NetFlow et IPFIX sont deux technologies utilisées pour la surveillance et l'analyse du flux réseau. Elles permettent d'obtenir des informations sur les modèles de trafic réseau, facilitant ainsi l'optimisation des performances, le dépannage et l'analyse de la sécurité.
NetFlow :
Qu'est-ce que NetFlow ?
NetFlowNetFlow est la solution originale de surveillance des flux, développée initialement par Cisco à la fin des années 1990. Plusieurs versions existent, mais la plupart des déploiements reposent sur NetFlow v5 ou NetFlow v9. Bien que chaque version possède des fonctionnalités différentes, son fonctionnement de base reste le même :
Tout d'abord, un routeur, un commutateur, un pare-feu ou un autre type de périphérique capture les informations relatives aux flux réseau, c'est-à-dire un ensemble de paquets partageant des caractéristiques communes telles que les adresses et ports source et destination, ainsi que le type de protocole. Une fois un flux inactif ou après un délai prédéfini, le périphérique exporte les enregistrements de flux vers une entité appelée « collecteur de flux ».
Enfin, un « analyseur de flux » exploite ces données et fournit des informations sous forme de visualisations, de statistiques et de rapports détaillés, historiques et en temps réel. En pratique, les collecteurs et les analyseurs forment souvent une seule et même entité, généralement intégrée à une solution de surveillance des performances réseau plus vaste.
NetFlow fonctionne avec un état. Lorsqu'une machine cliente contacte un serveur, NetFlow commence à capturer et à agréger les métadonnées du flux. Une fois la session terminée, NetFlow exporte un enregistrement complet unique vers le collecteur.
Bien qu'encore largement utilisé, NetFlow v5 présente plusieurs limitations. Les champs exportés sont fixes, la surveillance n'est prise en charge que dans le sens entrant et les technologies modernes telles qu'IPv6, MPLS et VXLAN ne sont pas compatibles. NetFlow v9, également appelé Flexible NetFlow (FNF), remédie à certaines de ces limitations, permettant aux utilisateurs de créer des modèles personnalisés et ajoutant la prise en charge de technologies plus récentes.
De nombreux fournisseurs proposent également leurs propres implémentations propriétaires de NetFlow, telles que jFlow de Juniper et NetStream de Huawei. Bien que la configuration puisse légèrement différer, ces implémentations produisent généralement des enregistrements de flux compatibles avec les collecteurs et analyseurs NetFlow.
Principales caractéristiques de NetFlow :
~ Données de fluxNetFlow génère des enregistrements de flux qui incluent des détails tels que les adresses IP source et de destination, les ports, les horodatages, le nombre de paquets et d'octets, ainsi que les types de protocole.
~ Surveillance du traficNetFlow offre une visibilité sur les modèles de trafic réseau, permettant aux administrateurs d'identifier les principales applications, les points de terminaison et les sources de trafic.
~Détection d'anomaliesEn analysant les données de flux, NetFlow peut détecter des anomalies telles qu'une utilisation excessive de la bande passante, une congestion du réseau ou des schémas de trafic inhabituels.
~ Analyse de sécuritéNetFlow peut être utilisé pour détecter et analyser les incidents de sécurité, tels que les attaques par déni de service distribué (DDoS) ou les tentatives d'accès non autorisé.
Versions de NetFlowNetFlow a évolué au fil du temps et différentes versions ont été publiées. Parmi les plus notables, citons NetFlow v5, NetFlow v9 et Flexible NetFlow. Chaque version apporte des améliorations et des fonctionnalités supplémentaires.
IPFIX :
Qu'est-ce que l'IPFIX ?
La norme IPFIX (Internet Protocol Flow Information Export), une norme de l'IETF apparue au début des années 2000, est extrêmement similaire à NetFlow. En effet, NetFlow v9 a servi de base à IPFIX. La principale différence réside dans le fait qu'IPFIX est une norme ouverte, prise en charge par de nombreux fournisseurs de solutions réseau, outre Cisco. À l'exception de quelques champs supplémentaires, les formats sont quasiment identiques. De fait, IPFIX est parfois même désigné comme « NetFlow v10 ».
Du fait notamment de ses similitudes avec NetFlow, IPFIX bénéficie d'un large soutien parmi les solutions de surveillance réseau ainsi que parmi les équipements réseau.
IPFIX (Internet Protocol Flow Information Export) est un protocole standard ouvert développé par l'IETF (Internet Engineering Task Force). Basé sur la spécification NetFlow version 9, il fournit un format standardisé pour l'exportation des enregistrements de flux depuis les périphériques réseau.
IPFIX s'appuie sur les concepts de NetFlow et les étend pour offrir une plus grande flexibilité et une meilleure interopérabilité entre différents fournisseurs et périphériques. Il introduit le concept de modèles, permettant une définition dynamique de la structure et du contenu des enregistrements de flux. Ceci permet l'intégration de champs personnalisés, la prise en charge de nouveaux protocoles et l'extensibilité.
Principales caractéristiques d'IPFIX :
~ Approche basée sur des modèlesIPFIX utilise des modèles pour définir la structure et le contenu des enregistrements de flux, offrant ainsi une flexibilité pour prendre en charge différents champs de données et des informations spécifiques au protocole.
~ InteropérabilitéIPFIX est une norme ouverte, garantissant des capacités de surveillance des flux cohérentes entre différents fournisseurs et périphériques de réseau.
