Análisis del tráfico mediante Cisco Netflow

Deja un comentario

Qué es Netflow?

Netflow es un protocolo de red  usado para analisis y monitorización de redes inicialmente desarrollado por Cisco Systems. Aunque también es compatible con muchos otros dispositivos de redes lo que hace posible desplegarlo en plataformas como FreeBSD, OpenBSD, Juniper, Alcatel, Foundry etc.

El  propósito de NetFlow es recoger información de tráfico IP y enviar paquetes UDP y SCTP ( los registros) a un servidor NetFlow Collector o NetFlow Analyzer.

NetFlow es útil para los administradores ya que nos brinda la posibilidad de tener el tráfico que pasa a través de la red y recopilar información sobre el uso del ancho de banda, el tipo de tráfico, el volumen de tráfico, cuellos de botella, información por protocolo, etc…

¿Qué es exactamente un flujo (flow)?

Cisco define un flujo de datos como una secuencia unidireccional de paquetes que comparten 5 elementos en común:

  • Dirección IP de origen.
  • Dirección IP destino.
  • Número de puerto de origen.
  • Número de puerto de destino.
  • Protocolo.

¿Qué es un NetFlow Collector?

Es de suponer que no sencillamente se desea coleccionar información, sino también (y por sobre todo) analizar los estadísticas y características de esta información de tráfico.

Para esto es que requerimos de un NetFlow Collector. Se trata de un dispositivo (PC o servidor) ubicado en la red para recoger toda la información de NetFlow que es enviada desde los dispositivos de infraestructura (routers y switches).

NetFlow es un protocolo que genera y recoge esta información, pero también se necesita software que permita realizar la clasificación, almacenamiento y análisis de toda esta información de tráfico. Para esto hay  una amplia diversidad de aplicaciones en el mercado que permiten trabajar sobre la información de NetFlow, una de las mas inportantes es:

Netflow Configurator: http://www.solarwinds.com/products/freetools/netflow_configurator.aspx


¿Cómo sé si mis dispositivos soportan NetFlow?

NetFlow está incorporado en Cisco IOS, por lo que ante todo es preciso verificar si la versión de IOS que estamos utilizando incluye NetFlow. Para esto podemos utilizar una herramienta específica del sitio web de Cisco que es el Cisco Feature Navigator.

Un modo más sencillo y directo, puede ser ingresar a la línea de comando de nuestro dispositivo y aprovechar las facilidades que da el sistema de ayuda de Cisco IOS. Si obtenemos una respuesta como la que sigue, nuestra versión de IOS incluye las funcionalidades NetFlow:

RouterNetflow#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterNetflow(config)#ip flow?
flow-aggregation flow-cache flow-export
RouterNetflow(config)#ip flow
----------------------------------------------------------------------------------------------------------------------

🙂 Por el momento esto es lo basico que debemos saber sobre Netflow 😉

--------------------------------------------------------------------------------------------------------------------------------------------------------------------

Configurando Netflow

Para que todo esto funcione necesitamos varias cosas. Primero tenemos que configurar nuestro router Cisco para que la interfaz envíe los registros de estadísticas a un colector de Netflow. Estos paquetes de estadísticas son paquetes UDP. Luego tenemos que configurar el recolector de Netflow y por ultimo tenemos que utilizar un analizador de Netflow (que puede estar en el mismo recolector) para sacar las estadísticas.

Empezamos pues. Lo primero que haremos es configurar la interfaz de red del router de la cual quiero analizar los paquetes:

Nota: Es necesario habilitar NetFlow en todas las interfaces a través de la cual el tráfico fluirá.


RouterNetflow#configure terminal
RouterNetflow(config)#interface FastEthernet 1/1
RouterNetflow(config-if)#ip route-cache flow
RouterNetflow(config-if)#interface serial 1/0
RouterNetflow(config-if)#ip route-cache flow
RouterNetflow(config-if)#exit


Para detener el Netflow basta con denegar con el comando:

RouterNetflow(config-if)# no ip route-cache flow


Ahora le tenemos que decir al router dónde tiene que enviar los paquetes del Netflow:


RouterNetflow(config)#ip flow-export version 5 origin-as
RouterNetflow(config)#ip flow-export destination 192.168.1.101 4444
RouterNetflow(config)#ip flow-export source FastEthernet 1/1

En 192.168.1.101 está nuestro servidor de Linux donde instalaremos el recolector y el analizador. El 4444 es el puerto UDP donde escucharemos paquetes de Netflow. Tenemos que tener en cuenta que si hay un firewall entre nuestro router y nuestro recolector tendremos que abrir el puerto UDP 4444 para dejar pasar este tráfico.

