NetFlow e IPFIX sono entrambe tecnologie utilizzate per il monitoraggio e l'analisi del flusso di rete. Forniscono informazioni dettagliate sui modelli di traffico di rete, facilitando l'ottimizzazione delle prestazioni, la risoluzione dei problemi e l'analisi della sicurezza.
Flusso di rete:
Che cos'è NetFlow?
NetFlowè la soluzione originale per il monitoraggio dei flussi, sviluppata originariamente da Cisco alla fine degli anni '90. Esistono diverse versioni, ma la maggior parte delle distribuzioni si basa su NetFlow v5 o NetFlow v9. Sebbene ogni versione abbia funzionalità diverse, il funzionamento di base rimane lo stesso:
In primo luogo, un router, uno switch, un firewall o un altro tipo di dispositivo acquisisce informazioni sui "flussi" di rete, ovvero un insieme di pacchetti che condividono un insieme di caratteristiche comuni come indirizzo di origine e destinazione, porta di origine e destinazione e tipo di protocollo. Dopo che un flusso è diventato dormiente o è trascorso un periodo di tempo predefinito, il dispositivo esporterà i record del flusso a un'entità nota come "collettore di flussi".
Infine, un "analizzatore di flusso" interpreta questi record, fornendo informazioni sotto forma di visualizzazioni, statistiche e report dettagliati, sia storici che in tempo reale. In pratica, collettori e analizzatori sono spesso un'unica entità, spesso combinati in una soluzione più ampia di monitoraggio delle prestazioni di rete.
NetFlow opera su base stateful. Quando un client si collega a un server, NetFlow inizia ad acquisire e aggregare i metadati dal flusso. Al termine della sessione, NetFlow esporterà un singolo record completo nel collector.
Sebbene sia ancora comunemente utilizzato, NetFlow v5 presenta diverse limitazioni. I campi esportati sono fissi, il monitoraggio è supportato solo nella direzione di ingresso e tecnologie moderne come IPv6, MPLS e VXLAN non sono supportate. NetFlow v9, noto anche come Flexible NetFlow (FNF), risolve alcune di queste limitazioni, consentendo agli utenti di creare modelli personalizzati e aggiungendo il supporto per le tecnologie più recenti.
Molti fornitori dispongono anche di implementazioni proprietarie di NetFlow, come jFlow di Juniper e NetStream di Huawei. Sebbene la configurazione possa differire leggermente, queste implementazioni spesso producono record di flusso compatibili con i collettori e gli analizzatori NetFlow.
Caratteristiche principali di NetFlow:
~ Dati di flusso:NetFlow genera record di flusso che includono dettagli quali indirizzi IP di origine e destinazione, porte, timestamp, conteggi di pacchetti e byte e tipi di protocollo.
~ Monitoraggio del traffico: NetFlow fornisce visibilità sui modelli di traffico di rete, consentendo agli amministratori di identificare le principali applicazioni, endpoint e sorgenti di traffico.
~Rilevamento delle anomalie:Analizzando i dati di flusso, NetFlow è in grado di rilevare anomalie quali un utilizzo eccessivo della larghezza di banda, congestione della rete o modelli di traffico insoliti.
~ Analisi della sicurezza: NetFlow può essere utilizzato per rilevare e investigare incidenti di sicurezza, come attacchi DDoS (Distributed Denial-of-Service) o tentativi di accesso non autorizzati.
Versioni di NetFlowNetFlow si è evoluto nel tempo e sono state rilasciate diverse versioni. Tra le versioni più note figurano NetFlow v5, NetFlow v9 e Flexible NetFlow. Ogni versione introduce miglioramenti e funzionalità aggiuntive.
IPFIX:
Che cosa è IPFIX?
Standard IETF emerso nei primi anni 2000, l'Internet Protocol Flow Information Export (IPFIX) è estremamente simile a NetFlow. Infatti, NetFlow v9 è stato la base di IPFIX. La differenza principale tra i due è che IPFIX è uno standard aperto ed è supportato da molti fornitori di soluzioni di rete, a parte Cisco. Ad eccezione di alcuni campi aggiuntivi aggiunti a IPFIX, i formati sono per il resto pressoché identici. Infatti, IPFIX viene talvolta chiamato anche "NetFlow v10".
Grazie anche alle sue somiglianze con NetFlow, IPFIX gode di un ampio supporto sia tra le soluzioni di monitoraggio di rete che tra le apparecchiature di rete.
IPFIX (Internet Protocol Flow Information Export) è un protocollo standard aperto sviluppato dall'Internet Engineering Task Force (IETF). Si basa sulla specifica NetFlow versione 9 e fornisce un formato standardizzato per l'esportazione dei record di flusso dai dispositivi di rete.
IPFIX si basa sui concetti di NetFlow e li espande per offrire maggiore flessibilità e interoperabilità tra diversi fornitori e dispositivi. Introduce il concetto di template, consentendo la definizione dinamica della struttura e del contenuto dei record di flusso. Ciò consente l'inclusione di campi personalizzati, il supporto per nuovi protocolli e l'estensibilità.
Caratteristiche principali di IPFIX:
~ Approccio basato su modelli: IPFIX utilizza modelli per definire la struttura e il contenuto dei record di flusso, offrendo flessibilità nell'adattare diversi campi dati e informazioni specifiche del protocollo.
~ Interoperabilità: IPFIX è uno standard aperto che garantisce capacità di monitoraggio del flusso coerenti tra diversi fornitori e dispositivi di rete.
