A análise do fluxo de dados na rede é um procedimento que proporciona aos administradores e gestores de redes uma visão detalhada não apenas da intensidade com que uma rede é usada, mas, crucialmente, de COMO essa rede é utilizada. É uma coisa constatar que um certo segmento da rede está sobrecarregado, mas é muito mais útil saber o que está a causar esse congestionamento. Sem essa informação, a única solução para o problema de congestionamento é aumentar a largura de banda disponível. No entanto, a largura de banda é dispendiosa e, certamente, existem formas mais eficazes de abordar esses problemas. A análise do padrão de tráfego pode conter a solução e, neste artigo, vamos explorar as principais ferramentas que podem ser usadas.
Vamos iniciar esta exploração da análise do fluxo de dados com alguns conceitos teóricos importantes. Inicialmente, vamos examinar em detalhe o que é a análise do padrão de tráfego. Isto é fundamental, pois vai ajudar a definir o que constitui uma ferramenta de análise de padrões de tráfego. Posteriormente, vamos abordar o NetFlow e outros sistemas e protocolos de reporte de fluxo, que são essenciais para a maioria das ferramentas de análise de padrões de tráfego. Começaremos por analisar o protocolo NetFlow da Cisco e as suas diversas variantes, antes de analisar o S-Flow, um protocolo concorrente com um funcionamento ligeiramente diferente. Com toda esta informação em mãos, estaremos prontos para analisar as principais ferramentas de análise de padrões de tráfego que identificamos.
Análise de padrões de tráfego: uma visão geral
Em termos mais simples, a análise de padrões de tráfego de rede é o processo de registo, revisão e/ou análise do tráfego de rede com o objetivo de melhorar o desempenho, a segurança e/ou as operações e gestão gerais da rede. Mais especificamente, é o processo de aplicação de técnicas manuais e automatizadas para analisar detalhes e estatísticas granulares no tráfego da rede.
Existem basicamente duas abordagens para monitorizar o tráfego de rede. A primeira é a monitorização do uso da largura de banda, que fornece dados quantitativos. Esta abordagem permite verificar quanto tráfego está a passar num ponto específico da rede, mas não oferece informações sobre a natureza desse tráfego. A segunda abordagem, que é o foco deste artigo, é designada por análise de padrões de tráfego de rede ou simplesmente análise de tráfego de rede. Esta análise é mais detalhada e visa fornecer uma visão profunda sobre o tipo de tráfego, pacotes de rede ou dados que estão a fluir através de uma rede.
Apesar de a análise de padrões de tráfego de rede poder ser realizada manualmente, na maioria das vezes esta é feita através de uma ferramenta de monitorização de rede. Realizar esta análise manualmente exigiria um esforço considerável. As estatísticas de tráfego obtidas a partir da análise de tráfego de rede podem ajudar a compreender e avaliar o uso da rede. Revelam dados cruciais sobre o tipo, tamanho, origem e destino dos pacotes de dados. Podem até incluir algumas informações sobre o conteúdo dos pacotes de dados.
As equipas de segurança da rede podem usar a análise de padrões de tráfego de rede para identificar pacotes maliciosos ou suspeitos no tráfego. Da mesma forma, as equipas de gestão de rede que procuram monitorizar as velocidades de download e upload, taxas de transferência, conteúdo, etc., podem usar esta análise para ter uma melhor compreensão do uso da rede.
Em contrapartida, a análise de padrões de tráfego de rede também pode ser utilizada por atacantes para analisar padrões de tráfego de rede e identificar vulnerabilidades ou meios de aceder ou recuperar dados confidenciais. Esta é uma ferramenta de duplo gume.
NetFlow e outros sistemas de reporte de fluxo
O NetFlow é uma funcionalidade que foi integrada nos routers da Cisco em 1996, e permite a recolha de tráfego de rede IP quando este entra ou sai de uma interface. Esta abordagem difere da monitorização de largura de banda, onde os dados são contados, mas não recolhidos. Ao analisar os dados recolhidos, é possível determinar as origens e destinos do tráfego, a classe e o tipo de serviço, e utilizar estas informações para identificar as causas do congestionamento.
Uma configuração típica de monitorização NetFlow é composta por três componentes principais:
O exportador de fluxo agrega pacotes em fluxos e exporta os registos de fluxo para um ou mais coletores de fluxo. Este componente reside no dispositivo de rede.
O colector de fluxo é responsável pela receção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.
