Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad

Transcripción

1 Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Descargue este capítulo Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Descargue el libro completo Guía de configuración del Cisco IOS NetFlow, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Encontrar la información de la característica Contenido Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports Restricciones de NetFlow Layer 2 and Security Monitoring Exports Información sobre NetFlow Layer 2 and Security Monitoring Exports NetFlow Layer 2 and Security Monitoring Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports Exportación de datos NBAR Ventajas de la integración del Netflow NBAR Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad Prerrequisitos Verificación de NetFlow Layer 2 and Security Monitoring Exports Restricciones Configurar el soporte NBAR para las exportaciones de NetFlow Prerrequisitos Restricciones Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo: Configurar el soporte NBAR para las exportaciones de NetFlow: Ejemplo: Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad Glosario Capa 2 de NetFlow y Exportaciones de Monitoreo de Seguridad Primera publicación: De junio el 19 de 2006 Última actualización: De junio el 11 de 2010 La capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad mejora su capacidad de detectar y de analizar las amenazas de la red tales como ataques de la negación de servicio (DOS) aumentando el número de campos de los cuales el Netflow pueda capturar los valores. NetFlow es una tecnología de Cisco IOS que proporciona estadísticas sobre los paquetes que atraviesan un router. NetFlow es el estándar para adquirir los datos de funcionamiento del IP de las redes IP. NetFlow proporciona monitoreo de red y seguridad, planificación de red, análisis de tráfico y contabilización IP. Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, utilizan la información de la característica para la capa 2 del Netflow y el monitoreo de la seguridad exporta la sección. Utilice Cisco Feature Navigator para buscar información sobre el soporte de plataformas y el soporte de imágenes del software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere.

2 Contenido Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports Restricciones de NetFlow Layer 2 and Security Monitoring Exports Información sobre NetFlow Layer 2 and Security Monitoring Exports Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports Referencias adicionales Información de la característica para la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad Glosario Prerrequisitos de NetFlow Layer 2 and Security Monitoring Exports Antes de que usted configure la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender la Contabilización de Netflow y cómo configurar a su router para capturar las estadísticas de contabilidad del tráfico IP usando el Netflow. Vea los módulos "Descripción General de NetFlow de Cisco IOS" y "Configuración de NetFlow y NetFlow Data Export" para obtener más detalles. En el sistema deben configurarse NetFlow y Cisco Express Forwarding (CEF), CEF distribuido (dcef) o fast switching. Restricciones de NetFlow Layer 2 and Security Monitoring Exports Si usted quiere exportar los datos capturados con el Netflow acoda 2 y característica del monitoreo de la seguridad, usted debe configurar el Netflow para utilizar el formato de la exportación de datos de la versión 9 del Netflow. Información sobre NetFlow Layer 2 and Security Monitoring Exports Para configurar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad, usted debe entender los conceptos siguientes: NetFlow Layer 2 and Security Monitoring Exportación de datos NBAR NetFlow Layer 2 and Security Monitoring Los campos de la capa 2 y de la capa 3 soportados por la capa 2 del Netflow y el aumento de la característica de las exportaciones del monitoreo de la seguridad la cantidad de información que se puede obtener por el Netflow sobre el tráfico en su red. Puede utilizar esta nueva información para aplicaciones tales como la ingeniería de tráfico y la facturación basada en uso. Los campos del encabezado IP de la capa 3 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue: Campo del Tiempo para vivir (TTL) Campo de la Longitud del paquete Campo ID Campos de código y tipo de ICMP Desplazamiento del fragmento Vea que la captura de la información de la capa 3 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la sección para más información sobre éstos los campos de la capa 3. La capa 2 coloca para qué capa 2 del Netflow y las exportaciones del monitoreo de la seguridad que la característica captura los valores sea como sigue: Campo de dirección MAC de origen de las tramas que son recibidas por el router Netflow Campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow Campo de ID de VLAN de las tramas que recibe el router de NetFlow Campo de ID de VLAN de las tramas que transmite el router de NetFlow Vea que la captura de la información de la capa 2 usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la sección para más información sobre éstos los campos de la capa 2. Los campos de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad mejora las capacidades del Netflow para identificar los ataques DOS. Los campos de la Capa 2 capturados por la función NetFlow Layer 2 and Security Monitoring Exports puede ayudar a identificar la trayectoria que el ataque DoS está tomando a través de la red. Los campos de la capa 2 y de la capa 3 capturados por el Netflow acodan 2 y la característica de las exportaciones del monitoreo de la seguridad no es campos claves. Proporcionan información adicional sobre el tráfico de un flujo existente. Los cambios en los valores de los campos llave de Netflow, como la dirección IP de origen desde un paquete al siguiente paquete, dan como resultado la creación de un nuevo flujo. Por ejemplo, si el primer paquete capturado por el Netflow tiene una dirección IP de origen de y el segundo paquete capturado tiene una dirección IP de origen de , después el Netflow creará dos flujos separados. Muchos ataques DOS consisten en un atacante que envía el mismo tipo de IP datagram una y otra vez en un intento por

