NetFlow i IPFIX su tehnologije koje se koriste za praćenje i analizu mrežnog protoka. Pružaju uvid u obrasce mrežnog prometa, pomažući u optimizaciji performansi, rješavanju problema i analizi sigurnosti.
NetFlow:
Što je NetFlow?
NetFlowje originalno rješenje za praćenje protoka, koje je izvorno razvio Cisco krajem 1990-ih. Postoji nekoliko različitih verzija, ali većina implementacija temelji se na NetFlow v5 ili NetFlow v9. Iako svaka verzija ima različite mogućnosti, osnovni rad ostaje isti:
Prvo, usmjerivač, preklopnik, vatrozid ili neka druga vrsta uređaja bilježit će informacije o mrežnim "tokovima" - u osnovi skupu paketa koji dijele zajednički skup karakteristika poput izvorne i odredišne adrese, izvornog i odredišnog porta te vrste protokola. Nakon što je tok u stanju mirovanja ili je prošlo unaprijed definirano vrijeme, uređaj će izvesti zapise toka u entitet poznat kao "kolektor toka".
Konačno, „analizator protoka“ daje smisao tim zapisima, pružajući uvide u obliku vizualizacija, statistike i detaljnih povijesnih i izvješća u stvarnom vremenu. U praksi, kolektori i analizatori često su jedna cjelina, često kombinirana u veće rješenje za praćenje performansi mreže.
NetFlow radi na temelju praćenja stanja. Kada klijentsko računalo kontaktira poslužitelj, NetFlow će započeti s hvatanjem i agregiranjem metapodataka iz toka. Nakon što je sesija završena, NetFlow će izvesti jedan cjeloviti zapis u kolektor.
Iako se još uvijek često koristi, NetFlow v5 ima niz ograničenja. Izvezena polja su fiksna, praćenje je podržano samo u smjeru ulaza, a moderne tehnologije poput IPv6, MPLS i VXLAN nisu podržane. NetFlow v9, također nazvan Flexible NetFlow (FNF), rješava neka od tih ograničenja, omogućujući korisnicima izradu prilagođenih predložaka i dodajući podršku za novije tehnologije.
Mnogi dobavljači također imaju vlastite implementacije NetFlowa, kao što su jFlow tvrtke Juniper i NetStream tvrtke Huawei. Iako se konfiguracija može donekle razlikovati, ove implementacije često proizvode zapise protoka koji su kompatibilni s NetFlow kolektorima i analizatorima.
Ključne značajke NetFlowa:
~ Podaci o protokuNetFlow generira zapise toka koji uključuju detalje kao što su izvorne i odredišne IP adrese, portovi, vremenske oznake, broj paketa i bajtova te vrste protokola.
~ Praćenje prometaNetFlow pruža uvid u obrasce mrežnog prometa, omogućujući administratorima da identificiraju najvažnije aplikacije, krajnje točke i izvore prometa.
~Otkrivanje anomalijaAnalizom podataka o protoku, NetFlow može otkriti anomalije poput prekomjerne upotrebe propusnosti, zagušenja mreže ili neobičnih obrazaca prometa.
~ Sigurnosna analizaNetFlow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, kao što su distribuirani napadi uskraćivanjem usluge (DDoS) ili pokušaji neovlaštenog pristupa.
Verzije NetFlowaNetFlow se s vremenom razvijao i objavljene su različite verzije. Neke značajne verzije uključuju NetFlow v5, NetFlow v9 i Flexible NetFlow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
IPFIX:
Što je IPFIX?
IETF standard koji se pojavio početkom 2000-ih, Internet Protocol Flow Information Export (IPFIX) izuzetno je sličan NetFlowu. Zapravo, NetFlow v9 poslužio je kao osnova za IPFIX. Glavna razlika između njih je u tome što je IPFIX otvoreni standard i podržavaju ga mnogi dobavljači mrežne opreme osim Cisca. Uz iznimku nekoliko dodatnih polja dodanih u IPFIX, formati su inače gotovo identični. Zapravo, IPFIX se ponekad čak naziva i "NetFlow v10".
Djelomično zbog sličnosti s NetFlowom, IPFIX uživa široku podršku među rješenjima za nadzor mreže, kao i mrežnom opremom.
IPFIX (Internet Protocol Flow Information Export) je protokol otvorenog standarda koji je razvila Radna skupina za internetsko inženjerstvo (IETF). Temelji se na specifikaciji NetFlow verzije 9 i pruža standardizirani format za izvoz zapisa protoka s mrežnih uređaja.
IPFIX se nadovezuje na koncepte NetFlowa i proširuje ih kako bi ponudio veću fleksibilnost i interoperabilnost među različitim dobavljačima i uređajima. Uvodi koncept predložaka, omogućujući dinamičko definiranje strukture i sadržaja zapisa protoka. To omogućuje uključivanje prilagođenih polja, podršku za nove protokole i proširivost.
Ključne značajke IPFIX-a:
~ Pristup temeljen na predlošcimaIPFIX koristi predloške za definiranje strukture i sadržaja zapisa toka, nudeći fleksibilnost u prilagođavanju različitim podatkovnim poljima i informacijama specifičnim za protokol.
