NetFlow eta IPFIX sareko fluxuaren monitorizazio eta analisietarako erabiltzen diren teknologiak dira. Sare-trafikoaren ereduei buruzko informazioa ematen dute, errendimenduaren optimizazioan, arazoak konpontzen eta segurtasun-analisietan lagunduz.
NetFlow:
Zer da NetFlow?
NetFlowjatorrizko fluxuaren monitorizazio-irtenbidea da, jatorriz Cisco-k 1990eko hamarkadaren amaieran garatua. Hainbat bertsio desberdin daude, baina inplementazio gehienak NetFlow v5 edo NetFlow v9-n oinarritzen dira. Bertsio bakoitzak gaitasun desberdinak dituen arren, oinarrizko funtzionamendua berdina da:
Lehenik eta behin, bideratzaile, etengailu, suebaki edo beste mota batek sareko "fluxuei" buruzko informazioa jasoko du; funtsean, ezaugarri multzo komun bat partekatzen duten pakete multzo bat da, hala nola iturburu eta helmuga helbidea, iturburu eta helmuga ataka eta protokolo mota. Fluxu bat inaktibo bihurtu edo denbora-tarte bat igaro ondoren, gailuak fluxu-erregistroak "fluxu-biltzaile" izeneko entitate batera esportatuko ditu.
Azkenik, "fluxu-analizatzaile" batek erregistro horiei zentzua ematen die, bistaratze, estatistik eta txosten historiko eta denbora errealeko zehatzen bidezko informazioa emanez. Praktikan, biltzaileak eta analizatzaileak askotan entitate bakarra dira, askotan sarearen errendimenduaren monitorizazio-irtenbide handiago batean konbinatuta.
NetFlow-ek egoera-funtzioan funtzionatzen du. Bezero-makina batek zerbitzari batera konektatzen denean, NetFlow-ek fluxuko metadatuak jasotzen eta biltzen hasiko da. Saioa amaitutakoan, NetFlow-ek erregistro oso bakarra esportatuko du biltzailera.
Oraindik ere oso erabilia den arren, NetFlow v5-ek hainbat muga ditu. Esportatutako eremuak finkoak dira, monitorizazioa sarrera norabidean bakarrik onartzen da, eta IPv6, MPLS eta VXLAN bezalako teknologia modernoak ez dira onartzen. NetFlow v9-k, Flexible NetFlow (FNF) izenez ere ezaguna, muga horietako batzuk konpontzen ditu, erabiltzaileei txantiloi pertsonalizatuak sortzeko aukera emanez eta teknologia berriagoetarako laguntza gehituz.
Saltzaile askok NetFlow-en inplementazio jabedunak ere badituzte, hala nola Juniper-en jFlow eta Huawei-ren NetStream. Konfigurazioa apur bat desberdina izan daitekeen arren, inplementazio hauek askotan NetFlow biltzaileekin eta analizatzaileekin bateragarriak diren fluxu-erregistroak sortzen dituzte.
NetFlow-en ezaugarri nagusiak:
~ Fluxu DatuakNetFlow-ek fluxu-erregistroak sortzen ditu, eta horien xehetasunak hauek dira: iturri eta helmugako IP helbideak, portuak, denbora-zigiluak, pakete eta byte kopuruak eta protokolo motak.
~ Trafikoaren jarraipenaNetFlow-ek sareko trafiko-ereduen ikusgarritasuna eskaintzen du, administratzaileei aplikazio, amaiera-puntu eta trafiko-iturri nagusiak identifikatzen utziz.
~Anomalien detekzioaFluxu-datuak aztertuz, NetFlow-ek anomaliak detektatu ditzake, hala nola, banda-zabalera gehiegi erabiltzea, sareko pilaketak edo trafiko-eredu ezohikoak.
~ Segurtasun-analisiaNetFlow segurtasun-intzidenteak detektatu eta ikertzeko erabil daiteke, hala nola zerbitzu ukatze banatuko (DDoS) erasoak edo baimenik gabeko sarbide-saiakerak.
NetFlow bertsioakNetFlow denboran zehar eboluzionatu egin da, eta bertsio desberdinak kaleratu dira. Bertsio aipagarri batzuk NetFlow v5, NetFlow v9 eta Flexible NetFlow dira. Bertsio bakoitzak hobekuntzak eta gaitasun gehigarriak dakartza.