3 abrumar los sistemas de destino. En estos casos el tráfico entrante tiene a menudo características similares, tales como los mismos valores en cada datagrama para uno o más de los campos que la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad pueden capturar. No existe una forma sencilla de identificar el remitente de muchos ataques DOS ya que la dirección IP de origen del dispositivo que envía el tráfico se suele falsificar. Sin embargo, usted puede rastrear fácilmente el tráfico a través de la red al router en quien está llegando capturando la dirección MAC y el VLAN-ID coloca usando la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica. Si el router en quien el tráfico es Netflow de llegada de los soportes, usted puede configurar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica en ella para identificar la interfaz donde está llegando el tráfico. El cuadro 1 muestra un ejemplo de un ataque en curso. Figura 1 Ataque DoS que Llega por Internet Notausted puede analizar los datos capturados por el Netflow directamente del router que usa show ip cache verbose flow el comando o el motor del colector NetFlow CNS. Una vez que se deduce que se está produciendo un ataque de negación de servicio (DoS) tras analizar los campos de la Capa 3 en los flujos de NetFlow, se pueden analizar los campos de la Capa 2 de los flujos para detectar la trayectoria que el ataque de negación de servicio (DoS) está siguiendo a través de la red. Un análisis de los datos capturados por la función NetFlow Layer 2 and Security Monitoring Exports para el escenario mostrado en la Figura 1 indica que el ataque DoS está llegando en el Router C porque la dirección MAC de flujo ascendente es desde la interfaz que conecta el Router C al Switch A. Es también evidente que no hay Routers entre el host de destino (el servidor del ) y el router del Netflow porque la dirección MAC del destino del tráfico DOS que el router del Netflow está remitiendo al servidor de correo electrónico es la dirección MAC del servidor del . Puede averiguar la dirección MAC que el Host C utiliza para enviar el tráfico al Router C configurando la función NetFlow Layer 2 and Security Monitoring Exports en el Router C. La dirección MAC de origen será del Host C. La dirección MAC de destino será para la interfaz en el router de NetFlow. Una vez que usted conoce la dirección MAC que el host c está utilizando y la interfaz en el C del router en las cuales el ataque DOS del host c está llegando, usted puede atenuar el ataque configurando de nuevo el C del router para bloquear el tráfico del host c. Si el host c está en una interfaz dedicada, usted inhabilita la interfaz. Si el host c está utilizando una interfaz que lleve el tráfico de otros usuarios, usted debe configurar su Firewall para bloquear el tráfico del host c pero todavía para permitir que el tráfico de los otros usuarios atraviese el C del router. Los ejemplos de configuración para el Netflow acodan 2 y el monitoreo de la seguridad exporta la sección tiene dos ejemplos para usar la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para identificar un ataque en curso y la trayectoria que el ataque está tomando a través de una red. Captura de Información de Capa 3 con NetFlow Layer 2 and Security Monitoring Exports La función NetFlow Layer 2 and Security Monitoring Exports tiene soporte para capturar cinco campos del tráfico IP de la Capa 3 en un flujo: Campo del Tiempo para vivir Campo de la Longitud del paquete Campo ID Tipo y código de ICMP Desplazamiento del fragmento El cuadro 2 muestra los campos en encabezado del paquete IP. Figura 2 Campos del Encabezado de Paquete IP

4 El cuadro 1 describe los campos del encabezado en el cuadro 2. Campo Versión IHL (Longitud de Encabezado de Internet) ToS Longitud Total Identificador (ID) Indicadores Desplazamiento del fragmento TTL (Tiempo de Funcionamiento) Protocolo Descripción Versión del protocolo IP. Si este campo se establece en 4, es un datagrama de IPv4. Si este campo se establece en 6, es un datagrama de IPv6. Observela encabezado del IPv6 tiene una diversa estructura de una encabezado del IPv4. La longitud del encabezado de Internet es la longitud de la encabezado de Internet en el formato de 32 bits de la palabra y señala así al principio de los datos. Observeel valor mínimo para una encabezado correcta es 5. El Tipo de servicio (ToS) proporciona una indicación de los parámetros abstractos de la calidad de servicio deseada. Estos parámetros se deben utilizar para guiar la selección de los parámetros de servicio reales cuando un dispositivo de networking transmite un datagrama a través de una red determinada. La longitud total es la longitud del datagrama, medida en octetos, incluidos el encabezado de Internet y los datos. El valor del campo ID lo ingresa el remitente. Todos los fragmentos de un datagrama IP tienen el mismo valor en el campo ID. Los datagramas IP subsiguientes del mismo remitente tendrán diferentes valores en el campo ID. Es muy común que un host reciba datagramas IP fragmentados desde varios remitentes simultáneamente. Es también común que un host esté recibiendo simultáneamente varios datagramas IP del mismo remitente. El host de destino utiliza el valor del campo ID para asegurarse de que los fragmentos de un datagrama IP se asignan al mismo buffer de paquetes durante el proceso de reensamblado del datagrama IP. El valor único del campo ID también se utiliza para evitar que el host receptor mezcle juntos los fragmentos de varios datagramas IP del mismo remitente durante el proceso de reensamblado del datagrama IP. Secuencia de 3 bits utilizada para definir y seguir los parámetros de la fragmentación del datagrama IP. 001 = El datagrama IP se puede fragmentar. Hay más fragmentos del datagrama IP actual en tránsito. 000 = El datagrama IP se puede fragmentar. Éste es el último fragmento del datagrama IP actual. 010 = El Datagrama IP no se puede fragmentar. Éste es el datagrama IP completo. Este campo indica a qué parte del datagrama pertenece este fragmento. Este campo indica el tiempo máximo que está permitido que el datagrama permanezca en el sistema de Internet. Si este campo contiene el valor 0, el datagrama debe destruirse. Este campo se modifica en el procesamiento de la cabecera de Internet. El tiempo se mide en unidades de segundo; sin embargo, dado que cada módulo que procesa un datagrama debe reducir el TTL al menos en 1 incluso si procesa el datagrama en menos de un segundo, el TTL se debe considerar solamente como un límite superior del tiempo que puede existir un datagrama. La intención es hacer los datagramas inentregables ser desechado y limitar el curso de la vida máximo del datagrama. Indica el tipo de paquete de transporte incluido en la parte de los datos del datagrama IP. Los valores comunes son: 1 = ICMP 6 = TCP 17 = UDP

