NetFlow a IPFIX sú technológie používané na monitorovanie a analýzu sieťového toku. Poskytujú prehľad o vzorcoch sieťovej prevádzky, pomáhajú pri optimalizácii výkonu, riešení problémov a analýze bezpečnosti.
Čistý tok:
Čo je NetFlow?
NetFlowje pôvodné riešenie na monitorovanie toku, pôvodne vyvinuté spoločnosťou Cisco koncom 90. rokov. Existuje niekoľko rôznych verzií, ale väčšina nasadení je založená buď na NetFlow v5, alebo NetFlow v9. Hoci každá verzia má iné možnosti, základná prevádzka zostáva rovnaká:
Najprv smerovač, prepínač, firewall alebo iný typ zariadenia zachytí informácie o sieťových „tokoch“ – v podstate ide o súbor paketov, ktoré zdieľajú spoločný súbor charakteristík, ako je zdrojová a cieľová adresa, zdrojový a cieľový port a typ protokolu. Po prechode toku do nečinného stavu alebo po uplynutí vopred definovaného času zariadenie exportuje záznamy o toku do entity známej ako „zberač tokov“.
Nakoniec, „analyzátor toku“ dáva týmto záznamom zmysel a poskytuje prehľady vo forme vizualizácií, štatistík a podrobných historických a reportov v reálnom čase. V praxi sú kolektory a analyzátory často jednou entitou, ktorá je často kombinovaná do väčšieho riešenia monitorovania výkonu siete.
NetFlow funguje na stavovom princípe. Keď sa klientsky počítač spojí so serverom, NetFlow začne zaznamenávať a agregovať metadáta z toku. Po ukončení relácie NetFlow exportuje jeden kompletný záznam do kolektora.
Hoci sa NetFlow v5 stále bežne používa, má niekoľko obmedzení. Exportované polia sú pevné, monitorovanie je podporované iba v smere vstupu a moderné technológie ako IPv6, MPLS a VXLAN nie sú podporované. NetFlow v9, tiež označovaný ako Flexible NetFlow (FNF), rieši niektoré z týchto obmedzení, umožňuje používateľom vytvárať si vlastné šablóny a pridáva podporu pre novšie technológie.
Mnoho dodávateľov má tiež vlastné proprietárne implementácie NetFlow, ako napríklad jFlow od spoločnosti Juniper a NetStream od spoločnosti Huawei. Hoci sa konfigurácia môže trochu líšiť, tieto implementácie často vytvárajú záznamy o toku, ktoré sú kompatibilné s kolektormi a analyzátormi NetFlow.
Kľúčové vlastnosti NetFlow:
~ Údaje o tokuNetFlow generuje záznamy o toku, ktoré obsahujú podrobnosti, ako sú zdrojové a cieľové IP adresy, porty, časové pečiatky, počet paketov a bajtov a typy protokolov.
~ Monitorovanie dopravyNetFlow poskytuje prehľad o sieťových prenosoch, čo umožňuje správcom identifikovať najčastejšie aplikácie, koncové body a zdroje prenosu.
~Detekcia anomáliíAnalýzou údajov o toku dokáže NetFlow odhaliť anomálie, ako je nadmerné využitie šírky pásma, preťaženie siete alebo nezvyčajné vzorce prevádzky.
~ Bezpečnostná analýzaNetFlow sa dá použiť na detekciu a vyšetrovanie bezpečnostných incidentov, ako sú napríklad distribuované útoky typu odmietnutie služby (DDoS) alebo pokusy o neoprávnený prístup.
Verzie NetFlowNetFlow sa v priebehu času vyvíjal a boli vydané rôzne verzie. Medzi významné verzie patria NetFlow v5, NetFlow v9 a Flexible NetFlow. Každá verzia prináša vylepšenia a ďalšie funkcie.
IPFIX:
Čo je IPFIX?
Štandard IETF, ktorý vznikol začiatkom roku 2000, Internet Protocol Flow Information Export (IPFIX), je extrémne podobný štandardu NetFlow. V skutočnosti NetFlow v9 slúžil ako základ pre IPFIX. Hlavný rozdiel medzi nimi je, že IPFIX je otvorený štandard a je podporovaný mnohými dodávateľmi sieťových zariadení okrem spoločnosti Cisco. S výnimkou niekoľkých ďalších polí pridaných v IPFIX sú formáty inak takmer identické. V skutočnosti sa IPFIX niekedy označuje aj ako „NetFlow v10“.
Čiastočne kvôli podobnosti s NetFlow sa IPFIX teší širokej podpore medzi riešeniami monitorovania siete, ako aj medzi sieťovými zariadeniami.
IPFIX (Internet Protocol Flow Information Export) je otvorený štandardný protokol vyvinutý organizáciou Internet Engineering Task Force (IETF). Je založený na špecifikácii NetFlow verzie 9 a poskytuje štandardizovaný formát na export záznamov o toku zo sieťových zariadení.
IPFIX stavia na konceptoch NetFlow a rozširuje ich tak, aby ponúkali väčšiu flexibilitu a interoperabilitu medzi rôznymi dodávateľmi a zariadeniami. Zavádza koncept šablón, ktoré umožňujú dynamickú definíciu štruktúry a obsahu záznamov toku. To umožňuje zahrnutie vlastných polí, podporu pre nové protokoly a rozšíriteľnosť.
Kľúčové vlastnosti IPFIXU:
~ Prístup založený na šablónachIPFIX používa šablóny na definovanie štruktúry a obsahu záznamov o toku, čo ponúka flexibilitu pri prispôsobovaní rôznych dátových polí a informácií špecifických pre protokol.
~ InteroperabilitaIPFIX je otvorený štandard, ktorý zabezpečuje konzistentné možnosti monitorovania toku naprieč rôznymi dodávateľmi sietí a zariadeniami.
