Το NetFlow και το IPFIX είναι και οι δύο τεχνολογίες που χρησιμοποιούνται για την παρακολούθηση και την ανάλυση της ροής δικτύου. Παρέχουν πληροφορίες σχετικά με τα πρότυπα κυκλοφορίας δικτύου, βοηθώντας στη βελτιστοποίηση της απόδοσης, την αντιμετώπιση προβλημάτων και την ανάλυση ασφαλείας.
Netflow:
Τι είναι το netflow;
Νευροβόλοςείναι η αρχική λύση παρακολούθησης ροής, που αναπτύχθηκε αρχικά από την Cisco στα τέλη της δεκαετίας του 1990. Υπάρχουν αρκετές διαφορετικές εκδόσεις, αλλά οι περισσότερες αναπτύξεις βασίζονται είτε στο NetFlow V5 είτε στο NetFlow V9. Ενώ κάθε έκδοση έχει διαφορετικές δυνατότητες, η βασική λειτουργία παραμένει η ίδια:
Πρώτον, ένας δρομολογητής, ο διακόπτης, το τείχος προστασίας ή ένας άλλος τύπος συσκευής θα καταγράψουν πληροφορίες σχετικά με τις "ροές του δικτύου" - βασικά ένα σύνολο πακέτων που μοιράζονται ένα κοινό σύνολο χαρακτηριστικών όπως η διεύθυνση προέλευσης και προορισμού, πηγή και θύρα προορισμού και τύπος πρωτοκόλλου. Αφού περάσει μια ροή αδρανής ή έχει περάσει ένα προκαθορισμένο χρονικό διάστημα, η συσκευή θα εξάγει τις εγγραφές ροής σε μια οντότητα γνωστή ως "συλλέκτης ροής".
Τέλος, ένας "αναλυτής ροής" έχει νόημα για αυτά τα αρχεία, παρέχοντας πληροφορίες με τη μορφή απεικονίσεων, στατιστικών και λεπτομερών ιστορικών και αναφορών σε πραγματικό χρόνο. Στην πράξη, οι συλλέκτες και οι αναλυτές είναι συχνά μια ενιαία οντότητα, που συχνά συνδυάζονται σε μια μεγαλύτερη λύση παρακολούθησης απόδοσης δικτύου.
Η NetFlow λειτουργεί σε κρατική βάση. Όταν ένα μηχάνημα πελάτη φτάνει σε ένα διακομιστή, το NetFlow θα αρχίσει να συλλαμβάνει και να συγκεντρώνει μεταδεδομένα από τη ροή. Μετά την τερματισμό της συνεδρίασης, η NetFlow θα εξάγει ένα μόνο πλήρες αρχείο στον συλλέκτη.
Αν και εξακολουθεί να χρησιμοποιείται συνήθως, το NetFlow V5 έχει έναν αριθμό περιορισμών. Τα πεδία που εξάγονται είναι σταθερά, η παρακολούθηση υποστηρίζεται μόνο προς την κατεύθυνση εισόδου και δεν υποστηρίζονται σύγχρονες τεχνολογίες όπως το IPv6, το MPLS και το VXLAN. Το Netflow V9, επίσης επώνυμο ως ευέλικτο NetFlow (FNF), αντιμετωπίζει μερικούς από αυτούς τους περιορισμούς, επιτρέποντας στους χρήστες να δημιουργούν προσαρμοσμένα πρότυπα και να προσθέτουν υποστήριξη για νεότερες τεχνολογίες.
Πολλοί προμηθευτές έχουν επίσης τις δικές τους ιδιόκτητες εφαρμογές του Netflow, όπως η JFlow από το Juniper και το Netstream από την Huawei. Αν και η διαμόρφωση μπορεί να διαφέρει κάπως, αυτές οι υλοποιήσεις συχνά παράγουν αρχεία ροής που είναι συμβατές με τους συλλέκτες και τους αναλυτές της NetFlow.
Βασικά χαρακτηριστικά του NetFlow:
~ Δεδομένα ροής: Το NetFlow δημιουργεί εγγραφές ροής που περιλαμβάνουν λεπτομέρειες όπως διευθύνσεις IP προέλευσης και προορισμού, θύρες, χρονικά σήματα, μετρήσεις πακέτων και byte και τύπους πρωτοκόλλων.
