NetFlow ו-IPFIX הן שתיהן טכנולוגיות המשמשות לניטור וניתוח זרימת רשת. הן מספקות תובנות לגבי דפוסי תעבורת רשת, ומסייעות באופטימיזציה של ביצועים, פתרון בעיות וניתוח אבטחה.
נטפלו:
מה זה נטפלו?
נטפלוהוא פתרון ניטור הזרימה המקורי, שפותח במקור על ידי סיסקו בסוף שנות ה-90. קיימות מספר גרסאות שונות, אך רוב הפריסות מבוססות על NetFlow v5 או NetFlow v9. בעוד שלכל גרסה יכולות שונות, הפעולה הבסיסית נשארת זהה:
ראשית, נתב, מתג, חומת אש או סוג אחר של מכשיר ילכד מידע על "זרימות" הרשת - בעיקרון קבוצה של חבילות שחולקות קבוצה משותפת של מאפיינים כמו כתובת מקור ויעד, יציאת מקור ויעד וסוג פרוטוקול. לאחר שזרימה הפכה לרדומה או שעברה פרק זמן מוגדר מראש, המכשיר ייצא את רשומות הזרימה לישות המכונה "אספן זרימות".
לבסוף, "מנתח זרימה" מפגין את הרשומות הללו, ומספק תובנות בצורה של הדמיות, סטטיסטיקות ודיווחים היסטוריים מפורטים בזמן אמת. בפועל, אספנים ומנתחים הם לעתים קרובות ישות אחת, שלעתים קרובות משולבים יחד לפתרון ניטור ביצועי רשת גדול יותר.
NetFlow פועל על בסיס מצבי (stateful). כאשר מחשב לקוח יוצר קשר עם שרת, NetFlow יתחיל ללכוד ולאגד מטא-נתונים מהזרימה. לאחר סיום הסשן, NetFlow ייצא רשומה אחת שלמה לאספן.
למרות שהוא עדיין בשימוש נפוץ, ל-NetFlow v5 יש מספר מגבלות. השדות המיוצאים קבועים, הניטור נתמך רק בכיוון הכניסה, וטכנולוגיות מודרניות כמו IPv6, MPLS ו-VXLAN אינן נתמכות. NetFlow v9, המותג גם כ-Flexible NetFlow (FNF), מטפל בחלק מהמגבלות הללו, ומאפשר למשתמשים לבנות תבניות מותאמות אישית ומוסיף תמיכה בטכנולוגיות חדשות יותר.
לספקים רבים יש גם יישומים קנייניים משלהם של NetFlow, כגון jFlow של Juniper ו-NetStream של Huawei. למרות שהתצורה עשויה להיות שונה במקצת, יישומים אלה מייצרים לעתים קרובות רשומות זרימה התואמות לאספני ומנתחי NetFlow.
תכונות עיקריות של NetFlow:
~ נתוני זרימהNetFlow מייצר רשומות זרימה הכוללות פרטים כגון כתובות IP של מקור ויעד, פורטים, חותמות זמן, ספירת חבילות ובייטים וסוגי פרוטוקולים.
~ ניטור תנועהNetFlow מספקת נראות לדפוסי תעבורת הרשת, ומאפשרת למנהלי מערכת לזהות יישומים, נקודות קצה ומקורות תעבורה מובילים.
~זיהוי אנומליותעל ידי ניתוח נתוני זרימה, NetFlow יכולה לזהות אנומליות כגון ניצול יתר של רוחב פס, עומס ברשת או דפוסי תעבורה חריגים.
~ ניתוח אבטחהניתן להשתמש ב-NetFlow כדי לזהות ולחקור אירועי אבטחה, כגון התקפות מניעת שירות מבוזרות (DDoS) או ניסיונות גישה לא מורשים.
גרסאות NetFlowNetFlow התפתח עם הזמן, ויצאו גרסאות שונות. כמה גרסאות בולטות כוללות את NetFlow v5, NetFlow v9 ו-Flexible NetFlow. כל גרסה מציגה שיפורים ויכולות נוספות.
IPFIX:
מה זה IPFIX?
