NetFlow e IPFIX são tecnologias utilizadas para monitoramento e análise de fluxo de rede. Elas fornecem informações sobre padrões de tráfego de rede, auxiliando na otimização de desempenho, solução de problemas e análise de segurança.
NetFlow:
O que é NetFlow?
Fluxo de redeO NetFlow é a solução original de monitoramento de fluxo, desenvolvida pela Cisco no final da década de 1990. Existem diversas versões, mas a maioria das implementações é baseada no NetFlow v5 ou no NetFlow v9. Embora cada versão tenha recursos diferentes, o funcionamento básico permanece o mesmo:
Primeiramente, um roteador, switch, firewall ou outro tipo de dispositivo captura informações sobre os "fluxos" de rede – basicamente um conjunto de pacotes que compartilham características comuns, como endereço de origem e destino, porta de origem e destino e tipo de protocolo. Após um fluxo entrar em estado inativo ou após um período predefinido, o dispositivo exporta os registros do fluxo para uma entidade conhecida como "coletor de fluxos".
Por fim, um “analisador de fluxo” interpreta esses registros, fornecendo informações na forma de visualizações, estatísticas e relatórios históricos e em tempo real detalhados. Na prática, coletores e analisadores geralmente constituem uma única entidade, frequentemente combinada em uma solução mais ampla de monitoramento de desempenho de rede.
O NetFlow opera com base em estado. Quando uma máquina cliente se conecta a um servidor, o NetFlow começa a capturar e agregar metadados do fluxo. Após o término da sessão, o NetFlow exporta um único registro completo para o coletor.
Embora ainda seja amplamente utilizado, o NetFlow v5 apresenta algumas limitações. Os campos exportados são fixos, o monitoramento é suportado apenas na direção de entrada e tecnologias modernas como IPv6, MPLS e VXLAN não são suportadas. O NetFlow v9, também conhecido como Flexible NetFlow (FNF), resolve algumas dessas limitações, permitindo que os usuários criem modelos personalizados e adicionando suporte para tecnologias mais recentes.
Muitos fornecedores também possuem suas próprias implementações proprietárias de NetFlow, como o jFlow da Juniper e o NetStream da Huawei. Embora a configuração possa diferir um pouco, essas implementações geralmente produzem registros de fluxo compatíveis com coletores e analisadores de NetFlow.
Principais características do NetFlow:
~ Dados de fluxoO NetFlow gera registros de fluxo que incluem detalhes como endereços IP de origem e destino, portas, carimbos de data/hora, contagens de pacotes e bytes e tipos de protocolo.
~ Monitoramento de tráfegoO NetFlow proporciona visibilidade dos padrões de tráfego de rede, permitindo que os administradores identifiquem os principais aplicativos, endpoints e fontes de tráfego.
~Detecção de anomaliasAo analisar os dados de fluxo, o NetFlow consegue detectar anomalias como utilização excessiva de largura de banda, congestionamento de rede ou padrões de tráfego incomuns.
~ Análise de segurançaO NetFlow pode ser usado para detectar e investigar incidentes de segurança, como ataques de negação de serviço distribuídos (DDoS) ou tentativas de acesso não autorizado.
Versões do NetFlowO NetFlow evoluiu ao longo do tempo e diferentes versões foram lançadas. Algumas versões notáveis incluem o NetFlow v5, o NetFlow v9 e o Flexible NetFlow. Cada versão introduz melhorias e recursos adicionais.
IPFIX:
O que é IPFIX?
O IPFIX (Internet Protocol Flow Information Export), um padrão da IETF que surgiu no início dos anos 2000, é extremamente semelhante ao NetFlow. De fato, o NetFlow v9 serviu de base para o IPFIX. A principal diferença entre os dois é que o IPFIX é um padrão aberto e é suportado por muitos fornecedores de redes, além da Cisco. Com exceção de alguns campos adicionais incluídos no IPFIX, os formatos são praticamente idênticos. Aliás, o IPFIX às vezes é até mesmo chamado de "NetFlow v10".
Devido, em parte, às suas semelhanças com o NetFlow, o IPFIX goza de amplo suporte entre as soluções de monitoramento de rede, bem como em equipamentos de rede.
IPFIX (Internet Protocol Flow Information Export) é um protocolo padrão aberto desenvolvido pela Internet Engineering Task Force (IETF). Ele é baseado na especificação NetFlow versão 9 e fornece um formato padronizado para exportar registros de fluxo de dispositivos de rede.
O IPFIX baseia-se nos conceitos do NetFlow e os expande para oferecer mais flexibilidade e interoperabilidade entre diferentes fornecedores e dispositivos. Ele introduz o conceito de modelos, permitindo a definição dinâmica da estrutura e do conteúdo dos registros de fluxo. Isso possibilita a inclusão de campos personalizados, suporte a novos protocolos e extensibilidade.
Principais características do IPFIX:
~ Abordagem baseada em modelosO IPFIX utiliza modelos para definir a estrutura e o conteúdo dos registros de fluxo, oferecendo flexibilidade para acomodar diferentes campos de dados e informações específicas do protocolo.
~ InteroperabilidadeO IPFIX é um padrão aberto, garantindo recursos consistentes de monitoramento de fluxo em diferentes fornecedores e dispositivos de rede.
