VPC Traffic Mirroring es una función de AWS que copia el tráfico de red para análisis de seguridad y resolución de problemas. Es como tener una cámara de seguridad para tu red.
Lo que necesitas saber ahora mismo:
Aspecto | Detalle |
---|---|
Precio | $0.015/hora por origen |
Límite | 3 sesiones por ENI |
Compatibilidad | Solo instancias EC2 con Nitro |
Requisito principal | Puerto UDP 4789 abierto |
Casos de uso principales:
- Detectar intrusos en tu red
- Diagnosticar problemas de rendimiento
- Analizar problemas de conectividad
Componentes básicos:
Componente | Función |
---|---|
Origen | ENI que genera el tráfico |
Destino | Donde se analiza el tráfico |
Filtros | Define qué tráfico copiar |
Sesión | Conecta origen y destino |
Diferencia clave con VPC Flow Logs: Traffic Mirroring te da el contenido completo del paquete, no solo metadatos.
💡 Consejo rápido: Empieza con filtros específicos para reducir costos y mejorar el rendimiento.
Related video from YouTube
¿Qué es Traffic Mirroring?
Traffic Mirroring hace una copia EXACTA de tu tráfico de red en VPC. ¿Por qué es esto importante? Porque puedes analizar todo lo que pasa en tu red sin tocar el tráfico original.
Funciona así:
Pieza | ¿Qué hace? |
---|---|
Origen | Tu instancia EC2 envía datos |
Destino | Otra instancia los recibe y analiza |
Filtros | Decides qué tráfico quieres copiar |
Sesión | Une origen y destino |
¿Cuándo necesitas Traffic Mirroring?
Hay 3 momentos clave:
- Cuando quieres detectar intrusos en tu red
- Si necesitas ver por qué tu red está lenta
- Para encontrar problemas difíciles de red
¿Cómo funciona?
Es simple:
- Copia los datos que entran y salen
- Los empaqueta en VXLAN
- Los manda a otro lugar para analizarlos
Lo que debes saber | Detalles |
---|---|
Precio | $0.015/hora por origen |
Límites | 3 sesiones por ENI |
¿Dónde funciona? | En instancias EC2 con Nitro |
Disponibilidad | En todas las regiones AWS |
¿La diferencia con VPC Flow Logs? Traffic Mirroring te da TODO el contenido del paquete, no solo los metadatos. Es como tener una grabación completa vs solo un resumen.
Partes Principales de Traffic Mirroring
Traffic Mirroring necesita 5 elementos básicos para funcionar. Veamos cada uno:
Orígenes de Tráfico
El origen es una ENI (interfaz de red elástica) de EC2 que genera el tráfico a copiar.
Tipo de Origen | Detalles |
---|---|
Instancias EC2 | Compatible con Nitro y no-Nitro |
ENI | Solo tipo interface |
Ubicación | Misma VPC o VPCs distintas |
Destinos de Tráfico
El destino es donde llega la copia del tráfico. Hay varias opciones:
Destino | Setup |
---|---|
ENI en misma VPC | Setup directo |
ENI otra VPC (misma cuenta) | Necesita VPC peering/gateway |
ENI otra VPC (otra cuenta) | Necesita peering/gateway entre cuentas |
Network Load Balancer | Para distribuir tráfico |
Filtros de Tráfico
Sin filtros configurados, NO se copia nada. Los filtros dicen qué tráfico copiar:
# | Acción | Protocolo | Puerto | Origen | Destino |
---|---|---|---|---|---|
10 | rechazar | TCP | 22 | red-local | vpc-cidr |
20 | aceptar | TCP | todos | 0.0.0.0/0 | 0.0.0.0/0 |
Sesiones de Mirroring
Una sesión conecta 3 elementos:
- El origen (ENI)
- El destino
- Los filtros
Puedes tener hasta 3 sesiones por ENI.
VXLAN
El tráfico va por VXLAN:
- Puerto UDP 4789
- Solo transporta datos
- Sin plano de control
- El destino debe aceptar VXLAN
OJO: El tráfico copiado cuenta para los límites de ancho de banda. Por ejemplo: copiar de 10G a 1G puede saturar la red.
Guías de Configuración
Planificación de la Configuración
Para empezar con Traffic Mirroring, necesitas estos componentes básicos:
Recurso | Lo que Necesitas |
---|---|
VPC | IGW activo |
Subredes | 1+ pública |
Instancias EC2 | 3 (origen, destino, monitoreo) |
ENIs | 1 por instancia |
Permisos IAM | Control de Traffic Mirroring |
Configuración de Seguridad
Aquí están los puntos de seguridad que DEBES configurar:
Elemento | Qué Hacer |
---|---|
Puerto VXLAN | Abrir UDP 4789 |
Grupos de Seguridad | Permitir tráfico origen |
ACLs de Red | No bloquear espejo |
Tablas de Ruta | Ruta al destino |
¿Quieres verificar si funciona? Ejecuta esto:
# En la instancia destino
sudo tcpdump -nnni eth0 udp port 4789
Configuración de Rendimiento
Estos son los números que importan:
Factor | Lo que Debes Saber |
---|---|
Ancho de banda | X2 del tráfico base |
Costo | $10.95/mes por ENI origen |
Límites | 3 sesiones máximo por ENI |
Para mejor rendimiento:
- Filtra solo el tráfico que necesitas
- Pon el destino cerca del origen
- Usa NLB para múltiples orígenes
- Activa Auto Scaling en monitoreo
Configura rápido con este comando:
aws ec2 create-traffic-mirror-target \
--network-interface-id eni-1234567890abcdef0 \
--description "Target principal"
Monitorea y ajusta según el uso. Así evitarás sorpresas en costos y rendimiento.
Opciones de Configuración Avanzada
Configuración Multi-Cuenta
¿Necesitas monitorear tráfico entre cuentas AWS? Así funciona:
Cuenta A (Destino) | Cuenta B (Origen) |
---|---|
1. Crear EC2 destino | 1. Aceptar compartido |
2. Crear Mirror target | 2. Crear EC2 origen |
3. Compartir vía RAM | 3. Crear filtros y sesión |
Aquí está el código que necesitas:
# Cuenta A - Crear target
aws ec2 create-traffic-mirror-target \
--network-interface-id eni-destino \
--description "Target para monitoreo"
# Cuenta B - Crear sesión
aws ec2 create-traffic-mirror-session \
--network-interface-id eni-origen \
--traffic-mirror-target-id tmt-compartido \
--traffic-mirror-filter-id tmf-12345
Configuración Multi-Región
Para monitorear entre regiones AWS necesitas:
Componente | Qué Necesitas |
---|---|
VPC Peering | Conectar VPCs |
Transit Gateway | 3+ regiones |
Rutas | Hacia target |
VXLAN | Puerto UDP 4789 |
Lo que debes saber:
Elemento | Detalles |
---|---|
EC2 | Solo Nitro |
Bandwidth | ≥ origen |
Cobertura | 26 regiones |
EC2 Compatibles | C4, D2, G3, H1, I3, M4, P2, P3, R4, X1 |
Para que funcione mejor:
- Usa NLB como target
- Filtra tráfico extra
- Regiones cercanas = mejor performance
- Revisa tus rutas VPC
# Test VXLAN
sudo tcpdump -i any 'udp port 4789' -nn
sbb-itb-03dc61e
Revisiones y Actualizaciones del Sistema
CloudWatch es la herramienta que necesitas para ver qué pasa con tu tráfico espejado. Veamos lo básico:
Métrica | Qué Mide | Para Qué Sirve |
---|---|---|
NetworkMirrorIn | Bytes que entran | Ver cuánto tráfico llega |
NetworkMirrorOut | Bytes que salen | Ver cuánto tráfico sale |
NetworkSkipMirrorIn | Bytes perdidos (entrada) | Detectar pérdidas |
NetworkSkipMirrorOut | Bytes perdidos (salida) | Detectar pérdidas |
¿Quieres saber los bytes por segundo? Es fácil:
- Si usas monitoreo cada 5 minutos: divide entre 300
- Si usas monitoreo cada minuto: divide entre 60
¿Problemas? Aquí las Soluciones
Si Pasa Esto | Revisa | Haz Esto |
---|---|---|
No hay conexión | Reachability Analyzer | Las rutas VPC |
No llega tráfico | Puerto UDP 4789 | Abre el grupo de seguridad |
Se pierden paquetes | Métricas CloudWatch | Baja el MTU a menos de 8500 |
Hay congestión | Métricas ENA | Quita algunos filtros |
Para ver si todo funciona, usa estos comandos:
# Ver tráfico VXLAN
sudo tcpdump -i any 'udp port 4789' -nn
# Estado del endpoint
aws ec2 describe-vpc-endpoints \
--filters Name=vpc-endpoint-id,Values=vpce-id
Instancias que Puedes Usar
Tipo | Cuáles |
---|---|
Compute | C4 |
Memory | R4, X1, X1e |
Storage | D2, H1, I3 |
GPU | G3, P2, P3 |
General | M4 |
OJO: No funciona en T2, C3, R3, I2 ni en versiones más viejas.
