NetFlow e IPFIX son tecnologías utilizadas para la monitorización y el análisis del flujo de red. Proporcionan información sobre los patrones de tráfico de la red, lo que facilita la optimización del rendimiento, la resolución de problemas y el análisis de seguridad.
Flujo de red:
¿Qué es NetFlow?
Flujo de redEs la solución original de monitorización de flujo, desarrollada originalmente por Cisco a finales de los 90. Existen varias versiones, pero la mayoría de las implementaciones se basan en NetFlow v5 o NetFlow v9. Si bien cada versión tiene distintas capacidades, el funcionamiento básico es el mismo:
En primer lugar, un enrutador, conmutador, cortafuegos u otro tipo de dispositivo capturará información sobre los flujos de red, que consisten básicamente en un conjunto de paquetes que comparten características comunes, como la dirección de origen y destino, el puerto de origen y destino, y el tipo de protocolo. Tras un periodo de inactividad o tras un tiempo predefinido, el dispositivo exportará los registros de flujo a un recolector de flujos.
Finalmente, un analizador de flujo interpreta esos registros, proporcionando información en forma de visualizaciones, estadísticas e informes históricos detallados y en tiempo real. En la práctica, los recopiladores y analizadores suelen ser una sola entidad, a menudo combinada en una solución más amplia de monitorización del rendimiento de la red.
NetFlow opera con estado. Cuando un equipo cliente se conecta a un servidor, NetFlow comienza a capturar y agregar metadatos del flujo. Tras finalizar la sesión, NetFlow exporta un único registro completo al recopilador.
Aunque todavía se usa comúnmente, NetFlow v5 presenta varias limitaciones. Los campos exportados son fijos, la monitorización solo se admite en la dirección de entrada y no es compatible con tecnologías modernas como IPv6, MPLS y VXLAN. NetFlow v9, también conocido como Flexible NetFlow (FNF), soluciona algunas de estas limitaciones, permitiendo a los usuarios crear plantillas personalizadas y añadiendo compatibilidad con tecnologías más recientes.
Muchos proveedores también tienen sus propias implementaciones de NetFlow, como jFlow de Juniper y NetStream de Huawei. Aunque la configuración puede variar ligeramente, estas implementaciones suelen generar registros de flujo compatibles con los recopiladores y analizadores de NetFlow.
Características principales de NetFlow:
~ Datos de flujo:NetFlow genera registros de flujo que incluyen detalles como direcciones IP de origen y destino, puertos, marcas de tiempo, recuentos de paquetes y bytes, y tipos de protocolo.
~ Monitoreo de tráfico:NetFlow proporciona visibilidad de los patrones de tráfico de la red, lo que permite a los administradores identificar las principales aplicaciones, puntos finales y fuentes de tráfico.
~Detección de anomalíasAl analizar los datos de flujo, NetFlow puede detectar anomalías como uso excesivo del ancho de banda, congestión de la red o patrones de tráfico inusuales.
~ Análisis de seguridad:NetFlow se puede utilizar para detectar e investigar incidentes de seguridad, como ataques de denegación de servicio distribuido (DDoS) o intentos de acceso no autorizado.
Versiones de NetFlowNetFlow ha evolucionado con el tiempo y se han lanzado diferentes versiones. Algunas versiones destacadas son NetFlow v5, NetFlow v9 y Flexible NetFlow. Cada versión incorpora mejoras y funciones adicionales.
IPFIX:
¿Qué es IPFIX?
IPFIX (Exportación de Información de Flujo del Protocolo de Internet), un estándar IETF surgido a principios de la década de 2000, es extremadamente similar a NetFlow. De hecho, NetFlow v9 sirvió de base para IPFIX. La principal diferencia entre ambos radica en que IPFIX es un estándar abierto y cuenta con el respaldo de numerosos proveedores de redes, además de Cisco. Salvo algunos campos adicionales añadidos a IPFIX, los formatos son prácticamente idénticos. De hecho, a veces se hace referencia a IPFIX como "NetFlow v10".
Debido en parte a sus similitudes con NetFlow, IPFIX goza de un amplio apoyo entre las soluciones de monitorización de red, así como en los equipos de red.
IPFIX (Exportación de Información de Flujo del Protocolo de Internet) es un protocolo estándar abierto desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF). Se basa en la especificación NetFlow versión 9 y proporciona un formato estandarizado para exportar registros de flujo desde dispositivos de red.
IPFIX se basa en los conceptos de NetFlow y los amplía para ofrecer mayor flexibilidad e interoperabilidad entre diferentes proveedores y dispositivos. Introduce el concepto de plantillas, lo que permite la definición dinámica de la estructura y el contenido de los registros de flujo. Esto permite la inclusión de campos personalizados, la compatibilidad con nuevos protocolos y la extensibilidad.
Características principales de IPFIX:
~ Enfoque basado en plantillas:IPFIX utiliza plantillas para definir la estructura y el contenido de los registros de flujo, lo que ofrece flexibilidad para acomodar diferentes campos de datos e información específica del protocolo.
