Las 5 mejores herramientas para el análisis de patrones de tráfico y cómo ayuda a su negocio

El análisis del patrón de tráfico es un proceso que permite a los administradores y gerentes de red obtener una excelente representación no solo de cuánto se utiliza una red, sino, más importante aún, CÓMO se utiliza. Una cosa es saber que un segmento de red dado sufre de congestión, pero es diferente, y mucho más útil, saber qué está causando esa congestión. Y sin esa información, la única opción para solucionar la congestión es arrojarle más ancho de banda. Pero el ancho de banda es costoso y ciertamente hay mejores formas de abordar este tipo de problema. El análisis del patrón de tráfico puede contener la respuesta y hoy estamos revisando las principales herramientas que puede utilizar.

Comenzaremos nuestro viaje hacia el análisis de patrones de tráfico con alguna teoría útil. Primero veremos más de cerca qué es el análisis de patrones de tráfico. Esto es importante ya que es lo que ayudará a definir qué constituye una herramienta de análisis de patrones de tráfico. Luego discutiremos NetFlow y otros sistemas y protocolos de informes de flujo, ya que son el núcleo de la mayoría de las herramientas de análisis de patrones de tráfico. Primero veremos el protocolo NetFlow de Cisco y sus múltiples variantes antes de analizar S-Flow, un protocolo competitivo que es algo diferente en su funcionamiento. Con toda esta información, estaremos listos para revisar las principales herramientas de análisis de patrones de tráfico que pudimos encontrar.

Análisis de patrones de tráfico en pocas palabras

En su expresión más simple, el análisis de patrones de tráfico de red es el proceso de grabación, revisión y / o analizar el tráfico de red con el propósito de rendimiento, seguridad y / o operaciones generales de red y administración. Más específicamente, es el proceso de usar técnicas manuales y automatizadas para revisar detalles y estadísticas de nivel granular dentro del tráfico de red.

Existen principalmente dos tipos de monitoreo de tráfico de red. El primero es el monitoreo de la utilización del ancho de banda que puede proporcionar datos cuantitativos. Este tipo de monitoreo le permitirá ver cuánto tráfico pasa en un punto específico de una red, pero no proporcionará ningún dato sobre la naturaleza de este tráfico. El segundo tipo de monitoreo, el que estamos discutiendo hoy y que se conoce como análisis de patrones de tráfico de red o simplemente tráfico de red análisis, profundiza y su objetivo principal es ofrecer una visión profunda de qué tipo de tráfico, paquetes de red o datos fluyen a través de un red.

Aunque el análisis del patrón de tráfico de la red se puede realizar manualmente, con mayor frecuencia se realiza mediante una herramienta de monitoreo de la red. Hacerlo manualmente simplemente requeriría demasiados esfuerzos. Las estadísticas de tráfico obtenidas del análisis de tráfico de red pueden ayudar a comprender y evaluar la utilización de la red. Revelará datos importantes sobre el tipo, tamaño, origen y destino de los paquetes de datos. Incluso puede incluir información sobre el contenido de los paquetes de datos.

Los equipos de seguridad de red pueden usar el análisis de patrones de tráfico de red para identificar paquetes maliciosos o sospechosos dentro del tráfico. Del mismo modo, las administraciones de red que buscan monitorear las velocidades de descarga y carga, el rendimiento, el contenido, etc. Lo usará para comprender mejor el uso de la red.

En el lado negativo, los atacantes y / o intrusos también pueden usar el análisis de patrones de tráfico de red para analizar patrones de tráfico de red e identificar vulnerabilidades o medios para entrar o recuperar información confidencial datos. Esta es una espada de doble filo.

NetFlow y otros sistemas de informes de flujo

NetFlow es una característica que se introdujo en los enrutadores Cisco en 1996, más o menos un año o dos, que ofrece la capacidad de recopilar tráfico de red IP cuando entra o sale de una interfaz. Esto es diferente de la supervisión del ancho de banda donde los datos se cuentan pero no se recopilan. Al analizar los datos recopilados, se pueden determinar cosas como el origen y el destino de tráfico, clase y tipo de servicio y, en última instancia, use esta información para identificar las causas de congestión.

Una configuración de monitoreo típica de NetFlow se compone de tres componentes principales:

• los Fbajo exportador agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo. Este es el componente que reside dentro del dispositivo de red.
• los Fbajo colector es responsable de la recepción, almacenamiento y preprocesamiento de los datos de flujo recibidos de un exportador de flujo.
• los analizador de flujo analiza los datos de flujo recibidos en el contexto de detección de intrusos o perfiles de tráfico, por ejemplo.

