NetFlow e IPFIX son tecnologías utilizadas para la monitorización y el análisis del flujo de red. Proporcionan información valiosa sobre los patrones de tráfico de red, lo que facilita la optimización del rendimiento, la resolución de problemas y el análisis de seguridad.
NetFlow:
¿Qué es NetFlow?
NetFlowes la solución original de monitorización de flujo, desarrollada originalmente por Cisco a finales de la década de 1990. Existen varias versiones diferentes, pero la mayoría de las implementaciones se basan en NetFlow v5 o NetFlow v9. Si bien cada versión tiene capacidades diferentes, el funcionamiento básico sigue siendo el mismo:
En primer lugar, un enrutador, conmutador, cortafuegos u otro tipo de dispositivo capturará información sobre los "flujos" de la red; básicamente, un conjunto de paquetes que comparten características comunes como la dirección de origen y destino, el puerto de origen y destino, y el tipo de protocolo. Una vez que un flujo se haya inactivo o haya transcurrido un tiempo predefinido, el dispositivo exportará los registros del flujo a una entidad conocida como "recolector de flujos".
Finalmente, un analizador de flujo interpreta esos registros, proporcionando información valiosa mediante visualizaciones, estadísticas e informes detallados, tanto históricos como en tiempo real. En la práctica, los recolectores y analizadores suelen ser una sola entidad, a menudo integrada en una solución más amplia de monitorización del rendimiento de la red.
NetFlow funciona con estado. Cuando un cliente se conecta a un servidor, NetFlow comienza a capturar y agregar metadatos del flujo. Una vez finalizada la sesión, NetFlow exporta un único registro completo al recolector.
Aunque todavía se usa con frecuencia, NetFlow v5 tiene varias limitaciones. Los campos exportados son fijos, la monitorización solo se admite en la dirección de entrada y no admite tecnologías modernas como IPv6, MPLS y VXLAN. NetFlow v9, también conocido como Flexible NetFlow (FNF), soluciona algunas de estas limitaciones, permitiendo a los usuarios crear plantillas personalizadas y añadiendo compatibilidad con tecnologías más recientes.
Muchos proveedores también cuentan con sus propias implementaciones propietarias de NetFlow, como jFlow de Juniper y NetStream de Huawei. Si bien la configuración puede variar ligeramente, estas implementaciones suelen generar registros de flujo compatibles con los recolectores y analizadores de NetFlow.
Características principales de NetFlow:
~ Datos de flujoNetFlow genera registros de flujo que incluyen detalles como direcciones IP de origen y destino, puertos, marcas de tiempo, recuentos de paquetes y bytes, y tipos de protocolo.
~ Monitoreo del tráficoNetFlow proporciona visibilidad sobre los patrones de tráfico de red, lo que permite a los administradores identificar las principales aplicaciones, puntos finales y fuentes de tráfico.
~Detección de anomalíasMediante el análisis de los datos de flujo, NetFlow puede detectar anomalías como una utilización excesiva del ancho de banda, congestión de la red o patrones de tráfico inusuales.
~ Análisis de seguridadNetFlow se puede utilizar para detectar e investigar incidentes de seguridad, como ataques de denegación de servicio distribuido (DDoS) o intentos de acceso no autorizado.
Versiones de NetFlowNetFlow ha evolucionado con el tiempo y se han lanzado diferentes versiones. Algunas versiones destacadas son NetFlow v5, NetFlow v9 y Flexible NetFlow. Cada versión introduce mejoras y funcionalidades adicionales.
IPFIX:
¿Qué es IPFIX?
El estándar IPFIX (Internet Protocol Flow Information Export), surgido a principios de la década de 2000, es extremadamente similar a NetFlow. De hecho, NetFlow v9 sirvió de base para IPFIX. La principal diferencia entre ambos radica en que IPFIX es un estándar abierto y cuenta con el soporte de numerosos proveedores de redes, además de Cisco. Salvo por algunos campos adicionales, los formatos son prácticamente idénticos. De hecho, a veces se le denomina incluso "NetFlow v10".
Debido en parte a sus similitudes con NetFlow, IPFIX goza de un amplio respaldo entre las soluciones de monitorización de redes, así como entre los equipos de red.
IPFIX (Internet Protocol Flow Information Export) es un protocolo de estándar abierto desarrollado por el Grupo de Trabajo de Ingeniería de Internet (IETF). Se basa en la especificación NetFlow versión 9 y proporciona un formato estandarizado para exportar registros de flujo desde dispositivos de red.
IPFIX se basa en los conceptos de NetFlow y los amplía para ofrecer mayor flexibilidad e interoperabilidad entre distintos proveedores y dispositivos. Introduce el concepto de plantillas, lo que permite definir dinámicamente la estructura y el contenido de los registros de flujo. Esto posibilita la inclusión de campos personalizados, la compatibilidad con nuevos protocolos y la extensibilidad.
Características principales de IPFIX:
~ Enfoque basado en plantillasIPFIX utiliza plantillas para definir la estructura y el contenido de los registros de flujo, lo que ofrece flexibilidad para adaptarse a diferentes campos de datos e información específica del protocolo.
~ InteroperabilidadIPFIX es un estándar abierto que garantiza capacidades de monitorización de flujo consistentes entre diferentes proveedores y dispositivos de red.
