¿Qué es Netflow?
Netflow es un protocolo de monitoreo de redes introducido por Cisco Systems en la industria de networking, este protocolo nos permite explorar todos los elementos relacionados al trafico de una red, obteniendo información detallada del uso de la red, desde conversaciones entre host, servicios y aplicaciones, protocolos hasta llegar a generar insight sobre qué usuarios consumen el ancho de banda de la organización o saber si la red se encuentra bajo algún ataque malintencionado.
Entre las métricas recolectadas con netflow tenemos:
-
Cantidad de flows por segundo,
-
Tipo de servicios (protocolos),
-
Conversaciones, puertos de origen/destino,
-
Conversaciones, IPs de origen/destino,
-
Conversaciones, MAC address origen/destino,
-
Interfaz de switch o router a través de la que se comunica un host,
-
Utilización de bandwidth por conversaciones, etc.
Ilustración Original, Aplicando inteligencia de negocios a netflow con Grafana.
Requisitos para implementar Netflow
Para lograr obtener datos de netflow en nuestra red debemos tener contar con los siguientes tres elementos:
-
Generador de Flujos, dispositivo capaz de generar métricas de netflow, normalmente un router o firewall.
-
Recolector de Flujos, appliance o sonda que se instala en la red y configura para recopilar todos los datos de netflow que exportan los dispositivos.
-
Analizador de Flujos, appliance o software que recibe los datos de los recolectores y los presenta, permite aplicar inteligencia de negocios a los datos para tomar decisiones.
5 Razones por las que deberías monitorear Netflow
Ahora que tenemos una idea de lo que es netflow y lo que necesitamos para poder monitorearlo en nuestra red, es momento de conocer las 5 razones por las que deberíamos darle mayor protagonismo en nuestro servicio/plataforma de monitoreo.
1. Conocer detalladamente la red.
La recolección y análisis de netflow nos permite ver nuestra red de una manera diferente, normalmente estamos acostumbrados a ver utilización de interfaces y recursos de equipos de red, trabajar solucionando problemas de lentitud o saturación de enlaces.
Netflow nos permite conocer que hay detrás de esos problemas mencionados, que aplicaciones, protocolos, hosts y usuarios están causando el agotamiento del ancho de banda, que tipo de trafico atraviesa nuestra red, desde donde y hacia donde viaja el trafico y cuales son los saltos que permiten levantar las conversaciones desde su origen hasta el destino.
2. Detección de anomalías y ataques.
Conociendo la red y su comportamiento usual y con la ayuda de una buena plataforma de análisis de netflow, podremos identificar patrones inusuales de trafico, fuentes de trafico desconocidas, destinos sospechosos y tipos de tráficos que no van acorde a nuestras operaciones.
En el momento que se detectan estos patrones inusuales se deben tomar las acciones necesarias para dar respuesta a un posible ataque, informar al área de IT correspondiente y tomar las medidas necesarias para identificar la anomalía, determinar si surge a raíz de cambios o si en efecto se trata de un ataque a nuestra red, y así iniciar un proceso de gestión de incidentes de seguridad hasta llevarlo a su resolución, logrando sufrir el menor daño posible y no afectar las operaciones del negocio.
Ilustración Original, Monitoreo de netflow con ntopng.
3. Identificar cuellos de botella en las comunicaciones
Es probable que la lentitud percibida por los usuarios en una aplicación, o los altos tiempos de respuesta de las transacciones de un sistema core, sucedan a raíz de una gran cantidad de descartes o errores causados por un cuello de botella en una interfaz de un equipo intermedio en la red.
Las métricas de netflow nos permiten identificar y entender el trafico que esta causando la saturación en puntos específicos de la red y a partir de esto diseñar e implementar un plan para mitigar el problema.
4. Identificar los mayores consumidores del ancho de banda.
La red es un recurso limitado y por lo tanto hay que cuidar su uso y asegurar que sea enfocado en las operaciones criticas del negocio.
Observar las métricas de netflow le ayudara a entender cuales son las aplicaciones y hosts que utilizan la mayor cantidad del ancho de banda de la red y tomar acciones necesarias para asegurar que las aplicaciones de linea de negocios cuenten el ancho de banda requerido y operen sin problemas.
5. Mejorar la seguridad y optimizar las redes
La consecuencia final de analizar datos siempre debe ser la toma de decisiones y aplicación de estrategias de mejora. Con la información proporcionada por netflow tendremos suficientes datos para identificar nuestras brechas en temas de seguridad de la red y generar planes de acción para mitigarlas.
Adicionalmente entendiendo como se comporta el trafico en la red y como es distribuido el consumo de ancho de banda, nos proporciona un insumo importante para trabajar en la optimización de configuraciones de equipos de red para lograr la mejor calidad de servicios y menores tiempos de respuesta en las operaciones, a través de estrategias de segmentación de red, configuración de QoS, redundancia de enlaces, entre otras.
¿Cómo te podemos ayudar?
En Agrega contamos con soluciones adecuadas para apoyarte en el monitoreo y gestión de tu infraestructura, si deseas más información puedes contactarnos a través de nuestra página web : www.agrega.com, nuestro teléfono: +504 2269-0133 Ext 2 o escríbenos a ventas@agrega.com.
Fuente:
Introduction toCisco IOS Netflow, articulo web recuperado el 08/06/2021 de cisco.com
What is Netflow and why do network admins swear by t?, blog recuperado el 08/06/2021 de Advanced Cyber Solutions.
