¿Qué es NetFlow? 

Los datos de flujo de tráfico informan a los profesionales de TI de una empresa sobre la cantidad de tráfico que hay, de dónde viene y a dónde va, y las rutas que se utilizan. Estas estadísticas de flujo de red se registran y utilizan para monitorizar el uso a lo largo del tiempo, detectar problemas y planificar actualizaciones.

NetFlow se reconoce como un estándar del Grupo de Trabajo de Ingeniería de Internet (IETF), aunque "netflow" también es un término general para referirse a otros protocolos de monitorización de flujo de red. La versión 9 de NetFlow de Cisco Systems está basada en plantillas y permite elegir qué estadísticas activar. Por el contrario, las versiones anteriores, como la popular NetFlow v5 de Cisco Systems, requerían el uso de un conjunto fijo de campos. En general, la versión 9 de NetFlow es más flexible que las versiones anteriores.

IP Flow Information Export (IPFIX) es otro protocolo netflow que utiliza un enfoque flexible basado en plantillas. Aunque NetFlow v9 se utiliza ampliamente, IPFIX se ha convertido en el estándar del sector. De hecho, IPFIX se basa en NetFlow v9. Los dos protocolos son tan similares que IPFIX a veces se llama NetFlow v10, aunque no es un producto NetFlow.

Otro protocolo popular de monitorización de flujo de red IP y estándar de registro de datos es sFlow, o muestras NetFlow. Introducido por InMon Corp, no rastrea cada paquete que cruza la red como hace NetFlow; en su lugar, captura una muestra aleatoria del tráfico de red. Este muestreo aleatorio significa que hay menos datos de flujo de tráfico para procesar y analizar, pero minimiza el impacto en el rendimiento. Dado que NetFlow lo rastrea todo, puede provocar ralentizaciones en la red.

Otros protocolos de monitorización de netflow son J-Flow de Juniper Networks, NetStream de 3Com/Huawei, Cflow de Alcatel-Lucent y Rflow de Ericsson. Un término genérico utilizado para referirse a estas herramientas es xFlow.

Las soluciones NetFlow suelen tener tres componentes principales:

1. Exportador NetFlow. Un dispositivo habilitado para NetFlow, normalmente un enrutador o un firewall, funciona como exportador de flujos y recopila información de flujos. Agrega paquetes de datos en flujos y exporta periódicamente registros NetFlow a través del protocolo de datagramas de usuario (UDP) a uno o varios recopiladores NetFlow.

El exportador identifica un flujo como un flujo de paquetes unidireccional con al menos uno de estos elementos en común: el puerto de interfaz de entrada, la dirección IP de origen y la dirección de destino, el puerto de origen, el número de puerto de destino, el campo de protocolo Layer-3 o el tipo de servicio. Un flujo está listo para la exportación NetFlow cuando está inactivo durante un periodo de tiempo determinado. También está listo cuando una bandera TCP, como FIN o RST, indica que el flujo ha finalizado.

2. Recopilador NetFlow. Un recopilador Netflow puede estar basado en hardware o software, aunque las herramientas basadas en software son las más utilizadas. Los recopiladores NetFlow reciben los datos de registro de flujo agregados de las herramientas de exportación de flujo y, a continuación, los preprocesan y almacenan.

3. Analizador NetFlow. Un analizador NetFlow es una herramienta que procesa y analiza los registros NetFlow recibidos y almacenados por un recopilador de flujo. Convierte los datos en informes y alertas que proporcionan conocimientos sobre el uso del ancho de banda, los acaparadores de ancho de banda, los patrones de tráfico, el uso de aplicaciones y otras métricas de rendimiento que pueden identificar amenazas a la seguridad y problemas de rendimiento. Este análisis del flujo de tráfico le permite hacerse una idea del tráfico y el volumen de su red.

Los datos de NetFlow proporcionan una amplia visibilidad de su red, lo que le ayuda a optimizar el rendimiento para mejorar la experiencia del usuario.