Con esto basicamente queda configuradon nuestro Router Cisco para el analisis de trafico pero existen otras agregaciones como:

    Sistema Autónomo:

La siguiente agregacion muestra cómo configurar una caché de sistema de totalización autónoma con un tamaño de caché de 2046, un tiempo de espera inactivo de 200 segundos, un tiempo de espera de caché activa de 45 minutos, un destino de exportación de direcciones IP de 192.168.1.101, y un puerto de destino de 4444 .

RouterNetflow(config)#ip flow-aggregation cache as
RouterNetflow(config-flow-cache)#cache entries 2046
RouterNetflow(config-flow-cache)#cache timeout inactive 200
RouterNetflow(config-flow-cache)#cache timeout active 45
RouterNetflow(config-flow-cache)#export destination 192.168.1.101 4444
RouterNetflow(config-flow-cache)#enable

    Configuración de Prefijo de Destino:

La siguiente agregación muestra cómo configurar una caché de Prefijo de destino con un tamaño de caché de 2046, un tiempo de espera inactivo de 200 segundos, un tiempo de espera de caché activa de 45 minutos, un destino de exportación de direcciones IP de 192.168.1.101, y un puerto de destino de 4444.

RouterNetflow(config)#ip flow-aggregation cache destination-prefix
RouterNetflow(config-flow-cache)#cache entries 2046
RouterNetflow(config-flow-cache)#cache timeout inactive 200
RouterNetflow(config-flow-cache)#cache timeout active 45
RouterNetflow(config-flow-cache)#export destination 192.168.1.101 4444
RouterNetflow(config-flow-cache)#enable

    Configuración de Prefijo:

La siguiente agregación  muestra cómo configurar una caché de prefijo con un tamaño de caché de 2046, un tiempo de espera inactivo de 200 segundos, un tiempo de espera de caché activa de 45 minutos, un destino de exportación de direcciones IP de 192.168.1.101, y un puerto de destino de 4444.

RouterNetflow(config)#ip flow-aggregation cache prefix
RouterNetflow(config-flow-cache)#cache entries 2046
RouterNetflow(config-flow-cache)#cache timeout inactive 200
RouterNetflow(config-flow-cache)#cache timeout active 45
RouterNetflow(config-flow-cache)#export destination 192.168.1.101 4444
RouterNetflow(config-flow-cache)#enable

    Configuración de puerto de Protocolo:

La siguiente agregación muestra cómo configurar una caché Puerto de Protocolo con un tamaño de caché de 2046, un tiempo de espera inactivo de 200 segundos, un tiempo de espera de caché activa de 45 minutos, un destino de exportación de direcciones IP de 192.168.1.101, y un puerto de destino de 4444.

RouterNetflow(config)#ip flow-aggregation cache protocol-port
RouterNetflow(config-flow-cache)#cache entries 2046
RouterNetflow(config-flow-cache)#cache timeout inactive 200
RouterNetflow(config-flow-cache)#cache timeout active 45
RouterNetflow(config-flow-cache)#export destination 192.168.1.101 4444
RouterNetflow(config-flow-cache)#enable

    Configuración de Prefijo Fuente:

La siguiente agregación muestra cómo configurar una caché de  Prefijo de fuente con un tamaño de caché de 2046, un tiempo de espera inactivo de 200 segundos, un tiempo de espera de caché activa de 45 minutos, un destino de exportación de direcciones IP de 192.168.1.101, y un puerto de destino de 4444 .

RouterNetflow(config)#ip flow-aggregation cache source-prefix
RouterNetflow(config-flow-cache)#cache entries 2046
RouterNetflow(config-flow-cache)#cache timeout inactive 200
RouterNetflow(config-flow-cache)#cache timeout active 45
RouterNetflow(config-flow-cache)#export destination 192.168.1.101 4444
RouterNetflow(config-flow-cache)#enable

Para asegurarnos que el router está bien configurado podemos utilizar los comandos “show ip flow export” para ver la configuración actual del Netflow o “show ip cache flow para ver los paquetes que el Netflow tiene para enviar al recolector.


En el proximo Post explicare como montar un NetFlow Collector ,espero que el post halla sido de ayuda… :).

