Ir al contenido
Avanet

Configurar el monitoreo sFlow en Sophos Firewall

Sophos Firewall

Con el monitoreo sFlow, un Sophos Firewall puede enviar muestras de tráfico a un colector externo. Esto permite ver picos de volumen, flujos notables, destinos inusuales o distribución de carga a través de interfaces mejor que solo con registros en vivo individuales. Sophos añadió sFlow como una función de monitoreo con Sophos Firewall v22.

La función es especialmente interesante para la resolución de problemas, la planificación de capacidad y el monitoreo de seguridad. Sin embargo, sFlow no reemplaza al Log viewer ni a Packet Capture o un almacenamiento de registros adecuado a través de Central Firewall Reporting o Syslog. sFlow responde a otras preguntas: no “¿qué regla se aplicó exactamente?”, sino “¿qué flujos de tráfico pasan por esta interfaz y cómo se distribuyen?”. Para el estado del hardware, temperatura, ventiladores, fuentes de alimentación y PoE, es más adecuado el Monitoreo de hardware SNMP.

Cuándo es útil sFlow

sFlow es útil cuando hay un colector externo o un sistema de monitoreo y se desea visualizar patrones de tráfico a lo largo del tiempo.

Casos de uso típicos:

  • Detectar picos inesperados de ancho de banda en interfaces WAN, LAN o Core.
  • Clasificar mejor el tráfico entre VLANs o ubicaciones.
  • Apoyar la planificación de capacidad para el firewall, el enlace ascendente o el conmutador central.
  • Encontrar flujos sospechosos como punto de partida para un análisis adicional.
  • Comparar datos de monitoreo con registros del firewall, Central Reporting o datos de SIEM.

Si solo se debe verificar una conexión individual, sFlow a menudo no es la herramienta adecuada. Para pruebas de rendimiento específicas, es más adecuado iPerf. Para problemas de conexión concretos, el Log Viewer, Policy Test y Packet Capture suelen ser más rápidos.

Requisitos

Para sFlow se necesita:

  • Sophos Firewall con SFOS 22.0 o posterior.
  • Acceso administrativo a la Device Console.
  • Un colector sFlow accesible, como un NMS, SIEM o herramienta de análisis de flujos.
  • Una red segura entre el firewall y el colector.
  • Una decisión clara sobre qué interfaces de hardware se deben monitorear.

La configuración no se realiza en la interfaz WebAdmin normal, sino a través de la Device Console con system sflow. La Advanced Shell no es el lugar adecuado para esto. La distinción entre Device Console y Advanced Shell se explica en el artículo Solución de problemas de Sophos Firewall: Servicios y registros.

Límites importantes antes de la activación

sFlow parece inofensivo, pero puede tener impactos en la operación y la seguridad.

sFlow no está cifrado

El tráfico sFlow del firewall al colector no está cifrado. Por lo tanto, el colector debe ser accesible a través de una red de gestión confiable, una red de monitoreo interna o un camino protegido de otra manera.

⚠️ sFlow no debe enviarse sin protección a través de redes inseguras. Los datos de flujo pueden hacer visibles direcciones IP internas, relaciones de comunicación y sistemas de destino.

FastPath se desactiva en la interfaz monitoreada

Cuando sFlow está activo en una interfaz, Fast Path se desactiva en esa interfaz. Esto es especialmente importante en interfaces WAN, LAN o Core muy cargadas.

Antes de la activación, se debe verificar:

  • ¿Qué tan cargada está la interfaz?
  • ¿Pasa tráfico de alto rendimiento por ella?
  • ¿Hay una ventana de mantenimiento para la primera prueba?
  • ¿Se puede comparar el rendimiento antes y después de la activación?

Para una comprensión básica del rendimiento del firewall, el artículo Entender correctamente los datos de rendimiento de Sophos Firewall es adecuado.

HA-Cluster: sFlow solo funciona en el Primary

En un HA-Cluster, el agente sFlow funciona en el Primary. Esto debe tenerse en cuenta en las evaluaciones y pruebas de failover. Después de un cambio de rol, se debe verificar si el colector sigue recibiendo datos y si la IP del agente permanece como se esperaba.

Para la planificación de la operación y monitoreo en HA, es adecuado Configurar alta disponibilidad en Sophos Firewall.

Planificación de interfaz y colector

sFlow se configura en interfaces de hardware. También pueden ser visibles en las muestras las interfaces dependientes como alias y VLANs de la interfaz de hardware seleccionada. Por lo tanto, la selección de la interfaz siempre debe coincidir con la ruta de tráfico real, no solo con el nombre de la VLAN o la evaluación deseada en el colector.

