NetFlow y su aplicacin en seguridad

ENFOQUES

NetFlow and its use in security

Chelo Malagn

Resumen
El protocolo abierto NetFlow, desarrollado por CISCO System, ha demostrado ser muy til en el trabajo
diario de los tcnicos de red, ya que permite monitorizar y representar el trfico de red en tiempo real, pero
tambin es una herramienta esencial para los tcnicos de seguridad que pueden utilizar la informacin de
los registros NetFlow recibidos de los dispositivos capaces de exportar esta informacin para analizar y
detectar ataques y anomalas de seguridad, aumentando as su proactividad y su capacidad de operacin y
respuesta.
En este artculo, se presentar brevemente el protocolo NetFlow y los elementos necesarios para establecer
una infraestructura de recoleccin y anlisis de trfico necesaria para el uso de esta tecnologa como apoyo
al trabajo diario de los tcnicos de seguridad.
Para finalizar, comentaremos el estado actual de la infraestructura puesta en produccin en RedIRIS por el
equipo de seguridad.

Palabras clave: Netflow, monitorizacin, anlisis forense, deteccin, seguridad, NFSen, ataques de
seguridad, anomalas de seguridad.

NetFlow es un
protocolo abierto
desarrollado por
Darren Kerr y Barry
Bruins de CISCO
Systems

Summary
NetFlow, an open protocol developed by Cisco, has proven to be useful in the day to day work of network
engineering given its ability to present network traffic in near real-time, as well as being an essential tool
for security engineers who can use the information presented by NetFlow to analyse and detect security
attacks and anomalies, helping them to be more proactive and improving their operational and response
capabilities.
In this article NetFlow is presented along with the elements necessary to create the collection and analysis
infrastructure to be able to use Netflow in the daily work of security engineering.
We finish by discussing the current state of the use of the technology by the RedIRIS security team.

Keywords: NetFlow, monitoring, forensic, detection, security, NFSen, security attacks, security anomalies

1. Tecnologa NetFlow
NetFlow es un protocolo abierto desarrollado por Darren Kerr y Barry Bruins, de CISCO Systems, que
permite la recoleccin de trfico de red.

Esta tecnologa
describe la manera
en la que se
exportan
estadsticas sobre el
trfico de red
mediante registros
denominados flujos

La tecnologa NetFlow describe la manera en la que un router y/o un switch inteligente exporta
estadsticas sobre el trfico que pasa por el mismo, mediante la generacin de registros NetFlow
(denominados flujos) que se exportan va datagramas UDP a un dispositivo o mquina recolectora. La
capacidad de exportar flujos est disponible no slo en la mayora de routers CISCO, sino tambin en
otros muchos fabricantes (Juniper, Riverstone, etc.)(1)
Un flujo es una secuencia unidireccional de paquetes con ciertas caractersticas comunes: direccin IP
origen/destino, puerto origen/destino para TCP y UDP (tipo y cdigo para ICMP 0 para otros
protocolos), nmero de protocolo de nivel 3, ToS (Type of Service) e ndice del interface de entrada.
NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

33

Dependiendo de la versin de NetFlow utilizada al exportar flujos, los datagramas de exportacin

contendrn otros campos adicionales.
La versin de exportacin NetFlow ms utilizada hoy en da es la versin 5 del protocolo. Esta versin
agreg informacin sobre sistemas autnomos (BGP) y nmeros de secuencia a la primera versin (v1)
aparecida en 1996, y ya prcticamente en desuso.(2)
La Figura 1 muestra un ejemplo de los campos contenidos en el datagrama de exportacin para la
versin 5.
FIGURA 1. DATAGRAMA DE EXPORTACIN NETFLOW V5

Las versiones de
exportacin de
NetFlow ms
utilizadas hoy en
da son la versin 5
y la 9 del protocolo

Los registros
NetFlow no
contienen
informacin del
usuario, sino datos
de conexin, lo que
permite tener una
visin detallada del
comportamiento de
nuestra red

