Las redes son difíciles de administrar y monitorear. Es comprensible, el tráfico de red ocurre dentro del cableado de cobre o las fibras ópticas y no se puede ver. Esto hace que sea un poco complicado para cualquier administrador tener una imagen clara y definida de lo que está sucediendo con las redes que administran. Aquí es donde entra en juego la supervisión de la red. Y cuando se trata de la supervisión de la red, hay varios niveles disponibles, cada uno de los cuales proporciona más información sobre el tráfico. La inspección profunda de paquetes es el nivel superior de monitoreo que proporciona la mayor información sobre el tráfico de red. Para realizar la inspección profunda de paquetes, necesita las herramientas adecuadas, y hoy estamos revisando algunas de las mejores herramientas para la inspección profunda de paquetes.
Antes de comenzar, intentaremos explicar el paquete profundoinspección. Parece que todos tienen una idea conflictiva de lo que es y lo que debería ser. La inspección profunda de paquetes que nos interesa hoy en día tiene que ver con el monitoreo de la red, otro término vago. Para tratar de arrojar algo de luz sobre el tema, discutiremos el monitoreo en general y el análisis de flujo en particular, ya que constituye una forma de inspección profunda de paquetes. Y dado que la tecnología NetFlow de Cisco parece ser la más frecuente, la analizaremos más a fondo. Solo entonces estaremos listos para revelar cuáles son las mejores herramientas para la inspección profunda de paquetes y ofrecerle una breve revisión de cada una.
Inspección profunda de paquetes explicada
La inspección profunda de paquetes se define como el acto, paraun componente de infraestructura de red, para analizar el contenido de los paquetes de datos más allá de simplemente mirar el encabezado del paquete para recopilar estadísticas sobre el tráfico de la red o para fines de filtrado, priorización o detección de intrusos. Si bien esta definición es relativamente precisa, es un poco genérica. Además, la inspección profunda de paquetes puede variar según lo que intente lograr. La inspección profunda de paquetes realizada con fines de recopilación de estadísticas, por ejemplo, es diferente de la inspección profunda de paquetes realizada para filtrar parte del tráfico. En el contexto de este artículo, lo que nos interesa es principalmente la recopilación de estadísticas. Las herramientas que revisaremos momentáneamente son esencialmente herramientas de monitoreo avanzadas.
Acerca de las herramientas de monitoreo
Monitoreo de red, al igual que el paquete profundoinspección, no es un término claramente definido. La forma más básica de monitoreo de red es el monitoreo de ancho de banda. Por lo general, se realiza utilizando el Protocolo simple de administración de redes. Este tipo de monitoreo es muy útil para obtener una imagen clara de la utilización de su red, pero tiene limitaciones. Si bien le dará la utilización promedio de ancho de banda en un punto específico de la red, no proporcionará detalles sobre lo que está utilizando el ancho de banda.
Para una imagen más clara de lo que es el tráficotransportado en una red, debe utilizar el análisis de flujo. El análisis de flujo es mucho más profundo que el monitoreo de ancho de banda y puede proporcionar información detallada. Se basa en los propios dispositivos de red para enviar información de tráfico a los sistemas de monitoreo llamados colectores y / o analizadores que pueden interpretar los datos de flujo y presentarlos de manera significativa. El análisis de flujo, por ejemplo, le permitirá ver cómo se distribuye el tráfico de red entre todas las fuentes y destinos. Le informará sobre qué protocolos y qué tipos de tráfico se utilizan.
El análisis de flujo se puede considerar como paquete profundoinspección en que va más allá de solo mirar el encabezado para encontrar información cualitativa sobre los datos reales que se transportan en una red. La más común de todas las tecnologías de análisis de flujo es ciertamente NetFlow de Cisco. Echemos un vistazo más profundo.
Más acerca de NetFlow
NetFlow fue desarrollado originalmente por Cisco Systemse introducidos en sus enrutadores con el objetivo de proporcionar la capacidad de recopilar información de tráfico de red IP a medida que entra o sale de una interfaz. Su intención original era ser utilizada para construir mejores listas de control de acceso (ACL). Desde entonces se ha expandido a un verdadero esquema de monitoreo y los datos de flujo recopilados por los dispositivos ahora se exportan dia.
