NetFlow e IPFIX son ambas tecnoloxías empregadas para o control e análise de fluxo de rede. Proporcionan información sobre os patróns de tráfico de rede, axudando na optimización do rendemento, a solución de problemas e a análise de seguridade.
Netflow:
Que é Netflow?
Netflowé a solución orixinal de control de fluxo, desenvolvida orixinalmente por Cisco a finais dos noventa. Existen varias versións diferentes, pero a maioría dos despregamentos baséanse en Netflow V5 ou Netflow V9. Aínda que cada versión ten capacidades diferentes, a operación básica segue sendo a mesma:
En primeiro lugar, un enrutador, un conmutador, un firewall ou outro tipo de dispositivo capturarán información sobre a rede "fluxos" - basicamente un conxunto de paquetes que comparten un conxunto común de características como a fonte e o enderezo de destino, a fonte e o porto de destino e o tipo de protocolo. Despois de que un fluxo quedou durmido ou pasou un tempo predefinido, o dispositivo exportará os rexistros de fluxo a unha entidade coñecida como "coleccionista de fluxos".
Finalmente, un "analizador de fluxos" ten sentido destes rexistros, proporcionando ideas en forma de visualizacións, estatísticas e informes históricos e en tempo real detallados. Na práctica, os coleccionistas e os analizadores adoitan ser unha única entidade, a miúdo combinados nunha solución de control de rendemento de rede máis grande.
Netflow opera de xeito estatal. Cando unha máquina cliente chega a un servidor, Netflow comezará a capturar e agregar metadatos do fluxo. Despois de que a sesión termine, Netflow exportará un único rexistro completo ao coleccionista.
Aínda que aínda se usa habitualmente, Netflow V5 ten unha serie de limitacións. Os campos exportados están fixados, o control só se admite na dirección de entrada e non se admiten tecnoloxías modernas como IPv6, MPLS e VXLAN. Netflow V9, tamén marcado como Flexible NetFlow (FNF), aborda algunhas destas limitacións, permitindo aos usuarios construír modelos personalizados e engadir soporte para tecnoloxías máis novas.
Moitos vendedores tamén teñen as súas propias implementacións propias de Netflow, como JFLOW de Juniper e Netstream de Huawei. Aínda que a configuración pode diferir un pouco, estas implementacións adoitan producir rexistros de fluxo compatibles cos coleccionistas e analizadores NetFlow.
Características clave de NetFlow:
~ Datos de fluxo: NetFlow xera rexistros de fluxo que inclúen detalles como enderezos IP de orixe e destino, portos, timestamps, paquetes e contas de bytes e tipos de protocolo.
~ Monitorización do tráfico: NetFlow proporciona visibilidade aos patróns de tráfico da rede, permitindo aos administradores identificar as aplicacións máis importantes, os puntos finais e as fontes de tráfico.
~Detección de anomalías: Ao analizar os datos de fluxo, NetFlow pode detectar anomalías como a utilización excesiva de ancho de banda, a conxestión da rede ou os patróns de tráfico inusuales.
~ Análise de seguridade: NetFlow pódese usar para detectar e investigar incidentes de seguridade, como ataques de denegación de servizo (DDoS) distribuídos ou intentos de acceso non autorizados.
Versións NetFlow: Netflow evolucionou co paso do tempo e lanzáronse diferentes versións. Algunhas versións salientables inclúen Netflow V5, Netflow V9 e Flexible Netflow. Cada versión introduce melloras e capacidades adicionais.
IPFIX:
Que é IPFIX?
Un estándar IETF que xurdiu a principios dos anos 2000, a exportación de información sobre o fluxo de protocolos en internet (IPFIX) é extremadamente similar a NetFlow. De feito, Netflow V9 serviu de base para IPFIX. A diferenza principal entre ambos é que IPFIX é un estándar aberto e está apoiado por moitos provedores de rede ademais de Cisco. A excepción dalgúns campos adicionais engadidos en IPFIX, os formatos son case idénticos. De feito, IPFIX ás veces é denominado "Netflow V10".
Debido en parte ás súas semellanzas con NetFlow, IPFIX goza dun amplo soporte entre as solucións de vixilancia da rede e os equipos de rede.
IPFIX (Internet Protocol Flow Information Export) é un protocolo estándar aberto desenvolvido por Internet Engineering Task Force (IETF). Baséase na especificación NetFlow Versión 9 e ofrece un formato normalizado para exportar rexistros de fluxo de dispositivos de rede.
IPFIX está baseado nos conceptos de NetFlow e expándelos para ofrecer máis flexibilidade e interoperabilidade en diferentes provedores e dispositivos. Introduce o concepto de modelos, permitindo unha definición dinámica de estrutura e contido do rexistro de fluxo. Isto permite a inclusión de campos personalizados, soporte para novos protocolos e extensibilidade.
Características clave de IPFIX:
~ Enfoque baseado en plantillas: IPFIX usa modelos para definir a estrutura e o contido dos rexistros de fluxo, ofrecendo flexibilidade para acomodar diferentes campos de datos e información específica do protocolo.
~ Interoperabilidade: IPFIX é un estándar aberto, asegurando capacidades de control de fluxo consistentes en diferentes provedores e dispositivos de rede.
