NetFlow i IPFIX su obje tehnologije koje se koriste za praćenje i analizu toka mreže. Oni pružaju uvid u obrasce mrežnog saobraćaja, pomažući u optimizaciji performansi, rješavanju problema i sigurnosnoj analizi.
NetFlow:
Šta je NetFlow?
NetFlowje originalno rešenje za praćenje protoka, koje je prvobitno razvio Cisco kasnih 1990-ih. Postoji nekoliko različitih verzija, ali većina implementacija je zasnovana na NetFlow v5 ili NetFlow v9. Iako svaka verzija ima različite mogućnosti, osnovna operacija ostaje ista:
Prvo, ruter, prekidač, firewall ili drugi tip uređaja će uhvatiti informacije o mrežnim „tokovima“ – u osnovi skup paketa koji dijele zajednički skup karakteristika kao što su izvorna i odredišna adresa, izvorni i odredišni port i protokol tip. Nakon što je tok neaktivan ili je prošlo unaprijed definirano vrijeme, uređaj će izvesti zapise toka u entitet poznat kao "sakupljač toka".
Konačno, „analizator toka“ daje smisao tim zapisima, pružajući uvid u obliku vizualizacija, statistike i detaljnog izvještavanja iz prošlosti iu realnom vremenu. U praksi, kolektori i analizatori su često jedan entitet, često kombinovan u veće rešenje za praćenje performansi mreže.
NetFlow radi na bazi stanja. Kada klijentska mašina dođe do servera, NetFlow će početi da hvata i agregira metapodatke iz toka. Nakon što se sesija završi, NetFlow će izvesti jedan kompletan zapis u kolektor.
Iako se još uvijek često koristi, NetFlow v5 ima niz ograničenja. Izvezena polja su fiksna, praćenje je podržano samo u ulaznom smjeru, a moderne tehnologije poput IPv6, MPLS i VXLAN nisu podržane. NetFlow v9, također brendiran kao Fleksibilni NetFlow (FNF), rješava neka od ovih ograničenja, omogućavajući korisnicima da grade prilagođene šablone i dodajući podršku za novije tehnologije.
Mnogi dobavljači također imaju svoje vlasničke implementacije NetFlowa, kao što su jFlow od Junipera i NetStream od Huaweija. Iako se konfiguracija može donekle razlikovati, ove implementacije često proizvode zapise toka koji su kompatibilni sa NetFlow kolektorima i analizatorima.
Ključne karakteristike NetFlow-a:
~ Podaci o protoku: NetFlow generiše zapise toka koji uključuju detalje kao što su izvorne i odredišne IP adrese, portovi, vremenske oznake, broj paketa i bajtova i tipovi protokola.
~ Nadgledanje saobraćaja: NetFlow pruža uvid u obrasce mrežnog saobraćaja, omogućavajući administratorima da identifikuju vrhunske aplikacije, krajnje tačke i izvore saobraćaja.
~Anomaly Detection: Analizom podataka o protoku, NetFlow može otkriti anomalije kao što su pretjerano korištenje propusnog opsega, zagušenje mreže ili neobični obrasci saobraćaja.
~ Sigurnosna analiza: NetFlow se može koristiti za otkrivanje i istraživanje sigurnosnih incidenata, kao što su distribuirani napadi uskraćivanja usluge (DDoS) ili pokušaji neovlaštenog pristupa.
NetFlow verzije: NetFlow je evoluirao tokom vremena i objavljene su različite verzije. Neke značajne verzije uključuju NetFlow v5, NetFlow v9 i Fleksibilni NetFlow. Svaka verzija uvodi poboljšanja i dodatne mogućnosti.
IPFIX:
Šta je IPFIX?
IETF standard koji se pojavio ranih 2000-ih, Internet Protocol Flow Information Export (IPFIX) je izuzetno sličan NetFlowu. U stvari, NetFlow v9 je poslužio kao osnova za IPFIX. Osnovna razlika između njih je ta što je IPFIX otvoreni standard i podržavaju ga mnogi dobavljači umrežavanja osim Cisco-a. Sa izuzetkom nekoliko dodatnih polja koja su dodana u IPFIX, formati su inače skoro identični. Zapravo, IPFIX se ponekad čak naziva i “NetFlow v10”.
Djelomično zahvaljujući sličnostima sa NetFlow-om, IPFIX uživa široku podršku među rješenjima za praćenje mreže kao i mrežnom opremom.
IPFIX (Internet Protocol Flow Information Export) je protokol otvorenog standarda koji je razvio Internet Engineering Task Force (IETF). Zasnovan je na NetFlow verziji 9 specifikaciji i pruža standardizirani format za izvoz zapisa toka sa mrežnih uređaja.
IPFIX se nadograđuje na koncepte NetFlow-a i proširuje ih kako bi ponudio veću fleksibilnost i interoperabilnost među različitim dobavljačima i uređajima. Uvodi koncept šablona, omogućavajući dinamičku definiciju strukture i sadržaja zapisa toka. Ovo omogućava uključivanje prilagođenih polja, podršku za nove protokole i proširivost.
Ključne karakteristike IPFIX-a:
~ Pristup zasnovan na šablonima: IPFIX koristi šablone za definisanje strukture i sadržaja zapisa toka, nudeći fleksibilnost u prilagođavanju različitih polja podataka i informacija specifičnih za protokol.
