Volvemos con un nuevo post desde el área de sistemas e infraestructuras de Irontec. En esta ocasión, realizaremos un breve análisis sobre las posibilidades que ofrece ElasticFlow, una herramienta orientada al almacenamiento, visualización y análisis de flujos de tráfico de red o «netflows» que hace uso del Elastick Stack, tan de moda ahora. Antes de continuar profundizando en las posibilidades que ofrece, quizá convenga parar un momento para entender mejor en qué consiste todo esto. Vayamos por partes.
¿Qué es Elastic Stack?
Elastick Stack es un grupo de productos open source de Elastic. Están diseñados para ayudar a extraer datos de cualquier tipo de fuente y de cualquier formato, para posteriormente poder buscar, analizar y visualizar el tráfico en tiempo real. El grupo de productos era conocido inicialmente como ELK Stack, haciendo referencia a las iniciales de los suproductos que lo componían: Elasticsearch, Logstash y Kibana. Cuando se añadió al paquete un cuarto producto llamado Beats, el acrónimo inicial dejó de funcionar, dando lugar al nuevo nombre: Elastic Stack. Elastic Stack puede desplegarse de forma local o habilitarse como Saas.
¿Qué funcionalidades nos ofrece ElasticFlow?
El ElastickFlow nos permite, entre otras cosas, evaluar de forma sencilla los siguientes puntos:
- Obtener un listado de los principales interlocutores en una infraestructura de red compleja. (Top Talkers)
- Analizar si dichos «talkers» tienen buena o mala reputación y en base a ello clasificar el tipo de riesgo que se puede estar generando.
- Visualización de flujos de red (son esas capturas tan molonas que veremos a continuación).
- Geolocalización de las comunicaciones extremo a extremo (con quién se habla, cuánto, etc.)
- Generación de keywords en base al análisis del trafico recibido. Permite detectar ataques de fuerza bruta, ddos, sip invite flooding, dns floods, etc.
Y todo esto con la ventaja de poder analizar el ultimo mes o los últimos 15 minutos si se trata de un evento grave que requiere acciones inmediatas.
ElasticFlow es una herramienta muy interesante porque nos permite anticiparnos y responder rápidamente, y con gran precisión, a eventos de seguridad o de calidad de servicio que de otra forma costaría bastante más tiempo detectar.
A modo de ejemplo y como curiosidad de lo que ElasticFlow nos permite, os dejamos algunas capturas de la interfaz:
En la siguiente imagen, observamos como un proveedor de servicios (turco) está «abusando» de consultas DNS contra algunas IPs de nuestra infraestructura cloud.
A continuación, mostramos la nube de keywords con el tipo de tráfico detectado dentro de un periodo de tiempo determinado:
Por último, observamos el uso de HTTP3 por parte de Google en sus comunicaciones con equipos cliente (navegadores, dispositivos móviles, etc.)
Por ahora nos quedamos con esta pequeña introducción y os invitamos a seguir investigando y profundizando por vuestra cuenta sobre esta fantástica herramienta. Si necesitas más detalles, puedes dejarnos un comentario y trataremos de responderte lo antes posible. Además, si te interesa, puedes visitar la web del proyecto aquí: https://github.com/robcowart/elastiflow
¡Hasta la próxima!
Queremos tu opinión :)