34

Tras las versin 5, la versin ms utilizada hoy en da en el mercado es la versin 9. Esta versin est
basada en plantillas, permitiendo varios formatos para los registros NetFlow, siendo as mucho ms
flexible y extensible. Las descripcin de la plantilla utilizada es pasada por el dispositivo exportador al
dispositivo colector que debe ser capaz de entenderla. Adems, incluye etiquetas MPLS, direcciones y
puertos IPv6 y permite agregacin en los routers. El RFC 3954 [1], documenta en profundidad esta
versin del protocolo.
Aunque como hemos dicho, inicialmente el protocolo NetFlow fue implementado por CISCO, la
necesidad de un protocolo estndar y universal que permita la exportacin de informacin de flujos
de red desde distintos dispositivos de red, ha hecho que NetFlow haya emergido como un estndar en
la IETF (mediante el Grupo de Trabajo IPFIX (Internet Protocol Flow Information eXport) [2]).
Originalmente definido en el RFC3917 [3], IPFIX se basa en la versin 9 del protocolo NetFlow, y
aunque todava no ha sido ampliamente desplegado, poco a poco los vendedores de equipamiento
de red estn aadiendo soporte IPFIX a sus dispositivos.
Un punto muy importante a resear sobre los registros NetFlow es que stos no contienen
informacin del usuario, slo datos de conexin, lo que permite tener una visin detallada del
comportamiento de toda nuestra red (tanto para la monitorizacin como para el anlisis efectivo de
dicho trfico), evitando problemas relacionados con la privacidad de los usuarios.

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

2. Componentes de una arquitectura bsica para la monitorizacin y anlisis de

trfico basada en Netflow
Se distinguen tres componentes bsicos en toda arquitectura de monitorizacin/anlisis de trfico
basada en esta tecnologa:

Exportador. Router o switch capaz de generar registros NetFlow, que se exportarn a un

colector va UDP.

Colector. Dispositivo que escucha en un puerto UDP determinado, y que es capaz de

almacenar o reenviar los flujos recibidos a otros colectores segn la arquitectura definida.

Analizador. Encargado de filtrar, mostrar, analizar y/o visualizar los flujos recibidos.

FIGURA 2. ARQUITECTURA DE MONITORIZACIN

Y ANLISIS BASADA EN EL USO DE NFDUMP/NFSEN

Los exportadores operan construyendo una cach (flow cache) que contiene informacin sobre todos
los flujos activos que pasan por el dispositivo. Cada flujo est representado por un registro de flujo
(flow record), que contiene una serie de campos de informacin que luego se utilizarn para exportar
datos al colector. Un registro de flujo se actualiza cada vez que se conmutan los paquetes
pertenecientes al flujo, llevando una cuenta de los paquetes y bytes por flujo.
Sin embargo, con las velocidades actuales en muchos casos no es posible, en cuanto a recursos,
capturar y actualizar los contadores por cada paquete en cada flujo. Es por ello que para evitar la
carga de la CPU en los dispositivos exportadores, en muchas ocasiones se utiliza sampleado o
muestreo(3) en los routers. Sin embargo el uso de un sampling distinto a 1/1 nos proporciona una
imagen inexacta del trfico que circula por nuestra red y no es nada recomendable si vamos a usar los
flujos para la deteccin y anlisis de ataques de seguridad, aumentando adems la complejidad a la
hora de obtener estadsticas precisas de trfico.

Exportador,
Colector y
Analizador son los
tres componentes
bsicos en una
arquitectura de
monitorizacin y
anlisis de trfico
basada en Netflow

Los exportadores
operan
construyendo una
cach que contiene
informacin sobre
todos los flujos
activos que pasan
por el dispositivo

Otra solucin a este inconveniente de carga de la CPU de los exportadores es la utilizacin de tarjetas
especiales y dispositivos de monitorizacin pasiva de red, independientes de conmutadores y routers,
como el FlowMoon Probe desarrollado por CESNET [4].
Los registros de flujo expiran de la cach segn una serie de criterios, algunos de ellos configurables
en el dispositivo.

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

35

Estos criterios son:

-

Cuando las conexiones TCP llegan a su fin (Flag FIN) o son reseteadas (se recibe un flag
RST).
Los flujos han estado inactivos por un tiempo determinado (parmetro configurable.
Normalmente 15 segundos).
La cach se llena o el router se queda sin recursos.
Los flujos se mantienen activos en cach por un tiempo determinado (parmetro
configurable. Normalmente 30 minutos). Una vez pasado este tiempo expiran de la cach,
as se asegura un reporte peridico. El envo se hace ms frecuente si aumenta el trfico
de las interfaces configuradas con NetFlow.

Todos los registros de flujos que han expirado en la cach se adjuntan en un datagrama de
exportacin UDP, que tpicamente contendr entre 20 y 50 registros. Este datagrama se enva a un
puerto determinado al dispositivo colector configurado.