~ Interoperabilidad:IPFIX es un estándar abierto que garantiza capacidades consistentes de monitoreo de flujo entre diferentes proveedores y dispositivos de red.
~ Compatibilidad con IPv6:IPFIX admite de forma nativa IPv6, lo que lo hace adecuado para monitorear y analizar el tráfico en redes IPv6.
~Seguridad mejorada:IPFIX incluye funciones de seguridad como cifrado de seguridad de la capa de transporte (TLS) y controles de integridad de mensajes para proteger la confidencialidad y la integridad de los datos de flujo durante la transmisión.
IPFIX cuenta con un amplio respaldo de varios proveedores de equipos de red, lo que lo convierte en una opción ampliamente adoptada e independiente del proveedor para el monitoreo del flujo de red.
Entonces, ¿cuál es la diferencia entre NetFlow e IPFIX?
La respuesta simple es que NetFlow es un protocolo propietario de Cisco introducido alrededor de 1996 e IPFIX es su hermano aprobado por el organismo de normalización.
Ambos protocolos tienen el mismo propósito: permitir a los ingenieros y administradores de red recopilar y analizar los flujos de tráfico IP a nivel de red. Cisco desarrolló NetFlow para que sus conmutadores y enrutadores pudieran generar esta valiosa información. Dado el dominio de los equipos Cisco, NetFlow se convirtió rápidamente en el estándar de facto para el análisis del tráfico de red. Sin embargo, los competidores del sector se dieron cuenta de que usar un protocolo propietario controlado por su principal rival no era una buena idea, por lo que el IETF lideró un esfuerzo para estandarizar un protocolo abierto para el análisis de tráfico: IPFIX.
IPFIX se basa en la versión 9 de NetFlow y se introdujo originalmente alrededor de 2005, pero tardó varios años en ser adoptado por la industria. Actualmente, ambos protocolos son esencialmente iguales y, aunque el término NetFlow sigue siendo más común, la mayoría de las implementaciones (aunque no todas) son compatibles con el estándar IPFIX.
A continuación se muestra una tabla que resume las diferencias entre NetFlow e IPFIX:
| Aspecto | Flujo de red | IPFIX |
|---|---|---|
| Origen | Tecnología propietaria desarrollada por Cisco | Protocolo estándar de la industria basado en NetFlow versión 9 |
| Normalización | Tecnología específica de Cisco | Estándar abierto definido por IETF en RFC 7011 |
| Flexibilidad | Versiones evolucionadas con características específicas | Mayor flexibilidad e interoperabilidad entre proveedores |
| Formato de datos | Paquetes de tamaño fijo | Enfoque basado en plantillas para formatos de registros de flujo personalizables |
| Soporte de plantillas | No compatible | Plantillas dinámicas para la inclusión flexible de campos |
| Soporte del proveedor | Principalmente dispositivos Cisco | Amplio soporte entre proveedores de redes |
| Extensibilidad | Personalización limitada | Inclusión de campos personalizados y datos específicos de la aplicación |
| Diferencias de protocolo | Variaciones específicas de Cisco | Compatibilidad nativa con IPv6, opciones de registro de flujo mejoradas |
| Características de seguridad | Funciones de seguridad limitadas | Cifrado de seguridad de la capa de transporte (TLS), integridad de los mensajes |
Monitoreo del flujo de redEs la recopilación, el análisis y la monitorización del tráfico que atraviesa una red o segmento de red determinado. Los objetivos pueden variar desde la resolución de problemas de conectividad hasta la planificación de la futura asignación de ancho de banda. La monitorización del flujo y el muestreo de paquetes pueden incluso ser útiles para identificar y solucionar problemas de seguridad.
La monitorización de flujo proporciona a los equipos de redes una buena idea del funcionamiento de una red, proporcionando información sobre la utilización general, el uso de las aplicaciones, posibles cuellos de botella, anomalías que podrían indicar amenazas a la seguridad, etc. Existen diversos estándares y formatos utilizados en la monitorización de flujo de red, como NetFlow, sFlow e IPFIX (Exportación de Información de Flujo del Protocolo de Internet). Cada uno funciona de forma ligeramente distinta, pero todos se diferencian de la duplicación de puertos y la inspección profunda de paquetes en que no capturan el contenido de cada paquete que pasa por un puerto o un conmutador. Sin embargo, la monitorización de flujo proporciona más información que SNMP, que generalmente se limita a estadísticas generales como el uso general de paquetes y ancho de banda.
Comparación de herramientas de flujo de red
| Característica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Abierto o propietario | Propiedad | Propiedad | Abierto | Abierto |
| Muestreado o basado en flujo | Basado principalmente en flujo; el modo muestreado está disponible | Basado principalmente en flujo; el modo muestreado está disponible | Muestreado | Basado principalmente en flujo; el modo muestreado está disponible |
| Información capturada | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Encabezados de paquetes completos, cargas útiles de paquetes parciales | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. |
| Monitoreo de entrada y salida | Solo entrada | Entrada y salida | Entrada y salida | Entrada y salida |
| Compatibilidad con IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Hora de publicación: 18 de marzo de 2024