~ Suporte a IPv6O IPFIX oferece suporte nativo ao IPv6, tornando-o adequado para monitorar e analisar o tráfego em redes IPv6.
~Segurança reforçadaO IPFIX inclui recursos de segurança como criptografia Transport Layer Security (TLS) e verificações de integridade de mensagens para proteger a confidencialidade e a integridade dos dados de fluxo durante a transmissão.
O IPFIX é amplamente suportado por diversos fornecedores de equipamentos de rede, tornando-se uma opção independente de fornecedor e amplamente adotada para monitoramento de fluxo de rede.
Então, qual é a diferença entre NetFlow e IPFIX?
A resposta simples é que o NetFlow é um protocolo proprietário da Cisco, introduzido por volta de 1996, e o IPFIX é seu equivalente aprovado pelo órgão de padronização.
Ambos os protocolos têm o mesmo propósito: permitir que engenheiros e administradores de rede coletem e analisem fluxos de tráfego IP em nível de rede. A Cisco desenvolveu o NetFlow para que seus switches e roteadores pudessem fornecer essas informações valiosas. Devido ao domínio dos equipamentos Cisco, o NetFlow rapidamente se tornou o padrão de fato para análise de tráfego de rede. No entanto, os concorrentes do setor perceberam que usar um protocolo proprietário controlado por seu principal rival não era uma boa ideia e, portanto, o IETF liderou um esforço para padronizar um protocolo aberto para análise de tráfego, que é o IPFIX.
O IPFIX é baseado no NetFlow versão 9 e foi originalmente introduzido por volta de 2005, mas levou alguns anos para ser adotado pela indústria. Atualmente, os dois protocolos são essencialmente iguais e, embora o termo NetFlow ainda seja mais comum, a maioria das implementações (embora não todas) é compatível com o padrão IPFIX.
Segue abaixo uma tabela que resume as diferenças entre NetFlow e IPFIX:
| Aspecto | Fluxo de rede | IPFIX |
|---|---|---|
| Origem | Tecnologia proprietária desenvolvida pela Cisco | Protocolo padrão da indústria baseado no NetFlow versão 9. |
| Padronização | Tecnologia específica da Cisco | Padrão aberto definido pela IETF na RFC 7011 |
| Flexibilidade | Versões evoluídas com recursos específicos | Maior flexibilidade e interoperabilidade entre fornecedores |
| Formato dos dados | Pacotes de tamanho fixo | Abordagem baseada em modelos para formatos de registro de fluxo personalizáveis. |
| Suporte a modelos | Não suportado | Modelos dinâmicos para inclusão flexível de campos |
| Suporte do fornecedor | Principalmente dispositivos Cisco | Amplo suporte entre fornecedores de redes |
| Extensibilidade | Personalização limitada | Inclusão de campos personalizados e dados específicos da aplicação. |
| Diferenças de protocolo | variações específicas da Cisco | Suporte nativo a IPv6, opções aprimoradas de registro de fluxo |
| Recursos de segurança | Recursos de segurança limitados | Criptografia Transport Layer Security (TLS), integridade da mensagem |
Monitoramento de fluxo de redeO monitoramento de fluxo consiste na coleta, análise e monitoramento do tráfego que atravessa uma determinada rede ou segmento de rede. Os objetivos podem variar desde a resolução de problemas de conectividade até o planejamento da alocação futura de largura de banda. O monitoramento de fluxo e a amostragem de pacotes podem ser úteis até mesmo na identificação e correção de problemas de segurança.
O monitoramento de fluxo oferece às equipes de rede uma boa noção de como uma rede está operando, fornecendo insights sobre a utilização geral, o uso de aplicativos, possíveis gargalos, anomalias que podem sinalizar ameaças à segurança e muito mais. Existem diversos padrões e formatos diferentes usados no monitoramento de fluxo de rede, incluindo NetFlow, sFlow e IPFIX (Internet Protocol Flow Information Export). Cada um funciona de uma maneira ligeiramente diferente, mas todos se distinguem do espelhamento de portas e da inspeção profunda de pacotes por não capturarem o conteúdo de todos os pacotes que passam por uma porta ou por um switch. No entanto, o monitoramento de fluxo fornece mais informações do que o SNMP, que geralmente se limita a estatísticas amplas, como o uso geral de pacotes e largura de banda.
Comparação de ferramentas de análise de fluxo de rede
| Recurso | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Aberto ou proprietário | Proprietário | Proprietário | Abrir | Abrir |
| Amostrado ou baseado em fluxo | Baseado principalmente em fluxo; o modo de amostragem está disponível. | Baseado principalmente em fluxo; o modo de amostragem está disponível. | Amostrado | Baseado principalmente em fluxo; o modo de amostragem está disponível. |
| Informações capturadas | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante. | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante. | Cabeçalhos de Pacotes Completos, Cargas Úteis de Pacotes Parciais | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante. |
| Monitoramento de entrada/saída | Somente entrada | Entrada e saída | Entrada e saída | Entrada e saída |
| Suporte a IPv6/VLAN/MPLS | No | Sim | Sim | Sim |
Data da publicação: 18/03/2024
