Flowmon Netflow

NetFlow jest narzędziem nowoczesnego zarządzania i bezpieczeństwa sieci. Jest to najszerzej stosowany standard monitorowania ruchu sieciowego, dostarczający administratorom sieci, inżynierom bezpieczeństwa i menedżerom operacyjnym głębokiej wiedzy o ich środowisku IT. NetFlow wnosi zupełnie nową efektywność podczas rozwiązywania problemów, planowania pojemności, diagnostyki wydajności i wielu innych zadań.

Zarządzanie wydajnością i bezpieczeństwem sieci nowej generacji

Przez lata regularne monitorowanie sieci odbywało się za pomocą protokołu SNMP, który zapewniał przegląd infrastruktury IT, dając administratorom sieci informacje o dostępności jej komponentów. Dziś, gdy dostępność i prawidłowe działanie sieci firmowej jest kluczowe dla jej istnienia, potrzeba znacznie więcej informacji i zaawansowanych metod. W celu uzyskania takich informacji firma Cisco stworzyła NetFlow, standard zbierania statystyk ruchu sieciowego z routerów, przełączników lub specjalizowanych sond sieciowych.

NetFlow dostarcza informacji z warstwy 3 i 4, czyli adresów IP, portów, protokołów, znaczników czasowych, liczby bajtów, pakietów, flag i kilku innych szczegółów technicznych. Można to sobie łatwo wyobrazić jako listę rozmów telefonicznych. Wiemy, kto się z kim komunikuje, kiedy, jak długo, jak często itd., ale nie wiemy, jaki był temat rozmowy. Zbierając, przechowując i analizując te zagregowane informacje, administratorzy sieci, inżynierowie bezpieczeństwa lub menedżerowie operacyjni mogą wykonać kilka zadań.

Zbieranie Netflow. Jak to działa?

NetFlow jest najpowszechniej stosowanym standardem statystyki danych przepływowych w komunikacji sieciowej. W języku środowiska sieci danych, jeden przepływ reprezentuje komunikację sieciową z tym samym źródłowym adresem IP, portem źródłowym, protokołem L4, docelowym adresem IP i portem docelowym. NetFlow jest dostępny w różnych wersjach, które znacząco różnią się od siebie, dlatego zrozumienie wersji NetFlow jest ważne przy wyborze odpowiednich rozwiązań dla konkretnych potrzeb:

• NetFlow v5 - najczęściej spotykana wersja dostępna na różnych routerach i aktywnych komponentach sieciowych. Wersja ta nie spełnia jednak aktualnych potrzeb. NetFlow v5 nie obsługuje ruchu IPv6, adresów MAC, sieci VLAN oraz innych pól rozszerzeń.
• NetFlow v9 - standard oparty na szablonach opisany w RFC 3954. Wspiera IPv6, jak również pola, których brakuje w NetFlow v5.
• NetFlow v10 aka IPFIX - standaryzowana przez IETF, rozszerzona wersja NetFlow v9, która wspiera pola o zmiennej długości (np. HTTP hostname lub HTTP URL), jak również pola definiowane przez przedsiębiorstwa.

Obecnie najczęściej używanymi wersjami są NetFlow v5 (stały format) oraz NetFlow v9 (oparty na szablonach, elastyczny). Innym powszechnie stosowanym protokołem jest IPFIX, znany również jako NetFlow v10. Internet Protocol Flow Information Export (IPFIX) został stworzony przez grupę roboczą IETF z potrzeby stworzenia wspólnego, uniwersalnego standardu eksportu informacji o przepływach IP. Standard IPFIX definiuje, w jaki sposób informacje o przepływie IP są formatowane i przekazywane z eksportera do kolektora. Wcześniej wielu operatorów sieci danych polegało na zastrzeżonym standardzie Cisco NetFlow dla eksportu informacji o przepływie ruchu. IPFIX jest znacznie bardziej elastycznym następcą formatu NetFlow i pozwala na rozszerzenie danych o przepływie o więcej informacji o ruchu sieciowym.

Zasada działania NetFlow jest opisana w powyższym filmie. Kiedy wysyłane jest żądanie od klienta do serwera (zielona koperta), aktywne urządzenie z możliwością eksportu NetFlow zagląda do nagłówka pakietu i tworzy rekord przepływu. Rekord przepływu zawiera informacje o źródłowym i docelowym adresie IP i portach, numerze protokołu, liczbie bajtów i pakietów oraz wszystkie inne informacje z warstwy 3 i 4. Indywidualna komunikacja w sieci danych jest identyfikowana przez pięć atrybutów: źródłowy i docelowy adres IP, porty i numer protokołu. Kiedy więc serwer odpowiada klientowi, adresy IP i porty w nagłówku pakietu są odwracane i tworzony jest kolejny rekord przepływu - NetFlow jest technologią jednokierunkowego ruchu. Kolejne pakiety z tymi samymi atrybutami aktualizują wcześniej utworzone rekordy przepływu (np.: liczba bajtów, czas trwania komunikacji). Po zakończeniu komunikacji rekordy przepływów są wysyłane do kolektora, gdzie dane są gotowe do przechowywania i analizowania z różnych powodów.