~ Supporto IPv6:IPFIX supporta nativamente IPv6, rendendolo adatto al monitoraggio e all'analisi del traffico nelle reti IPv6.
~Sicurezza avanzata:IPFIX include funzionalità di sicurezza quali la crittografia Transport Layer Security (TLS) e controlli di integrità dei messaggi per proteggere la riservatezza e l'integrità dei dati di flusso durante la trasmissione.
IPFIX è ampiamente supportato da vari fornitori di apparecchiature di rete, il che lo rende una scelta ampiamente adottata e indipendente dal fornitore per il monitoraggio del flusso di rete.
Qual è dunque la differenza tra NetFlow e IPFIX?
La risposta semplice è che NetFlow è un protocollo proprietario di Cisco introdotto intorno al 1996, mentre IPFIX è il suo equivalente approvato dall'organismo di standardizzazione.
Entrambi i protocolli hanno lo stesso scopo: consentire a ingegneri e amministratori di rete di raccogliere e analizzare i flussi di traffico IP a livello di rete. Cisco ha sviluppato NetFlow affinché i suoi switch e router potessero fornire queste preziose informazioni. Data la predominanza delle apparecchiature Cisco, NetFlow è rapidamente diventato lo standard di fatto per l'analisi del traffico di rete. Tuttavia, i concorrenti del settore si sono resi conto che utilizzare un protocollo proprietario controllato dal principale concorrente non era una buona idea e quindi l'IETF ha guidato uno sforzo per standardizzare un protocollo aperto per l'analisi del traffico, ovvero IPFIX.
IPFIX si basa su NetFlow versione 9 ed è stato originariamente introdotto intorno al 2005, ma ci sono voluti diversi anni prima che venisse adottato dal settore. Ad oggi, i due protocolli sono essenzialmente identici e, sebbene il termine NetFlow sia ancora più diffuso, la maggior parte delle implementazioni (anche se non tutte) sono compatibili con lo standard IPFIX.
Ecco una tabella che riassume le differenze tra NetFlow e IPFIX:
| Aspetto | NetFlow | IPFIX |
|---|---|---|
| Origine | Tecnologia proprietaria sviluppata da Cisco | Protocollo standard del settore basato su NetFlow versione 9 |
| Standardizzazione | Tecnologia specifica di Cisco | Standard aperto definito da IETF in RFC 7011 |
| Flessibilità | Versioni evolute con caratteristiche specifiche | Maggiore flessibilità e interoperabilità tra i fornitori |
| Formato dati | Pacchetti di dimensioni fisse | Approccio basato su modelli per formati di record di flusso personalizzabili |
| Supporto modello | Non supportato | Modelli dinamici per l'inclusione flessibile dei campi |
| Supporto al fornitore | Principalmente dispositivi Cisco | Ampio supporto tra i fornitori di reti |
| Estensibilità | Personalizzazione limitata | Inclusione di campi personalizzati e dati specifici dell'applicazione |
| Differenze di protocollo | Variazioni specifiche di Cisco | Supporto IPv6 nativo, opzioni di registrazione del flusso migliorate |
| Funzionalità di sicurezza | Funzionalità di sicurezza limitate | Crittografia Transport Layer Security (TLS), integrità del messaggio |
Monitoraggio del flusso di reteè la raccolta, l'analisi e il monitoraggio del traffico che attraversa una determinata rete o un determinato segmento di rete. Gli obiettivi possono variare dalla risoluzione dei problemi di connettività alla pianificazione della futura allocazione della larghezza di banda. Il monitoraggio del flusso e il campionamento dei pacchetti possono anche essere utili per identificare e risolvere problemi di sicurezza.
Il monitoraggio del flusso fornisce ai team di rete una buona idea del funzionamento di una rete, fornendo informazioni sull'utilizzo complessivo, sull'utilizzo delle applicazioni, sui potenziali colli di bottiglia, sulle anomalie che potrebbero segnalare minacce alla sicurezza e altro ancora. Esistono diversi standard e formati utilizzati per il monitoraggio del flusso di rete, tra cui NetFlow, sFlow e Internet Protocol Flow Information Export (IPFIX). Ognuno di essi funziona in modo leggermente diverso, ma tutti si distinguono dal mirroring delle porte e dall'ispezione approfondita dei pacchetti in quanto non catturano il contenuto di ogni pacchetto che passa attraverso una porta o uno switch. Tuttavia, il monitoraggio del flusso fornisce più informazioni rispetto a SNMP, che generalmente si limita a statistiche generali come l'utilizzo complessivo dei pacchetti e della larghezza di banda.
Strumenti di flusso di rete a confronto
| Caratteristica | NetFlow v5 | NetFlow v9 | Flusso sFlow | IPFIX |
| Aperto o proprietario | Proprietario | Proprietario | Aprire | Aprire |
| Campionamento o basato sul flusso | Principalmente basato sul flusso; è disponibile la modalità campionata | Principalmente basato sul flusso; è disponibile la modalità campionata | Campionati | Principalmente basato sul flusso; è disponibile la modalità campionata |
| Informazioni catturate | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Intestazioni complete dei pacchetti, payload parziali dei pacchetti | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via |
| Monitoraggio di ingresso/uscita | Solo ingresso | Ingresso e uscita | Ingresso e uscita | Ingresso e uscita |
| Supporto IPv6/VLAN/MPLS | No | SÌ | SÌ | SÌ |
Data di pubblicazione: 18 marzo 2024
