NetFlow e IPFIX son tecnoloxías empregadas para a monitorización e análise do fluxo de rede. Ofrecen información sobre os patróns de tráfico de rede, o que axuda na optimización do rendemento, a resolución de problemas e a análise da seguridade.
Fluxo de rede:
Que é NetFlow?
NetFlowé a solución orixinal de monitorización de fluxo, desenvolvida orixinalmente por Cisco a finais da década de 1990. Existen varias versións diferentes, pero a maioría das implementacións baséanse en NetFlow v5 ou NetFlow v9. Aínda que cada versión ten diferentes capacidades, o funcionamento básico segue sendo o mesmo:
En primeiro lugar, un enrutador, un conmutador, un cortafuegos ou outro tipo de dispositivo capturará información sobre os "fluxos" da rede, basicamente un conxunto de paquetes que comparten un conxunto común de características como o enderezo de orixe e destino, o porto de orixe e destino e o tipo de protocolo. Despois de que un fluxo quede inactivo ou transcorra un período de tempo predefinido, o dispositivo exportará os rexistros de fluxo a unha entidade coñecida como "colector de fluxos".
Finalmente, un "analizador de fluxo" dá sentido a eses rexistros, proporcionando información en forma de visualizacións, estatísticas e informes históricos e en tempo real detallados. Na práctica, os colectores e analizadores adoitan ser unha única entidade, a miúdo combinada nunha solución de monitorización do rendemento da rede máis ampla.
NetFlow funciona con base no sistema de estado. Cando unha máquina cliente se conecta a un servidor, NetFlow comeza a capturar e agregar metadatos do fluxo. Unha vez finalizada a sesión, NetFlow exporta un único rexistro completo ao colector.
Aínda que se usa habitualmente, NetFlow v5 ten unha serie de limitacións. Os campos exportados son fixos, a monitorización só se admite na dirección de entrada e as tecnoloxías modernas como IPv6, MPLS e VXLAN non son compatibles. NetFlow v9, tamén chamado Flexible NetFlow (FNF), aborda algunhas destas limitacións, permitindo aos usuarios crear modelos personalizados e engadindo compatibilidade con tecnoloxías máis novas.
Moitos provedores tamén teñen as súas propias implementacións propietarias de NetFlow, como jFlow de Juniper e NetStream de Huawei. Aínda que a configuración pode diferir algo, estas implementacións adoitan producir rexistros de fluxo que son compatibles cos colectores e analizadores de NetFlow.
Características principais de NetFlow:
~ Datos de fluxoNetFlow xera rexistros de fluxo que inclúen detalles como enderezos IP de orixe e destino, portos, marcas de tempo, recontos de paquetes e bytes e tipos de protocolo.
~ Monitorización do tráficoNetFlow proporciona visibilidade dos patróns de tráfico de rede, o que permite aos administradores identificar as principais aplicacións, puntos finais e fontes de tráfico.
~Detección de anomalíasAo analizar os datos de fluxo, NetFlow pode detectar anomalías como o uso excesivo do ancho de banda, a conxestión da rede ou patróns de tráfico pouco comúns.
~ Análise de seguridadeNetFlow pódese empregar para detectar e investigar incidentes de seguridade, como ataques de denegación de servizo distribuído (DDoS) ou intentos de acceso non autorizado.
Versións de NetFlowNetFlow evolucionou co tempo e lanzáronse diferentes versións. Algunhas versións destacadas inclúen NetFlow v5, NetFlow v9 e Flexible NetFlow. Cada versión introduce melloras e capacidades adicionais.
CORRECCIÓN IP:
Que é IPFIX?
IPFIX (Internet Protocol Flow Information Export), un estándar da IETF que xurdiu a principios dos anos 2000, é moi similar a NetFlow. De feito, NetFlow v9 serviu de base para IPFIX. A principal diferenza entre os dous é que IPFIX é un estándar aberto e é compatible con moitos provedores de redes ademais de Cisco. Coa excepción dalgúns campos adicionais engadidos en IPFIX, os formatos son case idénticos por outra banda. De feito, ás veces IPFIX incluso se denomina "NetFlow v10".
Debido en parte ás súas semellanzas con NetFlow, IPFIX goza dun amplo apoio entre as solucións de monitorización de rede, así como entre os equipos de rede.
IPFIX (Internet Protocol Flow Information Export, Exportación de información de fluxo de protocolos de Internet) é un protocolo estándar aberto desenvolvido polo Internet Engineering Task Force (IETF). Está baseado na especificación NetFlow versión 9 e proporciona un formato estandarizado para exportar rexistros de fluxo desde dispositivos de rede.
IPFIX baséase nos conceptos de NetFlow e amplíaos para ofrecer máis flexibilidade e interoperabilidade entre diferentes provedores e dispositivos. Introduce o concepto de modelos, o que permite a definición dinámica da estrutura e o contido dos rexistros de fluxo. Isto permite a inclusión de campos personalizados, a compatibilidade con novos protocolos e a extensibilidade.
Características principais de IPFIX:
~ Enfoque baseado en modelosIPFIX usa modelos para definir a estrutura e o contido dos rexistros de fluxo, o que ofrece flexibilidade á hora de acomodar diferentes campos de datos e información específica do protocolo.
~ InteroperabilidadeIPFIX é un estándar aberto que garante capacidades de monitorización de fluxo consistentes en diferentes provedores e dispositivos de rede.