5 Checksum de encabezado Dirección IP de origen Dirección IP de destino Opciones y Relleno Un checksum en el encabezado solamente. Puesto que algunos campos del encabezado, como el campo de tiempo de funcionamiento, cambian cada vez que se reenvía un datagrama IP, este valor se recalcula y se verifica en cada punto de procesamiento del encabezado de Internet. Dirección IP de la estación emisora. Dirección IP de la estación de destino. Las opciones y el relleno pueden o no pueden aparecer en los datagramas. Si aparecen, deben ser implementadas por todos los módulos de IP (host y gateways). El aspecto opcional es su transmisión en un datagrama determinado, no su implementación. El cuadro 3 muestra los campos en un datagrama ICMP. Figura 3 Datagrama ICMP El cuadro 2 interpreta el formato de paquetes en el cuadro 3. datagramas ICMP se lleva adentro la área de datos de un IP datagram, después del encabezado IP. Tipo Nombre Códigos 0 Respuesta de eco 0: Ninguno 1 No asignado 2 No asignado 3 Destino inalcanzable 0: red inalcanzable. 1: host inalcanzable. 4 Apagado de fuente 0: Ninguno. 5 Redireccionar 0: Ninguno. 2: protocolo inalcanzable. 3 Puerto inalcanzable. 4: Fragmentación necesaria y conjunto de bits DF. 5: ruta de origen fallida. 6: red de destino desconocida. 7: host de destino desconocido. 8: Host de origen aislado. 9: la comunicación con la red de destino está prohibida administrativamente. 10 La comunicación con el host de destino está prohibida administrativamente. 11: red de destino inalcanzable para el ToS. 12: Host de destino inalcanzable para el ToS. 0: Reorientar el datagrama para la red. 1 Redirección de datagramas para el host. 2 Reoriente el datagrama para la TOS y la red. 3 Reoriente el datagrama para la TOS y recíbalo. 6 Dirección de host alternativa 0: Dirección alternativa para el host. 7 No asignado 8 Eco 0: Ninguno. 9 Anuncio del router 0: Ninguno. 10 Selección de router 0: Ninguno.

6 11 Tiempo excedido 0: tiempo de vida excedido en el tránsito. 12 Problema de parámetro 0: el puntero indica el error. 1 - Falta una opción obligatoria. 2: longitud incorrecta. 13 Grupo fecha/hora 0: Ninguno. 14 Respuesta de indicación de fecha y hora 0: Ninguno. 15 Solicitud de información 0: Ninguno. 16 Respuesta de información 0: Ninguno. 17 Solicitud de máscara de dirección 0: Ninguno. 18 Respuesta de la máscara de dirección 0: Ninguno. 19 Reservado (para seguridad) Reservado (para experimento de fiabilidad) 30 Ruta de seguimiento 31 Error de conversión del datagrama 32 Redireccionamiento de host móvil 33 IPv6 where-are-you 34 IPv6 I-am-here 35 Solicitud de registro móvil 36 Respuesta de registro móvil Reservado Captura de Información de Capa 2 con NetFlow Layer 2 and Security Monitoring Exports La función NetFlow Layer 2 and Security Monitoring Exports tiene la capacidad de capturar los valores de los campos de dirección MAC y de ID de VLAN de los flujos. Los dos tipos soportados del VLA N son 802.1q y el protocolo del Cisco Inter- Switch Link (ISL). Esta sección explica los conceptos siguientes: Comprensión de los Campos de Dirección MAC de la Capa 2 Introducción a los campos ID de VLAN de Capa 2 Comprensión de los Campos de Dirección MAC de la Capa 2 Los nuevos campos de la capa 2 para los cuales la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad captura los valores son como sigue: Campo de dirección MAC de origen de las tramas que recibe el router de NetFlow El campo de dirección MAC de destino de las tramas que se transmiten por el router NetFlow El campo de ID de VLAN de las tramas que recibe el router de NetFlow El campo de ID de VLAN de las tramas que transmite el router de NetFlow El cuadro 4 muestra el tipo Ethernet II y los Ethernetes 802,3 formatos de trama. El campo dirección de destino y el campo de dirección de origen en los formatos de trama son los valores de direcciones MAC que son capturados por el Netflow. Figura 4 Formatos de Trama de Ethernet tipo II y 802.3

