Sábado, 23 Noviembre 2024

SOCPERU – Monitoreo de Amenazas por BGP-Netflow La Evolución De Los Datos De Flujo

Se trabajado con tecnologías de flujo durante casi una década ... se podría decir que estamos un poco obsesionado. Lo que más impresiona de la tecnología de flujo es cuánto tiempo ha permanecido relevante. Han pasado más de dos décadas desde la creación de NetFlow, los proveedores continúan innovando con él, los desarrolladores aún crean productos para recopilarlo, y los ingenieros de redes y los profesionales de seguridad aún confían en él. De particular interés para la comunidad ARIN, con la versión más reciente ahora puede recopilar estadísticas sobre su tráfico IPv6 que es útil para planificar su migración, rastrear qué servicios se ejecutan en IPv6 / IPv4, comparar volúmenes de tráfico y monitorear su red.

Con esto en mente, quiero transmitir algunos conocimientos, consejos y una historia sobre el protocolo.

¿Qué son los datos de flujo?

La historia del origen se remonta a Cisco Systems a mediados de los 90 con la creación de NetFlow. Desde entonces, 'NetFlow' se ha convertido en un término general que abarca una variedad de diferentes iteraciones del protocolo (NetFlow v5, v9, IPFIX, Flexible NetFlow, NetStream, etc.). Para determinar qué versión ha implementado un proveedor, es mejor leer el manual o realizar una búsqueda en Google.

Una forma de comprender los casos de uso de los datos de flujo es hacer una comparación con programas de delitos como Ley y orden. Cuando la policía inicia una investigación, a menudo examina los registros telefónicos del sospechoso como primer paso. ¿A quién llamaron? ¿Qué hora era? ¿Cuánto duró la llamada? Responder estas preguntas ayuda a los investigadores a encontrar nuevas pistas y construir un caso.

Los datos de flujo son un registro telefónico para el tráfico de la red. La recopilación de estos datos le permite al operador ser el detective que investiga quién, qué, dónde y cuándo... muy bien, ¿verdad?

Una explicación más técnica es que el equipo de red envía paquetes de flujo a través de UDP. Los flujos se envían a un colector donde se almacenan y visualizan. La recolección de flujo se trata de puntos de observación. En la imagen a continuación, toda la red está produciendo flujos, lo que le da al operador de red una visibilidad completa.

 

 

Si tomamos la misma red y solo habilitamos los datos de flujo del enrutador, podemos ver una diferencia. En este ejemplo, vemos a un empleado comunicándose tanto con un recurso del lado de la LAN (el sobre verde) como con Internet (el sobre azul). Cuando la comunicación vinculada a Internet cruza el enrutador, se generan datos de flujo y el recopilador nunca ve la comunicación del lado de la LAN. Comprender este concepto es fundamental a la hora de decidir de qué equipo recopilar datos.  

 

 

Hay muchas opciones a considerar al seleccionar un colector de flujo. Las soluciones comerciales, las soluciones gratuitas y las soluciones de código abierto están disponibles.  Se proporciona un recopilador gratuito basado en la nube para ISP y proveedores de alojamiento.

Enriquecimiento de datos

Algunas de las mejores formas de maximizar el valor de los datos de flujo es enriquecerlos con metadatos. Las búsquedas de países o sistemas autónomos son una excelente manera de agregar contexto en torno a dónde se están llevando a cabo las conversaciones. La generación de alertas comparando datos de flujo con feeds de reputación es un método popular para el reconocimiento de amenazas.

Otros métodos incluyen la agrupación por subred, la definición de puertos de aplicación o el uso de algoritmos para generar alertas. Una vez que comienzas a experimentar con la tecnología, se hace evidente que hay mucho espacio para la creatividad.

El siguiente ejemplo muestra cómo agrupar la información de IP por sistema autónomo. Dar este paso proporciona una visualización agradable del tablero y desbloquea la capacidad de comparar el tráfico entre pares y el tránsito.

 

 

Flow Evolution: monitoreo de IPv6

Los cambios más positivos en los datos de flujo se produjeron con la introducción de plantillas en NetFlow v9. Donde v5 era un formato fijo, v9 proporcionó la flexibilidad para elegir campos. Este cambio también allanó el camino para el estándar IETF IP Flow Information Export (IPFIX).

Con la capacidad de personalizar los datos, llegaron las estadísticas sobre el tráfico IPv6. Los usuarios de IPv6 ahora pueden comparar fácilmente los volúmenes de tráfico de IPv6 / IPv4, utilizar informes para planificar las migraciones de IPv6 y realizar un seguimiento de los servicios que se ejecutan en cada protocolo. En un mundo v5 eso no era posible, por eso encuentro el cambio tan significativo.

Hay muchas otras puertas que desbloquearon los datos de flujo basados ​​en plantillas. Algunos de mis ejemplos favoritos incluyen la atribución de aplicaciones de capa 7, métricas de rendimiento como latencia o jitter, y el movimiento reciente de los proveedores de SD-WAN para incluir elementos que visualizan cómo el tráfico atraviesa la malla. Todas las cosas buenas.

Resumen

Mantén la curiosidad sobre lo que es posible. Los datos de flujo a menudo se consideran una herramienta simple que ayuda con la supervisión del ancho de banda, pero es mucho más. El protocolo es extremadamente rico y los proveedores continúan empujando los límites de lo que es posible. Vale la pena dedicarle un tiempo para vigilarlo, ¡especialmente mientras se prepara para la transición a IPv6! No dude en ponerse si tiene alguna pregunta.

 

CONTACTANOS:

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

NOCPERU - DATA CENTER, es el primer data center corporativo dedicado a empresas, un sistema robusto y estable desarrollado con conectividad de fibra óptica y operado por los más altos estándares internacionales.

Contáctenos

Trujillo, La Libertad, Perú
01 641 1239
044 64 3108
01 305-749-5753
+51 902 524 298