IPFINKATZEKO:
Zer da IPFIX?
2000ko hamarkadaren hasieran sortutako IETF estandar bat da Internet Protocol Flow Information Export (IPFIX), NetFlow-en oso antzekoa. Izan ere, NetFlow v9 izan zen IPFIX-en oinarria. Bien arteko desberdintasun nagusia da IPFIX estandar irekia dela, eta Ciscoz gain sare-saltzaile askok onartzen dutela. IPFIX-en gehitutako eremu gehigarri batzuk izan ezik, formatuak ia berdinak dira. Izan ere, IPFIX batzuetan "NetFlow v10" bezala ere aipatzen da.
NetFlow-ekin dituen antzekotasunengatik, IPFIX-ek sareko monitorizazio-irtenbideen eta sareko ekipamenduen artean laguntza zabala du.
IPFIX (Internet Protocol Flow Information Export) Internet Engineering Task Force-k (IETF) garatutako protokolo estandar irekia da. NetFlow 9. bertsioko espezifikazioan oinarritzen da eta sareko gailuetatik fluxu-erregistroak esportatzeko formatu estandarizatu bat eskaintzen du.
IPFIXek NetFlow-en kontzeptuetan oinarritzen da eta zabaltzen ditu saltzaile eta gailu ezberdinen arteko malgutasun eta interoperabilitate handiagoa eskaintzeko. Txantiloien kontzeptua aurkezten du, fluxu-erregistroen egitura eta edukia dinamikoki definitzeko aukera emanez. Horri esker, eremu pertsonalizatuak sar daitezke, protokolo berrietarako laguntza eta hedagarritasuna.
IPFIX-en ezaugarri nagusiak:
~ Txantiloietan Oinarritutako IkuspegiaIPFIXek txantiloiak erabiltzen ditu fluxu-erregistroen egitura eta edukia definitzeko, datu-eremu desberdinak eta protokolo espezifikoen informazioa egokitzeko malgutasuna eskainiz.
~ ElkarreragingarritasunaIPFIX estandar irekia da, sare-saltzaile eta gailu desberdinen artean fluxu-monitorizazio gaitasun koherenteak bermatzen dituena.
~ IPv6 euskarriaIPFIXek IPv6 onartzen du natiboan, eta horrek IPv6 sareetako trafikoa monitorizatzeko eta aztertzeko egokia egiten du.
~Segurtasun hobetuaIPFIXek segurtasun-ezaugarriak ditu, hala nola Transport Layer Security (TLS) enkriptatzea eta mezuen osotasun-egiaztapenak, transmisioan zehar fluxu-datuen konfidentzialtasuna eta osotasuna babesteko.
IPFIX sareko ekipamenduen saltzaile askok onartzen dute, eta horrek aukera neutrala eta zabaldua bihurtzen du sareko fluxuaren monitorizaziorako.
Beraz, zein da NetFlow eta IPFIX arteko aldea?
Erantzun sinplea da NetFlow 1996 inguruan aurkeztutako Cisco protokolo jabeduna dela eta IPFIX bere estandar erakundeak onartutako anaia dela.
Bi protokoloek helburu bera dute: sareko ingeniari eta administratzaileei sare mailako IP trafiko-fluxuak biltzeko eta aztertzeko aukera ematea. Ciscok NetFlow garatu zuen bere etengailu eta bideratzaileek informazio baliotsu hori eman zezaten. Cisco ekipamenduen nagusitasuna ikusita, NetFlow azkar bihurtu zen sareko trafikoaren analisirako de facto estandarra. Hala ere, industriako lehiakideek konturatu ziren bere arerio nagusiak kontrolatutako protokolo jabedun bat erabiltzea ez zela ideia ona eta, beraz, IETFk trafikoaren analisirako protokolo ireki bat estandarizatzeko ahalegina egin zuen, IPFIX dena.
IPFIX NetFlow 9. bertsioan oinarritzen da eta jatorriz 2005 inguruan aurkeztu zen, baina urte batzuk behar izan ziren industriak onartzeko. Une honetan, bi protokoloak funtsean berdinak dira eta NetFlow terminoa oraindik ere ohikoagoa den arren, inplementazio gehienak (ez guztiak) IPFIX estandarrarekin bateragarriak dira.