~ Interoperabilnost: IPFIX je otvoreni standard, koji osigurava dosljedne mogućnosti praćenja protoka na različitim dobavljačima i uređajima.
~ IPv6 podrška: IPFIX izvorno podržava IPv6, što ga čini pogodnim za praćenje i analizu prometa u IPv6 mrežama.
~Enhanced Security: IPFIX uključuje sigurnosne funkcije kao što je šifriranje transportnog sloja (TLS) i provjere integriteta poruke radi zaštite povjerljivosti i integriteta podataka toka tokom prijenosa.
IPFIX je široko podržan od strane raznih dobavljača mrežne opreme, što ga čini neutralnim i široko prihvaćenim izborom za praćenje mrežnog toka.
Dakle, koja je razlika između NetFlow-a i IPFIX-a?
Jednostavan odgovor je da je NetFlow vlasnički protokol kompanije Cisco uveden oko 1996. godine, a IPFIX je brat koji je odobrio tijelo za standarde.
Oba protokola služe istoj svrsi: omogućavaju mrežnim inženjerima i administratorima da prikupe i analiziraju tokove IP saobraćaja na nivou mreže. Cisco je razvio NetFlow kako bi njegovi svičevi i ruteri mogli da izlaze ove vrijedne informacije. S obzirom na dominaciju Cisco opreme, NetFlow je brzo postao de-facto standard za analizu mrežnog saobraćaja. Međutim, konkurenti u industriji shvatili su da korištenje vlasničkog protokola koji kontrolira njegov glavni rival nije bila dobra ideja i stoga je IETF pokrenuo napore da standardizira otvoreni protokol za analizu prometa, a to je IPFIX.
IPFIX je baziran na NetFlow verziji 9 i prvobitno je predstavljen oko 2005. godine, ali je trebalo nekoliko godina da se usvoji u industriji. U ovom trenutku, dva protokola su u suštini ista i iako je termin NetFlow i dalje rasprostranjeniji, većina implementacija (iako ne sve) je kompatibilna sa IPFIX standardom.
Evo tabele koja rezimira razlike između NetFlow-a i IPFIX-a:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Porijeklo | Vlasnička tehnologija koju je razvio Cisco | Protokol industrijski standard zasnovan na NetFlow verziji 9 |
| Standardizacija | Tehnologija specifična za Cisco | Otvoreni standard definiran od strane IETF-a u RFC 7011 |
| Fleksibilnost | Razvijene verzije sa specifičnim karakteristikama | Veća fleksibilnost i interoperabilnost među dobavljačima |
| Format podataka | Paketi fiksne veličine | Pristup zasnovan na predlošku za prilagodljive formate zapisa toka |
| Podrška za šablone | Nije podržano | Dinamički predlošci za fleksibilno uključivanje polja |
| Podrška dobavljača | Prvenstveno Cisco uređaji | Široka podrška među dobavljačima umrežavanja |
| Proširivost | Ograničeno prilagođavanje | Uključivanje prilagođenih polja i podataka specifičnih za aplikaciju |
| Razlike u protokolu | Varijacije specifične za Cisco | Nativna IPv6 podrška, poboljšane opcije zapisa toka |
| Sigurnosne karakteristike | Ograničene sigurnosne karakteristike | Transport Layer Security (TLS) enkripcija, integritet poruke |
Monitoring mrežnog tokaje prikupljanje, analiza i praćenje saobraćaja koji prolazi kroz datu mrežu ili segment mreže. Ciljevi mogu varirati od rješavanja problema s povezivanjem do planiranja buduće alokacije propusnog opsega. Praćenje toka i uzorkovanje paketa mogu čak biti korisni u identifikaciji i otklanjanju sigurnosnih problema.
Praćenje toka daje timovima za umrežavanje dobru predstavu o tome kako mreža funkcioniše, pružajući uvid u ukupnu upotrebu, upotrebu aplikacija, potencijalna uska grla, anomalije koje mogu signalizirati sigurnosne prijetnje i još mnogo toga. Postoji nekoliko različitih standarda i formata koji se koriste u praćenju mrežnog toka, uključujući NetFlow, sFlow i izvoz informacija protoka Internet protokola (IPFIX). Svaki od njih radi na malo drugačiji način, ali se svi razlikuju od zrcaljenja porta i dubinske inspekcije paketa po tome što ne hvataju sadržaj svakog paketa koji prolazi preko porta ili preko prekidača. Međutim, praćenje protoka pruža više informacija od SNMP-a, koji je općenito ograničen na široku statistiku kao što je ukupna upotreba paketa i propusnog opsega.
Upoređeni alati za mrežni protok
| Feature | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Otvorena ili vlasnička | Vlasnički | Vlasnički | Otvori | Otvori |
| Uzorkovano ili zasnovano na protoku | Primarno Flow Based; Uzorkovani način rada je dostupan | Primarno Flow Based; Uzorkovani način rada je dostupan | Uzorkovano | Primarno Flow Based; Uzorkovani način rada je dostupan |
| Information Captured | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje | Kompletna zaglavlja paketa, djelomična korisna opterećenja paketa | Metapodaci i statističke informacije, uključujući prenesene bajtove, brojače interfejsa i tako dalje |
| Nadgledanje ulaza/izlaza | Ingress Only | Ulaz i izlaz | Ulaz i izlaz | Ulaz i izlaz |
| IPv6/VLAN/MPLS podrška | No | Da | Da | Da |
Vrijeme objave: Mar-18-2024
