NetFlow in IPFIX sta tehnologiji, ki se uporabljata za spremljanje in analizo omrežnega pretoka. Zagotavljata vpogled v vzorce omrežnega prometa, kar pomaga pri optimizaciji delovanja, odpravljanju težav in varnostni analizi.
Omrežni pretok:
Kaj je NetFlow?
NetFlowje originalna rešitev za spremljanje pretoka, ki jo je Cisco prvotno razvil konec devetdesetih let prejšnjega stoletja. Obstaja več različnih različic, vendar večina uvedb temelji na NetFlow v5 ali NetFlow v9. Čeprav ima vsaka različica različne zmogljivosti, osnovno delovanje ostaja enako:
Najprej usmerjevalnik, stikalo, požarni zid ali druga vrsta naprave zajame informacije o omrežnih »tokovih« – v bistvu gre za niz paketov, ki imajo skupen niz značilnosti, kot so izvorni in ciljni naslov, izvorna in ciljna vrata ter vrsta protokola. Ko tok miruje ali poteče vnaprej določen čas, naprava izvozi zapise o pretoku v entiteto, znano kot »zbiralnik pretoka«.
Končno, »analizator pretoka« osmisli te zapise in zagotavlja vpoglede v obliki vizualizacij, statistike ter podrobnih zgodovinskih in realnočasovnih poročil. V praksi so zbiralniki in analizatorji pogosto ena sama entiteta, pogosto združena v večjo rešitev za spremljanje delovanja omrežja.
NetFlow deluje na osnovi spremljanja stanja. Ko odjemalski računalnik stopi v stik s strežnikom, NetFlow začne zajemati in združevati metapodatke iz toka. Po koncu seje NetFlow izvozi en sam celoten zapis v zbiralnik.
Čeprav se NetFlow v5 še vedno pogosto uporablja, ima številne omejitve. Izvožena polja so fiksna, spremljanje je podprto le v vhodni smeri, sodobne tehnologije, kot so IPv6, MPLS in VXLAN, pa niso podprte. NetFlow v9, imenovan tudi Flexible NetFlow (FNF), odpravlja nekatere od teh omejitev, saj uporabnikom omogoča izdelavo predlog po meri in dodaja podporo za novejše tehnologije.
Mnogi prodajalci imajo tudi lastne implementacije NetFlowa, kot sta jFlow podjetja Juniper in NetStream podjetja Huawei. Čeprav se konfiguracija lahko nekoliko razlikuje, te implementacije pogosto ustvarijo zapise pretoka, ki so združljivi z zbiralniki in analizatorji NetFlow.
Ključne značilnosti NetFlowa:
~ Podatki o pretokuNetFlow generira zapise pretoka, ki vključujejo podrobnosti, kot so izvorni in ciljni IP-naslovi, vrata, časovni žigi, število paketov in bajtov ter vrste protokolov.
~ Spremljanje prometaNetFlow zagotavlja vpogled v vzorce omrežnega prometa, kar skrbnikom omogoča prepoznavanje najpogostejših aplikacij, končnih točk in virov prometa.
~Zaznavanje anomalijZ analizo podatkov o pretoku lahko NetFlow zazna anomalije, kot so prekomerna izkoriščenost pasovne širine, preobremenjenost omrežja ali nenavadni vzorci prometa.
~ Varnostna analizaNetFlow se lahko uporablja za odkrivanje in preiskovanje varnostnih incidentov, kot so porazdeljeni napadi zavrnitve storitve (DDoS) ali poskusi nepooblaščenega dostopa.
Različice NetFlowNetFlow se je sčasoma razvijal in izdane so bile različne različice. Med pomembnejše spadajo NetFlow v5, NetFlow v9 in Flexible NetFlow. Vsaka različica uvaja izboljšave in dodatne zmogljivosti.
IPFIX:
Kaj je IPFIX?
Standard IETF, ki se je pojavil v začetku 2000-ih, Internet Protocol Flow Information Export (IPFIX), je zelo podoben NetFlowu. Pravzaprav je NetFlow v9 služil kot osnova za IPFIX. Glavna razlika med obema je, da je IPFIX odprt standard in ga podpirajo številni ponudniki omrežne opreme, razen Cisca. Z izjemo nekaj dodatnih polj, dodanih v IPFIX, so formati sicer skoraj enaki. Pravzaprav se IPFIX včasih celo imenuje »NetFlow v10«.
Delno zaradi podobnosti z NetFlowom uživa IPFIX široko podporo med rešitvami za spremljanje omrežja in omrežno opremo.
IPFIX (Internet Protocol Flow Information Export) je odprti standardni protokol, ki ga je razvila skupina Internet Engineering Task Force (IETF). Temelji na specifikaciji NetFlow različice 9 in zagotavlja standardiziran format za izvoz zapisov pretoka iz omrežnih naprav.
IPFIX gradi na konceptih NetFlow in jih razširja, da bi ponudil večjo prilagodljivost in interoperabilnost med različnimi prodajalci in napravami. Uvaja koncept predlog, ki omogoča dinamično opredelitev strukture in vsebine zapisa pretoka. To omogoča vključitev polj po meri, podporo za nove protokole in razširljivost.
Ključne značilnosti IPFIX-a:
~ Pristop na podlagi predlogIPFIX uporablja predloge za določanje strukture in vsebine zapisov pretoka, kar ponuja prilagodljivost pri prilagajanju različnim podatkovnim poljem in informacijam, specifičnim za protokol.
