La telemetría de red es una de las herramientas más poderosas para entender lo que sucede en nuestra red, pero elegir el protocolo adecuado puede ser sorprendentemente complejo. Los routers modernos admiten una larga lista de opciones (NetFlow, IPFIX, sFlow, PSAMP e incluso espejado de puertos), cada una con sus propias ventajas y desventajas.
En los últimos diez años hemos probado la telemetría en cientos de entornos reales, desde puntos de intercambio de Internet hasta proveedores de alojamiento en la nube. Este artículo presenta un resumen práctico de lo que hemos aprendido, con un objetivo: ayudarle a elegir la telemetría adecuada para sus necesidades.
¿Qué es la telemetría de red?
La telemetría de red es el proceso de exportar metadatos o datos de tráfico sin procesar desde routers y switches a un sistema externo para su análisis. Ayuda a los operadores a comprender los patrones de tráfico, detectar anomalías, supervisar el desempeño y responder a incidentes con mayor rapidez.
La mayoría de los protocolos de telemetría están diseñados para ser eficientes, por lo que muestrean, resumen o filtran los datos antes de enviarlos. Esto los hace escalables, pero también significa que hay que elegir con cuidado qué datos exportar y con qué velocidad.
La calidad y la velocidad de la telemetría afectan directamente a su visibilidad. Si las exportaciones son lentas o los datos superficiales, puede que las amenazas o cuellos de botella no se detecten hasta que sea demasiado tarde. Por eso es tan importante comprender las diferencias entre los distintos métodos de telemetría.
Telemetría basada en flujos vs. telemetría basada en paquetes
Un concepto básico en el diseño de telemetría es si los datos que se recopilan se basan en flujos o en paquetes.
(Acceso libre, no requiere suscripción)
La telemetría basada en flujos, como NetFlow o IPFIX, resume una conversación entre dos extremos. Generalmente incluye las direcciones IP de origen y destino, los puertos, los protocolos y el recuento de bytes/paquetes. Estos metadatos son fáciles de almacenar y analizar, pero no incluyen la carga útil ni todos los detalles de los paquetes. La telemetría de flujos es ideal para realizar análisis de tráfico y obtener métricas a largo plazo.
La telemetría basada en paquetes, como sFlow o PSAMP, captura encabezados de paquetes reales (y a veces cargas útiles) directamente de la red. Estos se muestrean, no se exportan en su totalidad, pero aun así ofrecen una granularidad mucho mayor y permiten casos de uso en tiempo real, como la detección de ataques DDoS o el seguimiento de anomalías.
Los métodos basados en paquetes ofrecen información más rápidamente porque no dependen de los mecanismos de timeout de los flujos. Pero también generan mayores volúmenes de datos y requieren colectores de mayor capacidad y recursos.
La telemetría basada en flujos, como NetFlow o IPFIX, resume una conversación entre dos extremos. Generalmente incluye las direcciones IP de origen y destino, los puertos, los protocolos y el recuento de bytes/paquetes. Estos metadatos son fáciles de almacenar y analizar, pero no incluyen la carga útil ni todos los detalles de los paquetes. La telemetría de flujos es ideal para realizar análisis de tráfico y obtener métricas a largo plazo.
La telemetría basada en paquetes, como sFlow o PSAMP, captura encabezados de paquetes reales (y a veces cargas útiles) directamente de la red. Estos se muestrean, no se exportan en su totalidad, pero aun así ofrecen una granularidad mucho mayor y permiten casos de uso en tiempo real, como la detección de ataques DDoS o el seguimiento de anomalías.
Los métodos basados en paquetes ofrecen información más rápidamente porque no dependen de los mecanismos de timeout de los flujos. Pero también generan mayores volúmenes de datos y requieren colectores de mayor capacidad y recursos.
En redes modernas, los mejores resultados suelen obtenerse con un enfoque híbrido, es decir, uso de telemetría basada en flujos para obtener información histórica y telemetría basada en paquetes para una detección y respuesta más rápida ante incidentes.
