NetFlow
¿Qué es NetFlow?
NetFlowProtocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
NetFlow describe una conversacion unidireccional o bidireccional mediante la quintupla (IP y puerto origen/destino, protocolo) y anade conteos de bytes y paquetes, marcas de tiempo, indices de interfaz y campos opcionales. El router o switch exporta registros de flujo a un colector para su almacenamiento y analisis. NetFlow se usa ampliamente porque escala a enlaces multigigabit y aporta visibilidad a largo plazo sin el coste del PCAP completo. Variantes: Cisco NetFlow v5 y v9, sFlow (basado en muestreo, de InMon) e IPFIX (IETF RFC 7011, neutro de fabricante). Defensa: line baselines, deteccion de beaconing, triage de DDoS, deteccion de exfiltracion y reconstruccion de cronologias.
● Ejemplos
- 01
Detectar trafico C2 de beacon en una estacion que envia flujos pequenos y regulares a una IP externa cada cinco minutos.
- 02
Cuantificar bytes salientes hacia una IP de almacenamiento cloud durante una ventana de posible exfiltracion.
● Preguntas frecuentes
¿Qué es NetFlow?
Protocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa NetFlow?
Protocolo de registros de flujo originado en Cisco, junto a sus sucesores sFlow e IPFIX, que exporta metadatos resumidos de cada conversacion que cruza un dispositivo de red.
¿Cómo defenderse de NetFlow?
Las defensas contra NetFlow combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para NetFlow?
Nombres alternativos comunes: IPFIX, sFlow, Registros de flujo.