7 El cuadro 3 explica los campos para los formatos de la trama Ethernet. Campo Preámbulo SOF (comienzo de trama) Dirección de destino Dirección de origen Tipo o Longitud Datos o Encabezado y datos de FCS (Frame Check Sequence) Descripción La entrada del campo de preámbulo es un patrón alternativo de 1s y 0s que dice a las estaciones receptoras que llega una trama. También proporciona un medio para que las estaciones receptoras sincronicen sus relojes con el flujo de bits de entrada. El campo SOF contiene un patrón alterno de 1 y 0, terminando con dos bits 1 consecutivos que indican que el bit siguiente es el primer bit del primer byte de la dirección MAC de destino. La dirección de destino de 48 bits identifica qué estación de la LAN deben recibir la trama. Los primeros dos bits de la dirección del MAC de destino se reservan para funciones especiales: El primer bit del campo DA indica si la dirección es una dirección individual (0) o un grupo de direcciones (1). El segundo bit indica si el DA global está administrado globalmente (0) o localmente (1). Los 46 bits restantes son un valor asignado de forma exclusiva que identifica una sola estación, un grupo de estaciones definido o todas las estaciones de la red. La dirección de origen de 48 bits identifica qué estación transmitió la trama. La dirección de origen es siempre un direccionamiento individual, y el bit más a la izquierda en el campo SA es siempre 0. Tipo En una trama del tipo Ethernet II, esta parte de la trama se utiliza para el campo del tipo. El campo Type se utiliza para identificar el siguiente protocolo de capa de la trama. Longitud En una trama Ethernet 802,3, esta parte de la trama se utiliza para la extensión del campo. El campo Longitud se utiliza para indicar la longitud de la trama Ethernet. El valor puede ser a partir 46 a 1500 bytes. (Tipo Ethernet II) 46 a 1500 bytes de dato o (802.3/802.2) 8 bytes de encabezamiento y 38 a 1492 bytes de dato. Este campo contiene un valor CRC (verificación por redundancia cíclica) de 32 bits creado por la estación emisora y recalculado por la estación receptora para verificar si hay tramas dañadas. FCS se genera para los campos DA, SA, Type y Data de la trama. El FCS no incluye la porción de datos de la trama. Introducción a los campos ID de VLAN de Capa 2 NetFlow puede capturar el valor en el campo VLAN ID de las VLANs etiquetadas 802.1q y las VLANs encapsuladas ISL de Cisco. Esta sección describe los dos tipos de VLA N: Comprensión de VLANs 802.1q Comprensión de Cisco ISL VLANS Observeel ISL y 802.1q comúnmente se llaman los protocolos del encapsulado de VLAN. Comprensión de VLANs 802.1q Los dispositivos que utilizan 802.1q insertan una etiqueta de cuatro bytes en la trama original antes de transmitirla. El cuadro 5 muestra el formato de una trama Ethernet marcada con etiqueta 802.1q. Figura 5 Trama 802.1q con Etiqueta Ethernet de Tipo II o 802.3

8 El cuadro 4 describe los campos para los VLA N 802.1q. Campo DA, SA, tipo o longitud, datos y FCS TPID (Tag Protocol ID) Prioridad Descripción El cuadro 3 describe estos campos. En este campo de 16 bits se establece el valor 0x8100 para identificar la trama como una trama con etiqueta IEEE 802.1Q. Este campo de 3 bits, también denominado prioridad de usuario, hace referencia a la prioridad 802.1p. Indica el nivel de prioridad de trama usado para dar prioridad al tráfico y es capaz de representar 8 niveles (0-7). Información de Control de Etiqueta El campo de información de control de la etiqueta 2-byte consiste en dos subregistros: Formato canónico Indentifier (CFI) Si el valor de este campo 1-bit es 1, después la dirección MAC está en el formato no canónico. Si el valor de este campo es 0, la dirección MAC está en el formato canónico. ID de VLAN: este campo de 12 bits identifica de manera única la VLAN a la que pertenece la trama. Puede tener un valor a partir de la 0 a Comprensión de Cisco ISL VLANS El ISL es un protocolo de propiedad de Cisco para encapsular las tramas en un troncal VLAN. Los dispositivos que utilizan ISL añaden un encabezado ISL a la trama. Este proceso se conoce como encapsulación VLAN Q es la norma IEEE para etiquetar tramas en un troncal VLAN. El cuadro 6 muestra el formato de una trama Ethernet encapsulado por ISL de Cisco. Figura 6 Trama Ethernet con Etiquetado ISL de Cisco El cuadro 5 describe los campos para los VLA N 802.1q. Campo DA (dirección de destino) TIPO USUARIO Descripción Este campo de 40 bits es una dirección multicast y se fija en 0x C o 0x c El host receptor determina que la trama se encapsulad en ISL leyendo el campo DA de 40 bits y haciéndolo coincidir con una de las dos direcciones multicast ISL. Este campo de 4 bits indica el tipo de trama que se encapsula y podría utilizarse en el futuro para indicar encapsulaciones alternativas. Códigos TYPE: 0000 = Ethernet 0001 = Token Ring 0010 = FDDI 0011 = ATM Este campo de 4 bits se utiliza para ampliar el significado del campo de tipo de trama. El valor predeterminado del campo USUARIO es Para las tramas Ethernet, los bits 0 y 1 del campo USER indican la prioridad del paquete mientras