Ahora que hemos cubierto los fundamentos de la telemetría de red y las principales diferencias entre los enfoques basados en flujos y en paquetes, veremos cómo se comparan en la práctica los protocolos de telemetría más utilizados. Analizaremos sus fortalezas, limitaciones y los casos de uso para los cuales resultan más adecuados.
Panorama de la telemetría de red
Los routers modernos de gran escala (carrier-grade) admiten una variedad de protocolos de telemetría, cada uno con sus propias fortalezas, limitaciones y casos de uso ideales. A primera vista, las opciones pueden parecer complejas, ya que para elegir la más adecuada no alcanza con leer una hoja de especificaciones. También es necesario considerar cómo se comporta el protocolo en condiciones reales, incluidas la latencia de exportación, la granularidad de los datos e incluso las peculiaridades de la implementación de un proveedor específico.
En la siguiente tabla se resumen las características clave de los protocolos más utilizados para que pueda compararlos rápidamente y entender dónde encaja mejor cada uno.
Protocolo
Tipo
Granularidad de los datos
Latencia de exportación
¿Soporta IPv6?
Casos de uso típicos
NetFlow vs
Basado en flujos
Campos fijos (solo IPv4)
Depende del timeout de los flujos (segundos a minutos)
No
Análisis de tráfico a largo plazo, facturación, planificación de la capacidad
NetFlow v9
Basado en flujos
Plantillas flexibles
Depende del timeout de los flujos
Sí
Análisis de tráfico, hosts que consumen el mayor ancho de banda, correlación de eventos de seguridad
IPFIX
Basado en flujos
Muy extensible, soporta campos personalizados
Depende del timeout de los flujos
Sí
Clasificación detallada del tráfico, monitoreo específico de cada protocolo
sFlow v5
Basado en paquetes
Muestreo de encabezados (tasa configurable)
Prácticamente en tiempo real
Sí
Detección de ataques DDoS en tiempo real, monitoreo de la calidad de servicio, resolución de problemas
PSAMP
Basado en paquetes
Muestreo de paquetes estructurado
Prácticamente en tiempo real
Sí
Análisis de seguridad, detección de anomalías, investigación
Espejado de puertos (SPAN)
Basado en paquetes
Captura de paquetes completos o encabezados
En tiempo real
Sí
Inspección profunda de paquetes, estudios forenses
Con este panorama general en mente, en las siguientes secciones analizaremos en detalle cada protocolo: cómo funciona, en qué situaciones funcionan mejor, y las ventajas y desventajas que se deben considerar antes de implementarlos.
NetFlow v5
NetFlow v5 es uno de los protocolos de telemetría más antiguos pero aún se utiliza, especialmente en redes legadas. Exporta registros de flujos después de que una sesión finaliza o llega a un límite de tiempo prefijado (límite de timeout), normalmente de 30 a 60 segundos.
Este protocolo es extremadamente limitado, ya que no soporta IPv6, usa un conjunto de campos fijo y no ofrece flexibilidad para agregar metadatos adicionales. En la práctica, las demoras en la exportación hacen que no sea útil para casos de uso en tiempo real, como la detección de ataques DDoS.
Solo se recomienda cuando el hardware no soporta ninguna otra alternativa. En general, no es suficiente en el caso de las redes modernas.
NetFlow v9 / IPFIX
NetFlow v9 y su sucesor, IPFIX, incorporan plantillas flexibles que permiten a los routers exportar un conjunto de datos más completo, incluido el soporte para IPv6. Estos protocolos se pueden personalizar para incluir campos como el siguiente salto de BGP, números de sistema autónomo, direcciones MAC y otros.
Sin embargo, esta flexibilidad tiene un costo. Las plantillas suelen variar entre proveedores y requieren un cuidadoso procesamiento y control de versiones. Además, dado que también se basan en flujos y dependen de timeouts activos/inactivos, estos protocolos aún tienen retrasos en la exportación.
A pesar de su complejidad, NetFlow v9/IPFIX cuenta con un amplio soporte y es adecuado para análisis históricos o planificación de la capacidad, especialmente cuando se utiliza con colectores de código abierto o comerciales que soportan plantillas dinámicas.
sFlow v5
sFlow es un protocolo de telemetría basado en paquetes que exporta encabezados sin procesar y contadores de interfaz. A diferencia de NetFlow, sFlow no acumula datos por flujos, sino que muestrea los paquetes a una tasa configurable (por ejemplo, 1 de cada 1000) y los exporta en tiempo real.