Comprender el flujo de tráfico para maximizar el rendimiento. Es muy valioso ver los patrones de tráfico IP en toda la red, por ejemplo, para rastrear el tráfico que entra en la red corporativa e identificar a los principales usuarios. Los equipos de seguridad y operaciones de red pueden utilizar esta información de flujo para monitorizar el uso de las aplicaciones de red, detectar cuellos de botella y reducir el riesgo de tiempo de inactividad. Los datos de NetFlow también son útiles para la facturación basada en el uso. Esta capacidad permite imputar los costes de la red a unidades de negocio o usuarios finales específicos.

Planificar el crecimiento con precisión. Los datos de NetFlow le ayudan a realizar un seguimiento del tráfico de su red para garantizar una capacidad de ancho de banda adecuada y la mejor planificación para el crecimiento de la red. Esta información facilita la planificación de las ampliaciones y las hace más eficaces en cuanto al número de puertos, dispositivos de enrutamiento y otras necesidades.

Aumentar la protección de la ciberseguridad. Visualizar los cambios en el comportamiento de la red ayuda a su equipo de SecOps a identificar anomalías que pueden indicar una violación de ciberseguridad . Estos datos también pueden ser útiles después de un incidente de seguridad para reproducir el historial y comprender mejor lo ocurrido y cómo evitar esa situación en el futuro.

Mejorar su experiencia de usuario. Recopilar y analizar los datos de flujo de tráfico es de gran ayuda para diagnosticar y solucionar ralentizaciones, picos de tráfico en la red, uso excesivo del ancho de banda y otros problemas de la red.

Obtener información en cuestión de minutos. Muchos dispositivos de red ya tienen instalada la compatibilidad con NetFlow o IPFIX, por lo que resulta sencillo activarlos y dirigir los datos resultantes a un recopilador de NetFlow. Si aún no lo tiene, NetFlow es relativamente barato de instalar. Por lo general, no se necesita hardware adicional. Después de descargar NetFlow, puede configurar fácilmente unos pocos nodos de red para añadir análisis de flujo IP a su red en sólo unos minutos, sin tiempo de inactividad.

NetFlow utiliza mucho ancho de banda, lo que puede afectar al rendimiento de los dispositivos que monitoriza. Debido a esta limitación, algunos equipos optan por muestrear paquetes IP en su lugar, utilizando sFlow, por ejemplo, que utiliza mucho menos ancho de banda. Sin embargo, la desventaja es que el muestreo puede evitar que los equipos de TI detecten problemas críticos de seguridad o rendimiento de la red .

Además, NetFlow solo puede enviar los resultados a un número limitado de personas o herramientas de monitorización, a menudo menos de las necesarias para gestionar y solucionar adecuadamente los problemas de una red. Esta limitación significa que muy pocas personas ven muy poca información sobre el rendimiento de una red para estar al tanto de los problemas y amenazas.

Otra limitación es que, aunque NetFlow identifica un dispositivo que envía o recibe tráfico, no examina la información de inicio de sesión, por lo que no puede proporcionar identidades de usuario.

Antes de que NetFlow estuviera disponible, los profesionales de TI utilizaban el protocolo simple de gestión de red (SNMP) para analizar y monitorizar el tráfico de red. SNMP se sigue utilizando ampliamente para la monitorización de redes.

A diferencia de NetFlow, SNMP monitoriza el uso de memoria, CPU y almacenamiento, así como la temperatura del dispositivo. También recopila información para la monitorización estándar de la red y la planificación de la capacidad. SNMP se diferencia de NetFlow en que se utiliza para la gestión de redes en tiempo real; sin embargo, no proporciona información detallada sobre el uso del ancho de banda, como para qué se utiliza una red y quién la utiliza.

NetFlow utiliza tecnología push, por lo que verá la información en cuanto esté disponible, mientras que SNMP utiliza generalmente tecnología pull a intervalos determinados.

Dado que NetFlow proporciona más información que SNMP, es mejor para el análisis profundo del tráfico de red y la depuración. NetFlow es más apropiado para redes complejas y de alto tráfico que utilizan tráfico IP y para detectar anomalías. Proporciona información más detallada sobre las aplicaciones y las fuentes de tráfico de red y es más escalable para el análisis del rendimiento y la gestión del tráfico de red.

Aunque tanto SNMP como NetFlow pueden ser útiles, es importante tener en cuenta las diferencias para seleccionar la mejor opción para su red.