¿Qué es NetFlow? 

Los datos de flujo de tráfico informan a los profesionales de TI de una empresa sobre cuánto tráfico hay, de dónde viene y hacia dónde va, y las rutas que se emplean. Estas estadísticas de flujo de red se registran y emplean para monitorear el uso a lo largo del tiempo, detectar problemas y planear actualizaciones.

NetFlow se reconoce como un estándar del Grupo de trabajo de ingeniería de Internet (IETF), aunque "netflow" también es un término general para referirse a otros protocolos de monitoreo de flujo de red. Cisco Systems NetFlow versión 9 se basa en plantillas y le permite elegir qué estadísticas habilitar. Por el contrario, las versiones anteriores, como la popular Cisco Systems NetFlow v5, requerían el uso de un conjunto fijo de campos. En general, la versión 9 de NetFlow es más flexible que las versiones anteriores.

IP Flow Information Export (IPFIX) es otro protocolo de netflow que emplea un enfoque flexible basado en plantillas. Si bien NetFlow v9 se usa ampliamente, IPFIX se convirtió en el estándar de la industria. De hecho, IPFIX se basa en NetFlow v9. Los dos protocolos son tan similares que IPFIX a veces se denomina NetFlow v10, aunque no es un producto de NetFlow.

Otro protocolo popular de monitoreo de flujo de red IP y estándar de registro de datos es sFlow, o muestras de NetFlow. Introducido por InMon Corp, no rastrea cada paquete que cruza su red como lo hace NetFlow; en cambio, captura una muestra aleatoria del tráfico de la red. Esta ejemplificación aleatoria significa que hay menos datos de flujo de tráfico para procesar y analizar, pero minimiza el impacto en el rendimiento. Dado que NetFlow rastrea todo, puede provocar ralentizaciones en la red.

Otros protocolos de monitoreo de netflow incluyen J-Flow de Juniper Networks, NetStream de 3Com/Huawei, Cflow de Alcatel-Lucent y Rflow de Ericsson. Un término genérico empleado para referirse a estas herramientas es xFlow.

Las soluciones NetFlow generalmente tienen tres componentes principales:

1. Exportador de NetFlow. Un dispositivo habilitado para NetFlow, generalmente un enrutador o cortafuegos, funciona como un exportador de flujo y recopila información de flujo. Agrega paquetes de datos en flujos y exporta periódicamente registros de NetFlow a través del Protocolo de datagramas de usuario (UDP) a uno o más recopiladores de NetFlow.

El exportador identifica un flujo como un flujo de paquetes unidireccional con al menos uno de estos elementos en común: puerto de interfaz de entrada, dirección IP de origen y dirección de destino, puerto de origen, número de puerto de destino, campo de protocolo de capa 3 o tipo de servicio. Un flujo está listo para la exportación de NetFlow cuando está inactivo durante un período determinado. También está listo cuando un indicador TCP, como FIN o RST, muestra que el flujo ha terminado.

2. Recopilador NetFlow. Un recopilador Netflow puede estar basado en hardware o software, aunque las herramientas basadas en software son las más empleadas. Los recopiladores NetFlow reciben los datos de registro de flujo agregados de las herramientas de exportación de flujo y, a continuación, los pre-procesan y almacenan.

3. Analizador de NetFlow. Un analizador de NetFlow es una herramienta que procesa y analiza los registros de NetFlow recibidos y almacenados por un recopilador de flujos. Convierte los datos en reportes y alertas que proporcionan insight sobre el uso del ancho de banda, los patrones de tráfico, el uso de aplicaciones y otras métricas de rendimiento que pueden identificar amenazas de seguridad y problemas de rendimiento. Este análisis del flujo de tráfico le permite crear una imagen del tráfico y el volumen de su red.

Los datos de NetFlow proporcionan una visibilidad profunda de su red, lo que lo ayuda a optimizar el rendimiento para mejorar la experiencia del usuario.