Gracias a su baja latencia y a la gran cantidad de datos que proporciona, sFlow se puede utilizar para monitorear la seguridad, la visibilidad en tiempo real y la clasificación del tráfico. No obstante, no todo el hardware implementa sFlow con la misma eficacia. Algunas plataformas solo ofrecen contadores básicos o metadatos limitados y las frecuencias de muestreo pueden ser demasiado bajas para detectar ráfagas de tráfico de corta duración.
Bien implementado, sFlow es liviano y muy eficaz, pero conviene verificar las capacidades de la plataforma de software específica de su router.
Espejado de puertos
El espejado de puertos duplica todo el tráfico de un puerto de router o switch y lo envía a un colector o interfaz de monitoreo. Ofrece una visibilidad completa del flujo de paquetes, incluidas las cargas útiles, y suele utilizarse para debugging o para la captura completa de paquetes.
Pero el espejado de puertos consume muchos recursos. Utiliza ancho de banda adicional, requiere colectores dedicados y no escala bien en entornos de alto tráfico. Por eso no es adecuada como solución de telemetría de propósito general, sino en escenarios específicos de resolución de problemas.
Espejado de puertos muestreados / PSAMP
Una opción moderna y eficiente de telemetría basada en paquetes es el espejado de puertos muestreados, que a menudo utiliza extensiones PSAMP (muestreo de paquetes). Este método combina la velocidad y la baja latencia del muestreo de paquetes con la estructura de metadatos de IPFIX.
Permite definir las frecuencias de muestreo, formatos de exportación y filtros, por lo que se puede controlar con precisión la telemetría generada. Los datos exportados incluyen encabezados de paquetes y, opcionalmente, contadores de interfaz o metadatos BGP.
En nuestra experiencia, siempre que el hardware lo soporte, este es uno de los métodos de telemetría con mejor rendimiento disponible en la actualidad. Proveedores como Juniper y Nokia ofrecen implementaciones robustas de PSAMP, mientras que otros fabricantes se están poniendo al día.
Por qué la velocidad es importante
La telemetría no solo se trata de saber qué ocurre en su red, sino de saberlo con la rapidez suficiente para responder. Esto es especialmente crítico para la detección y mitigación de ataques DDoS, donde cada segundo cuenta.
La telemetría tradicional basada en flujos (como NetFlow v5 o v9) introduce retrasos de 30 segundos o más en la detección. Para cuando se detecta una anomalía, puede que el ataque ya haya afectado los servicios. En cambio, los métodos de telemetría basados en paquetes (como sFlow o PSAMP) pueden detectar patrones de tráfico anómalos en menos de dos segundos.
FastNetMon, nuestro motor de detección de código abierto soporta los principales protocolos de telemetría. En pruebas reales, hemos observado de forma consistente que PSAMP y las implementaciones de sFlow de alta calidad tienen el mejor desempeño. Estos métodos proporcionan una visibilidad rápida y detallada que permite implementar respuestas automatizadas antes de que se produzcan daños.
Cómo elegir la telemetría adecuada para su red
Cada red es diferente y ningún protocolo de telemetría es perfecto. La elección adecuada depende de diversos factores:
los protocolos de telemetría que soportan sus routers y switches,
qué tan rápido necesita detectar las anomalías del tráfico,
decidir si se priorizarán los análisis históricos o la visibilidad en tiempo real, y
la arquitectura y capacidad de almacenamiento de su colector.
En entornos modernos, recomendamos empezar con telemetría basada en paquetes si la detección con baja latencia es una prioridad. La telemetría basada en flujos mantiene su utilidad, especialmente cuando se utiliza en combinación, aunque claramente la industria está avanzando hacia una telemetría más rápida, completa y flexible.
Si hace tiempo que no revisa su configuración de telemetría, este es un buen momento para hacerlo.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
