NetFlow en IPFIX zijn beide technologieën die worden gebruikt voor het monitoren en analyseren van netwerkstromen. Ze bieden inzicht in netwerkverkeerspatronen en helpen bij prestatieoptimalisatie, probleemoplossing en beveiligingsanalyse.
Netstroom:
Wat is NetFlow?
NetFlowis de originele oplossing voor flow monitoring, oorspronkelijk ontwikkeld door Cisco eind jaren negentig. Er bestaan verschillende versies, maar de meeste implementaties zijn gebaseerd op NetFlow v5 of NetFlow v9. Hoewel elke versie andere mogelijkheden heeft, blijft de basiswerking hetzelfde:
Ten eerste zal een router, switch, firewall of een ander apparaat informatie vastleggen over de netwerkstromen – in feite een set pakketten met een gemeenschappelijke set kenmerken, zoals bron- en bestemmingsadres, bron- en bestemmingspoort en protocoltype. Nadat een stroom inactief is geworden of een vooraf bepaalde tijd is verstreken, exporteert het apparaat de stroomrecords naar een zogenaamde "flow collector".
Ten slotte geeft een "flow analyzer" inzicht in deze gegevens en biedt inzichten in de vorm van visualisaties, statistieken en gedetailleerde historische en realtime rapportages. In de praktijk vormen collectors en analyzers vaak één geheel, vaak gecombineerd tot een grotere oplossing voor netwerkprestatiemonitoring.
NetFlow werkt op een stateful basis. Wanneer een clientcomputer verbinding maakt met een server, begint NetFlow met het vastleggen en aggregeren van metadata uit de flow. Nadat de sessie is beëindigd, exporteert NetFlow één volledig record naar de collector.
Hoewel NetFlow v5 nog steeds veelgebruikt is, kent het een aantal beperkingen. De geëxporteerde velden staan vast, monitoring wordt alleen ondersteund in de inkomende richting en moderne technologieën zoals IPv6, MPLS en VXLAN worden niet ondersteund. NetFlow v9, ook wel Flexible NetFlow (FNF) genoemd, verhelpt enkele van deze beperkingen, waardoor gebruikers aangepaste sjablonen kunnen bouwen en ondersteuning voor nieuwere technologieën kunnen toevoegen.
Veel leveranciers hebben ook hun eigen, gepatenteerde implementaties van NetFlow, zoals jFlow van Juniper en NetStream van Huawei. Hoewel de configuratie enigszins kan verschillen, produceren deze implementaties vaak flowrecords die compatibel zijn met NetFlow-collectors en -analyzers.
Belangrijkste kenmerken van NetFlow:
~ Stroomgegevens:NetFlow genereert stroomrecords met details zoals bron- en bestemmings-IP-adressen, poorten, tijdstempels, pakket- en byteaantallen en protocoltypen.
~ Verkeersmonitoring:NetFlow biedt inzicht in netwerkverkeerspatronen, waardoor beheerders de belangrijkste applicaties, eindpunten en verkeersbronnen kunnen identificeren.
~AnomaliedetectieDoor stroomgegevens te analyseren, kan NetFlow anomalieën detecteren, zoals overmatig bandbreedtegebruik, netwerkcongestie of ongebruikelijke verkeerspatronen.
~ Beveiligingsanalyse:NetFlow kan worden gebruikt om beveiligingsincidenten, zoals DDoS-aanvallen (Distributed Denial-of-Service) of ongeautoriseerde toegangspogingen, te detecteren en onderzoeken.
NetFlow-versiesNetFlow is in de loop der tijd geëvolueerd en er zijn verschillende versies uitgebracht. Enkele opvallende versies zijn NetFlow v5, NetFlow v9 en Flexible NetFlow. Elke versie introduceert verbeteringen en extra mogelijkheden.
IPFIX:
Wat is IPFIX?
Internet Protocol Flow Information Export (IPFIX), een IETF-standaard die begin jaren 2000 ontstond, lijkt sterk op NetFlow. NetFlow v9 diende zelfs als basis voor IPFIX. Het belangrijkste verschil tussen de twee is dat IPFIX een open standaard is en door veel netwerkleveranciers, behalve Cisco, wordt ondersteund. Met uitzondering van een paar extra velden die in IPFIX zijn toegevoegd, zijn de formaten verder vrijwel identiek. IPFIX wordt soms zelfs "NetFlow v10" genoemd.
Mede dankzij de overeenkomsten met NetFlow geniet IPFIX een brede ondersteuning onder netwerkbewakingsoplossingen en netwerkapparatuur.
IPFIX (Internet Protocol Flow Information Export) is een open standaardprotocol, ontwikkeld door de Internet Engineering Task Force (IETF). Het is gebaseerd op de NetFlow versie 9-specificatie en biedt een gestandaardiseerd formaat voor het exporteren van stroomrecords van netwerkapparaten.
IPFIX bouwt voort op de concepten van NetFlow en breidt deze uit om meer flexibiliteit en interoperabiliteit te bieden tussen verschillende leveranciers en apparaten. Het introduceert het concept van sjablonen, wat dynamische definitie van de structuur en inhoud van flowrecords mogelijk maakt. Dit maakt het toevoegen van aangepaste velden, ondersteuning voor nieuwe protocollen en uitbreidbaarheid mogelijk.
Belangrijkste kenmerken van IPFIX:
~ Sjabloongebaseerde aanpak:IPFIX maakt gebruik van sjablonen om de structuur en inhoud van stroomrecords te definiëren. Hierdoor is er flexibiliteit bij het verwerken van verschillende gegevensvelden en protocolspecifieke informatie.
~ Interoperabiliteit:IPFIX is een open standaard die zorgt voor consistente stroombewaking op verschillende netwerkleveranciers en apparaten.
