.. _netflow: ******* Netflow ******* El módulo Netflow de WOCU-Monitoring permite visualizar y analizar el tráfico de red utilizando registros de flujo generados por dispositivos de red. Los flujos contienen información agregada sobre comunicaciones entre dispositivos, incluyendo: - Dirección IP origen/destino - Puertos utilizados - Protocolo - Volumen de tráfico - Duración de la conexión El módulo Netflow ofrece las siguientes capacidades: - Análisis del uso de la red - Identificación de los hosts con mayor consumo de tráfico - Detección de patrones de comportamiento anómalos - Investigación de comunicaciones entre sistemas - Visualización del origen geográfico del tráfico .. Attention:: Esto permite analizar el comportamiento de la red sin necesidad de capturar paquetes completos. .. image:: ../images/operation/2_143_aggregator_realm_netflow_70.png :align: center Acceso a Netflow ================ El módulo Netflow está disponible desde la interfaz de WOCU-Monitoring. Diríjase al menú :ref:`Operation` > :ref:`netflow`. A continuación se despliega el panel de visualización de flujos basado en Kibana, e integrado de forma nativa en la interfaz de WOCU-Monitoring. .. image:: ../images/operation/2_143a_aggregator_realm_netflow_70.png :align: center .. Note:: El acceso al módulo de Netflow depende del tipo de usuario y de los permisos asignados. Para solicitar o modificar accesos, contacte con su administrador del sistema. Navegación por el panel Netflow =============================== El panel Netflow se compone de diferentes vistas que permiten analizar el tráfico desde distintas perspectivas. Cada vista contiene gráficos interactivos que permiten aplicar filtros y explorar los datos. .. image:: ../images/operation/2_144_aggregator_realm_netflow_views_70.png :align: center Las vistas disponibles son: Overview -------- El panel Overview ofrece una visión global del tráfico de red mediante representaciones visuales como gráficos circulares porcentuales y word clouds. Esta vista permite obtener de forma rápida un estado general del comportamiento del tráfico en la red. Desde el panel Overview es posible visualizar: - Volumen total de tráfico - Distribución de protocolos - Principales direcciones IP origen y de destino - Volumen de tráfico por puerto .. image:: ../images/operation/2_144a_aggregator_realm_netflow_overview_70.png :align: center Top-N ----- El panel Top-N está diseñado para jerarquizar los elementos de la red que generan mayor volumen de tráfico. Su función principal es ofrecer una visibilidad clara sobre los principales consumidores de recursos, facilitando la identificación de: - Hosts con mayor tráfico - Puertos más utilizados - Protocolos más frecuentes - Redes más activas El sistema organiza la información en tablas comparativas que permiten ordenar a los actores de la red según tres métricas clave: Bytes, Packets y Flow Records. También, el gráfico **Services (bits/s)** complementa las tablas mostrando la evolución del tráfico en el tiempo. Por lo tanto, este panel es especialmente útil para detectar servidores con alto consumo de ancho de banda, aplicaciones que generan tráfico elevado y comportamientos anómalos en la red. En la parte superior derecha, se habilitan sub-vistas adicionales: * **Talkers**: Enfoque en los hosts con mayor actividad. * **Services**: Análisis detallado de puertos y protocolos. * **Conversations**: Relaciones bidireccionales entre origen y destino. * **Apps**: Identificación de aplicaciones específicas basadas en el análisis del flujo. .. image:: ../images/operation/2_144b_aggregator_realm_netflow_topN_70.png :align: center Threads ------- El panel Threads proporciona una capa de seguridad crítica al cruzar en tiempo real los flujos de red con listas de reputación e inteligencia de amenazas. Su objetivo es identificar direcciones IP sospechosas y actividades potencialmente maliciosas que atraviesan la red, es decir, identifica tráfico sospechoso dentro de la red monitorizada. Estas direcciones pueden estar relacionadas con: - Bots - Spam - Gusanos - Escáneres automáticos La vista se organiza en dos áreas de análisis: **IP Reputations (Flujos temporales)**: gráfico de barras apiladas que muestra la evolución de las amenazas en el tiempo. Cada color representa un tipo de riesgo (ej. ssh, telnet, spam), permitiendo detectar picos de ataques o intentos de intrusión en momentos específicos. **Tablas de Inteligencia de Amenazas:** * IP Reputations: clasifica el volumen de flujos según la etiqueta de riesgo. * Public Threats: enumera las direcciones IP públicas externas que han sido identificadas como peligrosas. * High-Risk Clients: identifica los hosts internos o clientes que están interactuando con destinos de alto riesgo, lo cual es vital para detectar equipos locales posiblemente comprometidos. .. image:: ../images/operation/2_144c_aggregator_realm_netflow_threads_70.png :align: center Flows ----- La pestaña Flows ofrece una representación visual avanzada de las interacciones entre los diferentes activos de la red (clientes, servidores, hosts internos y externos), es decir, muestra las comunicaciones entre sistemas. A diferencia de las tablas estáticas, esta vista utiliza un gráfico de flujos central para mostrar cómo se desplaza el tráfico desde los emisores hasta los receptores, permitiendo