Netflow, controlando el tráfico de red (I)

NetFlow es un protocolo de red, escrito por Cisco y que sirve para recabar información sobre el tráfico IP que pasa por un equipo. Actualmente este protocolo es un estándar en prácticamente todos los router's modernos y gracias a ellos, podemos controlar el tráfico de cada IP que pasa por él. De la misma forma que Cisco desarrolló su estándar y el resto de fabricantes lo adaptaron a sus dispositivos, en GNU/Linux existe también una implementación de dicho protocolo, tanto para recolección y procesado de los datos, como para captura de los mismos.


NetFlow actualmente está en la versión 9, aunque la más extendida todavía sigue siendo la versión 5 del mismo, que entre otra información, nos ofrece:
  • Interfaz de entrada/salida del tráfico
  • Timestamps del flujo, con tiempos de comiendo y finalización
  • Número de paquetes y bytes del flujo
  • Toda la información de cabecera de capa 3 (IP origen, IP destino, puertos, protocolo, tipo de servicio, etc.)
  • Flags TCP (en caso de comunicación TCP)
  • Información de rutas (en capa 3)
Una vez introducido el concepto de NetFlow y visto así por encima para qué sirve, en próximos post's veremos cómo poder obtener dicha información de los equipos, bien sean router's, bien sean firewall's linux y cómo almacenarla para posteriormente procesarla.


Temas:


No hay comentarios :

Publicar un comentario

Formulario de contacto

Nombre

Correo electrónico *

Mensaje *

Últimos comentarios