NetFlow und IPFIX sind Technologien zur Überwachung und Analyse des Netzwerkflusses. Sie bieten Einblicke in Netzwerkverkehrsmuster und unterstützen so die Leistungsoptimierung, Fehlerbehebung und Sicherheitsanalyse.
NetFlow:
Was ist NetFlow?
NetFlowist die ursprüngliche Flow-Monitoring-Lösung, die Ende der 1990er Jahre von Cisco entwickelt wurde. Es gibt verschiedene Versionen, die meisten Implementierungen basieren jedoch entweder auf NetFlow v5 oder NetFlow v9. Obwohl jede Version unterschiedliche Funktionen bietet, bleibt die grundlegende Funktionsweise dieselbe:
Zunächst erfasst ein Router, Switch, eine Firewall oder ein anderes Gerät Informationen zu den Netzwerk-Flows – im Grunde eine Reihe von Paketen mit gemeinsamen Merkmalen wie Quell- und Zieladresse, Quell- und Zielport sowie Protokolltyp. Nach dem Ruhen eines Flows oder nach Ablauf einer vordefinierten Zeitspanne exportiert das Gerät die Flow-Aufzeichnungen an einen sogenannten „Flow Collector“.
Schließlich analysiert ein „Flow Analyzer“ diese Datensätze und liefert Erkenntnisse in Form von Visualisierungen, Statistiken sowie detaillierten historischen und Echtzeitberichten. In der Praxis sind Collector und Analyzer oft eine Einheit, die oft zu einer größeren Lösung zur Überwachung der Netzwerkleistung kombiniert wird.
NetFlow arbeitet zustandsbehaftet. Sobald ein Client-Rechner einen Server kontaktiert, beginnt NetFlow mit der Erfassung und Aggregation von Metadaten aus dem Datenfluss. Nach Beendigung der Sitzung exportiert NetFlow einen einzelnen vollständigen Datensatz an den Collector.
NetFlow v5 ist zwar noch immer weit verbreitet, weist aber einige Einschränkungen auf. Die exportierten Felder sind fest vorgegeben, die Überwachung wird nur in Eingangsrichtung unterstützt und moderne Technologien wie IPv6, MPLS und VXLAN werden nicht unterstützt. NetFlow v9, auch Flexible NetFlow (FNF) genannt, behebt einige dieser Einschränkungen, ermöglicht Benutzern die Erstellung benutzerdefinierter Vorlagen und bietet Unterstützung für neuere Technologien.
Viele Anbieter verfügen auch über eigene proprietäre Implementierungen von NetFlow, beispielsweise jFlow von Juniper und NetStream von Huawei. Obwohl sich die Konfiguration etwas unterscheiden kann, erzeugen diese Implementierungen häufig Flussdatensätze, die mit NetFlow-Sammlern und -Analysatoren kompatibel sind.
Hauptfunktionen von NetFlow:
~ Flussdaten: NetFlow generiert Flussdatensätze, die Details wie Quell- und Ziel-IP-Adressen, Ports, Zeitstempel, Paket- und Byteanzahl sowie Protokolltypen enthalten.
~ Verkehrsüberwachung: NetFlow bietet Einblick in Netzwerkverkehrsmuster und ermöglicht Administratoren die Identifizierung der wichtigsten Anwendungen, Endpunkte und Datenverkehrsquellen.
~Anomalieerkennung: Durch die Analyse von Flussdaten kann NetFlow Anomalien wie übermäßige Bandbreitennutzung, Netzwerküberlastung oder ungewöhnliche Verkehrsmuster erkennen.
~ Sicherheitsanalyse: NetFlow kann zum Erkennen und Untersuchen von Sicherheitsvorfällen wie Distributed-Denial-of-Service-Angriffen (DDoS) oder unbefugten Zugriffsversuchen verwendet werden.
NetFlow-Versionen: NetFlow hat sich im Laufe der Zeit weiterentwickelt und es wurden verschiedene Versionen veröffentlicht. Einige bemerkenswerte Versionen sind NetFlow v5, NetFlow v9 und Flexible NetFlow. Jede Version bietet Verbesserungen und zusätzliche Funktionen.