9 pasa a través del switch. Siempre que el tráfico se puede gestionar con más rapidez, los paquetes con este bit definido deben aprovechar la trayectoria más rápida. Sin embargo, tales trayectorias no se requieren. Códigos USER: XX00 = Prioridad normal XX01 = Prioridad 1 XX10 = Prioridad 2 XX11: máxima prioridad SA LARGO AAAA03(SNAP) HSA VLAN BPDU ÍNDICE RES Trama Encapsulada FCS Este campo de 48 bits es el campo de dirección de origen del paquete ISL. Debería configurarse en la dirección MAC del puerto de switch que transmite la trama. El dispositivo receptor puede ignorar el campo SA de la trama. Este campo de valor de 16 bits almacena el tamaño de paquete real del paquete original. El campo LEN representa la longitud en bytes del paquete, excluyendo los campos DA, TYPE, USER, SA, LEN y FCS. El largo total de los campos excluidos es de 18 bytes, entonces el campo LEN representa el largo total menos 18 bytes. El campo AAAA03 SNAP es un valor constante de 24 bits de 0xAAAA03. Este campo de 24 bits representa los tres bytes superiores (la parte del ID del fabricante) del campo SA. Debe incluir el valor 0x C. Este campo 15-bit es el LAN virtual ID del paquete. Este valor se utiliza para marcar las tramas en diversas VLANs. El bit en el campo BPDU se configura para todos los paquetes BPDU que la trama ISL encapsula. El algoritmo de spanning tree utiliza las BPDUs para obtener información sobre la topología de la red. Este bit también se define para las tramas CDP y VTP que se encapsulan. Este campo de 16 bits indica el índice de puerto del origen del paquete cuando sale del switch. Se usa solamente para diagnóstico y otros dispositivos pueden configurarlo en cualquier valor. Se ignora en los paquetes recibidos. Este campo de 16 bits se utiliza cuando los paquetes Token Ring o FDDI están encapsulados con una trama ISL. Este campo contiene la trama encapsulada de la Capa 2. El campo FCS se compone de 4 bytes. Incluye un valor CRC de 32 bits creado por la estación remitente y recalculado por la estación receptora para verificar si hay tramas dañadas. El FCS cubre los campos DA, SA, Length/Type y Data. Cuando se asocia un encabezado ISL a una trama de la Capa 2, se calcula un nuevo FCS sobre el paquete ISL completo y se añade al final de la trama. Observela adición del nuevo FCS no altera el FCS original que se contiene dentro de la trama encapsulada. Exportación de datos NBAR El Reconocimiento de aplicaciones basadas en la red (NBAR) es un motor de clasificación que reconoce y clasifica una amplia variedad de protocolos y de aplicaciones, incluyendo basado en web y otro difícil-a-clasifica las aplicaciones y los protocolos que utilizan las asignaciones de puertos dinámicas TCP/UDP. Cuando el NBAR reconoce y clasifica un protocolo o una aplicación, la red se puede configurar para aplicar la asignación de la aplicación apropiada con ese protocolo. Con el Cisco IOS Release 12.2(18)ZYA2 en el Catalyst 6500 Series Switch equipado de un acelerador inteligente de los servicios del supervisor 32/programmable (PISA), el flujo NBAR se puede exportar junto con los expedientes de la exportación de NetFlow. El NetFlow feature que reconoce la aplicación integra el NBAR con el Netflow para proporcionar la capacidad de exportar la Información de la aplicación recogida por el NBAR usando el Netflow. Los ID de la aplicación creados para el atributo de la versión 9 del Netflow exportan los nombres de la aplicación junto con los atributos estándars tales como dirección IP y información de puerto TCP/UDP. El colector NetFlow recoge estos flujos basados en la dirección IP de origen y el ID. El ID de origen refiere a la identificación única para los flujos exportados de un dispositivo determinado. Los datos NBAR exportados al colector NetFlow contienen la información de mapeo de la aplicación. Usando las opciones de la exportación de datos de NetFlow, la tabla que contiene los ID de la aplicación asociados a sus nombres de la aplicación se exporta al colector NetFlow. La tabla de correspondencia se envía usando ip flow-export template options nbar el comando. La información de mapeo se restaura cada 30 minutos por abandono. Usted puede configurar el intervalo de la restauración usando ip flow-export template options timeout-rate el comando.

10 La exportación de NetFlow utiliza varios mecanismos del envejecimiento para manejar el caché de NetFlow. Sin embargo, los intervalos de la exportación de datos NBAR no utilizan los parámetros del envejecimiento del Netflow. Ventajas de la integración del Netflow NBAR Administradores de la red de los permisos NBAR para seguir la variedad de protocolo y la cantidad de tráfico generada por cada protocolo. El NBAR también permite que ordenen el tráfico en las clases. Estas clases se pueden entonces utilizar para proporcionar diversos niveles de servicio para el tráfico de la red, de tal modo permitiendo una mejor Administración de redes proporcionando al nivel correcto de recursos de red para el tráfico de la red. Cómo Configurar NetFlow Layer 2 and Security Monitoring Exports Esta sección contiene los siguientes procedimientos: Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad Verificando el Netflow acode 2 y las exportaciones del monitoreo de la seguridad (opcionales) Configurar el soporte NBAR para las exportaciones de NetFlow Configuración de la Capa 2 de NetFlow y las Exportaciones de Monitoreo de Seguridad Prerrequisitos El CEF, el dcef, o la transferencia rápida para el IP se deben configurar en su sistema antes de que usted configure la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica. Verificar la capa 2 del Netflow y la tarea opcionales de las exportaciones del monitoreo de la seguridad utiliza show ip cache verbose flow el comando de visualizar los valores de los campos que usted ha configurado la capa 2 del Netflow y el monitoreo de la seguridad exporta la característica para capturar. Para que usted vea los valores de los campos que usted configuró la capa 2 del Netflow y la característica de las exportaciones del monitoreo de la seguridad para capturar, su router debe remitir el tráfico IP que cumple los criterios para estos campos. Por ejemplo, si usted configura ip flow-capture ipid el comando, su router debe remitir los datagramas IP para capturar los valores IP ID de los datagramas IP en el flujo. Si usted quiere capturar los valores del campo de desplazamiento del fragmento IP de la capa 3 de las encabezados IP en su tráfico IP usando ip flow-capture fragment-offset el comando, su router debe ser el Cisco IOS corriente 12.4(2)T o versión posterior. PASOS SUMARIOS 1. enable 2. configure terminal 3. ip flow-capture fragment-offset 4. ip flow-capture icmp 5. ip flow-capture ip-id 6. ip flow-capture mac-addresses 7. ip flow-capture packet-length 8. ip flow-capture ttl 9. ip flow-capture vlan-id 10. interface type [número /port del slot] 11 ip flow ingress y/o ip flow egress 12. exit PASOS DETALLADOS Paso 1 Comando o acción enable Router> enable Propósito Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Paso 2 Paso 3 configure terminal Router# configure terminal ip flow-capture fragment-offset Router(config)# ip flow-capture fragmentoffset Ingresa en el modo de configuración global. (Opcional) habilita la captura del valor del campo de desplazamiento del fragmento IP del primer IP datagram hecho fragmentos en un flujo.

