Networking ResearchGroup

Utilidad de los flujos NetFlow de RedIRIS para análisis de

una red académica

J.L. García-Dorado, J.E. López de Vergara, J. Aracil, V. López, J.A. Hernández, S. López-

Buedo y L. de Pedro Networking Research Group -- EPS -- UAM

(proyecto.dior@uam.es)

Índice

Introducción• Que son los flujos de red

• Que son los registros de los flujos de red

• Utilidades

Infraestructura de captura y almacenamiento Problemática

• Muestreo

• Filtrado de la información

Herramienta Conclusiones Trabajo futuro*

Introducción Que son los flujos de red

Se entiende por flujo de red el conjunto de paquetes consecutivos que comparten puertos y direcciones IP origen/destino y protocolo.

Frecuentemente a estos flujos se les ha conocido por NetFlow (CISCO).• Tipo de servicio (ToS)

• Interfaz Estandarizado por el grupo de trabajo IPFIX del

IETF

Introducción Que son los registros de los flujos de red

Los routers crean una serie de registros por cada flujo que los atraviesa.

En principio esta técnica pretendía facilitar el proceso de enrutamiento.

Introducción Que son los registros de los flujos de red

La información que contiene normalmente un registro es:• Tiempo de inicio y fin

• Numero de paquetes y bytes

• Interfaces de salida y entrada

• Direcciones IP y puertos origen y destino

• Mascaras...

Introducción Que son los registros de los flujos de red

Los routers consideran que un flujo ha concluido, y que por tanto, deben exportar las información contenido en memoria, cuando sucede algunas de estas situaciones:• Se encuentra una bandera de fin de conexión

• Cuando un flujo no produce tráfico en 15 segundos

• 30 minutos después del comienzo

• Cuando el router se queda son recursos Sin embargo, se ha comprobado que a las velocidades

actuales no es posible en cuanto a recursos de memoria y velocidad de acceso capturar y actualizar los contadores por cada paquetes de cada flujo

Introducción Que son los registros de los flujos de red

La solución que se implementa es la de muestrear sólo un porcentaje de los paquetes.

Esto implica que la precisión de las estadísticas de los registros no será exacta en métricas como el tiempo de inicio y fin.

Métricas tales como el número de paquetes quedarán dividas según la tasa de muestreo.

Introducción Utilidades

Sin embargo, ya se le han encontrado múltiples utilidades además de facilitar el enrutado:• Monitorización

• La predicción de ataques

• La detección de intrusos Este trabajo muestra como, a partir de los flujos

de RedIRIS, se pueden:• Recuperar estadísticas representativas del tráfico de

la red

• Visualizar y acceder a dichas estadísticas en un entorno web

Infraestructura de captura y almacenamiento

Infraestructura de captura y almacenamiento

El mapa muestra la topología simplificada de RedIRIS. Cada uno de los routers de cada comunidad ha

enviado a la UAM los registros NetFlow capturados. Utilizando la herramienta Flow-tools desde Abril de 2007.1. En la UAM, se han almacenado en un repositorio. En total

unos 2 TB a tasa media de llegada de 2 Mbps.2. Posteriormente se procedió a su filtrado y análisis. En concreto

se analizó la distribución del tráfico por puertos y por IPs (anonimizadas). Dejando los datos en el repositorio listos para ser accedidos.

3. Finalmente, se puede acceder a los datos mediante una aplicación web.

Problemática

Fundamentalmente existen dos problemas:1. Los datos recibidos están muestreados

2. Se reciben todos los flujos agregados, sin distinción de universidad, centro o router

Soluciones1. Se multiplican los paquetes muestreados por el inverso

de la tasa de muestro

2. Se filtran los registros por los rangos IP de las universidades y de los routers de cada C.A.

Herramienta

RedIRIS facilitó los rangos de direcciones IP de muchas de las universidades españolas. También se obtuvieron las direcciones IP de los routers exportadores.

Se multiplicó por la tasa de muestreo que nos informó RedIRIS que tenía cada router.

Se implemento la herramienta y se hizo accesible bajo filtrado por dirección IP y password.

Herramienta Ancho de Banda y Hora Más Cargada

Herramienta Validez de los datos: Comparación con MRTG y

Distribución Puertos

Conclusiones

Los registros de los flujos de red son de gran utilidad para múltiples fines.

Se ha comprobado como se puede utilizar los flujos de red de RedIRIS para monitorizar y captura de medias del uso de la red para cualquier tarea de análisis.

Se ha comprobado su corrección. Existe una variedad de puertos usados muy grande. No se ha encontrado un comportamiento homogéneo

entre las distintas redes (¿configuraciones distintas de las redes?)

Trabajo futuro El proyecto nacional DIOR pretende buscar reglas de

dimensionado relacionando:1. Las características “inherentes” de la redes de datos y2. y el trafico que estas generan.

Como medidas del tráfico se están utilizando los flujos que nos facilita RedIRIS tras el preanálisis aquí mostrado. (2)

El dimensionado de redes es por tanto uno de los posibles análisis que puede utilizar la información de los flujos de red.

Por características inherentes entendemos (1):• Población de la universidad (alumnos, profesorado, PAS)

– Accesibles en Consejo de coordinación universitaria – • Ancho de banda disponible por las universidades (1 Gbps, 100 Mbps)

Trabajo futuro

Sin embargo existen otras no tan fácilmente accesibles, pero igual de importantes:1. Políticas de filtrado de los centros (P2P, filtrado

por contenido)2. Existen aulas de informática con acceso libre3. Las universidades tienen IPs públicas en sus

redes internas4. Se utilizan técnicas como NAT o Proxies5. Rango de IPs (Centros conectados a RICA)

• ¡Se agradecería la colaboración con el proyecto!

Networking ResearchGroup

Utilidad de los flujos NetFlow de RedIRIS para análisis de

una red académica

J.L. García-Dorado, J.E. López de Vergara, J Aracil, V. López, J.A. Hernández, S. López-

Buedo y L. de Pedro

(proyecto.dior@uam.es)

¡Gracias!

¿Preguntas?