IPFIX:
Was ist IPFIX?
Der Anfang der 2000er Jahre entwickelte IETF-Standard IPFIX (Internet Protocol Flow Information Export) ist NetFlow sehr ähnlich. Tatsächlich diente NetFlow v9 als Grundlage für IPFIX. Der Hauptunterschied zwischen beiden besteht darin, dass IPFIX ein offener Standard ist und neben Cisco von vielen Netzwerkanbietern unterstützt wird. Mit Ausnahme einiger zusätzlicher Felder in IPFIX sind die Formate ansonsten nahezu identisch. Tatsächlich wird IPFIX manchmal sogar als „NetFlow v10“ bezeichnet.
Unter anderem aufgrund seiner Ähnlichkeiten mit NetFlow erfreut sich IPFIX breiter Unterstützung bei Netzwerküberwachungslösungen und Netzwerkgeräten.
IPFIX (Internet Protocol Flow Information Export) ist ein offenes Standardprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wurde. Es basiert auf der NetFlow-Spezifikation Version 9 und bietet ein standardisiertes Format für den Export von Flussdatensätzen von Netzwerkgeräten.
IPFIX baut auf den Konzepten von NetFlow auf und erweitert diese, um mehr Flexibilität und Interoperabilität zwischen verschiedenen Anbietern und Geräten zu bieten. Es führt das Konzept von Vorlagen ein, die eine dynamische Definition von Struktur und Inhalt von Datenflussdatensätzen ermöglichen. Dies ermöglicht die Einbindung benutzerdefinierter Felder, die Unterstützung neuer Protokolle und die Erweiterungsmöglichkeiten.
Hauptfunktionen von IPFIX:
~ Vorlagenbasierter Ansatz: IPFIX verwendet Vorlagen, um die Struktur und den Inhalt von Flussdatensätzen zu definieren und bietet Flexibilität bei der Anpassung verschiedener Datenfelder und protokollspezifischer Informationen.
~ Interoperabilität: IPFIX ist ein offener Standard, der konsistente Flussüberwachungsfunktionen über verschiedene Netzwerkanbieter und Geräte hinweg gewährleistet.
~ IPv6-Unterstützung: IPFIX unterstützt IPv6 nativ und eignet sich daher für die Überwachung und Analyse des Datenverkehrs in IPv6-Netzwerken.
~Verbesserte Sicherheit: IPFIX umfasst Sicherheitsfunktionen wie Transport Layer Security (TLS)-Verschlüsselung und Nachrichtenintegritätsprüfungen, um die Vertraulichkeit und Integrität der Flussdaten während der Übertragung zu schützen.
IPFIX wird von zahlreichen Anbietern von Netzwerkgeräten umfassend unterstützt und ist daher eine anbieterneutrale und weit verbreitete Wahl für die Überwachung des Netzwerkflusses.
Was ist also der Unterschied zwischen NetFlow und IPFIX?
Die einfache Antwort ist, dass NetFlow ein proprietäres Protokoll von Cisco ist, das etwa 1996 eingeführt wurde, und IPFIX sein von einer Standardisierungsorganisation anerkannter Bruder ist.
Beide Protokolle dienen demselben Zweck: Sie ermöglichen Netzwerktechnikern und Administratoren die Erfassung und Analyse des IP-Datenverkehrs auf Netzwerkebene. Cisco entwickelte NetFlow, damit seine Switches und Router diese wertvollen Informationen ausgeben konnten. Angesichts der Dominanz von Cisco-Geräten entwickelte sich NetFlow schnell zum De-facto-Standard für die Netzwerkverkehrsanalyse. Branchenkonkurrenten erkannten jedoch, dass die Verwendung eines proprietären Protokolls, das vom Hauptkonkurrenten kontrolliert wurde, keine gute Idee war. Daher leitete die IETF die Initiative zur Standardisierung eines offenen Protokolls für die Verkehrsanalyse: IPFIX.
