NetFlow e IPFIX são tecnologias usadas para monitoramento e análise de fluxo de rede. Elas fornecem insights sobre padrões de tráfego de rede, auxiliando na otimização de desempenho, solução de problemas e análise de segurança.
Fluxo de rede:
O que é NetFlow?
Fluxo de redeé a solução original de monitoramento de fluxo, desenvolvida pela Cisco no final da década de 1990. Existem diversas versões, mas a maioria das implantações é baseada no NetFlow v5 ou no NetFlow v9. Embora cada versão tenha recursos diferentes, a operação básica permanece a mesma:
Primeiro, um roteador, switch, firewall ou outro tipo de dispositivo capturará informações sobre os "fluxos" da rede – basicamente, um conjunto de pacotes que compartilham um conjunto comum de características, como endereço de origem e destino, porta de origem e destino e tipo de protocolo. Após um fluxo ficar inativo ou após um período de tempo predefinido, o dispositivo exportará os registros de fluxo para uma entidade conhecida como "coletor de fluxo".
Por fim, um "analisador de fluxo" interpreta esses registros, fornecendo insights na forma de visualizações, estatísticas e relatórios históricos e em tempo real detalhados. Na prática, coletores e analisadores costumam ser uma única entidade, muitas vezes combinada em uma solução maior de monitoramento do desempenho da rede.
O NetFlow opera com base em estado. Quando uma máquina cliente se conecta a um servidor, o NetFlow começa a capturar e agregar metadados do fluxo. Após o término da sessão, o NetFlow exporta um único registro completo para o coletor.
Embora ainda seja comumente usado, o NetFlow v5 apresenta uma série de limitações. Os campos exportados são fixos, o monitoramento é suportado apenas na direção de entrada e tecnologias modernas como IPv6, MPLS e VXLAN não são suportadas. O NetFlow v9, também conhecido como Flexible NetFlow (FNF), aborda algumas dessas limitações, permitindo que os usuários criem modelos personalizados e adicionando suporte para tecnologias mais recentes.
Muitos fornecedores também possuem suas próprias implementações proprietárias do NetFlow, como o jFlow da Juniper e o NetStream da Huawei. Embora a configuração possa variar um pouco, essas implementações geralmente produzem registros de fluxo compatíveis com coletores e analisadores do NetFlow.
Principais recursos do NetFlow:
~ Dados de fluxo: O NetFlow gera registros de fluxo que incluem detalhes como endereços IP de origem e destino, portas, registros de data e hora, contagens de pacotes e bytes e tipos de protocolo.
~ Monitoramento de tráfego: O NetFlow fornece visibilidade aos padrões de tráfego de rede, permitindo que os administradores identifiquem os principais aplicativos, endpoints e fontes de tráfego.
~Detecção de anomalias:Ao analisar dados de fluxo, o NetFlow pode detectar anomalias como utilização excessiva de largura de banda, congestionamento de rede ou padrões de tráfego incomuns.
~ Análise de Segurança: O NetFlow pode ser usado para detectar e investigar incidentes de segurança, como ataques de negação de serviço distribuído (DDoS) ou tentativas de acesso não autorizado.
Versões do NetFlow: O NetFlow evoluiu ao longo do tempo e diferentes versões foram lançadas. Algumas versões notáveis incluem NetFlow v5, NetFlow v9 e Flexible NetFlow. Cada versão apresenta melhorias e recursos adicionais.
IPFIX:
O que é IPFIX?
Um padrão IETF que surgiu no início dos anos 2000, o Internet Protocol Flow Information Export (IPFIX) é extremamente semelhante ao NetFlow. De fato, o NetFlow v9 serviu de base para o IPFIX. A principal diferença entre os dois é que o IPFIX é um padrão aberto e é suportado por muitos fornecedores de rede, além da Cisco. Com exceção de alguns campos adicionais adicionados ao IPFIX, os formatos são quase idênticos. De fato, o IPFIX às vezes é até chamado de "NetFlow v10".
Devido em parte às suas semelhanças com o NetFlow, o IPFIX desfruta de amplo suporte entre soluções de monitoramento de rede e equipamentos de rede.
IPFIX (Internet Protocol Flow Information Export) é um protocolo de padrão aberto desenvolvido pela Internet Engineering Task Force (IETF). Baseia-se na especificação NetFlow Versão 9 e fornece um formato padronizado para exportar registros de fluxo de dispositivos de rede.
O IPFIX se baseia nos conceitos do NetFlow e os expande para oferecer mais flexibilidade e interoperabilidade entre diferentes fornecedores e dispositivos. Ele introduz o conceito de modelos, permitindo a definição dinâmica da estrutura e do conteúdo dos registros de fluxo. Isso possibilita a inclusão de campos personalizados, suporte a novos protocolos e extensibilidade.
Principais recursos do IPFIX:
~ Abordagem Baseada em Modelos: O IPFIX usa modelos para definir a estrutura e o conteúdo dos registros de fluxo, oferecendo flexibilidade na acomodação de diferentes campos de dados e informações específicas do protocolo.
~ Interoperabilidade: IPFIX é um padrão aberto que garante recursos consistentes de monitoramento de fluxo em diferentes fornecedores e dispositivos de rede.
