Brasil +55 21 3211 2223 /  Australia +61 2 8005 8083 / info@telcomanager.com

Evoluindo a classificação de tráfego com NBAR


Bonecos descobrindo uma cena de crime

“Através do NBAR é possível realizar profundas inspeções nos fluxos a fim de identificar quais aplicações estão sendo utilizadas em tempo real, independente da porta utilizada.”

É de extrema importância que a área de TI possua todas as informações sobre o que está sendo trafegado em todo o ambiente de rede corporativo. Para tanto, é necessário identificar de forma precisa quais são as aplicações que estão sendo utilizadas pelos usuários, quais estão consumindo mais tráfego na rede e se o consumo deste está de acordo com a política da empresa.

Durante muitos anos, as empresas adotaram o método de identificação de tráfego da rede através do protocolo SNMP. O protocolo SNMP é baseado em dispositivos gerenciados, em agentes e em um sistema de gerenciamento de redes (NMS).

Porém, com o passar dos anos o SNMP passou a não a atender mais as expectativas das empresas que possuíam a necessidade de conhecer a composição do tráfego, e não somente a utilização do link. O SNMP atende somente as necessidades de informações sobre a quantidade de pacotes recebidos, porém não proporciona as informações necessárias sobre o determinado fluxo de dados. No cenário atual em que há diversas aplicações em tempo real, como telefonia IP, videoconferência, VPNs, computação em nuvem e outras, esta compreensão se torna imprescindível.

Hoje podemos utilizar o protocolo NetFlow para superar essas limitações. O NetFlow é originalmente uma tecnologia embutida nos sistemas da Cisco que analisa os pacotes como parte de um fluxo, em vez de somente contabilizá-los. A importância do NetFlow é a análise que passa a ser realizada sobre o tráfego e não sobre a entrada e saída da interface. Modernamente, a maioria dos grandes fornecedores oferecem alguma tecnologia similar ao NetFlow.

O NetFlow identifica os fluxos de IP em vez de contabilizar “bytes” nas interfaces. Um fluxo se caracteriza como um feixe de pacotes IP, contendo ao menos 7 (sete) campos identificação, tais quais: um endereço IP de origem, um endereço IP de destino, uma porta de origem, uma porta de destino, um mesmo protocolo de camada 3, um mesmo tipo de serviços (ToS), uma mesma interface lógica.

Através do NetFlow é possível obter informações essenciais de uma rede, tais quais: monitoramento da banda e análise de tráfego, análise da rede e gerência de segurança, identificação de worms e malwares, validação de QoS, entre outros recursos.

Devido aos diversos recursos oriundos do NetFlow, diversas outras fabricantes além da Cisco adotaram o seu padrão, tais quais Juniper, Extreme, Huawei, entre outras fabricantes. Estas incorporaram em sua linha de produtos funcionalidades similares.

Com o NetFlow muitas empresas adquiriram informações importantíssimas sobre o seu respectivo tráfego na rede, através do processo de identificar as aplicações através da porta e/ou IP de origem e destino de fluxo.

Desta forma, é possível identificar quais são as possíveis aplicações que estão consumindo mais tráfego na rede seguindo o critério de análise, observando a porta de rede e a que protocolo esta se refere.

Alguns protocolos e suas respectivas portas

Figura 1: Alguns protocolos e suas respectivas portas

Com o passar dos anos foi observado que esta forma é eficiente, entretanto não proporciona todas as informações de forma precisa como o cenário atual de TI atual necessita. Esta forma de identificação através da porta ou IP de origem, habitualmente, não atende mais as expectativas do setor de TI devido à falta de classificação sobre quais aplicações estão utilizando a mesma porta na rede para trafegar.

Exemplos de usos dos protocolos

Figura 2: Exemplos de usos dos protocolos

O que ocorre é que muitas vezes dentro de um ambiente de rede corporativo existe mais de um dispositivo utilizando a mesma porta de rede para tráfego de dados. É possível chegar à conclusão (tendo um conhecimento profundo sobre o ambiente de TI da empresa) que um determinado dispositivo, como, por exemplo, um PABX IP, não consome muito tráfego utilizando as portas 80/443 (HTTP/HTTPs) e com isto facilitar na identificação final.

Porém, este método apenas não é suficiente para obter todas as informações. Através deste não temos como medir de forma exata e clara o que está sendo acessado pelas portas HTTP/HTTPs, por exemplo, que são as que os usuários utilizam para realizar acesso a websites como Facebook, Gmail, Youtube, LinkedIn, entre outros.