O analisador de fluxo analisa os dados de fluxo recebidos, no contexto da deteção de intrusão ou do perfil de tráfego, por exemplo.
Um fluxo, na terminologia NetFlow, é uma sequência unidirecional de pacotes que partilham um conjunto de atributos, como a interface de entrada, endereços IP de origem e destino, protocolo IP (TCP/UDP/ICMP, etc.), portas IP de origem e destino e tipo de serviço IP. O exportador de fluxo recolhe dados detalhados sobre cada fluxo individual antes de os exportar para o coletor de fluxo. Na maioria dos casos, atualmente, o coletor e o analisador de fluxo são dois componentes do mesmo sistema e raramente são vistos separadamente.
Inicialmente exclusivo da Cisco, o NetFlow está agora disponível em equipamentos de vários fabricantes, incluindo Juniper, Alcatel-Lucent e Nortel, entre outros. Alguns fabricantes designam-no por um nome diferente, como J-flow para Juniper. Existe também uma versão normalizada pela IETF relativamente recente designada por IPFIX, que significa Internet Protocol Flow Information eXport.
O sFlow é uma tecnologia semelhante, mas com uma abordagem muito diferente. O sFlow utiliza métodos semelhantes para recolher informações sobre fluxos, mas inclui a amostragem de dados – o que explica o “S” – para obter informações ainda mais detalhadas. Muito poucos analisadores e coletores NetFlow conseguem processar dados sFlow, uma vez que os dois são bastante distintos.
As melhores ferramentas para análise de padrões de tráfego
Existem várias ferramentas disponíveis que oferecem análise de padrões de tráfego de rede. A maioria recolhe dados do NetFlow e apresenta-os de forma gráfica, enquanto algumas utilizam técnicas diferentes para atingir objetivos semelhantes.
1. SolarWinds NetFlow Traffic Analyzer (AVALIAÇÃO GRATUITA)
A primeira ferramenta da nossa lista é o SolarWinds NetFlow Traffic Analyzer ou NTA. Se não conhece a SolarWinds, a empresa construiu uma sólida reputação na produção de algumas das melhores ferramentas de gestão de rede. O seu principal produto, o Network Performance Monitor, é uma das melhores ferramentas de monitorização de largura de banda disponíveis. A SolarWinds também é reconhecida pela sua excelente ferramenta gratuita que atende necessidades específicas de administração de rede, como uma das melhores calculadoras de sub-redes ou servidor TFTP.
Como o nome sugere, o SolarWinds NetFlow Traffic Analyzer utiliza o protocolo NetFlow para fornecer informações detalhadas sobre o tráfego observado. Pode, por exemplo, reportar que tipo de tráfego é mais frequente ou que utilizador está a consumir mais largura de banda. O painel da ferramenta disponibiliza várias visualizações, como principais aplicações, principais protocolos ou principais remetentes. A ferramenta suporta a maioria das variantes do NetFlow de diferentes fabricantes.
TESTE GRÁTIS: SOLARWINDS NETFLOW TRAFFIC ANALYZER
Eis algumas das principais funcionalidades deste produto:
Pode ser utilizado para monitorizar o uso da rede por aplicação, protocolo e grupo de endereços IP.
Monitoriza os dados de fluxo Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream e IPFIX para identificar quais as aplicações e protocolos que mais consomem largura de banda.
Recolhe dados de tráfego, correlaciona-os num formato utilizável e apresenta-os na interface de utilizador baseada na web.
Pode ajudar a identificar que aplicações e categorias consomem mais largura de banda, para uma melhor visibilidade do tráfego de rede e oferece suporte para Cisco NBAR2.
O SolarWinds NetFlow Traffic Analyzer está disponível como um complemento do Network Performance Monitor (NPM). Os preços começam em 1915 USD para 100 nós. O número de nós que adquirir deve corresponder à sua licença NPM. Se ainda não tiver o software NPM, este terá um custo de 2995 USD para o mesmo nível de 100 nós. Se pretende experimentar o software antes de o adquirir, pode descarregar uma versão de avaliação de 30 dias totalmente funcional de um ou de ambos os produtos.
