NetFlow a IPFIX sú technológie používané na monitorovanie a analýzu toku siete. Poskytujú informácie o vzorcoch sieťovej dopravy, pomáhajú pri optimalizácii výkonnosti, riešení problémov a analýze bezpečnosti.
NetFlow:
Čo je NetFlow?
Netflowje pôvodné riešenie monitorovania toku, pôvodne vyvinuté spoločnosťou Cisco na konci 90. rokov. Existuje niekoľko rôznych verzií, ale väčšina nasadení je založená na NetFlow V5 alebo NetFlow V9. Aj keď každá verzia má rôzne schopnosti, základná operácia zostáva rovnaká:
Po prvé, smerovač, prepínač, firewall alebo iný typ zariadenia zachytí informácie o sieti „toky“ - v podstate súbor paketov, ktoré zdieľajú spoločnú sadu charakteristík, ako je zdrojová a cieľová adresa, zdroj a cieľový port a typ protokolu. Po spánku prietoku alebo uplynuté preddefinované množstvo času, zariadenie exportuje záznamy toku do entity známej ako „zberateľ prietoku“.
Nakoniec „analyzátor toku“ dáva zmysel pre tieto záznamy a poskytuje poznatky vo forme vizualizácií, štatistík a podrobných historických a reálnych správ. V praxi sú zberatelia a analyzátory často jedinou entitou, ktorá sa často kombinuje do väčšieho riešenia monitorovania výkonnosti siete.
NetFlow funguje na štátnom základe. Keď klientsky stroj osloví server, spoločnosť NetFlow začne zachytávať a agregovať metadáta z toku. Po ukončení relácie NetFlow exportuje jeden kompletný záznam do kolektora.
Aj keď sa stále bežne používa, NetFlow V5 má množstvo obmedzení. Exportované polia sú pevné, monitorovanie je podporované iba v smere vstupu a moderné technológie ako IPv6, MPLS a VXLAN nie sú podporované. NetFlow V9, tiež označený ako flexibilný NetFlow (FNF), rieši niektoré z týchto obmedzení, čo používateľom umožňuje zostaviť vlastné šablóny a pridávať podporu pre novšie technológie.
Mnoho predajcov má tiež vlastnú proprietárnu implementáciu NetFlow, ako je Jflow od Juniper a Netstream od spoločnosti Huawei. Aj keď sa konfigurácia môže trochu líšiť, tieto implementácie často vytvárajú tokové záznamy, ktoré sú kompatibilné s kolektormi a analyzátormi NetFlow.
Kľúčové funkcie NetFlow:
~ Údaje: NetFlow generuje záznamy toku, ktoré obsahujú podrobnosti, ako sú zdrojové a cieľové adresy IP, porty, časové pečiatky, počty paketov a bajtov a typy protokolov.
~ Monitorovanie dopravy: NetFlow poskytuje viditeľnosť vo vzorcoch sieťovej prevádzky, čo umožňuje správcom identifikovať najlepšie aplikácie, koncové body a zdroje prenosu.
~Detekcia anomálie: Analýzou dát toku môže NetFlow detegovať anomálie, ako je nadmerné využitie šírky pásma, preťaženie siete alebo nezvyčajné prenosové vzorce.
~ Analýza bezpečnosti: NetFlow sa môže použiť na detekciu a vyšetrovanie bezpečnostných incidentov, ako napríklad útoky distribuovaných odmietnutí služieb (DDOS) alebo neoprávnené pokusy o prístupy.
Verzie NetFlow: NetFlow sa v priebehu času vyvíjal a boli vydané rôzne verzie. Niektoré pozoruhodné verzie zahŕňajú NetFlow V5, NetFlow V9 a Flexibilný NetFlow. Každá verzia predstavuje vylepšenia a ďalšie schopnosti.
Ipfix:
Čo je ipfix?
Štandard IETF, ktorý sa objavil na začiatku 2000 -tych rokov, export toku informácií o internetovom protokole (IPFIX) je veľmi podobný spoločnosti NetFlow. V skutočnosti NetFlow V9 slúžil ako základ pre ipfix. Primárny rozdiel medzi nimi je, že IPFIX je otvoreným štandardom a je podporovaný mnohými dodávateľmi sietí okrem spoločnosti Cisco. S výnimkou niekoľkých ďalších polí pridaných v IPFIX sú formáty inak takmer identické. V skutočnosti sa IPFIX niekedy dokonca označuje ako „NetFlow V10“.
Vďaka čiastočne svojim podobnostiam s NetFlow sa IPFIX využíva široká podpora medzi riešeniami monitorovania siete, ako aj sieťovými zariadeniami.
IPFIX (Export toku informácií o internetovom protokole) je otvorený štandardný protokol vyvinutý pracovnou skupinou Internet Engineering Task (IETF). Je založená na špecifikácii NetFlow verzie 9 a poskytuje štandardizovaný formát na export záznamov toku zo sieťových zariadení.
IPFIX vychádza z konceptov NetFlow a rozširuje ich tak, aby ponúkol väčšiu flexibilitu a interoperabilitu medzi rôznymi dodávateľmi a zariadeniami. Predstavuje koncept šablón, ktorý umožňuje dynamickú definíciu štruktúry a obsahu záznamu toku. To umožňuje zahrnutie vlastných polí, podporu nových protokolov a rozšírenie.
Kľúčové funkcie IPFIX:
~ Prístup založený na šablóne: IPFIX používa šablóny na definovanie štruktúry a obsahu záznamov toku a ponúka flexibilitu pri prispôsobovaní rôznych dátových poliach a informáciách špecifických pre protokol.
~ Interoperabilita: IPFIX je otvorený štandard, ktorý zabezpečuje konzistentné možnosti monitorovania toku v rôznych dodávateľoch a zariadeniach sietí.