Un flujo, en el lenguaje de NetFlow, es una secuencia unidireccional de paquetes que comparten un cierto número de atributos, como su ingreso interfaz, direcciones IP de origen y destino, protocolo IP (TCP / UDP / ICMP, etc.), puertos IP de origen y destino, y tipo de IP de Servicio. El exportador de flujo recopila datos detallados sobre cada flujo individual antes de exportarlos al colector de flujo. En la mayoría de los casos, el colector de flujo y el analizador son dos componentes del mismo sistema y rara vez los vemos separados.

NetFlow, una vez exclusivo de Cisco, ahora está disponible en equipos de muchos proveedores, incluidos Juniper, Alcatel-Lucent y Nortel, solo por nombrar algunos. Algunos proveedores lo llaman con un nombre diferente, como J-flow para Juniper. Incluso hay una versión relativamente reciente estandarizada por IETF llamada IPFIX que significa Internet Protocol Flow Information eXport.

sFlow es una tecnología algo equivalente pero muy diferente. sFlow utiliza métodos similares para recopilar información de flujo, pero agrega un muestreo de datos, de ahí el S, para obtener información aún más detallada. Muy pocos analizadores y recopiladores de NetFlow pueden manejar datos sFlow ya que los dos son demasiado diferentes.

Las mejores herramientas para el análisis de patrones de tráfico

Existen bastantes herramientas que ofrecen análisis de patrones de tráfico de red. La mayoría de ellos recopilarán datos de NetFlow y los mostrarán de una manera gráfica significativa, mientras que otros usan diferentes técnicas para lograr objetivos similares.

Primero en nuestra lista es el Analizador de tráfico SolarWinds NetFlow o NTA. Si no conoce SolarWinds, la compañía se ha forjado una sólida reputación por crear algunas de las mejores herramientas de administración de redes. Su producto estrella, el Network Performance Monitor es uno de los mejores monitoreo de ancho de banda herramientas disponibles. Y SolarWinds también es conocido por su gran herramienta gratuita que aborda las necesidades específicas de administración de redes, como una de las mejores calculadoras de subred o Servidor TFTP.

Como su nombre lo indica, el Analizador de tráfico SolarWinds NetFlow utiliza el protocolo NetFlow para proporcionar información detallada sobre el tráfico observado. Puede, por ejemplo, informar sobre qué tipo de tráfico es más frecuente o qué usuario está utilizando la mayor cantidad de ancho de banda. Hay varias vistas diferentes disponibles en el tablero de herramientas de la herramienta, como las principales aplicaciones, los principales protocolos o los mejores conversadores, por ejemplo. La herramienta admitirá la mayoría de las variantes de NetFlow de diferentes proveedores.

PRUEBA GRATIS: VIENTOS SOLARES ANALIZADOR DE TRÁFICO NETFLOW

Estas son algunas de las mejores características del producto.

• Se puede usar para monitorear el uso de la red por aplicación, protocolo y grupo de direcciones IP.
• Supervisará los datos de flujo de Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream e IPFIX para identificar qué aplicaciones y protocolos son los principales consumidores de ancho de banda.
• Recopilará datos de tráfico, los correlacionará en un formato utilizable y los presentará en su interfaz de usuario basada en la web.
• Puede ayudarlo a identificar qué aplicaciones y categorías consumen el mayor ancho de banda para una mejor visibilidad del tráfico de red y tiene soporte para Cisco NBAR2.

los Analizador de tráfico SolarWinds NetFlow está disponible como complemento del Monitor de rendimiento de red (NPM). Los precios comienzan en $ 1,915 por 100 nodos. El número de nodos que compre debe coincidir con su licencia NPM. Si aún no posee el software NPM, eso le costará $ 2,995 por el mismo nivel de 100 nodos. Y si desea probarlo antes de comprarlo, puede descargar un versión de evaluación completamente funcional de 30 días de uno o ambos productos,

2. Paessler Router Traffic Grapher (PRTG)

los Paessler Router Traffic Graphero PRTG, es una solución todo en uno cuyo propósito principal es monitorear la utilización del ancho de banda. Como tal se integra Monitoreo de ancho de banda SNMP y colección y análisis de NetFlow. Pero no se detiene ahí y PRTG utilizará muchas tecnologías diferentes para monitorear sistemas, dispositivos, tráfico y aplicaciones. Aquí hay un resumen de los protocolos de monitoreo compatibles:

