Noticias y Novedades

NetFlow vs. Packet Data

No comments

Cómo se comparan las dos principales fuentes de datos de performance de red en resolución de problemas, latencia, análisis forense y más.

Los ingenieros de red tienen el desafío constante de mantener el rendimiento de las aplicaciones, prevenir brechas de seguridad y resolver problemas complejos. Para hacerlo de manera efectiva, necesitan acceso a visualizaciones de datos que les ayuden a tomar decisiones con información relevante. Dos de las fuentes de datos más potentes disponibles en la actualidad son NetFlow (IPFIX) y Paquetes de Datos, que han ayudado a obtener una visibilidad de la red durante años.

Al analizar las fortalezas y debilidades de ambos métodos vemos escenarios específicos donde cada uno se destaca. En ocasiones, los ingenieros trabajan con uno u otro. Pero, ¿qué falta si solo tenemos paquetes de datos? ¿Qué vacíos en la visibilidad tiene una solución de NetFlow? ¿Qué es lo mejor para la seguridad frente al análisis de rendimiento? Una cosa es cierta, los profesionales de la red encontrarán muchos usos para estos dos métodos de visibilidad.

NetFlow

NetFlow es una tecnología que fue desarrollada e implementada originalmente por Cisco Systems en sus switches y routers de capa 3. Con el tiempo, otros proveedores comenzaron a implementar métodos de monitoreo de red similares, creando la necesidad de un estándar.

Este estándar fue publicado en 2008 por el IETF y define la exportación de información de flujo de protocolo de Internet (IPFIX, por sus siglas en inglés). Hay otras versiones en uso, como jFlow, sFlow y AWS VPC Flow logs, sin embargo, por simplicidad, nos referimos a todos los protocolos basados en flujo en este documento como NetFlow.

Inteligencia de tráfico

NetFlow es un método para reportar sobre el tráfico que pasa a través de dispositivos de infraestructura. En lugar de implementar sondas en todo el entorno para capturar, analizar e informar sobre comportamientos de tráfico, los dispositivos habilitados para NetFlow pueden enviar estadísticas a un recopilador central que convierte el protocolo en tablas y gráficos útiles y legibles. Los routers y switchescentrales son un excelente lugar para recopilar datos sobre el tráfico de red, ya que se encuentran en línea y manejan los paquetes a medida que se transfieren lo largo de la ruta.

Cuando un paquete ingresa a una interfazcon NetFlow, se determina si es parte de un flujo de datos ya visto, o si es el primer paquete de un nuevo flujo. Si se ha visto antes, solo se incrementará el número de paquetes y bytes observados y enviará el paquete al siguiente proceso. Si el paquete es el primero en un nuevo flujo, se creará un registro de NetFlow. Cualquier paquete posterior del mismo flujo se contará en dicho registro hasta exportarlo al recopilador.

Atributos de paquetes que definen el flujo

Existen siete atributos principales de paquetes, comunes a todas las versiones de Netflow,que definen un flujo:

  1. Dirección IP origen
  2. Dirección IP destino
  3. Número de Puerto origen (TCP or UDP)
  4. Número de Puerto destino (TCP or UDP)
  5. ID de protocolo IP
  6. Valor de servicios diferenciados
  7. Interface de ingreso

Algunas versiones de NetFlow utilizan algunos atributos adicionales.

 

Generando un registro de flujo

Cuando un paquete ingresa al router, los atributos se examinan para determinar si pertenece a un nuevo flujo. Si los atributos coinciden exactamente con cualquier paquete anterior, se clasifica como parte de un flujo anterior y su longitud en bytes se agregará al registro de flujo.

netflow enabled device
El tráfico pasa a través de dispositivos habilitados con NetFlow. Los flujos se crean a partir de los atributos del paquete y luego se condensan en una base de datos llamada caché de NetFlow.

Cualquier cambio en los atributos dará como resultado la creación de un nuevo registro de flujo. El registro es bastante pequeño y contiene estadísticas básicas sobre el flujo: los siete atributos, la cantidad de paquetes y la cantidad de datos que se vieron.

Por ejemplo, si un cliente abre dos conexiones TCP a un servidor, el número de puerto del lado del cliente será diferente. Aunque todos los demás valores en los dos paquetes podrían ser iguales (IP de origen, IP de destino, etc.), la diferencia en los números de puerto de origen forzará la creación de dos registros NetFlow diferentes.

Pasado un minuto, los dispositivos exportarán los registros de la memoria caché de NetFlow, como así también las conexiones TCP completadas (FIN o RST), los flujos activos con un tiempo de espera de un minuto o los flujos inactivos (que se marcarán como completados).

Los routersgeneralmente exportan muchos flujos en un solo paquete de NetFlow, por lo que se requiere poco ancho de banda para informar las estadísticas de tráfico de un enlace.

