NetFlow i IPFIX su obje tehnologije koje se koriste za nadgledanje i analizu mrežnog protoka. Oni pružaju uvid u obrasce mrežnog prometa, pomažu u optimizaciji rada, rješavanje problema i sigurnosnu analizu.
NetFlow:
Šta je netflow?
NetFlowDa li je originalno rješenje za nadzor protoka, prvobitno razvijeno Cisco krajem 1990-ih. Postoji nekoliko različitih verzija, ali većina implementiranja temelji se na netFlow v5 ili netflow v9. Dok svaka verzija ima različite mogućnosti, osnovna operacija ostaje ista:
Prvo, usmjerivač, prekidač, vatrozid ili neku drugu vrstu uređaja snimit će informacije o mreži "teče" - u osnovi skupa paketa koji dijele zajednički skup karakteristika poput izvora i odredišnog porta, i odredišne portom i vrste protokola. Nakon što protok nestane, uspavan ili unaprijed definirani vijek vremena, uređaj će izvoziti zapise protoka u entitet poznat kao "kolektor protoka".
Konačno, "analizator protoka" ima smisla za te zapise, pružajući uvid u oblik vizualizacije, statistike i detaljne istorijske i real-ascha. U praksi su kolekcionari i analizatori često jedinstveni entitet, često u kombinaciji u veće rešenje za nadgledanje mreže.
NetFlow radi na građevnoj osnovi. Kada klijentska mašina dosegne na server, netflow će započeti snimljenje i objedinjavanje metapodataka iz toka. Nakon završetka sjednice, NetFlow će izvoziti jedinstveni kompletan zapis na kolektor.
Iako se još uvijek koristi, netFlow v5 ima niz ograničenja. Polja koja se izvoze su fiksna, nadgledanje je podržano samo u smjeru ugradnje i moderne tehnologije poput IPv6, MPL-a i VXLAN-a nisu podržane. NetFlow V9, također je brendiran kao fleksibilan netflow (FNF), bavi se nekim od tih ograničenja, omogućavajući korisnicima da izgrade prilagođene predloške i dodaju podršku novijem tehnologijom.
Mnogi dobavljači imaju i vlastite vlasničke provedbe NetFlow-a, poput JFLOW-a iz smreke i netstream iz Huaweija. Iako se konfiguracija može donekle razlikovati, ove implementacije često proizvode zapise protoka koji su kompatibilni s prikupljačima i analizatorima NetFlow.
Ključne karakteristike NetFlow-a:
~ Podaci o protoku: NetFlow generira evidenciju protoka koji uključuju detalje kao što su izvorne i odredišne IP adrese, portove, vremenske oznake, brojanje paketa i bajta i tipovi protokola.
~ Monitoring saobraćaja: NetFlow pruža vidljivost u obrascima mrežnih prometa, omogućavajući administratorima da identificiraju vrhunske aplikacije, krajnje točke i izvore prometa.
~Otkrivanje anomalije: Analizom podataka protoka, NetFlow može otkriti anomalije poput prekomjerne iskorištavanja propusnosti, zagušenja mreže ili neobične obrasce prometa.
~ Sigurnosna analiza: Netflow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, poput distribuiranih napada za usmjeravanje (DDOS) ili neovlašteni pokušaji pristupa.
NetFlow verzije: NetFlow se s vremenom razvijao, a razlikovne verzije su puštene. Neke značajne verzije uključuju NetFlow V5, NetFlow V9 i fleksibilni netflow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
IPFIX:
Šta je IPFIX?
IETF standard koji se pojavio početkom 2000-ih, izvoz informacija o protoku Internet protokola (IPFIX) izuzetno je sličan netflow-u. U stvari, NetFlow V9 služio je kao osnova za IPFIX. Primarna razlika između njih dvoje je da je IPFIX otvoreni standard, a podržavaju ih mnogi dobavljači umrežavanja osim Cisco-a. S izuzetkom nekoliko dodatnih polja dodanih u IPFIX-u, formati su inače gotovo identični. U stvari, IPFIX se ponekad naziva "netflow v10".
Zahvaljujući svojim sličnostima na NetFlow, IPFIX uživa široku podršku među rješenjima za nadgledanje mreže kao i mrežne opreme.
IPFIX (Internet protokol Informacije o protokolu izvoz) je otvoreni standardni protokol koji je razvio Internet inženjerska radna grupa (IETF). Temelji se na specifikaciji NetFlow verzije 9 i pruža standardizirani format za izvoz zapise protoka s mrežnih uređaja.
IPFIX se gradi po konceptima NetFlow-a i proširuje ih da ponude veću fleksibilnost i interoperabilnost u različitim dobavljačima i uređajima. Uvodi koncept predložaka, koji omogućava dinamičnu definiciju strukture i sadržaja zapisa protoka. To omogućava uključivanje prilagođenih polja, podršku novim protokolima i proširivosti.
Ključne karakteristike IPFIX-a:
~ Pristup zasnovan na predlošci: IPFIX koristi predloške za definiranje strukture i sadržaja zapisa protoka, nudeći fleksibilnost u smjeni različitih podataka i podacima o protokolu.
~ Interoperabilnost: IPFIX je otvoreni standard, osiguravajući konzistentne mogućnosti praćenja protoka u različitim dobavljačima i uređajima za umrežavanje.
~ IPv6 podrška: IPFIX izvorno podržava IPv6, što ga čini pogodnim za nadgledanje i analizu prometa u IPv6 mrežama.
