NetFlow in IPFIX sta tehnologiji, ki se uporabljata za spremljanje in analizo omrežnega toka.Zagotavljajo vpogled v vzorce omrežnega prometa, pomagajo pri optimizaciji delovanja, odpravljanju težav in analizi varnosti.
NetFlow:
Kaj je NetFlow?
NetFlowje izvirna rešitev za spremljanje pretoka, ki jo je prvotno razvil Cisco v poznih devetdesetih letih.Obstaja več različnih različic, vendar večina uvedb temelji na NetFlow v5 ali NetFlow v9.Čeprav ima vsaka različica različne zmogljivosti, osnovna operacija ostaja enaka:
Prvič, usmerjevalnik, stikalo, požarni zid ali druga vrsta naprave bo zajela informacije o omrežnih "tokih" - v bistvu nabor paketov, ki imajo skupen nabor značilnosti, kot so izvorni in ciljni naslov, izvorna in ciljna vrata ter protokol vrsta.Ko tok miruje ali preteče vnaprej določen čas, bo naprava izvozila zapise pretoka v entiteto, imenovano »zbiralnik pretoka«.
Nazadnje, »analizator toka« osmisli te zapise, saj zagotavlja vpogled v obliki vizualizacij, statističnih podatkov ter podrobnih zgodovinskih poročil in poročil v realnem času.V praksi so zbiralniki in analizatorji pogosto ena sama entiteta, pogosto združena v večjo rešitev za spremljanje delovanja omrežja.
NetFlow deluje na podlagi stanja.Ko odjemalski stroj doseže strežnik, bo NetFlow začel zajemati in združevati metapodatke iz toka.Po končani seji bo NetFlow izvozil en sam celoten zapis v zbiralnik.
Čeprav se še vedno pogosto uporablja, ima NetFlow v5 številne omejitve.Izvožena polja so fiksna, nadzor je podprt samo v vhodni smeri, sodobne tehnologije, kot so IPv6, MPLS in VXLAN, pa niso podprte.NetFlow v9, označen tudi kot Fleksibilni NetFlow (FNF), obravnava nekatere od teh omejitev in uporabnikom omogoča izdelavo predlog po meri in dodaja podporo za novejše tehnologije.
Številni prodajalci imajo tudi svoje lastne implementacije NetFlow, kot sta jFlow podjetja Juniper in NetStream podjetja Huawei.Čeprav se konfiguracija lahko nekoliko razlikuje, te izvedbe pogosto ustvarijo zapise pretoka, ki so združljivi z zbiralniki in analizatorji NetFlow.
Ključne lastnosti NetFlow:
~ Podatki o pretoku: NetFlow ustvari zapise toka, ki vključujejo podrobnosti, kot so izvorni in ciljni naslovi IP, vrata, časovni žigi, število paketov in bajtov ter vrste protokolov.
~ Spremljanje prometa: NetFlow zagotavlja vpogled v vzorce omrežnega prometa, kar administratorjem omogoča prepoznavanje najboljših aplikacij, končnih točk in virov prometa.
~Odkrivanje nepravilnosti: Z analizo podatkov o pretoku lahko NetFlow zazna anomalije, kot so prekomerna uporaba pasovne širine, prezasedenost omrežja ali nenavadni vzorci prometa.
~ Varnostna analiza: NetFlow se lahko uporablja za odkrivanje in raziskovanje varnostnih incidentov, kot so porazdeljeni napadi zavrnitve storitve (DDoS) ali poskusi nepooblaščenega dostopa.
Različice NetFlow: NetFlow se je sčasoma razvijal in izdane so bile različne različice.Nekatere pomembne različice vključujejo NetFlow v5, NetFlow v9 in Flexible NetFlow.Vsaka različica uvaja izboljšave in dodatne zmogljivosti.
IPFIX:
Kaj je IPFIX?
Standard IETF, ki se je pojavil v zgodnjih 2000-ih, Internet Protocol Flow Information Export (IPFIX), je izjemno podoben NetFlowu.Pravzaprav je NetFlow v9 služil kot osnova za IPFIX.Glavna razlika med obema je v tem, da je IPFIX odprt standard in ga podpirajo številni ponudniki omrežij razen Cisca.Z izjemo nekaj dodatnih polj, dodanih v IPFIX, so formati sicer skoraj enaki.Pravzaprav se IPFIX včasih imenuje tudi »NetFlow v10«.
IPFIX deloma zaradi podobnosti z NetFlow uživa široko podporo med rešitvami za nadzor omrežja in omrežno opremo.
IPFIX (Internet Protocol Flow Information Export) je protokol odprtega standarda, ki ga je razvila Internet Engineering Task Force (IETF).Temelji na specifikaciji NetFlow različice 9 in zagotavlja standardiziran format za izvoz zapisov pretoka iz omrežnih naprav.
IPFIX gradi na konceptih NetFlow in jih razširja, da ponuja večjo prilagodljivost in interoperabilnost med različnimi prodajalci in napravami.Predstavlja koncept predlog, ki omogoča dinamično definiranje strukture in vsebine zapisa poteka.To omogoča vključitev polj po meri, podporo za nove protokole in razširljivost.
Ključne lastnosti IPFIX:
~ Pristop na podlagi predloge: IPFIX uporablja predloge za definiranje strukture in vsebine zapisov toka, kar ponuja prilagodljivost pri prilagajanju različnih podatkovnih polj in informacij, specifičnih za protokol.
