NetFlow y su aplicacin en seguridad

NetFlow and its use in security Chelo Malagn

ENFOQUES

Resumen
El protocolo abierto NetFlow, desarrollado por CISCO System, ha demostrado ser muy til en el trabajo diario de los tcnicos de red, ya que permite monitorizar y representar el trfico de red en tiempo real, pero tambin es una herramienta esencial para los tcnicos de seguridad que pueden utilizar la informacin de los registros NetFlow recibidos de los dispositivos capaces de exportar esta informacin para analizar y detectar ataques y anomalas de seguridad, aumentando as su proactividad y su capacidad de operacin y respuesta. En este artculo, se presentar brevemente el protocolo NetFlow y los elementos necesarios para establecer una infraestructura de recoleccin y anlisis de trfico necesaria para el uso de esta tecnologa como apoyo al trabajo diario de los tcnicos de seguridad. Para finalizar, comentaremos el estado actual de la infraestructura puesta en produccin en RedIRIS por el equipo de seguridad.

Palabras clave: Netflow, monitorizacin, anlisis forense, deteccin, seguridad, NFSen, ataques de seguridad, anomalas de seguridad.

NetFlow es un protocolo abierto desarrollado por Darren Kerr y Barry Bruins de CISCO Systems

Summary
NetFlow, an open protocol developed by Cisco, has proven to be useful in the day to day work of network engineering given its ability to present network traffic in near real-time, as well as being an essential tool for security engineers who can use the information presented by NetFlow to analyse and detect security attacks and anomalies, helping them to be more proactive and improving their operational and response capabilities. In this article NetFlow is presented along with the elements necessary to create the collection and analysis infrastructure to be able to use Netflow in the daily work of security engineering. We finish by discussing the current state of the use of the technology by the RedIRIS security team.

Keywords: NetFlow, monitoring, forensic, detection, security, NFSen, security attacks, security anomalies

1. Tecnologa NetFlow
NetFlow es un protocolo abierto desarrollado por Darren Kerr y Barry Bruins, de CISCO Systems, que permite la recoleccin de trfico de red. La tecnologa NetFlow describe la manera en la que un router y/o un switch inteligente exporta estadsticas sobre el trfico que pasa por el mismo, mediante la generacin de registros NetFlow (denominados flujos) que se exportan va datagramas UDP a un dispositivo o mquina recolectora. La capacidad de exportar flujos est disponible no slo en la mayora de routers CISCO, sino tambin en otros muchos fabricantes (Juniper, Riverstone, etc.)(1) Un flujo es una secuencia unidireccional de paquetes con ciertas caractersticas comunes: direccin IP origen/destino, puerto origen/destino para TCP y UDP (tipo y cdigo para ICMP 0 para otros protocolos), nmero de protocolo de nivel 3, ToS (Type of Service) e ndice del interface de entrada.
NetFlow y su aplicacin en seguridad, Chelo Malagn http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

Esta tecnologa describe la manera en la que se exportan estadsticas sobre el trfico de red mediante registros denominados flujos

33

Dependiendo de la versin de NetFlow utilizada al exportar flujos, los datagramas de exportacin contendrn otros campos adicionales. La versin de exportacin NetFlow ms utilizada hoy en da es la versin 5 del protocolo. Esta versin agreg informacin sobre sistemas autnomos (BGP) y nmeros de secuencia a la primera versin (v1) aparecida en 1996, y ya prcticamente en desuso.(2) La Figura 1 muestra un ejemplo de los campos contenidos en el datagrama de exportacin para la versin 5. FIGURA 1. DATAGRAMA DE EXPORTACIN NETFLOW V5

Las versiones de exportacin de NetFlow ms utilizadas hoy en da son la versin 5 y la 9 del protocolo

Los registros NetFlow no contienen informacin del usuario, sino datos de conexin, lo que permite tener una visin detallada del comportamiento de nuestra red

