En este artículo mostraremos cómo es posible aumentar la visibilidad de tu tráfico con NBAR (Network Based Application Recognition). Al mismo tiempo que entenderás cómo funciona la clasificación de tráfico sin esa nueva tecnología de Cisco. Es de extrema importancia que el área de TI posea todas las informaciones sobre lo que transita en todo el ambiente de red empresarial. Para eso, es necesario identificar de forma precisa cuáles son las aplicaciones que usan los usuarios, cuáles están consumiendo más tráfico en la red y si el consumo está de acuerdo con la política de la empresa. Durante muchos años, las empresas adoptaron un método de clasificación de red a través del protocolo SNMP. El protocolo SNMP se basa en dispositivos gestionados, en agentes y en un sistema de gestión de redes (NMS).

Sin embargo, con el paso de los años el SNMP dejo de responder a las expectativas de las empresas que poseían necesidades de conocer la composición del tráfico y no solamente la utilización del link. El SNMP responde solamente a las necesidades de informaciones sobre la cantidad de paquetes recibidos, sin embargo, no proporciona la información necesaria sobre un determinado flujo de datos. En el contexto actual donde existen diversas aplicaciones en tiempo real, como telefonía IP, videoconferencia, VPNs, ordenadores en nube, y otras, esta comprensión es imprescindible.

El protocolo NetFlow para la clasificación de Tráfico

Hoy podemos utilizar el protocolo NetFlow para superar estas limitaciones. El NetFlow es originalmente una tecnología embutida en los sistemas de Cisco que analiza los paquetes como parte de un flujo, en vez de sólo contabilizarlos. La importancia del NetFlow es que analiza el análisis sobre el tráfico y no sobre la entrada y salida de la interfaz. Actualmente, la mayoría de los grandes proveedores ofrecen alguna tecnología similar al NetFlow.

El NetFlow identifica los flujos de IP en vez de contabilizar “bytes” en las interfaces. Un flujo se caracteriza por ser un haz de paquetes IP, conteniendo al menos 7 (siete) campos de identificación, como: una dirección IP de origen, una dirección de IP de destino, una puerta de origen, una puerta de destino, un mismo protocolo de capa 3, un mismo tipo de servicios (ToS), y una misma interfaz lógica.

A través de NetFlow es posible obtener informaciones esenciales de una red, como: supervisión de banda y análisis de tráfico, análisis de red y gestión de seguridad, identificación de worms y malwares, validación de QoS, entre otros recursos.

Protocolo de exportación de flujos de expansión

Debido a los diversos recursos oriundos de NetFlow, diversos fabricantes, además de Cisco, adoptaron su modelo, algunos ejemplos son Juniper o Extreme, Huawei, entre otros. Estos incorporaron en su línea de productos funcionalidades similares.

Con NetFlow muchas empresas adquirieron informaciones importantísimas sobre su respectivo tráfico en la red a través del proceso de identificación de las aplicaciones a través de la puerta o IP de origen y destino del flujo.

Así, es posible identificar cuáles son las posibles aplicaciones que están consumiendo más tráfico en la red siguiendo el criterio de análisis. Para ello solo es necesario observar la puerta de red y el protocole al que se refiere. En la siguiente tabla, pueden verse algunos protocolos y sus respectivas puertas.

ProtocoloPuerta en la red
FTP20/21
HTTP/HTTPS80/443
NTP123
SNMP161/162
SMTP366
SSH22
TELNET23

Percepción de errores en el NetFlow

Con el pasar de los años se fue observado que esta forma de clasificación de tráfico con NetFlow es eficiente. Sin embargo, no proporciona todas las informaciones de forma precisa como la situación actual de TI necesita. Esta forma de identificación a través de la puerta o IP de origen, normalmente, no responde más a las expectativas del sector de TI debido a la falta de clasificación sobre qué aplicaciones están utilizando la misma puerta en la red para transitar.

Figura 1: Ejemplo de usos de los protocolos
Figura 1: Ejemplo de usos de los protocolos

En muchas ocasiones en un ambiente de red empresarial existen múltiples dispositivo utilizando la misma puerta de red para el tráfico de datos. Es posible llegar a la conclusión (teniendo un conocimiento profundo sobre el ambiente de TI de la empresa) que un determinado dispositivo, como por ejemplo un PABX IP, no consume mucho tráfico utilizando las puertas 80/443 (HTTP/HTTPs) Para facilitar una identificación final.

Sin embargo, solo este método no es suficiente para obtener todas las informaciones. A través de este método no podemos medir, por ejemplo, de forma exacta y clara lo que está accediendo por las puertas HTTP/HTTPs. Especialmente, las que utilizan los usuarios para acceder a websites como Facebook, Gmail, Youtube, Linkedin, entre otros.

