Monitoramento baseado em Fluxos

Monitoramento de Redes
• Pode ser dividido em dois tipos:
▫ baseado em análise de pacotes
 tcpdump
 wireshark
▫ baseado em fluxos de tráfego
 NetFlow
 Protocolo proprietário definido pela Cisco Systems.
 IPFIX (Internet Protocol Flow Information eXport)
 Padrão originado do NetFlow, definido pelo IETF.
 sFlow
 alternativa para o monitoramento baseado em ambientes de volume de
tráfego extremamente altos.
Monitoramento baseado em fluxos
• Fluxos
▫ Agrupamento de tráfego de rede em sessões de transmissão unidirecional entre uma
origem e um destino.
▫ 1 fluxo
▫ É um resumo de vários pacotes de rede.
▫ Servem para analisar os pacotes que estão saindo da rede.
▫ Histórico do que passa pela rede.
 O conteúdo dos pacotes não ficam guardados, mas sabe-se que a conexão existiu.
▫ São gerados em sensores que os encaminham de forma agrupada aos coletores onde são
armazenados e analisados por meio de relatórios.
Monitoramento baseado em fluxos
• Fluxos
▫ Também chamados de fluxos de tráfego ou fluxo de dados são conjuntos de tráfego de
redes que possuem atributos comuns.
▫ É definido como uma combinação de 7 campos:
 IP origem e destino
 Porta origem e destino
 Protocolo IP
 Tipo de serviço (ToS)
 Interface de entrada
Monitoramento baseado em fluxos
• A arquitetura para o monitoramento destes diversos tipos de fluxos
pode ser composta por:
▫ Sensores
 Switch, roteador ou firewall
 Capturaram os pacotes dos tráfegos do segmento da rede.
 Identificam os fluxos através do rastreamento das conexões.
 Exportam um agrupamento de fluxos a outro dispositivo -> coletor
▫ Coletores
 Recebem os agrupamentos de fluxos dos sensores.
 Armazenam de forma persistente esses dados, geralmente em discos físicos.
▫ Geradores de relatórios
 Devem entender o formato dos arquivos gerados pelo coletor.
 Geram relatórios que auxiliam a gestão dos recursos da rede.
Monitoramento baseado em fluxos
• Pode ser usado para:
▫ monitoramento da rede
 visualização de padrões de tráfego associados a dispositivos individuais da
rede.
▫ monitoramento de aplicativos
 visão detalhada e baseada no tempo de uso de banda por aplicação na
rede.
▫ monitoramento de usuários
 compreensão detalhada de como os usuários consomem recursos de rede.
▫ planejamento da capacidade da rede
 valida a largura de banda e qualidade de serviço (QoS), permitindo a
análise de novas aplicações na rede.
Monitoramento baseado em fluxos
• Pode ser usado para: (continuação)
▫ análise de segurança
 possibilita a identificação e classificação de ataques distribuídos de negação de
serviço (DDoS), vírus e worms, em um limiar próximo ao tempo real.
▫ registros para contabilização e/ou faturamento
 o fluxo de dados inclui detalhes como: endereços IP dos pacotes, contagem de
bytes, timestamps, tipo de serviço, portas dos aplicativos, dentre outros,
permitindo a contabilização flexível e detalhada da utilização de recursos.
▫ classificação do tráfego
 fluxos podem ser utilizados como insumos em um processo de mineração de
dados para a descoberta de padrões de classificação para encontrar quais as
aplicações e serviços estão sendo usados por usuários e como orientá-los na
melhoria dos serviços.
Monitoramento baseado em fluxos
• Exemplo de informações que podem ser consolidadas em fluxos:
▫ tráfego entre os clientes e os aplicativos fornecidos em um Data
Center;
▫ trocas de informações sobre tráfego malicioso;
▫ tráfego de dados entre roteadores de borda BGP;
▫ tráfego de dados entre matriz e filiais, e matriz e escritórios remotos.
NetFlow
• Introduzido em roteadores Cisco.
• Roteadores e switches que suportam
NetFlow coletam características e
informações sobre o tráfego de redes
IP, tanto na saída quanto na entrada de
uma interface.
▫ Após, exportam essas estatísticas como
registros NetFlow para pelo menos um
coletor NetFlow - normalmente um servidor
que faz a análise de tráfego real.
NetFlow

Exemplo de fluxo

• A combinação dos 7 campos define um fluxo único.