~ Παρακολούθηση της κυκλοφορίας: Το NetFlow παρέχει ορατότητα στα πρότυπα κυκλοφορίας δικτύου, επιτρέποντας στους διαχειριστές να εντοπίζουν κορυφαίες εφαρμογές, τελικά σημεία και πηγές κυκλοφορίας.
~Ανίχνευση ανωμαλιών: Με την ανάλυση δεδομένων ροής, το NetFlow μπορεί να ανιχνεύσει ανωμαλίες όπως υπερβολική χρήση εύρους ζώνης, συμφόρηση δικτύου ή ασυνήθιστα πρότυπα κυκλοφορίας.
~ Ανάλυση ασφαλείας: Το NetFlow μπορεί να χρησιμοποιηθεί για την ανίχνευση και διερεύνηση συμβάντων ασφαλείας, όπως οι κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDOS) ή μη εξουσιοδοτημένες προσπάθειες πρόσβασης.
Εκδόσεις Netflow: Η NetFlow έχει εξελιχθεί με την πάροδο του χρόνου και έχουν κυκλοφορήσει διαφορετικές εκδόσεις. Ορισμένες αξιοσημείωτες εκδόσεις περιλαμβάνουν το NetFlow V5, το NetFlow V9 και το Flexible NetFlow. Κάθε έκδοση εισάγει βελτιώσεις και πρόσθετες δυνατότητες.
IPFIX:
Τι είναι το IPFIX;
Ένα πρότυπο IETF που εμφανίστηκε στις αρχές της δεκαετίας του 2000, η εξαγωγή πληροφοριών ροής πρωτοκόλλου Internet (IPFIX) είναι εξαιρετικά παρόμοια με την NetFlow. Στην πραγματικότητα, το NetFlow V9 χρησίμευσε ως βάση για το IPFIX. Η κύρια διαφορά μεταξύ των δύο είναι ότι το IPFIX είναι ένα ανοιχτό πρότυπο και υποστηρίζεται από πολλούς προμηθευτές δικτύωσης εκτός από την Cisco. Με εξαίρεση μερικά επιπλέον πεδία που προστίθενται στο IPFIX, οι μορφές είναι κατά τα άλλα σχεδόν ταυτόσημες. Στην πραγματικότητα, το IPFIX μερικές φορές αναφέρεται ακόμη και ως "NetFlow V10".
Λόγω εν μέρει στις ομοιότητες του με το NetFlow, η IPFIX απολαμβάνει ευρεία υποστήριξη μεταξύ των λύσεων παρακολούθησης δικτύου καθώς και του εξοπλισμού δικτύου.
Το IPFIX (εξαγωγή πληροφοριών ροής πρωτοκόλλου Internet) είναι ένα ανοιχτό πρότυπο πρωτόκολλο που αναπτύχθηκε από την Task Force Engineering Task Force (IETF). Βασίζεται στην προδιαγραφή NetFlow έκδοση 9 και παρέχει μια τυποποιημένη μορφή για την εξαγωγή αρχείων ροής από συσκευές δικτύου.
Το IPFIX βασίζεται στις έννοιες του NetFlow και τους επεκτείνει για να προσφέρει μεγαλύτερη ευελιξία και διαλειτουργικότητα σε διάφορους προμηθευτές και συσκευές. Εισάγει την έννοια των προτύπων, επιτρέποντας τον δυναμικό ορισμό της δομής και του περιεχομένου ρεκόρ ροής. Αυτό επιτρέπει τη συμπερίληψη προσαρμοσμένων πεδίων, την υποστήριξη για νέα πρωτόκολλα και την επεκτασιμότητα.
Βασικά χαρακτηριστικά της IPFIX:
~ Προσέγγιση βασισμένη στο πρότυπο: Το IPFIX χρησιμοποιεί πρότυπα για να καθορίσει τη δομή και το περιεχόμενο των αρχείων ροής, προσφέροντας ευελιξία στην εξυπηρέτηση διαφορετικών πεδίων δεδομένων και ειδικών για το πρωτόκολλο πληροφορίες.
~ Διαλειτουργικότητα: Το IPFIX είναι ένα ανοιχτό πρότυπο, εξασφαλίζοντας σταθερές δυνατότητες παρακολούθησης ροής σε διάφορους πωλητές και συσκευές δικτύωσης.
