6 El mejor software NetFlow de código abierto (GRATIS)

Hay varios tipos de monitoreo de red disponibles. Uno de ellos, posiblemente el más común, es Monitoreo SNMP. Se puede usar para dar a los administradores una imagen bastante clara de la cantidad de datos que se transportan a través de las redes que administran. Pero cuando quieren una imagen más detallada, como aprender QUÉ es el tráfico en lugar de CUÁNTO hay, tienen que recurrir a una tecnología diferente.

NetFlow, una tecnología de monitoreo desarrollada por Cisco y presentada hace un tiempo en los dispositivos del fabricante, se ha convertido en el estándar de facto cuando se trata de monitoreo de red cualitativo. Las herramientas de monitoreo de NetFlow pueden ser costosas y estar fuera del alcance de muchas empresas más pequeñas. Afortunadamente, hay varios paquetes de software NetFlow de código abierto disponibles y estamos a punto de revisarlos.

Comenzaremos nuestro viaje observando el monitoreo de la red en general. Seguiremos con una discusión sobre los diferentes tipos de monitoreo, concentrándonos específicamente en

monitoreo de ancho de banda y Análisis de tráfico. A continuación, sin ser demasiado técnico, analizaremos en profundidad la tecnología NetFlow, qué es y cómo funciona.

Analizaremos algunas tecnologías similares que también están disponibles antes de llegar al núcleo de nuestro tema, las herramientas de NetFlow de código abierto reales que están disponibles. Si bien algunas de las herramientas son relativamente limitadas en términos de lo que pueden lograr o pueden ser más difíciles de configurar que algunos paquetes pagos, todas brindan una funcionalidad realmente interesante.

Acerca del monitoreo de red

Tráfico de red Es muy similar al tráfico rodado. Al igual que los circuitos de red pueden considerarse carreteras, los datos transportados en redes son como vehículos que viajan en esa carretera. Pero a diferencia del tráfico de vehículos en el que solo hay que mirar para ver si está mal y qué pasa, ver lo que está sucediendo en una red puede ser complicado. Para empezar, todo está sucediendo muy rápido y datos transportados en una red Es invisible a simple vista.

Las herramientas de monitoreo de red le permiten "ver" exactamente lo que está sucediendo en su red. Con ellos, podrá medir la utilización de cada circuito, analizar quién y qué consume ancho de banda y profundizar en las "conversaciones" de la red para verificar que todo está funcionando normalmente.

Diferentes tipos de herramientas de monitoreo

Básicamente, existen tres tipos principales de herramientas de monitoreo de red. Cada uno va un poco más profundo que el anterior y proporciona más detalles sobre el tráfico. Primero, hay monitores de utilización de ancho de banda. Estas herramientas le dirán cuántos datos se transportan en su red, pero eso es todo.

Para obtener más información sobre la red, necesita otro tipo de herramienta, los analizadores de red. Esas son herramientas que pueden brindarle información sobre lo que está sucediendo exactamente. No solo te dirán cuánto tráfico pasa. También te pueden decir qué tipo de tráfico y entre qué hosts se está moviendo.

Y para el más detalle, tienes rastreadores de paquetes. Hacen un análisis en profundidad capturando y decodificando el tráfico. La información que proporcionan le permitirá ver exactamente lo que está sucediendo y detectar problemas con la mayor precisión. Tan útiles como son, están más allá del alcance de esta publicación.

Herramientas de monitoreo de uso de ancho de banda

La mayoría de los monitores de utilización de ancho de banda se basan en el Protocolo simple de administración de redes, o SNMP, para sondear dispositivos y obtener la cantidad de tráfico en todas o algunas de sus interfaces. Usando esos datos, a menudo crearán gráficos que representan la utilización del ancho de banda a lo largo del tiempo. Por lo general, le permitirán a uno acercarse a un período de tiempo más estrecho donde la resolución del gráfico es alta y muestra, por ejemplo, Tráfico promedio de 1 minuto o alejarse a un período de tiempo más largo, a menudo hasta un mes o incluso un año, donde se muestra diariamente o semanalmente promedios

Herramientas de análisis de tráfico de red

Si necesita saber más que la cantidad de tráfico que pasa, necesita un sistema de monitoreo más avanzado. Lo que necesita es lo que llamamos un sistema de análisis de red. Estos sistemas se basan en software integrado en el equipo de red para enviarles datos de uso detallados. Por lo general, estos sistemas pueden mostrar los que hablan y escuchan, el uso por dirección de origen o destino, el uso por protocolo o por aplicación y otra información útil sobre lo que está sucediendo.

Si bien algunos sistemas utilizan agentes de software que debe instalar en los sistemas de destino, la mayoría de ellos se basan en protocolos estándar como NetFlow, IPFIX o sFlow. Por lo general, están integrados en el equipo y listos para usar tan pronto como se configuran.

NetFlow en pocas palabras

NetFlow fue desarrollado por Cisco Systems y se introdujo en sus enrutadores para proporcionar la capacidad de recopilar tráfico de red IP cuando entra o sale de una interfaz. Los datos recogidos Luego es analizado por los administradores de red para ayudar a determinar la fuente y el destino del tráfico, la clase de servicio y las causas de la congestión. Hay tres componentes principales en la tecnología NetFlow:

• El exportador de flujo agrega paquetes en flujos y exporta registros de flujo hacia uno o más recolectores de flujo. Este es el componente que se ejecuta en los dispositivos monitoreados.
• En cuanto a colector de flujo, es responsable de la recepción, el almacenamiento y el procesamiento previo de los datos de flujo recibidos de un exportador de flujo.
• Por último, pero no menos importante, el analizador de flujo es una aplicación que se utiliza para analizar los datos de flujo recibidos. El análisis se puede usar para la creación de perfiles de tráfico o para la resolución de problemas de red.

Cómo funciona

Enrutadores, conmutadores y cualquier otro dispositivo que admita NetFlow se puede configurar para generar datos de flujo en forma de registros de flujo y enviarlos a un recopilador de NetFlow. Un flujo es una conversación completa en el sentido de IP. El dispositivo que prepara los registros de flujo normalmente los envía al recolector cuando determina que el flujo ha finalizado ya sea a través del envejecimiento (no ha habido tráfico en un tiempo de espera específico) o cuando ve una sesión TCP terminación.

El registro de flujo contiene mucha información sobre el flujo. Incluye las interfaces de entrada y salida, las marcas de tiempo de inicio y finalización del flujo, el número de bytes y paquetes Contiene los encabezados de la capa 3, la dirección IP de origen y destino y el número de puerto, el protocolo IP y los TOS valor. Los registros de flujo no contienen los datos reales que componen el flujo. El único contiene información sobre el flujo. Esto es importante desde el punto de vista de la seguridad.

Excepto en grandes entornos de múltiples sitios, los colectores de flujo a los que se envían los registros a menudo también son analizadores de flujo. Utilizan la información contenida en los registros de flujo para presentar datos sobre el tráfico de red de una manera que sea útil para los administradores de red. Los diferentes recolectores y analizadores de NetFlow tendrán diferentes formas de presentar los datos. Aquí es donde nuestra lista de los mejores colectores y analizadores de NetFlow será útil.

Otras tecnologías similares

Existen varias versiones y adaptaciones de NetFlow y algunas se conocen con un nombre diferente. De hecho, muchos de ellos se usan bajo licencia de Cisco. También hay verdaderas alternativas a NetFlow, las dos más conocidas son sFlow y IPFIX. Este último se basa en gran medida en la última versión de NetFlow, excepto que es un estándar IETF. De hecho, hay muchas razones para creer que Cisco podría incluso reemplazar NetFlow con IPFIX. En cuanto a sFlow, es un sistema diferente y competitivo. Su objetivo y principios generales de funcionamiento son similares pero diferentes. Algunos analizadores de NetFlow también funcionarán con sFlow pero, en general, los usuarios de uno no usan el otro.

El mejor software NetFlow de código abierto

Vientos solares es uno de los jugadores más conocidos en el campo de las herramientas de administración de redes. La compañía ha existido durante unos 20 años, trayendo nosotros algunas de las mejores herramientas de administración de red. Eso tiene además adquirido Una sólida reputación por crear excelentes herramientas gratuitas que, a pesar de que a veces tienen funciones limitadas, siguen siendo excelentes herramientas. Una de esas herramientas es la gratis Analizador NetFlow en tiempo real. Aunque esta no es una herramienta de código abierto, sí es completamente gratis y vale la pena examinarlo. Esta herramienta podría no ser tan completo y con todas las funciones como su hermano mayor, el Vientos solares NetFlow Traffic Analyzer, este producto le brinda la misma funcionalidad básica.

• DESCARGA GRATIS: Analizador NetWlow en tiempo real de SolarWinds
• Enlace de descarga oficial: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration

La herramienta puede capturar y analizar datos de Appflow, NetFlow, JFlow y sFlow en tiempo real. Y le mostrará exactamente los tipos de tráfico en su red, de dónde viene y hacia dónde va. También puede usarlo para diagnosticar picos de tráfico y solucionar problemas de ancho de banda.

Aquí están algunos de la Analizador NetFlow en tiempo realCaracterísticas principales:

• Identifique qué usuarios, dispositivos y aplicaciones consumen más ancho de banda
• Aísle el tráfico de red por conversación, aplicación, dominio, punto final y protocolo
• Ver el tráfico de red por tipo y períodos de tiempo especificados

La herramienta, como la mayoría de las otras Vientos solares herramientas, se instala fácilmente a través de un estándar Wasistente de configuración de indows. Y una vez instalado, se incluye un Configurador NetFlow a ayudarte con la configuración de dispositivos que admiten varias variantes de NetFlow.

Este software libre tiene algunas limitaciones en comparación con su hermano mayor, aunque. Por ejemplo, yoSu enfoque principal es el estado actual y reciente de su red. Como tal, solo puede recopilar datos de una interfaz de NetFlow y solo conservará y analizará los últimos 60 minutos de datos.

2. FlowScan

FlowScan es una especie de herramienta de visualización que normalmente utiliza para analizar datos de NetFlow e informar sobre ellos. Puede producir gráficos visuales que se generan casi en tiempo real y que le muestran el estado actual de su red. FlowScan se puede implementar en la mayoría de los sistemas GNU / Linux o BSD. Se basa en varios otros paquetes para recopilar y procesar correctamente los flujos. Por ejemplo, Cflowd se usa como el colector de flujo. FlowScan se compone principalmente de un script Perl que constituye la mayor parte del paquete de software. Este componente es responsable de cargar y ejecutar informes. Otro componente importante del software es RRDtool, una herramienta popular utilizada para almacenar datos en bases de datos redondas y trazar esos datos en gráficos. FlowSanc lo usa para almacenar información de flujo y producir gráficos útiles.

Los administradores de red a menudo se dan cuenta de que han recopilado muy poca o demasiada información. El perfil de flujo, como está disponible en FlowScan, ofrece un compromiso interesante entre estos extremos en la recopilación de datos. Debido a que los flujos agregan datos recopilados a medida que los paquetes viajan a través de un puerto o interfaz dados, se pueden usar como una especie de resumen para series de paquetes que viajan entre puntos finales de interés. Sin embargo, esta característica por sí sola es insuficiente para un uso continuo confiable. Se necesitan herramientas de software adicionales para definir, analizar y analizar estos flujos. Esas herramientas adicionales se incluyen con FlowScan.

3. nProbe y ntopng

nProbe y ntopng son herramientas algo avanzadas, y por lo tanto algo complicadas, de código abierto. Ntopng es una herramienta de análisis de tráfico basada en la web para monitorear redes basadas en datos de flujo mientras nProbe es un exportador y recolector de NetFlow e IPFIX. Juntos, crean un paquete de análisis muy flexible. Si ya ha administrado redes Linux anteriormente, es posible que ya esté familiarizado con ntop. En ese caso, te alegrará saber que ntopng es una versión GUI de próxima generación de esta herramienta eterna.

Hay una versión comunitaria gratuita de ntopng sin embargo, también puede comprar una versión empresarial del producto. Puede ser costoso, pero es gratuito para organizaciones educativas y sin fines de lucro. Como para nProbe, puede probarlo gratis pero está limitado a un total de 25 000 flujos exportados. Para ir más allá, deberá comprar una licencia.

Al igual que la mayoría de las herramientas de análisis de red modernas, ntopng presenta una interfaz de usuario basada en la web que puede presentar datos por tráfico, como los principales conversadores, flujos, hosts, dispositivos e interfaces. Tiene una combinación de cuadros, tablas y gráficos, la mayoría de ellos con opciones de desglose que le permiten explorarlos en mayor profundidad. La interfaz de usuario es muy flexible y permite mucha personalización.

4. Herramientas de flujo

Herramientas de flujo es un conjunto de herramientas para trabajar con datos de NetFlow. Más precisamente, es una biblioteca combinada con una colección de programas utilizados para recopilar, enviar, procesar y generar informes a partir de datos de NetFlow. Las herramientas pueden usarse juntas en un solo servidor o distribuirse a múltiples servidores para implementaciones más grandes. los Herramientas de flujo La biblioteca también proporciona una API para el desarrollo de aplicaciones personalizadas para las versiones de exportación NetFlow 1, 5, 6 y las 14 subversiones de la versión 8 definidas actualmente.

Este proyecto es una bifurcación del antiguo y en su mayoría obsoleto proyecto de herramientas de flujo de OSU. Este no es el proyecto más activo que existe y la última versión data de hace unos nueve años. Sin embargo, si está buscando una herramienta simple y está dispuesto a poner los esfuerzos necesarios para configurarla, esta puede ser una gran herramienta para considerar.

5. NFsen / NFDump

NFsen, que es la abreviatura de Netflow Sensor, es una herramienta front-end basada en web para nfdump. Por lo general, se usa para mostrar una imagen gráfica agradable y fácil de usar de los datos que nfdump genera, incluidos los datos de NetFlow. Tiene la capacidad de generar informes de sus datos de NetFlow con todo tipo de información, incluidos, entre otros, flujos, paquetes y bytes utilizando la herramienta de base de datos RRD. Además, también puede configurar alertas y ver datos históricos.

los NFsen El proyecto todavía está muy activo y el software se puede descargar desde su página de Sourceforge. Se ejecutará en cualquier sistema Unix / Linux. Necesitará configurar previamente PHP, PERL (junto con Perl Mail:: Encabezado y Correo:: Módulos de Internet), módulo RRD Tools y NFDump herramientas instaladas en su sistema para usarlo correctamente.

6. pmGraph

pmGraph es otra excelente herramienta de código abierto para graficar y monitorear el ancho de banda. Está diseñado para complementar pmacct, una herramienta de monitoreo y auditoría de redes. Las dos herramientas se suministran juntas como un paquete Debian, y las instrucciones para instalar pmGraph cubren la instalación de ambas herramientas. pmacct recopila y monitorea el tráfico usando Netflow o Sflow en dispositivos de red (incluidos cortafuegos, enrutadores y conmutadores) en una base de datos y permite el análisis de los datos recopilados utilizando pmGraph.

pmGraph fue desarrollado por personal y voluntarios de Aptivate, la agencia digital para el desarrollo internacional, para ser un Herramienta flexible y potente para administradores de redes y sistemas, con gráficos avanzados y fáciles de usar. capacidades. Aquí hay un resumen de las características principales del producto:

• Interfaz sencilla y fácil de usar.
• Muestra información sobre las conexiones entre máquinas remotas y locales, y los puertos utilizados
• Resolución de nombre de host utilizando servidores DNS y DHCP
• Muestra el uso de una dirección IP o puerto específico
• Número configurable de resultados

pmGraph es un software independiente de la plataforma que se ha desarrollado en Java y está diseñado para funcionar en un contenedor de servlet como Tomcat, que está disponible para todas las plataformas comunes. pmGraph es muy liviano y requiere solo 8 MB de espacio en disco. Sin embargo, se basa en programas externos y más voluminosos. Si aún no tiene un servidor Tomcat, Java y MySQL, deberá instalarlos también, ocupando hasta 300 MB de espacio en disco, aún no hay mucho espacio. Estos componentes se instalarán para usted si usa la instalación del paquete y puede instalar pmGraph sin aprender mucho sobre ellos.