NetFlow und IPFIX sind beides Technologien, die zur Überwachung und Analyse des Netzwerkflusses verwendet werden. Sie bieten Einblicke in Netzwerkverkehrsmuster und helfen bei der Leistungsoptimierung, Fehlerbehebung und Sicherheitsanalyse.
NetFlow:
Was ist NetFlow?
NetFlowist die ursprüngliche Flussüberwachungslösung, die ursprünglich Ende der 1990er Jahre von Cisco entwickelt wurde. Es gibt verschiedene Versionen, aber die meisten Bereitstellungen basieren entweder auf NetFlow v5 oder NetFlow v9. Obwohl jede Version über unterschiedliche Funktionen verfügt, bleibt die grundlegende Bedienung gleich:
Zunächst erfasst ein Router, Switch, eine Firewall oder ein anderer Gerätetyp Informationen über die Netzwerk-„Flows“ – im Wesentlichen eine Reihe von Paketen, die einen gemeinsamen Satz von Merkmalen wie Quell- und Zieladresse, Quell- und Zielport sowie Protokoll aufweisen Typ. Nachdem ein Fluss in den Ruhezustand übergegangen ist oder eine vordefinierte Zeitspanne verstrichen ist, exportiert das Gerät die Flussdatensätze an eine Entität, die als „Flusssammler“ bezeichnet wird.
Schließlich wertet ein „Flussanalysator“ diese Aufzeichnungen aus und liefert Erkenntnisse in Form von Visualisierungen, Statistiken und detaillierten Verlaufs- und Echtzeitberichten. In der Praxis sind Sammler und Analysatoren häufig eine Einheit und werden häufig zu einer größeren Lösung zur Überwachung der Netzwerkleistung kombiniert.
NetFlow arbeitet auf einer Stateful-Basis. Wenn ein Client-Computer eine Verbindung zu einem Server herstellt, beginnt NetFlow mit der Erfassung und Aggregation von Metadaten aus dem Fluss. Nachdem die Sitzung beendet ist, exportiert NetFlow einen einzelnen vollständigen Datensatz an den Collector.
Obwohl es immer noch häufig verwendet wird, weist NetFlow v5 eine Reihe von Einschränkungen auf. Die exportierten Felder sind festgelegt, die Überwachung wird nur in der Eingangsrichtung unterstützt und moderne Technologien wie IPv6, MPLS und VXLAN werden nicht unterstützt. NetFlow v9, auch als Flexible NetFlow (FNF) bezeichnet, behebt einige dieser Einschränkungen, indem es Benutzern die Erstellung benutzerdefinierter Vorlagen ermöglicht und Unterstützung für neuere Technologien hinzufügt.
Viele Anbieter verfügen auch über eigene proprietäre Implementierungen von NetFlow, beispielsweise jFlow von Juniper und NetStream von Huawei. Auch wenn die Konfiguration etwas unterschiedlich sein kann, erzeugen diese Implementierungen oft Flow-Datensätze, die mit NetFlow-Collectors und -Analysatoren kompatibel sind.
Hauptmerkmale von NetFlow:
~ Flussdaten: NetFlow generiert Flussdatensätze, die Details wie Quell- und Ziel-IP-Adressen, Ports, Zeitstempel, Paket- und Bytezahlen sowie Protokolltypen enthalten.
~ Verkehrsüberwachung: NetFlow bietet Einblick in Netzwerkverkehrsmuster und ermöglicht es Administratoren, Top-Anwendungen, Endpunkte und Verkehrsquellen zu identifizieren.
~Anomalieerkennung: Durch die Analyse von Flussdaten kann NetFlow Anomalien wie übermäßige Bandbreitenauslastung, Netzwerküberlastung oder ungewöhnliche Verkehrsmuster erkennen.
~ Sicherheitsanalyse: NetFlow kann zur Erkennung und Untersuchung von Sicherheitsvorfällen wie Distributed-Denial-of-Service-Angriffen (DDoS) oder unbefugten Zugriffsversuchen verwendet werden.