El uso de NetFlow
es de gran utilidad
para mltiples fines
relacionados con la
monitorizacin,
comprobacin y
representacin de
trfico de red y el
triplete
measurement,
accounting y biling

Para la coleccin y anlisis de los flujos recibidos de los dispositivos de red se pueden utilizar diversos
productos disponibles en el mercado tanto de libre distribucin como comerciales. SWITCH mantiene
un listado bastante completo de herramientas para la recoleccin y anlisis de flujos de red [5]. Casi
todas las herramientas en el mercado dan soporte a las principales versiones del protocolo descritas
anteriormente.

3. Aplicacin de la tecnologa NetFlow en seguridad

El uso de NetFlow se ha demostrado de gran utilidad para mltiples fines relacionados con la
monitorizacin, comprobacin(4) y representacin(5) de trfico de red y el triplete measurement,
accounting y billing.
Pero aparte de esta aplicacin relacionada puramente con la operacin de red, los tcnicos de
seguridad estn continuamente hacindose una serie de preguntas, para cuya respuesta se puede
utilizar la informacin que nos proporciona NetFlow. Se trata de preguntas del tipo: Se ha
detectado en mi red este pico en el puerto X?, Cmo se est propagando el malware Y en mi
red?, Se detecta trfico relacionado con el incidente Z?, Cmo puedo investigar este ataque de
DoS?, Qu hosts/subredes consumen ms ancho de banda en mi red?, etc.

La tecnologa
NetFlow es til para
la investigacin de
incidentes y para la
deteccin proactiva
de ataques y
anomalas de
seguridad

La monitorizacin tradicional usando estadsticas del trfico de los distintos enlaces (MRTG, RRD,
Cricket, ect) no es suficiente para contestar estas preguntas ya que no nos proporcionan
informacin lo suficientemente detallada. Para contestarlas, necesitamos disponer de informacin a
nivel de conexin (puertos, flags TCP, etc.). Esta informacin nos la proporciona NetFlow de una
forma sencilla.
Si bien es cierto que existen diversas tcnicas de monitorizacin y deteccin de ataques de seguridad
(IDSs, Firewalls, etc.), la tecnologa NetFlow est demostrando cada vez ms su utilidad en seguridad,
tanto en la investigacin de incidentes (anlisis forense), como en la deteccin proactiva de ataques y
anomalas.
Frente al uso de IDSs y otros mecanismos de deteccin perimetrales, NetFlow proporciona una serie
de ventajas entre las que podemos destacar:

36

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

Dado que la mayora de dispositivos de red tienen la capacidad de exportar registros

NetFlow, la monitorizacin se puede realizar desde cualquier router de nuestra
infraestructura, no slo en los routers de acceso a Internet donde normalmente se ubican
IDSs y Firewalls, teniendo as adems una vista nica del trfico total de la red a nivel de
infraestructura.

A diferencia de los IDSs, en la monitorizacin utilizando NetFlow no se tiene acceso a

informacin confidencial, ya que los flujos no contienen informacin del usuario, slo
datos de conexin. Esta es una de las mayores ventajas de esta tecnologa. Adems hace
que la inspeccin de los paquetes sea mucho ms rpida al contener slo perfiles de
trfico(6) . El uso de NetFlow en entornos de redes de alta velocidad o con mucho trfico
se hace pues especialmente recomendable.

En anlisis de registros NetFlow basado en algoritmos de aprendizaje lo hace

especialmente til en la deteccin de ataques de 0-day o mutaciones de ataques para
los que la deteccin basada en firmas no es vlida.

Lo que es necesario recalcar para la utilizacin de NetFlow como apoyo al trabajo diario de los
tcnicos de seguridad (tanto para deteccin como para anlisis) es que es fundamental que los
exportadores no tengan configurado muestreo de los flujos (o al menos que ste sea lo ms cercano a
1/1) para que el almacenamiento de la informacin de los flujos sea lo ms detallado, fiel y til
posible.
NetFlow para anlisis forense
NetFlow proporciona un apoyo adicional al trabajo diario de los tcnicos de seguridad a la hora de
realizar anlisis forense sobre incidentes(7) , ya que nos permite almacenar informacin adicional relativa
al trfico de red que nos ayuda en este menester.