Límites del Sistema
Límites Técnicos
VPC Traffic Mirroring tiene límites específicos por cuenta y región:
Recurso | Límite | ¿Ajustable? |
---|---|---|
Sesiones por cuenta | 10,000 | No |
Sesiones por interfaz de red | 3 | No |
Objetivos por cuenta | 10,000 | No |
Filtros por cuenta | 10,000 | No |
Reglas por filtro | 10 | No |
Fuentes por objetivo (instancias pequeñas) | 10 | No |
Fuentes por objetivo (instancias grandes) | 100 | No |
El sistema no funciona con:
- Subredes IPv6
- Tráfico ARP
- DHCP
- NTP
- Activación de Windows
Los VPC Flow Logs no capturan el tráfico espejado.
El rendimiento está limitado a:
- MTU: 8,947 bytes sin truncar
- Gateway Load Balancer: 10 Gbps por zona
- Escalado máximo: 100 Gbps
Control de Costos
El tráfico espejado DUPLICA el consumo de ancho de banda. Si tienes 1 Gbps de tráfico bidireccional, necesitarás manejar 4 Gbps en total.
Para reducir gastos:
- Filtra SOLO el tráfico que necesitas analizar
- Ajusta el MTU:
- IPv4: 54 bytes menos que el objetivo
- IPv6: 74 bytes menos que el objetivo
Importante: AWS da prioridad al tráfico de producción. Esto significa que:
- Puedes perder paquetes espejados durante la congestión
- No se espejan los paquetes bloqueados por grupos de seguridad
Configuración de Herramientas de Seguridad
Configuración del Sistema de Seguridad
Para poner en marcha VPC Traffic Mirroring, necesitas estos componentes básicos:
Componente | Requisitos Técnicos | Configuración |
---|---|---|
Sistema de Análisis | Bro/Zeek 2.6 o superior | Puerto UDP 4789 abierto |
AWS Network Firewall | Endpoint en subnet dedicada | Rutas de tráfico configuradas |
Amazon GuardDuty | Detector activo | VPC Flow Logs habilitados |
Los sistemas de detección se dividen en:
- HIDS: Monitorea desde el host
- NIDS: Monitorea desde la red
AWS Network Firewall usa Suricata y te da:
- Filtrado de tráfico VPC
- Ajuste automático según necesidad
- Defensa contra intrusiones
Análisis del Tráfico
Estas son las herramientas principales para ver el tráfico:
Herramienta | Uso Principal | Características |
---|---|---|
Wireshark | Análisis de paquetes | Captura y análisis detallado |
tcpdump | Captura básica | Preinstalado en Amazon Linux |
CloudShark | Análisis colaborativo | Integración con VPC Traffic Mirroring |
Para verificar que todo funciona:
- Revisa el puerto: Usa tcpdump en UDP 4789
- Confirma paquetes: Busca tráfico VXLAN
- Analiza datos: Usa las herramientas de análisis
Lo más importante:
- Abre el puerto UDP 4789 en tus grupos de seguridad
- Confirma que los paquetes llegan a tu instancia
- Usa CloudShark si trabajas en equipo
Reglas y Registros
AWS ofrece controles específicos para VPC Traffic Mirroring que facilitan el cumplimiento normativo:
Aspecto | Configuración | Función |
---|---|---|
IAM | Roles específicos | Control de acceso al mirroring |
Filtros | 10 reglas máximo | Define el tráfico a capturar |
CloudWatch | Métricas en vivo | Monitoreo del tráfico |
Sesiones | 10,000 por cuenta | Control de recursos |
CloudWatch te muestra estos datos clave:
Métrica | Qué mide |
---|---|
NetworkMirrorIn | Bytes que entran y se reflejan |
NetworkMirrorOut | Bytes que salen y se reflejan |
NetworkSkipMirrorIn | Bytes no reflejados |
NetworkPacketsMirrorIn | Paquetes que entran y se reflejan |
NetworkPacketsMirrorOut | Paquetes que salen y se reflejan |
Para el registro del tráfico necesitas:
Elemento | Qué hace | Info extra |
---|---|---|
CloudWatch | Métricas en tiempo real | Datos de uso |
Dimensiones | Filtra datos | Por grupo, imagen o instancia |
Precio | $0.015/hora | Por origen de reflejo |
Cobertura | 22 regiones | No en Sydney, Beijing, Ningxia |
Lo que debes hacer:
- Configura alertas en CloudWatch
- Documenta tus filtros y reglas
- Anota los cambios de configuración
- Rastrea los costos de transferencia
Sobre los costos: Los cargos siguen hasta eliminar todas las sesiones. Ten en cuenta costos extra si usas gateways o balanceadores.