Tras las versin 5, la versin ms utilizada hoy en da en el mercado es la versin 9. Esta versin est basada en plantillas, permitiendo varios formatos para los registros NetFlow, siendo as mucho ms flexible y extensible. Las descripcin de la plantilla utilizada es pasada por el dispositivo exportador al dispositivo colector que debe ser capaz de entenderla. Adems, incluye etiquetas MPLS, direcciones y puertos IPv6 y permite agregacin en los routers. El RFC 3954 [1], documenta en profundidad esta versin del protocolo. Aunque como hemos dicho, inicialmente el protocolo NetFlow fue implementado por CISCO, la necesidad de un protocolo estndar y universal que permita la exportacin de informacin de flujos de red desde distintos dispositivos de red, ha hecho que NetFlow haya emergido como un estndar en la IETF (mediante el Grupo de Trabajo IPFIX (Internet Protocol Flow Information eXport) [2]). Originalmente definido en el RFC3917 [3], IPFIX se basa en la versin 9 del protocolo NetFlow, y aunque todava no ha sido ampliamente desplegado, poco a poco los vendedores de equipamiento de red estn aadiendo soporte IPFIX a sus dispositivos. Un punto muy importante a resear sobre los registros NetFlow es que stos no contienen informacin del usuario, slo datos de conexin, lo que permite tener una visin detallada del comportamiento de toda nuestra red (tanto para la monitorizacin como para el anlisis efectivo de dicho trfico), evitando problemas relacionados con la privacidad de los usuarios.

34

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

2. Componentes de una arquitectura bsica para la monitorizacin y anlisis de trfico basada en Netflow
Se distinguen tres componentes bsicos en toda arquitectura de monitorizacin/anlisis de trfico basada en esta tecnologa: Exportador. Router o switch capaz de generar registros NetFlow, que se exportarn a un colector va UDP. Colector. Dispositivo que escucha en un puerto UDP determinado, y que es capaz de almacenar o reenviar los flujos recibidos a otros colectores segn la arquitectura definida. Analizador. Encargado de filtrar, mostrar, analizar y/o visualizar los flujos recibidos.

FIGURA 2. ARQUITECTURA DE MONITORIZACIN Y ANLISIS BASADA EN EL USO DE NFDUMP/NFSEN

Exportador, Colector y Analizador son los tres componentes bsicos en una arquitectura de monitorizacin y anlisis de trfico basada en Netflow

Los exportadores operan construyendo una cach (flow cache) que contiene informacin sobre todos los flujos activos que pasan por el dispositivo. Cada flujo est representado por un registro de flujo (flow record), que contiene una serie de campos de informacin que luego se utilizarn para exportar datos al colector. Un registro de flujo se actualiza cada vez que se conmutan los paquetes pertenecientes al flujo, llevando una cuenta de los paquetes y bytes por flujo. Sin embargo, con las velocidades actuales en muchos casos no es posible, en cuanto a recursos, capturar y actualizar los contadores por cada paquete en cada flujo. Es por ello que para evitar la carga de la CPU en los dispositivos exportadores, en muchas ocasiones se utiliza sampleado o muestreo(3) en los routers. Sin embargo el uso de un sampling distinto a 1/1 nos proporciona una imagen inexacta del trfico que circula por nuestra red y no es nada recomendable si vamos a usar los flujos para la deteccin y anlisis de ataques de seguridad, aumentando adems la complejidad a la hora de obtener estadsticas precisas de trfico. Otra solucin a este inconveniente de carga de la CPU de los exportadores es la utilizacin de tarjetas especiales y dispositivos de monitorizacin pasiva de red, independientes de conmutadores y routers, como el FlowMoon Probe desarrollado por CESNET [4]. Los registros de flujo expiran de la cach segn una serie de criterios, algunos de ellos configurables en el dispositivo.

Los exportadores operan construyendo una cach que contiene informacin sobre todos los flujos activos que pasan por el dispositivo

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

35

Estos criterios son: Cuando las conexiones TCP llegan a su fin (Flag FIN) o son reseteadas (se recibe un flag RST). Los flujos han estado inactivos por un tiempo determinado (parmetro configurable. Normalmente 15 segundos). La cach se llena o el router se queda sin recursos. Los flujos se mantienen activos en cach por un tiempo determinado (parmetro configurable. Normalmente 30 minutos). Una vez pasado este tiempo expiran de la cach, as se asegura un reporte peridico. El envo se hace ms frecuente si aumenta el trfico de las interfaces configuradas con NetFlow.

Todos los registros de flujos que han expirado en la cach se adjuntan en un datagrama de exportacin UDP, que tpicamente contendr entre 20 y 50 registros. Este datagrama se enva a un puerto determinado al dispositivo colector configurado.

