Networking Research Group Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L.
Download ReportTranscript Networking Research Group Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L.
Networking Research Group Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L. García-Dorado, J.E. López de Vergara, J. Aracil, V. López, J.A. Hernández, S. LópezBuedo y L. de Pedro Networking Research Group -- EPS -- UAM ([email protected]) Índice Introducción • • • Que son los flujos de red Que son los registros de los flujos de red Utilidades Infraestructura de captura y almacenamiento Problemática • • Muestreo Filtrado de la información Herramienta Conclusiones Trabajo futuro* Introducción Que son los flujos de red Se entiende por flujo de red el conjunto de paquetes consecutivos que comparten puertos y direcciones IP origen/destino y protocolo. Frecuentemente a estos flujos se les ha conocido por NetFlow (CISCO). • • Tipo de servicio (ToS) Interfaz Estandarizado por el grupo de trabajo IPFIX del IETF Introducción Que son los registros de los flujos de red Los routers crean una serie de registros por cada flujo que los atraviesa. En principio esta técnica pretendía facilitar el proceso de enrutamiento. Introducción Que son los registros de los flujos de red La información que contiene normalmente un registro es: • • • • • Tiempo de inicio y fin Numero de paquetes y bytes Interfaces de salida y entrada Direcciones IP y puertos origen y destino Mascaras... Introducción Que son los registros de los flujos de red Los routers consideran que un flujo ha concluido, y que por tanto, deben exportar las información contenido en memoria, cuando sucede algunas de estas situaciones: • • • • Se encuentra una bandera de fin de conexión Cuando un flujo no produce tráfico en 15 segundos 30 minutos después del comienzo Cuando el router se queda son recursos Sin embargo, se ha comprobado que a las velocidades actuales no es posible en cuanto a recursos de memoria y velocidad de acceso capturar y actualizar los contadores por cada paquetes de cada flujo Introducción Que son los registros de los flujos de red La solución que se implementa es la de muestrear sólo un porcentaje de los paquetes. Esto implica que la precisión de las estadísticas de los registros no será exacta en métricas como el tiempo de inicio y fin. Métricas tales como el número de paquetes quedarán dividas según la tasa de muestreo. Introducción Utilidades Sin embargo, ya se le han encontrado múltiples utilidades además de facilitar el enrutado: • • • Monitorización La predicción de ataques La detección de intrusos Este trabajo muestra como, a partir de los flujos de RedIRIS, se pueden: • • Recuperar estadísticas representativas del tráfico de la red Visualizar y acceder a dichas estadísticas en un entorno web Infraestructura de captura y almacenamiento Infraestructura de captura y almacenamiento El mapa muestra la topología simplificada de RedIRIS. Cada uno de los routers de cada comunidad ha enviado a la UAM los registros NetFlow capturados. Utilizando la herramienta Flow-tools desde Abril de 2007. 1. En la UAM, se han almacenado en un repositorio. En total 2. 3. unos 2 TB a tasa media de llegada de 2 Mbps. Posteriormente se procedió a su filtrado y análisis. En concreto se analizó la distribución del tráfico por puertos y por IPs (anonimizadas). Dejando los datos en el repositorio listos para ser accedidos. Finalmente, se puede acceder a los datos mediante una aplicación web. Problemática Fundamentalmente existen dos problemas: 1. Los datos recibidos están muestreados 2. Se reciben todos los flujos agregados, sin distinción de universidad, centro o router Soluciones 1. Se multiplican los paquetes muestreados por el 2. inverso de la tasa de muestro Se filtran los registros por los rangos IP de las universidades y de los routers de cada C.A. Herramienta RedIRIS facilitó los rangos de direcciones IP de muchas de las universidades españolas. También se obtuvieron las direcciones IP de los routers exportadores. Se multiplicó por la tasa de muestreo que nos informó RedIRIS que tenía cada router. Se implemento la herramienta y se hizo accesible bajo filtrado por dirección IP y password. Herramienta Ancho de Banda y Hora Más Cargada Herramienta Validez de los datos: Comparación con MRTG y Distribución Puertos Conclusiones Los registros de los flujos de red son de gran utilidad para múltiples fines. Se ha comprobado como se puede utilizar los flujos de red de RedIRIS para monitorizar y captura de medias del uso de la red para cualquier tarea de análisis. Se ha comprobado su corrección. Existe una variedad de puertos usados muy grande. No se ha encontrado un comportamiento homogéneo entre las distintas redes (¿configuraciones distintas de las redes?) Trabajo futuro El proyecto nacional DIOR pretende buscar reglas de dimensionado relacionando: 1. Las características “inherentes” de la redes de datos y 2. y el trafico que estas generan. Como medidas del tráfico se están utilizando los flujos que nos facilita RedIRIS tras el preanálisis aquí mostrado. (2) El dimensionado de redes es por tanto uno de los posibles análisis que puede utilizar la información de los flujos de red. Por características inherentes entendemos (1): • Población de la universidad (alumnos, profesorado, PAS) • – Accesibles en Consejo de coordinación universitaria – Ancho de banda disponible por las universidades (1 Gbps, 100 Mbps) Trabajo futuro Sin embargo existen otras no tan fácilmente accesibles, pero igual de importantes: 1. Políticas de filtrado de los centros (P2P, filtrado 2. 3. 4. 5. • por contenido) Existen aulas de informática con acceso libre Las universidades tienen IPs públicas en sus redes internas Se utilizan técnicas como NAT o Proxies Rango de IPs (Centros conectados a RICA) ¡Se agradecería la colaboración con el proyecto! ¡Gracias! ¿Preguntas? Networking Research Group Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L. García-Dorado, J.E. López de Vergara, J Aracil, V. López, J.A. Hernández, S. LópezBuedo y L. de Pedro ([email protected])