Netflow
NetFlow es un protocolo de red, desarrollado por Cisco Systems para recolectar información sobre tráfico IP. Netflow se ha convertido en un estándar de la industria para monitorización de tráfico de red, y actualmente se está soportado para varias plataformas además de Cisco IOS y NXOS, como por ejemplo en dispositivos de fabricantes como Juniper, Enterasys Switches, y en sistemas operativos como Linux, FreeBSD, NetBSD y OpenBSD.
[editar] Descripción del protocolo
Los dispositivos con Netflow habilitado, cuando activan la característica de Netflow, generan "registros de netflow" que consisten en pequeños trozos de información que envian a un dispositivo central o servidor de Netflow (o colector Netflow), que es quien recibe información de los dispositivos (o sondas Netflow) y la almacena y procesa.
Esa información se transmite mediante el protocolo netflow, basado en UDP o SCTP. Cada registro de netflow es un paquete pequeño que contiene una capacidad minima de información, pero en ningún caso contiene los datos crudos o en bruto del tráfico, es decir, no envia el "payload" del tráfico que circula por el colector sino sólo datos estadísticos.
Existen varias diferencias entre la version de implementación del Netflow original, por lo que algunas versiones incorporan algunos datos más, pero en líneas generales, el Netflow basico envia al menos la siguiente información.
A network flow has been defined in many ways. The traditional Cisco definition is to use a 7-tuple key, where a flow is defined as a unidirectional sequence of packets all sharing all of the following 7 values:
- Dirección IP de origen.
- Dirección IP de destino.
- Puerto UDP o TCP de origen.
- Puerto UDP o TCP de destino.
- Protocolo IP.
- Interfaz (SNMP ifIndex)
- Tipo de servicio IP
Con el tiempo, otros fabricantes han diseñado sistemas silimares para sus dispositivos de red, con diferentes nombres pero propósito similar
- Jflow o cflowd de Juniper Networks
- NetStream de 3Com/H3C|HP
- NetStream de Huawei Technology
- Cflowd de Alcatel-Lucent
- Rflow de Ericsson
- AppFlow Citrix
[editar] Enlaces externos
- nfdump/nfcapd Proyecto OpenSource de colector Netflow
- NetFlow/FloMA: Pointers and Software Provided by SWITCH. - Una de las listas más compeltas de herramientas opensource e investigación.
- FloCon - La conferencia anual del CERT/CC sobre Netflow y otros sistemas de análisis de flujos de red.
- Información basica de Netflow en la web de Cisco.
- RFC3334 - Auditoría basada en políticas
- RFC3954 - NetFlow Version 9
- RFC3955 - Candidate Protocols for IP Flow Information Export (IPFIX)
- RFC5101 - Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information (IPFIX)
- RFC5102 - Information Model for IP Flow Information Export
- RFC5103 - Bidirectional Flow Export Using IP Flow Information Export
- RFC5153 - IPFIX Implementation Guidelines
- RFC5470 - Architecture for IP Flow Information Export
- RFC5471 - Guidelines for IP Flow Information Export (IPFIX) Testing
- RFC5472 - IP Flow Information Export (IPFIX) Applicability
- RFC5473 - Reducing Redundancy in IP Flow Information Export (IPFIX) and Packet Sampling (PSAMP) Reports
- Lista de software relacionada con análisis de tráfico / flujos
- Especificaciones de AppFlow
