NetFlow e IPFIX: Monitoreo y Análisis de Tráfico de Red

• NetFlow v5: el estándar original de Cisco para el monitoreo de flujo compatible con muchos enrutadores y conmutadores. Formato fijo y conjunto de atributos centrados en la información de red L3/L4. En desuso ahora debido a muchas limitaciones, como la falta de información de tráfico de IPv6 o la falta de extensibilidad. Con el apoyo de muchas herramientas y aplicaciones de monitoreo.
• NetFlow v9: estándar de monitoreo de flujo extendido que aborda las limitaciones de la versión 5. Ofrece monitoreo de tráfico IPv6, información L2 como direcciones MAC o etiquetas VLAN.
• NetFlow flexible: un estándar de Cisco, similar a NetFlow versión 9, con más flexibilidad en la configuración de exportación de flujo y personalización en campos clave (cómo se agregan los paquetes a los flujos) y qué información se exporta. Flexible NetFlow extiende el monitoreo a L7 a través de la tecnología NBAR2 que identifica la aplicación por carga útil.
• IPFIX (NetFlow v10): estándar internacional independiente que permite a los proveedores de herramientas de monitoreo basadas en flujo, como Flowmon Probe, definir sus propias extensiones de protocolo para exportar cualquier información literaria de L2 a L7. Flowmon es pionero en esta tecnología y ofrece visibilidad de muchos protocolos de aplicaciones, con un crecimiento continuo en el alcance de los protocolos admitidos. Esta es una tecnología crucial que le permite brindar una visibilidad de red única sin la necesidad de una captura continua de paquetes, integrar NetOps y SecOps en una sola plataforma y escalar en un entorno de múltiples 100G. En el entorno de Cisco, IPFIX se conoce comúnmente como NetFlow v10, estandarizado por IETF.
• jFlow: estándar de Juniper para monitoreo de flujo disponible en v5 y v9. La principal diferencia en comparación con NetFlow es que las marcas de tiempo de los datos de flujo exportados se conservan durante toda la sesión de red, lo que requiere un manejo ligeramente diferente por parte del recopilador. En general, este patrón es compatible con NetFlow.
• NetStream: estándar de Huawei para monitoreo de flujo disponible en las versiones 5 y 9. Este estándar es compatible con NetFlow.
• cflow: estándar de Alcatel-Lucent para el control de flujo disponible en las versiones 5 y 9. Este estándar es compatible con NetFlow, pero generalmente solo está disponible como datos de flujo muestreados.
• NEL / NSEL: NEL significa Registro de eventos de red, que se refiere a los registros de traducción de direcciones de red. NSEL significa Registro de eventos de seguridad de red, que se refiere a los registros de firewall producidos por Cisco ASA. NetFlow v9 se usa para transportar estos registros al recopilador, pero estos datos no se pueden considerar NetFlow reales ya que la información proporcionada en NEL o NSEL no es capaz de reconstruir un gráfico de tráfico de red real.
• sFlow: Es una tecnología estándar de la industria para monitorear redes de alta velocidad. A diferencia de NetFlow, esta tecnología no funciona con el concepto de almacenamiento en caché de flujo y agregación de metadatos extraídos de paquetes a flujos. Los encabezados de muestra se codifican en un formato similar a NetFlow y se exportan al recopilador. Debido a las altas tasas de muestreo (típicamente 1:1000), estos datos no son lo suficientemente precisos para manejar la detección de anomalías en la red. Por otro lado, estos datos son fáciles de producir ya que el estándar sFlow es compatible con los conmutadores empresariales de nivel de entrada.
• NetFlow Lite: Es la versión de Cisco de sFlow con todos los pros y contras relacionados con esta tecnología.
• FlowLogs : es una nueva tecnología emergente que ofrecen las plataformas de nube pública para permitir el monitoreo del tráfico de la red utilizando un enfoque basado en el flujo. Los registros de flujo generalmente vienen a través de API especiales de plataformas en la nube específicas que se entregan en formato CSV o JSON, que deben convertirse a formatos de flujo tradicionales para la recopilación y el procesamiento posterior en plataformas de monitoreo de tráfico estándar. En Amazon AWS, esta tecnología se llama VPC FlowLogs. En Microsoft Azure, esta tecnología se conoce como NSG FlowLogs.

• Dirección IP: La dirección IP de destino del recopilador.
• Puerto: el puerto UDP en el que el recopilador escucha los datos de flujo entrantes.
• Versión: La versión de NetFlow que se está utilizando (por ejemplo, v5, v9 o IPFIX).

sum(rate(netflow_exporter_bytes_total[5m])) by (instance)

¿Qué es IPFIX?

IPFIX (Internet Protocol Flow Information Export) es un protocolo estándar que se utiliza para recopilar y exportar información de flujo de red. Al aprovechar el formato IPFIX flexible, puede enriquecer los campos de datos de NetFlow con información de la capa de aplicación de la carga útil del paquete para brindar una comprensión más profunda del tráfico de la red mientras mantiene la relación de agregación de 250:1 o 0,4 % al 0,5 % del ancho de banda. Esto brinda detalles relevantes al tiempo que mantiene la escalabilidad, brinda información sobre la comunicación de datos, informes flexibles y resolución de problemas operativos y detección de incidentes de seguridad efectivos. Este enfoque permite manejar hasta el 95% de los incidentes de red.

¿Para qué se utiliza IPFIX?

Estos datos le permiten analizar la estructura del tráfico, identificar puntos finales que transfieren grandes cantidades de datos o solucionar problemas de red y configuraciones incorrectas. En otras palabras, representa un nivel de detalle suficiente para manejar alrededor del 80% de los incidentes de red. Sin embargo, el nivel de detalle contenido en los datos de NetFlow puede no ser suficiente para la resolución de problemas, el análisis forense o la supervisión del rendimiento.