NetFlow i IPFIX són tecnologies que s'utilitzen per a la monitorització i l'anàlisi del flux de xarxa. Proporcionen informació sobre els patrons de trànsit de xarxa, cosa que ajuda a optimitzar el rendiment, a resoldre problemes i a analitzar la seguretat.
NetFlow:
Què és NetFlow?
NetFlowés la solució original de monitorització de flux, desenvolupada originalment per Cisco a finals dels anys noranta. Existeixen diverses versions diferents, però la majoria de les implementacions es basen en NetFlow v5 o NetFlow v9. Tot i que cada versió té capacitats diferents, el funcionament bàsic continua sent el mateix:
Primer, un encaminador, commutador, tallafocs o un altre tipus de dispositiu capturarà informació sobre els "fluxos" de la xarxa, bàsicament un conjunt de paquets que comparteixen un conjunt comú de característiques com l'adreça d'origen i destinació, el port d'origen i destinació i el tipus de protocol. Després que un flux hagi quedat inactiu o hagi transcorregut un període de temps predefinit, el dispositiu exportarà els registres de flux a una entitat coneguda com a "col·lector de fluxos".
Finalment, un "analitzador de flux" dóna sentit a aquests registres, proporcionant informació en forma de visualitzacions, estadístiques i informes històrics i en temps real detallats. A la pràctica, els col·lectors i analitzadors sovint són una sola entitat, sovint combinada en una solució de monitorització del rendiment de la xarxa més gran.
NetFlow funciona amb un sistema d'estats. Quan una màquina client es connecta a un servidor, NetFlow comença a capturar i agregar metadades del flux. Un cop finalitzada la sessió, NetFlow exporta un únic registre complet al col·lector.
Tot i que encara s'utilitza habitualment, NetFlow v5 té diverses limitacions. Els camps exportats són fixos, la supervisió només s'admet en la direcció d'entrada i les tecnologies modernes com IPv6, MPLS i VXLAN no són compatibles. NetFlow v9, també anomenat Flexible NetFlow (FNF), soluciona algunes d'aquestes limitacions, permetent als usuaris crear plantilles personalitzades i afegint compatibilitat amb tecnologies més noves.
Molts proveïdors també tenen les seves pròpies implementacions propietàries de NetFlow, com ara jFlow de Juniper i NetStream de Huawei. Tot i que la configuració pot variar una mica, aquestes implementacions sovint produeixen registres de flux que són compatibles amb els col·lectors i analitzadors de NetFlow.
Característiques principals de NetFlow:
~ Dades de fluxNetFlow genera registres de flux que inclouen detalls com ara adreces IP d'origen i destinació, ports, marques de temps, recompte de paquets i bytes i tipus de protocol.
~ Monitorització del trànsitNetFlow proporciona visibilitat dels patrons de trànsit de xarxa, permetent als administradors identificar les principals aplicacions, punts finals i fonts de trànsit.
~Detecció d'anomaliesAnalitzant les dades de flux, NetFlow pot detectar anomalies com ara un ús excessiu de l'amplada de banda, congestió de la xarxa o patrons de trànsit inusuals.
~ Anàlisi de seguretatNetFlow es pot utilitzar per detectar i investigar incidents de seguretat, com ara atacs de denegació de servei distribuït (DDoS) o intents d'accés no autoritzats.
Versions de NetFlowNetFlow ha evolucionat amb el temps i s'han publicat diferents versions. Algunes versions destacades inclouen NetFlow v5, NetFlow v9 i Flexible NetFlow. Cada versió introdueix millores i capacitats addicionals.
IPFIX:
Què és IPFIX?
Un estàndard de l'IETF que va sorgir a principis dels anys 2000, l'Internet Protocol Flow Information Export (IPFIX) és extremadament similar a NetFlow. De fet, NetFlow v9 va servir de base per a IPFIX. La principal diferència entre els dos és que IPFIX és un estàndard obert i és compatible amb molts proveïdors de xarxes a part de Cisco. Amb l'excepció d'uns quants camps addicionals afegits a IPFIX, els formats són gairebé idèntics. De fet, de vegades IPFIX s'anomena fins i tot "NetFlow v10".
A causa en part de les seves similituds amb NetFlow, IPFIX gaudeix d'un ampli suport entre les solucions de monitorització de xarxa, així com entre els equips de xarxa.
IPFIX (Internet Protocol Flow Information Export) és un protocol estàndard obert desenvolupat per l'Internet Engineering Task Force (IETF). Es basa en l'especificació NetFlow versió 9 i proporciona un format estandarditzat per exportar registres de flux des de dispositius de xarxa.
IPFIX es basa en els conceptes de NetFlow i els amplia per oferir més flexibilitat i interoperabilitat entre diferents proveïdors i dispositius. Introdueix el concepte de plantilles, permetent la definició dinàmica de l'estructura i el contingut dels registres de flux. Això permet la inclusió de camps personalitzats, la compatibilitat amb nous protocols i l'extensibilitat.
Característiques principals d'IPFIX:
~ Enfocament basat en plantillesIPFIX utilitza plantilles per definir l'estructura i el contingut dels registres de flux, oferint flexibilitat a l'hora d'acomodar diferents camps de dades i informació específica del protocol.
~ InteroperabilitatIPFIX és un estàndard obert que garanteix unes capacitats de monitorització de flux consistents entre diferents proveïdors i dispositius de xarxa.