Mejoras del Sistema
Uso de Recursos
El VPC Traffic Mirroring necesita una configuración específica para funcionar mejor. Aquí te muestro cómo:
Aspecto | Técnica | Beneficio |
---|---|---|
Ubicación | Despliegue cercano | Menos latencia y costos |
Filtrado | Espejo selectivo | Solo tráfico importante |
DNS | Espejo DNS total | Datos clave, poco volumen |
Puntos | WAFs y NLBs | Más visibilidad |
Lo que DEBES hacer:
- Pon monitores en puntos clave
- Ajusta el MTU del destino
- Usa CloudFormation
- No pases de 3 sesiones por interfaz
Reducción de Costos
Estrategia | Ahorro | Notas |
---|---|---|
NAT Gateway juntos | $162/año/10 EC2 | $1.50/hora gateway |
Datos intra-región | $0.01/GB | Entre zonas |
ENI espejo | $0.015/hora | Por interfaz |
Datos comprimidos | Varía | Menos ancho banda |
Para gastar MENOS:
- Usa Cost Explorer para ver gastos
- Configura Budgets para alertas
- Borra EBS sin uso
- Pon etiquetas a todo
"En Atlassian juntamos NAT Gateways en AWS. Resultado: red más rápida y menos gastos" - Ben McAlary, Ingeniero Principal.
Tráfico | Cuándo Espejar |
---|---|
Principal | Servidores core |
Importante | Rutas de datos |
Raro | FTP no permitido |
DNS | Todo |
Para que todo funcione MEJOR:
- No salgas de tu región
- Usa CloudFront cache
- Revisa AutoScaling
- Mira el uso de IPs
Preguntas Frecuentes
¿Qué instancias soportan Traffic Mirroring en AWS?
El soporte de Traffic Mirroring varía según el tipo de instancia:
Tipo de Instancia | Soporte de Traffic Mirroring |
---|---|
No-Nitro | C4, D2, G3, G3s, H1, I3, M4, P2, P3, R4, X1, X1e |
Nitro | No soportado (M6a, M6i, M6in, M7g, etc.) |
T2 | No soportado |
Bare Metal | No soportado |
Para cambiar el tipo de instancia:
- Detén la instancia EC2
- Espera a que se detenga por completo
- Cambia el tipo desde "Acciones" > "Configuración de instancia"
¿Qué servicio de AWS se usa para controlar el tráfico de subredes VPC?
Los ACLs de red son tu mejor opción para manejar el tráfico en las subredes:
Aspecto | Función |
---|---|
Control de Entrada | Filtrado de tráfico entrante |
Control de Salida | Filtrado de tráfico saliente |
IAM | Gestión de accesos a recursos |
Federación | Control de identidades |
¿Qué es Traffic Mirroring en VPC?
Traffic Mirroring copia el tráfico de red de interfaces elásticas tipo 'interface'.
Aquí lo que debes saber:
Limitaciones | Detalles |
---|---|
IPv6 | No funciona en subredes solo-IPv6 |
Tráfico Excluido | ARP, DHCP, metadata, NTP, activación Windows |
Puerto Requerido | UDP 4789 para tráfico VXLAN |
¿Qué es Traffic Mirroring en AWS?
Traffic Mirroring te permite:
- Copiar tráfico de red
- Analizar el tráfico con herramientas de seguridad
- Detectar amenazas
- Resolver problemas de red
Tip: Usa Reachability Analyzer para confirmar la conectividad entre el origen y destino del espejo.