Netflow eta IPFIX sareko fluxuen jarraipena eta analisirako erabiltzen diren teknologiak dira. Sareko trafiko patroiei buruzko ikuspegiak eskaintzen dituzte, errendimenduaren optimizazioan, arazoak konpontzeko eta segurtasun azterketan lagunduta.
Netflow:
Zer da Netflow?
NetflowJatorrizko fluxuen jarraipen konponbidea da, jatorriz Cisco-k 1990eko hamarkadaren amaieran garatua. Hainbat bertsio desberdin daude, baina inplementazio gehienak Netflow V5 edo Netflow V9-n oinarritzen dira. Bertsio bakoitzak gaitasun desberdinak dituen bitartean, oinarrizko eragiketa berdina izaten jarraitzen du:
Lehenik eta behin, bideratzaile, sweet, suebakia edo beste gailu mota batek sareko informazioa "fluxuak" harrapatuko du - funtsean, iturburu eta helmuga helbidea, iturburu eta helmuga portua eta protokolo mota bezalako ezaugarri multzo bat partekatzen duten pakete multzo bat. Fluxu bat gertatu ondoren edo aurrez zehaztutako denbora igaro ondoren, gailuak fluxuaren erregistroak "fluxu-biltzaile" izenarekin ezagutzen den entitate batera esportatuko ditu.
Azkenik, "fluxu analizatzaileak" erregistro horien zentzua du, ikus-etikapenetan, estatistiketan eta denbora errealeko jakinarazpenetan ikuspegi zehatzak eskainiz. Praktikan, bildumagileak eta analizatzaileak sarritan entitate bakarrekoak dira, sarritan sareko errendimenduaren jarraipen irtenbide handiago batera konbinatuta.
Netflow-ek oinarri egoera batean funtzionatzen du. Bezero makina zerbitzari batera iristen denean, Netflow fluxutik metadatuak harrapatzen eta agregatzen hasiko da. Saioa amaitu ondoren, Netflow-ek diru-sarrera bakarra esportatuko du bildumari.
Oraindik erabiltzen den arren, Netflow V5-ek hainbat muga ditu. Esportatutako eremuak finkatuta daude, jarraipena ez da onartzen IPv6, MPLS eta VXLAN bezalako teknologia modernoetan. Netflow v9-k, Netflow malgua (FNF) ere markatuta dago, muga horietako batzuk zuzentzen ditu, erabiltzaileei txantilo pertsonalizatuak eraiki eta teknologia berrien laguntza gehitzeko.
Saltzaile askok ere Netflow-en ezarpen propioak dituzte, hala nola JFlow Huawei-tik Jufow eta Netstream-etik. Konfigurazioa zertxobait alda daitekeen arren, inplementazio horiek sareko biltzaile eta analizatzaileekin bateragarriak diren fluxu erregistroak sortzen dituzte.
Netflow-ren funtsezko ezaugarriak:
~ Fluxu datuak: Netflow-ek fluxu erregistroak sortzen ditu, hala nola, iturri eta helmuga IP helbideak, portuak, tenperaturak, paketeak eta byte kopurua eta protokolo motak.
~ Trafikoaren jarraipena: Netflow-ek sareko trafiko patroietan ikusgarritasuna eskaintzen du, administratzaileei aplikazio nagusiak, amaierak eta trafiko iturriak identifikatzea ahalbidetuz.
~Anomalia hautematea: Fluxu datuak aztertuz, Netflow-ek anomiak antzeman ditzake, hala nola, gehiegizko banda zabalera, sareko pilaketa edo ezohiko trafiko ereduak.
~ Segurtasun Analisia: Netflow erabil daiteke segurtasun gertakariak hautemateko eta ikertzeko, esate baterako, banatutako zerbitzua (DDOS) erasoak edo baimenik gabeko sarbide saiakerak.
Netflow bertsioak: Netflow denboran zehar eboluzionatu da, eta bertsio desberdinak kaleratu dira. Bertsio aipagarrien artean Netflow V5, Netflow V9 eta NetFlow malgua daude. Bertsio bakoitzak hobekuntzak eta gaitasun osagarriak aurkezten ditu.
Ipfix:
Zer da ipfix?
