Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica

1. Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L. García-Dorado, J.E. López de Vergara, J. Aracil, V. López, J.A. Hernández, S. López-Buedo y L. de Pedro Networking Research Group -- EPS -- UAM (proyecto.dior@uam.es)

2. Índice • Introducción • Que son los flujos de red • Que son los registros de los flujos de red • Utilidades • Infraestructura de captura y almacenamiento • Problemática • Muestreo • Filtrado de la información • Herramienta • Conclusiones • Trabajo futuro*

3. Introducción  Que son los flujos de red • Se entiende por flujo de red el conjunto de paquetes consecutivos que comparten puertos y direcciones IP origen/destino y protocolo. • Frecuentemente a estos flujos se les ha conocido por NetFlow (CISCO). • Tipo de servicio (ToS) • Interfaz • Estandarizado por el grupo de trabajo IPFIX del IETF

4. Introducción  Que son los registros de los flujos de red • Los routers crean una serie de registros por cada flujo que los atraviesa. • En principio esta técnica pretendía facilitar el proceso de enrutamiento.

5. Introducción  Que son los registros de los flujos de red • La información que contiene normalmente un registro es: • Tiempo de inicio y fin • Numero de paquetes y bytes • Interfaces de salida y entrada • Direcciones IP y puertos origen y destino • Mascaras...

6. Introducción  Que son los registros de los flujos de red • Los routers consideran que un flujo ha concluido, y que por tanto, deben exportar las información contenido en memoria, cuando sucede algunas de estas situaciones: • Se encuentra una bandera de fin de conexión • Cuando un flujo no produce tráfico en 15 segundos • 30 minutos después del comienzo • Cuando el router se queda son recursos • Sin embargo, se ha comprobado que a las velocidades actuales no es posible en cuanto a recursos de memoria y velocidad de acceso capturar y actualizar los contadores por cada paquetes de cada flujo

7. Introducción  Que son los registros de los flujos de red • La solución que se implementa es la de muestrear sólo un porcentaje de los paquetes. • Esto implica que la precisión de las estadísticas de los registros no será exacta en métricas como el tiempo de inicio y fin. • Métricas tales como el número de paquetes quedarán dividas según la tasa de muestreo.

8. Introducción  Utilidades • Sin embargo, ya se le han encontrado múltiples utilidades además de facilitar el enrutado: • Monitorización • La predicción de ataques • La detección de intrusos • Este trabajo muestra como, a partir de los flujos de RedIRIS, se pueden: • Recuperar estadísticas representativas del tráfico de la red • Visualizar y acceder a dichas estadísticas en un entorno web

9. Infraestructura de captura y almacenamiento

10. Infraestructura de captura y almacenamiento • El mapa muestra la topología simplificada de RedIRIS. • Cada uno de los routers de cada comunidad ha enviado a la UAM los registros NetFlow capturados. Utilizando la herramienta Flow-tools desde Abril de 2007. • En la UAM, se han almacenado en un repositorio. En total unos 2 TB a tasa media de llegada de 2 Mbps. • Posteriormente se procedió a su filtrado y análisis. En concreto se analizó la distribución del tráfico por puertos y por IPs (anonimizadas). Dejando los datos en el repositorio listos para ser accedidos. • Finalmente, se puede acceder a los datos mediante una aplicación web.

11. Problemática • Fundamentalmente existen dos problemas: • Los datos recibidos están muestreados • Se reciben todos los flujos agregados, sin distinción de universidad, centro o router Soluciones • Se multiplican los paquetes muestreados por el inverso de la tasa de muestro • Se filtran los registros por los rangos IP de las universidades y de los routers de cada C.A.

12. Herramienta • RedIRIS facilitó los rangos de direcciones IP de muchas de las universidades españolas. También se obtuvieron las direcciones IP de los routers exportadores. • Se multiplicó por la tasa de muestreo que nos informó RedIRIS que tenía cada router. • Se implemento la herramienta y se hizo accesible bajo filtrado por dirección IP y password.

13. Herramienta • Ancho de Banda y Hora Más Cargada

14. Validez de los datos: Comparación con MRTG y Distribución Puertos Herramienta

15. Conclusiones • Los registros de los flujos de red son de gran utilidad para múltiples fines. • Se ha comprobado como se puede utilizar los flujos de red de RedIRIS para monitorizar y captura de medias del uso de la red para cualquier tarea de análisis. • Se ha comprobado su corrección. • Existe una variedad de puertos usados muy grande. • No se ha encontrado un comportamiento homogéneo entre las distintas redes (¿configuraciones distintas de las redes?)

16. Trabajo futuro • El proyecto nacional DIOR pretende buscar reglas de dimensionado relacionando: • Las características “inherentes” de la redes de datos y • y el trafico que estas generan. • Como medidas del tráfico se están utilizando los flujos que nos facilita RedIRIS tras el preanálisis aquí mostrado. (2) • El dimensionado de redes es por tanto uno de los posibles análisis que puede utilizar la información de los flujos de red. • Por características inherentes entendemos (1): • Población de la universidad (alumnos, profesorado, PAS)– Accesibles en Consejo de coordinación universitaria – • Ancho de banda disponible por las universidades (1 Gbps, 100 Mbps)

17. Trabajo futuro • Sin embargo existen otras no tan fácilmente accesibles, pero igual de importantes: • Políticas de filtrado de los centros (P2P, filtrado por contenido) • Existen aulas de informática con acceso libre • Las universidades tienen IPs públicas en sus redes internas • Se utilizan técnicas como NAT o Proxies • Rango de IPs (Centros conectados a RICA) • ¡Se agradecería la colaboración con el proyecto!

18. ¡Gracias! ¿Preguntas? Utilidad de los flujos NetFlow de RedIRIS para análisis de una red académica J.L. García-Dorado, J.E. López de Vergara, J Aracil, V. López, J.A. Hernández, S. López-Buedo y L. de Pedro (proyecto.dior@uam.es)