Marco teórico

Desde la invención de Internet, el acceso a la información es cada vez más

frecuente y no solo a la información, también a diferentes servicios de streaming, ocupando
un alto de banda ancha en una red, por lo que la administración de ella conlleva varios
puntos importantes, uno de ellos es analizar el tráficode red, el tráfico de red se puede
definir como todos los paquetes que se envían y reciben en una red de computadoras, y a su
vez una red de computadoras es una interconexión entre dos o más dispositivos de red,
aclarando que los dispositivos de red van desde una computadora, hasta un enrutador y en
general todo aquel dispositivo que contenga una tarjeta de red.

La empresa Pandora FMS dice lo siguiente respecto al análisis de trafico de red:

“Es fácil entender que frente a, por ejemplo, un problema de rendimiento de una
aplicación, deseemos poder observar y evaluar el tráfico generado, y esto es justo lo que
permite el análisis de tráfico de red.” (Análisis de tráfico de red: del análisis paquete a
paquete al análisis de flujos, 2019)

Un análisis de tráfico de Internet es esencial para conocer la “salud de la red”, y en

base a los resultados tomar decisiones importantes para que la red se mantenga estable.

Dentro del tema de análisis de red, se pueden mencionar dos tipos, el análisis de
paquetes y el análisis del flujo.

El análisis de paquetes contempla evaluar y capturar cada paquete que esté

entrando o saliendo de una red, una de las técnicas más utilizada es el SPAN, la cual
consiste en enviar copias de tramas de cierto puerto a otro, la realización de esta técnica
mejora si se utiliza un IPS(Intrusion Prevention System) que protege la red de paquetes
maliciosos gracias a su sistema de detección. Dentro de SPAN se tiene puede optar por
utilizar el SPAN local o SPAN remoto (RSPAN), la diferencia más grande de estos dos está
en la localización, SPAN local hace la replicación de puertos dentro del mismo switch
mientras que RSPAN lo hace desde otro switch. (Analizador de puertos con switches de
Cisco, 2019)

EL análisis de flujo contempla el análisis de la metadata; no se analiza todo el

tráfico, solo se extrae lo que se quiere conocer, en este contexto todo el tráfico se procesa
para obtener lo más importante. Para simplificar este tipo de análisis se proponen dos
protocolos: NetFlow y sFlow. (Análisis de tráfico de red: del análisis paquete a paquete al
análisis de flujos, 2019)

NetFlow es un protocolo desarrollador por Cisco para el análisis de flujo de trafico

IP. En el siguiente esquema se presenta la arquitectura de NetFlow.

Figura 1. Arquitectura NetFlow

Exportador: Se encargan de almacenar en la memoria NetFlow caché toda la
metadata del trafico IP, el exportador puede ser un switch o router.

Colector: Recibe todo lo que tenga el exportador y después la prepocesa.

Analizador: Como su nombre lo indica, este hace un análisis de lo que tiene el

colector.

sFlow (Sampling Flow), es un protocolo parecido a NetFlow, sin embargo, este

tiene una característica única, sFlow trabaja con muestras del flujo de red. (Análisis de
tráfico de red: del análisis paquete a paquete al análisis de flujos, 2019)
 Al utilizar sFlow se define el radio de muestreo “n”; así pues, cada n paquetes el
exportador sFlow tomará una muestra de los paquetes considerando todos los niveles,
desde el 2 al 7, en el modelo OSI y todos los protocolos presentes, no solo IP. De las
muestras, sFlow se quedará con los bytes iniciales, agregará los contadores y pasará
toda esta información a los colectores sFlow. (Alexander la Rosa, 2019)
Se puede decir que NetFlow solo abarca las capas 3 y 4 del modelo OSI mientras
que sFlow trabaja desde la capa 2 a la 7, lo que indica que sFlow es un protocolo más
extenso, por el rango de capas que abarca, sin embargo, solo utiliza muestras para analizar,
por lo que, no analiza todo el tráfico.

A la vez, que se analiza una red con algún software también es necesario
comprender algunos conceptos de syslog y ancho de banda, ya que, sirve para interpretar la
información que arroga algún analizador.

“Syslog. Son señales originadas por los sistemas de comunicación que se envían a
un Central Server (CS) donde son almacenadas. El monitoreo de estas señales o mensajes
se basan en la recopilación de esta información en un mismo CS” ( El monitoreo de red
dentro de las organizaciones modernas, 2019).

Ancho de banda. Se denomina AB, al tamaño del tráfico de datos (TD) que transita
por un enlace de red, durante un período de tiempo, sea a través de un canal físico
(cableado) o por el aire (WIFI). Este tráfico se mide en bits por segundo y el
monitoreo del AB, permite conocer el estado del TD a través de las redes.
(El monitoreo de red dentro de las organizaciones modernas, 2019).