2. Paessler Router Traffic Grapher (PRTG)
O Paessler Router Traffic Grapher, ou PRTG, é uma solução completa cujo principal objetivo é monitorizar a utilização da largura de banda. Como tal, integra a monitorização de largura de banda SNMP e a recolha e análise de NetFlow. Mas não se limita a isso e o PRTG utiliza diversas tecnologias para monitorizar sistemas, dispositivos, tráfego e aplicações. Eis um resumo dos protocolos de monitorização suportados:
Fluxos (como NetFlow ou sFlow)
SNMP com opções personalizadas e prontas para usar
Contadores de desempenho WMI e Windows
SSH para sistemas Linux/Unix e MacOS
Captura de pacotes
Ping, SQL e muito mais
A instalação do PRTG é simples. Na verdade, a Paessler afirma que esta pode ser efetuada em alguns minutos. Depois de executar o instalador, o processo de descoberta automática encontra os dispositivos e configura os sensores básicos. É possível adicionar sensores – como coletores NetFlow – manualmente. Se precisar, existe um vídeo detalhado que demonstra como fazê-lo.
O PRTG funciona apenas no Windows, mas a sua interface de utilizador é baseada na web e pode ser acedida a partir de qualquer navegador em qualquer plataforma. Existem também aplicações móveis para Android e iOS que pode instalar no seu smartphone. Falando sobre aplicações móveis, esta ferramenta oferece uma funcionalidade única na forma de etiquetas com códigos QR que podem ser impressas e anexadas aos dispositivos. Posteriormente, basta digitalizar o código com as aplicações móveis para visualizar rapidamente os dados do sensor do dispositivo.
O PRTG está disponível em duas versões. Existe uma versão gratuita limitada a 100 sensores. Cada elemento monitorizado conta como um sensor. Por exemplo, para monitorizar cada porta de um switch de 48 portas, são necessários 48 sensores. Para a recolha e análise de NetFlow, é necessário um sensor por exportador de fluxo. Para mais de 100 sensores, é necessária uma licença paga. Estas estão disponíveis para 500, 1000, 2500, 5000 e nós ilimitados, a preços que variam entre cerca de 1600 USD e pouco menos de 15 000 USD. Note que a versão gratuita permite sensores ilimitados durante os primeiros 30 dias, o que lhe permite testar o produto na totalidade.
3. Scrutinizer
O Scrutinizer da Plixer é um excelente analisador NetFlow. Na verdade, é muito mais do que isso e é considerado por muitos como um sistema completo de resposta a incidentes. Com a sua capacidade de monitorizar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream e IPFIX, não está limitado a monitorizar apenas dispositivos Cisco.
O Scrutinizer apresenta um design hierárquico e oferece uma recolha de dados simplificada e eficiente que permite começar em pequena escala e aumentar facilmente até milhões de fluxos por segundo. Apesar de a rede ser frequentemente considerada a primeira culpada quando algo corre mal, o Scrutinizer ajuda a encontrar rapidamente a verdadeira causa raiz da maioria dos problemas de rede. O produto funciona em ambientes físicos e virtuais e inclui funcionalidades avançadas de reporte.
O Scrutinizer está disponível em quatro níveis de licença, desde a versão básica gratuita até ao nível SCR mais elevado, que pode ser dimensionado para mais de dez milhões de fluxos por segundo. A versão gratuita está limitada a dez mil fluxos por segundo e mantém os dados de fluxo brutos apenas durante 5 horas. Os níveis intermédios são o nível MDX, que mantém os dados durante 25 horas, e o nível SSRV, que os mantém indefinidamente. Pode experimentar qualquer nível de licença durante 30 dias. Após este período, o software reverte para a versão gratuita.
4. ManageEngine NetFlow Analyzer
A ManageEngine é mais um nome conhecido na área das ferramentas de gestão de rede. Tal como a SolarWinds, esta empresa produz várias ferramentas excelentes, bem como algumas ferramentas gratuitas. O ManageEngine NetFlow Analyzer oferece uma visão detalhada da utilização da largura de banda numa rede, bem como dos padrões de tráfego. O produto possui uma interface de utilizador baseada na web que apresenta um número impressionante de visualizações diferentes da sua rede.
Esta ferramenta permite, por exemplo, visualizar o tráfego por aplicação, por conversação, por protocolo e através de várias outras opções. Pode também definir alertas para o avisar sobre possíveis problemas. Pode, por exemplo, definir um limite de tráfego numa interface específica e receber alertas sempre que o tráfego o exceder.
O ponto forte do ManageEngine NetFlow Analyzer reside nos seus relatórios e painel. O produto inclui vários relatórios predefinidos úteis, adaptados para fins específicos, como a resolução de problemas, o planeamento de capacidade ou a faturação. No entanto, se preferir criar relatórios personalizados, a ferramenta permite que os administradores os criem de acordo com as suas necessidades.
