Was ist der Unterschied zwischen NetFlow und IPFIX für die Netzwerkflussüberwachung?

NetFlow und IPFIX sind Technologien zur Überwachung und Analyse des Netzwerkflusses. Sie bieten Einblicke in Netzwerkverkehrsmuster und unterstützen so die Leistungsoptimierung, Fehlerbehebung und Sicherheitsanalyse.

NetFlow:

Was ist NetFlow?

NetFlowist die ursprüngliche Flow-Monitoring-Lösung, die Ende der 1990er Jahre von Cisco entwickelt wurde. Es gibt verschiedene Versionen, die meisten Implementierungen basieren jedoch entweder auf NetFlow v5 oder NetFlow v9. Obwohl jede Version unterschiedliche Funktionen bietet, bleibt die grundlegende Funktionsweise dieselbe:

Zunächst erfasst ein Router, Switch, eine Firewall oder ein anderes Gerät Informationen zu den Netzwerkflüssen – im Grunde eine Reihe von Paketen mit gemeinsamen Merkmalen wie Quell- und Zieladresse, Quell- und Zielport sowie Protokolltyp. Nach dem Ruhen eines Flusses oder nach Ablauf einer vordefinierten Zeitspanne exportiert das Gerät die Flussaufzeichnungen an einen sogenannten „Flow Collector“.

Schließlich analysiert ein „Flow Analyzer“ diese Datensätze und liefert Erkenntnisse in Form von Visualisierungen, Statistiken sowie detaillierten Verlaufs- und Echtzeitberichten. In der Praxis sind Collector und Analyzer oft eine Einheit, die oft in einer größeren Lösung zur Netzwerkleistungsüberwachung kombiniert ist.

NetFlow arbeitet zustandsbehaftet. Sobald ein Client-Rechner einen Server kontaktiert, beginnt NetFlow mit der Erfassung und Aggregation von Metadaten aus dem Datenfluss. Nach Beendigung der Sitzung exportiert NetFlow einen einzelnen vollständigen Datensatz an den Collector.

Obwohl NetFlow v5 noch immer weit verbreitet ist, weist es einige Einschränkungen auf. Die exportierten Felder sind fix, die Überwachung wird nur in der Eingangsrichtung unterstützt und moderne Technologien wie IPv6, MPLS und VXLAN werden nicht unterstützt. NetFlow v9, auch Flexible NetFlow (FNF) genannt, behebt einige dieser Einschränkungen, ermöglicht Benutzern die Erstellung benutzerdefinierter Vorlagen und bietet Unterstützung für neuere Technologien.

Viele Anbieter verfügen auch über eigene proprietäre NetFlow-Implementierungen, beispielsweise jFlow von Juniper und NetStream von Huawei. Obwohl die Konfiguration etwas unterschiedlich sein kann, erzeugen diese Implementierungen häufig Flussdatensätze, die mit NetFlow-Sammlern und -Analysatoren kompatibel sind.

Hauptfunktionen von NetFlow:

~ Flussdaten: NetFlow generiert Flussdatensätze, die Details wie Quell- und Ziel-IP-Adressen, Ports, Zeitstempel, Paket- und Byteanzahl sowie Protokolltypen enthalten.

~ Verkehrsüberwachung: NetFlow bietet Einblick in Netzwerkverkehrsmuster und ermöglicht Administratoren die Identifizierung der wichtigsten Anwendungen, Endpunkte und Datenverkehrsquellen.

~Anomalieerkennung: Durch die Analyse von Flussdaten kann NetFlow Anomalien wie übermäßige Bandbreitennutzung, Netzwerküberlastung oder ungewöhnliche Verkehrsmuster erkennen.

~ Sicherheitsanalyse: NetFlow kann zum Erkennen und Untersuchen von Sicherheitsvorfällen wie Distributed-Denial-of-Service-Angriffen (DDoS) oder unbefugten Zugriffsversuchen verwendet werden.