Em outras palavras, é como se a rede da sua empresa liberasse uma segmentação de acesso, porém não visualizasse que componentes estão realizando acesso.

Desta forma, utilizando apenas o método de classificação por porta ou IP de origem, não é possível obter um relatório preciso e minucioso sobre quais aplicações de fato (Facebook, Gmail, Youtube, Linkedin) estão consumindo tráfego na rede. Seriam apenas suposições que, na maioria dos casos, não trarão os resultados esperados pela empresa.

Com o objetivo de disponibilizar as informações sobre quais aplicações estão consumindo tráfego na rede, foi criado um mecanismo inteligente de classificação alavancado pela fabricante Cisco, que possui a capacidade de reconhecer uma ampla variedade de aplicações, chamado NBAR (Network Based Application Recognition).

Através do NBAR é possível realizar profundas inspeções nos fluxos a fim de identificar quais aplicações estão sendo utilizadas em tempo real, independente da porta utilizada.

O NBAR realiza a atuação da seguinte forma:

  1. Quando ativamos o NBAR em qualquer interface, cada pacote de entrada será submetido a uma profunda inspeção em seu cabeçalho IP e sobre todo o conteúdo da carga útil.
  2. As assinaturas dos pacotes estão incluídas no protocolo PDLM (Custom Packet Description Language Module) e são enviadas para o roteador.
  3. O PDLM contém as regras pelas quais a tecnologia NBAR reconhece uma assinatura durante a sua inspeção de pacotes. Ou seja, o NBAR analisa os pacotes e os compara a um conjunto de regras definidas no PDLM. Se forem cumpridas, o NBAR reconhece e classifica a operação.
  4. Desta forma, o NBAR detecta transações HTTP em qualquer número de porta e em qualquer pacote. O NBAR também pode basear sua identificação através da URL, tipo MIME, por exemplo, ou outros parâmetros que vão além das simples características padrões do protocolo HTTP.

Obtendo as informações sobre as aplicações utilizadas através do NBAR, é possível definir regras de utilização por usuário na empresa, diminuindo custos com utilização de tráfego indevido para aplicações não autorizadas, aumentar a produtividade dos funcionários e justificar novos investimentos na contratação de links.

Com a ferramenta de monitoramento de rede TRAFip, da Telcomanager, é possível caracterizar o tráfego IP através da exportação de fluxos. O sistema suporta a tecnologia NBAR e consegue identificar de forma precisa a aplicação pelo seu ID no NetFlow. Desta forma, basta escolher qual o método de identificação que será utilizado. O TRAFip ficará encarregado de mostrar o tráfego destas aplicações. A ferramenta TRAFip possui a capacidade de apresentar informações em forma de gráficos e relatórios, justificando de forma clara os gastos do setor de TI para os diretores da empresa.

Gráfico do TRAFip com NBAR ativado

Figura 3: Gráfico do TRAFip com NBAR ativado

Além das aplicações citadas acima no gráfico (Facebook, Gmail, Youtube, LinkedIn) é possível caracterizar ainda mais o tráfego da interface de rede (na figura chamada de GigabitEthernet0), com o cadastro de outras aplicações que são trafegadas na rede.

O procedimento de configuração do NBAR junto com o TRAFip é simples e intuitivo, segue abaixo o passo a passo necessário:

1° Passo: Configurar o protocolo Flexible NetFlow no roteador para que os fluxos sejam enviados para TRAFip.

Exemplo de um fluxo recebido pelo TRAFip

Figura 4: Exemplo de um fluxo recebido pelo TRAFip

2° Passo: Descobrir o ID e tipo das aplicações. Para isso, basta digitar o comando “show ip nbar protocol-id” na linha de comando do roteador.

Comando 'show ip nbar protocol-id'

Figura 5: Comando "show ip nbar protocol-id"

Observação: Podemos buscar o ID e tipo de alguma aplicação específica utilizando o comando “section”.

Comando 'show ip nbar protocol-id | section face'

Figura 6: Comando "show ip nbar protocol-id | section face"

3° Passo: Configurar as aplicações desejadas no TRAFip.

Formulário de aplicação com identificação por Flexible NetFlow

Figura 7: Formulário de aplicação com identificação por Flexible NetFlow

Topo ▲

Portuguese, Brazil