תקן IETF שהופיע בתחילת שנות ה-2000, Internet Protocol Flow Information Export (IPFIX), דומה מאוד ל-NetFlow. למעשה, NetFlow v9 שימש כבסיס ל-IPFIX. ההבדל העיקרי בין השניים הוא ש-IPFIX הוא תקן פתוח, ונתמך על ידי ספקי רשתות רבים מלבד סיסקו. למעט כמה שדות נוספים שנוספו ב-IPFIX, הפורמטים כמעט זהים. למעשה, IPFIX מכונה לעיתים אף "NetFlow v10".
בין היתר בשל הדמיון שלו ל-NetFlow, IPFIX נהנה מתמיכה רחבה בקרב פתרונות ניטור רשת וכן בקרב ציוד רשת.
IPFIX (ייצוא מידע זרימת פרוטוקול אינטרנט) הוא פרוטוקול פתוח שפותח על ידי כוח המשימה להנדסת אינטרנט (IETF). הוא מבוסס על מפרט NetFlow גרסה 9 ומספק פורמט סטנדרטי לייצוא רשומות זרימה מהתקני רשת.
IPFIX בונה על המושגים של NetFlow ומרחיב אותם כדי להציע גמישות רבה יותר ויכולת פעולה הדדית בין ספקים ומכשירים שונים. הוא מציג את מושג התבניות, המאפשרות הגדרה דינמית של מבנה ותוכן רשומת הזרימה. זה מאפשר הכללה של שדות מותאמים אישית, תמיכה בפרוטוקולים חדשים ויכולת הרחבה.
תכונות עיקריות של IPFIX:
~ גישה מבוססת תבניתIPFIX משתמש בתבניות כדי להגדיר את המבנה והתוכן של רשומות זרימה, ומציע גמישות בהתאמה לשדות נתונים שונים ומידע ספציפי לפרוטוקול.
~ יכולת פעולה הדדיתIPFIX הוא תקן פתוח, המבטיח יכולות ניטור זרימה עקביות על פני ספקי רשת ומכשירים שונים.
~ תמיכה ב-IPv6IPFIX תומך באופן טבעי ב-IPv6, מה שהופך אותו מתאים לניטור וניתוח תעבורה ברשתות IPv6.
~אבטחה משופרתIPFIX כולל תכונות אבטחה כגון הצפנת Transport Layer Security (TLS) ובדיקות שלמות הודעות כדי להגן על סודיות ושלמות נתוני הזרימה במהלך השידור.
IPFIX נתמך באופן נרחב על ידי ספקי ציוד רשת שונים, מה שהופך אותו לבחירה ניטרלית לספקים ומאומצת באופן נרחב לניטור זרימת רשת.
אז מה ההבדל בין NetFlow ל-IPFIX?
התשובה הפשוטה היא ש-NetFlow הוא פרוטוקול קנייני של סיסקו שהוצג בסביבות 1996 ו-IPFIX הוא אחיו שאושר על ידי גוף התקנים.
שני הפרוטוקולים משרתים את אותה מטרה: מתן אפשרות למהנדסי רשת ומנהלי מערכת לאסוף ולנתח זרימות תעבורת IP ברמת הרשת. סיסקו פיתחה את NetFlow כדי שהמתגים והנתבים שלה יוכלו להפיק מידע חשוב זה. בהתחשב בדומיננטיות של ציוד סיסקו, NetFlow הפך במהרה לסטנדרט דה-פקטו לניתוח תעבורת רשת. עם זאת, מתחרים בתעשייה הבינו כי שימוש בפרוטוקול קנייני הנשלט על ידי יריבו העיקרי אינו רעיון טוב, ולכן ה-IETF הוביל מאמץ לתקנן פרוטוקול פתוח לניתוח תעבורה, שהוא IPFIX.
IPFIX מבוסס על NetFlow גרסה 9 והוצג במקור בסביבות שנת 2005, אך לקח מספר שנים עד שהתקבל בתעשייה. בשלב זה, שני הפרוטוקולים זהים במהותו, ולמרות שהמונח NetFlow עדיין נפוץ יותר, רוב היישומים (אם כי לא כולם) תואמים לתקן IPFIX.