~ Prise en charge d'IPv6IPFIX prend en charge nativement IPv6, ce qui le rend adapté à la surveillance et à l'analyse du trafic dans les réseaux IPv6.
~Sécurité renforcéeIPFIX inclut des fonctionnalités de sécurité telles que le chiffrement TLS (Transport Layer Security) et des contrôles d'intégrité des messages afin de protéger la confidentialité et l'intégrité des données de flux pendant la transmission.
Le protocole IPFIX est largement pris en charge par divers fournisseurs d'équipements réseau, ce qui en fait un choix indépendant des fournisseurs et largement adopté pour la surveillance du flux réseau.
Alors, quelle est la différence entre NetFlow et IPFIX ?
La réponse est simple : NetFlow est un protocole propriétaire de Cisco, introduit vers 1996, et IPFIX est son homologue approuvé par un organisme de normalisation.
Les deux protocoles ont le même objectif : permettre aux ingénieurs et administrateurs réseau de collecter et d’analyser les flux de trafic IP au niveau du réseau. Cisco a développé NetFlow afin que ses commutateurs et routeurs puissent fournir ces précieuses informations. Compte tenu de la position dominante des équipements Cisco, NetFlow est rapidement devenu la norme de facto pour l’analyse du trafic réseau. Cependant, les concurrents du secteur ont compris qu’utiliser un protocole propriétaire contrôlé par son principal rival n’était pas judicieux. C’est pourquoi l’IETF a entrepris de normaliser un protocole ouvert pour l’analyse du trafic : IPFIX.
IPFIX est basé sur NetFlow version 9 et a été initialement introduit vers 2005, mais son adoption par l'industrie a pris plusieurs années. Aujourd'hui, les deux protocoles sont essentiellement identiques et, bien que le terme NetFlow soit encore plus répandu, la plupart des implémentations (mais pas toutes) sont compatibles avec la norme IPFIX.
Voici un tableau récapitulant les différences entre NetFlow et IPFIX :
| Aspect | NetFlow | IPFIX |
|---|---|---|
| Origine | Technologie propriétaire développée par Cisco | Protocole standard de l'industrie basé sur NetFlow version 9 |
| Standardisation | technologie spécifique à Cisco | Norme ouverte définie par l'IETF dans la RFC 7011 |
| Flexibilité | Versions évoluées avec des fonctionnalités spécifiques | Plus de flexibilité et d'interopérabilité entre les fournisseurs |
| Format des données | Paquets de taille fixe | Approche basée sur des modèles pour des formats d'enregistrement de flux personnalisables |
| Support de modèle | Non pris en charge | Modèles dynamiques pour une inclusion de champ flexible |
| Assistance aux fournisseurs | Principalement des appareils Cisco | Large soutien de la part des fournisseurs de réseaux |
| Extensibilité | Personnalisation limitée | Inclusion de champs personnalisés et de données spécifiques à l'application |
| Différences de protocole | variantes spécifiques à Cisco | Prise en charge native d'IPv6, options d'enregistrement de flux améliorées |
| Dispositifs de sécurité | Fonctionnalités de sécurité limitées | Chiffrement TLS (Transport Layer Security), intégrité des messages |
Surveillance du flux réseauLe suivi des flux consiste à collecter, analyser et surveiller le trafic transitant par un réseau ou un segment de réseau donné. Ses objectifs peuvent varier, allant du dépannage des problèmes de connectivité à la planification de l'allocation future de bande passante. Le suivi des flux et l'échantillonnage des paquets peuvent même s'avérer utiles pour identifier et corriger les failles de sécurité.
La surveillance des flux réseau offre aux équipes réseau une vision précise du fonctionnement du réseau, en fournissant des informations sur l'utilisation globale, l'utilisation des applications, les goulots d'étranglement potentiels, les anomalies pouvant signaler des menaces de sécurité, et bien plus encore. Plusieurs normes et formats sont utilisés pour la surveillance des flux réseau, notamment NetFlow, sFlow et IPFIX (Internet Protocol Flow Information Export). Chacun fonctionne légèrement différemment, mais tous se distinguent de la duplication de ports et de l'inspection approfondie des paquets (DPI) en ce qu'ils ne capturent pas le contenu de chaque paquet transitant par un port ou un commutateur. Cependant, la surveillance des flux fournit davantage d'informations que SNMP, qui se limite généralement à des statistiques générales telles que l'utilisation globale des paquets et de la bande passante.
Comparaison des outils de flux de réseau
| Fonctionnalité | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Ouvert ou propriétaire | Propriétaire | Propriétaire | Ouvrir | Ouvrir |
| Échantillonnage ou flux | Principalement basé sur le flux ; le mode échantillonné est disponible | Principalement basé sur le flux ; le mode échantillonné est disponible | Échantillonné | Principalement basé sur le flux ; le mode échantillonné est disponible |
| Informations capturées | Métadonnées et informations statistiques, notamment les octets transférés, les compteurs d'interface, etc. | Métadonnées et informations statistiques, notamment les octets transférés, les compteurs d'interface, etc. | En-têtes de paquets complets, charges utiles de paquets partielles | Métadonnées et informations statistiques, notamment les octets transférés, les compteurs d'interface, etc. |
| Surveillance des entrées/sorties | Entrée uniquement | Entrée et sortie | Entrée et sortie | Entrée et sortie |
| Prise en charge IPv6/VLAN/MPLS | No | Oui | Oui | Oui |
Date de publication : 18 mars 2024