~ InteroperabilnostIPFIX je odprt standard, ki zagotavlja dosledne zmogljivosti spremljanja pretoka pri različnih ponudnikih omrežij in napravah.
~ Podpora za IPv6IPFIX izvorno podpira IPv6, zaradi česar je primeren za spremljanje in analizo prometa v omrežjih IPv6.
~Izboljšana varnostIPFIX vključuje varnostne funkcije, kot sta šifriranje Transport Layer Security (TLS) in preverjanje integritete sporočil, za zaščito zaupnosti in integritete podatkov o pretoku med prenosom.
IPFIX široko podpirajo različni ponudniki omrežne opreme, zaradi česar je nevtralna in široko sprejeta izbira za spremljanje pretoka omrežja.
Kakšna je torej razlika med NetFlow in IPFIX?
Preprost odgovor je, da je NetFlow lastniški protokol podjetja Cisco, predstavljen okoli leta 1996, IPFIX pa je njegov brat, ki ga je odobril organ za standardizacijo.
Oba protokola služita istemu namenu: omogočanju omrežnim inženirjem in skrbnikom zbiranja in analize tokov IP-prometa na ravni omrežja. Cisco je razvil NetFlow, da bi lahko njegova stikala in usmerjevalniki oddajali te dragocene informacije. Glede na prevlado Ciscove opreme je NetFlow hitro postal dejanski standard za analizo omrežnega prometa. Vendar so konkurenti v panogi spoznali, da uporaba lastniškega protokola, ki ga nadzoruje njegov glavni tekmec, ni dobra ideja, zato je IETF začel prizadevanja za standardizacijo odprtega protokola za analizo prometa, ki je IPFIX.
IPFIX temelji na NetFlow različici 9 in je bil prvotno predstavljen okoli leta 2005, vendar je trajalo nekaj let, da je postal sprejet v industriji. Trenutno sta protokola v bistvu enaka in čeprav je izraz NetFlow še vedno bolj razširjen, je večina izvedb (čeprav ne vse) združljivih s standardom IPFIX.
Tukaj je tabela, ki povzema razlike med NetFlow in IPFIX:
| Vidik | NetFlow | IPFIX |
|---|---|---|
| Izvor | Lastniška tehnologija, ki jo je razvil Cisco | Industrijski standardni protokol, ki temelji na NetFlow različice 9 |
| Standardizacija | Ciscova specifična tehnologija | Odprti standard, ki ga je IETF opredelil v RFC 7011 |
| Prilagodljivost | Izboljšane različice s posebnimi funkcijami | Večja prilagodljivost in interoperabilnost med ponudniki |
| Oblika podatkov | Paketi fiksne velikosti | Prilagodljivi formati zapisov pretoka podatkov, ki temeljijo na predlogah |
| Podpora za predloge | Ni podprto | Dinamične predloge za prilagodljivo vključevanje polj |
| Podpora prodajalcev | Predvsem naprave Cisco | Široka podpora med ponudniki omrežij |
| Razširljivost | Omejena prilagoditev | Vključitev polj po meri in podatkov, specifičnih za aplikacijo |
| Razlike v protokolu | Različice, specifične za Cisco | Izvorna podpora za IPv6, izboljšane možnosti zapisovanja pretoka |
| Varnostne funkcije | Omejene varnostne funkcije | Šifriranje TLS (Transport Layer Security), celovitost sporočil |
Spremljanje pretoka omrežjaje zbiranje, analiza in spremljanje prometa, ki potuje skozi določeno omrežje ali omrežni segment. Cilji se lahko razlikujejo od odpravljanja težav s povezljivostjo do načrtovanja prihodnje dodelitve pasovne širine. Spremljanje pretoka in vzorčenje paketov sta lahko koristna celo pri prepoznavanju in odpravljanju varnostnih težav.
Spremljanje pretoka daje omrežnim ekipam dober vpogled v delovanje omrežja, saj zagotavlja vpogled v splošno izkoriščenost, uporabo aplikacij, morebitna ozka grla, anomalije, ki lahko signalizirajo varnostne grožnje in drugo. Pri spremljanju pretoka omrežja se uporablja več različnih standardov in formatov, vključno z NetFlow, sFlow in Internet Protocol Flow Information Export (IPFIX). Vsak deluje nekoliko drugače, vendar se vsi razlikujejo od zrcaljenja vrat in poglobljenega pregleda paketov, saj ne zajamejo vsebine vsakega paketa, ki prehaja skozi vrata ali prek stikala. Vendar pa spremljanje pretoka zagotavlja več informacij kot SNMP, ki je običajno omejen na splošno statistiko, kot je splošna poraba paketov in pasovne širine.
Primerjava orodij za omrežni pretok
| Funkcija | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Odprto ali lastniško | Lastniško | Lastniško | Odprto | Odprto |
| Vzorčeno ali pretočno | Predvsem na podlagi pretoka; na voljo je vzorčni način | Predvsem na podlagi pretoka; na voljo je vzorčni način | Vzorčeno | Predvsem na podlagi pretoka; na voljo je vzorčni način |
| Zajete informacije | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov in tako naprej | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov in tako naprej | Celotne glave paketov, delni koristni tovori paketov | Metapodatki in statistične informacije, vključno s prenesenimi bajti, števci vmesnikov in tako naprej |
| Spremljanje vhoda/izhoda | Samo vnos | Vhod in izhod | Vhod in izhod | Vhod in izhod |
| Podpora za IPv6/VLAN/MPLS | No | Da | Da | Da |
Čas objave: 18. marec 2024