Esto es práctico, pero puede llevar a interpretaciones erróneas:

  • Si se monitorea Port1, también pueden ser visibles en el muestreo las interfaces VLAN o alias asociadas.
  • Si solo interesa una VLAN específica, se debe filtrar correctamente en el colector.
  • Si existen varios puertos Core o WAN, no se deben activar todas las interfaces de inmediato.
  • En diseños LAG, Bridge o VLAN, debe estar claro de antemano dónde realmente fluye el tráfico relevante.

La base adecuada para esto es una planificación comprensible de interfaces y zonas. El artículo Configurar zonas e interfaces en Sophos Firewall ayuda a clasificar interfaces físicas, VLANs, Bridges, LAGs y RED.

Planificación de piloto, privacidad y retorno

Antes de la primera activación, sFlow debe tratarse como un cambio de monitoreo productivo. La función genera datos adicionales, cambia FastPath en la interfaz monitoreada y envía información de flujo a otro sistema. Por lo tanto, no basta con solo ingresar la IP del colector y la tasa de muestreo.

Antes del piloto, estos puntos deben estar claros:

  • ¿Qué problema específico debe resolver sFlow: planificación de capacidad, picos de ancho de banda, monitoreo de seguridad o resolución de problemas?
  • ¿Quién opera el colector y quién puede ver los datos de flujo?
  • ¿Cuánto tiempo se almacenarán los datos de flujo?
  • ¿A través de qué ruta de red llegan los paquetes sFlow al colector?
  • ¿Qué interfaz se probará primero?
  • ¿Qué valores de medición se consideran como línea base antes de la activación?
  • ¿Cuándo se desactivará sFlow o se moverá a otra interfaz?

Los datos de flujo pueden hacer visibles direcciones IP internas, relaciones de comunicación, sistemas de destino, puertos y volúmenes de tráfico. Estos datos son menos detallados que una captura de paquetes completa, pero aún así son relevantes para la operación y la seguridad. Si el colector está conectado a un SIEM o una plataforma de monitoreo central, la responsabilidad debe estar tan claramente definida como al enviar Syslog de Sophos Firewall a SIEM.

Para la primera prueba, es recomendable un piloto limitado:

  1. Documentar el estado inicial: carga de la interfaz, carga de la CPU, servicios afectados, datos de monitoreo existentes.
  2. Seleccionar una interfaz individual que no esté al máximo de su capacidad.
  3. Establecer una tasa de muestreo conservadora.
  4. Verificar la recepción del colector y la cantidad de datos.
  5. Observar el rendimiento, la latencia y el rendimiento después de la activación.
  6. Probar el retorno: system sflow off o eliminar la interfaz de monitoreo.

El retorno debe estar claro antes de la activación. Si el rendimiento en una interfaz productiva empeora, no se deben cambiar simultáneamente la tasa de muestreo, el colector, el enrutamiento y las reglas del firewall. Primero desactivar sFlow o eliminar la interfaz afectada de la supervisión con system sflow monitor delete interface-name ..., luego medir nuevamente.

Añadir colector sFlow

Primero se define el colector. El puerto estándar para sFlow es frecuentemente 6343; en entornos productivos, el puerto debe coincidir con el colector utilizado.

Ejemplo:

system sflow collector add ip-address 192.0.2.10 port 6343

Sophos admite hasta cinco colectores. Cada colector se añade por separado.

El estado actual se puede verificar después:

system sflow show

Si se desea eliminar un colector:

system sflow collector delete ip-address 192.0.2.10 port 6343

Configurar interfaz y tasa de muestreo

Luego se determina qué interfaz se monitoreará y con qué tasa de muestreo se seleccionarán los paquetes.

Ejemplo:

system sflow monitor add interface-name Port1 sampling-rate 1000

La tasa de muestreo decide con qué frecuencia se seleccionan los paquetes como muestra. Un número más bajo genera más muestras y, por lo tanto, más detalles, pero también más carga y más datos en el colector. Un número más alto reduce la cantidad de datos, pero puede hacer menos visibles los flujos cortos o pequeños.

Los valores límite relevantes son:

ValorSignificado
400Tasa de muestreo estándar
10Valor mínimo permitido
10000000Valor máximo permitido

Para comenzar, es recomendable un valor conservador, por ejemplo, 1000 o más. Luego se debe verificar en el colector si la cantidad de datos, el nivel de detalle y el rendimiento se ajustan al objetivo.

Una interfaz de monitoreo se puede eliminar nuevamente:

system sflow monitor delete interface-name Port1

Configurar intervalo de sondeo

Además del muestreo de paquetes, sFlow también puede consultar estadísticas y contadores de interfaz en un intervalo. Sophos permite un intervalo de sondeo entre 30 y 300 segundos. Con 0 se desactiva el sondeo.

Ejemplo:

system sflow polling-interval 80

Desactivar sondeo:

system sflow polling-interval 0

Para la mayoría de los entornos, es recomendable un intervalo medio. Intervalos demasiado cortos generan más datos y no son automáticamente más útiles.