~ InteroperabilnostIPFIX je otvoreni standard koji osigurava dosljedne mogućnosti praćenja protoka kod različitih dobavljača i uređaja u mreži.
~ IPv6 podrškaIPFIX izvorno podržava IPv6, što ga čini prikladnim za praćenje i analizu prometa u IPv6 mrežama.
~Poboljšana sigurnostIPFIX uključuje sigurnosne značajke kao što su šifriranje Transport Layer Security (TLS) i provjere integriteta poruka kako bi se zaštitila povjerljivost i integritet podataka o protoku tijekom prijenosa.
IPFIX široko podržavaju razni dobavljači mrežne opreme, što ga čini neutralnim i široko prihvaćenim izborom za praćenje mrežnog protoka.
Dakle, koja je razlika između NetFlowa i IPFIX-a?
Jednostavan odgovor je da je NetFlow vlasnički protokol tvrtke Cisco uveden oko 1996. godine, a IPFIX je njegov brat odobren od strane tijela za standardizaciju.
Oba protokola služe istoj svrsi: omogućuju mrežnim inženjerima i administratorima prikupljanje i analizu tokova IP prometa na mrežnoj razini. Cisco je razvio NetFlow kako bi njegovi preklopnici i usmjerivači mogli slati ove vrijedne informacije. S obzirom na dominaciju Ciscove opreme, NetFlow je brzo postao de facto standard za analizu mrežnog prometa. Međutim, konkurenti u industriji shvatili su da korištenje vlasničkog protokola kojim upravlja njegov glavni rival nije dobra ideja te je stoga IETF poveo napore za standardizaciju otvorenog protokola za analizu prometa, a to je IPFIX.
IPFIX se temelji na NetFlow verziji 9 i izvorno je predstavljen oko 2005. godine, ali je trebalo nekoliko godina da se prihvati u industriji. U ovom trenutku, dva protokola su u biti ista i iako je izraz NetFlow još uvijek rasprostranjeniji, većina implementacija (iako ne sve) kompatibilna je sa standardom IPFIX.
Evo tablice koja sažima razlike između NetFlowa i IPFIX-a:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Podrijetlo | Vlasnička tehnologija koju je razvio Cisco | Industrijski standardni protokol temeljen na NetFlow verziji 9 |
| Standardizacija | Cisco-specifična tehnologija | Otvoreni standard definiran od strane IETF-a u RFC 7011 |
| Fleksibilnost | Razvijene verzije sa specifičnim značajkama | Veća fleksibilnost i interoperabilnost među dobavljačima |
| Format podataka | Paketi fiksne veličine | Prilagodljivi formati zapisa toka temeljeni na predlošcima |
| Podrška za predloške | Nije podržano | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška dobavljača | Primarno Cisco uređaji | Široka podrška među dobavljačima mrežnih usluga |
| Proširivost | Ograničena prilagodba | Uključivanje prilagođenih polja i podataka specifičnih za aplikaciju |
| Razlike u protokolu | Varijacije specifične za Cisco | Izvorna IPv6 podrška, poboljšane opcije zapisa toka |
| Sigurnosne značajke | Ograničene sigurnosne značajke | TLS (Transport Layer Security) šifriranje, integritet poruke |
Praćenje mrežnog protokaje prikupljanje, analiza i praćenje prometa koji prolazi određenom mrežom ili mrežnim segmentom. Ciljevi mogu varirati od rješavanja problema s povezivanjem do planiranja buduće dodjele propusnosti. Praćenje protoka i uzorkovanje paketa mogu biti korisni čak i u identificiranju i otklanjanju sigurnosnih problema.
Praćenje protoka daje mrežnim timovima dobru predodžbu o tome kako mreža funkcionira, pružajući uvid u ukupnu iskorištenost, korištenje aplikacija, potencijalna uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i još mnogo toga. Postoji nekoliko različitih standarda i formata koji se koriste u praćenju protoka mreže, uključujući NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Svaki radi na malo drugačiji način, ali svi se razlikuju od zrcaljenja portova i dubinske inspekcije paketa po tome što ne bilježe sadržaj svakog paketa koji prolazi preko porta ili kroz sklopku. Međutim, praćenje protoka pruža više informacija od SNMP-a, koji je općenito ograničen na široku statistiku poput ukupne upotrebe paketa i propusnosti.
Usporedba alata za mrežni protok
| Značajka | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otvoreno ili vlasničko | Vlasnički | Vlasnički | Otvoriti | Otvoriti |
| Uzorkovano ili na temelju protoka | Primarno temeljeno na protoku; dostupan je uzorkovani način rada | Primarno temeljeno na protoku; dostupan je uzorkovani način rada | Uzorkovano | Primarno temeljeno na protoku; dostupan je uzorkovani način rada |
| Prikupljene informacije | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Potpuni zaglavlja paketa, djelomični korisni sadržaji paketa | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje |
| Nadzor ulaza/izlaza | Samo ulaz | Ulaz i izlaz | Ulaz i izlaz | Ulaz i izlaz |
| Podrška za IPv6/VLAN/MPLS | No | Da | Da | Da |
Vrijeme objave: 18. ožujka 2024.