~ Υποστήριξη IPv6: Το IPFIX υποστηρίζει εγγενώς το IPv6, καθιστώντας την κατάλληλη για παρακολούθηση και ανάλυση της κυκλοφορίας σε δίκτυα IPv6.
~Βελτιωμένη ασφάλεια: Το IPFIX περιλαμβάνει χαρακτηριστικά ασφαλείας όπως κρυπτογράφηση και ελέγχους ακεραιότητας των μηνυμάτων μεταφοράς (TLS) για την προστασία της εμπιστευτικότητας και της ακεραιότητας των δεδομένων ροής κατά τη διάρκεια της μετάδοσης.
Το IPFIX υποστηρίζεται ευρέως από διάφορους προμηθευτές εξοπλισμού δικτύωσης, καθιστώντας την μια ουδέτερη και ευρέως υιοθετημένη επιλογή για την παρακολούθηση της ροής δικτύου.
Λοιπόν, ποια είναι η διαφορά μεταξύ NetFlow και IPFIX;
Η απλή απάντηση είναι ότι το NetFlow είναι ένα ιδιόκτητο πρωτόκολλο της Cisco που εισήχθη γύρω στο 1996 και το IPFIX είναι ο αδερφός του Body Body Body.
Και τα δύο πρωτόκολλα εξυπηρετούν τον ίδιο σκοπό: επιτρέποντας στους μηχανικούς δικτύου και τους διαχειριστές να συλλέγουν και να αναλύουν τις ροές κυκλοφορίας IP επιπέδου δικτύου. Η Cisco ανέπτυξε το NetFlow, έτσι ώστε οι διακόπτες και οι δρομολογητές της να μπορούν να εξάγουν αυτές τις πολύτιμες πληροφορίες. Δεδομένης της κυριαρχίας της Cisco Gear, η NetFlow έγινε γρήγορα το πρότυπο de-facto για την ανάλυση της κυκλοφορίας δικτύου. Ωστόσο, οι ανταγωνιστές της βιομηχανίας συνειδητοποίησαν ότι η χρήση ενός ιδιόκτητου πρωτοκόλλου που ελέγχεται από τον κύριο αντίπαλό της δεν ήταν καλή ιδέα και ως εκ τούτου η IETF οδήγησε την προσπάθεια να τυποποιήσει ένα ανοιχτό πρωτόκολλο για την ανάλυση της κυκλοφορίας, η οποία είναι η IPFIX.
Το IPFIX βασίζεται στην έκδοση NetFlow 9 και εισήχθη αρχικά γύρω στο 2005, αλλά χρειάστηκε ορισμένα χρόνια για να κερδίσει την υιοθέτηση της βιομηχανίας. Σε αυτό το σημείο, τα δύο πρωτόκολλα είναι ουσιαστικά τα ίδια και αν και ο όρος netflow είναι ακόμα πιο διαδεδομένες οι περισσότερες υλοποιήσεις (αν και όχι όλες) είναι συμβατές με το πρότυπο IPFIX.
Εδώ είναι ένας πίνακας που συνοψίζει τις διαφορές μεταξύ NetFlow και IPFIX:
| Αποψη | Νευροβόλος | Διόγκωση |
|---|---|---|
| Προέλευση | Ιδιοκτησιακή τεχνολογία που αναπτύχθηκε από την Cisco | Πρωτόκολλο πρότυπο βιομηχανίας βασισμένο στην έκδοση NetFlow 9 |
| Τυποποίηση | Τεχνολογία ειδικής για Cisco | Άνοιγμα προτύπου που ορίζεται από το IETF στο RFC 7011 |
| Ευκαμψία | Εξελιγμένες εκδόσεις με συγκεκριμένες λειτουργίες | Μεγαλύτερη ευελιξία και διαλειτουργικότητα σε όλους τους πωλητές |
| Μορφή δεδομένων | Πακέτα σταθερού μεγέθους | Προσέγγιση βασισμένη σε πρότυπο για προσαρμόσιμες μορφές εγγραφής ροής |
| Υποστήριξη προτύπου | Δεν υποστηρίζεται | Δυναμικά πρότυπα για ευέλικτη ένταξη πεδίου |
| Υποστήριξη προμηθευτή | Κυρίως συσκευές Cisco | Ευρεία υποστήριξη σε όλους τους προμηθευτές δικτύωσης |
| Εκτατο | Περιορισμένη προσαρμογή | Συμπερίληψη προσαρμοσμένων πεδίων και ειδικών δεδομένων εφαρμογών |
| Διαφορές πρωτοκόλλων | Παραλλαγές ειδικών για το cisco | Native υποστήριξη IPv6, βελτιωμένες επιλογές εγγραφής ροής |
| Χαρακτηριστικά ασφαλείας | Περιορισμένες λειτουργίες ασφαλείας | Κρυπτογράφηση ασφαλείας μεταφοράς (TLS), ακεραιότητα μηνυμάτων |
Παρακολούθηση ροής δικτύουείναι η συλλογή, η ανάλυση και η παρακολούθηση της κυκλοφορίας που διασχίζει ένα συγκεκριμένο τμήμα δικτύου ή δικτύου. Οι στόχοι ενδέχεται να διαφέρουν από την αντιμετώπιση προβλημάτων συνδεσιμότητας για τον σχεδιασμό της μελλοντικής κατανομής του εύρους ζώνης. Η παρακολούθηση της ροής και η δειγματοληψία πακέτων μπορεί ακόμη και να είναι χρήσιμες για τον εντοπισμό και την αποκατάσταση των ζητημάτων ασφαλείας.
