Monitorování NetFlow / IPFIX

Standard NetFlow je bez nadsázky základní předpoklad moderní správy a zabezpečení počítačových sítí. Jedná se o nejrozšířenější technologii monitorování síťového provozu, která síťovým a bezpečnostním administrátorům poskytuje detailní přehled o tom, co se v jejich infrastruktuře děje.

NetFlow výrazně zefektivňuje řadu úloh, jako je například řešení provozních problémů v síti, plánování kapacity, řízení výkonnosti, a poskytuje informace důležité pro ochranu podniku před kybernetickými hrozbami.

Spustit demo

Nový přístup k řízení výkonnosti sítě a bezpečnosti

Po dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který poskytuje informace o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Současná doba, kdy na dostupnosti a správné funkčnosti počítačové sítě závisí fungování většiny organizací, si však žádá mnohem více informací a tedy i efektivnější prostředky. Aby bylo možné tyto informace získávat, uchovávat a analyzovat, vyvinula společnost Cisco standard NetFlow.

NetFlow poskytuje informace z třetí a čtvrté vrstvy referenčního modelu ISO/OSI, tedy informace o IP adresách, portech, protokolech, objemu přenesených dat, paketech a další technické detaily. NetFlow lze připodobnit k výpisu telefonních hovorů. Víme, kdo komunikoval s kým, kdy, jak dlouho, jak často, ale nevíme, jaký byl obsah hovoru. Pomocí sběru, ukládání a analýzy takovýchto informací v agregované podobě mohou síťový a bezpečnostní administrátoři řešit řadu provozních a bezpečnostních úkolů.

NetFlow se typicky používá pro

  • Detailní monitoring síťového provozu, sledování výkonových parametrů sítě a aplikací
  • Identifikaci a řešení provozních problémů v sítí (troubleshooting)
  • Detekci anomálií a zvyšování síťové bezpečnosti proti pokročilým hrozbám (botnety, infikované stanice, DDoS útoky atd.)
  • Sledování vytíženosti sítě, určení kritických míst, plánování kapacity sítě
  • ​Optimalizaci peeringových dohod a kontrola dodržování SLA
  • Monitorování uživatelů a aplikací (služeb), dohled nad využitím internetu
  • Plánování a monitorování kvality služeb (QoS)
  • Splnění požadavků na sběr provozních a lokalizačních údajů (Data Retention) dle prováděcí vyhlášky 357/2012 Sb. zákona o elektronických komunikacích
  • Účtování a fakturace služeb založených na množství přenesených dat

Bandwidth statistiky získané z NetFlow

Jak ze síťového provozu získat NetFlow?

NetFlow je v současnosti nejrozšířenější standard pro získávání statistik o datových tocích v síťové komunikaci. Datový tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Cisco během let představilo NetFlow v několika verzích (více informací o NetFlow na wikipedia), které se od sebe významně liší a je tedy pro konkrétní účely třeba rozumět jejich vlastnostem:

  • NetFlow v5 je nejrozšířenější verze podporováná aktivním síťovými prvky. Protože nepodporuje IPv6 provoz, MAC adresy, čísla VLAN a další charakteristiky, je dnes již považována za překonanou.
  • NetFlow v9 je založen na tzv. šablonách a umožňuje flexibilně nastavit, jaké informace z provozu datové sítě budou sledovány. Podporuje IPv6 a další položky, které NetFlow v5 opomíjí.
  • NetFlow v10, nebo též IPFIX , je aktuální, zatím nepříliš rozšířený standard obecně uznávaný IETF. IPFIX dovoluje rozšířit datové toky o další informace o síťovém provozu. IPFIX je budoucností monitorování datových toků.

Princip získávání NetFlow statistik ilustruje video výše. V momentě, kdy je klientem zaslán požadavek na server (zelená obálka), se aktivní síťový prvek podporující export NetFlow „podívá“ do hlavičky paketu a vytvoří záznam o datovém toku. Tento záznam obsahuje informace o zdrojové a cílové IP adrese a portu, číslo protokolu, počtu přenesených bajtů a paketů a další informace z L3 a L4. Každá síťová komunikace je definována pěti atributy: zdrojovou a cílovou adresou, cílový/zdrojový port a číslo protokolu. NetFlow je „jednosměrná“ technologie. Jakmile tedy server odpovídá klientovi (červená obálka), je vytvořen další záznam o datovém toku. Následující pakety se stejnými atributy updatují předchozí záznamy o datovém toku (například počet přenesených bajtů, trvání komunikace).

Jakmile je komunikace ukončena, záznamy o datových tocích jsou poslány na kolektorovou aplikaci, kde jsou tato data uložena a připravena pro vizualizaci a analýzu.

Jaké jsou nejrozšířenější verze NetFlow?

Nejrozšířenějšími verzemi NetFlow jsou verze 5 a 9. Potřeba jednotného a univerzálního standardu pro export informací o komunikaci v podobě IP toků dala vzniknout standardu IPFIX (Internet Protocol Flow Information Export). Ten definuje, jak jsou informace o IP tocích formátovány a přenášeny z exportéru (routery, switche, speciální sondy, ale i další zařízení) na kolektor. Dříve byli operátoři datových sítí odkázáni na proprietární standard NetFlow společnosti Cisco. Standard IPFIX lze označit za flexibilnějšího následníka NetFlow, který dovoluje rozšířit získávané datové toky o řadu důležitých informací o síťovém provozu.

Jaká zařízení generují NetFlow?

Síťová zařízení jako routery nebo switche

cisco
hp
huawei
Juniper
alcatel-lucent
extreme

Firewally, UTMs, load balancery, hypervisory

paloalto
SONICWALL
VMWARE
kemp

Packet brokeri a matrix switche

ixia
Gigamon
CUBRO
Trial

Zkuste trial verzi

Nasaďte plnou verzi našeho řešení na 30 dnů zdarma.

Chci trial