~ IPv6-ondersteuning: IPFIX ondersteunt standaard IPv6, waardoor het geschikt is voor het bewaken en analyseren van verkeer in IPv6-netwerken.
~Verbeterde beveiliging:IPFIX omvat beveiligingsfuncties zoals Transport Layer Security (TLS)-encryptie en controles op de integriteit van berichten om de vertrouwelijkheid en integriteit van de gegevensstroom tijdens de overdracht te beschermen.
IPFIX wordt breed ondersteund door diverse leveranciers van netwerkapparatuur. Hierdoor is het een leveranciersonafhankelijke en veelgebruikte keuze voor het bewaken van netwerkstromen.
Wat is het verschil tussen NetFlow en IPFIX?
Het simpele antwoord is dat NetFlow een gepatenteerd Cisco-protocol is dat rond 1996 werd geïntroduceerd en dat IPFIX het door de normalisatie-instelling goedgekeurde broertje is.
Beide protocollen dienen hetzelfde doel: netwerktechnici en -beheerders in staat stellen om IP-verkeersstromen op netwerkniveau te verzamelen en te analyseren. Cisco ontwikkelde NetFlow zodat zijn switches en routers deze waardevolle informatie konden weergeven. Gezien de dominante positie van Cisco-apparatuur werd NetFlow al snel de de facto standaard voor netwerkverkeersanalyse. Concurrenten in de sector realiseerden zich echter dat het gebruik van een bedrijfseigen protocol, beheerd door de belangrijkste concurrent, geen goed idee was. Daarom nam de IETF het initiatief om een open protocol voor verkeersanalyse te standaardiseren: IPFIX.
IPFIX is gebaseerd op NetFlow versie 9 en werd oorspronkelijk rond 2005 geïntroduceerd, maar het duurde een aantal jaren voordat het door de industrie werd geaccepteerd. Op dit moment zijn de twee protocollen in wezen hetzelfde en hoewel de term NetFlow nog steeds gangbaarder is, zijn de meeste implementaties (maar niet alle) compatibel met de IPFIX-standaard.
Hieronder vindt u een tabel met een samenvatting van de verschillen tussen NetFlow en IPFIX:
| Aspect | NetFlow | IPFIX |
|---|---|---|
| Oorsprong | Eigendomstechnologie ontwikkeld door Cisco | Industriestandaardprotocol gebaseerd op NetFlow versie 9 |
| Standaardisatie | Cisco-specifieke technologie | Open standaard gedefinieerd door IETF in RFC 7011 |
| Flexibiliteit | Geëvolueerde versies met specifieke functies | Grotere flexibiliteit en interoperabiliteit tussen leveranciers |
| Gegevensformaat | Pakketten met vaste grootte | Op sjablonen gebaseerde aanpak voor aanpasbare stroomrecordformaten |
| Sjabloonondersteuning | Niet ondersteund | Dynamische sjablonen voor flexibele veldopname |
| Leveranciersondersteuning | Voornamelijk Cisco-apparaten | Brede ondersteuning via netwerkleveranciers |
| Uitbreidbaarheid | Beperkte aanpassing | Opname van aangepaste velden en toepassingsspecifieke gegevens |
| Protocolverschillen | Cisco-specifieke variaties | Native IPv6-ondersteuning, verbeterde flow record-opties |
| Beveiligingsfuncties | Beperkte beveiligingsfuncties | Transport Layer Security (TLS)-encryptie, berichtintegriteit |
Netwerkstroombewakingis het verzamelen, analyseren en monitoren van verkeer dat door een bepaald netwerk of netwerksegment gaat. De doelen kunnen variëren van het oplossen van connectiviteitsproblemen tot het plannen van toekomstige bandbreedtetoewijzing. Stroommonitoring en pakketbemonstering kunnen zelfs nuttig zijn bij het identificeren en verhelpen van beveiligingsproblemen.
Flow monitoring geeft netwerkteams een goed beeld van hoe een netwerk functioneert en biedt inzicht in het algehele gebruik, applicatiegebruik, potentiële knelpunten, afwijkingen die kunnen wijzen op beveiligingsrisico's, en meer. Er worden verschillende standaarden en formaten gebruikt voor netwerkflow monitoring, waaronder NetFlow, sFlow en Internet Protocol Flow Information Export (IPFIX). Elk werkt op een iets andere manier, maar ze onderscheiden zich allemaal van poortspiegeling en diepe pakketinspectie doordat ze niet de inhoud vastleggen van elk pakket dat via een poort of switch gaat. Flow monitoring biedt echter meer informatie dan SNMP, dat zich over het algemeen beperkt tot algemene statistieken zoals het totale pakket- en bandbreedtegebruik.
Netwerkstroomhulpmiddelen vergeleken
| Functie | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Open of eigendom | Eigendom | Eigendom | Open | Open |
| Bemonsterd of op stroom gebaseerd | Primair op stroom gebaseerd; bemonsterde modus is beschikbaar | Primair op stroom gebaseerd; bemonsterde modus is beschikbaar | Bemonsterd | Primair op stroom gebaseerd; bemonsterde modus is beschikbaar |
| Vastgelegde informatie | Metadata en statistische informatie, inclusief overgedragen bytes, interfacetellers enzovoort | Metadata en statistische informatie, inclusief overgedragen bytes, interfacetellers enzovoort | Volledige pakketheaders, gedeeltelijke pakketladingen | Metadata en statistische informatie, inclusief overgedragen bytes, interfacetellers enzovoort |
| Ingangs-/uitgangsbewaking | Alleen binnenkomend | In- en uitgang | In- en uitgang | In- en uitgang |
| IPv6/VLAN/MPLS-ondersteuning | No | Ja | Ja | Ja |
Plaatsingstijd: 18-03-2024