הנה טבלה המסכמת את ההבדלים בין NetFlow ל-IPFIX:
| אַספֶּקט | נטפלו | IPFIX |
|---|---|---|
| מָקוֹר | טכנולוגיה קניינית שפותחה על ידי סיסקו | פרוטוקול סטנדרטי בתעשייה המבוסס על NetFlow גרסה 9 |
| תְקִינָה | טכנולוגיה ספציפית לסיסקו | תקן פתוח שהוגדר על ידי IETF ב-RFC 7011 |
| גְמִישׁוּת | גרסאות מפותחות עם תכונות ספציפיות | גמישות רבה יותר ויכולת פעולה הדדית בין ספקים |
| פורמט נתונים | חבילות בגודל קבוע | גישה מבוססת תבנית עבור פורמטים הניתנים להתאמה אישית של רשומות זרימה |
| תמיכה בתבניות | לא נתמך | תבניות דינמיות להכללת שדות גמישה |
| תמיכת ספקים | בעיקר מכשירי סיסקו | תמיכה רחבה בין ספקי רשתות |
| פְּרִישׁוּת | התאמה אישית מוגבלת | הכללת שדות מותאמים אישית ונתונים ספציפיים ליישום |
| הבדלי פרוטוקול | וריאציות ספציפיות לסיסקו | תמיכה מקורית ב-IPv6, אפשרויות משופרות להקלטת זרימה |
| תכונות אבטחה | תכונות אבטחה מוגבלות | הצפנת אבטחת שכבת התעבורה (TLS), שלמות הודעה |
ניטור זרימת רשתהוא איסוף, ניתוח וניטור של תעבורה החוצה רשת נתונה או מקטע רשת. המטרות עשויות לנוע בין פתרון בעיות קישוריות ועד תכנון הקצאת רוחב פס עתידית. ניטור זרימה ודגימת מנות יכולים אף להיות שימושיים בזיהוי ותיקון בעיות אבטחה.
ניטור זרימה נותן לצוותי רשת מושג טוב על אופן פעולת הרשת, ומספק תובנות לגבי ניצול כולל, שימוש ביישומים, צווארי בקבוק פוטנציאליים, אנומליות שעשויות להצביע על איומי אבטחה ועוד. ישנם מספר סטנדרטים ופורמטים שונים המשמשים בניטור זרימת רשת, כולל NetFlow, sFlow ו-Internet Protocol Flow Information Export (IPFIX). כל אחד מהם פועל בצורה מעט שונה, אך כולם שונים משיקוף פורטים ובדיקת מנות עמוקה בכך שהם אינם לוכדים את תוכן כל חבילה שעוברת דרך פורט או דרך מתג. עם זאת, ניטור זרימה מספק מידע רב יותר מ-SNMP, שבדרך כלל מוגבל לסטטיסטיקות רחבות כמו שימוש כולל במנות וברוחב פס.
כלי זרימת רשת בהשוואה
| תכונה | נטפלו גרסה 5 | NetFlow גרסה 9 | sFlow | IPFIX |
| פתוח או קנייני | קנייני | קנייני | לִפְתוֹחַ | לִפְתוֹחַ |
| דגימה או מבוססת זרימה | מבוסס בעיקר על זרימה; מצב דגימה זמין | מבוסס בעיקר על זרימה; מצב דגימה זמין | נדגם | מבוסס בעיקר על זרימה; מצב דגימה זמין |
| מידע שנלכד | מטא-נתונים ומידע סטטיסטי, כולל בתים שהועברו, מוני ממשק וכן הלאה | מטא-נתונים ומידע סטטיסטי, כולל בתים שהועברו, מוני ממשק וכן הלאה | כותרות חבילות מלאות, מטענים חלקיים של חבילות | מטא-נתונים ומידע סטטיסטי, כולל בתים שהועברו, מוני ממשק וכן הלאה |
| ניטור כניסה/יציאה | כניסה בלבד | כניסה ויציאה | כניסה ויציאה | כניסה ויציאה |
| תמיכה ב-IPv6/VLAN/MPLS | No | כֵּן | כֵּן | כֵּן |
זמן פרסום: 18 במרץ 2024
