NetFlow et IPFIX sont deux technologies utilisées pour la surveillance et l'analyse des flux réseau. Ils fournissent des informations sur les modèles de trafic réseau, contribuant ainsi à l’optimisation des performances, au dépannage et à l’analyse de la sécurité.
Flux net :
Qu’est-ce que NetFlow ?
Flux netest la solution originale de surveillance des flux, développée à l'origine par Cisco à la fin des années 1990. Il existe plusieurs versions différentes, mais la plupart des déploiements sont basés sur NetFlow v5 ou NetFlow v9. Bien que chaque version ait des fonctionnalités différentes, le fonctionnement de base reste le même :
Premièrement, un routeur, un commutateur, un pare-feu ou un autre type de périphérique capturera des informations sur les « flux » du réseau – essentiellement un ensemble de paquets qui partagent un ensemble commun de caractéristiques telles que l'adresse source et de destination, le port source et de destination et le protocole. taper. Une fois qu'un flux est devenu inactif ou qu'une durée prédéfinie s'est écoulée, l'appareil exporte les enregistrements de flux vers une entité connue sous le nom de « collecteur de flux ».
Enfin, un « analyseur de flux » donne un sens à ces enregistrements, fournissant des informations sous forme de visualisations, de statistiques et de rapports historiques et en temps réel détaillés. En pratique, les collecteurs et les analyseurs constituent souvent une seule entité, souvent combinée dans une solution plus vaste de surveillance des performances du réseau.
NetFlow fonctionne sur une base avec état. Lorsqu'un ordinateur client atteint un serveur, NetFlow commence à capturer et à agréger les métadonnées du flux. Une fois la session terminée, NetFlow exportera un seul enregistrement complet vers le collecteur.
Bien qu'il soit encore couramment utilisé, NetFlow v5 présente un certain nombre de limitations. Les champs exportés sont fixes, la surveillance est prise en charge uniquement dans le sens de l'entrée et les technologies modernes telles que IPv6, MPLS et VXLAN ne sont pas prises en charge. NetFlow v9, également connu sous le nom de Flexible NetFlow (FNF), résout certaines de ces limitations, permettant aux utilisateurs de créer des modèles personnalisés et d'ajouter la prise en charge de technologies plus récentes.
De nombreux fournisseurs disposent également de leurs propres implémentations propriétaires de NetFlow, telles que jFlow de Juniper et NetStream de Huawei. Bien que la configuration puisse différer quelque peu, ces implémentations produisent souvent des enregistrements de flux compatibles avec les collecteurs et analyseurs NetFlow.
Principales fonctionnalités de NetFlow :
~ Données de flux: NetFlow génère des enregistrements de flux qui incluent des détails tels que les adresses IP source et de destination, les ports, les horodatages, le nombre de paquets et d'octets et les types de protocole.
~ Surveillance du trafic: NetFlow offre une visibilité sur les modèles de trafic réseau, permettant aux administrateurs d'identifier les principales applications, points de terminaison et sources de trafic.
~Détection des anomalies: En analysant les données de flux, NetFlow peut détecter des anomalies telles qu'une utilisation excessive de la bande passante, une congestion du réseau ou des modèles de trafic inhabituels.
~ Analyse de sécurité: NetFlow peut être utilisé pour détecter et enquêter sur les incidents de sécurité, tels que les attaques par déni de service distribué (DDoS) ou les tentatives d'accès non autorisées.
Versions NetFlow: NetFlow a évolué au fil du temps et différentes versions ont été publiées. Certaines versions notables incluent NetFlow v5, NetFlow v9 et Flexible NetFlow. Chaque version introduit des améliorations et des fonctionnalités supplémentaires.
IPFIX :
Qu’est-ce qu’IPFIX ?
Norme de l'IETF apparue au début des années 2000, IPFIX (Internet Protocol Flow Information Export) est extrêmement similaire à NetFlow. En fait, NetFlow v9 a servi de base à IPFIX. La principale différence entre les deux réside dans le fait qu'IPFIX est un standard ouvert et qu'il est pris en charge par de nombreux fournisseurs de réseaux, à l'exception de Cisco. À l'exception de quelques champs supplémentaires ajoutés dans IPFIX, les formats sont par ailleurs presque identiques. En fait, IPFIX est même parfois appelé « NetFlow v10 ».
En partie en raison de ses similitudes avec NetFlow, IPFIX bénéficie d'un large support parmi les solutions de surveillance réseau ainsi que parmi les équipements réseau.
IPFIX (Internet Protocol Flow Information Export) est un protocole standard ouvert développé par l'Internet Engineering Task Force (IETF). Il est basé sur la spécification NetFlow version 9 et fournit un format standardisé pour exporter les enregistrements de flux à partir de périphériques réseau.
IPFIX s'appuie sur les concepts de NetFlow et les étend pour offrir plus de flexibilité et d'interopérabilité entre différents fournisseurs et appareils. Il introduit le concept de modèles, permettant une définition dynamique de la structure et du contenu des enregistrements de flux. Cela permet l'inclusion de champs personnalisés, la prise en charge de nouveaux protocoles et l'extensibilité.
Principales caractéristiques d'IPFIX :
~ Approche basée sur un modèle: IPFIX utilise des modèles pour définir la structure et le contenu des enregistrements de flux, offrant une flexibilité dans l'hébergement de différents champs de données et informations spécifiques au protocole.
