NetFlow a IPFIX jsou technologie používané pro monitorování a analýzu síťového toku. Poskytují vhled do vzorců síťového provozu, pomáhají s optimalizací výkonu, řešením problémů a analýzou zabezpečení.
NetFlow:
Co je NetFlow?
NetFlowje původní řešení pro monitorování toku dat, původně vyvinuté společností Cisco na konci 90. let. Existuje několik různých verzí, ale většina nasazení je založena buď na NetFlow v5, nebo NetFlow v9. I když každá verze má jiné funkce, základní ovládání zůstává stejné:
Nejprve router, přepínač, firewall nebo jiný typ zařízení zachytí informace o síťových „tokech“ – v podstatě se jedná o sadu paketů, které sdílejí společnou sadu charakteristik, jako je zdrojová a cílová adresa, zdrojový a cílový port a typ protokolu. Poté, co tok přejde do neaktivního stavu nebo uplyne předem definovaná doba, zařízení exportuje záznamy o toku do entity známé jako „kolektor toku“.
Nakonec „analyzátor toku“ těmto záznamům dává smysl a poskytuje poznatky ve formě vizualizací, statistik a podrobných historických a reálných reportů. V praxi jsou kolektory a analyzátory často jednou entitou, často sloučenou do většího řešení pro monitorování výkonu sítě.
NetFlow pracuje na stavovém principu. Když se klientský počítač spojí se serverem, NetFlow začne zaznamenávat a agregovat metadata z toku. Po ukončení relace NetFlow exportuje jeden kompletní záznam do kolektoru.
Přestože se NetFlow v5 stále běžně používá, má řadu omezení. Exportovaná pole jsou pevně daná, monitorování je podporováno pouze ve směru vstupu a moderní technologie jako IPv6, MPLS a VXLAN nejsou podporovány. NetFlow v9, označovaný také jako Flexible NetFlow (FNF), některá z těchto omezení řeší, umožňuje uživatelům vytvářet vlastní šablony a přidává podporu pro novější technologie.
Mnoho dodavatelů má také své vlastní proprietární implementace NetFlow, například jFlow od Juniperu a NetStream od Huawei. I když se konfigurace může poněkud lišit, tyto implementace často produkují záznamy o toku, které jsou kompatibilní s kolektory a analyzátory NetFlow.
Klíčové vlastnosti NetFlow:
~ Údaje o tokuNetFlow generuje záznamy o toku dat, které obsahují podrobnosti, jako jsou zdrojové a cílové IP adresy, porty, časová razítka, počet paketů a bajtů a typy protokolů.
~ Monitorování provozuNetFlow poskytuje přehled o vzorcích síťového provozu a umožňuje správcům identifikovat nejčastější aplikace, koncové body a zdroje provozu.
~Detekce anomáliíAnalýzou dat o toku dat dokáže NetFlow detekovat anomálie, jako je nadměrné využití šířky pásma, přetížení sítě nebo neobvyklé vzorce provozu.
~ Bezpečnostní analýzaNetFlow lze použít k detekci a vyšetřování bezpečnostních incidentů, jako jsou distribuované útoky typu denial-of-service (DDoS) nebo pokusy o neoprávněný přístup.
Verze NetFlowNetFlow se v průběhu času vyvíjel a byly vydány různé verze. Mezi významné verze patří NetFlow v5, NetFlow v9 a Flexible NetFlow. Každá verze přináší vylepšení a další funkce.
IPFIX:
Co je IPFIX?
Standard IETF, který se objevil na začátku roku 2000, Internet Protocol Flow Information Export (IPFIX), je extrémně podobný standardu NetFlow. Ve skutečnosti NetFlow v9 sloužil jako základ pro IPFIX. Hlavní rozdíl mezi těmito dvěma spočívá v tom, že IPFIX je otevřený standard a je podporován mnoha dodavateli síťových zařízení kromě společnosti Cisco. S výjimkou několika dalších polí přidaných v IPFIX jsou formáty jinak téměř identické. IPFIX se dokonce někdy označuje jako „NetFlow v10“.
Částečně kvůli své podobnosti s NetFlow se IPFIX těší široké podpoře mezi řešeními pro monitorování sítě i síťovým zařízením.
IPFIX (Internet Protocol Flow Information Export) je otevřený standardní protokol vyvinutý organizací Internet Engineering Task Force (IETF). Je založen na specifikaci NetFlow verze 9 a poskytuje standardizovaný formát pro export záznamů o toku dat ze síťových zařízení.
IPFIX staví na konceptech NetFlow a rozšiřuje je tak, aby nabízel větší flexibilitu a interoperabilitu napříč různými dodavateli a zařízeními. Zavádí koncept šablon, které umožňují dynamickou definici struktury a obsahu záznamů o toku. To umožňuje zahrnutí vlastních polí, podporu pro nové protokoly a rozšiřitelnost.
Klíčové vlastnosti IPFIXu:
~ Přístup založený na šablonáchIPFIX používá šablony k definování struktury a obsahu záznamů o toku, což nabízí flexibilitu při přizpůsobování různých datových polí a informací specifických pro protokol.