La tecnología NetFlow se compone deesencialmente tres componentes. El primero es el exportador de flujo que agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo. El siguiente componente, el colector de flujo, es responsable de la recepción, almacenamiento y procesamiento previo de los datos de flujo recibidos del componente anterior. Finalmente, el analizador de flujo se usa para analizar los datos de flujo recibidos. Este análisis se puede utilizar para la creación de perfiles de tráfico o la resolución de problemas de red, entre otros usos. Muchas configuraciones modernas combinan el colector de flujo y el analizador en un solo componente integrado.
Cómo funciona NetFlow
Cualquier otro dispositivo que admita NetFlow puede serconfigurado para generar datos de flujo en forma de registros de flujo y enviarlos a un recopilador de NetFlow. Un flujo es una conversación completa en el sentido de IP. Y podría haber muchos flujos pasando por una interfaz en un momento dado. El dispositivo de red que prepara los registros de flujo los envía al recopilador cuando determina, ya sea por envejecimiento o al ver la finalización de una sesión TCP, que el flujo ha finalizado.
Un registro de flujo típico contiene bastanteinformación. Esto incluye las interfaces de entrada y salida, las marcas de tiempo de inicio y finalización del flujo, el número de bytes y paquetes que contiene, los encabezados de la capa 3, la dirección IP de origen y destino y el número de puerto, el protocolo IP y el TOS ( Tipo de servicio) valor. Los registros de flujo no contienen los datos reales que componen el flujo. Solo contienen información sobre el flujo. Esto es importante desde el punto de vista de la seguridad.
En la mayoría de los entornos, los colectores de flujo dondeLos registros que se envían suelen ser también analizadores de flujo. Solo las redes de sitios múltiples muy grandes se beneficiarán de tener colectores separados distribuidos en los distintos sitios. Los recopiladores y analizadores usan la información contenida en los registros de flujo para presentar datos sobre el tráfico de la red de una manera que sea útil para los administradores de la red. De hecho, los principales factores distintivos entre las diferentes herramientas son la forma en que pueden dar sentido y presentar los datos de manera significativa.
Las mejores herramientas para la inspección profunda de paquetes
Desde un punto de vista de monitoreo, el análisis de flujo es unrealice una inspección profunda de paquetes para que las herramientas que estamos revisando hoy sean analizadores de NetFlow. Sin embargo, muchos de ellos harán más que eso y algunos son parte de una solución de monitoreo completa.
1. Analizador de tráfico SolarWinds NetFlow (Prueba gratis)
SolarWinds, en el caso improbable de que tengasNunca oí hablar de la compañía, hace algunos de los mejores software para la administración de redes y sistemas. Uno de sus productos estrella, SolarWinds Network Performance Monitor, es considerado por muchos como una de las mejores herramientas de monitoreo de ancho de banda de red. Y SolarWinds también fabrica excelentes herramientas gratuitas, cada una de las cuales aborda una tarea específica de los administradores de red. Dos ejemplos de esas herramientas gratuitas son una calculadora de subred avanzada gratuita y un servidor syslog gratuito. Y cuando se trata del análisis de tráfico NetFlow, el Analizador de tráfico NetWlow (NTA) de SolarWinds es definitivamente uno de los mejores recopiladores y analizadores de NetFlow que puede encontrar.
Entre las mejores características del producto, el Analizador de tráfico SolarWinds NetFlow puede monitorear el uso del ancho de banda por aplicación,protocolo y grupo de direcciones IP. No solo puede monitorear Cisco NetFlow sino también Juniper J-Flow, sFlow, Huawei NetStream e IPFIX, algunas otras tecnologías de análisis de flujo basadas en NetFlow, para identificar qué aplicaciones y protocolos son los principales consumidores de ancho de banda. La herramienta recopila datos de tráfico, los correlaciona en un formato utilizable y los presenta al usuario en un tablero basado en la web. El producto es compatible con Cisco NBAR2 para identificar qué aplicaciones y categorías consumen la mayor cantidad de ancho de banda, lo que le brinda una mejor visibilidad del tráfico de red.
los Analizador de tráfico SolarWinds NetFlow es un complemento para el Monitor de rendimiento de red(NPM). Si aún no posee una licencia NPM, deberá tener en cuenta ese costo. Comienzan en $ 2 955 por hasta 100 elementos. En cuanto al complemento NTA, su licencia debe coincidir con el número de nodos de su licencia NPN y los precios comienzan en $ 1 915. Si prefiere probar el producto antes de comprometerse con una compra, SolarWinds ofrece una prueba gratuita.