~ Interoperabilnost: IPFIX je odprt standard, ki zagotavlja dosledne zmožnosti spremljanja pretoka pri različnih ponudnikih omrežij in napravah.
~ Podpora za IPv6: IPFIX izvorno podpira IPv6, zaradi česar je primeren za spremljanje in analiziranje prometa v omrežjih IPv6.
~Izboljšana varnost: IPFIX vključuje varnostne funkcije, kot je šifriranje Transport Layer Security (TLS) in preverjanje celovitosti sporočila za zaščito zaupnosti in celovitosti podatkov o toku med prenosom.
IPFIX široko podpirajo različni prodajalci omrežne opreme, zaradi česar je nevtralen glede prodajalca in široko sprejeta izbira za spremljanje omrežnega toka.
Kakšna je torej razlika med NetFlow in IPFIX?
Preprost odgovor je, da je NetFlow Ciscov lastniški protokol, uveden okoli leta 1996, IPFIX pa je njegov brat, ki ga je odobrilo telo za standarde.
Oba protokola služita istemu namenu: omogočiti omrežnim inženirjem in skrbnikom, da zbirajo in analizirajo tokove IP prometa na ravni omrežja.Cisco je razvil NetFlow, da bi njegova stikala in usmerjevalniki lahko oddajali te dragocene informacije.Glede na prevlado opreme Cisco je NetFlow hitro postal de facto standard za analizo omrežnega prometa.Vendar pa so konkurenti v panogi ugotovili, da uporaba lastniškega protokola, ki ga nadzoruje njihov glavni tekmec, ni dobra ideja, zato je IETF vodil prizadevanja za standardizacijo odprtega protokola za analizo prometa, ki je IPFIX.
IPFIX temelji na različici NetFlow 9 in je bil prvotno uveden okoli leta 2005, vendar je trajalo nekaj let, da je bil sprejet v industriji.Na tej točki sta oba protokola v bistvu enaka in čeprav je izraz NetFlow še vedno bolj razširjen, je večina izvedb (čeprav ne vse) združljivih s standardom IPFIX.
Tu je tabela, ki povzema razlike med NetFlow in IPFIX:
| Vidik | NetFlow | IPFIX |
|---|---|---|
| Izvor | Lastniška tehnologija, ki jo je razvil Cisco | Protokol industrijskega standarda, ki temelji na različici NetFlow 9 |
| Standardizacija | Tehnologija, specifična za Cisco | Odprti standard, ki ga definira IETF v RFC 7011 |
| Prilagodljivost | Razvite različice s posebnimi funkcijami | Večja prilagodljivost in interoperabilnost med ponudniki |
| Format podatkov | Paketi fiksne velikosti | Pristop, ki temelji na predlogah, za prilagodljive formate zapisa toka |
| Podpora za predloge | Ne podpira | Dinamične predloge za prilagodljivo vključitev polja |
| Podpora prodajalca | Predvsem naprave Cisco | Široka podpora med ponudniki omrežij |
| Razširljivost | Omejeno prilagajanje | Vključitev polj po meri in podatkov, specifičnih za aplikacijo |
| Protokolne razlike | Različice, specifične za Cisco | Izvorna podpora za IPv6, izboljšane možnosti snemanja toka |
| Varnostne funkcije | Omejene varnostne funkcije | Šifriranje Transport Layer Security (TLS), celovitost sporočila |
Nadzor omrežnega pretokaje zbiranje, analiza in spremljanje prometa, ki prečka dano omrežje ali omrežni segment.Cilji se lahko razlikujejo od odpravljanja težav s povezljivostjo do načrtovanja prihodnjega dodeljevanja pasovne širine.Nadzor pretoka in vzorčenje paketov sta lahko koristna celo pri prepoznavanju in odpravljanju varnostnih težav.
Nadzor pretoka daje omrežnim ekipam dobro predstavo o tem, kako omrežje deluje, in zagotavlja vpogled v splošno uporabo, uporabo aplikacij, morebitna ozka grla, anomalije, ki lahko signalizirajo varnostne grožnje, in drugo.Pri spremljanju omrežnega toka se uporablja več različnih standardov in formatov, vključno z NetFlow, sFlow in izvozom informacij o toku internetnega protokola (IPFIX).Vsak deluje na nekoliko drugačen način, vendar se vsi razlikujejo od zrcaljenja vrat in poglobljenega pregleda paketov, saj ne zajamejo vsebine vsakega paketa, ki gre čez vrata ali prek stikala.Vendar spremljanje pretoka zagotavlja več informacij kot SNMP, ki je na splošno omejen na široko statistiko, kot je celotna uporaba paketov in pasovne širine.
Primerjava orodij Network Flow
| Funkcija | NetFlow v5 | NetFlow v9 | sTok | IPFIX |
| Odprto ali lastniško | Lastniški | Lastniški | Odprto | Odprto |
| Vzorčeno ali na podlagi toka | Predvsem temelji na toku;Na voljo je vzorčeni način | Predvsem temelji na toku;Na voljo je vzorčeni način | Vzorčeno | Predvsem temelji na toku;Na voljo je vzorčeni način |
| Informacije zajete | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov itd | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov itd | Celotne glave paketov, delne obremenitve paketov | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov itd |
| Nadzor vstopa/izstopa | Samo vstop | Vstop in izstop | Vstop in izstop | Vstop in izstop |
| Podpora za IPv6/VLAN/MPLS | No | ja | ja | ja |
Čas objave: 18. marec 2024