NetFlow-Versionen: NetFlow hat sich im Laufe der Zeit weiterentwickelt und es wurden verschiedene Versionen veröffentlicht. Zu den bemerkenswerten Versionen gehören NetFlow v5, NetFlow v9 und Flexible NetFlow. Jede Version führt Verbesserungen und zusätzliche Funktionen ein.
IPFIX:
Was ist IPFIX?
Internet Protocol Flow Information Export (IPFIX), ein IETF-Standard, der Anfang der 2000er Jahre entstand, ist NetFlow sehr ähnlich. Tatsächlich diente NetFlow v9 als Grundlage für IPFIX. Der Hauptunterschied zwischen den beiden besteht darin, dass IPFIX ein offener Standard ist und von vielen Netzwerkanbietern außer Cisco unterstützt wird. Mit Ausnahme einiger zusätzlicher Felder, die in IPFIX hinzugefügt wurden, sind die Formate ansonsten nahezu identisch. Tatsächlich wird IPFIX manchmal sogar als „NetFlow v10“ bezeichnet.
Teilweise aufgrund seiner Ähnlichkeiten zu NetFlow genießt IPFIX breite Unterstützung bei Netzwerküberwachungslösungen und Netzwerkgeräten.
IPFIX (Internet Protocol Flow Information Export) ist ein offenes Standardprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wurde. Es basiert auf der Spezifikation NetFlow Version 9 und bietet ein standardisiertes Format für den Export von Flussdatensätzen von Netzwerkgeräten.
IPFIX baut auf den Konzepten von NetFlow auf und erweitert sie, um mehr Flexibilität und Interoperabilität zwischen verschiedenen Anbietern und Geräten zu bieten. Es stellt das Konzept der Vorlagen vor und ermöglicht die dynamische Definition der Struktur und des Inhalts von Flussdatensätzen. Dies ermöglicht die Einbindung benutzerdefinierter Felder, die Unterstützung neuer Protokolle und die Erweiterbarkeit.
Hauptmerkmale von IPFIX:
~ Vorlagenbasierter Ansatz: IPFIX verwendet Vorlagen, um die Struktur und den Inhalt von Flussdatensätzen zu definieren und bietet so Flexibilität bei der Unterbringung verschiedener Datenfelder und protokollspezifischer Informationen.
~ Interoperabilität: IPFIX ist ein offener Standard, der konsistente Flussüberwachungsfunktionen über verschiedene Netzwerkanbieter und Geräte hinweg gewährleistet.
~ IPv6-Unterstützung: IPFIX unterstützt IPv6 nativ und eignet sich daher für die Überwachung und Analyse des Datenverkehrs in IPv6-Netzwerken.
~Erhöhte Sicherheit: IPFIX umfasst Sicherheitsfunktionen wie TLS-Verschlüsselung (Transport Layer Security) und Nachrichtenintegritätsprüfungen, um die Vertraulichkeit und Integrität der Flussdaten während der Übertragung zu schützen.
IPFIX wird von verschiedenen Anbietern von Netzwerkgeräten weitgehend unterstützt, was es zu einer herstellerneutralen und weit verbreiteten Wahl für die Überwachung des Netzwerkflusses macht.
Was ist also der Unterschied zwischen NetFlow und IPFIX?
Die einfache Antwort ist, dass NetFlow ein proprietäres Cisco-Protokoll ist, das etwa 1996 eingeführt wurde, und IPFIX sein von der Normungsbehörde anerkannter Bruder.
Beide Protokolle dienen demselben Zweck: Netzwerktechnikern und Administratoren die Möglichkeit zu geben, IP-Verkehrsströme auf Netzwerkebene zu erfassen und zu analysieren. Cisco hat NetFlow entwickelt, damit seine Switches und Router diese wertvollen Informationen ausgeben können. Angesichts der Dominanz von Cisco-Geräten wurde NetFlow schnell zum De-facto-Standard für die Analyse des Netzwerkverkehrs. Allerdings erkannten die Branchenkonkurrenten, dass die Verwendung eines proprietären Protokolls, das vom Hauptkonkurrenten kontrolliert wird, keine gute Idee war, und daher leitete die IETF den Versuch, ein offenes Protokoll für die Verkehrsanalyse zu standardisieren, nämlich IPFIX.