~ Podpora IPv6: IPFIX natívne podporuje IPv6, vďaka čomu je vhodný na monitorovanie a analýzu prenosu v sieťach IPv6.
~Vylepšená bezpečnosť: IPFIX obsahuje bezpečnostné funkcie, ako je šifrovanie zabezpečenia prepravnej vrstvy (TLS) a kontroly integrity správ, aby sa chránila dôvernosť a integrita údajov toku počas prenosu.
IPFIX je široko podporovaný rôznymi predajcami sieťových zariadení, vďaka čomu je dodávateľom neutrálnym a široko prijatým výberom na monitorovanie toku siete.
Aký je rozdiel medzi NetFlow a IPFIX?
Jednoduchá odpoveď je, že NetFlow je proprietárny protokol Cisco zavedený okolo roku 1996 a IPFIX je jeho brat schválený na štandardoch.
Oba protokoly slúžia rovnakému účelu: umožňujú sieťovým inžinierom a správcom zhromažďovať a analyzovať toky prenosu IP na úrovni siete. Spoločnosť Cisco vyvinula NetFlow, aby jeho spínače a smerovače mohli tieto cenné informácie výstupom. Vzhľadom na dominanciu zariadenia Cisco sa NetFlow rýchlo stal štandardom de-facto pre analýzu sieťovej prevádzky. Konkurenti v priemysle si však uvedomili, že použitie proprietárneho protokolu kontrolovaného jeho hlavným súperom nebolo dobrý nápad, a preto IETF viedlo úsilie o štandardizáciu otvoreného protokolu pre analýzu dopravy, ktorým je IPFIX.
IPFIX je založený na Netflow verzii 9 a pôvodne bol predstavený okolo roku 2005, ale získal niekoľko rokov, kým sa prijala v priemysle. V tomto bode sú dva protokoly v podstate rovnaké a hoci termín NetFlow je stále častejší, väčšina implementácií (aj keď nie všetky) sú kompatibilné so štandardom IPFIX.
Tu je tabuľka sumarizujúca rozdiely medzi NetFlow a IPFIX:
| Aspekt | Netflow | Ipfix |
|---|---|---|
| Pôvod | Proprietárna technológia vyvinutá spoločnosťou Cisco | Protokol priemyselného štandardu založený na Netflow version 9 |
| Štandardizácia | Technológia špecifická pre cisco | Otvorte štandard definovaný IETF v RFC 7011 |
| Flexibilita | Vyvinuté verzie so špecifickými funkciami | Väčšia flexibilita a interoperabilita medzi predajcami |
| Formát údajov | Pakety | Prístup založený na šablóne pre prispôsobiteľné formáty toku záznamu |
| Podpora šablóny | Nepodporované | Dynamické šablóny pre flexibilné začlenenie poľa |
| Podpora dodávateľa | Predovšetkým zariadenia Cisco | Široká podpora medzi sieťovými predajcami |
| Rozšíriteľnosť | Obmedzené prispôsobenie | Zahrnutie vlastných polí a údajov špecifických pre aplikáciu |
| Rozdiely protokolu | Variácie špecifické pre cisco | Natívna podpora IPv6, vylepšené možnosti záznamu toku |
| Bezpečnostné funkcie | Obmedzené bezpečnostné funkcie | Šifrovanie prenosu zabezpečenia vrstvy (TLS), integrita správy |
Monitorovanie toku sieteje zber, analýza a monitorovanie dopravy prechádzajúceho daného siete alebo segmentu siete. Ciele sa môžu líšiť od problémov s riešením problémov po plánovanie budúceho rozdelenia šírky pásma. Monitorovanie toku a odber vzoriek paketov môžu byť dokonca užitočné pri identifikácii a náprave problémov s bezpečnosťou.
Monitorovanie toku dáva sieťovým tímom dobrú predstavu o tom, ako funguje sieť, a poskytuje informácie o celkovom využívaní, využívaní aplikácií, potenciálnych prekážkach, anomáliách, ktoré môžu signalizovať bezpečnostné hrozby a ďalšie. Pri monitorovaní sieťových tokov sa používa niekoľko rôznych štandardov a formátov, vrátane exportu informácií o toku toku protokolov NetFlow, SFlow a internetového protokolu (IPFIX). Každý funguje trochu inak, ale všetky sú odlišné od zrkadlenia portov a hlbokej kontroly paketov v tom, že nezachytávajú obsah každého paketu prechádzajúcich cez port alebo spínačom. Monitorovanie toku však poskytuje viac informácií ako SNMP, ktoré sa vo všeobecnosti obmedzujú na široké štatistiky, ako je celkové používanie paketov a šírky pásma.
Nástroje sieťového toku porovnané
| Funkcia | NetFlow V5 | NetFlow V9 | sflot | Ipfix |
| Otvorený alebo vlastnícky | Vlastnícky | Vlastnícky | OTVORENÉ | OTVORENÉ |
| Vzorkované alebo založené na toku | Predovšetkým založený na prietoku; Vzorkovaný režim je k dispozícii | Predovšetkým založený na prietoku; Vzorkovaný režim je k dispozícii | Vzorkovaný | Predovšetkým založený na prietoku; Vzorkovaný režim je k dispozícii |
| Zachytený | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď. | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď. | Kompletné hlavičky paketov, čiastočné užitočné zaťaženie paketov | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhrania atď. |
| Monitorovanie vstupu/výstupu | Iba vjazd | Vniknutie a výstup | Vniknutie a výstup | Vniknutie a výstup |
| Podpora IPv6/VLAN/MPLS | No | Áno | Áno | Áno |
Čas príspevku: mar-18-2024