Es fundamental que
los exportadores no
tengan configurado
muestreo de los
flujos para que el
almacenamiento de
la informacin sea
lo ms detallado,
fiel y til posible

Esta informacin puede estar almacenada on-line o off-line, siendo imprescindible el uso de una
herramienta de recoleccin, almacenamiento y anlisis de flujos con posibilidad de bsquedas
preferiblemente va lnea de comandos para realizar consultas extensas (flow-tools, nfdump, etc. [5]).
Normalmente, se programan scripts especficos que faciliten las bsquedas para este propsito.
NetFlow para la deteccin de ataques y anomalas
NetFlow permite detectar, en tiempo real, ataques que se producen en nuestra red (equipos
posiblemente comprometidos, conexin haca servidores de C&C de botnets conocidas, envo de
informacin a keyloggers, DoS/DDoS, escaneos de puertos y redes, infecciones especficas de
determinados gusanos, SPAM, por poner algunos ejemplos).

NetFlow permite
detectar, en tiempo
real, ataques que se
producen en la red

Existen varios mtodos de anlisis de flujos para deteccin de ataques y anomalas de seguridad. Estos
mtodos se describen a continuacin.
Un primer mtodo consiste en un anlisis bsico del trfico. Se trata de un modelo que se basa en
describir qu actividad es normal en nuestra red(8) de acuerdo a patrones histricos de trfico, de
manera que cualquier otro tipo de trfico se marca como malicioso. La forma ms bsica de realizar esta
tarea es mediante el uso de estadsticas e informes de datos y sesiones (estadsticas TopN). Otras tcnicas
ms sofisticadas y complejas son las basadas en mtodos heursticos y algoritmos de aprendizaje.
Para ilustrar este mtodo de anlisis pongamos un par de ejemplos:
- Normalmente un equipo mantiene un ritmo ms o menos frecuente de conexiones a lo
largo del tiempo (dependiendo de su funcin y los servicios que proporcione), pero si
NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

37

sufre por ejemplo la infeccin de un gusano, su comportamiento vara drsticamente,

pudindose observar un volumen anormalmente alto de conexiones a otro u otros equipos
o redes. Esto mismo ocurre con otro tipo de ataques como escaneos de red y puertos,
DoS/DDoS o SPAM, que se pueden detectar utilizando esta misma filosofa.
-

Uno de los
problemas
asociados con el
anlisis bsico de
trfico es
determinar lo que
es normal en la
red y cuales son los
umbrales de
sensibilidad

La deteccin de grandes transferencias de trfico en determinados periodos de tiempo

desde un equipo a otro o a varios equipos, es otro ejemplo de cmo se puede realizar
deteccin bsica. Esta tcnica, sin embargo puede ser bastante inexacta en entornos
acadmicos debido al gran nmero de mquinas que pueden ser susceptibles de realizar
estas grandes transferencias de manera legal.

Uno de los problemas asociados con el anlisis bsico de trfico es precisamente determinar lo que es
normal en nuestra red y cuales son los umbrales de sensibilidad apropiados. Esto ltimo est
relacionado con la eliminacin de falsos positivos/negativos y las avalanchas de alertas difciles de manejar
y que consumen muchos recursos para su gestin y comprobacin. Debemos tener en cuenta que la
inspeccin y anlisis de trfico necesario para comprobar que un ataque no es realmente un falso positivo,
es costoso y que consume recursos. Adems, en la mayora de los casos este anlisis no se puede
automatizar si se quiere dar un servicio de deteccin de calidad (9), necesitando un operador que realice
esta tarea a mano.
Otro mtodo de deteccin de ataques de seguridad muy extendido es el basado en expresiones
regulares. Cualquier campo de los incluidos en los registros NetFlow es susceptible de ser utilizado en
una bsqueda (normalmente incluida en un script) utilizando expresiones regulares (puertos, IPs, duracin
del flujo, bpp, Flags, etc.).
Por poner un ejemplo, puede ser muy til obtener una visin ms granular de la actividad anormal de
nuestra red mediante un anlisis ms preciso de los flujos basado en los Flags TCP (por ejemplo para
detectar ataques SYN, Null y/o XMAS scans) o en el tipo/cdigo ICMP incluido en los registros.
En contraposicin, la escritura de expresiones regulares para la generacin de alertas no es nada trivial y
necesita ser adaptado a las caractersticas especficas de nuestra red. Es por tanto todo un arte. Las
expresiones regulares pueden llegar a ser realmente complejas y necesitar revisin continua para su
adecuacin a la evolucin lgica del trfico de nuestra red.

