Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica
description
Transcript of Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica
Networking ResearchGroup
Utilidad de los flujos NetFlow de RedIRIS para análisis de
una red académica
J.L. García-Dorado, J.E. López de Vergara, J. Aracil, V. López, J.A. Hernández, S. López-
Buedo y L. de Pedro Networking Research Group -- EPS -- UAM
Índice
Introducción• Que son los flujos de red
• Que son los registros de los flujos de red
• Utilidades
Infraestructura de captura y almacenamiento Problemática
• Muestreo
• Filtrado de la información
Herramienta Conclusiones Trabajo futuro*
Introducción Que son los flujos de red
Se entiende por flujo de red el conjunto de paquetes consecutivos que comparten puertos y direcciones IP origen/destino y protocolo.
Frecuentemente a estos flujos se les ha conocido por NetFlow (CISCO).• Tipo de servicio (ToS)
• Interfaz Estandarizado por el grupo de trabajo IPFIX del
IETF
Introducción Que son los registros de los flujos de red
Los routers crean una serie de registros por cada flujo que los atraviesa.
En principio esta técnica pretendía facilitar el proceso de enrutamiento.
Introducción Que son los registros de los flujos de red
La información que contiene normalmente un registro es:• Tiempo de inicio y fin
• Numero de paquetes y bytes
• Interfaces de salida y entrada
• Direcciones IP y puertos origen y destino
• Mascaras...
Introducción Que son los registros de los flujos de red
Los routers consideran que un flujo ha concluido, y que por tanto, deben exportar las información contenido en memoria, cuando sucede algunas de estas situaciones:• Se encuentra una bandera de fin de conexión
• Cuando un flujo no produce tráfico en 15 segundos
• 30 minutos después del comienzo
• Cuando el router se queda son recursos Sin embargo, se ha comprobado que a las velocidades
actuales no es posible en cuanto a recursos de memoria y velocidad de acceso capturar y actualizar los contadores por cada paquetes de cada flujo
Introducción Que son los registros de los flujos de red
La solución que se implementa es la de muestrear sólo un porcentaje de los paquetes.
Esto implica que la precisión de las estadísticas de los registros no será exacta en métricas como el tiempo de inicio y fin.
Métricas tales como el número de paquetes quedarán dividas según la tasa de muestreo.
Introducción Utilidades
Sin embargo, ya se le han encontrado múltiples utilidades además de facilitar el enrutado:• Monitorización
• La predicción de ataques
• La detección de intrusos Este trabajo muestra como, a partir de los flujos
de RedIRIS, se pueden:• Recuperar estadísticas representativas del tráfico de
la red
• Visualizar y acceder a dichas estadísticas en un entorno web
Infraestructura de captura y almacenamiento
Infraestructura de captura y almacenamiento
El mapa muestra la topología simplificada de RedIRIS. Cada uno de los routers de cada comunidad ha
enviado a la UAM los registros NetFlow capturados. Utilizando la herramienta Flow-tools desde Abril de 2007.1. En la UAM, se han almacenado en un repositorio. En total
unos 2 TB a tasa media de llegada de 2 Mbps.2. Posteriormente se procedió a su filtrado y análisis. En concreto
se analizó la distribución del tráfico por puertos y por IPs (anonimizadas). Dejando los datos en el repositorio listos para ser accedidos.
3. Finalmente, se puede acceder a los datos mediante una aplicación web.
Problemática
Fundamentalmente existen dos problemas:1. Los datos recibidos están muestreados
2. Se reciben todos los flujos agregados, sin distinción de universidad, centro o router
Soluciones1. Se multiplican los paquetes muestreados por el inverso
de la tasa de muestro
2. Se filtran los registros por los rangos IP de las universidades y de los routers de cada C.A.
Herramienta
RedIRIS facilitó los rangos de direcciones IP de muchas de las universidades españolas. También se obtuvieron las direcciones IP de los routers exportadores.
Se multiplicó por la tasa de muestreo que nos informó RedIRIS que tenía cada router.
Se implemento la herramienta y se hizo accesible bajo filtrado por dirección IP y password.
Herramienta Ancho de Banda y Hora Más Cargada
Herramienta Validez de los datos: Comparación con MRTG y
Distribución Puertos
Conclusiones
Los registros de los flujos de red son de gran utilidad para múltiples fines.
Se ha comprobado como se puede utilizar los flujos de red de RedIRIS para monitorizar y captura de medias del uso de la red para cualquier tarea de análisis.
Se ha comprobado su corrección. Existe una variedad de puertos usados muy grande. No se ha encontrado un comportamiento homogéneo
entre las distintas redes (¿configuraciones distintas de las redes?)
Trabajo futuro El proyecto nacional DIOR pretende buscar reglas de
dimensionado relacionando:1. Las características “inherentes” de la redes de datos y2. y el trafico que estas generan.
Como medidas del tráfico se están utilizando los flujos que nos facilita RedIRIS tras el preanálisis aquí mostrado. (2)
El dimensionado de redes es por tanto uno de los posibles análisis que puede utilizar la información de los flujos de red.
Por características inherentes entendemos (1):• Población de la universidad (alumnos, profesorado, PAS)
– Accesibles en Consejo de coordinación universitaria – • Ancho de banda disponible por las universidades (1 Gbps, 100 Mbps)
Trabajo futuro
Sin embargo existen otras no tan fácilmente accesibles, pero igual de importantes:1. Políticas de filtrado de los centros (P2P, filtrado
por contenido)2. Existen aulas de informática con acceso libre3. Las universidades tienen IPs públicas en sus
redes internas4. Se utilizan técnicas como NAT o Proxies5. Rango de IPs (Centros conectados a RICA)
• ¡Se agradecería la colaboración con el proyecto!
Networking ResearchGroup
Utilidad de los flujos NetFlow de RedIRIS para análisis de
una red académica
J.L. García-Dorado, J.E. López de Vergara, J Aracil, V. López, J.A. Hernández, S. López-
Buedo y L. de Pedro
¡Gracias!
¿Preguntas?