11 Paso 4 Paso 5 Paso 6 Paso 7 Paso 8 Paso 9 ip flow-capture icmp Router(config)# ip flow-capture icmp ip flow-capture ip-id Router(config)# ip flow-capture ip-id ip flow-capture macaddresses Router(config)# ip flow-capture macaddresses ip flow-capture packet-length Router(config)# ip flow-capture packetlength ip flow-capture ttl Router(config)# ip flow-capture ttl ip flow-capture vlanid Router(config)# ip flow-capture vlan-id Paso 10 interface type [number slot/port] Router(config)# interface ethernet 0/0 Paso 11 ip flow ingress y/o ip flow egress Router(config-if)# ip flow ingress and/or (Opcional) le permite para capturar el valor de los campos del tipo y del código ICMP de los datagramas ICMP en un flujo. (Opcional) le permite para capturar el valor del campo IP-ID del primer IP datagram en un flujo. (Opcional) le permite para capturar los valores de los MAC Address de origen y destino del tráfico en un flujo. (Opcional) le permite para capturar el mínimo y los valores máximos de la Longitud del paquete colocan de los datagramas IP en un flujo. (Opcional) le permite para capturar el mínimo y los valores máximos del Tiempo para vivir (TTL) colocan de los datagramas IP en un flujo. (Opcional) le permite para capturar el 802.1q o el campo ISL VLAN-ID de las tramas encapsuladas del VLA N en un flujo que se reciben o se transmiten en los puertos troncales. Ingresa en el modo de configuración de la interfaz del tipo de interfaz especificado en el comando. Habilita la entrada de recolección de datos de NetFlow en la interfaz. y/o Habilita la salida de recolección de datos de NetFlow en la interfaz. Paso 12 exit Router(config-if)# ip flow egress Router(config)# exit Sale del modo de configuración global. Verificación de NetFlow Layer 2 and Security Monitoring Exports Realice esta tarea de verificar la configuración de la capa 2 del Netflow y de las exportaciones del monitoreo de la seguridad. Restricciones Verificar la capa 2 del Netflow y las exportaciones del monitoreo de la seguridad utiliza show ip cache verbose flow el comando. Las restricciones siguientes se aplican a usar show ip cache verbose flow el comando. Visualizar la Información Detallada de Caché de NetFlow en Plataformas que Ejecutan Cisco Express Forwarding Distribuido En plataformas que ejecutan dcef, la información de memoria caché de NetFlow se mantiene en cada tarjeta de línea o procesador de interfaz versátil. Si usted quiere utilizar show ip cache verbose flow el comando de visualizar esta información sobre una plataforma distribuida, usted debe ingresar el comando en un prompt del linecard. Cisco 7500 Series Platform Para mostrar información detallada de la memoria caché de NetFlow mediante el comando en un Cisco 7500 Series Router que

12 ejecute dcef distribuido, ingrese la siguiente secuencia de comandos: Router# if-con slot-number LC-slot-number# show ip cache verbose flow Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow: Router# execute-on slot-number show ip cache verbose flow Cisco Series Platform Para visualizar información detallada de la memoria caché de NetFlow en un router de Internet Cisco Series, ingrese la secuencia de comandos siguiente: Router# attach slot-number LC-slot-number# show ip cache verbose flow Para Cisco IOS versiones 12.3(4)T, 12.3(6), 12.2(20)S y posteriores, ingrese el siguiente comando para ver información detallada sobre la memoria caché de NetFlow: Router- ejecutar-enslot-number el flujo prolijo del caché del IP de la demostración. PASOS SUMARIOS 1. show ip cache verbose flow PASOS DETALLADOS Paso 1 show ip cache verbose flow El producto siguiente muestra que el trabajo de la capa 2 del Netflow y del monitoreo de la seguridad exporta la característica capturando los valores de los campos de la capa 2 y de la capa 3 en los flujos. Router# show ip cache verbose flow IP packet size distribution (25229 total packets): IP Flow Switching Cache, bytes 6 active, 4090 inactive, 17 added 505 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, bytes 12 active, 1012 inactive, 39 added, 17 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added

13 last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-Telnet TCP-FTP TCP-FTPD TCP-SMTP UDP-other ICMP Total: SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts Port Msk AS Port Msk AS NextHop B/Pk Active Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0 Configurar el soporte NBAR para las exportaciones de NetFlow Realice esta tarea de exportar los datos NBAR al colector NetFlow. Prerrequisitos Usted debe habilitar la versión 9 del Netflow y el NBAR antes de que usted configure la exportación de datos NBAR. Usted debe agregar y configurar los campos siguientes NetFlow de Cisco al software del colector para identificar el flujo exportados por la característica de la exportación de datos NBAR: campo del app_id como número entero con NumericID de 95 campo del app_name como cadena de UTF-8 con NumericID de 96 campo del sub_app_id como número entero con NumericID de 97 campo del biflowdirection como número entero con NumericID de 239 Observe el campo del biflowdirection proporciona la información sobre el host que inicia la sesión. Los tamaños de este campo son un byte. El RFC 5103 proporciona los detalles para usar este campo. Restricciones El soporte NBAR se puede configurar solamente con el formato de la versión 9 del Netflow. Si usted intenta configurar la exportación de datos NBAR con otras versiones, el mensaje de error siguiente aparece: 1d00h: %FLOW : Export version 9 not enabled La exportación de datos NBAR no utiliza los parámetros del envejecimiento del Netflow. PASOS SUMARIOS 1. enable