El uso de NetFlow es de gran utilidad para mltiples fines relacionados con la monitorizacin, comprobacin y representacin de trfico de red y el triplete measurement, accounting y biling

Para la coleccin y anlisis de los flujos recibidos de los dispositivos de red se pueden utilizar diversos productos disponibles en el mercado tanto de libre distribucin como comerciales. SWITCH mantiene un listado bastante completo de herramientas para la recoleccin y anlisis de flujos de red [5]. Casi todas las herramientas en el mercado dan soporte a las principales versiones del protocolo descritas anteriormente.

3. Aplicacin de la tecnologa NetFlow en seguridad

El uso de NetFlow se ha demostrado de gran utilidad para mltiples fines relacionados con la monitorizacin, comprobacin(4) y representacin(5) de trfico de red y el triplete measurement, accounting y billing. Pero aparte de esta aplicacin relacionada puramente con la operacin de red, los tcnicos de seguridad estn continuamente hacindose una serie de preguntas, para cuya respuesta se puede utilizar la informacin que nos proporciona NetFlow. Se trata de preguntas del tipo: Se ha detectado en mi red este pico en el puerto X?, Cmo se est propagando el malware Y en mi red?, Se detecta trfico relacionado con el incidente Z?, Cmo puedo investigar este ataque de DoS?, Qu hosts/subredes consumen ms ancho de banda en mi red?, etc.

La tecnologa NetFlow es til para la investigacin de incidentes y para la deteccin proactiva de ataques y anomalas de seguridad

La monitorizacin tradicional usando estadsticas del trfico de los distintos enlaces (MRTG, RRD, Cricket, ect) no es suficiente para contestar estas preguntas ya que no nos proporcionan informacin lo suficientemente detallada. Para contestarlas, necesitamos disponer de informacin a nivel de conexin (puertos, flags TCP, etc.). Esta informacin nos la proporciona NetFlow de una forma sencilla. Si bien es cierto que existen diversas tcnicas de monitorizacin y deteccin de ataques de seguridad (IDSs, Firewalls, etc.), la tecnologa NetFlow est demostrando cada vez ms su utilidad en seguridad, tanto en la investigacin de incidentes (anlisis forense), como en la deteccin proactiva de ataques y anomalas. Frente al uso de IDSs y otros mecanismos de deteccin perimetrales, NetFlow proporciona una serie de ventajas entre las que podemos destacar:

36

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

Dado que la mayora de dispositivos de red tienen la capacidad de exportar registros NetFlow, la monitorizacin se puede realizar desde cualquier router de nuestra infraestructura, no slo en los routers de acceso a Internet donde normalmente se ubican IDSs y Firewalls, teniendo as adems una vista nica del trfico total de la red a nivel de infraestructura. A diferencia de los IDSs, en la monitorizacin utilizando NetFlow no se tiene acceso a informacin confidencial, ya que los flujos no contienen informacin del usuario, slo datos de conexin. Esta es una de las mayores ventajas de esta tecnologa. Adems hace que la inspeccin de los paquetes sea mucho ms rpida al contener slo perfiles de trfico(6) . El uso de NetFlow en entornos de redes de alta velocidad o con mucho trfico se hace pues especialmente recomendable. En anlisis de registros NetFlow basado en algoritmos de aprendizaje lo hace especialmente til en la deteccin de ataques de 0-day o mutaciones de ataques para los que la deteccin basada en firmas no es vlida.

