NetFlow und IPFIX sind beides Technologien zur Überwachung und Analyse von Netzwerkflüssen. Sie liefern Einblicke in Netzwerkverkehrsmuster und unterstützen so die Leistungsoptimierung, die Fehlerbehebung und die Sicherheitsanalyse.
NetFlow:
Was ist NetFlow?
NetFlowNetFlow ist die ursprüngliche Lösung zur Flussüberwachung, die Ende der 1990er Jahre von Cisco entwickelt wurde. Es existieren verschiedene Versionen, die meisten Implementierungen basieren jedoch entweder auf NetFlow v5 oder NetFlow v9. Obwohl jede Version unterschiedliche Funktionen bietet, bleibt die grundlegende Funktionsweise gleich:
Zunächst erfasst ein Router, Switch, eine Firewall oder ein anderes Gerät Informationen über die Netzwerkflüsse – im Grunde eine Gruppe von Paketen mit gemeinsamen Merkmalen wie Quell- und Zieladresse, Quell- und Zielport sowie Protokolltyp. Sobald ein Datenfluss inaktiv wird oder eine vordefinierte Zeitspanne verstrichen ist, exportiert das Gerät die Flussdatensätze an einen sogenannten Flow-Collector.
Schließlich wertet ein „Flow-Analyzer“ diese Datensätze aus und liefert Erkenntnisse in Form von Visualisierungen, Statistiken sowie detaillierten historischen und Echtzeitberichten. In der Praxis bilden Datensammler und -analysatoren häufig eine Einheit und sind oft in einer umfassenderen Lösung zur Netzwerküberwachung integriert.
NetFlow arbeitet zustandsbehaftet. Sobald ein Client eine Verbindung zu einem Server herstellt, beginnt NetFlow mit der Erfassung und Aggregation von Metadaten aus dem Datenfluss. Nach Beendigung der Sitzung exportiert NetFlow einen einzelnen vollständigen Datensatz an den Collector.
Obwohl NetFlow v5 noch immer weit verbreitet ist, weist es einige Einschränkungen auf. Die exportierten Felder sind fest vorgegeben, die Überwachung ist nur in Eingangsrichtung möglich, und moderne Technologien wie IPv6, MPLS und VXLAN werden nicht unterstützt. NetFlow v9, auch bekannt als Flexible NetFlow (FNF), behebt einige dieser Einschränkungen, ermöglicht die Erstellung benutzerdefinierter Vorlagen und bietet Unterstützung für neuere Technologien.
Viele Anbieter verfügen zudem über eigene, proprietäre Implementierungen von NetFlow, beispielsweise jFlow von Juniper und NetStream von Huawei. Obwohl die Konfiguration mitunter leicht variieren kann, erzeugen diese Implementierungen häufig Flow-Datensätze, die mit NetFlow-Collectorn und -Analyzern kompatibel sind.
Hauptmerkmale von NetFlow:
~ FlussdatenNetFlow generiert Flow-Datensätze, die Details wie Quell- und Ziel-IP-Adressen, Ports, Zeitstempel, Paket- und Byteanzahl sowie Protokolltypen enthalten.
~ VerkehrsüberwachungNetFlow bietet Einblick in Netzwerkverkehrsmuster und ermöglicht Administratoren so die Identifizierung der wichtigsten Anwendungen, Endpunkte und Verkehrsquellen.
~AnomalieerkennungDurch die Analyse von Flussdaten kann NetFlow Anomalien wie übermäßige Bandbreitennutzung, Netzwerküberlastung oder ungewöhnliche Verkehrsmuster erkennen.
~ SicherheitsanalyseNetFlow kann zur Erkennung und Untersuchung von Sicherheitsvorfällen wie verteilten Denial-of-Service-Angriffen (DDoS) oder unbefugten Zugriffsversuchen eingesetzt werden.
NetFlow-VersionenNetFlow hat sich im Laufe der Zeit weiterentwickelt, und es wurden verschiedene Versionen veröffentlicht. Zu den wichtigsten Versionen gehören NetFlow v5, NetFlow v9 und Flexible NetFlow. Jede Version bietet Verbesserungen und zusätzliche Funktionen.