Activar sFlow

Cuando el colector, la interfaz y el sondeo están planificados, se activa sFlow:

system sflow on

Verificar el estado:

system sflow show

Desactivar sFlow:

system sflow off

Después de la activación, no solo se debe verificar el firewall, sino también el colector. Allí deben llegar datos desde la IP del agente del firewall y resolverse de manera significativa.

Validación después de la activación

Después de encenderlo, se deben verificar estos puntos:

  1. system sflow show muestra correctamente el colector, la interfaz, la tasa de muestreo y el estado.
  2. El colector recibe datos sFlow de la IP del firewall esperada.
  3. La hora en el firewall y el colector coincide.
  4. Los nombres de las interfaces y la dirección del flujo son comprensibles en el colector.
  5. La carga en el firewall y el colector permanece sin problemas.
  6. La cantidad de datos se ajusta al almacenamiento y procesamiento planificados.
  7. El retorno definido se ha probado una vez o al menos se ha documentado como un comando concreto.
  8. En clústeres HA, después de un failover, se verifica si los datos siguen llegando.

Si se analizan simultáneamente reglas del firewall, NAT, VPN o Inspección TLS, sFlow no debe considerarse de forma aislada. Para decisiones de conexión concretas, el Log Viewer y Packet Capture siguen siendo cruciales. Para evaluaciones a largo plazo, se debe verificar si también se necesita Syslog o Central Reporting.

Solución de problemas

No hay tráfico en el colector

Primero verificar system sflow show. Luego controlar si la IP del colector, el puerto, el enrutamiento y las reglas del firewall coinciden con el colector. Además, se debe verificar en el colector si el puerto UDP es accesible y si se están descartando paquetes sFlow entrantes.

Solo una parte del tráfico es visible

sFlow trabaja con muestreo. Es normal que no todos los paquetes individuales sean visibles. Si faltan flujos importantes, se puede ajustar la tasa de muestreo o elegir otra interfaz. En VLANs y alias, se debe verificar si se está monitoreando la interfaz de hardware correcta.

El rendimiento cambia después de la activación

Si se está monitoreando una interfaz muy utilizada, la desactivación de FastPath puede ser relevante. En este caso, se debe desactivar sFlow de prueba y comparar el rendimiento. En interfaces Core o WAN productivas, una prueba planificada es mejor que una activación espontánea.

Los datos de HA parecen incompletos

En entornos HA, el agente sFlow funciona en el Primary. Después de un failover, se debe verificar qué firewall es actualmente el Primary, qué IP se utiliza como IP del agente y si el colector sigue asignando correctamente los datos.

Lista de verificación operativa

  • Colocar el colector en una red segura.
  • Documentar propietario, propósito, acceso y almacenamiento de los datos de flujo.
  • Verificar el puerto UDP y el enrutamiento hacia el colector.
  • Comenzar con una o pocas interfaces.
  • Capturar línea base antes y después para carga de interfaz, CPU, latencia y rendimiento.
  • Elegir una tasa de muestreo conservadora y luego ajustarla.
  • Considerar el impacto de FastPath en interfaces críticas.
  • Documentar el retorno: system sflow off o eliminar la interfaz de monitoreo.
  • Probar failover en HA si se utiliza sFlow en el clúster.
  • Comparar datos de flujo con Log Viewer, Packet Capture y Reporting.
  • Verificar regularmente si los datos aún se están evaluando o solo se están recopilando sin uso.

FAQ

¿Qué es sFlow en Sophos Firewall?

sFlow es una función de monitoreo que permite a Sophos Firewall enviar datos de tráfico muestreados y estadísticas de interfaz a un colector externo. Esto ayuda en el análisis de tráfico, la planificación de capacidad y el monitoreo de seguridad.

¿Es sFlow lo mismo que Packet Capture?

No. Packet Capture muestra paquetes concretos para un análisis específico. sFlow proporciona muestras y estadísticas sobre flujos de tráfico. Para coincidencia de reglas, errores de NAT o conexiones individuales, Packet Capture sigue siendo más preciso.

¿Cifra Sophos Firewall los datos de sFlow?

No. El tráfico sFlow del firewall al colector no está cifrado. Por lo tanto, el colector debe ser accesible a través de una red interna protegida.

¿Por qué puede sFlow afectar el rendimiento?

Cuando sFlow se activa en una interfaz, Sophos Firewall desactiva FastPath en esa interfaz. Por lo tanto, se debe probar sFlow conscientemente en interfaces muy utilizadas y observar el rendimiento.

¿Cuántos colectores sFlow admite Sophos Firewall?

Sophos Firewall admite hasta cinco colectores sFlow. Cada colector se configura por separado con system sflow collector add.