- PRUEBA GRATIS: Analizador de tráfico SolarWinds NetFlow
- Enlace oficial de descarga: https://www.solarwinds.com/netflow-traffic-analyzer
2. Analizador NetWlow en tiempo real de SolarWinds (Descargar libre)
Si necesita una solución a menor escala, la Analizador NetWlow en tiempo real de SolarWinds podría ser justo lo que necesitas. Esta es una de las herramientas gratuitas famosas de SolarWind y, aunque no es tan completa como el NetFlow Traffic Analyzer, le brinda algunas de las mismas funciones básicas.
Puede capturar y analizar datos de flujo en tiempo real. Y le mostrará el tipo de tráfico transportado en su red, de dónde viene y hacia dónde va. También puede usarlo, hasta cierto punto, para diagnosticar picos de tráfico y solucionar problemas de ancho de banda.
El producto le permitirá identificar qué usuarios,dispositivos y aplicaciones consumen la mayor cantidad de ancho de banda; aislar el tráfico de red por conversación, aplicación, dominio, punto final y protocolo; y ver el tráfico de red por tipo y períodos de tiempo especificados
Por supuesto, no puede esperar que este software gratuitohacer todo lo que hace su hermano mayor. Tiene algunas limitaciones severas y su enfoque principal es el estado actual y muy reciente de su red. Solo recopilará datos de una interfaz de NetFlow y solo conservará y analizará los últimos 60 minutos de datos.
Si necesita una vista rápida y sucia del uso de su ancho de banda, el analizador de flujo de tiempo en tiempo real gratuito SolarWinds lo proporcionará, pero no mucho más.
- Descarga gratis: Analizador NetWlow en tiempo real de SolarWinds
- Enlace oficial de descarga: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer
3. Analizador ManageEngine NetFlow
ManageEngine es otro nombre bien conocido en el campo de las herramientas de administración de redes. Sus Analizador ManageEngine NetFlow ofrece a los administradores de red una vista detallada deutilización de ancho de banda de red, así como patrones de tráfico. El producto está controlado por una interfaz basada en la web y ofrece una impresionante cantidad de vistas diferentes en su red.
Por ejemplo, el producto te permitirá vertráfico por aplicación, por conversación, por protocolo y varias opciones más. También tiene la posibilidad de configurar alertas para advertirle de posibles problemas. Podría, por ejemplo, establecer un umbral de tráfico en una interfaz específica y recibir alertas cada vez que se exceda.
Pero las mayores fortalezas de esta herramienta son susinformes y tablero de instrumentos. Viene con varios informes predefinidos muy útiles que se personalizan para fines específicos, como la resolución de problemas, la planificación de la capacidad o la facturación. Y tan buenos como son sus informes integrados, la herramienta también permite a los administradores crear informes personalizados a su gusto.
El tablero del producto es tan impresionante comosus informes Incluye varios gráficos circulares con cosas como las mejores aplicaciones, los mejores protocolos o las mejores conversaciones. También puede mostrar una especie de mapa de calor con el estado de las interfaces monitoreadas. Y al igual que los informes, el panel también se puede personalizar para incluir solo la información que le resulte útil. El tablero también es donde se muestran las alertas en forma de ventanas emergentes. El administrador de red en movimiento no se sentirá excluido ya que hay una aplicación para teléfonos inteligentes disponible y le dará acceso tanto al tablero como a los informes.
los Analizador ManageEngine NetFlow admite la mayoría de las tecnologías de flujo, incluidasNetFlow, IPFIX, J-flow, NetStream y algunos otros. Esta herramienta también cuenta con una excelente integración con los dispositivos Cisco, con la posibilidad de ajustar la configuración del tráfico y / o las políticas de QoS directamente desde la herramienta.
los Analizador ManageEngine NetFlow Viene en dos versiones. Existe una versión gratuita que se limita a monitorear solo dos interfaces de flujos. Si bien esto no es mucho, podría ser todo lo que necesita. Y esa versión gratuita permitirá dispositivos ilimitados durante los primeros 30 días, lo que le brinda la oportunidad de realizar una prueba exhaustiva. Una vez que finaliza la prueba, las licencias están disponibles en varios tamaños, desde 100 hasta 2500 interfaces o flujos con precios que comienzan en aproximadamente $ 600 más tarifas anuales de mantenimiento.