Fuentes:

http://blog.josepsalom.net/tag/netflow-aplicaciones/

http://www.leopoldomaestro.com/activar-netflow-en-dispositivos-cisco-para-recolectar-informacion-de-trafico-ip/

Anuncios

Criptografía

1 comentario

En este post hablaremos un poco sobre La Criptografia y solucionaremos los retos de criptografia de la pagina http://rogerfm.net/challenge/sp/index.htm:

Que es la Criptografía?

La criptografia es una técnica que se caracteriza por proteger documentos y datos, actualmente es considerada como una de las ciencias más antiguas debido a que su origen parte desde las civilizaciones antiguas de hace miles de años. Antiguamente el principal objetivo de la Criptografia era el de proteger la confidencialidad de los mensajes  militares de tal forma que si la información caía en manos del  enemigo no corriera ningún peligro.

A partir de la evolución de las computadoras, la c

riptografia ha tomado una gran importancia y en la actualidad no se persigue únicamente la privacidad o confidencialidad de los datos, sino que se busca además garantizar la autenticidad de los mismos (que el mensaje llegue a la persona que es y no a otra), su integridad (que el mensaje sea el que debe ser y no

otro) y su no repudio (el que envió el mensaje no puede negar que lo envió).

Primer Reto:

En el primer reto utilizaremos un método muy común de codificacion del alfabeto hebreo llamado Atbash y hace parte de la Criptografia Clasica, su metodo consiste en usar el simétrico del alfabeto, a lo que se llama método espejo, o atbash.

Tabla de sustitución Atbash


A=Z | N=M

B=Y | O=L

C=X | P=K

D=W | Q=J

E=V | R=I

F=U | S=H

G=T | T=G

H=S | U=F

I=R | V=E

J=Q | W=D

K=P | X=C

L=O | Y=B

M=N | Z=A

Ejemplo:

tvvp = geek

Solucion:

ozhlofxrlmvhxzorulimrz = lasolucionescalifornia



Fuentes:

http://es.wikipedia.org/wiki/Criptografía

http://rogerfm.net/challenge/sp/index.htm

Que es Return Path?

Deja un comentario

Return Path es una solución de marketing de correo electrónico que funciona tanto en el envío y recepción de correo electrónico con el fin de ayudar a los remitentes de correo electrónico comerciales obtener más direcciones de correo entregado a la bandeja de entrada de cada uno de sus clientes. El programa permite a los remitentes diagnosticar y prevenir la capacidad de entrega de correo electrónico y la prestación fallos mediante la mejora y el mantenimiento de la reputación de envío de correo electrónico.

Return Path funciona tanto con el envío y recepción de mensajes para que asi sea transparentes la entrega y filtrado de correo electronico. Return Path utiliza la lista blanca de terceros.

El nuevo metodo de  Return Path, Domain Assurance controla todos los emails recibidos que a su vez ayuda  para determinar su autenticidad y luego crean un registro de dominio de los mensajes sin autentificación válida y los bloquea. Hoy en dia, las comñpañías podrán recibir notificaciones automáticas sobre cualquier ataque de phising o spoofing a sus marcas y los ISPs podrán proteger mejor a sus clientes.

Codigo Fuente de un mensaje recibido



Delivered-To: geekalbert@gmail.com
 Received: by 10.229.83.138 with SMTP id f10cs82028qcl;
        Tue, 7 Sep 2010 08:47:39 -0700 (PDT)
Return-Path: <inseguridadenredes+bncCLyUzZmzCRCZvZnkBBoEvDgMMg@googlegroups.com>
Received-SPF: pass (google.com: domain of inseguridadenredes+bncCLyUzZmzCRCZvZnkBBoEvDgMMg@googlegroups.com designates 10.115.36.14 as permitted sender) client-ip=10.115.36.14;
Authentication-Results: mr.google.com; spf=pass (google.com: domain of inseguridadenredes+bncCLyUzZmzCRCZvZnkBBoEvDgMMg@googlegroups.com designates 10.115.36.14 as permitted sender) smtp.mail=inseguridadenredes+bncCLyUzZmzCRCZvZnkBBoEvDgMMg@googlegroups.com; dkim=pass header.i=inseguridadenredes+bncCLyUzZmzCRCZvZnkBBoEvDgMMg@googlegroups.com
Received: from mr.google.com ([10.115.36.14])
        by 10.115.36.14 with SMTP id o14mr1487513waj.12.1283874457991 (num_hops = 1);
        Tue, 07 Sep 2010 08:47:37 -0700 (PDT)

Mas informacion en: http://www.returnpath.net/

Empezando con Debian Lenny 5.0

Deja un comentario

Despues de haber instalado Debian debemos actualizar nuestros repositorios solamente debemos ir a :