Η παρακολούθηση της ροής δίνει σε ομάδες δικτύωσης μια καλή ιδέα για το πώς λειτουργεί ένα δίκτυο, παρέχοντας πληροφορίες για τη συνολική χρήση, τη χρήση εφαρμογών, τις πιθανές συμφόρηση, τις ανωμαλίες που μπορεί να σηματοδοτούν απειλές ασφαλείας και πολλά άλλα. Υπάρχουν διάφορα διαφορετικά πρότυπα και μορφές που χρησιμοποιούνται στην παρακολούθηση της ροής δικτύου, όπως η εξαγωγή πληροφοριών ροής NetFlow, SFLOW και Internet Protocol (IPFIX). Ο καθένας λειτουργεί με ελαφρώς διαφορετικό τρόπο, αλλά όλα είναι ξεχωριστά από την επιθεώρηση του κατοπτρικού θύρας και της βαθιάς επιθεώρησης πακέτων, καθώς δεν καταγράφουν τα περιεχόμενα κάθε πακέτου που διέρχεται από μια θύρα ή μέσω ενός διακόπτη. Ωστόσο, η παρακολούθηση της ροής παρέχει περισσότερες πληροφορίες από το SNMP, το οποίο περιορίζεται γενικά σε ευρεία στατιστική όπως η συνολική χρήση πακέτων και εύρους ζώνης.
Τα εργαλεία ροής δικτύου συγκρίθηκαν
| Χαρακτηριστικό | Netflow V5 | Netflow V9 | ρουφηξιά | Διόγκωση |
| Ανοιχτό ή ιδιόκτητο | Ιδιόκτητος | Ιδιόκτητος | Ανοιχτό | Ανοιχτό |
| Δειγματοληψία ή με βάση τη ροή | Κυρίως βασισμένη στη ροή. Η λειτουργία δειγματοληψίας είναι διαθέσιμη | Κυρίως βασισμένη στη ροή. Η λειτουργία δειγματοληψίας είναι διαθέσιμη | Δειγματοληψία | Κυρίως βασισμένη στη ροή. Η λειτουργία δειγματοληψίας είναι διαθέσιμη |
| Πληροφορίες που καταγράφηκαν | Μεταδεδομένα και στατιστικά στοιχεία, συμπεριλαμβανομένων των μεταφερόμενων bytes, των μετρητών διασύνδεσης και ούτω καθεξής | Μεταδεδομένα και στατιστικά στοιχεία, συμπεριλαμβανομένων των μεταφερόμενων bytes, των μετρητών διασύνδεσης και ούτω καθεξής | Πλήρεις κεφαλίδες πακέτων, μερική ωφέλιμα φορτία πακέτων | Μεταδεδομένα και στατιστικά στοιχεία, συμπεριλαμβανομένων των μεταφερόμενων bytes, των μετρητών διασύνδεσης και ούτω καθεξής |
| Παρακολούθηση εισόδου/εξόδου | Μόνο η είσοδος | Είσοδος και έξοδος | Είσοδος και έξοδος | Είσοδος και έξοδος |
| Υποστήριξη IPv6/VLAN/MPLS | No | Ναί | Ναί | Ναί |
Χρόνος δημοσίευσης: Μαρ-18-2024