Otros mtodos de
deteccin de
ataques de
seguridad son los
basados en
expresiones
regulares y en
algoritmos de
aprendizaje y data
mining

38

Con los dos mtodos descritos anteriormente es muchas veces complicado detectar infecciones y escaneos
no agresivos y ms silenciosos, como los que se sufren hoy en da. Para detectar este tipo de ataques es
conveniente introducir otros mtodos ms sofisticados y complejos de deteccin basados tambin en la
determinacin de cual es el trfico normal en nuestra red pero mediante el uso de inteligencia
adicional basada en algoritmos de aprendizaje y data mining (por ejemplo basados en entropa).
Cada vez hay ms las herramientas disponibles en el mercado para la deteccin de anomalas basadas en
esta inteligencia (Sentinel, NetReflex, QRadar, NARUS, etc., por mencionar algunos), que sin duda nos
permiten una deteccin complementaria a la tradicional basada en sesiones/datos TopN, umbrales y
expresiones regulares.

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

FIGURA 3. DETECCIN DE CANDIDATOS A PORT SCAN UTILIZANDO NETFLOW

4. Monitorizacin de flujos de red en el rea de seguridad de RedIRIS

Desde mediados del ao 2006, el equipo de seguridad de RedIRIS (IRIS-CERT [6]), utiliza, entre otras
tecnologas disponibles, NetFlow para el soporte en su actividad diaria, tanto para obtencin de
estadsticas e informes TopN, como para la realizacin de anlisis forense sobre incidentes y la
deteccin de ataques.
Todo comenz con la participacin de RedIRIS en el JRA2 (Security) [7] de Gant2 [8], donde estuvimos
involucrados en la definicin de un conjunto integrado de herramientas para la monitorizacin de
trfico de red para la deteccin de ataques y anomalas. Tras un periodo de evaluacin de diversas
herramientas, el NFSen, desarrollado por SWITCH [9], se eligi como parte de este ToolSet y fue
puesto en produccin en RedIRIS.
NFSen es una herramienta de recoleccin y anlisis de flujos, que muestra grficamente la situacin
actual de la red (desde vistas generales, por flujos/paquetes/trfico, hasta un anlisis de flujos
especficos). Adems, entre sus caractersticas principales se encuentran: la definicin de vistas
especficas sobre los datos almacenados (profiles), la realizacin de anlisis de flujos en ventanas
especficas de tiempo (va Web y por lnea de comandos), el post-procesado automtico de flujos para
la generacin de informes y alertas, y la posibilidad de incluir extensiones flexibles usando plugins
(tanto de frontend como de backend).
FIGURA 4. NFSEN

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

NfSen es una
herramienta de
recoleccin y
anlisis de flujos
que muestra
grficamente la
situacin actual de
la red

El NfSen recoge los

flujos de todos los
routers del
backbone de
RedIRIS
almacenndose
aproximadamente 4
meses de flujos en
crudo para su
anlisis histrico

39

En la actualidad el NfSen recoge los flujos de todos los routers del backbone de RedIRIS,
almacenndose aproximadamente 4 meses de flujos en crudo para su anlisis histrico.
Utilizamos una mquina Dual Core AMD Opteron Processor 2210, con 1 GHz cada procesador y 8 G de
memoria, con sistema operativo Red Hat Enterprise Linux. El almacenamiento de los datos en crudo
se realiza en un Filer, disponiendo actualmente de 3 T de espacio.
Sobre los datos recogidos, se obtienen estadsticas internas de trfico y utilizacin de la red para su
uso interno. Por un lado se disponen de estadsticas diarias va Web que muestran, por cada uno de
los routers de nuestro backbone, el Top1000 de trfico por IP fuente, IP destino, AS fuente y destino,
y de clase C fuente y destino. Cada una de estas estadsticas est ordenada a su vez por bytes, flujos y
paquetes, y muestran adems informacin acerca del puesto que ocupaba una IP, red, AS en el
ranking presentado el da anterior. Actualmente se guardan este tipo de estadsticas para los ltimos
7 das.

En la actualidad se
generan diferentes
estadsticas internas
de trfico y
utilizacin de la red
que nos permiten
tener una visin
general de la misma

La deteccin de
ataques y mquinas
compromentidas se
realiza mediante
plugins especficos

Adems de stas, se reciben por correo estadsticas top10 diarias sobre todo el trfico de la red por
clases C origen, IP origen, puerto destino y protocolo, as como un listado diario de aquellas mquinas
que realizan mayores transferencias de datos y que consumen mayor ancho de banda en nuestra red.
Se dispone tambin de un plugin que realiza un seguimiento de los puertos ms utilizados en nuestra
red (PortTracker, disponible en la distribucin bsica del NfSen), y cuyas grficas se pueden consultar
va Web.