En otras palabras, es como si la red de su empresa liberase un segmento de acceso, pero no visualizase que componentes están accediendo.

Así, utilizando solo el método de clasificación por puerta o IP de origen, no es posible obtener un informe detallado y minucioso sobre qué aplicaciones (Facebook, Gmail, Youtube, Linkedin) realmente están consumiendo el tráfico en la red. Innegablemente, serás solo suposiciones que, generalmente, no generarán los resultados esperados por la empresa.

Clasificación de Tráfico con NBAR

Con el objetivo de ofrecer las informaciones sobre qué aplicaciones están consumiendo el tráfico en la red, se ha creado un mecanismo inteligente de clasificación desarrollado por el fabricante Cisco. Este mecanismo llamado NBAR (Network Based Application Recognition) posee la capacidad de reconocer una amplia variedad de aplicaciones.

A través del NBAR se pueden realizar profundas inspecciones en los flujos para identificar qué aplicaciones se están utilizando en tiempo real, independientemente de la puerta utilizada.

El NBAR actúa de la siguiente forma:

  1. Cuando activamos el NBAR en cualquier interfaz, cada paquete de entrada es sometido a una profunda inspección en su encabezamiento IP y sobre todo el contenido de carga útil.
  2. Las firmas de los paquetes están incluidas en el protocolo PDLM (Custom Packet Description Language Module) y son enviadas para el enrutador
  3. El PDLM contiene las reglas por las cuales la tecnología NBAR reconoce una firma durante la inspección de paquetes. O sea el NBAR analiza los paquetes y los compara con un conjunto de reglas definidas por el PDLM. Además, si se cumplen las reglas, el NBAR reconoce y clasifica la operación.
  4. De esta forma, el NBAR detecta transacciones HTTP en cualquier número de puerta y en cualquier paquete. El NBAR también puede basar su identificación a través de URL, tipo MIME, por ejemplo. Además, de en otros parámetros que van más allá de las simples características modelo del protocolo HTTP,

Obteniendo las informaciones sobre las aplicaciones utilizadas a través del NBAR se pueden definir reglas de uso para los usuarios de la empresa. Así, se disminuye los costes del uso de tráfico indebido para aplicaciones no autorizadas, lo que además aumenta la productividad de los trabajadores, y justifica nuevas inversiones en la contratación de links.

NBAR en el TRAFip

Con la herramienta de supervisión de red TRAFip, de Telcomanager, es posible caracterizar el tráfico IP a través de exportación de flujos. El sistema soporta la tecnología NBAR y consigue identificar de forma precisa la aplicación por su ID en el NetFlow. De esta forma, solo hay que escoger cuál es el método de identificación que será utilizado. El TRAFip estará encargado de mostrar el tráfico de estas aplicaciones. Además, la herramienta TRAFip posee la capacidad de presentar la información en forma de gráficos e informes. Así, se justifican los gastos del sector de TI frente a los directores de la empresa.

Gráfico del TRAFip con el NBAR activado
Gráfico del TRAFip con el NBAR activado

Además de las aplicaciones citadas en el gráfico anterior (Facebook, Gmail, Youtube, LinkedIn) se puede caracterizar todavía más el tráfico de la interfaz de la red (en la figura llamada de GigabitEthernet0) con el registro de otras aplicaciones que transitan en la red.

En definitiva, el procedimiento de configuración del NBAR con el TRAFip es simple, e intuitivo. A continuación aparece el paso a paso necesario para la configuración:

1° Paso: Primero, configurar el protocolo Flexible NetFlow en el enrutador para que los flujos sean enviados al TRAFip.

Figura 3: Ejemplo de un flujo recibido por el TRAFip
Figura 3: Ejemplo de un flujo recibido por el TRAFip

2° Paso: En segundo lugar, descubrir el ID y tipo de aplicaciones. Para eso, solo se necesita escribir el comando “show ip nbar protocol-id” en la línea de comando del enrutador.

Figura 4: Comando “show ip nbar protocol-id”
Figura 4: Comando “show ip nbar protocol-id”

Observación: Podemos buscar el ID y tipo de alguna aplicación específica utilizando el comando “section”.

Figura 5: Comando “show ip nbar protocol-id | section face”
Figura 5: Comando “show ip nbar protocol-id | section face”

3° Paso: A continuación, configurar las aplicaciones deseadas en el TRAFip.

Figura 6: Formulario de aplicación con identificación por Flexible NetFlow
Figura 6: Formulario de aplicación con identificación por Flexible NetFlow