IPFIX basiert auf NetFlow Version 9 und wurde ursprünglich etwa 2005 eingeführt, es dauerte jedoch einige Jahre, bis es in der Branche angenommen wurde. Zu diesem Zeitpunkt sind die beiden Protokolle im Wesentlichen gleich und obwohl der Begriff NetFlow immer noch häufiger vorkommt, sind die meisten Implementierungen (wenn auch nicht alle) mit dem IPFIX-Standard kompatibel.
Hier ist eine Tabelle, die die Unterschiede zwischen NetFlow und IPFIX zusammenfasst:
Aspekt | NetFlow | IPFIX |
---|---|---|
Herkunft | Von Cisco entwickelte proprietäre Technologie | Industriestandardprotokoll basierend auf NetFlow Version 9 |
Standardisierung | Cisco-spezifische Technologie | Offener Standard, definiert von der IETF in RFC 7011 |
Flexibilität | Weiterentwickelte Versionen mit spezifischen Funktionen | Größere Flexibilität und Interoperabilität zwischen Anbietern |
Datenformat | Pakete mit fester Größe | Vorlagenbasierter Ansatz für anpassbare Flow-Datensatzformate |
Vorlagenunterstützung | Nicht unterstützt | Dynamische Vorlagen für flexible Feldeinbindung |
Anbieterunterstützung | Hauptsächlich Cisco-Geräte | Breite Unterstützung aller Netzwerkanbieter |
Erweiterbarkeit | Begrenzte Anpassungsmöglichkeiten | Einbindung benutzerdefinierter Felder und anwendungsspezifischer Daten |
Protokollunterschiede | Cisco-spezifische Variationen | Native IPv6-Unterstützung, erweiterte Flow-Record-Optionen |
Sicherheitsfunktionen | Eingeschränkte Sicherheitsfunktionen | TLS-Verschlüsselung (Transport Layer Security), Nachrichtenintegrität |
Überwachung des Netzwerkflussesist die Erfassung, Analyse und Überwachung des Datenverkehrs, der ein bestimmtes Netzwerk oder Netzwerksegment durchquert. Die Ziele können von der Behebung von Konnektivitätsproblemen bis hin zur Planung der zukünftigen Bandbreitenzuteilung variieren. Flussüberwachung und Paket-Sampling können sogar bei der Identifizierung und Behebung von Sicherheitsproblemen hilfreich sein.
Durch die Flussüberwachung erhalten Netzwerkteams einen guten Überblick über den Betrieb eines Netzwerks und erhalten Einblicke in die Gesamtauslastung, Anwendungsnutzung, potenzielle Engpässe, Anomalien, die auf Sicherheitsbedrohungen hinweisen können, und mehr. Bei der Netzwerkflussüberwachung werden verschiedene Standards und Formate verwendet, darunter NetFlow, sFlow und Internet Protocol Flow Information Export (IPFIX). Jedes funktioniert auf eine etwas andere Art und Weise, aber alle unterscheiden sich von Portspiegelung und Deep Packet Inspection dadurch, dass sie nicht den Inhalt jedes Pakets erfassen, das über einen Port oder einen Switch läuft. Allerdings liefert die Flussüberwachung mehr Informationen als SNMP, das sich im Allgemeinen auf allgemeine Statistiken wie die Gesamtpaket- und Bandbreitennutzung beschränkt.
Netzwerkfluss-Tools im Vergleich
Besonderheit | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
Offen oder proprietär | Proprietär | Proprietär | Offen | Offen |
Stichproben- oder flussbasiert | Hauptsächlich flussbasiert; Der Sampling-Modus ist verfügbar | Hauptsächlich flussbasiert; Der Sampling-Modus ist verfügbar | Probiert | Hauptsächlich flussbasiert; Der Sampling-Modus ist verfügbar |
Erfasste Informationen | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw | Vollständige Paket-Header, teilweise Paket-Nutzlasten | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw |
Eingangs-/Ausgangsüberwachung | Nur eingehender Datenverkehr | Ein- und Ausstieg | Ein- und Ausstieg | Ein- und Ausstieg |
IPv6/VLAN/MPLS-Unterstützung | No | Ja | Ja | Ja |
Zeitpunkt der Veröffentlichung: 18. März 2024