14 2. configure terminal 3. ip flow-export version 4. ip flow-capture nbar 5. ip flow-export template options nbar 6. exit 7. show ip flow export nbar 8. clear ip flow stats nbar PASOS DETALLADOS Paso 1 enable Router> enable Habilita el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Paso 7 Paso 8 configure terminal Router# configure terminal ip flow-export version 9 Router(config)# ip flowcapture version 9 ip flow-capture nbar Router(config)# ip flowcapture nbar ip flow-export template options nbar Router(config)# ip flow-export template options nbar exit Router(config)# exit show ip flow export nbar Router # show ip flow export nbar clear ip flow stats nbar Router# clear ip flow stats nbar Ingresa en el modo de configuración global. Permite al formato de la versión 9 para exportar las entradas del caché de NetFlow. Le permite para capturar los datos NBAR en los expedientes de la exportación de NetFlow. Exporta la información de mapeo de la aplicación al colector de datos de NetFlow. Sale del modo de configuración global. Expedientes (opcionales) de la exportación de las visualizaciones NBAR. (Opcional) borra las estadísticas de la Contabilización de Netflow para el NBAR. Ejemplos de configuración para NetFlow Layer 2 and Security Monitoring Exports Esta sección proporciona los siguientes ejemplos de configuración: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de Ping ICMP Simulado: Ejemplo: Configuración y Uso de NetFlow Layer 2 and Security Monitoring Exports para Analizar un Ataque de FTP Simulado: Ejemplo: El siguiente ejemplo muestra cómo utilizar la función NetFlow Layer 2 and Security Monitoring Exports para descubrir si la red está siendo atacada por un host que envía tráfico FTP falso en un intento de desbordar el servidor FTP. Este ataque podría hacer que los usuarios finales vean una degradación en la capacidad del servidor FTP para aceptar nuevas conexiones o para dar servicio a las conexiones existentes. Este ejemplo utiliza la red mostrada en el cuadro 7. host A está enviando los paquetes FTP falsos al servidor FTP. Este ejemplo también muestra cómo utilizar los datos de la Capa 2 capturados la función NetFlow Layer 2 and Security Monitoring Exports para conocer dónde se está originando el tráfico y qué trayectoria está tomando la red. Figura 7 Prueba de Red

15 La extremidad no pierde de vista las direcciones MAC y los IP Addresses de los dispositivos en su red. Puedes utilizarlos para analizar los ataques y solucionar problemas. Observeeste ejemplo no incluye ip flow-capture icmp el comando, que captura el valor de los campos del tipo y del código ICMP. El uso ip flow-capture icmp del comando se describe en configurar y con el Netflow acode 2 y las exportaciones del monitoreo de la seguridad para analizar un ataque simulado del ping de ICMP: Ejemplo. R2 hostname R2 interface Ethernet0/0 mac-address aaaa.bbbb.cc02 ip address interface Ethernet1/0 mac-address aaaa.bbbb.cc03 no ip address interface Ethernet1/0.1 encapsulation dot1q 5 ip address router rip version 2 network no auto-summary R3 hostname R3

16 ip flow-capture fragment-offset ip flow-capture packet-length ip flow-capture ttl ip flow-capture vlan-id ip flow-capture ip-id ip flow-capture mac-addresses interface Ethernet0/0 mac-address aaaa.bbbb.cc04 no ip address interface Ethernet0/0.1 encapsulation dot1q 5 ip address ip accounting output-packets ip flow ingress interface Ethernet1/0 mac-address aaaa.bbbb.cc05 no ip address interface Ethernet1/0.1 encapsulation dot1q 6 ip address ip accounting output-packets ip flow egress router rip version 2 network no auto-summary R4 hostname R4 interface Ethernet0/0

17 mac-address aaaa.bbbb.cc07 ip address interface Ethernet1/0 mac-address aaaa.bbbb.cc06 no ip address interface Ethernet1/0.1 encapsulation dot1q 6 ip address router rip version 2 network no auto-summary show ip cache verbose flow El comando visualiza los flujos del Netflow que se han capturado del tráfico FTP que el host A está enviando. Los campos que tienen los valores capturados por ip flow-capture el comando están en el cuadro 9. Éstos son los campos y los valores que se utilizan para analizar el tráfico en este ejemplo. Los otros campos capturados por show ip cache verbose flow el comando se explican en el cuadro 6, el cuadro 7, y el cuadro 8. R3# show ip cache verbose flow IP packet size distribution (3596 total packets): La salida anterior muestra la distribución del porcentaje de los paquetes por tamaño. En esta visualización, el 99,5 por ciento de los paquetes baja en la gama de tallas 1024-byte, y la caída del 0,3 por ciento en el rango 64-byte. La siguiente sección de la salida se puede dividir en cuatro porciones. La sección y la tabla correspondientes a cada uno son las siguientes: Descripciones del campo en la sección del caché de NetFlow de la salida (cuadro 6) Descripciones del campo en la actividad por la sección de protocolo de la salida (cuadro 7) Descripciones del campo en la sección del expediente del Netflow de la salida (cuadro 8) Capa 2 del Netflow y campos de las exportaciones del monitoreo de la seguridad en la sección del expediente del Netflow de la salida (cuadro 9) IP Flow Switching Cache, bytes 5 active, 4091 inactive, 25 added

