NetFlow e IPFIX sono entrambe tecnologie utilizzate per il monitoraggio e l'analisi del flusso di rete. Forniscono informazioni dettagliate sui modelli di traffico di rete, contribuendo all'ottimizzazione delle prestazioni, alla risoluzione dei problemi e all'analisi della sicurezza.
Flusso netto:
Cos'è NetFlow?
flusso nettoNetFlow è la soluzione originale per il monitoraggio dei flussi, sviluppata da Cisco alla fine degli anni '90. Esistono diverse versioni, ma la maggior parte delle implementazioni si basa su NetFlow v5 o NetFlow v9. Sebbene ogni versione abbia funzionalità diverse, il funzionamento di base rimane lo stesso:
Innanzitutto, un router, uno switch, un firewall o un altro tipo di dispositivo acquisisce informazioni sui "flussi" di rete, ovvero un insieme di pacchetti che condividono caratteristiche comuni come l'indirizzo di origine e di destinazione, la porta di origine e di destinazione e il tipo di protocollo. Dopo che un flusso è diventato inattivo o è trascorso un periodo di tempo predefinito, il dispositivo esporta i record del flusso a un'entità nota come "collettore di flussi".
Infine, un "analizzatore di flusso" interpreta questi dati, fornendo informazioni utili sotto forma di visualizzazioni, statistiche e report dettagliati, sia storici che in tempo reale. In pratica, i sistemi di raccolta e analisi dei dati sono spesso un'unica entità, spesso integrata in una soluzione più ampia per il monitoraggio delle prestazioni di rete.
NetFlow opera in modalità stateful. Quando una macchina client si connette a un server, NetFlow inizia ad acquisire e aggregare i metadati del flusso. Al termine della sessione, NetFlow esporta un singolo record completo al collettore.
Sebbene sia ancora comunemente utilizzato, NetFlow v5 presenta diverse limitazioni. I campi esportati sono fissi, il monitoraggio è supportato solo in direzione di ingresso e le tecnologie moderne come IPv6, MPLS e VXLAN non sono supportate. NetFlow v9, noto anche come Flexible NetFlow (FNF), risolve alcune di queste limitazioni, consentendo agli utenti di creare modelli personalizzati e aggiungendo il supporto per le tecnologie più recenti.
Molti fornitori offrono anche implementazioni proprietarie di NetFlow, come jFlow di Juniper e NetStream di Huawei. Sebbene la configurazione possa differire leggermente, queste implementazioni spesso producono record di flusso compatibili con i collettori e gli analizzatori NetFlow.
Caratteristiche principali di NetFlow:
~ Dati di flussoNetFlow genera record di flusso che includono dettagli quali indirizzi IP di origine e di destinazione, porte, timestamp, conteggio di pacchetti e byte e tipi di protocollo.
~ Monitoraggio del trafficoNetFlow offre visibilità sui modelli di traffico di rete, consentendo agli amministratori di identificare le principali applicazioni, gli endpoint e le sorgenti di traffico.
~Rilevamento delle anomalieAnalizzando i dati di flusso, NetFlow è in grado di rilevare anomalie come un utilizzo eccessivo della larghezza di banda, la congestione della rete o modelli di traffico insoliti.
~ Analisi della sicurezzaNetFlow può essere utilizzato per rilevare e analizzare incidenti di sicurezza, come attacchi DDoS (Distributed Denial-of-Service) o tentativi di accesso non autorizzato.
Versioni NetFlowNetFlow si è evoluto nel tempo e sono state rilasciate diverse versioni. Tra le più importanti si annoverano NetFlow v5, NetFlow v9 e Flexible NetFlow. Ogni versione introduce miglioramenti e funzionalità aggiuntive.
IPFIX:
Cos'è IPFIX?
Lo standard IETF IPFIX (Internet Protocol Flow Information Export), nato all'inizio degli anni 2000, è estremamente simile a NetFlow. Infatti, NetFlow v9 è servito da base per IPFIX. La differenza principale tra i due è che IPFIX è uno standard aperto ed è supportato da molti produttori di apparecchiature di rete, oltre a Cisco. Ad eccezione di alcuni campi aggiuntivi, i formati sono pressoché identici. IPFIX viene talvolta indicato anche come "NetFlow v10".
Grazie anche alle sue somiglianze con NetFlow, IPFIX gode di ampio supporto sia tra le soluzioni di monitoraggio di rete che tra le apparecchiature di rete.
IPFIX (Internet Protocol Flow Information Export) è un protocollo standard aperto sviluppato dall'Internet Engineering Task Force (IETF). Si basa sulla specifica NetFlow versione 9 e fornisce un formato standardizzato per l'esportazione dei record di flusso dai dispositivi di rete.
IPFIX si basa sui concetti di NetFlow e li espande per offrire maggiore flessibilità e interoperabilità tra diversi fornitori e dispositivi. Introduce il concetto di modelli, che consente la definizione dinamica della struttura e del contenuto dei record di flusso. Ciò permette l'inclusione di campi personalizzati, il supporto per nuovi protocolli e l'estensibilità.
Caratteristiche principali di IPFIX:
~ Approccio basato su modelliIPFIX utilizza modelli per definire la struttura e il contenuto dei record di flusso, offrendo flessibilità nell'adattare diversi campi dati e informazioni specifiche del protocollo.
~ InteroperabilitàIPFIX è uno standard aperto che garantisce funzionalità di monitoraggio del flusso coerenti tra diversi fornitori e dispositivi di rete.