~ Compatibilidade con IPv6IPFIX admite IPv6 de forma nativa, o que o fai axeitado para monitorizar e analizar o tráfico en redes IPv6.
~Seguridade melloradaIPFIX inclúe funcións de seguridade como o cifrado TLS (Transport Layer Security) e as comprobacións de integridade das mensaxes para protexer a confidencialidade e a integridade dos datos de fluxo durante a transmisión.
IPFIX conta cun amplo apoio de varios provedores de equipos de rede, o que o converte nunha opción neutra para o provedor e amplamente adoptada para a monitorización do fluxo de rede.
Entón, cal é a diferenza entre NetFlow e IPFIX?
A resposta sinxela é que NetFlow é un protocolo propietario de Cisco introducido arredor de 1996 e IPFIX é o seu irmán aprobado por un organismo de estándares.
Ambos protocolos serven para o mesmo propósito: permitir que os enxeñeiros e administradores de rede recollan e analicen os fluxos de tráfico IP a nivel de rede. Cisco desenvolveu NetFlow para que os seus conmutadores e enrutadores puidesen xerar esta valiosa información. Dado o dominio dos equipos de Cisco, NetFlow converteuse rapidamente no estándar de facto para a análise do tráfico de rede. Non obstante, os competidores da industria déronse conta de que usar un protocolo propietario controlado polo seu principal rival non era unha boa idea e, polo tanto, o IETF liderou un esforzo para estandarizar un protocolo aberto para a análise do tráfico, que é IPFIX.
IPFIX baséase na versión 9 de NetFlow e foi introducido orixinalmente arredor de 2005, pero tardou uns anos en ser adoptado pola industria. Neste momento, os dous protocolos son esencialmente o mesmo e, aínda que o termo NetFlow segue sendo máis frecuente, a maioría das implementacións (aínda que non todas) son compatibles co estándar IPFIX.
Aquí tes unha táboa que resume as diferenzas entre NetFlow e IPFIX:
| Aspecto | NetFlow | IPFIX |
|---|---|---|
| Orixe | Tecnoloxía propietaria desenvolvida por Cisco | Protocolo estándar da industria baseado en NetFlow versión 9 |
| Estandarización | Tecnoloxía específica de Cisco | Estándar aberto definido polo IETF na RFC 7011 |
| Flexibilidade | Versións evolucionadas con características específicas | Maior flexibilidade e interoperabilidade entre provedores |
| Formato de datos | Paquetes de tamaño fixo | Enfoque baseado en modelos para formatos de rexistro de fluxo personalizables |
| Soporte de modelos | Non compatible | Modelos dinámicos para inclusión flexible de campos |
| Soporte a provedores | Principalmente dispositivos Cisco | Ampla asistencia entre provedores de redes |
| Extensibilidade | Personalización limitada | Inclusión de campos personalizados e datos específicos da aplicación |
| Diferenzas de protocolo | Variacións específicas de Cisco | Compatibilidade nativa con IPv6, opcións melloradas de rexistro de fluxo |
| Características de seguridade | Funcións de seguridade limitadas | Cifrado de seguridade da capa de transporte (TLS), integridade da mensaxe |
Monitorización do fluxo de redeé a recollida, análise e monitorización do tráfico que atravesa unha rede ou segmento de rede determinado. Os obxectivos poden variar desde a resolución de problemas de conectividade ata a planificación da asignación futura de ancho de banda. A monitorización do fluxo e a mostraxe de paquetes poden incluso ser útiles para identificar e solucionar problemas de seguridade.
A monitorización do fluxo ofrece aos equipos de rede unha boa idea de como funciona unha rede, proporcionando información sobre a utilización xeral, o uso das aplicacións, os posibles gargalos, as anomalías que poden indicar ameazas de seguridade e moito máis. Existen varios estándares e formatos diferentes que se usan na monitorización do fluxo de rede, incluíndo NetFlow, sFlow e Internet Protocol Flow Information Export (IPFIX). Cada un funciona dun xeito lixeiramente diferente, pero todos distínguense da creación de espellos de portos e da inspección profunda de paquetes porque non capturan o contido de cada paquete que pasa por un porto ou a través dun conmutador. Non obstante, a monitorización do fluxo proporciona máis información que SNMP, que xeralmente se limita a estatísticas amplas como o uso xeral de paquetes e ancho de banda.
Ferramentas de fluxo de rede comparadas
| Característica | NetFlow v5 | NetFlow v9 | Fluxo | IPFIX |
| Aberto ou propietario | Propietario | Propietario | Abrir | Abrir |
| Amostrado ou baseado no fluxo | Principalmente baseado en fluxo; o modo de mostraxe está dispoñible | Principalmente baseado en fluxo; o modo de mostraxe está dispoñible | Mostrado | Principalmente baseado en fluxo; o modo de mostraxe está dispoñible |
| Información capturada | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interface, etc. | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interface, etc. | Cabeceiras de paquetes completas, cargas útiles de paquetes parciais | Metadatos e información estatística, incluíndo bytes transferidos, contadores de interface, etc. |
| Monitorización de entrada/saída | Só entrada | Entrada e saída | Entrada e saída | Entrada e saída |
| Compatibilidade con IPv6/VLAN/MPLS | No | Si | Si | Si |
Data de publicación: 18 de marzo de 2024