NetFlow-VersionenNetFlow hat sich im Laufe der Zeit weiterentwickelt und verschiedene Versionen wurden veröffentlicht. Einige wichtige Versionen sind NetFlow v5, NetFlow v9 und Flexible NetFlow. Jede Version bietet Verbesserungen und zusätzliche Funktionen.

IPFIX:

Was ist IPFIX?

Der Anfang der 2000er Jahre entwickelte IETF-Standard IPFIX (Internet Protocol Flow Information Export) ist NetFlow sehr ähnlich. Tatsächlich diente NetFlow v9 als Grundlage für IPFIX. Der Hauptunterschied zwischen beiden besteht darin, dass IPFIX ein offener Standard ist und von vielen Netzwerkanbietern außer Cisco unterstützt wird. Abgesehen von einigen zusätzlichen Feldern in IPFIX sind die Formate ansonsten nahezu identisch. Tatsächlich wird IPFIX manchmal sogar als „NetFlow v10“ bezeichnet.

Unter anderem aufgrund seiner Ähnlichkeiten mit NetFlow erfreut sich IPFIX breiter Unterstützung bei Netzwerküberwachungslösungen und Netzwerkgeräten.

IPFIX (Internet Protocol Flow Information Export) ist ein offenes Standardprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wurde. Es basiert auf der NetFlow-Spezifikation Version 9 und bietet ein standardisiertes Format für den Export von Datenflussdatensätzen von Netzwerkgeräten.

IPFIX baut auf den Konzepten von NetFlow auf und erweitert diese, um mehr Flexibilität und Interoperabilität zwischen verschiedenen Anbietern und Geräten zu bieten. Es führt das Konzept von Vorlagen ein, das eine dynamische Definition der Struktur und des Inhalts von Datenflussdatensätzen ermöglicht. Dies ermöglicht die Einbindung benutzerdefinierter Felder, die Unterstützung neuer Protokolle und die Erweiterungsmöglichkeiten.

Hauptfunktionen von IPFIX:

~ Vorlagenbasierter Ansatz: IPFIX verwendet Vorlagen, um die Struktur und den Inhalt von Flussdatensätzen zu definieren und bietet Flexibilität bei der Anpassung verschiedener Datenfelder und protokollspezifischer Informationen.

~ Interoperabilität: IPFIX ist ein offener Standard, der konsistente Flussüberwachungsfunktionen über verschiedene Netzwerkanbieter und Geräte hinweg gewährleistet.

~ IPv6-Unterstützung: IPFIX unterstützt IPv6 nativ und eignet sich daher für die Überwachung und Analyse des Datenverkehrs in IPv6-Netzwerken.

~Verbesserte Sicherheit: IPFIX umfasst Sicherheitsfunktionen wie Transport Layer Security (TLS)-Verschlüsselung und Nachrichtenintegritätsprüfungen, um die Vertraulichkeit und Integrität der Flussdaten während der Übertragung zu schützen.

IPFIX wird von zahlreichen Anbietern von Netzwerkgeräten umfassend unterstützt und ist daher eine anbieterneutrale und weit verbreitete Wahl für die Überwachung des Netzwerkflusses.

 

Was ist also der Unterschied zwischen NetFlow und IPFIX?

Die einfache Antwort lautet, dass NetFlow ein proprietäres Protokoll von Cisco ist, das etwa 1996 eingeführt wurde, und IPFIX sein von einer Standardisierungsorganisation anerkanntes Gegenstück ist.

Beide Protokolle dienen demselben Zweck: Sie ermöglichen Netzwerktechnikern und -administratoren die Erfassung und Analyse des IP-Datenverkehrs auf Netzwerkebene. Cisco entwickelte NetFlow, damit seine Switches und Router diese wertvollen Informationen ausgeben konnten. Angesichts der Dominanz von Cisco-Geräten entwickelte sich NetFlow schnell zum De-facto-Standard für die Netzwerkverkehrsanalyse. Branchenkonkurrenten erkannten jedoch, dass die Verwendung eines proprietären Protokolls, das vom Hauptkonkurrenten kontrolliert wurde, keine gute Idee war. Daher leitete die IETF die Initiative zur Standardisierung eines offenen Protokolls für die Verkehrsanalyse: IPFIX.

