Visibilidade na sua Rede: Uma Análise Profunda com Coletores e Analisadores IPFIX
Frequentemente, estabelecemos comparações entre redes e estradas, imaginando pacotes de dados como carros em movimento entre pontos. Apesar de ser uma analogia útil, existe uma distinção crucial entre os dois cenários. Enquanto a movimentação de veículos numa rodovia é facilmente perceptível, o fluxo de dados numa rede permanece, na sua maioria, invisível. Similarmente, congestionamentos e tráfego intenso são facilmente identificados numa via, ao passo que numa rede, estes problemas são notados apenas pelos seus efeitos. É precisamente neste ponto que os analisadores de rede se tornam essenciais, proporcionando uma visibilidade sobre o que realmente acontece na infraestrutura. O protocolo IPFIX, um padrão da indústria para análise de rede, é uma ferramenta chave para essa finalidade. Assim, apresentamos aqui uma análise dos principais coletores e analisadores IPFIX disponíveis.
Inicialmente, abordaremos o conceito geral de monitoramento de rede, introduzindo as duas categorias primárias de ferramentas frequentemente utilizadas por administradores de rede para acompanhar o desempenho e antecipar problemas. Em seguida, explicaremos o que é o IPFIX, seu funcionamento e, finalmente, mergulharemos na avaliação dos melhores coletores e analisadores IPFIX que conseguimos identificar.
Ferramentas de Monitoramento de Rede
Uma das responsabilidades mais críticas dos administradores de rede é garantir o bom funcionamento da infraestrutura, assegurando a ausência de lentidão e a entrega eficiente do tráfego ao seu destino. O desafio é que, em grande parte, a atividade numa rede ocorre dentro de cabos, roteadores, switches e outros dispositivos, tornando invisível o que está a acontecer. As ferramentas de monitoramento de rede foram criadas para fornecer aos administradores a visibilidade necessária para assegurar o bom funcionamento do sistema. Embora haja diversas ferramentas disponíveis, duas se destacam: as ferramentas de monitoramento de largura de banda e as de análise de fluxo.
Monitoramento de Largura de Banda
O monitor de largura de banda representa a forma mais básica de ferramenta de acompanhamento do tráfego de rede. Este sistema consulta os dispositivos da rede em intervalos regulares, normalmente a cada cinco minutos, para ler os contadores de bytes das interfaces. Estas informações são usadas para calcular a utilização média da largura de banda e representar a sua variação num gráfico. Estas ferramentas geralmente utilizam o Simple Network Management Protocol (SNMP) para se conectar aos dispositivos e ler os seus contadores, sem requerer a instalação de software adicional nos mesmos. O resultado é uma visão quantitativa do tráfego de rede. A ferramenta indica o volume de tráfego num local específico, mas não oferece detalhes sobre a natureza desse tráfego.
Análise de Fluxo
Para obter uma visão mais detalhada do que se passa na rede, a análise de fluxo é essencial. Esta metodologia depende dos próprios dispositivos de rede para enviarem informações detalhadas sobre o tráfego para coletores e/ou analisadores de fluxo. Estes últimos interpretam os dados e apresentam-nos de maneira compreensível. Embora existam diversos protocolos para a análise de fluxo, a maioria, incluindo o IPFIX, é baseada na tecnologia NetFlow da Cisco. Criada pela Cisco Systems, o NetFlow é agora amplamente utilizado em equipamentos de rede de vários fabricantes.
IPFIX: O Protocolo Detalhado para Análise de Tráfego
IPFIX, sigla para IP Flow Information eXport, é, essencialmente, a versão padronizada pela IETF do NetFlow mais recente. Originalmente desenvolvido pela Cisco Systems, foi introduzido nos seus roteadores para coletar dados do tráfego de rede IP à medida que este entra ou sai de uma interface. Os dados coletados são processados por sistemas de análise de fluxo e utilizados por administradores de rede para determinar a origem e o destino do tráfego, a classe de serviço e as causas de congestionamento.