~Poboljšana sigurnost: IPFIX uključuje sigurnosne funkcije kao što su enkripcija sigurnosti transportnog sloja (TLS) i provjere integriteta poruke kako bi se zaštitila povjerljivost i integritet podataka protoka tijekom prijenosa.
IPFIX široko podržava razne dobavljače umrežavanja, čineći ga neutralnim prodavačem i široko usvojenim izborom za nadgledanje mrežnog protoka.
Dakle, koja je razlika između netflowa i IPFIX-a?
Jednostavan odgovor je da je NetFlow Cisco vlasnički protokol uveden oko 1996. godine, a IPFIX je njegov standardi koji je odobrio brat.
Oba protokola služe u istoj svrsi: omogućavanje mrežnih inženjera i administratorima da prikupe i analiziraju i analiziraju i IP prometne prometne prometne mreže. Cisco je razvio NetFlow tako da su njegovi prekidači i usmjerivači mogli iznijeti ove vrijedne informacije. S obzirom na dominaciju Ciscone opreme, NetFlow je brzo postao de-facto standard za analizu mrežnog prometa. Međutim, natjecatelji industrije shvatili su da korištenje vlasničkog protokola koji kontrolira njegov glavni rival nije bila dobra ideja i otuda IETF je uložio napor da se standardizira otvoreni protokol za analizu prometa, što je IPFIX.
IPFIX se temelji na netflow verziji 9 i prvobitno je uveden oko 2005. godine, ali je uzeo neki broj godina za stjecanje usavršavanja u industriji. U ovom su trenutku, dva protokola su u osnovi isti iako je izraz netflow još uvijek prevladavniji većina implementacija (iako nije sve) kompatibilna s IPFIX standardom.
Evo tabele sažejući razlike između neto-ipfiksa:
| Aspekt | NetFlow | Ipfix |
|---|---|---|
| Porijeklo | Vlasnička tehnologija koju je razvio Cisco | Industrijski standardni protokol zasnovan na mreži NetFlow 9 |
| Standardizacija | Cisco specifična tehnologija | Otvoreni standard definiran IETF-om u RFC 7011 |
| Fleksibilnost | Evoluirane verzije sa specifičnim funkcijama | Veća fleksibilnost i interoperabilnost preko dobavljača |
| Format podataka | Paketi sa fiksnim veličinama | Pristup predloška za prilagodljive formate zapisa protoka |
| Podrška predloška | Nije podržano | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška za dobavljača | Prvenstveno Cisco uređaji | Široka podrška preko dobavljača umrežavanja |
| Proširivost | Ograničena prilagodba | Uključivanje prilagođenih polja i podataka specifičnih za aplikacije |
| Razlike u protokolu | Varijacije specifične za Cisco | Native IPv6 podrška, poboljšane opcije zapisa protoka |
| Sigurnosne karakteristike | Ograničene sigurnosne karakteristike | Sigurnost transportnog sloja (TLS) Šifriranje, integritet poruke |
Monitoring protoka mrežeje zbirka, analiza i praćenje prometa koji prelazi određenu mrežnu ili mrežni segment. Ciljevi mogu varirati od rješavanja problema sa povezivanjem za planiranje buduće raspodjele propusnosti. Nadgledanje protoka i uzorkovanje paketa mogu biti korisno u identificiranju i sanaciji sigurnosnih pitanja.
Monitoring protoka daje mrežnim timovima dobra ideja o tome kako mreža radi, pružajući uvid u ukupnu upotrebu, upotrebu aplikacije, potencijalne uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i više. Postoji nekoliko različitih standarda i formata koji se koriste u nadzoru mrežnog protoka, uključujući netflow, show i Internet protokol protokol protoka izvoza (IPFIX). Svaki djeluje na nešto drugačiji način, ali svi su različiti od inspekcije zrcaljenja luka i dubokog paketa u tome da ne uhvate sadržaj svakog paketa koji prolaze preko luke ili kroz prekidač. Međutim, nadzor protoka pruža više informacija od SNMP-a, što je općenito ograničeno na široku statistiku poput ukupnog korištenja paketa i propusnosti.
Uspoređeni alati za protok mreže
| Značajka | Netflow v5 | Netflow v9 | sflow | Ipfix |
| Otvoren ili vlasnički | Vlasnički | Vlasnički | Otvoren | Otvoren |
| Uzorkovano ili zasnovano na protoku | Prije svega zasnovan na protoku; Na raspolaganju je režim uzorkovanog režima | Prije svega zasnovan na protoku; Na raspolaganju je režim uzorkovanog režima | Uzorkovan | Prije svega zasnovan na protoku; Na raspolaganju je režim uzorkovanog režima |
| Informacije zarobljene | Metapodaci i statističke informacije, uključujući bajtove prenesene, sučelje i tako dalje | Metapodaci i statističke informacije, uključujući bajtove prenesene, sučelje i tako dalje | Kompletna zaglavlja paketa, djelomični paketni opterećenja | Metapodaci i statističke informacije, uključujući bajtove prenesene, sučelje i tako dalje |
| Nadgledanje ulaz / egress | Samo ulazak | Ulazak i izlazak | Ulazak i izlazak | Ulazak i izlazak |
| IPv6 / VLAN / MPLS podrška | No | Da | Da | Da |
Vrijeme objavljivanja: Mar-18-2024