Lo que es necesario recalcar para la utilizacin de NetFlow como apoyo al trabajo diario de los tcnicos de seguridad (tanto para deteccin como para anlisis) es que es fundamental que los exportadores no tengan configurado muestreo de los flujos (o al menos que ste sea lo ms cercano a 1/1) para que el almacenamiento de la informacin de los flujos sea lo ms detallado, fiel y til posible. NetFlow para anlisis forense NetFlow proporciona un apoyo adicional al trabajo diario de los tcnicos de seguridad a la hora de realizar anlisis forense sobre incidentes(7) , ya que nos permite almacenar informacin adicional relativa al trfico de red que nos ayuda en este menester. Esta informacin puede estar almacenada on-line o off-line, siendo imprescindible el uso de una herramienta de recoleccin, almacenamiento y anlisis de flujos con posibilidad de bsquedas preferiblemente va lnea de comandos para realizar consultas extensas (flow-tools, nfdump, etc. [5]). Normalmente, se programan scripts especficos que faciliten las bsquedas para este propsito. NetFlow para la deteccin de ataques y anomalas NetFlow permite detectar, en tiempo real, ataques que se producen en nuestra red (equipos posiblemente comprometidos, conexin haca servidores de C&C de botnets conocidas, envo de informacin a keyloggers, DoS/DDoS, escaneos de puertos y redes, infecciones especficas de determinados gusanos, SPAM, por poner algunos ejemplos). Existen varios mtodos de anlisis de flujos para deteccin de ataques y anomalas de seguridad. Estos mtodos se describen a continuacin. Un primer mtodo consiste en un anlisis bsico del trfico. Se trata de un modelo que se basa en describir qu actividad es normal en nuestra red(8) de acuerdo a patrones histricos de trfico, de manera que cualquier otro tipo de trfico se marca como malicioso. La forma ms bsica de realizar esta tarea es mediante el uso de estadsticas e informes de datos y sesiones (estadsticas TopN). Otras tcnicas ms sofisticadas y complejas son las basadas en mtodos heursticos y algoritmos de aprendizaje. Para ilustrar este mtodo de anlisis pongamos un par de ejemplos: - Normalmente un equipo mantiene un ritmo ms o menos frecuente de conexiones a lo largo del tiempo (dependiendo de su funcin y los servicios que proporcione), pero si
NetFlow y su aplicacin en seguridad, Chelo Malagn http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

Es fundamental que los exportadores no tengan configurado muestreo de los flujos para que el almacenamiento de la informacin sea lo ms detallado, fiel y til posible

NetFlow permite detectar, en tiempo real, ataques que se producen en la red

37

sufre por ejemplo la infeccin de un gusano, su comportamiento vara drsticamente, pudindose observar un volumen anormalmente alto de conexiones a otro u otros equipos o redes. Esto mismo ocurre con otro tipo de ataques como escaneos de red y puertos, DoS/DDoS o SPAM, que se pueden detectar utilizando esta misma filosofa. La deteccin de grandes transferencias de trfico en determinados periodos de tiempo desde un equipo a otro o a varios equipos, es otro ejemplo de cmo se puede realizar deteccin bsica. Esta tcnica, sin embargo puede ser bastante inexacta en entornos acadmicos debido al gran nmero de mquinas que pueden ser susceptibles de realizar estas grandes transferencias de manera legal.

Uno de los problemas asociados con el anlisis bsico de trfico es determinar lo que es normal en la red y cuales son los umbrales de sensibilidad

Uno de los problemas asociados con el anlisis bsico de trfico es precisamente determinar lo que es normal en nuestra red y cuales son los umbrales de sensibilidad apropiados. Esto ltimo est relacionado con la eliminacin de falsos positivos/negativos y las avalanchas de alertas difciles de manejar y que consumen muchos recursos para su gestin y comprobacin. Debemos tener en cuenta que la inspeccin y anlisis de trfico necesario para comprobar que un ataque no es realmente un falso positivo, es costoso y que consume recursos. Adems, en la mayora de los casos este anlisis no se puede automatizar si se quiere dar un servicio de deteccin de calidad (9), necesitando un operador que realice esta tarea a mano. Otro mtodo de deteccin de ataques de seguridad muy extendido es el basado en expresiones regulares. Cualquier campo de los incluidos en los registros NetFlow es susceptible de ser utilizado en una bsqueda (normalmente incluida en un script) utilizando expresiones regulares (puertos, IPs, duracin del flujo, bpp, Flags, etc.). Por poner un ejemplo, puede ser muy til obtener una visin ms granular de la actividad anormal de nuestra red mediante un anlisis ms preciso de los flujos basado en los Flags TCP (por ejemplo para detectar ataques SYN, Null y/o XMAS scans) o en el tipo/cdigo ICMP incluido en los registros. En contraposicin, la escritura de expresiones regulares para la generacin de alertas no es nada trivial y necesita ser adaptado a las caractersticas especficas de nuestra red. Es por tanto todo un arte. Las expresiones regulares pueden llegar a ser realmente complejas y necesitar revisin continua para su adecuacin a la evolucin lgica del trfico de nuestra red. Con los dos mtodos descritos anteriormente es muchas veces complicado detectar infecciones y escaneos no agresivos y ms silenciosos, como los que se sufren hoy en da. Para detectar este tipo de ataques es conveniente introducir otros mtodos ms sofisticados y complejos de deteccin basados tambin en la determinacin de cual es el trfico normal en nuestra red pero mediante el uso de inteligencia adicional basada en algoritmos de aprendizaje y data mining (por ejemplo basados en entropa). Cada vez hay ms las herramientas disponibles en el mercado para la deteccin de anomalas basadas en esta inteligencia (Sentinel, NetReflex, QRadar, NARUS, etc., por mencionar algunos), que sin duda nos permiten una deteccin complementaria a la tradicional basada en sesiones/datos TopN, umbrales y expresiones regulares.