Uma configuração típica de monitoramento de fluxo é composta por três componentes principais:
O exportador de fluxo, integrado em dispositivos compatíveis, agrega pacotes em fluxos e envia registros de fluxo para um ou mais coletores de fluxo. O coletor de fluxo é responsável por receber, armazenar e pré-processar os dados de fluxo provenientes de um ou mais exportadores. Finalmente, o analisador de fluxo analisa os dados coletados, podendo ser utilizado para perfis de tráfego ou resolução de problemas de rede. Muitas vezes, as funções do coletor e do analisador são combinadas num único sistema.
Como Funciona o IPFIX
Roteadores, switches e outros dispositivos que suportam IPFIX ou protocolos de análise de fluxo são configurados para gerar dados sob a forma de registros de fluxo e enviá-los para um coletor. Um fluxo representa uma conversa completa em termos de IP, desde o estabelecimento inicial da sessão até ao seu término. Os registros de fluxo são geralmente enviados para o coletor quando os dispositivos determinam que um fluxo foi concluído por inatividade, ou seja, a ausência de tráfego por um período determinado, ou quando identificam o término de uma sessão TCP.
Um registro de fluxo contém informações relevantes sobre o fluxo, incluindo as interfaces de entrada e saída, as marcas de tempo de início e fim do fluxo, a quantidade de bytes e pacotes, os cabeçalhos da camada 3, os endereços IP de origem e destino, os números de porta, o protocolo IP e o valor TOS. É crucial destacar que os registros de fluxo não contêm os dados reais do fluxo, apenas informações sobre ele, uma importante característica de segurança do protocolo.
Os analisadores de fluxo utilizam os dados contidos nos registros de fluxo para apresentar informações sobre o tráfego de rede de maneira útil aos administradores. Coletores e analisadores IPFIX podem exibir os dados de formas distintas, incluindo os principais locutores e ouvintes, os principais protocolos ou aplicações e os principais utilizadores. Este último recurso, disponível em ferramentas avançadas, permite a conexão com servidores AD ou LDAP para determinar qual utilizador está associado a cada endereço IP.
Análise dos Melhores Coletores e Analisadores IPFIX
Existem inúmeras opções ao procurar uma ferramenta de coleta e análise IPFIX. Exploramos o mercado e identificamos as melhores opções, incluindo soluções comerciais e ofertas gratuitas e de código aberto. Como você verá, não é necessário um grande investimento para começar a monitorizar o fluxo de sua rede.
1. SolarWinds NetFlow Traffic Analyzer (AVALIAÇÃO GRATUITA)
A SolarWinds é uma marca renomada no setor de ferramentas para administração de redes e sistemas. Seu produto principal, o Network Performance Monitor, é considerado por muitos como a melhor solução para monitoramento de largura de banda de rede. De modo similar, o SolarWinds NetFlow Traffic Analyzer, que se instala sobre o Network Performance Monitor, é considerado um dos melhores coletores e analisadores IPFIX disponíveis.
Entre os recursos de destaque do SolarWinds NetFlow Traffic Analyzer, incluem-se:
- Monitoramento do uso de largura de banda por aplicação, protocolo e grupo de endereços IP.
- Monitoramento de dados de fluxo IPFIX, Cisco NetFlow, Juniper J-Flow, sFlow e Huawei NetStream, permitindo identificar os maiores consumidores de largura de banda (dispositivos, aplicações e protocolos).
- Coleta, correlação e apresentação de dados de tráfego através de uma interface web.
- Identificação de aplicações e categorias que consomem mais largura de banda, incluindo suporte Cisco NBAR2.
O SolarWinds NetFlow Traffic Analyzer é um complemento do monitor de largura de banda de rede. É possível adquirir os dois produtos em conjunto através do SolarWinds Network Bandwidth Analyzer Pack. O preço inicial é de 4.910 USD para monitorizar até 100 elementos, variando de acordo com o número de dispositivos monitorizados. Apesar de ser um custo considerável, é importante lembrar que está a adquirir duas das melhores ferramentas de monitoramento disponíveis no mercado. Para quem deseja experimentar o produto antes de comprar, a SolarWinds oferece um período de avaliação gratuita de 30 dias.