O painel do ManageEngine NetFlow Analyzer é tão impressionante como os seus relatórios. Inclui vários gráficos circulares que descrevem as principais aplicações, os principais protocolos ou as principais conversações, por exemplo. Pode também apresentar um mapa de calor que mostra o estado das interfaces monitorizadas. Os painéis podem ser personalizados para incluir apenas as informações necessárias. Para os administradores de rede em viagem, existe uma aplicação para smartphone que permite aceder ao painel e aos relatórios.
O ManageEngine NetFlow Analyzer oferece suporte para a maioria das tecnologias de fluxo, incluindo NetFlow, IPFIX, J-flow, NetStream e algumas outras. Como vantagem adicional, o software também inclui uma excelente integração com dispositivos Cisco, com a possibilidade de ajustar o modelador de tráfego e/ou as políticas de QoS diretamente a partir da ferramenta.
O ManageEngine NetFlow Analyzer está disponível em duas versões. A versão gratuita limita a monitorização a apenas duas interfaces ou exportadores de fluxo. Para maior capacidade, estão disponíveis licenças em vários tamanhos, de 100 a 2500 interfaces ou fluxos, a preços que variam entre cerca de 600 USD e mais de 50 000 USD, mais taxas de manutenção anuais. Está disponível uma avaliação gratuita de 30 dias em todos os planos pagos.
5. sFlowTrend
Embora todos os produtos anteriores sejam excelentes, apenas o PRTG, até ao momento, oferece suporte para o protocolo sFlow. Como foi explicado, os dois protocolos são bastante diferentes e é raro que uma ferramenta ofereça suporte para ambos. Por conseguinte, se a sua rede for composta principalmente por dispositivos com capacidade para sFlow, eis uma das melhores ferramentas que encontrámos.
O sFlowTrend é uma ferramenta de monitorização sFlow da inMon, a empresa por trás do protocolo sFlow. É uma ferramenta simples e um pouco limitada, mas muito eficaz. Existe uma versão gratuita que permite recolher dados de até cinco dispositivos com capacidade para sFlow e manter os dados do histórico na RAM durante uma hora. Apesar de isto poder ser suficiente para resolver alguns problemas de rede, não é o ideal para uma monitorização contínua. Para uma ferramenta mais completa, deve atualizar para a versão pro que remove o limite do número de dispositivos e armazena os dados do histórico no disco.
O painel do sFlowTrend oferece uma visão geral do estado atual dos seus dispositivos e redes monitorizadas. Apresenta limites de nível superior e interfaces com possíveis erros. Ao clicar no sFLowTrend, o separador Rede revela estatísticas de desempenho resumidas e tráfego detalhado ao nível da rede ou do dispositivo. Os limites de alerta podem ser utilizados para receber alertas quando se observa uma utilização de largura de banda acima do normal ou quando ocorre um erro de rede. O software também apresenta um separador de causa raiz, onde é possível analisar em detalhe a causa de um problema, como a violação de um limite.
No separador Anfitriões do sFlowTrend encontrará informações mais detalhadas sobre cada dispositivo. Pode apresentar dados de desempenho de CPU, disco e muito mais, para servidores com capacidade para sFlow. Como deve ter percebido, o sFlow não serve apenas para monitorizar equipamentos de rede. O separador Serviços é onde pode encontrar dados de desempenho de aplicações que exportam dados sFlow. E, no separador Eventos, encontra um registo de eventos, como limites excedidos ou erros detetados. Por último, o separador Relatórios oferece diversos relatórios predefinidos e também suporta a criação de relatórios personalizados.
O sFlowTrend é escrito em Java e inclui uma interface de utilizador baseada em Java ou baseada na web. Está disponível para Windows, Mac e Linux. O software inclui um excelente sistema de ajuda online para ajudar a configurar e utilizar a ferramenta.
Conclusão
Independentemente da ferramenta que escolher, a análise de padrões de tráfego de rede oferece uma visão valiosa sobre o que está a acontecer na sua rede. Cada uma das ferramentas que analisámos apresenta um excelente valor e a escolha de uma delas será provavelmente uma questão de preferência pessoal. Pode haver uma funcionalidade específica de uma das ferramentas que lhe agrade particularmente. Com todas as ferramentas pagas a oferecer uma versão de avaliação gratuita ou uma versão gratuita, não há motivos para não experimentar algumas antes de tomar uma decisão.