NetFlow i IPFIX su tehnologije koje se koriste za praćenje i analizu mrežnog protoka. One pružaju uvid u obrasce mrežnog prometa, pomažući u optimizaciji performansi, rješavanju problema i analizi sigurnosti.
NetFlow:
Šta je NetFlow?
NetFlowje originalno rješenje za praćenje protoka, koje je prvobitno razvio Cisco krajem 1990-ih. Postoji nekoliko različitih verzija, ali većina implementacija je zasnovana na NetFlow v5 ili NetFlow v9. Iako svaka verzija ima različite mogućnosti, osnovni rad ostaje isti:
Prvo, ruter, prekidač, zaštitni zid ili neka druga vrsta uređaja će prikupiti informacije o mrežnim "tokovima" - u osnovi skupu paketa koji dijele zajednički skup karakteristika kao što su izvorna i odredišna adresa, izvorni i odredišni port i tip protokola. Nakon što je tok u stanju mirovanja ili je prošlo unaprijed definirano vrijeme, uređaj će izvesti zapise toka u entitet poznat kao "kolektor toka".
Konačno, "analizator protoka" daje smisao tim zapisima, pružajući uvide u obliku vizualizacija, statistike i detaljnih historijskih i izvještaja u stvarnom vremenu. U praksi, kolektori i analizatori su često jedna cjelina, često kombinovana u veće rješenje za praćenje performansi mreže.
NetFlow radi na osnovu praćenja stanja (stateful). Kada klijentska mašina kontaktira server, NetFlow će početi da snima i agregira metapodatke iz toka. Nakon što se sesija završi, NetFlow će izvesti jedan kompletan zapis u kolektor.
Iako se još uvijek često koristi, NetFlow v5 ima niz ograničenja. Izvezena polja su fiksna, praćenje je podržano samo u ulaznom smjeru, a moderne tehnologije poput IPv6, MPLS i VXLAN nisu podržane. NetFlow v9, također označen kao Flexible NetFlow (FNF), rješava neka od ovih ograničenja, omogućavajući korisnicima da kreiraju prilagođene predloške i dodajući podršku za novije tehnologije.
Mnogi dobavljači također imaju vlastite implementacije NetFlow-a, kao što su jFlow od Junipera i NetStream od Huaweija. Iako se konfiguracija može donekle razlikovati, ove implementacije često proizvode zapise protoka koji su kompatibilni s NetFlow kolektorima i analizatorima.
Ključne karakteristike NetFlow-a:
~ Podaci o protokuNetFlow generira zapise toka koji uključuju detalje kao što su izvorne i odredišne IP adrese, portovi, vremenske oznake, broj paketa i bajtova te tipovi protokola.
~ Praćenje prometaNetFlow pruža uvid u obrasce mrežnog prometa, omogućavajući administratorima da identificiraju najpopularnije aplikacije, krajnje tačke i izvore prometa.
~Detekcija anomalijaAnalizom podataka o protoku, NetFlow može otkriti anomalije poput prekomjernog korištenja propusnog opsega, zagušenja mreže ili neobičnih obrazaca prometa.
~ Analiza sigurnostiNetFlow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, kao što su distribuirani napadi uskraćivanjem usluge (DDoS) ili pokušaji neovlaštenog pristupa.
NetFlow verzijeNetFlow se vremenom razvijao i objavljene su različite verzije. Neke značajne verzije uključuju NetFlow v5, NetFlow v9 i Flexible NetFlow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
IPFIX:
Šta je IPFIX?
IETF standard koji se pojavio početkom 2000-ih, Internet Protocol Flow Information Export (IPFIX) je izuzetno sličan NetFlowu. U stvari, NetFlow v9 je poslužio kao osnova za IPFIX. Glavna razlika između njih dva je u tome što je IPFIX otvoreni standard i podržavaju ga mnogi dobavljači mrežne opreme osim Cisca. Uz izuzetak nekoliko dodatnih polja dodanih u IPFIX, formati su inače gotovo identični. U stvari, IPFIX se ponekad čak naziva i "NetFlow v10".
Djelomično zbog sličnosti s NetFlowom, IPFIX uživa široku podršku među rješenjima za mrežni nadzor, kao i među mrežnom opremom.
IPFIX (Internet Protocol Flow Information Export) je protokol otvorenog standarda koji je razvila Radna grupa za internet inženjering (IETF). Baziran je na specifikaciji NetFlow verzije 9 i pruža standardizirani format za izvoz zapisa protoka s mrežnih uređaja.
IPFIX se nadovezuje na koncepte NetFlow-a i proširuje ih kako bi ponudio veću fleksibilnost i interoperabilnost između različitih dobavljača i uređaja. Uvodi koncept predložaka, omogućavajući dinamičko definiranje strukture i sadržaja zapisa protoka. To omogućava uključivanje prilagođenih polja, podršku za nove protokole i proširivost.
Ključne karakteristike IPFIX-a:
~ Pristup zasnovan na šablonimaIPFIX koristi predloške za definiranje strukture i sadržaja zapisa toka, nudeći fleksibilnost u prilagođavanju različitim poljima podataka i informacijama specifičnim za protokol.
