NetFlow и IPFIX су технологије које се користе за праћење и анализу мрежног протока. Оне пружају увид у обрасце мрежног саобраћаја, помажући у оптимизацији перформанси, решавању проблема и анализи безбедности.
Нетфлов:
Шта је НетФлоу?
Нетфлоује оригинално решење за праћење протока, које је првобитно развила компанија Cisco крајем 1990-их. Постоји неколико различитих верзија, али већина имплементација је заснована на NetFlow v5 или NetFlow v9. Иако свака верзија има различите могућности, основни рад остаје исти:
Прво, рутер, свич, заштитни зид или нека друга врста уређаја ће прикупити информације о мрежним „токовима“ – у основи скуп пакета који деле заједнички скуп карактеристика као што су изворна и одредишна адреса, изворни и одредишни порт и тип протокола. Након што ток пређе у стање мировања или прође унапред дефинисано време, уређај ће извести записе тока у ентитет познат као „колектор тока“.
Коначно, „анализатор протока“ даје смисао тим записима, пружајући увиде у облику визуелизација, статистике и детаљних историјских и извештаја у реалном времену. У пракси, колектори и анализатори су често један ентитет, често комбиновани у веће решење за праћење перформанси мреже.
NetFlow ради на бази стања. Када клијентска машина контактира сервер, NetFlow ће почети да снима и агрегира метаподатке из тока. Након што се сесија заврши, NetFlow ће извести један комплетан запис колектору.
Иако се и даље често користи, NetFlow v5 има низ ограничења. Извезена поља су фиксна, праћење је подржано само у улазном смеру, а модерне технологије попут IPv6, MPLS и VXLAN нису подржане. NetFlow v9, такође назван Flexible NetFlow (FNF), решава нека од ових ограничења, омогућавајући корисницима да креирају прилагођене шаблоне и додајући подршку за новије технологије.
Многи произвођачи такође имају сопствене имплементације NetFlow-а, као што су jFlow од Juniper-а и NetStream од Huawei-а. Иако се конфигурација може донекле разликовати, ове имплементације често производе записе протока који су компатибилни са NetFlow колекторима и анализаторима.
Кључне карактеристике NetFlow-а:
~ Подаци о протокуNetFlow генерише записе протока који укључују детаље као што су изворне и одредишне IP адресе, портови, временске ознаке, број пакета и бајтова и типови протокола.
~ Праћење саобраћајаNetFlow пружа увид у обрасце мрежног саобраћаја, омогућавајући администраторима да идентификују главне апликације, крајње тачке и изворе саобраћаја.
~Детекција аномалијаАнализирајући податке о протоку, NetFlow може да открије аномалије као што су прекомерна искоришћеност пропусног опсега, загушење мреже или необични обрасци саобраћаја.
~ Анализа безбедностиNetFlow се може користити за откривање и истраживање безбедносних инцидената, као што су дистрибуирани напади ускраћивања услуге (DDoS) или покушаји неовлашћеног приступа.
Верзије NetFlow-аNetFlow се временом развијао и објављене су различите верзије. Неке значајне верзије укључују NetFlow v5, NetFlow v9 и Flexible NetFlow. Свака верзија уводи побољшања и додатне могућности.
ИПФИКС:
Шта је IPFIX?
IETF стандард који се појавио почетком 2000-их, Internet Protocol Flow Information Export (IPFIX) је изузетно сличан NetFlow-у. У ствари, NetFlow v9 је послужио као основа за IPFIX. Главна разлика између њих двојице је у томе што је IPFIX отворени стандард и подржава га много мрежних добављача осим Cisco-а. Са изузетком неколико додатних поља додатих у IPFIX-у, формати су иначе готово идентични. У ствари, IPFIX се понекад чак назива и „NetFlow v10“.
Делимично због сличности са NetFlow-ом, IPFIX ужива широку подршку међу решењима за праћење мреже, као и међу мрежном опремом.
IPFIX (Internet Protocol Flow Information Export) је протокол отвореног стандарда који је развила Радна група за интернет инжењеринг (IETF). Заснован је на спецификацији NetFlow верзије 9 и пружа стандардизовани формат за извоз записа о протоку са мрежних уређаја.
IPFIX се надовезује на концепте NetFlow-а и проширује их како би понудио већу флексибилност и интероперабилност између различитих произвођача и уређаја. Уводи концепт шаблона, омогућавајући динамичко дефинисање структуре и садржаја записа протока. Ово омогућава укључивање прилагођених поља, подршку за нове протоколе и проширивост.
Кључне карактеристике IPFIX-а:
~ Приступ заснован на шаблонимаIPFIX користи шаблоне за дефинисање структуре и садржаја записа протока, нудећи флексибилност у прилагођавању различитим пољима података и информацијама специфичним за протокол.
~ ИнтероперабилностIPFIX је отворени стандард који обезбеђује конзистентне могућности праћења протока код различитих мрежних добављача и уређаја.