~ Interopérabilité: IPFIX est une norme ouverte, garantissant des capacités cohérentes de surveillance des flux entre différents fournisseurs et appareils réseau.
~ Prise en charge d'IPv6: IPFIX prend en charge nativement IPv6, ce qui le rend adapté à la surveillance et à l'analyse du trafic dans les réseaux IPv6.
~Sécurité améliorée: IPFIX inclut des fonctionnalités de sécurité telles que le cryptage Transport Layer Security (TLS) et les contrôles d'intégrité des messages pour protéger la confidentialité et l'intégrité des données de flux pendant la transmission.
IPFIX est largement pris en charge par divers fournisseurs d'équipements réseau, ce qui en fait un choix indépendant du fournisseur et largement adopté pour la surveillance des flux réseau.
Alors, quelle est la différence entre NetFlow et IPFIX ?
La réponse simple est que NetFlow est un protocole propriétaire de Cisco introduit vers 1996 et IPFIX est son frère approuvé par l'organisme de normalisation.
Les deux protocoles poursuivent le même objectif : permettre aux ingénieurs et administrateurs réseau de collecter et d'analyser les flux de trafic IP au niveau du réseau. Cisco a développé NetFlow afin que ses commutateurs et routeurs puissent générer ces informations précieuses. Compte tenu de la domination des équipements Cisco, NetFlow est rapidement devenu la norme de facto pour l'analyse du trafic réseau. Cependant, les concurrents du secteur ont réalisé que l'utilisation d'un protocole propriétaire contrôlé par son principal rival n'était pas une bonne idée et c'est pourquoi l'IETF a mené un effort pour normaliser un protocole ouvert pour l'analyse du trafic, IPFIX.
IPFIX est basé sur NetFlow version 9 et a été initialement introduit vers 2005, mais il a fallu plusieurs années pour être adopté par l'industrie. À ce stade, les deux protocoles sont essentiellement les mêmes et bien que le terme NetFlow soit encore plus répandu, la plupart des implémentations (mais pas toutes) sont compatibles avec la norme IPFIX.
Voici un tableau résumant les différences entre NetFlow et IPFIX :
Aspect | Flux net | IPFIX |
---|---|---|
Origine | Technologie propriétaire développée par Cisco | Protocole standard de l'industrie basé sur NetFlow version 9 |
Standardisation | Technologie spécifique à Cisco | Norme ouverte définie par l'IETF dans la RFC 7011 |
Flexibilité | Des versions évoluées avec des fonctionnalités spécifiques | Une plus grande flexibilité et interopérabilité entre les fournisseurs |
Format des données | Paquets de taille fixe | Approche basée sur un modèle pour des formats d'enregistrement de flux personnalisables |
Prise en charge des modèles | Non pris en charge | Modèles dynamiques pour une inclusion de champs flexible |
Assistance fournisseur | Principalement des appareils Cisco | Prise en charge étendue par tous les fournisseurs de réseaux |
Extensibilité | Personnalisation limitée | Inclusion de champs personnalisés et de données spécifiques à l'application |
Différences de protocole | Variations spécifiques à Cisco | Prise en charge native d'IPv6, options d'enregistrement de flux améliorées |
Fonctionnalités de sécurité | Fonctionnalités de sécurité limitées | Chiffrement TLS (Transport Layer Security), intégrité des messages |
Surveillance du flux réseauest la collecte, l'analyse et la surveillance du trafic traversant un réseau ou un segment de réseau donné. Les objectifs peuvent varier du dépannage des problèmes de connectivité à la planification de l'allocation future de bande passante. La surveillance des flux et l'échantillonnage des paquets peuvent même être utiles pour identifier et résoudre les problèmes de sécurité.
La surveillance des flux donne aux équipes réseau une bonne idée du fonctionnement d'un réseau, en fournissant des informations sur l'utilisation globale, l'utilisation des applications, les goulots d'étranglement potentiels, les anomalies pouvant signaler des menaces de sécurité, et bien plus encore. Il existe plusieurs normes et formats différents utilisés dans la surveillance des flux réseau, notamment NetFlow, sFlow et Internet Protocol Flow Information Export (IPFIX). Chacun fonctionne d'une manière légèrement différente, mais tous sont distincts de la mise en miroir des ports et de l'inspection approfondie des paquets dans le sens où ils ne capturent pas le contenu de chaque paquet passant sur un port ou via un commutateur. Cependant, la surveillance des flux fournit plus d'informations que SNMP, qui se limite généralement à des statistiques générales telles que l'utilisation globale des paquets et de la bande passante.
Comparaison des outils de flux réseau
Fonctionnalité | NetFlow v5 | NetFlow v9 | sFlux | IPFIX |
Ouvert ou propriétaire | Propriétaire | Propriétaire | Ouvrir | Ouvrir |
Échantillonné ou basé sur le flux | Principalement basé sur le flux ; Le mode échantillonné est disponible | Principalement basé sur le flux ; Le mode échantillonné est disponible | Échantillonné | Principalement basé sur le flux ; Le mode échantillonné est disponible |
Informations capturées | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. | En-têtes de paquets complets, charges utiles de paquets partiels | Métadonnées et informations statistiques, y compris les octets transférés, les compteurs d'interface, etc. |
Surveillance des entrées/sorties | Entrée uniquement | Entrée et sortie | Entrée et sortie | Entrée et sortie |
Prise en charge IPv6/VLAN/MPLS | No | Oui | Oui | Oui |
Heure de publication : 18 mars 2024