Beneficios de NetFlow

 

NetFlow nos permite ver quién, qué y cuándo en el tráfico de red sin necesidad de capturar todo el tráfico a nivel de paquete. Aunque podríamos analizar las mismas estadísticas con los paquetes de datos, NetFlow ofrece un método mucho más liviano para monitorear el tráfico de red, lo que permite el almacenamiento a largo plazo. Los recolectores pueden almacenar desde un mes hasta varios años de información, en una base de datos de tamaño razonable.

netflow info
netflow enabled device
NetFlow es una de las fuentes de datos clave para ObserverGigaFlow para ilustrar la las relaciones en la infraestructura y analizar las rutas de red.

Los escenarios ideales para usar NetFlow sobre Packet data son:

  • Evaluaciones de seguridad
  • Análisis de tráfico base
  • Monitoreo de ancho de banda
  • Visibilidad de oficinas y sucursales
  • Planificación de capacidad y dimensionamiento de enlaces
  • Solución de problemas de congestión

Packet Data

 

Los paquetes de datos han sido el estándar de oro para la visibilidad de la red desde que se inventó el primer analizador. La expresión común de los analistas de red es “los paquetes nunca mienten”. Éstos muestran lo que realmente está sucediendo, detallando todos los protocolos, conversaciones y tiempos involucrados. La recopilación de paquetes y la obtención del historial verdadero permiten resolver problemas que de otro modo quedarían indefinidamente.

Sin embargo, capturar paquetes, almacenarlos e interpretarlos puede ser una tarea exhaustiva. En las redes actuales, los enlaces de 10/40/100 Gb son ahora estándar y crean autopistas digitales que pueden ser difíciles de administrar sin las herramientas adecuadas. Por ejemplo, un enlace de 10 Gb que se utiliza al 50% transmitirá más de 180 GB de datos en cinco minutos. Para que un analizador de paquetes almacene datos a esta velocidad, necesita una gran cantidad de espacio en disco y potencia de procesamiento.

Las herramientas de análisis adecuadas ayudan a obtener más valor de su red. Los paquetes proporcionan un nivel de visibilidad sin precedentes, llenando vacíos que otras tecnologías, como NetFlow, dejan completamente abierto.

 

La visibilidad única de los paquetes de datos

 

Los paquetes nos dicen el microsegundo exacto cuando un paquete pasa un punto de captura. Esto nos permite medir con precisión el tiempo de respuesta de una aplicación, validar la latencia de la red, determinar la causa de la demora en aplicaciones lentas y mucho más.

observer apex
Al analizar los paquetes capturados, ObserverApex desglosa el tiempo de respuesta y el retraso en la conversación de red visualizada junto con el puntaje de experiencia del usuario final y el análisis de problemas

Disponer de los encabezados de los paquetes completos permite rastrear problemas que pueden detectarse utilizando los campos IP y TCP. Con NetFlow, la mayoría de los datos del encabezado no se conservan, lo que dificulta la resolución de problemas de rendimiento que están más allá de la congestión de la red.

Los datos forenses críticos del payloaddel paquete, mostrará los códigos de solicitud y respuesta de la aplicación, URL, nombres de archivo, errores en la base de datos y más. Objetos, como imágenes y llamadas de audio, se pueden extraer y volver a reproducir, lo que permite ver exactamente qué componente de la aplicación se ve afectado por el bajo rendimiento. Al investigar y mitigar un ataque, el payload puede ser crítico para analizar qué sistemas y como se vieron comprometidos y qué datos se recuperaron.

Con una solución de análisis de NetFlow, estos detalles no se conservan para el analista, lo que puede conducir a tener que adivinar en vez de solucionar problemas.

 

Escenarios donde los paquetes son clave

 

Los paquetes deben capturarse y analizarse en los siguientes escenarios:

  • Análisis de rendimiento de Aplicaciones
  • Medición de latencia de red
  • Medición del delays de los servidores
  • Análisis del bajo rendimiento
  • Forense de seguridad – Payload
  • Investigación de errores de aplicación
  • Monitoreo de retransmisiones TCP, fuera de servicio
  • Solución de problemas de redes lentas

Si bien los paquetes de datos pueden ser voluminosos para capturar y almacenar a largo plazo, especialmente en entornos de red de alta capacidad como los centros de datos, los detalles que ofrecen bien valen la inversión. Cada organización debe definir un método para recopilar y almacenarlos en los principales puntos de tráfico.

NetFlow y los paquetes de datos permiten visualizar el tráfico de red, lo que permite mitigar ataques, resolver problemas de rendimiento y estar al tanto de los problemas que afectan al negocio. Dependiendo del escenario del problema, uno u otro será mejor, sin embargo, ambos juntos crean una imagen completa de lo que realmente está sucediendo en la red.

Asegúrese de aprovechar estos dos conjuntos de datos en su red para maximizar la visibilidad que necesita para encontrar y resolver problemas rápidamente.

Adaptación y traducción del documento original, NetFlow vs. Packet Data, Chris Ger.

AdminNetFlow vs. Packet Data

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *