Mejora de la precisión de NetFlow: presentamos el suavizado activo de Netflow y la calibración de Active Netflow de Nexusguard

Garantizar una supervisión precisa del tráfico para las aplicaciones empresariales es vital. Sin embargo, con frecuencia surgen desafíos que provocan imprecisiones en el análisis de los datos de NetFlow. Entre ellos se incluyen:

• Proporciones de muestreo incorrectas,
• Ajustes incorrectos de los parámetros del tiempo de muestreo
• Horarios de enrutamiento incorrectos
• Comportamientos de muestreo de enrutadores diversos

Para combatir estos problemas, Nexusguard presenta sus nuevos sistemas Nexusguard Active NetFlow Smoothing y Nexusguard Active NetFlow Calibration desarrollados recientemente para mejorar la precisión de los datos. Examinemos primero con más detenimiento las cuestiones antes mencionadas.

‍

Desafíos del análisis de datos de NetFlow

‍

Desafío 1: ratios de muestreo incorrectos

Por lo general, una mayor proporción de muestreo mejora la precisión de la reconstrucción del perfil de tráfico. Sin embargo, surgen desafíos prácticos:

1. ‍Limitaciones del hardware del router:
   Algunos enrutadores se enfrentan a restricciones para configurar una relación de muestreo óptima debido a las limitaciones del hardware.
   ‍
2. Altos costos de modificación:
   Ajustar la proporción de muestreo puede generar gastos sustanciales.
   ‍
3. Aumento de la carga del router:
   Una proporción de muestreo excesivamente alta puede sobrecargar el router del cliente y provocar que el muestreo de NetFlow sea inexacto. Por ejemplo, se han presentado casos en los que una proporción de muestreo de 1:1 hizo que los enrutadores exportaran datos de NetFlow erróneos. Además, un FPS (flujo por segundo) alto aumenta los costos operativos para los usuarios.
   ‍
4. Distorsión de datos:
   Por el contrario, una proporción de muestreo demasiado baja puede distorsionar la precisión de los datos.
   ‍

Desafío 2: Configuración incorrecta de los parámetros del tiempo de muestreo (tiempo de espera activo/inactivo)

Los parámetros de tiempo de espera activo/inactivo desempeñan un papel crucial en la generación de flujos, ya que determinan de manera significativa la forma en que se procesan los flujos. Concretamente:

Un flujo está listo para la exportación en dos condiciones:

1. Permanece inactivo durante una duración determinada (es decir, no se reciben paquetes nuevos para el flujo), normalmente 15 segundos en el caso de los routers Cisco.
   ‍
2. Para flujos de larga duración (activo), que dura más allá del temporizador activo (por ejemplo, durante descargas FTP prolongadas), establecido en 30 minutos para los routers Cisco.

Además, un flujo se marca para su exportación cuando los indicadores TCP específicos indican la finalización del flujo (por ejemplo, los indicadores FIN, RST).

Por lo general, el Tiempo de espera activo se configura en 60 segundos, lo que permite monitorear el tráfico de conexiones de larga duración con una granularidad de minutos.

Sin embargo, debido a diversas restricciones, es posible que los enrutadores de los clientes no siempre cumplan con la configuración recomendada. En tales casos, los datos de tráfico recopilados por Netflix pueden perder precisión. Un síntoma evidente son los picos de tráfico inesperados que se producen tras la finalización de la conexión.

Esta discrepancia puede crear disparidades entre los gráficos de tráfico basados en Netflix y el tráfico real, lo que puede provocar falsas alarmas activadas por eventos percibidos como anómalos.
‍

Desafío 3: tiempos de enrutamiento incorrectos

Los ajustes de hora incorrectos en el router de un cliente pueden provocar imprecisiones en los datos de NetFlow. Esto puede manifestarse en dos escenarios:

1. Llegada retrasada de NetFlow:
   Los datos de NetFlow llegan más tarde del tiempo de procesamiento actual.

2. Llegada temprana de NetFlow:
   Los datos de NetFlow llegan antes del tiempo de procesamiento actual.

‍

Desafío 4: Comportamientos de muestreo de enrutadores diversos

Cuando el Tiempo de espera activo si está configurado con precisión, se espera que el router exporte los datos de una conexión de larga duración en intervalos de un minuto hasta que finalice la conexión. Sin embargo, algunas marcas o modelos de enrutadores, como Juniper, pueden gestionar las conexiones de larga duración de forma diferente. Al finalizar dichas conexiones, estos enrutadores pueden agregar todo el tráfico de la conexión en el paquete NetFlow final.

Este comportamiento puede provocar:

Picas de tráfico: picos repentinos en el gráfico de tráfico causados por la agregación del tráfico en un único registro de NetFlow.

Conteo doble: El tráfico de la conexión larga se calcula dos veces, primero durante las exportaciones periódicas y luego nuevamente en la exportación final, lo que genera métricas de tráfico inexactas.

Estas discrepancias pueden sesgar el análisis del tráfico y requerir medidas correctivas para garantizar un monitoreo preciso.

‍

Suavizado Nexusguard Active NetFlow

Nexusguard Algoritmo de suavizado de NetFlow emplea una combinación de ajustes activos y pasivos para distribuir uniformemente los datos de tráfico y abordar las anomalías. La activación de la función de suavizado hace que el algoritmo administre específicamente Registros de NetFlow que superan los 60 segundos segmentándolos en intervalos más pequeños y redistribuyendo el tráfico. Los pasos son los siguientes:

Descripción general del algoritmo

Paso 1: Cálculo de métricas clave

Número de ranuras:

‍

Esta métrica establece el recuento de los intervalos de 60 segundos incluidos en el registro de NetFlow.

Tráfico normalizado:

El flujo de tráfico (medido en paquetes por segundo o bits por segundo) se estandariza en todos los intervalos calculados.

‍Paso 2: Tráfico fluido a lo largo de los intervalos

‍

‍Implementación de Active NetFlow Smoothing

Diseñado específicamente para abordar los desafíos 2 y 4 antes mencionados, Active NetFlow Smoothing de Nexusguard corrige los ajustes de tiempo de muestreo desincronizados y, al mismo tiempo, implementa medidas correctivas para mitigar los efectos de los picos de tráfico y los problemas de doble conteo que pueden surgir en ciertas marcas de enrutadores durante la agregación de las métricas de tráfico.
‍

Abordar el desafío 2

La gestión de cada registro de NetFlow ii entre las horas de inicio y finalización implica ajustar los valores del tráfico por intervalo para lograr una distribución uniforme:

NetFlow suavizado (i) BPS/PPS = BPS/PPS original de NetFlow más tráfico normalizado

Este proceso garantiza que los valores del tráfico se modifiquen adecuadamente para lograr una distribución uniforme del tráfico.
‍

Abordar el desafío 4

Hacer frente a NetFlow al final requiere un enfoque diferente:

BPS/PPS suavizado de NetFlow (hora de finalización) = BPS/PPS original de NetFlow más tráfico normalizado

La suavización específica del valor del tráfico para el intervalo final resuelve los problemas de agregación y garantiza la coherencia en la distribución general del tráfico.

‍

Ventajas del algoritmo

1. ‍Distribución uniforme: evita los picos de tráfico al redistribuir los datos de flujo durante toda su duración.‍
2. Corrección de anomalías: Aborda problemas como el tráfico agregado al final de los flujos largos.‍
3. Precisión mejorada: Proporciona una representación más precisa y realista de las tendencias del tráfico.‍
4. Escalabilidad: Maneja tanto los flujos estándar como los valores atípicos de manera eficaz sin una sobrecarga computacional significativa.

El algoritmo garantiza gráficos de tráfico más fluidos y mejora la fiabilidad de los análisis basados en Netflix.

‍

‍

Mediante la utilización de Active NetFlow Smoothing, los desafíos 2 y 4 antes mencionados se pueden abordar de manera efectiva, como se muestra en la curva verde en el gráfico siguiente.

‍

‍

Calibración Nexusguard Active NetFlow

Diseñada específicamente para abordar los desafíos 1 y 3 antes mencionados, la tecnología de calibración Active NetFlow de Nexusguard está diseñada para mejorar la precisión del tráfico, incluso en escenarios con tasas de muestreo bajas, al tiempo que rectifica y alinea con precisión la configuración horaria del router.

El algoritmo de calibración automática de Nexuguard funciona principalmente mediante los siguientes métodos:

1. ‍Acolchado automático (acolchado fijo)
   ‍Al comparar el tráfico de SNMP, el algoritmo aplica automáticamente el relleno para reducir los errores inherentes al muestreo de NetFlow. Esto ayuda a abordar el desafío 1 al minimizar las discrepancias causadas por imprecisiones en el muestreo.
   ‍‍
2. Detección y ajuste del tiempo
   ‍El algoritmo detecta la marca de tiempo de los datos de NetFlow y la ajusta automáticamente para restaurar la hora real del evento. Este método resuelve el desafío 3 y garantiza que los datos de NetFlow se alineen con la hora real en que ocurrieron los eventos.

Estas técnicas mejoran considerablemente la precisión de los datos de NetFlow y garantizan un análisis de tráfico fiable.

No permita que las imprecisiones comprometan la información sobre su red. Adopte las tecnologías Active NetFlow de Nexusguard para un análisis de tráfico fiable y preciso. Para obtener más información, hable con uno de nuestros expertos en seguridad hoy.