Hona hemen NetFlow eta IPFIX arteko desberdintasunak laburbiltzen dituen taula bat:
| Alderdia | NetFlow | IPFIX |
|---|---|---|
| Jatorria | Ciscok garatutako teknologia jabeduna | NetFlow 9. bertsioan oinarritutako industria-estandarren protokoloa |
| Estandarizazioa | Cisco-ren teknologia espezifikoa | IETF-k RFC 7011n definitutako estandar irekia |
| Malgutasuna | Ezaugarri espezifikoak dituzten bertsio eboluzionatuak | Saltzaileen arteko malgutasun eta interoperabilitate handiagoa |
| Datuen formatua | Tamaina finkoko paketeak | Txantiloietan oinarritutako ikuspegia fluxu-erregistro formatu pertsonalizagarrietarako |
| Txantiloien laguntza | Ez da onartzen | Txantiloi dinamikoak eremu malguetarako txertatzeko |
| Saltzaileen laguntza | Batez ere Cisco gailuak | Sareko saltzaileen arteko laguntza zabala |
| Hedagarritasuna | Pertsonalizazio mugatua | Eremu pertsonalizatuak eta aplikazio espezifikoen datuak sartzea |
| Protokoloaren desberdintasunak | Cisco-ren aldaera espezifikoak | IPv6 euskarri natiboa, fluxu erregistro aukera hobetuak |
| Segurtasun Ezaugarriak | Segurtasun ezaugarri mugatuak | Garraio Geruzako Segurtasun (TLS) enkriptazioa, mezuen osotasuna |
Sarearen Fluxuaren Monitorizazioasare edo sare segmentu jakin bat zeharkatzen duen trafikoaren bilketa, analisia eta monitorizazioa da. Helburuak konexio arazoak konpontzetik hasi eta etorkizuneko banda zabaleraren esleipena planifikatzeraino alda daitezke. Fluxuaren monitorizazioa eta paketeen laginketa ere erabilgarriak izan daitezke segurtasun arazoak identifikatu eta konpontzeko.
Fluxuaren monitorizazioak sare-taldeei sare baten funtzionamenduaren ideia ona ematen die, erabilera orokorraren, aplikazioen erabileraren, oztopo potentzialen, segurtasun-mehatxuak adieraz ditzaketen anomalien eta beste hainbaten berri emanez. Hainbat estandar eta formatu erabiltzen dira sare-fluxuaren monitorizazioan, besteak beste, NetFlow, sFlow eta Internet Protocol Flow Information Export (IPFIX). Bakoitzak modu apur bat desberdinean funtzionatzen du, baina guztiak desberdinak dira portu-islatzetik eta paketeen ikuskapen sakonetik, ez baitute portu batetik edo etengailu batetik igarotzen den pakete bakoitzaren edukia jasotzen. Hala ere, fluxuaren monitorizazioak SNMP baino informazio gehiago ematen du, eta azken hau, oro har, paketeen eta banda-zabaleraren erabilera orokorra bezalako estatistika orokorretara mugatzen da.
Sarearen Fluxu Tresnen Konparaketa
| Ezaugarria | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Irekia edo Jabeduna | Jabeduna | Jabeduna | Ireki | Ireki |
| Laginketan edo fluxuan oinarritutako | Batez ere fluxuan oinarrituta; Laginketa modua eskuragarri dago | Batez ere fluxuan oinarrituta; Laginketa modua eskuragarri dago | Laginketa | Batez ere fluxuan oinarrituta; Laginketa modua eskuragarri dago |
| Jasotako informazioa | Metadatuak eta informazio estatistikoa, transferitutako byteak, interfazearen kontagailuak eta abar barne. | Metadatuak eta informazio estatistikoa, transferitutako byteak, interfazearen kontagailuak eta abar barne. | Pakete-buru osoak, pakete-karga partzialak | Metadatuak eta informazio estatistikoa, transferitutako byteak, interfazearen kontagailuak eta abar barne. |
| Sarrera/Irteera Monitorizazioa | Sarrera soilik | Sarrera eta Irteera | Sarrera eta Irteera | Sarrera eta Irteera |
| IPv6/VLAN/MPLS euskarria | No | Bai | Bai | Bai |
Argitaratze data: 2024ko martxoaren 18a
