NetFlow e IPFIX sono entrambe tecnologie utilizzate per il monitoraggio e l'analisi del flusso di rete. Forniscono approfondimenti sui modelli di traffico di rete, aiutando nell'ottimizzazione delle prestazioni, nella risoluzione dei problemi e nell'analisi della sicurezza.
Flusso netto:
Cos'è Netflow?
NetFlowè la soluzione originale per il monitoraggio del flusso, originariamente sviluppata da Cisco alla fine degli anni '90. Esistono diverse versioni, ma la maggior parte delle distribuzioni si basa su NetFlow v5 o NetFlow v9. Sebbene ogni versione abbia funzionalità diverse, il funzionamento di base rimane lo stesso:
Innanzitutto, un router, uno switch, un firewall o un altro tipo di dispositivo catturerà informazioni sui “flussi” della rete, fondamentalmente un insieme di pacchetti che condividono un insieme comune di caratteristiche come indirizzo di origine e destinazione, porta di origine e destinazione e protocollo tipo. Dopo che un flusso è diventato inattivo o è trascorso un periodo di tempo predefinito, il dispositivo esporterà i record di flusso a un'entità nota come "raccoglitore di flusso".
Infine, un “analizzatore di flusso” dà un senso a tali record, fornendo approfondimenti sotto forma di visualizzazioni, statistiche e report dettagliati storici e in tempo reale. In pratica, collettori e analizzatori sono spesso una singola entità, spesso combinati in una soluzione più ampia di monitoraggio delle prestazioni di rete.
NetFlow opera su base stateful. Quando una macchina client raggiunge un server, NetFlow inizierà ad acquisire e aggregare i metadati dal flusso. Al termine della sessione, NetFlow esporterà un singolo record completo nel raccoglitore.
Sebbene sia ancora comunemente utilizzato, NetFlow v5 presenta una serie di limitazioni. I campi esportati sono fissi, il monitoraggio è supportato solo nella direzione di ingresso e le tecnologie moderne come IPv6, MPLS e VXLAN non sono supportate. NetFlow v9, denominato anche Fixed NetFlow (FNF), risolve alcune di queste limitazioni, consentendo agli utenti di creare modelli personalizzati e aggiungendo il supporto per le tecnologie più recenti.
Molti fornitori hanno anche le proprie implementazioni proprietarie di NetFlow, come jFlow di Juniper e NetStream di Huawei. Sebbene la configurazione possa differire leggermente, queste implementazioni spesso producono record di flusso compatibili con i raccoglitori e gli analizzatori NetFlow.
Caratteristiche principali di NetFlow:
~ Dati sul flusso: NetFlow genera record di flusso che includono dettagli quali indirizzi IP di origine e destinazione, porte, timestamp, conteggi di pacchetti e byte e tipi di protocollo.
~ Monitoraggio del traffico: NetFlow fornisce visibilità sui modelli di traffico di rete, consentendo agli amministratori di identificare le principali applicazioni, endpoint e fonti di traffico.
~Rilevamento anomalie: Analizzando i dati di flusso, NetFlow è in grado di rilevare anomalie come un utilizzo eccessivo della larghezza di banda, congestione della rete o modelli di traffico insoliti.
~ Analisi della sicurezza: NetFlow può essere utilizzato per rilevare e indagare su incidenti di sicurezza, come attacchi DDoS (Distributed Denial of Service) o tentativi di accesso non autorizzati.
Versioni di NetFlow: NetFlow si è evoluto nel tempo e sono state rilasciate diverse versioni. Alcune versioni degne di nota includono NetFlow v5, NetFlow v9 e Flexless NetFlow. Ogni versione introduce miglioramenti e funzionalità aggiuntive.
IPFIX:
Cos'è IPFIX?
Uno standard IETF emerso all'inizio degli anni 2000, IPFIX (Internet Protocol Flow Information Export) è estremamente simile a NetFlow. In effetti, NetFlow v9 è servito come base per IPFIX. La differenza principale tra i due è che IPFIX è uno standard aperto ed è supportato da molti fornitori di reti oltre a Cisco. Con l'eccezione di alcuni campi aggiuntivi aggiunti in IPFIX, i formati sono per il resto quasi identici. In effetti, IPFIX viene talvolta chiamato anche “NetFlow v10”.
In parte a causa delle sue somiglianze con NetFlow, IPFIX gode di ampio supporto tra le soluzioni di monitoraggio della rete e le apparecchiature di rete.
IPFIX (Internet Protocol Flow Information Export) è un protocollo standard aperto sviluppato dalla Internet Engineering Task Force (IETF). Si basa sulla specifica NetFlow Versione 9 e fornisce un formato standardizzato per l'esportazione dei record di flusso dai dispositivi di rete.
IPFIX si basa sui concetti di NetFlow e li espande per offrire maggiore flessibilità e interoperabilità tra diversi fornitori e dispositivi. Introduce il concetto di modello, consentendo la definizione dinamica della struttura e del contenuto del record di flusso. Ciò consente l'inclusione di campi personalizzati, il supporto per nuovi protocolli e l'estensibilità.
Caratteristiche principali di IPFIX:
~ Approccio basato su modelli: IPFIX utilizza modelli per definire la struttura e il contenuto dei record di flusso, offrendo flessibilità nell'accogliere diversi campi dati e informazioni specifiche del protocollo.
~ Interoperabilità: IPFIX è uno standard aperto che garantisce funzionalità di monitoraggio del flusso coerenti tra diversi fornitori e dispositivi di rete.