entender la topología lógica de las comunicaciones. Por lo tanto, esta vista permite analizar: - Patrones de comunicación - Tráfico entre redes - Conexiones externas. .. image:: ../images/operation/2_144d_aggregator_realm_netflow_flows_70.png :align: center La vista se organiza en tres columnas principales que comparan métricas de Clientes (izquierda) frente a Servidores (derecha): * Bytes: comparación del volumen de datos transferidos. * Packets: cantidad de paquetes enviados/recibidos, útil para diagnosticar eficiencia de red. * Flow Records: número de sesiones abiertas, ideal para detectar persistencia en las comunicaciones. En la parte superior derecha, el usuario puede alternar la vista a través de las sub-vistas de navegación: * **Client/Server**: vista estándar orientada a roles de consumo. * **Src/Dst (Source/Destination)**: análisis técnico basado puramente en origen y destino IP. * **AS (Autonomous Systems)**: visualización del tráfico entre sistemas autónomos para análisis de rutas de Internet. Geo IP ------ El panel Geo IP proporciona una dimensión geográfica al análisis de flujos, situando las direcciones IP públicas sobre un mapa mundial. Esta vista es fundamental para comprender la distribución global de las comunicaciones de la red y para la supervisión de la seguridad perimetral. La información se representa mediante un mapa interactivo que permite visualizar de forma dinámica: * Países de origen y destino: Identificación clara de dónde proviene el tráfico entrante y hacia dónde se dirige el tráfico saliente. * Volumen de tráfico por región: Los flujos se representan mediante líneas de conexión y mapas de densidad que indican las zonas geográficas con mayor intercambio de datos. * Trazabilidad de rutas: Visualización de las trayectorias de comunicación entre nodos internos y servidores distribuidos globalmente. .. image:: ../images/operation/2_144e_aggregator_realm_netflow_geoIP_70.png :align: center Para complementar el mapa, el panel incluye métricas de clasificación rápida a la izquierda: * **Servers and Clients (bytes)**: ranking de los hosts locales o remotos más activos en el ámbito geográfico seleccionado. * **Services (bytes)**: desglose de qué servicios (puertos y protocolos) se están utilizando en las comunicaciones internacionales. * **Countries and Cities (bytes)**: un gráfico comparativo que permite cuantificar el tráfico por regiones específicas, facilitando la identificación de los países con mayor peso en el ancho de banda. En la parte superior derecha, el usuario puede alternar el enfoque del mapa a través de las sub-vistas de navegación: * **Client/Server**: muestra la geolocalización basada en el rol de la IP (quién solicita y quién sirve la información). * **Src/Dst**: Análisis técnico centrado estrictamente en el origen y destino físico de los paquetes. .. image:: ../images/operation/2_144k_aggregator_realm_netflow_geoIP_70.png :align: center AS Traffic ---------- El panel AS Traffic proporciona una visión macroscópica del tráfico de red, agrupando las comunicaciones según el Autonomous System (AS) al que pertenecen. Esta vista es fundamental para entender cómo interactúa la red local con las grandes infraestructuras y proveedores de servicios que componen Internet. Esta vista permite a los administradores de red analizar la procedencia y el destino del tráfico a nivel de proveedor, identificando: - Proveedores de red implicados en las comunicaciones - Redes externas con mayor volumen de tráfico - Origen del tráfico externo. .. image:: ../images/operation/2_144f_aggregator_realm_netflow_as_traffic_70.png :align: center El panel se organiza en gráficos de áreas apiladas que comparan el tráfico de Origen (*Source*) frente al de Destino (*Destination*) utilizando dos unidades de medida críticas: * **Traffic in bits/s (Ancho de Banda)**: muestra el volumen de datos por segundo. Es la métrica principal para analizar el consumo de los enlaces de internet y detectar saturación por parte de proveedores específicos. * **Traffic in pkts/s (Paquetes por segundo)**: registra la densidad de paquetes. Un volumen inusualmente alto de paquetes en relación con los bits/s puede ser un indicador temprano de ataques de red o escaneos procedentes de un AS concreto. Exporters --------- El panel Exporters desplaza el foco del análisis desde los hosts finales hacia la propia infraestructura de red. Esta vista clasifica el tráfico según la sonda o dispositivo de red (router, switch, firewall) que genera y envía los flujos, permitiendo auditar el rendimiento de los puntos de recolección de datos. Esta vista es esencial para monitorizar la salud de la recolección de métricas, permitiendo analizar: - Tráfico por dispositivo de red - Distribución de carga entre exportadores - Comportamiento de segmentos de red A diferencia de otros paneles, esta pestaña desglosa la actividad según la dirección del tráfico en las interfaces físicas o lógicas del dispositivo: * **Ingress Interfaces (bits/s y pkts/s):** muestra el tráfico de entrada capturado por el exportador. Es clave para medir la carga que recibe un nodo desde su segmento de red local. * **Egress Interfaces (bits/s y pkts/s):** muestra el tráfico de salida procesado. Permite validar cómo el dispositivo encamina los datos hacia otros destinos. Ambas métricas se