IPFIX:
Was ist IPFIX?
Der IETF-Standard IPFIX (Internet Protocol Flow Information Export), der Anfang der 2000er-Jahre entstand, ist NetFlow sehr ähnlich. Tatsächlich diente NetFlow v9 als Grundlage für IPFIX. Der Hauptunterschied besteht darin, dass IPFIX ein offener Standard ist und neben Cisco von vielen Netzwerkherstellern unterstützt wird. Abgesehen von einigen zusätzlichen Feldern in IPFIX sind die Formate ansonsten nahezu identisch. IPFIX wird daher manchmal auch als „NetFlow v10“ bezeichnet.
Aufgrund seiner Ähnlichkeit mit NetFlow erfreut sich IPFIX großer Beliebtheit bei Netzwerküberwachungslösungen und Netzwerkgeräten.
IPFIX (Internet Protocol Flow Information Export) ist ein offenes Standardprotokoll, das von der Internet Engineering Task Force (IETF) entwickelt wurde. Es basiert auf der NetFlow-Version-9-Spezifikation und bietet ein standardisiertes Format für den Export von Flow-Datensätzen von Netzwerkgeräten.
IPFIX baut auf den Konzepten von NetFlow auf und erweitert diese, um mehr Flexibilität und Interoperabilität zwischen verschiedenen Herstellern und Geräten zu bieten. Es führt das Konzept von Vorlagen ein, wodurch die Struktur und der Inhalt von Flow-Datensätzen dynamisch definiert werden können. Dies ermöglicht die Einbindung benutzerdefinierter Felder, die Unterstützung neuer Protokolle und die Erweiterbarkeit.
Hauptmerkmale von IPFIX:
~ Vorlagenbasierter AnsatzIPFIX verwendet Vorlagen, um die Struktur und den Inhalt von Flow-Datensätzen zu definieren und bietet so Flexibilität bei der Berücksichtigung verschiedener Datenfelder und protokollspezifischer Informationen.
~ InteroperabilitätIPFIX ist ein offener Standard, der konsistente Flow-Monitoring-Funktionen über verschiedene Netzwerkhersteller und -geräte hinweg gewährleistet.
~ IPv6-UnterstützungIPFIX unterstützt IPv6 nativ und eignet sich daher zur Überwachung und Analyse des Datenverkehrs in IPv6-Netzwerken.
~Erhöhte SicherheitIPFIX beinhaltet Sicherheitsfunktionen wie die Transport Layer Security (TLS)-Verschlüsselung und Integritätsprüfungen der Nachrichten, um die Vertraulichkeit und Integrität der Flussdaten während der Übertragung zu schützen.
IPFIX wird von zahlreichen Herstellern von Netzwerkgeräten umfassend unterstützt und ist daher eine herstellerneutrale und weit verbreitete Option für die Überwachung von Netzwerkflüssen.
Worin besteht also der Unterschied zwischen NetFlow und IPFIX?
Die einfache Antwort lautet: NetFlow ist ein von Cisco entwickeltes proprietäres Protokoll, das um 1996 eingeführt wurde, und IPFIX ist sein von einem Normungsgremium genehmigter Bruder.
Beide Protokolle dienen demselben Zweck: Netzwerktechnikern und -administratoren die Erfassung und Analyse von IP-Datenströmen auf Netzwerkebene zu ermöglichen. Cisco entwickelte NetFlow, damit seine Switches und Router diese wertvollen Informationen ausgeben konnten. Aufgrund der Marktführerschaft von Cisco-Produkten etablierte sich NetFlow schnell als De-facto-Standard für die Netzwerkanalyse. Wettbewerber erkannten jedoch, dass die Verwendung eines proprietären Protokolls des Hauptkonkurrenten keine gute Idee war. Daher initiierte die IETF die Standardisierung eines offenen Protokolls für die Netzwerkanalyse: IPFIX.
IPFIX basiert auf NetFlow Version 9 und wurde ursprünglich um 2005 eingeführt, benötigte aber einige Jahre, um sich branchenweit durchzusetzen. Mittlerweile sind die beiden Protokolle im Wesentlichen identisch, und obwohl der Begriff NetFlow immer noch gebräuchlicher ist, sind die meisten Implementierungen (wenn auch nicht alle) mit dem IPFIX-Standard kompatibel.
