NetFlow et IPFIX sont deux technologies utilisées pour la surveillance et l'analyse des flux réseau. Elles fournissent des informations sur les schémas de trafic réseau, facilitant ainsi l'optimisation des performances, le dépannage et l'analyse de la sécurité.
NetFlow :
Qu'est-ce que NetFlow ?
NetFlowIl s'agit de la solution originale de surveillance des flux, initialement développée par Cisco à la fin des années 1990. Plusieurs versions existent, mais la plupart des déploiements reposent sur NetFlow v5 ou NetFlow v9. Bien que chaque version offre des fonctionnalités différentes, le fonctionnement de base reste le même :
Tout d'abord, un routeur, un commutateur, un pare-feu ou un autre type d'appareil collecte des informations sur les « flux » du réseau, c'est-à-dire un ensemble de paquets partageant des caractéristiques communes telles que les adresses source et de destination, les ports source et de destination, et le type de protocole. Après l'inactivité d'un flux ou l'expiration d'un délai prédéfini, l'appareil exporte les enregistrements de flux vers une entité appelée « collecteur de flux ».
Enfin, un « analyseur de flux » analyse ces enregistrements et fournit des informations sous forme de visualisations, de statistiques et de rapports historiques et en temps réel détaillés. En pratique, les collecteurs et les analyseurs forment souvent une seule et même entité, souvent combinée au sein d'une solution plus vaste de surveillance des performances réseau.
NetFlow fonctionne selon un principe d'état. Lorsqu'un client contacte un serveur, NetFlow commence à capturer et à agréger les métadonnées du flux. Une fois la session terminée, NetFlow exporte un seul enregistrement complet vers le collecteur.
Bien qu'il soit encore couramment utilisé, NetFlow v5 présente un certain nombre de limitations. Les champs exportés sont fixes, la surveillance n'est prise en charge que dans le sens entrant, et les technologies modernes comme IPv6, MPLS et VXLAN ne sont pas prises en charge. NetFlow v9, également appelé Flexible NetFlow (FNF), corrige certaines de ces limitations en permettant aux utilisateurs de créer des modèles personnalisés et en prenant en charge les technologies plus récentes.
De nombreux fournisseurs possèdent également leurs propres implémentations propriétaires de NetFlow, comme jFlow de Juniper et NetStream de Huawei. Bien que la configuration puisse varier légèrement, ces implémentations produisent souvent des enregistrements de flux compatibles avec les collecteurs et analyseurs NetFlow.
Principales caractéristiques de NetFlow :
~ Données de flux:NetFlow génère des enregistrements de flux qui incluent des détails tels que les adresses IP source et de destination, les ports, les horodatages, le nombre de paquets et d'octets et les types de protocole.
~ Surveillance du trafic:NetFlow offre une visibilité sur les modèles de trafic réseau, permettant aux administrateurs d'identifier les principales applications, points de terminaison et sources de trafic.
~Détection d'anomalies:En analysant les données de flux, NetFlow peut détecter des anomalies telles qu'une utilisation excessive de la bande passante, une congestion du réseau ou des modèles de trafic inhabituels.
~ Analyse de sécurité:NetFlow peut être utilisé pour détecter et enquêter sur les incidents de sécurité, tels que les attaques par déni de service distribué (DDoS) ou les tentatives d'accès non autorisées.
Versions de NetFlowNetFlow a évolué au fil du temps et différentes versions ont été publiées. Parmi les versions notables, on trouve NetFlow v5, NetFlow v9 et Flexible NetFlow. Chaque version apporte des améliorations et des fonctionnalités supplémentaires.
IPFIX :
Qu'est-ce que IPFIX ?
Norme IETF apparue au début des années 2000, IPFIX (Internet Protocol Flow Information Export) est très similaire à NetFlow. NetFlow v9 a d'ailleurs servi de base à IPFIX. La principale différence entre les deux réside dans le fait qu'IPFIX est une norme ouverte, prise en charge par de nombreux fournisseurs de solutions réseau, à l'exception de Cisco. À l'exception de quelques champs supplémentaires ajoutés à IPFIX, les formats sont par ailleurs quasiment identiques. IPFIX est même parfois appelé « NetFlow v10 ».
En raison notamment de ses similitudes avec NetFlow, IPFIX bénéficie d'un large support parmi les solutions de surveillance réseau ainsi que parmi les équipements réseau.
IPFIX (Internet Protocol Flow Information Export) est un protocole standard ouvert développé par l'Internet Engineering Task Force (IETF). Il est basé sur la spécification NetFlow version 9 et fournit un format standardisé pour l'exportation des enregistrements de flux depuis les périphériques réseau.
IPFIX s'appuie sur les concepts de NetFlow et les étend pour offrir davantage de flexibilité et d'interopérabilité entre différents fournisseurs et appareils. Il introduit le concept de modèles, permettant une définition dynamique de la structure et du contenu des enregistrements de flux. Cela permet l'inclusion de champs personnalisés, la prise en charge de nouveaux protocoles et l'extensibilité.
Principales caractéristiques d'IPFIX :
~ Approche basée sur des modèles:IPFIX utilise des modèles pour définir la structure et le contenu des enregistrements de flux, offrant une flexibilité dans la prise en charge de différents champs de données et d'informations spécifiques au protocole.