~ Soporte IPv6: IPFIX admite de xeito nativo IPv6, tornándoo adecuado para controlar e analizar o tráfico nas redes IPv6.
~Mellor seguridade: IPFIX inclúe funcións de seguridade como o cifrado de seguridade da capa de transporte (TLS) e as comprobacións de integridade de mensaxes para protexer a confidencialidade e a integridade dos datos do fluxo durante a transmisión.
IPFIX está moi apoiado por varios provedores de equipos de rede, o que o converte nunha elección neutral e moi adoptada para o control de fluxo de rede.
Entón, cal é a diferenza entre NetFlow e IPFIX?
A resposta sinxela é que Netflow é un protocolo propietario de Cisco introducido ao redor de 1996 e IPFIX é o seu irmán aprobado polo corpo.
Ambos os protocolos serven do mesmo propósito: permitir aos enxeñeiros de rede e aos administradores recoller e analizar os fluxos de tráfico IP a nivel de rede. Cisco desenvolveu NetFlow para que os seus interruptores e enrutadores puidesen producir esta valiosa información. Dado o dominio de Cisco Gear, Netflow converteuse rapidamente no estándar de facto para a análise de tráfico de rede. Non obstante, os competidores da industria déronse conta de que o uso dun protocolo propietario controlado polo seu principal rival non era unha boa idea e, polo tanto, o IETF levou un esforzo para estandarizar un protocolo aberto para a análise de tráfico, que é IPFIX.
IPFIX está baseado na versión 9 de Netflow e foi orixinalmente introducido ao redor do 2005, pero tardou algúns anos en obter a adopción da industria. Neste momento, os dous protocolos son esencialmente os mesmos e aínda que o termo Netflow aínda é máis predominante a maioría das implementacións (aínda que non todas) son compatibles co estándar IPFIX.
Aquí tes unha táboa que resume as diferenzas entre Netflow e IPFIX:
| Aspecto | Netflow | IPFIX |
|---|---|---|
| Orixe | Tecnoloxía propietaria desenvolvida por Cisco | Protocolo estándar da industria baseado na versión 9 de Netflow |
| Normalización | Tecnoloxía específica de Cisco | Estándar aberto definido por IETF en RFC 7011 |
| Flexibilidade | Versións evolucionadas con características específicas | Maior flexibilidade e interoperabilidade entre os vendedores |
| Formato de datos | Paquetes de tamaño fixo | Enfoque baseado en plantillas para formatos de rexistro de fluxo personalizables |
| Soporte de modelo | Non soportado | Modelos dinámicos para a inclusión de campo flexible |
| Asistencia do vendedor | Principalmente dispositivos Cisco | Amplo apoio entre os vendedores de rede |
| Extensibilidade | Personalización limitada | Inclusión de campos personalizados e datos específicos da aplicación |
| Diferenzas de protocolo | Variacións específicas de Cisco | Soporte IPv6 nativo, opcións de rexistro de fluxo melloradas |
| Características de seguridade | Características de seguridade limitadas | Cifrado de seguridade da capa de transporte (TLS), integridade da mensaxe |
Monitorización do fluxo de redeé a recollida, análise e seguimento do tráfico que atravesa un determinado segmento de rede ou rede. Os obxectivos poden variar desde a solución de problemas de conectividade ata a planificación da futura asignación de ancho de banda. O control de fluxo e a mostraxe de paquetes poden ser útiles para identificar e remediar problemas de seguridade.
O control de fluxo proporciona aos equipos de rede unha boa idea de como funciona unha rede, proporcionando información sobre a utilización global, o uso da aplicación, os potenciais bloqueos, anomalías que poden sinalar ameazas de seguridade e moito máis. Existen varios estándares e formatos diferentes empregados no control do fluxo de rede, incluíndo NetFlow, SFLOW e Internet Protocol Flow Information Export (IPFIX). Cada un funciona dun xeito lixeiramente diferente, pero todos son distintos do espello do porto e da inspección de paquetes profundos, xa que non captan o contido de cada paquete que pasa por un porto ou por un interruptor. Non obstante, o control de fluxo proporciona máis información que o SNMP, que normalmente se limita a estatísticas amplas como o uso global de paquetes e ancho de banda.
Ferramentas de fluxo de rede comparadas
| Característica | Netflow v5 | Netflow v9 | sflow | IPFIX |
| Aberto ou propietario | Propietario | Propietario | Aberto | Aberto |
| Mostrado ou baseado en fluxo | Principalmente baseado no fluxo; O modo de mostraxe está dispoñible | Principalmente baseado no fluxo; O modo de mostraxe está dispoñible | Probado | Principalmente baseado no fluxo; O modo de mostraxe está dispoñible |
| Información capturada | Información de metadatos e estatística, incluíndo bytes transferidos, contadores de interface, etc. | Información de metadatos e estatística, incluíndo bytes transferidos, contadores de interface, etc. | Cabeiras completas de paquetes, cargas útiles de paquetes parciais | Información de metadatos e estatística, incluíndo bytes transferidos, contadores de interface, etc. |
| Monitorización de entrada/saída | Só entrada | Entrada e saída | Entrada e saída | Entrada e saída |
| Soporte IPv6/VLAN/MPLS | No | Si | Si | Si |
Tempo de publicación: marzo-18-2024