~ IPv6 подршкаIPFIX изворно подржава IPv6, што га чини погодним за праћење и анализу саобраћаја у IPv6 мрежама.
~Побољшана безбедностIPFIX укључује безбедносне функције као што су шифровање Transport Layer Security (TLS) и провере интегритета порука како би се заштитила поверљивост и интегритет података о протоку током преноса.
IPFIX широко подржавају различити произвођачи мрежне опреме, што га чини неутралним и широко усвојеним избором за праћење мрежног протока.
Дакле, која је разлика између NetFlow-а и IPFIX-а?
Једноставан одговор је да је NetFlow власнички протокол компаније Cisco, представљен око 1996. године, а IPFIX је његов брат одобрен од стране тела за стандардизацију.
Оба протокола служе истој сврси: омогућавају мрежним инжењерима и администраторима да прикупљају и анализирају токове IP саобраћаја на нивоу мреже. Cisco је развио NetFlow како би његови прекидачи и рутери могли да емитују ове вредне информације. С обзиром на доминацију Cisco опреме, NetFlow је брзо постао де факто стандард за анализу мрежног саобраћаја. Међутим, конкуренти у индустрији су схватили да коришћење власничког протокола којим управља његов главни ривал није добра идеја и стога је IETF повео напоре да стандардизује отворени протокол за анализу саобраћаја, а то је IPFIX.
IPFIX је базиран на NetFlow верзији 9 и првобитно је представљен око 2005. године, али је требало неколико година да се прихвати у индустрији. Тренутно су два протокола у суштини иста и иако је термин NetFlow и даље распрострањенији, већина имплементација (мада не све) је компатибилна са IPFIX стандардом.
Ево табеле која сумира разлике између NetFlow-а и IPFIX-а:
| Аспект | Нетфлоу | ИПФИКС |
|---|---|---|
| Порекло | Власничка технологија коју је развио Cisco | Протокол индустријског стандарда заснован на NetFlow верзији 9 |
| Стандардизација | Cisco-специфична технологија | Отворени стандард дефинисан од стране IETF-а у RFC 7011 |
| Флексибилност | Развијене верзије са специфичним карактеристикама | Већа флексибилност и интероперабилност међу добављачима |
| Формат података | Пакети фиксне величине | Приступ заснован на шаблонима за прилагодљиве формате записа тока |
| Подршка за шаблоне | Није подржано | Динамички шаблони за флексибилно укључивање поља |
| Подршка добављача | Првенствено Cisco уређаји | Широка подршка међу добављачима мрежних услуга |
| Проширивост | Ограничено прилагођавање | Укључивање прилагођених поља и података специфичних за апликацију |
| Разлике у протоколу | Варијације специфичне за Cisco | Изворна подршка за IPv6, побољшане опције за евиденцију протока |
| Безбедносне функције | Ограничене безбедносне функције | TLS (Transport Layer Security) шифровање, интегритет поруке |
Праћење мрежног протокаје прикупљање, анализа и праћење саобраћаја који пролази кроз дату мрежу или сегмент мреже. Циљеви могу варирати од решавања проблема са повезивањем до планирања будуће алокације пропусног опсега. Праћење протока и узорковање пакета могу бити корисни чак и у идентификовању и отклањању безбедносних проблема.
Праћење протока даје мрежним тимовима добру представу о томе како мрежа функционише, пружајући увид у укупну искоришћеност, коришћење апликација, потенцијална уска грла, аномалије које могу сигнализирати безбедносне претње и још много тога. Постоји неколико различитих стандарда и формата који се користе у праћењу мрежног протока, укључујући NetFlow, sFlow и Internet Protocol Flow Information Export (IPFIX). Сваки ради на мало другачији начин, али сви се разликују од порт mirroring-а и дубинске инспекције пакета по томе што не бележе садржај сваког пакета који пролази преко порта или кроз прекидач. Међутим, праћење протока пружа више информација од SNMP-а, који је генерално ограничен на широку статистику као што је укупна употреба пакета и пропусног опсега.
Упоређивање алата за мрежни ток
| Карактеристика | НетФлоу в5 | НетФлоу верзија 9 | sFlow | ИПФИКС |
| Отворено или власничко | Власничко | Власничко | Отворено | Отворено |
| Узорковано или засновано на протоку | Првенствено засновано на протоку; доступан је режим узорковања | Првенствено засновано на протоку; доступан је режим узорковања | Узорковано | Првенствено засновано на протоку; доступан је режим узорковања |
| Прикупљене информације | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље | Комплетни заглавља пакета, делимични корисни садржаји пакета | Метаподаци и статистичке информације, укључујући пренете бајтове, бројаче интерфејса и тако даље |
| Праћење улаза/излаза | Само улаз | Улаз и излаз | Улаз и излаз | Улаз и излаз |
| Подршка за IPv6/VLAN/MPLS | No | Да | Да | Да |
Време објаве: 18. март 2024.