~ Compatibilitat amb IPv6IPFIX admet IPv6 de forma nativa, cosa que el fa adequat per monitoritzar i analitzar el trànsit a les xarxes IPv6.
~Seguretat milloradaIPFIX inclou funcions de seguretat com ara el xifratge TLS (Transport Layer Security) i les comprovacions d'integritat dels missatges per protegir la confidencialitat i la integritat de les dades de flux durant la transmissió.
IPFIX té un ampli suport de diversos proveïdors d'equips de xarxa, cosa que el converteix en una opció neutral per a la supervisió del flux de xarxa i àmpliament adoptada.
Aleshores, quina és la diferència entre NetFlow i IPFIX?
La resposta senzilla és que NetFlow és un protocol propietari de Cisco introduït al voltant de 1996 i IPFIX és el seu germà aprovat per l'organisme d'estàndards.
Ambdós protocols tenen el mateix propòsit: permetre als enginyers i administradors de xarxa recopilar i analitzar els fluxos de trànsit IP a nivell de xarxa. Cisco va desenvolupar NetFlow perquè els seus commutadors i encaminadors poguessin generar aquesta valuosa informació. Donat el domini dels equips de Cisco, NetFlow es va convertir ràpidament en l'estàndard de facto per a l'anàlisi del trànsit de xarxa. Tanmateix, els competidors de la indústria es van adonar que utilitzar un protocol propietari controlat pel seu principal rival no era una bona idea i, per tant, l'IETF va liderar un esforç per estandarditzar un protocol obert per a l'anàlisi del trànsit, que és IPFIX.
IPFIX es basa en la versió 9 de NetFlow i es va introduir originalment al voltant del 2005, però va trigar uns quants anys a ser adoptat per la indústria. En aquest punt, els dos protocols són essencialment iguals i, tot i que el terme NetFlow encara és més prevalent, la majoria d'implementacions (encara que no totes) són compatibles amb l'estàndard IPFIX.
Aquí teniu una taula que resumeix les diferències entre NetFlow i IPFIX:
| Aspecte | NetFlow | IPFIX |
|---|---|---|
| Origen | Tecnologia pròpia desenvolupada per Cisco | Protocol estàndard de la indústria basat en NetFlow versió 9 |
| Estandardització | Tecnologia específica de Cisco | Estàndard obert definit per l'IETF a la RFC 7011 |
| Flexibilitat | Versions evolucionades amb característiques específiques | Major flexibilitat i interoperabilitat entre proveïdors |
| Format de dades | Paquets de mida fixa | Enfocament basat en plantilles per a formats de registre de flux personalitzables |
| Suport de plantilles | No compatible | Plantilles dinàmiques per a la inclusió de camps flexible |
| Suport al proveïdor | Principalment dispositius Cisco | Ampli suport entre proveïdors de xarxes |
| Extensibilitat | Personalització limitada | Inclusió de camps personalitzats i dades específiques de l'aplicació |
| Diferències de protocol | Variacions específiques de Cisco | Compatibilitat nativa amb IPv6, opcions de registre de flux millorades |
| Característiques de seguretat | Funcions de seguretat limitades | Xifratge de seguretat de la capa de transport (TLS), integritat del missatge |
Monitorització del flux de xarxaés la recopilació, anàlisi i monitorització del trànsit que travessa una xarxa o segment de xarxa determinat. Els objectius poden variar des de la resolució de problemes de connectivitat fins a la planificació de l'assignació futura d'amplada de banda. La monitorització del flux i el mostreig de paquets poden ser fins i tot útils per identificar i solucionar problemes de seguretat.
La monitorització del flux proporciona als equips de xarxa una bona idea de com funciona una xarxa, proporcionant informació sobre la utilització general, l'ús de les aplicacions, els possibles colls d'ampolla, les anomalies que poden indicar amenaces de seguretat i més. Hi ha diversos estàndards i formats diferents que s'utilitzen en la monitorització del flux de xarxa, com ara NetFlow, sFlow i Internet Protocol Flow Information Export (IPFIX). Cadascun funciona d'una manera lleugerament diferent, però tots són diferents de la rèplica de ports i la inspecció profunda de paquets, ja que no capturen el contingut de cada paquet que passa per un port o a través d'un commutador. Tanmateix, la monitorització del flux proporciona més informació que SNMP, que generalment es limita a estadístiques generals com l'ús general de paquets i amplada de banda.
Eines de flux de xarxa comparades
| Característica | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Obert o propietari | Propietari | Propietari | Obre | Obre |
| Mostrejat o basat en flux | Principalment basat en flux; el mode mostrejat està disponible | Principalment basat en flux; el mode mostrejat està disponible | Mostrejat | Principalment basat en flux; el mode mostrejat està disponible |
| Informació capturada | Metadades i informació estadística, incloent-hi els bytes transferits, els comptadors d'interfície, etc. | Metadades i informació estadística, incloent-hi els bytes transferits, els comptadors d'interfície, etc. | Capçaleres de paquets completes, càrregues útils de paquets parcials | Metadades i informació estadística, incloent-hi els bytes transferits, els comptadors d'interfície, etc. |
| Monitorització d'entrada/sortida | Només entrada | Entrada i sortida | Entrada i sortida | Entrada i sortida |
| Compatibilitat amb IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Data de publicació: 18 de març de 2024