A continuacion les dare mi lista de repositorios para debian lenny 5.0.3 que he usado hasta el momento:

#REPOSITORIOS OFICIALES
deb http://ftp.fr.debian.org/debian/ lenny main  
deb-src http://ftp.fr.debian.org/debian/ lenny main  

#REPOSITORIOS SEGURIDAD
deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main 

#REPOSITORIOS MULTIMEDIA
deb http://www.debian-multimedia.org/ lenny main
deb-src http://www.debian-multimedia.org/ lenny main 

#KERNEL LIBRE
deb http://people.debian.org/~rmh/linux-libre/ lenny main 

#OTROS
deb http://ftp.fr.debian.org/debian/ lenny-proposed-updates main
deb-src http://ftp.fr.debian.org/debian/ lenny-proposed-updates main 

#aMule
deb http://www.vollstreckernet.de/debian/ stable amule-stable wx
deb-src http://www.vollstreckernet.de/debian/ stable amule-stable wx 

#BACKPORTS
deb http://www.backports.org/debian/ lenny-backports main
deb-src http://www.backports.org/debian/ lenny-backports main 

#GMUSICBROWSER
deb http://gmusicbrowser.org/deb/ ./ 

#CHROMIUM
deb http://ppa.launchpad.net/chromium-daily/ppa/ubuntu hardy main
deb-src http://ppa.launchpad.net/chromium-daily/ppa/ubuntu hardy main

#GLOBAL MENU
deb http://ppa.launchpad.net/globalmenu-team/ppa/ubuntu hardy main
deb-src http://ppa.launchpad.net/globalmenu-team/ppa/ubuntu hardy main

Espero que les sea de gran ayuda.

Fuente:

http://putolinux.wordpress.com/2010/01/18/mis-putos-repositorios-debian-gnulinux-5-0-3-lenny-18-de-enero-de-2010/

Sobre el Software Libre

Deja un comentario

El Software Libre es un tipo particular de software que le permite al usuario el ejercicio de cuatro libertades básicas:

  • Ejecutarlo con cualquier propósito
  • Estudiar como funciona y adaptarlo a sus necesidades
  • Distribuir copias
  • Mejorarlo, y liberar esas mejoras al publico
  • Con la única restricción del copyleft (o sea, cualquiera que redistribuya el software, con o sin cambios, debe dar las mismas libertades que antes), y con el requisito de permitir el acceso al código fuente (imprescindible para ejercer las libertades 1 y 3)

    Explicación de las libertades básicas del Software Libre

    Libertad Cero:

    “usar el programa con cualquier propósito”. Es decir, el ejercicio de esta libertad implica que lo podemos utilizar con cualquier fin, ya sea educativo, cultural, comercial, político, social, etc.

    Libertad Uno:

    “Estudiar como funciona el programa, y adaptarlo a sus necesidades”. Significa que podemos estudiar su funcionamiento (al tener acceso al código fuente) lo que nos va a permitir, entre otras cosas: descubrir funciones ocultas, averiguar como realiza determinada tarea, descubrir que otras posibilidades tiene, que es lo que le falta para hacer algo, etc.

    El adaptar el programa a nuestras necesidades implica que puedo suprimirle partes que no me interesan, agregarle partes que considero importantes, copiarle una parte que realiza una tarea y adicionarla a otro programa, etc.

    Libertad Dos:

    “Distribuir copias”. Quiere decir que soy libre de redistribuir el programa, ya sea gratis o con algún costo, ya sea por email, FTP o en CD , ya sea a una persona o a varias, ya sea a un vecino o a una persona que vive en otro país, etc.

    Libertad Tres:

    “Mejorar el programa, y liberar las mejoras al publico”. Tengo la libertad de hacer mejor el programa, o sea que puedo: hacer menores los requerimientos de hardware para funcionar, que ocupe menos espacio, que tenga menos errores, etc.

    El poder liberar las mejoras al publico quiere decir que si yo le realizo una mejora que permita un requerimiento menor de hardware, o que haga que ocupe menos espacio, soy libre de poder redistribuir ese programa mejorado, o simplemente proponer la mejora en un lugar publico .

    A continuacion les dejo un video para que se animen y decidan cuando usar Linux

    Fuentes:

    http://blog.zerial.org/linux/la-difusion-de-la-filosofia-del-software-libre/

    http://bulma.net/body.phtml?nIdNoticia=2260

    http://www.gnu.org/philosophy/free-sw.es.html