• Flujos (como NetFlow o sFlow)
• SNMP con opciones listas para usar y personalizadas
• Contadores de rendimiento de WMI y Windows
• SSH para sistemas Linux / Unix y MacOS
• Oler paquetes
• Ping, SQL y muchos más

Instalando PRTG es fácil. De hecho, Paessler afirma que podría terminar en un par de minutos. Después de ejecutar el instalador, el proceso de detección automática descubrirá dispositivos y configurará sensores básicos. Luego puede agregar sensores, como los colectores NetFlow, manualmente. Si lo necesita, hay un video detallado que le mostrará cómo se hace.

PRTG solo se ejecuta en Windows, pero su interfaz de usuario está basada en la web y se puede acceder desde cualquier navegador en cualquier plataforma. También hay aplicaciones móviles para Android e iOS que puede instalar en su teléfono inteligente. Hablando de las aplicaciones móviles, esta herramienta tiene una característica única en forma de etiquetas de código QR que puede imprimir y pegar en sus dispositivos. Entonces es una simple cuestión de escanear el código de las aplicaciones móviles para ver rápidamente los datos del sensor del dispositivo.

PRTG Está disponible en dos versiones. Hay una versión gratuita que está limitada a 100 sensores. Todos y cada uno de los elementos monitoreados cuentan como un sensor. Por ejemplo, para monitorear cada puerto de un conmutador de 48 puertos, necesitará 48 sensores. Para la recopilación y el análisis de NetFlow, necesitará un sensor por exportador de flujo. Para más de 100 sensores, necesita una licencia paga. Están disponibles para 500, 1000, 2500, 5000 y nodos ilimitados a precios que varían de alrededor de $ 1 600 a poco menos de $ 15 000. Tenga en cuenta que la versión gratuita permitirá sensores ilimitados durante los primeros 30 días, lo que le permitirá probar exhaustivamente el producto.

3. Escrutador

Escrutador de Plixer es un excelente analizador de NetFlow. En realidad, es mucho más que eso y muchos lo consideran un sistema completo de respuesta a incidentes. Y con su capacidad para monitorear diferentes tipos de flujo, como NetFlow, J-flow, NetStream e IPFIX, no está limitado a monitorear solo dispositivos Cisco.

Escrutador presenta un diseño jerárquico y ofrece una recopilación de datos eficiente y optimizada que permite comenzar de manera pequeña y escalar fácilmente hasta millones de flujos por segundo. Aunque a menudo se culpa primero a la red cada vez que algo sale mal, Escrutador lo ayudará a encontrar rápidamente la causa raíz real de la mayoría de los problemas de red. El producto puede funcionar tanto en entornos físicos como virtuales y viene con funciones de informes avanzadas.

Escrutador está disponible en cuatro niveles de licencia, desde la versión básica gratuita hasta el nivel SCR de nivel superior que puede escalar hasta más de diez millones de flujos por segundo. La versión gratuita está limitada a diez mil flujos por segundo y solo mantendrá datos de flujo sin procesar durante 5 horas. Los niveles intermedios son el nivel MDX que mantiene los datos durante 25 horas y el SSRV que los mantiene para siempre. Puede probar cualquier nivel de licencia durante 30 días, luego de lo cual volverá a la versión gratuita.

4. Analizador ManageEngine NetFlow

ManageEngine es otro nombre familiar en el campo de las herramientas de administración de redes. Al igual que SolarWinds, la compañía fabrica un puñado de excelentes herramientas y varias gratuitas. los Analizador ManageEngine NetFlow proporciona una vista detallada de la utilización del ancho de banda de la red, así como de los patrones de tráfico. El producto cuenta con una interfaz de usuario basada en la web que ofrece una impresionante cantidad de vistas diferentes en su red.

Esta herramienta le permitirá, por ejemplo, ver el tráfico por aplicación, por conversación, por protocolo y varias opciones más. También puede configurar alertas para advertirle de posibles problemas. Podría, por ejemplo, establecer un umbral de tráfico en una interfaz específica y recibir alertas cuando el tráfico lo exceda.