~ Compatibilidad con IPv6IPFIX es compatible de forma nativa con IPv6, lo que lo hace idóneo para monitorizar y analizar el tráfico en redes IPv6.
~Seguridad mejoradaIPFIX incluye funciones de seguridad como el cifrado Transport Layer Security (TLS) y comprobaciones de integridad de los mensajes para proteger la confidencialidad e integridad de los datos de flujo durante la transmisión.
IPFIX cuenta con un amplio respaldo de diversos proveedores de equipos de red, lo que lo convierte en una opción independiente del proveedor y ampliamente adoptada para la monitorización del flujo de red.
¿Cuál es la diferencia entre NetFlow e IPFIX?
La respuesta sencilla es que NetFlow es un protocolo propietario de Cisco introducido alrededor de 1996 e IPFIX es su protocolo hermano aprobado por el organismo de estandarización.
Ambos protocolos cumplen la misma función: permitir a los ingenieros y administradores de red recopilar y analizar el flujo de tráfico IP a nivel de red. Cisco desarrolló NetFlow para que sus conmutadores y enrutadores pudieran generar esta valiosa información. Dada la superioridad de los equipos de Cisco, NetFlow se convirtió rápidamente en el estándar de facto para el análisis del tráfico de red. Sin embargo, los competidores del sector se percataron de que utilizar un protocolo propietario controlado por su principal rival no era una buena idea, por lo que el IETF impulsó la estandarización de un protocolo abierto para el análisis de tráfico: IPFIX.
IPFIX se basa en NetFlow versión 9 y se introdujo originalmente alrededor de 2005, pero tardó algunos años en ser adoptado por la industria. Actualmente, ambos protocolos son prácticamente idénticos y, aunque el término NetFlow sigue siendo más común, la mayoría de las implementaciones (si bien no todas) son compatibles con el estándar IPFIX.
Aquí hay una tabla que resume las diferencias entre NetFlow e IPFIX:
| Aspecto | NetFlow | IPFIX |
|---|---|---|
| Origen | Tecnología patentada desarrollada por Cisco. | Protocolo estándar de la industria basado en NetFlow versión 9 |
| Normalización | Tecnología específica de Cisco | Estándar abierto definido por la IETF en el RFC 7011. |
| Flexibilidad | Versiones evolucionadas con características específicas | Mayor flexibilidad e interoperabilidad entre proveedores. |
| Formato de datos | Paquetes de tamaño fijo | Enfoque basado en plantillas para formatos de registro de flujo personalizables |
| Soporte de plantillas | No compatible | Plantillas dinámicas para una inclusión de campos flexible |
| Soporte del proveedor | Principalmente dispositivos Cisco | Amplio soporte por parte de los proveedores de redes. |
| Extensibilidad | Personalización limitada | Inclusión de campos personalizados y datos específicos de la aplicación. |
| Diferencias de protocolo | Variaciones específicas de Cisco | Compatibilidad nativa con IPv6 y opciones mejoradas para el registro de flujo. |
| Características de seguridad | Características de seguridad limitadas | Cifrado de seguridad de la capa de transporte (TLS), integridad del mensaje |
Monitorización del flujo de redSe trata de la recopilación, el análisis y la monitorización del tráfico que atraviesa una red o un segmento de red determinado. Los objetivos pueden variar, desde la resolución de problemas de conectividad hasta la planificación de la asignación de ancho de banda futura. La monitorización del flujo y el muestreo de paquetes pueden incluso ser útiles para identificar y corregir problemas de seguridad.
La monitorización del flujo proporciona a los equipos de redes una buena idea del funcionamiento de la red, ofreciendo información sobre la utilización general, el uso de las aplicaciones, posibles cuellos de botella, anomalías que podrían indicar amenazas de seguridad y mucho más. Existen varios estándares y formatos diferentes que se utilizan en la monitorización del flujo de red, como NetFlow, sFlow e IPFIX (Internet Protocol Flow Information Export). Cada uno funciona de forma ligeramente diferente, pero todos se distinguen de la duplicación de puertos y la inspección profunda de paquetes, ya que no capturan el contenido de cada paquete que pasa por un puerto o a través de un conmutador. Sin embargo, la monitorización del flujo proporciona más información que SNMP, que generalmente se limita a estadísticas generales como el uso total de paquetes y ancho de banda.
Comparativa de herramientas de análisis de flujo de red
| Característica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Abierto o Propietario | Propiedad | Propiedad | Abierto | Abierto |
| Muestreado o basado en flujo | Principalmente basado en flujo; el modo de muestreo está disponible. | Principalmente basado en flujo; el modo de muestreo está disponible. | Muestreado | Principalmente basado en flujo; el modo de muestreo está disponible. |
| Información capturada | Metadatos e información estadística, incluidos los bytes transferidos, los contadores de interfaz, etc. | Metadatos e información estadística, incluidos los bytes transferidos, los contadores de interfaz, etc. | Encabezados de paquete completos, cargas útiles de paquete parciales | Metadatos e información estadística, incluidos los bytes transferidos, los contadores de interfaz, etc. |
| Monitoreo de entrada/salida | Solo para ingresar | Entrada y salida | Entrada y salida | Entrada y salida |
| Compatibilidad con IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Fecha de publicación: 18 de marzo de 2024