~ Suporte IPv6: O IPFIX oferece suporte nativo ao IPv6, tornando-o adequado para monitorar e analisar tráfego em redes IPv6.
~Segurança aprimorada: O IPFIX inclui recursos de segurança como criptografia TLS (Transport Layer Security) e verificações de integridade de mensagens para proteger a confidencialidade e a integridade dos dados de fluxo durante a transmissão.
O IPFIX conta com amplo suporte de vários fornecedores de equipamentos de rede, o que o torna uma escolha independente de fornecedor e amplamente adotada para monitoramento de fluxo de rede.
Então, qual é a diferença entre NetFlow e IPFIX?
A resposta simples é que o NetFlow é um protocolo proprietário da Cisco introduzido por volta de 1996 e o IPFIX é seu irmão aprovado pelo órgão de padronização.
Ambos os protocolos têm o mesmo propósito: permitir que engenheiros e administradores de rede coletem e analisem fluxos de tráfego IP em nível de rede. A Cisco desenvolveu o NetFlow para que seus switches e roteadores pudessem gerar essas informações valiosas. Dado o domínio dos equipamentos Cisco, o NetFlow rapidamente se tornou o padrão de fato para análise de tráfego de rede. No entanto, os concorrentes do setor perceberam que usar um protocolo proprietário controlado por seu principal concorrente não era uma boa ideia e, por isso, a IETF liderou um esforço para padronizar um protocolo aberto para análise de tráfego, o IPFIX.
O IPFIX é baseado na versão 9 do NetFlow e foi introduzido originalmente por volta de 2005, mas levou alguns anos para ser adotado pela indústria. Atualmente, os dois protocolos são essencialmente os mesmos e, embora o termo NetFlow ainda seja mais prevalente, a maioria das implementações (embora não todas) é compatível com o padrão IPFIX.
Aqui está uma tabela resumindo as diferenças entre NetFlow e IPFIX:
| Aspecto | Fluxo de rede | IPFIX |
|---|---|---|
| Origem | Tecnologia proprietária desenvolvida pela Cisco | Protocolo padrão da indústria baseado no NetFlow versão 9 |
| Padronização | Tecnologia específica da Cisco | Padrão aberto definido pela IETF no RFC 7011 |
| Flexibilidade | Versões evoluídas com características específicas | Maior flexibilidade e interoperabilidade entre fornecedores |
| Formato de dados | Pacotes de tamanho fixo | Abordagem baseada em modelos para formatos de registro de fluxo personalizáveis |
| Suporte a modelos | Não suportado | Modelos dinâmicos para inclusão de campos flexíveis |
| Suporte ao fornecedor | Principalmente dispositivos Cisco | Amplo suporte entre fornecedores de rede |
| Extensibilidade | Personalização limitada | Inclusão de campos personalizados e dados específicos do aplicativo |
| Diferenças de protocolo | Variações específicas da Cisco | Suporte nativo a IPv6, opções aprimoradas de registro de fluxo |
| Recursos de segurança | Recursos de segurança limitados | Criptografia de segurança da camada de transporte (TLS), integridade da mensagem |
Monitoramento de fluxo de redeé a coleta, análise e monitoramento do tráfego que atravessa uma determinada rede ou segmento de rede. Os objetivos podem variar desde a solução de problemas de conectividade até o planejamento de alocação futura de largura de banda. O monitoramento de fluxo e a amostragem de pacotes podem até ser úteis na identificação e correção de problemas de segurança.
O monitoramento de fluxo oferece às equipes de rede uma boa ideia de como a rede está operando, fornecendo insights sobre a utilização geral, o uso de aplicativos, possíveis gargalos, anomalias que podem sinalizar ameaças à segurança e muito mais. Existem diversos padrões e formatos usados no monitoramento de fluxo de rede, incluindo NetFlow, sFlow e Internet Protocol Flow Information Export (IPFIX). Cada um funciona de maneira ligeiramente diferente, mas todos são distintos do espelhamento de portas e da inspeção profunda de pacotes, pois não capturam o conteúdo de cada pacote que passa por uma porta ou switch. No entanto, o monitoramento de fluxo fornece mais informações do que o SNMP, que geralmente se limita a estatísticas gerais, como o uso geral de pacotes e largura de banda.
Ferramentas de fluxo de rede comparadas
| Recurso | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Aberto ou Proprietário | Proprietário | Proprietário | Abrir | Abrir |
| Amostrado ou baseado em fluxo | Baseado principalmente em fluxo; o modo amostrado está disponível | Baseado principalmente em fluxo; o modo amostrado está disponível | Amostrado | Baseado principalmente em fluxo; o modo amostrado está disponível |
| Informações capturadas | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante | Cabeçalhos de pacotes completos, cargas úteis de pacotes parciais | Metadados e informações estatísticas, incluindo bytes transferidos, contadores de interface e assim por diante |
| Monitoramento de entrada/saída | Somente entrada | Entrada e saída | Entrada e saída | Entrada e saída |
| Suporte IPv6/VLAN/MPLS | No | Sim | Sim | Sim |
Horário da publicação: 18/03/2024