presentan tanto en ancho de banda (bits por segundo) como en densidad de paquetes (paquetes por segundo), facilitando la detección de cuellos de botella o saturación en interfaces específicas. .. image:: ../images/operation/2_144g_aggregator_realm_netflow_exporters_70.png :align: center Traffic Details --------------- El panel Traffic Details permite profundizar en la naturaleza técnica de las comunicaciones registradas. A diferencia de otras vistas, esta pestaña desglosa el tráfico mediante métricas específicas que ayudan a entender no solo cuánto se transmite, sino cómo y desde dónde. El panel organiza la información en columnas comparativas (Clientes vs. Servidores) e incluye: * **Contador de Hosts**: visualización numérica del total de clientes y servidores únicos detectados. * **Flow Records**: gráficos de donut que muestran la distribución de sesiones por host. * **Evolución Temporal (bits/s y pkts/s)**: gráficas de líneas que permiten comparar el consumo de ancho de banda y la carga de paquetes de los hosts más activos a lo largo del tiempo. .. image:: ../images/operation/2_144i_aggregator_realm_netflow_traffic_details_70.png :align: center En la parte superior derecha, se habilitan tres perspectivas de análisis: * **Types:** clasificación por tipo de tráfico y protocolos. * **Attributes:** análisis de los atributos técnicos de los paquetes (como tamaños o flags). * **Locality:** información sobre la ubicación del tráfico (distinguiendo entre red pública o privada y Sistemas Autónomos). .. image:: ../images/operation/2_144l_aggregator_realm_netflow_traffic_details_70.png :align: center Flow Records ------------ El panel Flow Records constituye el repositorio de datos brutos del módulo. Mientras que las pestañas anteriores ofrecen visualizaciones agregadas y estadísticas, esta vista presenta el listado completo y pormenorizado de cada comunicación individual registrada por las sondas. Cada registro incluye información como: - IP origen/destino - Puerto origen/destino - Protocolo - Volumen de tráfico - Duración de la comunicación El panel se divide en tres secciones clave para facilitar el análisis: * **Métricas de Volumen:** contador total de *Flow Records* junto a un gráfico de barras temporales que muestra la densidad de registros procesados por cada intervalo de 60 segundos. Esto permite identificar picos de actividad transaccional. * **Tabla de Eventos:** listado paginado y ordenable que permite explorar miles de registros. Al expandir cada fila, se accede al detalle completo del JSON del flujo. .. image:: ../images/operation/2_144h_aggregator_realm_netflow_flow_records_70.png :align: center En la parte superior derecha, el usuario puede alternar entre las perspectivas **Client/Server** y **Src/Dst** para reordenar la jerarquía de las columnas según la necesidad del análisis. Uso de filtros ============== Los paneles permiten aplicar filtros para refinar los resultados mostrados. Entre los filtros disponibles se incluyen: * Dirección IP origen/destino * Puerto * Protocolo * País * Autonomous System * Sonda exportadora * Intervalo temporal Barra de Filtrado y Búsqueda Avanzada ------------------------------------- Situada en la cabecera del módulo se encuentran las siguientes opciones de filtrado: * Barra de Filtrado y Búsqueda: permite realizar consultas mediante lenguaje `KQL (Kibana Query Language) `_. * Intervalo Temporal: permite definir la ventana de tiempo de los datos analizados. Con opciones rápidas (Last 1 hour, Last 24 hours, etc.) o rangos absolutos mediante la selección de fechas y horas específicas en el calendario. Dinámica de Funcionamiento -------------------------- Los filtros son combinables, lo que significa que puedes aplicar varios a la vez para hacer análisis más precisos (por ejemplo: tráfico de un cliente hacia un servidor en un servicio concreto). Al aplicar un filtro, todos los gráficos del panel se actualizan automáticamente para reflejar solo los datos que cumplen las condiciones seleccionadas, pasando de una vista general a un análisis mucho más detallado en pocos pasos. Véase el siguiente ejemplo en la vista **Overview**, donde se analiza exclusivamente el comportamiento del ``servicio TCP/6350`` reportado por el ``host 127.0.0.1``, permitiendo aislar este tráfico del resto de la red para un análisis dirigido. .. añadir más ejemplos .. image:: ../images/operation/2_144j_aggregator_realm_netflow_filter_70.png :align: center Buenas prácticas ================ Para garantizar una gestión proactiva de la red y maximizar la utilidad del módulo Netflow, se recomienda integrar las siguientes rutinas en el flujo de trabajo: - Revisión periódica del panel **Overview**: acceda diariamente a la vista general para familiarizarse con el comportamiento de su red lo que facilita la detección inmediata de anomalías - Monitorizar cambios en el tráfico: ya que un cambio brusco en la proporción de tráfico (por ejemplo, un aumento repentino de UDP frente a TCP) puede indicar fallos en aplicaciones o intentos de saturación de red. - Analizar tráfico hacia destinos no habituales y limpieza de flujos innecesarios. - Control y optimización de Recursos: mediante la identificación regular de usuarios o servidores que consumen más ancho de banda para evaluar si es necesario redistribuir la carga en diferentes Exporters.