18 719 ager polls, 0 flow alloc failures Active flows timeout in 1 minutes Inactive flows timeout in 10 seconds IP Sub Flow Cache, bytes 10 active, 1014 inactive, 64 added, 25 added to flow 0 alloc failures, 0 force free 1 chunk, 1 chunk added last clearing of statistics never Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec) Flows /Sec /Flow /Pkt /Sec /Flow /Flow TCP-FTP Total: SrcIf SrcIPaddress DstIf DstIPaddress Pr TOS Flgs Pkts Port Msk AS Port Msk AS NextHop B/Pk Active Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0 Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0 Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0

19 Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0 Et0/ Et1/ / / MAC: (VLAN id) aaaa.bbbb.cc03 (005) aaaa.bbbb.cc06 (006) Min plen: 840 Max plen: 840 Min TTL: 59 Max TTL: 59 IP id: 0 R3# El cuadro 6 describe los campos significativos mostrados en la sección del caché de NetFlow de la salida. Campo bytes activo desactivado agregado Descripción Número de bytes de memoria usados por la memoria caché de NetFlow. Número de flujos activos en la memoria caché de NetFlow cuando se ingresó este comando. Número de buffers de flujo que se han asignado en la memoria caché de NetFlow pero que no se asignaron a un flujo específico cuando se ingresó este comando. Número de flujos creados desde el comienzo del periodo de resumen. sondeo de ager Cantidad de veces el código del Netflow causado las entradas a expirar (utilizado por los ingenieros de servicio técnico del cliente de Cisco (CSE) para los objetivos de hacer un diagnóstico). flow alloc failures Número de veces que el código de NetFlow ha intentado asignar un flujo pero no lo ha conseguido. última limpieza de estadísticas El período de tiempo transcurrido desde que el comando de EXEC privilegiado clear ip flow stats se ejecutó por última vez. Formato de salida de tiempo estándar con horas, minutos y segundos (hh: milímetro: ss) se utiliza para un período de tiempo inferior a 24 horas. Esta salida de tiempo cambia a horas y días después de que el tiempo se exceda 24 horas. El cuadro 7 describe los campos significativos mostrados en la actividad por la sección de protocolo de la salida. Campo Protocolo Flujos del total Flujos/Sec Descripción Protocolo IP y el número de puerto conocido. (Refiérase a Protocol Assignment Number Services, para conocer los últimos valores de RFC.) Se visualizala nota solamente un pequeño subconjunto de todos los protocolos. Número de flujos de este protocolo desde la última vez se despejaron las estadísticas. Número medio de flujos para este protocolo por segundo; igual al número total de flujos dividido entre el número de segundos de este período de resumen.

20 Paquetes/flujo Bytes/Pkt Paquetes/seg. Número medio de paquetes para los flujos de este protocolo; igual a los paquetes totales para este protocolo dividido entre el número de flujos para este protocolo durante este período de resumen. Número medio de bytes para los paquetes de este protocolo; igual a los bytes totales para este protocolo divididos entre el número total de paquetes para este protocolo durante este período de resumen. Número medio de paquetes para este protocolo por segundo; igual al número total de paquetes para este protocolo dividido entre el número de segundos de este período de resumen. Active(Sec)/flujo Número de segundos desde el primer paquete al último paquete en un flujo caducado dividido por el número de flujos totales de este protocolo en este período de resumen. Idle(Sec)/flujo El número de segundos observados del paquete más reciente de cada flujo nonexpired para este protocolo hasta el tiempo en el cual show ip cache verbose flow el comando fue ingresado dividió por el número total de flujos para este protocolo para este periodo de resumen. El cuadro 8 describe los campos significativos en la sección del expediente del Netflow de la salida. Campo SrcIf Port Msk AS Descripción Interfaz en la que se recibió el paquete. Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. Se establece siempre en 0 en los flujos MPLS. SrcIPaddress Ésta es la dirección IP de origen del tráfico en los cinco flujos. El tráfico está utilizando cinco diversos IP Source Address DstIf Interface from which the packet was transmitted. Observesi un asterisco (*) sigue inmediatamente el campo de DstIf, el flujo que es mostrado es un flujo de la salida. Port Msk AS Número del puerto de origen (mostrado en formato hexadecimal), máscara de la dirección IP y número del sistema autónomo. El valor de este campo se fija siempre a 0 en los flujos del Multiprotocol Label Switching (MPLS). DstIPaddress Es la dirección IP de destino del tráfico. La nota es la dirección IP del servidor FTP. NextHop Banda ToS B/Pk Flgs Pkts Activo La dirección del salto siguiente del Border Gateway Protocol (BGP). Se establece siempre en 0 en los flujos MPLS. Número de puerto "conocido" del protocolo IP, mostrado en formato hexadecimal. (Refiérase a Protocol Assignment Number Services, para conocer los últimos valores de RFC.) Tipo de servicio, mostrado en formato hexadecimal. Cantidad media de bytes observados de los paquetes vistos de este flujo. Indicadores TCP, mostrados en formato hexadecimal. Este valor es el resultado de la aplicación de la operación lógica bitwise OR a los indicadores TCP de todos los paquetes del flujo. Número de paquetes de este flujo. Tiempo que el flujo ha estado activo.