~ Podpora IPv6IPFIX natívne podporuje IPv6, vďaka čomu je vhodný na monitorovanie a analýzu prevádzky v sieťach IPv6.
~Zvýšené zabezpečenieIPFIX obsahuje bezpečnostné funkcie, ako je šifrovanie Transport Layer Security (TLS) a kontroly integrity správ, na ochranu dôvernosti a integrity údajov o toku počas prenosu.
Protokol IPFIX je široko podporovaný rôznymi dodávateľmi sieťových zariadení, vďaka čomu je neutrálnou a široko prijímanou voľbou pre monitorovanie toku v sieti.
Aký je teda rozdiel medzi NetFlow a IPFIX?
Jednoduchá odpoveď je, že NetFlow je proprietárny protokol spoločnosti Cisco, ktorý bol zavedený okolo roku 1996 a IPFIX je jeho brat schválený štandardizačným orgánom.
Oba protokoly slúžia rovnakému účelu: umožňujú sieťovým inžinierom a správcom zhromažďovať a analyzovať toky IP prevádzky na úrovni siete. Spoločnosť Cisco vyvinula NetFlow, aby jej prepínače a smerovače mohli poskytovať tieto cenné informácie. Vzhľadom na dominanciu zariadení Cisco sa NetFlow rýchlo stal de facto štandardom pre analýzu sieťovej prevádzky. Konkurenti v tomto odvetví si však uvedomili, že používanie proprietárneho protokolu kontrolovaného jeho hlavným rivalom nie je dobrý nápad, a preto IETF viedla úsilie o štandardizáciu otvoreného protokolu pre analýzu prevádzky, ktorým je IPFIX.
IPFIX je založený na NetFlow verzii 9 a pôvodne bol predstavený okolo roku 2005, ale trvalo niekoľko rokov, kým sa v priemysle rozšíril. V súčasnosti sú tieto dva protokoly v podstate rovnaké a hoci je termín NetFlow stále rozšírenejší, väčšina implementácií (hoci nie všetky) je kompatibilná so štandardom IPFIX.
Tu je tabuľka sumarizujúca rozdiely medzi NetFlow a IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Pôvod | Vlastná technológia vyvinutá spoločnosťou Cisco | Štandardný protokol založený na NetFlow verzii 9 |
| Štandardizácia | Technológia špecifická pre spoločnosť Cisco | Otvorený štandard definovaný IETF v RFC 7011 |
| Flexibilita | Vylepšené verzie so špecifickými funkciami | Väčšia flexibilita a interoperabilita medzi rôznymi dodávateľmi |
| Formát údajov | Pakety s pevnou veľkosťou | Prístup založený na šablónach pre prispôsobiteľné formáty záznamov toku |
| Podpora šablón | Nepodporované | Dynamické šablóny pre flexibilné zahrnutie polí |
| Podpora dodávateľov | Primárne zariadenia Cisco | Široká podpora od všetkých dodávateľov sieťových riešení |
| Rozšíriteľnosť | Obmedzené prispôsobenie | Zahrnutie vlastných polí a údajov špecifických pre aplikáciu |
| Rozdiely v protokoloch | Variácie špecifické pre Cisco | Natívna podpora IPv6, vylepšené možnosti záznamu toku |
| Bezpečnostné funkcie | Obmedzené bezpečnostné funkcie | Šifrovanie TLS (Transport Layer Security), integrita správ |
Monitorovanie toku sieteje zhromažďovanie, analýza a monitorovanie prevádzky prechádzajúcej danou sieťou alebo segmentom siete. Ciele sa môžu líšiť od riešenia problémov s pripojením až po plánovanie budúceho prideľovania šírky pásma. Monitorovanie toku a vzorkovanie paketov môžu byť dokonca užitočné pri identifikácii a odstraňovaní bezpečnostných problémov.
Monitorovanie toku dát poskytuje sieťovým tímom dobrú predstavu o tom, ako sieť funguje, a poskytuje prehľad o celkovom využití, používaní aplikácií, potenciálnych úzkych miestach, anomáliách, ktoré môžu signalizovať bezpečnostné hrozby a ďalšie informácie. Pri monitorovaní toku siete sa používa niekoľko rôznych štandardov a formátov vrátane NetFlow, sFlow a Internet Protocol Flow Information Export (IPFIX). Každý z nich funguje trochu inak, ale všetky sa líšia od zrkadlenia portov a hĺbkovej kontroly paketov v tom, že nezachytávajú obsah každého paketu prechádzajúceho cez port alebo cez prepínač. Monitorovanie toku dát však poskytuje viac informácií ako SNMP, ktorý je vo všeobecnosti obmedzený na široké štatistiky, ako je celkové využitie paketov a šírky pásma.
Porovnanie nástrojov sieťového toku
| Funkcia | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otvorené alebo proprietárne | Vlastnícke | Vlastnícke | OTVORENÉ | OTVORENÉ |
| Vzorkované alebo na základe prietoku | Primárne založené na prietoku; k dispozícii je aj režim vzorkovania | Primárne založené na prietoku; k dispozícii je aj režim vzorkovania | Vzorkované | Primárne založené na prietoku; k dispozícii je aj režim vzorkovania |
| Zachytené informácie | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhraní atď. | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhraní atď. | Kompletné hlavičky paketov, čiastočné užitočné zaťaženie paketov | Metadáta a štatistické informácie vrátane prenesených bajtov, počítadiel rozhraní atď. |
| Monitorovanie vstupu/výstupu | Iba vstup | Vstup a výstup | Vstup a výstup | Vstup a výstup |
| Podpora IPv6/VLAN/MPLS | No | Áno | Áno | Áno |
Čas uverejnenia: 18. marca 2024
