NetFlow i IPFIX su obje tehnologije koje se koriste za praćenje i analizu protoka mreže. Oni pružaju uvid u obrasce mrežnog prometa, pomažu u optimizaciji performansi, rješavanju problema i sigurnosnoj analizi.
NetFlow:
Što je NetFlow?
NetFlowje originalno rješenje za praćenje protoka, koje je izvorno razvio Cisco kasnih 1990-ih. Postoji nekoliko različitih verzija, ali većina implementacija temelji se na NetFlow v5 ili NetFlow v9. Iako svaka verzija ima različite mogućnosti, osnovna operacija ostaje ista:
Prvo, usmjerivač, preklopnik, vatrozid ili druga vrsta uređaja uhvatit će informacije o mrežnim "tijekovima" - u osnovi skup paketa koji dijele zajednički skup karakteristika kao što su izvorna i odredišna adresa, izvorni i odredišni port i protokol tip. Nakon što je protok u mirovanju ili je prošlo unaprijed definirano vrijeme, uređaj će izvesti zapise protoka u entitet poznat kao "kolektor protoka".
Konačno, "analizator toka" daje smisao tim zapisima, pružajući uvide u obliku vizualizacija, statistike i detaljnih povijesnih izvješća i izvješća u stvarnom vremenu. U praksi, kolektori i analizatori često su jedna cjelina, često kombinirana u veće rješenje za praćenje performansi mreže.
NetFlow radi na bazi stanja. Kada klijentsko računalo dopre do poslužitelja, NetFlow će početi hvatati i skupljati metapodatke iz toka. Nakon prekida sesije, NetFlow će izvesti jedan kompletan zapis u kolektor.
Iako se još uvijek često koristi, NetFlow v5 ima niz ograničenja. Izvezena polja su fiksna, praćenje je podržano samo u ulaznom smjeru, a moderne tehnologije poput IPv6, MPLS i VXLAN nisu podržane. NetFlow v9, također označen kao Flexible NetFlow (FNF), rješava neka od ovih ograničenja, dopuštajući korisnicima izradu prilagođenih predložaka i dodavanje podrške za novije tehnologije.
Mnogi dobavljači također imaju svoje vlastite implementacije NetFlowa, kao što su jFlow od Junipera i NetStream od Huaweija. Iako se konfiguracija može donekle razlikovati, ove implementacije često proizvode zapise toka koji su kompatibilni s NetFlow kolektorima i analizatorima.
Ključne značajke NetFlowa:
~ Podaci o protoku: NetFlow generira zapise toka koji uključuju detalje kao što su izvorna i odredišna IP adresa, portovi, vremenske oznake, broj paketa i bajtova i vrste protokola.
~ Praćenje prometa: NetFlow pruža pregled obrazaca mrežnog prometa, dopuštajući administratorima da identificiraju glavne aplikacije, krajnje točke i izvore prometa.
~Otkrivanje anomalija: Analizirajući podatke o protoku, NetFlow može detektirati anomalije kao što je prekomjerna iskorištenost propusnosti, zagušenje mreže ili neobični obrasci prometa.
~ Sigurnosna analiza: NetFlow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, kao što su distribuirani napadi uskraćivanja usluge (DDoS) ili pokušaji neovlaštenog pristupa.
NetFlow verzije: NetFlow se razvijao tijekom vremena i izdane su različite verzije. Neke značajne verzije uključuju NetFlow v5, NetFlow v9 i Flexible NetFlow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
IPFIX:
Što je IPFIX?
IETF standard koji se pojavio početkom 2000-ih, Internet Protocol Flow Information Export (IPFIX) vrlo je sličan NetFlowu. Zapravo, NetFlow v9 poslužio je kao osnova za IPFIX. Primarna razlika između ova dva je u tome što je IPFIX otvoreni standard i podržavaju ga mnogi proizvođači mreža osim Cisca. S izuzetkom nekoliko dodatnih polja dodanih u IPFIX-u, formati su inače gotovo identični. Zapravo, IPFIX se ponekad čak naziva i "NetFlow v10".
Djelomično zahvaljujući svojim sličnostima s NetFlowom, IPFIX uživa široku podršku među rješenjima za nadzor mreže kao i među mrežnom opremom.
IPFIX (Internet Protocol Flow Information Export) je protokol otvorenog standarda koji je razvila Internet Engineering Task Force (IETF). Temelji se na specifikaciji NetFlow verzije 9 i pruža standardizirani format za izvoz zapisa protoka s mrežnih uređaja.
IPFIX se temelji na konceptima NetFlowa i proširuje ih kako bi ponudio više fleksibilnosti i interoperabilnosti među različitim dobavljačima i uređajima. Uvodi koncept predložaka, omogućujući dinamičku definiciju strukture i sadržaja zapisa toka. To omogućuje uključivanje prilagođenih polja, podršku za nove protokole i proširivost.
Ključne značajke IPFIX-a:
~ Pristup temeljen na predlošku: IPFIX koristi predloške za definiranje strukture i sadržaja zapisa toka, nudeći fleksibilnost u prilagođavanju različitih podatkovnih polja i informacija specifičnih za protokol.