~ InteroperabilitaIPFIX je otevřený standard, který zajišťuje konzistentní možnosti monitorování toku dat napříč různými síťovými dodavateli a zařízeními.
~ Podpora IPv6IPFIX nativně podporuje IPv6, takže je vhodný pro monitorování a analýzu provozu v sítích IPv6.
~Zvýšené zabezpečeníIPFIX obsahuje bezpečnostní funkce, jako je šifrování Transport Layer Security (TLS) a kontroly integrity zpráv, které chrání důvěrnost a integritu datového toku během přenosu.
Protokol IPFIX je široce podporován různými dodavateli síťového vybavení, což z něj činí nezávislou a široce používanou volbu pro monitorování toku v síti.
Jaký je tedy rozdíl mezi NetFlow a IPFIX?
Jednoduchá odpověď je, že NetFlow je proprietární protokol společnosti Cisco, který byl představen kolem roku 1996, a IPFIX je jeho bratr schválený standardizačním orgánem.
Oba protokoly slouží stejnému účelu: umožňují síťovým inženýrům a administrátorům shromažďovat a analyzovat toky IP provozu na úrovni sítě. Společnost Cisco vyvinula NetFlow, aby její přepínače a routery mohly tyto cenné informace poskytovat. Vzhledem k dominanci zařízení Cisco se NetFlow rychle stal de facto standardem pro analýzu síťového provozu. Konkurenti v oboru si však uvědomili, že používání proprietárního protokolu ovládaného jeho hlavním rivalem není dobrý nápad, a proto IETF vedla úsilí o standardizaci otevřeného protokolu pro analýzu provozu, kterým je IPFIX.
IPFIX je založen na NetFlow verze 9 a byl původně představen kolem roku 2005, ale trvalo několik let, než se v průmyslu prosadil. V současné době jsou oba protokoly v podstatě stejné a ačkoli je termín NetFlow stále rozšířenější, většina implementací (i když ne všechny) je kompatibilní se standardem IPFIX.
Zde je tabulka shrnující rozdíly mezi NetFlow a IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Původ | Vlastní technologie vyvinutá společností Cisco | Standardní protokol založený na NetFlow verze 9 |
| Standardizace | Technologie specifická pro Cisco | Otevřený standard definovaný IETF v RFC 7011 |
| Flexibilita | Vylepšené verze se specifickými funkcemi | Větší flexibilita a interoperabilita napříč dodavateli |
| Formát dat | Pakety s pevnou velikostí | Přístup založený na šablonách pro přizpůsobitelné formáty záznamů toku |
| Podpora šablon | Není podporováno | Dynamické šablony pro flexibilní zahrnutí polí |
| Podpora dodavatelů | Především zařízení Cisco | Široká podpora napříč dodavateli síťových technologií |
| Rozšiřitelnost | Omezené přizpůsobení | Zahrnutí vlastních polí a dat specifických pro aplikaci |
| Rozdíly v protokolech | Varianty specifické pro Cisco | Nativní podpora IPv6, vylepšené možnosti záznamu toku |
| Bezpečnostní funkce | Omezené bezpečnostní funkce | Šifrování TLS (Transport Layer Security), integrita zpráv |
Monitorování toku sítěje sběr, analýza a monitorování provozu procházejícího danou sítí nebo segmentem sítě. Cíle se mohou lišit od řešení problémů s připojením až po plánování budoucí alokace šířky pásma. Monitorování toku a vzorkování paketů může být užitečné i při identifikaci a nápravě bezpečnostních problémů.
Monitorování toku dat poskytuje síťovým týmům dobrou představu o tom, jak síť funguje, a poskytuje vhled do celkového využití, používání aplikací, potenciálních úzkých míst, anomálií, které mohou signalizovat bezpečnostní hrozby, a další. Pro monitorování toku dat v síti se používá několik různých standardů a formátů, včetně NetFlow, sFlow a Internet Protocol Flow Information Export (IPFIX). Každý z nich funguje trochu jinak, ale všechny se liší od zrcadlení portů a hloubkové inspekce paketů v tom, že nezachycují obsah každého paketu procházejícího přes port nebo přepínač. Monitorování toku dat však poskytuje více informací než SNMP, který je obecně omezen na obecné statistiky, jako je celkové využití paketů a šířky pásma.
Porovnání nástrojů pro síťový tok
| Funkce | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otevřené nebo proprietární | Proprietární | Proprietární | OTEVŘENO | OTEVŘENO |
| Vzorkované nebo průtokové | Primárně založeno na průtoku; k dispozici je režim vzorkování | Primárně založeno na průtoku; k dispozici je režim vzorkování | Vzorkováno | Primárně založeno na průtoku; k dispozici je režim vzorkování |
| Zachycené informace | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. | Kompletní záhlaví paketů, částečné datové části paketů | Metadata a statistické informace, včetně přenesených bajtů, čítačů rozhraní atd. |
| Monitorování vstupu/výstupu | Pouze vstup | Vjezd a výstup | Vjezd a výstup | Vjezd a výstup |
| Podpora IPv6/VLAN/MPLS | No | Ano | Ano | Ano |
Čas zveřejnění: 18. března 2024