• Um novo fluxo é criado quando é recebido um pacote que não pertence a nenhum outro
fluxo existente.
• Os fluxos podem conter outros campos dependendo da versão do formato de registro
configurado para exportação.
NetFlow
• O tamanho do cache NetFlow varia de 1.024 à 524.288 mil entradas de
fluxos.
• Cada entrada (registros de fluxos) consome no mínimo 64 bytes de memória,
sendo que o número máximo de registros está diretamente associado à
quantidade de memória física do dispositivo sensor.
• Os registros de fluxos em cache são expirados quando:
▫ permanecem inativos por mais de 15 segundos
▫ sua duração excede 30 minutos
▫ uma conexão TCP é encerrada (FIN, RST)
▫ limite de tamanho da cache atingido
• Registros expirados são exportados
para um coletor para posterior análise.
Versões do NetFlow
• V1
• V5
▫ Versão muito difundida e utilizada.
• V7
▫ Traz alguns melhoramentos para switches Cisco Catalist.
• V8
▫ Várias formas de agregação.
• V9
▫ Utiliza templates para definir o formato de um registro de fluxos.
 Os templates possibilitam a inserção de novos campos sem mudanças nos softwares já
existentes.
• Versões 2, 3, 4 e 6 nunca foram oficialmente lançadas.
Exemplo
IPFIX
• Padrão desenvolvido pelo IETF para o monitoramento de redes baseado em
exportação de fluxos.
• Baseado no NetFlow v9.
▫ Considera um fluxo como qualquer número de pacotes observados em um
intervalo de tempo específico e compartilhando várias propriedades.
• Transferência dos fluxos deve incluir mecanismos de confiabilidade, controle
de congestionamento e segurança.
sFlow (sampled Flow)
• Tecnologia de amostragem embutida nos switches e roteadores de alta
velocidade para monitorar continuamente o tráfego de rede que flui em todas
as interfaces simultaneamente.
▫ Por ter seu mecanismo de amostragem implementado em hardware, o
procedimento de coleta de dados não afeta o desempenho no roteamento dos
pacotes.
• É uma simplificação do protocolo NetFlow.
• Ajuda a analisar as tendências de tráfego.
• Alertas podem ser configurados para informar quando limites forem
atingidos.
sFlow
• Switch ou roteador não coleta todo o tráfego.
• Coleta amostras, normalmente de 1 a n pacotes aleatoriamente e envia o pacote inteiro para o
Collector.
• Não fornece um resultado 100% preciso, mas fornece um resultado com precisão quantificável.

• Possui 2 componentes
• Agente
 switches, roteadores, access-points que coletam as informações
dos pacotes transmitidos e encaminham as amostras.
• Coletor
 aplicação que analisa o tráfego sFlow recebido.

• Técnicas de amostragem
• estatística
 baseado na amostra de pacotes, usado para obter informações do conteúdo do pacote.
• de contadores
 baseado na amostra de tempo, usado para obter estatísticas de interfaces.
sFlow
• Vantagens
• Saber a tendência da rede.
• Gera muito menos tráfego, comparado ao NetFlow.
• Controle de congestionamento
 Destaca instantaneamente os links congestionados, identificando a fonte deste tráfego.
 Auxilia na tomada de medidas preventivas para superar o congestionamento inesperado.
▫ Segurança
 Devido a vigilância constante em toda a rede, ameaças e ataques com origem interna ou externa
podem ser rapidamente rastreados e controlados.
▫ Contabilização e faturamento por utilização
 Também podem ser utilizados para apresentar ao cliente um detalhamento de seu tráfego total,
destacando os usuários e aplicações que mais consumiram.