~ InteroperabilnostIPFIX je otvoreni standard koji osigurava konzistentne mogućnosti praćenja protoka kod različitih dobavljača mreža i uređaja.
~ IPv6 podrškaIPFIX izvorno podržava IPv6, što ga čini pogodnim za praćenje i analizu prometa u IPv6 mrežama.
~Poboljšana sigurnostIPFIX uključuje sigurnosne funkcije kao što su šifriranje Transport Layer Security (TLS) i provjere integriteta poruka kako bi se zaštitila povjerljivost i integritet podataka o protoku tokom prijenosa.
IPFIX široko podržavaju razni proizvođači mrežne opreme, što ga čini neutralnim i široko prihvaćenim izborom za praćenje protoka mreže.
Dakle, koja je razlika između NetFlow-a i IPFIX-a?
Jednostavan odgovor je da je NetFlow vlasnički protokol kompanije Cisco, uveden oko 1996. godine, a IPFIX je njegov brat odobren od strane tijela za standardizaciju.
Oba protokola služe istoj svrsi: omogućavanju mrežnim inženjerima i administratorima da prikupljaju i analiziraju tokove IP prometa na nivou mreže. Cisco je razvio NetFlow kako bi njegovi prekidači i ruteri mogli slati ove vrijedne informacije. S obzirom na dominaciju Cisco opreme, NetFlow je brzo postao de facto standard za analizu mrežnog prometa. Međutim, konkurenti u industriji su shvatili da korištenje vlasničkog protokola kojim upravlja njegov glavni rival nije dobra ideja, te je stoga IETF predvodio napore za standardizaciju otvorenog protokola za analizu prometa, a to je IPFIX.
IPFIX se zasniva na NetFlow verziji 9 i prvobitno je predstavljen oko 2005. godine, ali je trebalo nekoliko godina da se prihvati u industriji. U ovom trenutku, dva protokola su u suštini ista i iako je termin NetFlow još uvijek rasprostranjeniji, većina implementacija (iako ne sve) je kompatibilna sa IPFIX standardom.
Evo tabele koja sumira razlike između NetFlow-a i IPFIX-a:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Porijeklo | Vlasnička tehnologija koju je razvio Cisco | Industrijski standardni protokol zasnovan na NetFlow verziji 9 |
| Standardizacija | Cisco-specifična tehnologija | Otvoreni standard definisan od strane IETF-a u RFC 7011 |
| Fleksibilnost | Unaprijeđene verzije sa specifičnim karakteristikama | Veća fleksibilnost i interoperabilnost među dobavljačima |
| Format podataka | Paketi fiksne veličine | Prilagodljivi formati zapisa toka zasnovani na šablonima |
| Podrška za šablone | Nije podržano | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška dobavljača | Primarno Cisco uređaji | Široka podrška među dobavljačima mrežnih usluga |
| Proširivost | Ograničeno prilagođavanje | Uključivanje prilagođenih polja i podataka specifičnih za aplikaciju |
| Razlike u protokolima | Varijacije specifične za Cisco | Izvorna IPv6 podrška, poboljšane opcije zapisa toka |
| Sigurnosne funkcije | Ograničene sigurnosne funkcije | Šifriranje Transport Layer Security (TLS), integritet poruke |
Praćenje protoka mrežeje prikupljanje, analiza i praćenje prometa koji prolazi kroz određenu mrežu ili mrežni segment. Ciljevi mogu varirati od rješavanja problema s povezivanjem do planiranja buduće alokacije propusnog opsega. Praćenje protoka i uzorkovanje paketa mogu biti korisni čak i u identificiranju i otklanjanju sigurnosnih problema.
Praćenje protoka daje mrežnim timovima dobru predstavu o tome kako mreža funkcioniše, pružajući uvid u ukupnu iskorištenost, korištenje aplikacija, potencijalna uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i još mnogo toga. Postoji nekoliko različitih standarda i formata koji se koriste u praćenju protoka mreže, uključujući NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Svaki radi na malo drugačiji način, ali svi se razlikuju od zrcaljenja portova i dubinske inspekcije paketa po tome što ne bilježe sadržaj svakog paketa koji prolazi preko porta ili kroz prekidač. Međutim, praćenje protoka pruža više informacija od SNMP-a, koji je uglavnom ograničen na široku statistiku poput ukupne upotrebe paketa i propusnog opsega.
Upoređeni alati za mrežni protok
| Značajka | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otvoreno ili vlasničko | Vlasnički | Vlasnički | Otvori | Otvori |
| Uzorkovano ili na osnovu protoka | Primarno zasnovano na protoku; dostupan je i uzorkovani način rada | Primarno zasnovano na protoku; dostupan je i uzorkovani način rada | Uzorkovano | Primarno zasnovano na protoku; dostupan je i uzorkovani način rada |
| Prikupljene informacije | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje | Kompletni zaglavlja paketa, djelomični korisni sadržaji paketa | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje |
| Nadzor ulaza/izlaza | Samo ulaz | Ulaz i izlaz | Ulaz i izlaz | Ulaz i izlaz |
| Podrška za IPv6/VLAN/MPLS | No | Da | Da | Da |
Vrijeme objave: 18. mart 2024.