2000ko hamarkadaren hasieran sortu zen IETF estandarra, Interneteko protokoloen fluxuaren informazio esportazioa (IPFIX) oso antzekoa da Netflow-en. Izan ere, Netflow V9 Ipfix-en oinarri gisa balio zuen. Bien arteko aldea da Ipfix estandar irekia dela, eta Cisco-k aparte dauden sare saltzaile askoren laguntza du. Ipfix-en gehitutako eremu gehigarri batzuk izan ezik, formatuak bestela ia berdinak dira. Izan ere, batzuetan Ipfix "Netflow v10" deritzo ere.
Netflow-en antzekotasunak direla eta, Ipfix-ek laguntza zabala du sareko jarraipen soluzioen eta sareko ekipoen artean.
IPFIX (Interneteko protokoloaren fluxuaren informazio esportazioa) Interneteko ingeniaritza lantaldeak (IETF) garatutako protokolo estandar irekia da. Netflow 9 bertsioaren zehaztapenean oinarritzen da eta formatu normalizatua eskaintzen du sareko gailuetatik fluxu erregistroak esportatzeko.
Ipfix-ek Netflow-en kontzeptuak eraikitzen ditu eta saltzaile eta gailu desberdinetan malgutasun eta elkarreragingarritasun handiagoa eskaintzeko. Txantiloi kontzeptua aurkezten du, fluxu erregistroaren egitura eta edukia definitzeko dinamikoa ahalbidetuz. Horri esker, eremu pertsonalizatuak, protokolo berrietarako laguntza eta luzapena egiteko aukera ematen du.
Ipfix-en funtsezko ezaugarriak:
~ Txantiloian oinarritutako ikuspegia: IPFIX-ek txantiloiak erabiltzen ditu fluxu erregistroen egitura eta edukia definitzeko, datu-eremu desberdinetarako eta protokoloari buruzko informaziorako malgutasuna eskainiz.
~ Elkarreragingarritasun: Ipfix estandar irekia da, sareko saltzaile eta gailu desberdinetan fluxu kontrolatzeko gaitasun koherentea bermatuz.
~ IPv6 laguntza: Ipfix-ek IPv6 modu naturalean onartzen du, IPv6 sareetan trafikoa kontrolatzeko eta aztertzeko egokia da.
~Segurtasun hobetua: Ipfix-ek segurtasun-ezaugarriak biltzen ditu, hala nola garraio geruzaren segurtasuna (TLS) enkriptatzea eta mezuen osotasuna egiaztatzeko transmisioan zehar fluidoen datuen konfidentzialtasuna eta osotasuna babesteko.
IPFIX sareko ekipamendu saltzaileen bidez asko onartzen da, saltzaileen fluxuen jarraipena egiteko saltzaile neutroa eta askotariko aukera bihurtuz.
Orduan, zein da Netflow eta Ipfix-en arteko aldea?
Erantzun sinplea da Netflow 1996an eta Ipfix-ek Cisco jabedun protokoloa dela eta Ipfix-ek bere estandarren gorputza onartzen duena da.
Bi protokoloek helburu bera dute: sareko ingeniari eta administratzaileei sareko IP trafikoko fluxuak biltzeko eta aztertzea ahalbidetzea. Cisco-k Netflow garatu zuen, bere etengailuek eta bideratzaileek informazio baliotsu hau atera dezaten. Cisco Gear-en nagusitasuna ikusita, Netflow azkar bihurtu zen sareko trafikoaren azterketarako. Hala ere, industriako lehiakideek konturatu ziren bere arerio nagusiak kontrolatutako protokolo jabedun bat erabiltzea ez zela ideia ona eta, beraz, IETF-k trafikoaren analisirako protokolo irekia estandarizatzeko ahalegina egin zuen, hau da, ipfix da.
Ipfix Netflow 9 bertsioan oinarritzen da eta 2005. urte inguruan sartu zen, baina urte batzuk hartu zituen industria adopzioa lortzeko. Puntu honetan, bi protokoloak funtsean berdinak dira eta Netflow terminoa oraindik ere nagusi da inplementazio gehienak (nahiz eta ez guztiak) Ipfix estandarrarekin bateragarriak dira.