FIGURA 5. ESTADSTICAS DE TRFICO POR ROUTER DE REDIRIS

La deteccin de ataques y mquinas comprometidas se realiza mediante plugins especficos. En la

actualidad estos plugins nos permiten detectar mquinas de nuestra comunidad que realizan
escaneos de puertos y redes (y que por tanto pueden estar comprometidas), as como mquinas,
tambin en nuestra comunidad, que se conectan a servidores de Command&Control de botnets, de
las que tenemos noticia desde distintas fuentes.
Los datos recogidos por estos plugins son redirigidos a un correlador denominado DesconII [10]
desarrollado por la Universidad Carlos III de Madrid, que permite relacionar las alertas y determinar
umbrales por encima de los cuales se considera que un conjunto de alertas puede constituir un
incidente que ser entonces gestionado y procesado por el CERT, va RTIR.

40

Boletn de RedIRIS, nm. 87, octubre 2009

ENFOQUES

FIGURA 6. NFSEN PLUGINS

Para finalizar, actualmente el equipo de seguridad de RedIRIS est inmerso en un proyecto para
investigar la aplicabilidad de los flujos de red en la deteccin proactiva de anomalas de seguridad y
ataques, estudiando y evaluando diferentes herramientas entre las que se encuentran el NetReflex, el
QRadar o el mdulo de anlisis de flujos del DSCC (Dragon Security Command Console). Este proyecto
tiene como fin el complementar la deteccin tradicional que en este momento se est realizando
basada en los plugins que estn en produccin, pasando as a una deteccin ms avanzada.

5. Referencias
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]

El equipo de
seguridad de
RedIRIS est
inmerso en un
proyecto para
investigar la
aplicabilidad de los
flujos de red en la
deteccin proactiva
de anomalas de
seguridad y ataques

http://www.ietf.org/rfc/rfc3954.txt
http://www.ietf.org/dyn/wg/charter/ipfix-charter.html
http://www.ietf.org/rfc/rfc3917.txt
http://www.flowmon.org/
http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html
http://www.rediris.es/cert
http://www.geant2.net/server/show/nav.755
http://www.geant2.net/
http://sourceforge.net/projects/nfsen/
http://nuberu.uc3m.es/cgi-bin/viewvc.cgi/descon2v1/

Notas
(1) Existen otros protocolos adems de NetFlow diseados con el mismo propsito, como cflow (Juniper), sFlow
(Force10) o IPFIX (estndar de IETF y basado en NetFlow).
(2) NetFlow apareci como un upgrade que aada una serie de funcionalidades nuevas a las series 7000 de los
routers CISCO.

NetFlow y su aplicacin en seguridad, Chelo Malagn

http://www.rediris.es/rediris/boletin/87/enfoque1.pdf

41

(3) El samping o muestreo consiste en no contabilizar todos los paquetes que se conmutan perteniecientes a un
flujo, sino una muestra de los mismos (1 de cada 100 (1/100), 1 de cada 200, (1/200) etc.)
(4) Por ejemplo, comprobar que por cada interface de los routers llega el trfico que debe llegar (rangos no
permitidos haciendo trnsito hacia Internet, equipos mal configurados haciendo NAT, etc.)
(5) Por ejemplo uso de distintos protocolos, intercambio de informacin entre distintos ASs/PoPs, volumen de
trfico, topN, mayores productores de trfico, etc.
(6) Si bien es cierto que NetFlow no es apto para detectar ataques basados en el contenido de los paquetes.
(7) Se detecta trfico relacionado con el incidente Z?, Cmo puedo investigar este ataque de DoS?, Es
realmente el origen del ataque el que dice ser?,
(8) Por interface, prefijo, protocolo y puerto, pps, bps, flujos, bytes,paquetes/sg, etc., en distintos periodos de
tiempo (5 mins, 30 mins, 1 hora, 12 horas, 1 semana...), etc.
(9) En realidad esto es aplicable a cualquier mtodo autotico de deteccin de ataques y anomalas.

Chelo Malagn
(chelo.malagon@rediris.es)
Equipo de seguridad IRIS-CERT
Red.es/RedIRIS

42

Boletn de RedIRIS, nm. 87, octubre 2009