IPFIX basiert auf NetFlow Version 9 und wurde ursprünglich um 2005 eingeführt. Es dauerte jedoch einige Jahre, bis es sich in der Branche durchsetzte. Mittlerweile sind die beiden Protokolle im Wesentlichen identisch, und obwohl der Begriff NetFlow immer noch gebräuchlicher ist, sind die meisten Implementierungen (wenn auch nicht alle) mit dem IPFIX-Standard kompatibel.
Hier ist eine Tabelle, die die Unterschiede zwischen NetFlow und IPFIX zusammenfasst:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Herkunft | Proprietäre Technologie, entwickelt von Cisco | Industriestandardprotokoll basierend auf NetFlow Version 9 |
| Standardisierung | Cisco-spezifische Technologie | Offener Standard, definiert von der IETF in RFC 7011 |
| Flexibilität | Weiterentwickelte Versionen mit spezifischen Funktionen | Größere Flexibilität und Interoperabilität zwischen Anbietern |
| Datenformat | Pakete mit fester Größe | Vorlagenbasierter Ansatz für anpassbare Flussdatensatzformate |
| Vorlagenunterstützung | Nicht unterstützt | Dynamische Vorlagen für die flexible Feldeinbindung |
| Anbieter-Support | Hauptsächlich Cisco-Geräte | Umfassende Unterstützung durch Netzwerkanbieter |
| Erweiterbarkeit | Eingeschränkte Anpassung | Einbindung von benutzerdefinierten Feldern und anwendungsspezifischen Daten |
| Protokollunterschiede | Cisco-spezifische Variationen | Native IPv6-Unterstützung, erweiterte Flussaufzeichnungsoptionen |
| Sicherheitsfunktionen | Eingeschränkte Sicherheitsfunktionen | Transport Layer Security (TLS)-Verschlüsselung, Nachrichtenintegrität |
Netzwerkflussüberwachungist die Erfassung, Analyse und Überwachung des Datenverkehrs innerhalb eines bestimmten Netzwerks oder Netzwerksegments. Die Ziele reichen von der Behebung von Verbindungsproblemen bis zur Planung der zukünftigen Bandbreitenzuweisung. Flussüberwachung und Paket-Sampling können sogar bei der Identifizierung und Behebung von Sicherheitsproblemen hilfreich sein.
Durch Flussüberwachung erhalten Netzwerkteams einen guten Überblick über die Funktionsweise eines Netzwerks und erhalten Einblicke in die Gesamtauslastung, die Anwendungsnutzung, potenzielle Engpässe, Anomalien, die auf Sicherheitsbedrohungen hinweisen können, und vieles mehr. Es gibt verschiedene Standards und Formate für die Netzwerkflussüberwachung, darunter NetFlow, sFlow und Internet Protocol Flow Information Export (IPFIX). Jeder dieser Standards funktioniert etwas anders, unterscheidet sich jedoch von Port Mirroring und Deep Packet Inspection dadurch, dass sie nicht den Inhalt jedes Pakets erfassen, das über einen Port oder Switch läuft. Flussüberwachung liefert jedoch mehr Informationen als SNMP, das sich im Allgemeinen auf allgemeine Statistiken wie die Gesamtpaket- und Bandbreitennutzung beschränkt.
Netzwerkfluss-Tools im Vergleich
| Besonderheit | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Offen oder proprietär | Proprietär | Proprietär | Offen | Offen |
| Stichprobenbasiert oder flussbasiert | Primär flussbasiert; Sampled Mode ist verfügbar | Primär flussbasiert; Sampled Mode ist verfügbar | Stichprobe | Primär flussbasiert; Sampled Mode ist verfügbar |
| Erfasste Informationen | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. | Vollständige Paketheader, teilweise Paketnutzlasten | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. |
| Ein-/Ausgangsüberwachung | Nur für den Eintritt | Ein- und Ausstieg | Ein- und Ausstieg | Ein- und Ausstieg |
| IPv6/VLAN/MPLS-Unterstützung | No | Ja | Ja | Ja |
Veröffentlichungszeit: 18. März 2024