~ Interoperabilnost: IPFIX je otvoreni standard koji osigurava dosljedne mogućnosti praćenja protoka preko različitih mrežnih dobavljača i uređaja.
~ IPv6 podrška: IPFIX izvorno podržava IPv6, što ga čini prikladnim za praćenje i analizu prometa u IPv6 mrežama.
~Poboljšana sigurnost: IPFIX uključuje sigurnosne značajke kao što je enkripcija Transport Layer Security (TLS) i provjere integriteta poruka za zaštitu povjerljivosti i integriteta protoka podataka tijekom prijenosa.
IPFIX široko podržavaju razni dobavljači mrežne opreme, što ga čini neutralnim prema dobavljačima i široko prihvaćenim izborom za nadzor protoka mreže.
Dakle, koja je razlika između NetFlow i IPFIX?
Jednostavan odgovor je da je NetFlow Ciscov vlasnički protokol uveden oko 1996., a IPFIX je njegov brat koji je odobrilo tijelo za standarde.
Oba protokola služe istoj svrsi: omogućavaju mrežnim inženjerima i administratorima prikupljanje i analizu tokova IP prometa na mrežnoj razini. Cisco je razvio NetFlow kako bi njegovi preklopnici i usmjerivači mogli ispisati ove vrijedne informacije. S obzirom na dominaciju Ciscove opreme, NetFlow je brzo postao de facto standard za analizu mrežnog prometa. Međutim, konkurenti u industriji shvatili su da korištenje vlasničkog protokola kojim upravlja njihov glavni rival nije dobra ideja i stoga je IETF pokrenuo napore da standardizira otvoreni protokol za analizu prometa, a to je IPFIX.
IPFIX se temelji na NetFlow verziji 9 i izvorno je predstavljen oko 2005. godine, ali je trebalo nekoliko godina da se prihvati u industriji. U ovom su trenutku dva protokola u biti ista i iako je pojam NetFlow još uvijek rasprostranjeniji, većina implementacija (iako ne sve) kompatibilna je s IPFIX standardom.
Evo tablice koja sažima razlike između NetFlow i IPFIX:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Podrijetlo | Vlastita tehnologija koju je razvio Cisco | Protokol industrijskog standarda temeljen na NetFlow verziji 9 |
| Standardizacija | Tehnologija specifična za Cisco | Otvoreni standard definiran od strane IETF-a u RFC 7011 |
| Fleksibilnost | Razvijene verzije s posebnim značajkama | Veća fleksibilnost i interoperabilnost među dobavljačima |
| Format podataka | Paketi fiksne veličine | Pristup temeljen na predlošku za prilagodljive formate zapisa toka |
| Podrška za predloške | Nije podržano | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška dobavljača | Prvenstveno Cisco uređaji | Široka podrška među mrežnim dobavljačima |
| Proširljivost | Ograničeno prilagođavanje | Uključivanje prilagođenih polja i podataka specifičnih za aplikaciju |
| Protokolne razlike | Varijacije specifične za Cisco | Izvorna podrška za IPv6, poboljšane opcije snimanja protoka |
| Sigurnosne značajke | Ograničene sigurnosne značajke | Transport Layer Security (TLS) šifriranje, integritet poruke |
Praćenje protoka mrežeje prikupljanje, analiza i praćenje prometa koji prolazi određenom mrežom ili segmentom mreže. Ciljevi mogu varirati od rješavanja problema s povezivanjem do planiranja buduće raspodjele propusnosti. Praćenje protoka i uzorkovanje paketa mogu čak biti korisni u identificiranju i rješavanju sigurnosnih problema.
Praćenje protoka daje mrežnim timovima dobru predodžbu o tome kako mreža funkcionira, pružajući uvid u ukupnu iskorištenost, korištenje aplikacija, potencijalna uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i više. Postoji nekoliko različitih standarda i formata koji se koriste u nadzoru mrežnog toka, uključujući NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Svaki radi na malo drugačiji način, ali svi se razlikuju od zrcaljenja porta i duboke inspekcije paketa po tome što ne hvataju sadržaj svakog paketa koji prolazi preko porta ili kroz preklopnik. Međutim, praćenje protoka pruža više informacija od SNMP-a, koji je općenito ograničen na široku statistiku kao što je ukupna upotreba paketa i propusnosti.
Uspoređeni alati mrežnog protoka
| Značajka | NetFlow v5 | NetFlow v9 | sProtok | IPFIX |
| Otvoreni ili vlasnički | Vlasnički | Vlasnički | Otvoriti | Otvoriti |
| Uzorkovano ili na temelju protoka | Primarno temeljen na protoku; Dostupan je način uzorka | Primarno temeljen na protoku; Dostupan je način uzorka | Uzorkovano | Primarno temeljen na protoku; Dostupan je način uzorka |
| Podaci snimljeni | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje | Potpuna zaglavlja paketa, djelomično opterećenje paketa | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače sučelja i tako dalje |
| Nadzor ulaza/izlaska | Samo ulaz | Ulazak i izlazak | Ulazak i izlazak | Ulazak i izlazak |
| IPv6/VLAN/MPLS podrška | No | Da | Da | Da |
Vrijeme objave: 18. ožujka 2024