4. Paessler Router Traffic Grapher (PRTG)
PRTG de Paessler es otro conocido, todo en unosolución cuyo propósito principal es monitorear la utilización del ancho de banda. También se usa para monitorear la disponibilidad y el estado de los diferentes recursos de la red. Como tal, es otra herramienta muy útil para los administradores de red. Pero gracias a un sensor NetFlow que está disponible para el producto, PRTG También puede servir como un colector y analizador de NetFlow.
De hecho, PRTG no es solo una herramienta de monitoreo de ancho de banda o unaNetFlow colector y analizador. Utiliza varias tecnologías para monitorear sistemas, dispositivos, tráfico y aplicaciones. Entre ellos, el producto utilizará SNMP con opciones listas para usar y personalizadas, contadores de rendimiento WMI y Windows, SSH para sistemas Linux / Unix y MacOS, flujos, como NetFlow o sFlow, y análisis de paquetes, solicitudes HTTP, API REST que devuelven XML o JSON, Ping, SQL y muchos más.
Instalando PRTG es fácil. Simplemente ejecute el instalador, luego el proceso de descubrimiento automático descubrirá dispositivos y configurará sensores. Luego puede agregar sensores adicionales, como los recolectores NetFlow, manualmente. Incluso hay un video detallado en el sitio web de Paessler que le mostrará cómo se hace.
El servidor se ejecuta solo en Windows pero su usuarioLa interfaz está basada en la web y se puede acceder desde cualquier navegador. También hay una aplicación de cliente móvil que puede instalar en su teléfono inteligente. La aplicación de cliente móvil tiene una característica única en forma de etiquetas QR que puede imprimir y pegar en sus dispositivos. Luego, un escaneo del código desde la aplicación móvil abrirá rápidamente los datos del sensor de ese dispositivo.
Dos versiones de PRTG están disponibles. Hay una versión gratuita que está limitada a 100 sensores. Tenga en cuenta que un sensor en PRTG El lenguaje no es un dispositivo. Es, en cambio, el elemento más básico que se puede monitorear. Por ejemplo, monitorear cada puerto de un conmutador de 48 puertos requiere 48 sensores y la recolección y análisis de NetFlow requiere un sensor por exportador de flujo. A ese ritmo, es obvio que 100 sensores podrían no ser tanto como aparecieron por primera vez. Si necesita más de 100 sensores, deberá comprar una licencia. Están disponibles en 500, 1000, 2500 o 5000 sensores y también hay una licencia ilimitada. Los precios varían de alrededor de $ 1 600 a poco menos de $ 15 000. La versión gratuita permitirá sensores ilimitados durante los primeros 30 días para que pueda beneficiarse de una prueba de manejo exhaustiva del producto.
5. escrutinio
El último en nuestra lista es Escrutador de Plixer, otro excelente analizador de NetFlow. En realidad, es mucho más que eso y algunos lo ven como un sistema completo de respuesta a incidentes. El producto tiene la capacidad de monitorear diferentes tipos de flujo, como NetFlow, J-flow, NetStream e IPFIX, por lo que no está limitado a monitorear solo dispositivos Cisco.
Escrutador cuenta con un diseño jerárquico que ofreceRecopilación de datos optimizada y eficiente, y le permite comenzar en pequeño y luego escalar hasta muchos millones de flujos por segundo. A menudo se culpa primero a la red cada vez que algo sale mal. Con esta herramienta, puede encontrar rápidamente la causa real de casi todos los problemas de la red. El producto funciona con entornos físicos y virtuales y viene con funciones de informes avanzadas.
Escrutador está disponible en cuatro niveles de licencia. Van desde la versión básica gratuita hasta el nivel SCR completo que puede escalar hasta más de 10 millones de flujos por segundo. La versión gratuita está limitada a 10 mil flujos por segundo y solo conservará los datos de flujo sin procesar durante 5 horas, pero debería ser más que suficiente para solucionar problemas de red. También puede probar cualquier nivel de licencia durante 30 días, luego de lo cual volverá a la versión gratuita.
Comentarios