Otros mtodos de deteccin de ataques de seguridad son los basados en expresiones regulares y en algoritmos de aprendizaje y data mining

38

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

FIGURA 3. DETECCIN DE CANDIDATOS A PORT SCAN UTILIZANDO NETFLOW

4. Monitorizacin de flujos de red en el rea de seguridad de RedIRIS

Desde mediados del ao 2006, el equipo de seguridad de RedIRIS (IRIS-CERT [6]), utiliza, entre otras tecnologas disponibles, NetFlow para el soporte en su actividad diaria, tanto para obtencin de estadsticas e informes TopN, como para la realizacin de anlisis forense sobre incidentes y la deteccin de ataques. Todo comenz con la participacin de RedIRIS en el JRA2 (Security) [7] de Gant2 [8], donde estuvimos involucrados en la definicin de un conjunto integrado de herramientas para la monitorizacin de trfico de red para la deteccin de ataques y anomalas. Tras un periodo de evaluacin de diversas herramientas, el NFSen, desarrollado por SWITCH [9], se eligi como parte de este ToolSet y fue puesto en produccin en RedIRIS. NFSen es una herramienta de recoleccin y anlisis de flujos, que muestra grficamente la situacin actual de la red (desde vistas generales, por flujos/paquetes/trfico, hasta un anlisis de flujos especficos). Adems, entre sus caractersticas principales se encuentran: la definicin de vistas especficas sobre los datos almacenados (profiles), la realizacin de anlisis de flujos en ventanas especficas de tiempo (va Web y por lnea de comandos), el post-procesado automtico de flujos para la generacin de informes y alertas, y la posibilidad de incluir extensiones flexibles usando plugins (tanto de frontend como de backend). FIGURA 4. NFSEN

NfSen es una herramienta de recoleccin y anlisis de flujos que muestra grficamente la situacin actual de la red

El NfSen recoge los flujos de todos los routers del backbone de RedIRIS almacenndose aproximadamente 4 meses de flujos en crudo para su anlisis histrico

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

39

En la actualidad el NfSen recoge los flujos de todos los routers del backbone de RedIRIS, almacenndose aproximadamente 4 meses de flujos en crudo para su anlisis histrico. Utilizamos una mquina Dual Core AMD Opteron Processor 2210, con 1 GHz cada procesador y 8 G de memoria, con sistema operativo Red Hat Enterprise Linux. El almacenamiento de los datos en crudo se realiza en un Filer, disponiendo actualmente de 3 T de espacio. Sobre los datos recogidos, se obtienen estadsticas internas de trfico y utilizacin de la red para su uso interno. Por un lado se disponen de estadsticas diarias va Web que muestran, por cada uno de los routers de nuestro backbone, el Top1000 de trfico por IP fuente, IP destino, AS fuente y destino, y de clase C fuente y destino. Cada una de estas estadsticas est ordenada a su vez por bytes, flujos y paquetes, y muestran adems informacin acerca del puesto que ocupaba una IP, red, AS en el ranking presentado el da anterior. Actualmente se guardan este tipo de estadsticas para los ltimos 7 das. Adems de stas, se reciben por correo estadsticas top10 diarias sobre todo el trfico de la red por clases C origen, IP origen, puerto destino y protocolo, as como un listado diario de aquellas mquinas que realizan mayores transferencias de datos y que consumen mayor ancho de banda en nuestra red. Se dispone tambin de un plugin que realiza un seguimiento de los puertos ms utilizados en nuestra red (PortTracker, disponible en la distribucin bsica del NfSen), y cuyas grficas se pueden consultar va Web.