Hona hemen Netflow eta Ipfix arteko desberdintasunak laburbiltzen dituen taula:
| Izara | Netflow | Ip 1 |
|---|---|---|
| Jatorri | Cisco-k garatutako teknologia jabedunak | Industria-protokolo estandarra Netflow 9 bertsioan oinarrituta |
| Estandarizazio | Cisco-berariazko teknologia | IETF-k definitutako estandar irekia RFC 7011-en |
| Malgutasun | Ezaugarri espezifikoak dituzten bertsioak eboluzionatu | Malgutasun handiagoa eta elkarreragingarritasuna saltzaileen artean |
| Datu formatua | Tamaina finkoko paketeak | Txantiloian oinarritutako planteamendu pertsonalizagarria Fluxu-erregistro formatuetarako |
| Txantiloiaren laguntza | Ez da onartzen | Eremu malgurako txantiloi dinamikoak |
| Saltzailearen laguntza | Nagusiki Cisco gailuak | Laguntza zabala sareko saltzaileen artean |
| Luzapen | Pertsonalizazio mugatua | Eremu pertsonalizatuak eta aplikazioetarako datuak berariazko datuak sartzea |
| Protokolo desberdintasunak | Cisco-berariazko aldakuntzak | Native IPv6 laguntza, fluxu erregistro hobetutako aukerak |
| Segurtasun ezaugarriak | Segurtasun ezaugarri mugatuak | Garraio geruzaren segurtasuna (TLS) Zifratzea, Mezuen osotasuna |
Sareko fluxuen jarraipenaSarea edo sareko segmentu jakin bat zeharkatzen duen trafikoaren bilduma, analisia eta jarraipena da. Helburuak aldatu egin daitezke Konektagarritasun arazoak konpontzeko etorkizuneko banda zabalera planifikatzeko. Fluxuen jarraipena eta paketeen laginketa ere erabilgarria izan daiteke segurtasun arazoak identifikatzeko eta konpontzeko.
Fluxu-jarraipenak sareko taldeei sare bat nola funtzionatzen dion ideia ona ematen die, segurtasun mehatxuak eta gehiago dituzten anomaliak erabil ditzaketen erabilera orokorrean, aplikazioen erabilerari, potentzialtasunez, eta gehiago. Sareko fluxuen jarraipenean erabilitako hainbat estandar eta formatu daude, besteak beste, Netflow, SFLOW eta Internet Protocol Fluxu Informazio Export (IPFIX). Bakoitzak modu apur bat desberdinetan funtzionatzen du, baina guztiak port ispiluaren eta pakete sakonen ikuskapenetik bereizten dira, ez baitute paketaren gaineko edukia harrapatzen porturen gainean edo etengailu baten bidez. Hala ere, fluxu-jarraipenak SNMP baino informazio gehiago ematen du, orokorrean pakete orokorra eta banda zabalera erabiltzea bezalako estatistika zabaletara mugatzen dena.
Sareko fluxuen tresnak alderatuta
| Bereizgarri | Netflow v5 | Netflow v9 | sablo | Ip 1 |
| Irekia edo jabeduna | Jabe | Jabe | Ireki | Ireki |
| Lagina edo emaria oinarritzat hartuta | Nagusiki fluxua oinarritzat hartuta; Laginketa modua eskuragarri dago | Nagusiki fluxua oinarritzat hartuta; Laginketa modua eskuragarri dago | Zentratu | Nagusiki fluxua oinarritzat hartuta; Laginketa modua eskuragarri dago |
| Harrapatutako informazioa | Metadatuak eta estatistika informazioa, transferitutako byteak, interfazearen kontagailuak eta abar barne | Metadatuak eta estatistika informazioa, transferitutako byteak, interfazearen kontagailuak eta abar barne | Pakete goiburuak, pakete partzialak karga-karga | Metadatuak eta estatistika informazioa, transferitutako byteak, interfazearen kontagailuak eta abar barne |
| Ingress / Egress Jarraipena | Ingress bakarrik | Ingress eta egress | Ingress eta egress | Ingress eta egress |
| IPv6 / VLAN / MPLS laguntza | No | Bai | Bai | Bai |
Posta: 2012ko martxoaren 18a