~ Supporto IPv6IPFIX supporta nativamente IPv6, risultando quindi adatto al monitoraggio e all'analisi del traffico nelle reti IPv6.
~Sicurezza avanzataIPFIX include funzionalità di sicurezza come la crittografia Transport Layer Security (TLS) e controlli di integrità dei messaggi per proteggere la riservatezza e l'integrità dei dati di flusso durante la trasmissione.
IPFIX è ampiamente supportato da diversi fornitori di apparecchiature di rete, il che lo rende una soluzione indipendente dal fornitore e ampiamente adottata per il monitoraggio del flusso di rete.
Qual è dunque la differenza tra NetFlow e IPFIX?
In parole semplici, NetFlow è un protocollo proprietario di Cisco introdotto intorno al 1996, mentre IPFIX è il suo omologo approvato da un ente di standardizzazione.
Entrambi i protocolli hanno lo stesso scopo: consentire agli ingegneri e agli amministratori di rete di raccogliere e analizzare i flussi di traffico IP a livello di rete. Cisco ha sviluppato NetFlow affinché i suoi switch e router potessero trasmettere queste preziose informazioni. Data la posizione dominante delle apparecchiature Cisco, NetFlow è diventato rapidamente lo standard di fatto per l'analisi del traffico di rete. Tuttavia, i concorrenti del settore si sono resi conto che utilizzare un protocollo proprietario controllato dal principale rivale non era una buona idea e quindi l'IETF ha promosso un'iniziativa per standardizzare un protocollo aperto per l'analisi del traffico, ovvero IPFIX.
IPFIX si basa su NetFlow versione 9 ed è stato introdotto originariamente intorno al 2005, ma ci sono voluti diversi anni prima che venisse adottato dal settore. Attualmente, i due protocolli sono sostanzialmente identici e, sebbene il termine NetFlow sia ancora più diffuso, la maggior parte delle implementazioni (anche se non tutte) sono compatibili con lo standard IPFIX.
Ecco una tabella che riassume le differenze tra NetFlow e IPFIX:
| Aspetto | flusso netto | IPFIX |
|---|---|---|
| Origine | Tecnologia proprietaria sviluppata da Cisco | Protocollo standard di settore basato su NetFlow versione 9 |
| Standardizzazione | tecnologia specifica di Cisco | Standard aperto definito dall'IETF nella RFC 7011 |
| Flessibilità | Versioni evolute con caratteristiche specifiche | Maggiore flessibilità e interoperabilità tra i fornitori |
| Formato dati | Pacchetti di dimensioni fisse | Approccio basato su modelli per formati di record di flusso personalizzabili |
| Supporto modello | Non supportato | Modelli dinamici per un'inclusione flessibile dei campi |
| Supporto del fornitore | Principalmente dispositivi Cisco | Ampio supporto da parte dei fornitori di soluzioni di rete |
| Estensibilità | Personalizzazione limitata | Inclusione di campi personalizzati e dati specifici dell'applicazione |
| Differenze di protocollo | varianti specifiche di Cisco | Supporto nativo per IPv6, opzioni avanzate per la registrazione dei flussi |
| Caratteristiche di sicurezza | Funzionalità di sicurezza limitate | Crittografia Transport Layer Security (TLS), integrità del messaggio |
Monitoraggio del flusso di reteIl monitoraggio del flusso consiste nella raccolta, analisi e monitoraggio del traffico che attraversa una determinata rete o un segmento di rete. Gli obiettivi possono variare dalla risoluzione di problemi di connettività alla pianificazione dell'allocazione futura della larghezza di banda. Il monitoraggio del flusso e il campionamento dei pacchetti possono essere utili anche per identificare e risolvere problemi di sicurezza.
Il monitoraggio del flusso offre ai team di rete una chiara idea di come funziona una rete, fornendo informazioni sull'utilizzo complessivo, sull'uso delle applicazioni, sui potenziali colli di bottiglia, sulle anomalie che potrebbero segnalare minacce alla sicurezza e altro ancora. Esistono diversi standard e formati utilizzati nel monitoraggio del flusso di rete, tra cui NetFlow, sFlow e IPFIX (Internet Protocol Flow Information Export). Ognuno funziona in modo leggermente diverso, ma tutti si distinguono dal port mirroring e dal deep packet inspection in quanto non acquisiscono il contenuto di ogni singolo pacchetto che transita su una porta o attraverso uno switch. Tuttavia, il monitoraggio del flusso fornisce più informazioni rispetto a SNMP, che in genere si limita a statistiche generali come l'utilizzo complessivo dei pacchetti e della larghezza di banda.
Confronto tra strumenti per la gestione del flusso di rete
| Caratteristica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Aperto o proprietario | Proprietà | Proprietà | Aprire | Aprire |
| Basato su campioni o sul flusso | Principalmente basato sul flusso; è disponibile la modalità campionata. | Principalmente basato sul flusso; è disponibile la modalità campionata. | campionato | Principalmente basato sul flusso; è disponibile la modalità campionata. |
| Informazioni acquisite | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via | Intestazioni complete dei pacchetti, payload parziali dei pacchetti. | Metadati e informazioni statistiche, inclusi byte trasferiti, contatori di interfaccia e così via |
| Monitoraggio degli accessi/uscite | Solo ingresso | Ingresso e uscita | Ingresso e uscita | Ingresso e uscita |
| Supporto per IPv6/VLAN/MPLS | No | SÌ | SÌ | SÌ |
Data di pubblicazione: 18 marzo 2024