~ Supporto IPv6: IPFIX supporta nativamente IPv6, rendendolo adatto al monitoraggio e all'analisi del traffico nelle reti IPv6.
~Sicurezza migliorata: IPFIX include funzionalità di sicurezza come la crittografia Transport Layer Security (TLS) e i controlli di integrità dei messaggi per proteggere la riservatezza e l'integrità dei dati del flusso durante la trasmissione.
IPFIX è ampiamente supportato da vari fornitori di apparecchiature di rete, il che lo rende una scelta indipendente dal fornitore e ampiamente adottata per il monitoraggio del flusso di rete.
Quindi, qual è la differenza tra NetFlow e IPFIX?
La risposta semplice è che NetFlow è un protocollo proprietario Cisco introdotto intorno al 1996 e IPFIX è il suo fratello approvato dall'organismo di standardizzazione.
Entrambi i protocolli hanno lo stesso scopo: consentire agli ingegneri e agli amministratori di rete di raccogliere e analizzare i flussi di traffico IP a livello di rete. Cisco ha sviluppato NetFlow in modo che i suoi switch e router potessero produrre queste preziose informazioni. Data la predominanza delle apparecchiature Cisco, NetFlow è diventato rapidamente lo standard de facto per l'analisi del traffico di rete. Tuttavia, i concorrenti del settore si sono resi conto che utilizzare un protocollo proprietario controllato dal suo principale rivale non era una buona idea e quindi l’IETF ha avviato uno sforzo per standardizzare un protocollo aperto per l’analisi del traffico, che è IPFIX.
IPFIX si basa su NetFlow versione 9 ed è stato originariamente introdotto intorno al 2005, ma ci sono voluti diversi anni per ottenere l'adozione da parte del settore. A questo punto, i due protocolli sono essenzialmente gli stessi e sebbene il termine NetFlow sia ancora più diffuso, la maggior parte delle implementazioni (anche se non tutte) sono compatibili con lo standard IPFIX.
Ecco una tabella che riassume le differenze tra NetFlow e IPFIX:
Aspetto | NetFlow | IPFIX |
---|---|---|
Origine | Tecnologia proprietaria sviluppata da Cisco | Protocollo standard del settore basato su NetFlow versione 9 |
Standardizzazione | Tecnologia specifica Cisco | Standard aperto definito da IETF nella RFC 7011 |
Flessibilità | Versioni evolute con caratteristiche specifiche | Maggiore flessibilità e interoperabilità tra i fornitori |
Formato dati | Pacchetti di dimensioni fisse | Approccio basato su modelli per formati di record di flusso personalizzabili |
Supporto modello | Non supportato | Modelli dinamici per l'inclusione flessibile dei campi |
Supporto al venditore | Principalmente dispositivi Cisco | Ampio supporto tra i fornitori di reti |
Estendibilità | Personalizzazione limitata | Inclusione di campi personalizzati e dati specifici dell'applicazione |
Differenze di protocollo | Variazioni specifiche di Cisco | Supporto IPv6 nativo, opzioni di registrazione del flusso migliorate |
Funzionalità di sicurezza | Funzionalità di sicurezza limitate | Crittografia Transport Layer Security (TLS), integrità dei messaggi |
Monitoraggio del flusso di reteè la raccolta, l'analisi e il monitoraggio del traffico che attraversa una determinata rete o segmento di rete. Gli obiettivi possono variare dalla risoluzione dei problemi di connettività alla pianificazione della futura allocazione della larghezza di banda. Il monitoraggio del flusso e il campionamento dei pacchetti possono essere utili anche per identificare e risolvere i problemi di sicurezza.
Il monitoraggio del flusso offre ai team di rete una buona idea di come funziona una rete, fornendo informazioni sull'utilizzo complessivo, sull'utilizzo delle applicazioni, sui potenziali colli di bottiglia, sulle anomalie che potrebbero segnalare minacce alla sicurezza e altro ancora. Esistono diversi standard e formati utilizzati nel monitoraggio del flusso di rete, tra cui NetFlow, sFlow e IPFIX (Internet Protocol Flow Information Export). Ciascuno funziona in modo leggermente diverso, ma tutti sono distinti dal mirroring delle porte e dall'ispezione approfondita dei pacchetti in quanto non catturano il contenuto di ogni pacchetto che passa su una porta o attraverso uno switch. Tuttavia, il monitoraggio del flusso fornisce più informazioni rispetto a SNMP, che generalmente è limitato a statistiche generali come l'utilizzo complessivo dei pacchetti e della larghezza di banda.
Strumenti per il flusso di rete a confronto
Caratteristica | Netflow v5 | Netflow v9 | sFlusso | IPFIX |
Aperto o proprietario | Proprietario | Proprietario | Aprire | Aprire |
Campionato o basato sul flusso | Principalmente basato sul flusso; È disponibile la modalità campionata | Principalmente basato sul flusso; È disponibile la modalità campionata | Campionato | Principalmente basato sul flusso; È disponibile la modalità campionata |
Informazioni catturate | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Intestazioni dei pacchetti complete, payload dei pacchetti parziali | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via |
Monitoraggio ingresso/uscita | Solo ingresso | Ingresso e uscita | Ingresso e uscita | Ingresso e uscita |
Supporto IPv6/VLAN/MPLS | No | SÌ | SÌ | SÌ |
Orario di pubblicazione: 18 marzo 2024