe los flujos
exportados por el enrutador
Recopilación desde enrutador
Ø Con este método se pueden observar todos los flujos en
la red
• Pero elenrutador tiene más carga porque tiene que procesar y
exportar los flujos
Ø Opcionalmente se pueden seleccionar para cuales
interfaces se habilitara la generación de flujos, y no
activarlo para demás
Ø Además, si hay enrutadores en cada segmento de red
local, se puede habilitar la recopilación y exportación de
flujos en esos enrutadores, y así reducir la carga en el
enrutador central....
Regístrate para leer el documento completo.