![](\"https:\/\/galeria.arielantigua.com\/var\/albums\/Posts\/trafficovertime.jpg\")
<\/p>\n<\/p>\n
Adem\u00e1s de usar LibreNMS <\/a>en aaNetworks<\/a>, desde hace tiempo ten\u00eda la idea de usar NetFlow [https:\/\/en.wikipedia.org\/wiki\/NetFlow<\/a>], esta configuraci\u00f3n est\u00e1 al borde de OverKill en un home network, pero qu\u00e9 m\u00e1s da!<\/p>\n \u00a0Flow Exporter<\/strong>: por el momento cuento con cinco equipos que cumplen con esta tarea, lo exportadores o probe como son mejor conocidos son los encargados de agregar los paquetes en flows y exportarlos al equipo central el cual se usara para hacer visualizaci\u00f3n de la informaci\u00f3n exportada.<\/p>\n Equipos cumpliendo esta tarea son:<\/p>\n zapp<\/strong> \u2013 Mikrotik RB493AH<\/em>: RouterOS tiene la funcionalidad de capturar paquetes y enviarlos como flow ya sean v5, v9 o IPFIX, en mi caso est\u00e1 configurado para v9.<\/p>\n <\/p>\n elzar<\/strong> \u2013 Ubuntu 17.04.<\/p>\n vul<\/strong> \u2013 Debian Jessie.<\/p>\n leela<\/strong> \u2013 Debian Stretch.<\/p>\n fry<\/strong> \u2013 Debian Stretch.<\/p>\n En el caso de Debian, existen varias opciones para tener la funcionalidad de PROBE, algunas son directamente en el kernel otras son aplicaciones que usan libcap, en mi caso me decid\u00ed por una aplicaci\u00f3n llamada pmacct <\/a>(ni idea como se pronuncia) la cual cuenta con un PROBE y muchas otras funcionalidades que en una entrada futura hablare de ellas.<\/p>\n Flow Collector<\/strong>: esta es la plataforma\/aplicaci\u00f3n responsable de recibir los flows que fueron generados en los PROBE, esta es la parte dif\u00edcil, muchas de estas plataformas\/aplicaciones son de pago. La raz\u00f3n, sencilla, los PROBE ya vienen en los routers asi que solo faltar\u00eda el Collector y dependiendo de la calidad del software que se use para colectar se ver\u00e1n los beneficios de tener NetFlow.<\/p>\n En mi caso he implementado una aplicaci\u00f3n no tan conocida, tope con ella en un sub-reddit. flowAnalyzer <\/a>es una combinaci\u00f3n de varias aplicaciones las cuales forman el Colector y la aplicaci\u00f3n de An\u00e1lisis. Esta plataforma est\u00e1 basada en ELK, esta es la ventaja, luego que tenemos informaci\u00f3n generada en los probe importadas en un index de Kibana, podemos generar cualquier tipo de gr\u00e1ficos con informaci\u00f3n importada en el index.<\/p>\n En el caso de flowAnalyzer<\/a>, los colectores son el producto del creador de la plataforma, estos colectores fueron desarrollados espec\u00edficamente para esta tarea usando Python como lenguaje.<\/p>\n En esta tabla se pueden apreciar las versiones de flow soportadas y sus respectivos puertos.<\/p>\n <\/p>\n Discover<\/strong>: esta es una secci\u00f3n t\u00edpica de Kibana, aqu\u00ed podemos ver casi en real-time todo lo que fue indexado y procesado por ElasticSearch y Kibana. Partiendo de este punto crearemos visualizaciones para luego crear dashboards.<\/p>\n![](\"https:\/\/galeria.arielantigua.com\/var\/albums\/Posts\/servicetable.jpg?m=1499450995\")
<\/a><\/p>\n
![](\"https:\/\/galeria.arielantigua.com\/var\/albums\/Posts\/discover01.jpg?m=1499450814\")
<\/a><\/p>\n![](\"https:\/\/galeria.arielantigua.com\/var\/albums\/Posts\/vulwebconn.jpg?m=1499450815\")
<\/a><\/p>\n