Hier ist eine Tabelle, die die Unterschiede zwischen NetFlow und IPFIX zusammenfasst:
| Aspekt | NetFlow | IPFIX |
|---|---|---|
| Herkunft | Proprietäre Technologie, entwickelt von Cisco | Industriestandardprotokoll basierend auf NetFlow Version 9 |
| Standardisierung | Cisco-spezifische Technologie | Offener Standard, definiert von der IETF in RFC 7011 |
| Flexibilität | Weiterentwickelte Versionen mit spezifischen Funktionen | Mehr Flexibilität und Interoperabilität zwischen verschiedenen Anbietern |
| Datenformat | Pakete fester Größe | Vorlagenbasierter Ansatz für anpassbare Flow-Datensatzformate |
| Vorlagenunterstützung | Nicht unterstützt | Dynamische Vorlagen für die flexible Einbindung von Feldern |
| Anbieterunterstützung | Hauptsächlich Cisco-Geräte | Breite Unterstützung durch verschiedene Netzwerkanbieter |
| Erweiterbarkeit | Eingeschränkte Anpassungsmöglichkeiten | Einbeziehung von benutzerdefinierten Feldern und anwendungsspezifischen Daten |
| Protokollunterschiede | Cisco-spezifische Varianten | Native IPv6-Unterstützung, erweiterte Flow-Record-Optionen |
| Sicherheitsmerkmale | Begrenzte Sicherheitsmerkmale | Transport Layer Security (TLS)-Verschlüsselung, Nachrichtenintegrität |
NetzwerkflussüberwachungNetzwerküberwachung bezeichnet die Erfassung, Analyse und Überwachung des Datenverkehrs in einem bestimmten Netzwerk oder Netzwerksegment. Die Ziele reichen von der Behebung von Verbindungsproblemen bis zur Planung der zukünftigen Bandbreitenzuweisung. Flussüberwachung und Paketstichproben können sogar bei der Identifizierung und Behebung von Sicherheitslücken hilfreich sein.
Die Überwachung des Netzwerkflusses (Flow-Monitoring) bietet Netzwerkteams einen guten Überblick über den Netzwerkbetrieb und liefert Einblicke in die Gesamtauslastung, die Anwendungsnutzung, potenzielle Engpässe, Anomalien, die auf Sicherheitsbedrohungen hinweisen können, und vieles mehr. Für das Netzwerkfluss-Monitoring werden verschiedene Standards und Formate verwendet, darunter NetFlow, sFlow und IPFIX (Internet Protocol Flow Information Export). Jedes dieser Verfahren funktioniert etwas anders, unterscheidet sich aber von Port-Mirroring und Deep Packet Inspection dadurch, dass es nicht den Inhalt jedes einzelnen Pakets erfasst, das über einen Port oder durch einen Switch übertragen wird. Die Überwachung des Netzwerkflusses liefert jedoch mehr Informationen als SNMP, das sich im Allgemeinen auf allgemeine Statistiken wie die Gesamtpaket- und Bandbreitennutzung beschränkt.
Vergleich von Netzwerkfluss-Tools
| Besonderheit | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Offen oder proprietär | Eigentumsrechtlich geschützt | Eigentumsrechtlich geschützt | Offen | Offen |
| Probenahme- oder Durchflussbasiert | Primär durchflussbasiert; Abtastmodus verfügbar | Primär durchflussbasiert; Abtastmodus verfügbar | Stichprobe | Primär durchflussbasiert; Abtastmodus verfügbar |
| Erfasste Informationen | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. | Vollständige Paket-Header, Teilpaket-Nutzdaten | Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. |
| Ein-/Ausgangsüberwachung | Nur für den Zugang | Zugang und Ausgang | Zugang und Ausgang | Zugang und Ausgang |
| IPv6/VLAN/MPLS-Unterstützung | No | Ja | Ja | Ja |
Veröffentlichungsdatum: 18. März 2024