Comprenda el flujo de tráfico para maximizar el rendimiento. Es muy valioso ver los patrones de tráfico IP dentro de toda su red, como rastrear el tráfico que ingresa a la red corporativa e identificar a sus principales usuarios. Los equipos de seguridad y operaciones de red pueden emplear esta información de flujo para monitorear el uso de aplicaciones de red, detectar cuellos de botella y reducir el riesgo de tiempo de inactividad. Los datos de NetFlow también son útiles para la facturación basada en el uso. Esta capacidad permite cobrar los costos de la red a unidades de negocio específicas o usuarios finales.

Planee el crecimiento con precisión. Los datos de NetFlow lo ayudan a rastrear el tráfico de su red para garantizar una capacidad de ancho de banda adecuada y la mejor planeación para el crecimiento de la red. Esta información hace que la planeación de actualizaciones sea más fácil y eficiente en términos de número de puertos, dispositivos de enrutamiento y otras necesidades.

Aumente la protección de la ciberseguridad. Visualizar los cambios en el comportamiento de la red ayuda a su equipo de SecOps a identificar anomalías que pueden indicar una violación de seguridad cibernética. Estos datos también pueden ser útiles luego de un incidente de seguridad para reproducir el historial y comprender mejor lo que sucedió y cómo evitar ese escenario en el futuro.

Mejore su experiencia de usuario. La recopilación y el análisis de datos de flujo de tráfico es de gran ayuda para diagnosticar y solucionar problemas de ralentización, picos de tráfico en la red, uso excesivo del ancho de banda y otros problemas de red.

Obtenga insights en cuestión de minutos. Muchos dispositivos de red ya tienen instalada la compatibilidad con NetFlow o IPFIX, por lo que resulta sencillo activarlos y dirigir los datos resultantes a un recopilador de NetFlow. Si aún no lo tiene, NetFlow es relativamente barato de instalar. Por lo general, no necesita hardware adicional. Luego de descargar NetFlow, puede configurar fácilmente algunos nodos de red para agregar análisis de flujo IP a su red en solo unos minutos, sin tiempo de inactividad.

NetFlow emplea mucho ancho de banda, lo que puede afectar el rendimiento de los dispositivos que monitorea. Debido a esta limitación, algunos equipos optan por muestrear paquetes IP, por ejemplo, empleando sFlow, que emplea mucho menos ancho de banda. Sin embargo, la desventaja es que la ejemplificación puede evitar que los equipos de TI detecten problemas críticos de seguridad o rendimiento de la red.

Además, NetFlow puede reenviar los resultados solo a un número limitado de personas o herramientas de monitoreo, a menudo menos de las necesarias para gestionar y solucionar adecuadamente una red. Esta limitación significa que muy pocas personas ven muy poca información sobre el rendimiento de una red para estar al tanto de los problemas y amenazas.

Otra limitación es que, si bien NetFlow identifica un dispositivo que envía o recibe tráfico, no analiza la información de inicio de sesión, por lo que no puede proporcionar identidades de usuario.

Antes de que NetFlow estuviera disponible, los profesionales de TI usaban el Protocolo simple de administración de redes (SNMP) para analizar y monitorear el tráfico de red. SNMP todavía se usa ampliamente para el monitoreo de redes.

A diferencia de NetFlow, SNMP monitorea la memoria, el uso de CPU y almacenamiento, y la temperatura del dispositivo. SNMP recopila información para el monitoreo estándar de la red y la planeación de la capacidad. SNMP se diferencia de NetFlow en que se emplea para la gestión de redes en tiempo real. Sin embargo, SNMP no proporciona información detallada sobre el uso del ancho de banda, como para qué se emplea una red y quién la emplea.

NetFlow utiliza tecnología push, por lo que puede ver la información tan pronto como está disponible, mientras que SNMP generalmente usa tecnología de extracción a intervalos establecidos.

Debido a que NetFlow proporciona más información que SNMP, es mejor para el análisis y la depuración profundos del tráfico de red. NetFlow es más apropiado para redes complejas y de alto tráfico que emplean tráfico IP y para detectar anomalías. Proporciona información más detallada sobre las aplicaciones y las fuentes de tráfico de red y es más escalable para el análisis de rendimiento y la gestión del tráfico de red.

Si bien tanto SNMP como NetFlow pueden ser útiles, es importante considerar las diferencias para seleccionar la mejor opción para su red.