La mayoría de Analizador ManageEngine NetFlowLa fortaleza proviene de sus informes y panel de control. El producto tiene varios informes útiles preconstruidos que se adaptan para fines específicos, como la resolución de problemas, la planificación de la capacidad o la facturación. Pero si prefiere crear informes personalizados, la herramienta permite a los administradores crearlos a su gusto.

los Analizador ManageEngine NetFlowEl tablero de instrumentos es tan impresionante como sus informes. Incluye varios gráficos circulares que representan las principales aplicaciones, los principales protocolos o las principales conversaciones, por ejemplo. También puede mostrar un mapa de calor que muestra el estado de las interfaces monitoreadas. Los paneles se pueden personalizar para incluir solo la información que necesita. Para los administradores de red en movimiento, hay una aplicación para teléfonos inteligentes que le permitirá acceder al tablero y a los informes.

los Analizador ManageEngine NetFlow admite la mayoría de las tecnologías de flujo, incluidas NetFlow, IPFIX, J-flow, NetStream y algunas otras. Como beneficio adicional, también tiene una excelente integración con los dispositivos de Cisco, con la posibilidad de ajustar la configuración del tráfico y / o las políticas de QoS directamente desde la herramienta.

los Analizador ManageEngine NetFlow Viene en dos versiones. La versión gratuita lo limita a monitorear solo dos interfaces o exportadores de flujo. Para una mayor capacidad, las licencias están disponibles en varios tamaños, desde 100 hasta 2500 interfaces o flujos a precios que varían entre aproximadamente $ 600 y más de $ 50K más tarifas anuales de mantenimiento. Una prueba gratuita de 30 días está disponible en todos los planes pagos.

5. sFlowTrend

Si bien todos los productos anteriores son excelentes, solo PRTG, hasta ahora, admite el protocolo sFlow. Como explicamos, los dos protocolos son bastante diferentes y es raro que una herramienta admita ambos. Entonces, si su red está hecha principalmente de dispositivos habilitados para sFlow, esta es una de las mejores herramientas que podríamos encontrar.

sFlowTrend es una herramienta de monitoreo sFlow de inMon, la compañía detrás del protocolo sFlow. Es una herramienta básica y algo limitada pero muy capaz. Existe una versión gratuita que le permitirá recopilar datos de hasta cinco dispositivos habilitados para sFlow y solo mantendrá los datos del historial en la RAM durante hasta una hora. Si bien esto podría ser suficiente para solucionar algunos problemas de red, no es lo que necesita para un monitoreo continuo. Para obtener una herramienta más completa, debe actualizar a la versión pro que elimina el límite de la cantidad de dispositivos y almacena los datos del historial en el disco.

los sFlowTrend Dashboard ofrece una vista rápida del estado actual de sus dispositivos y redes monitoreados. Mostrará umbrales e interfaces de nivel superior con posibles errores. Al hacer clic en el sFLowTrend La pestaña Red revela estadísticas resumidas de rendimiento y tráfico detallado a nivel de red o dispositivo. Los umbrales de alerta se pueden usar para recibir alertas cuando se observa un uso de ancho de banda superior al habitual o se produce un error de red. El software también presenta una pestaña de causa raíz donde puede profundizar en la causa de un problema, como una violación del umbral.

los sFlowTrend La pestaña Hosts es donde encontrará información más detallada sobre cada dispositivo. Puede mostrar datos de rendimiento en CPU, disco y más, para servidores habilitados para sFlow. Como habrá imaginado, sFlow no es solo para monitorear equipos de red. La pestaña Servicios es donde encontrará datos de rendimiento para aplicaciones que exportan datos de sFlow. Y en la pestaña Eventos, encontrará un registro de eventos, como umbrales excedidos o errores detectados. Finalmente, la pestaña Informes ofrece varios informes predefinidos y también admite la creación de informes personalizados.

sFlowTrend está escrito en Java y viene con una interfaz de usuario basada en Java o en la web. Está disponible para Windows, Mac y Linux. El software presenta un excelente sistema de ayuda en línea para ayudarlo a configurar y usar la herramienta.

En conclusión

Independientemente de la herramienta que elija, el análisis de patrones de tráfico de red le dará una visión invaluable de lo que sucede en su red. Cada una de las herramientas que hemos revisado proporciona un valor excelente y la elección de una probablemente será una cuestión de preferencia personal. Puede haber una característica específica en una de las herramientas que más le atraiga. Con todas las herramientas pagas que ofrecen una versión de prueba gratuita o una versión gratuita, no hay razón por la que no pueda probar algunas antes de tomar una decisión.