IPFIX basiert auf NetFlow Version 9 und wurde ursprünglich um 2005 eingeführt. Es dauerte jedoch einige Jahre, bis es sich in der Branche durchsetzte. Mittlerweile sind die beiden Protokolle im Wesentlichen identisch, und obwohl der Begriff NetFlow immer noch gebräuchlicher ist, sind die meisten Implementierungen (wenn auch nicht alle) mit dem IPFIX-Standard kompatibel.

Hier ist eine Tabelle, die die Unterschiede zwischen NetFlow und IPFIX zusammenfasst:

Aspekt NetFlow IPFIX
Herkunft Proprietäre Technologie, entwickelt von Cisco Industriestandardprotokoll basierend auf NetFlow Version 9
Standardisierung Cisco-spezifische Technologie Offener Standard, definiert von der IETF in RFC 7011
Flexibilität Weiterentwickelte Versionen mit spezifischen Funktionen Größere Flexibilität und Interoperabilität zwischen verschiedenen Anbietern
Datenformat Pakete mit fester Größe Vorlagenbasierter Ansatz für anpassbare Flussdatensatzformate
Vorlagenunterstützung Nicht unterstützt Dynamische Vorlagen für die flexible Feldeinbindung
Anbieter-Support Vorwiegend Cisco-Geräte Umfassende Unterstützung durch Netzwerkanbieter
Erweiterbarkeit Eingeschränkte Anpassung Einbindung von benutzerdefinierten Feldern und anwendungsspezifischen Daten
Protokollunterschiede Cisco-spezifische Variationen Native IPv6-Unterstützung, erweiterte Flussaufzeichnungsoptionen
Sicherheitsfunktionen Eingeschränkte Sicherheitsfunktionen Transport Layer Security (TLS)-Verschlüsselung, Nachrichtenintegrität

Netzwerkflussüberwachungist die Erfassung, Analyse und Überwachung des Datenverkehrs innerhalb eines bestimmten Netzwerks oder Netzwerksegments. Die Ziele reichen von der Behebung von Verbindungsproblemen bis zur Planung der zukünftigen Bandbreitenzuweisung. Flussüberwachung und Paket-Sampling können sogar zur Identifizierung und Behebung von Sicherheitsproblemen hilfreich sein.

Durch Flussüberwachung erhalten Netzwerkteams einen guten Überblick über die Funktionsweise eines Netzwerks und erhalten Einblicke in die Gesamtauslastung, die Anwendungsnutzung, potenzielle Engpässe, Anomalien, die auf Sicherheitsbedrohungen hinweisen können, und vieles mehr. Es gibt verschiedene Standards und Formate für die Netzwerkflussüberwachung, darunter NetFlow, sFlow und Internet Protocol Flow Information Export (IPFIX). Jeder dieser Standards funktioniert etwas anders, unterscheidet sich jedoch von Port Mirroring und Deep Packet Inspection dadurch, dass sie nicht den Inhalt jedes Pakets erfassen, das über einen Port oder Switch läuft. Flussüberwachung liefert jedoch mehr Informationen als SNMP, das sich in der Regel auf allgemeine Statistiken wie die Gesamtpaket- und Bandbreitennutzung beschränkt.

Netzwerkfluss-Tools im Vergleich

Besonderheit NetFlow v5 NetFlow v9 sFlow IPFIX
Offen oder proprietär Proprietär Proprietär Offen Offen
Stichprobenbasiert oder flussbasiert Primär flussbasiert; Sampled Mode ist verfügbar Primär flussbasiert; Sampled Mode ist verfügbar Stichprobe Primär flussbasiert; Sampled Mode ist verfügbar
Erfasste Informationen Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. Vollständige Paket-Header, teilweise Paket-Nutzdaten Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw.
Ein-/Ausgangsüberwachung Nur für den Eintritt Ein- und Ausstieg Ein- und Ausstieg Ein- und Ausstieg
IPv6/VLAN/MPLS-Unterstützung No Ja Ja Ja

Veröffentlichungszeit: 18. März 2024