~ Interopérabilité:IPFIX est une norme ouverte, garantissant des capacités de surveillance de flux cohérentes entre différents fournisseurs et périphériques réseau.
~ Prise en charge IPv6:IPFIX prend en charge nativement IPv6, ce qui le rend adapté à la surveillance et à l'analyse du trafic dans les réseaux IPv6.
~Sécurité renforcée:IPFIX inclut des fonctionnalités de sécurité telles que le cryptage TLS (Transport Layer Security) et les contrôles d'intégrité des messages pour protéger la confidentialité et l'intégrité des données de flux pendant la transmission.
IPFIX est largement pris en charge par divers fournisseurs d'équipements réseau, ce qui en fait un choix indépendant des fournisseurs et largement adopté pour la surveillance des flux réseau.
Alors, quelle est la différence entre NetFlow et IPFIX ?
La réponse simple est que NetFlow est un protocole propriétaire de Cisco introduit vers 1996 et IPFIX est son frère approuvé par l'organisme de normalisation.
Les deux protocoles ont le même objectif : permettre aux ingénieurs et administrateurs réseau de collecter et d'analyser les flux de trafic IP au niveau du réseau. Cisco a développé NetFlow afin que ses commutateurs et routeurs puissent générer ces précieuses informations. Compte tenu de la domination des équipements Cisco, NetFlow est rapidement devenu la norme de facto pour l'analyse du trafic réseau. Cependant, les concurrents du secteur ont compris qu'utiliser un protocole propriétaire contrôlé par son principal concurrent n'était pas judicieux. C'est pourquoi l'IETF a lancé un projet de normalisation d'un protocole ouvert pour l'analyse du trafic : IPFIX.
IPFIX est basé sur la version 9 de NetFlow et a été initialement introduit vers 2005, mais son adoption par l'industrie a pris plusieurs années. À ce jour, les deux protocoles sont essentiellement identiques et, bien que le terme NetFlow soit encore plus répandu, la plupart des implémentations (mais pas toutes) sont compatibles avec la norme IPFIX.
Voici un tableau résumant les différences entre NetFlow et IPFIX :
| Aspect | NetFlow | IPFIX |
|---|---|---|
| Origine | Technologie propriétaire développée par Cisco | Protocole standard de l'industrie basé sur NetFlow version 9 |
| Standardisation | Technologie spécifique à Cisco | Norme ouverte définie par l'IETF dans la RFC 7011 |
| Flexibilité | Versions évoluées avec des fonctionnalités spécifiques | Une plus grande flexibilité et interopérabilité entre les fournisseurs |
| Format des données | Paquets de taille fixe | Approche basée sur des modèles pour des formats d'enregistrement de flux personnalisables |
| Prise en charge des modèles | Non pris en charge | Modèles dynamiques pour une inclusion de champs flexible |
| Assistance aux fournisseurs | Principalement des appareils Cisco | Large support auprès des fournisseurs de réseaux |
| Extensibilité | Personnalisation limitée | Inclusion de champs personnalisés et de données spécifiques à l'application |
| Différences de protocole | Variations spécifiques à Cisco | Prise en charge native d'IPv6, options d'enregistrement de flux améliorées |
| Fonctionnalités de sécurité | Fonctionnalités de sécurité limitées | Cryptage TLS (Transport Layer Security), intégrité des messages |
Surveillance du flux réseauIl s'agit de la collecte, de l'analyse et de la surveillance du trafic traversant un réseau ou un segment de réseau donné. Les objectifs peuvent aller de la résolution de problèmes de connectivité à la planification de l'allocation future de bande passante. La surveillance des flux et l'échantillonnage des paquets peuvent même s'avérer utiles pour identifier et corriger les problèmes de sécurité.
La surveillance des flux offre aux équipes réseau une bonne compréhension du fonctionnement d'un réseau, en fournissant des informations sur son utilisation globale, l'utilisation des applications, les goulots d'étranglement potentiels, les anomalies pouvant signaler des menaces de sécurité, et bien plus encore. Plusieurs normes et formats sont utilisés pour la surveillance des flux réseau, notamment NetFlow, sFlow et IPFIX (Internet Protocol Flow Information Export). Chaque norme fonctionne différemment, mais toutes se distinguent de la mise en miroir des ports et de l'inspection approfondie des paquets en ce sens qu'elles ne capturent pas le contenu de chaque paquet transitant par un port ou un commutateur. Cependant, la surveillance des flux fournit davantage d'informations que SNMP, qui se limite généralement à des statistiques générales comme l'utilisation globale des paquets et de la bande passante.
Comparaison des outils de flux réseau
| Fonctionnalité | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Ouvert ou propriétaire | Propriétaire | Propriétaire | Ouvrir | Ouvrir |
| Échantillonné ou basé sur le débit | Principalement basé sur le flux ; le mode échantillonné est disponible | Principalement basé sur le flux ; le mode échantillonné est disponible | Échantillonné | Principalement basé sur le flux ; le mode échantillonné est disponible |
| Informations capturées | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | En-têtes de paquets complets, charges utiles de paquets partielles | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. |
| Surveillance des entrées et des sorties | Entrée uniquement | Entrée et sortie | Entrée et sortie | Entrée et sortie |
| Prise en charge IPv6/VLAN/MPLS | No | Oui | Oui | Oui |
Date de publication : 18 mars 2024