2. SolarWinds Real-Time AppFlow Analyzer (DOWNLOAD GRATUITO)
Para além de ferramentas de administração de rede de alta qualidade, a SolarWinds também é conhecida pelas suas ferramentas gratuitas. Estes produtos atendem a necessidades específicas dos administradores de rede. O Real-Time AppFlow Analyzer, por exemplo, é uma ferramenta gratuita que pode ser ideal para quem necessita de uma solução de menor escala. Embora não tenha a mesma riqueza de recursos do NetFlow Traffic Analyzer, oferece as mesmas funcionalidades básicas.
Esta ferramenta é capaz de captar e analisar dados IPFIX, NetFlow, JFlow e sFlow em tempo real, exibindo os tipos de tráfego na rede, suas origens e destinos. Pode também ser usada para diagnosticar picos de tráfego e solucionar problemas de largura de banda.
Os principais recursos deste produto incluem:
- Identificação de utilizadores, dispositivos e aplicações que consomem mais largura de banda.
- Isolamento do tráfego de rede por conversação, aplicação, domínio, endpoint e protocolo.
- Visualização do tráfego de rede por tipo e períodos de tempo.
Esta ferramenta gratuita é mais limitada do que a sua versão paga, mas pode ser suficiente para avaliar se a análise de fluxo é a solução mais adequada. O foco principal da ferramenta é o estado atual e recente da rede. Coleta dados de apenas um exportador de fluxo e mantém e analisa apenas os últimos 60 minutos de dados.
A instalação do SolarWinds Real-Time AppFlow Analyzer é simples e rápida, graças ao seu assistente de configuração. Inclui também um módulo NetFlow Configurator para auxiliar na configuração de dispositivos que suportam várias variantes de NetFlow, incluindo IPFIX.
Se a sua infraestrutura de rede suportar IPFIX e necessitar de uma visão rápida do uso da largura de banda, o SolarWinds Real-Time AppFlow Analyzer pode ser a escolha certa.
3. PRTG Network Monitor
O PRTG Network Monitor, da Paessler AG, é uma solução abrangente com foco principal no monitoramento da utilização da largura de banda. Também é utilizado para monitorar a disponibilidade e a saúde de diversos recursos de rede. O PRTG consegue monitorar vários locais e serviços LAN, WAN, VPN e Cloud. A força do PRTG está nos seus sensores, que podem ser considerados como complementos, já incluídos no produto. Um destes complementos é o sensor IPFIX que recebe dados de tráfego de um dispositivo compatível com IPFIX e os apresenta por tipo, com várias opções de filtro para dividir o tráfego em diferentes canais.
A instalação do PRTG é rápida e fácil. A Paessler garante que pode começar a monitorizar a sua rede em poucos minutos, em parte graças ao processo de descoberta automática, que identifica dispositivos e configura sensores.
O PRTG é executado apenas no Windows, mas a sua interface de utilizador é baseada na web, sendo acessível a partir de qualquer navegador. Existe também uma aplicação móvel para smartphones. Esta aplicação oferece funcionalidades exclusivas, como a leitura de códigos QR, que permitem visualizar rapidamente os dados do sensor de um dispositivo através da leitura do código correspondente.
O PRTG tem duas versões disponíveis: uma gratuita, limitada a 100 sensores e uma versão paga. É importante notar que um sensor, no PRTG, é a unidade mais básica que pode ser monitorada, como por exemplo, cada porta de um switch de 48 portas. Para IPFIX, é necessário alocar um sensor por fonte de fluxo.
Se necessitar de mais de 100 sensores, será necessário adquirir uma licença. Os preços variam com o número de sensores e começam em 1.600 USD para 500 sensores. A versão gratuita permite a utilização de sensores ilimitados durante os primeiros 30 dias, para que possa experimentar o produto na sua totalidade.