En la actualidad se generan diferentes estadsticas internas de trfico y utilizacin de la red que nos permiten tener una visin general de la misma

FIGURA 5. ESTADSTICAS DE TRFICO POR ROUTER DE REDIRIS

La deteccin de ataques y mquinas compromentidas se realiza mediante plugins especficos

La deteccin de ataques y mquinas comprometidas se realiza mediante plugins especficos. En la actualidad estos plugins nos permiten detectar mquinas de nuestra comunidad que realizan escaneos de puertos y redes (y que por tanto pueden estar comprometidas), as como mquinas, tambin en nuestra comunidad, que se conectan a servidores de Command&Control de botnets, de las que tenemos noticia desde distintas fuentes. Los datos recogidos por estos plugins son redirigidos a un correlador denominado DesconII [10] desarrollado por la Universidad Carlos III de Madrid, que permite relacionar las alertas y determinar umbrales por encima de los cuales se considera que un conjunto de alertas puede constituir un incidente que ser entonces gestionado y procesado por el CERT, va RTIR.

40

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

FIGURA 6. NFSEN PLUGINS

Para finalizar, actualmente el equipo de seguridad de RedIRIS est inmerso en un proyecto para investigar la aplicabilidad de los flujos de red en la deteccin proactiva de anomalas de seguridad y ataques, estudiando y evaluando diferentes herramientas entre las que se encuentran el NetReflex, el QRadar o el mdulo de anlisis de flujos del DSCC (Dragon Security Command Console). Este proyecto tiene como fin el complementar la deteccin tradicional que en este momento se est realizando basada en los plugins que estn en produccin, pasando as a una deteccin ms avanzada.

5. Referencias
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] http://www.ietf.org/rfc/rfc3954.txt http://www.ietf.org/dyn/wg/charter/ipfix-charter.html http://www.ietf.org/rfc/rfc3917.txt http://www.flowmon.org/ http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html http://www.rediris.es/cert http://www.geant2.net/server/show/nav.755 http://www.geant2.net/ http://sourceforge.net/projects/nfsen/ http://nuberu.uc3m.es/cgi-bin/viewvc.cgi/descon2v1/

El equipo de seguridad de RedIRIS est inmerso en un proyecto para investigar la aplicabilidad de los flujos de red en la deteccin proactiva de anomalas de seguridad y ataques

Notas
(1) Existen otros protocolos adems de NetFlow diseados con el mismo propsito, como cflow (Juniper), sFlow (Force10) o IPFIX (estndar de IETF y basado en NetFlow). (2) NetFlow apareci como un upgrade que aada una serie de funcionalidades nuevas a las series 7000 de los routers CISCO.

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

41

(3) El samping o muestreo consiste en no contabilizar todos los paquetes que se conmutan perteniecientes a un flujo, sino una muestra de los mismos (1 de cada 100 (1/100), 1 de cada 200, (1/200) etc.) (4) Por ejemplo, comprobar que por cada interface de los routers llega el trfico que debe llegar (rangos no permitidos haciendo trnsito hacia Internet, equipos mal configurados haciendo NAT, etc.) (5) Por ejemplo uso de distintos protocolos, intercambio de informacin entre distintos ASs/PoPs, volumen de trfico, topN, mayores productores de trfico, etc. (6) Si bien es cierto que NetFlow no es apto para detectar ataques basados en el contenido de los paquetes. (7) Se detecta trfico relacionado con el incidente Z?, Cmo puedo investigar este ataque de DoS?, Es realmente el origen del ataque el que dice ser?, (8) Por interface, prefijo, protocolo y puerto, pps, bps, flujos, bytes,paquetes/sg, etc., en distintos periodos de tiempo (5 mins, 30 mins, 1 hora, 12 horas, 1 semana...), etc. (9) En realidad esto es aplicable a cualquier mtodo autotico de deteccin de ataques y anomalas.

Chelo Malagn (chelo.malagon@rediris.es) Equipo de seguridad IRIS-CERT Red.es/RedIRIS

42

Boletn de RedIRIS, nm. 87, octubre 2009