4. Scrutinizer
O Scrutinizer, da Plixer, é um analisador IPFIX de alto nível que se destaca pela sua capacidade de funcionar como um sistema completo de resposta a incidentes. Suporta diferentes tipos de fluxo, como IPFIX, NetFlow, J-flow e NetStream. Possui um design hierárquico que otimiza a coleta de dados, permitindo que os utilizadores comecem de forma simples e escalem até milhões de fluxos por segundo. Apesar de a rede ser frequentemente considerada a culpada quando algo corre mal, esta ferramenta ajuda a encontrar rapidamente a causa real da maioria dos problemas de rede. O Scrutinizer funciona em ambientes físicos e virtuais e possui recursos avançados de relatórios e alertas.
O Scrutinizer oferece quatro níveis de licença, desde a versão gratuita até ao nível SCR completo, que consegue escalonar para mais de 10 milhões de fluxos por segundo. A versão gratuita é limitada a 10 mil fluxos por segundo e mantém os dados brutos por 5 horas, o suficiente para solucionar problemas de rede. Os preços das versões pagas são fornecidos pela Plixer mediante solicitação de orçamento formal. É possível experimentar qualquer nível de licença por 30 dias, após os quais o sistema volta para a versão gratuita.
5. ManageEngine NetFlow Analyzer
O ManageEngine NetFlow Analyzer oferece uma visão detalhada da utilização da largura de banda da rede e dos padrões de tráfego. A ferramenta, controlada por uma interface web, oferece várias visualizações diferentes da rede. É possível, por exemplo, visualizar o tráfego por aplicação, por conversação, por protocolo, entre outras opções. Também é possível configurar alertas para avisar sobre possíveis problemas, como limites de tráfego que foram ultrapassados.
A ferramenta se destaca pelos seus relatórios e painel. Inclui relatórios predefinidos que podem ser personalizados para tarefas específicas, como solução de problemas, planeamento de capacidade ou faturamento. O painel de controle inclui vários gráficos com informações como principais aplicações, protocolos ou conversas, além de um mapa de calor que exibe o status das interfaces monitoradas. O painel pode ser personalizado para incluir as informações mais úteis para cada administrador. Os alertas também são exibidos no painel através de pop-ups. Existe ainda uma aplicação para smartphone que permite aceder ao painel e aos relatórios.
O ManageEngine NetFlow Analyzer suporta diversas tecnologias de fluxo, incluindo NetFlow, IPFIX, J-flow, NetStream, e tem uma excelente integração com dispositivos Cisco. Esta ferramenta permite ajustar as configurações de modelagem de tráfego e políticas de QoS diretamente no painel.
O ManageEngine NetFlow Analyzer tem duas versões. A versão gratuita é idêntica à versão paga durante os primeiros 30 dias. Após esse período, o monitoramento fica restrito a duas interfaces de fluxos. Para mais capacidade, é necessário adquirir a versão paga. As licenças estão disponíveis em diferentes tamanhos, variando de 100 a 2.500 interfaces ou fluxos, com preços a partir de 600 USD mais taxas de manutenção anual.
6. nProbe e ntopng
nProbe e ntopng são ferramentas de código aberto mais avançadas e complexas. O Ntopng é uma ferramenta de análise de tráfego baseada na web para monitorar redes através de dados de fluxo, enquanto o nProbe é um exportador e coletor de IPFIX e NetFlow. Juntos, formam um pacote de análise de rede versátil. Se está familiarizado com a administração do Linux, já deve ter ouvido falar do ntop. O ntopng é a versão GUI de “próxima geração” desta ferramenta.
Tal como a maioria das ferramentas modernas de análise de rede, o ntopng possui uma interface web que apresenta dados por diversos critérios, como principais locutores, fluxos, hosts, dispositivos e interfaces. A ferramenta oferece gráficos, tabelas e diagramas com opções de detalhamento para análise mais aprofundada. A interface é flexível e permite personalização.
Existe uma versão comunitária gratuita do ntopng, bem como versões profissionais e corporativas pagas, com preços de 149,95 e 499,95 euros, respectivamente. Licenças gratuitas estão disponíveis para organizações educacionais e sem fins lucrativos. O nProbe pode ser experimentado gratuitamente, mas está limitado a um total de 25.000 fluxos exportados. Para exceder esse limite, é preciso adquirir uma licença que está disponível nas versões padrão e pro por 149,95 e 299,95 euros, respetivamente.