IPFIX und NetFlow-Überwachung

NetFlow bietet ein hohes Maß an Netzwerktransparenz und ist im Vergleich zu anderen Technologien speichereffizient. Flowmon sammelt NetFlow/IPFIX von seinen dedizierten proprietären Netzwerksonden oder Flow-fähigen Infrastrukturkomponenten (Router, Switches, Load Balancer), verarbeitet es, um tiefe Einblicke für Fehlerbehebung, UX-Überwachung, Sicherheit usw. zu gewinnen, und speichert es für weitere Analysen und Berichte. Die Lösung ist in physischen, virtuellen, Cloud- und hybriden Umgebungen verfügbar.

Demo starten

Was ist NetFlow?

NetFlow ist ein Netzwerkstandard, der ursprünglich von Cisco für die Sammlung von IP-Verkehrsinformationen und die Überwachung von Netzwerktelemetriedaten entwickelt wurde. NetFlow-fähige Switches oder Router, so genannte Exporter, erzeugen diese aggregierten Verkehrsstatistiken, die ein Bild der Bandbreitennutzung, der Kommunikationspartner und der Client-Aktivitäten vermitteln.

Das am weitesten verbreitete Format ist NetFlow v5. Um die Nachfrage nach einer größeren Datenmenge zu befriedigen, hat sich neben einer Vielzahl von proprietären Formaten wie jFlow, sFlow oder NetStream das unabhängige IPFIX-Format entwickelt.

Wofür wird NetFlow verwendet?

Bei der Überwachung des Netzwerkverkehrs werden Statistiken sowohl über die zugrunde liegenden Datenübertragungen erstellt, wenn von Paketen abstrahiert wird, als auch über den Gegenstand der Kommunikation selbst (der Inhalt der Kommunikation wird nicht gespeichert). Diese Statistiken stellen die Datenflüsse im Netz dar, die man sich ähnlich wie eine Liste von Telefonanrufen vorstellen kann. Die Netzwerk- und Sicherheitsabteilungen erhalten einen Überblick darüber, wer mit wem, wann, wie lange und wie oft kommuniziert. In der Sprache einer Datennetzumgebung überwachen sie IP-Adressen, Datenvolumen, Zeit, Ports, Protokolle, und dies kann noch mit Latenzmessungen und Anwendungsschichtdaten für eine Vielzahl von Protokollen angereichert werden.

Wozu NetFlow / IPFIX verwendet wird

  • Umfassende Transparenz in virtuellen, hybriden und Cloud-Umgebungen
  • Erkennen von Anomalien wie nicht reagierende Dienste, Ransomware-Angriffe, IP-Spoofing oder Port-Scanning
  • Bewertung von verschlüsseltem Datenverkehr zur Vereinfachung der Durchsetzung von Sicherheitsrichtlinien
  • Identifizieren Sie die größten Bandbreitenverbraucher, um Budget für die Infrastruktur zu sparen
  • Überwachung der Latenz von SaaS-Anwendungen wie Office 365, Salesforce oder Google Apps
  • Verfolgen der Benutzererfahrung, Identifizieren von Engpässen und Latenzproblemen bei Anwendungen
  • Berichte über Serviceverschlechterungen, die geschäftskritische Abläufe beeinträchtigen können
  • Nutzen Sie erweiterte Berichte, um Netzwerkvorfällen zuvorzukommen
  • Beobachten Sie Geräteaktivitäten und setzen Sie Sicherheitsrichtlinien durch, einschließlich BYOD
  • Verstehen von Netzwerkvorfällen, deren Ursache und betroffenen Diensten
  • Treffen Sie die effektivsten Entscheidungen über den Bedarf an Infrastruktur und Serverkapazität
  • Verfolgen Sie historische Daten, um Trends zu erkennen und proaktive Entscheidungen zu treffen

NetFlow-Überwachungsstatistiken werden im Dashboard angezeigt.

Sammeln von NetFlow. Wie funktioniert NetFlow?

Wenn eine Anfrage von einem Client an den Server gesendet wird (grüner Umschlag), schaut das aktive Gerät mit NetFlow-Exportfähigkeit in den Paket-Header und erstellt einen Flow Record. Der Flow Record enthält Informationen über die Quell- und Ziel-IP-Adressen und -Ports, die Protokollnummer, die Anzahl der Bytes und Pakete sowie alle anderen Informationen der Schichten 3 und 4. Einzelne Datennetzkommunikationen werden durch Quell- und Ziel-IP-Adressen, Ports und Protokollnummern identifiziert.

Wenn also der Server dem Client antwortet, werden die IP-Adressen und Ports im Paket-Header umgekehrt und ein weiterer Flow-Record wird erstellt - NetFlow ist eine Einweg-Verkehrstechnologie. Die nachfolgenden Pakete mit denselben Attributen aktualisieren die zuvor erstellten Flow-Records (z. B.: Anzahl der Bytes, Dauer der Kommunikation). Wenn die Kommunikation beendet ist, werden die Flow-Records an eine Software oder ein physisches Gerät namens Netflow Collector gesendet. Hier können die Daten gespeichert und aus verschiedenen Gründen analysiert werden.

NetFlow-Statistiken werden von Netzelementen (Router, Switches) oder von speziellen, eigenständigen Hardware-Sonden bereitgestellt. Die Sonden sind als passive Geräte transparent an das überwachte Netz angeschlossen und erstellen einen präzisen und detaillierten Statistikfluss aus der Kopie des Netzverkehrs. Dieser Ansatz wird verwendet, um verschiedene Leistungs- und Funktionseinschränkungen der routerbasierten NetFlow-Überwachung zu überwinden.

Es ist immer wichtig, die Dokumentation des Routers/Switches zu prüfen, um sicherzustellen, dass er NetFlow unterstützt und wenn ja, welche Version. In der Regel ist es notwendig zu testen, ob dies der Fall ist - ältere Geräte können manchmal unter Leistungsproblemen leiden, liefern keine präzisen Statistiken oder haben nur begrenzte Möglichkeiten zur Überwachung von Netzwerkverkehrseigenschaften. NetFlow-Daten, die von Routern oder Switches extrahiert werden, sind eine Abstraktion des Netzverkehrs selbst. Flow-Statistiken werden als Aggregation des Netzwerkverkehrs erstellt, die grundlegende L3/L4-Telemetriedaten aus IP-Headern wie IP, Port, Protokoll oder Type of Service enthalten. Der Inhalt der Kommunikation wird nicht gespeichert, daher liegt die erreichbare Aggregationsrate bei etwa 500:1 im Vergleich zur Speicherung vollständiger Paketspuren. Das bedeutet, dass die Bandbreite, die NetFlow exportiert, etwa 0,2 % ausmacht.

Was ist IPFIX?

Durch die Nutzung des flexiblen Formats IPFIX können spezialisierte Exporteure NetFlow-Datenfelder mit Informationen der Anwendungsschicht aus der Nutzlast von Paketen anreichern, um ein tieferes Verständnis des Netzwerkverkehrs zu ermöglichen und gleichzeitig eine Aggregationsrate von 250:1 oder 0,4 bis 0,5 % der Bandbreite beizubehalten. Dies ermöglicht einen angemessenen Detaillierungsgrad bei gleichzeitiger Skalierbarkeit, einen Einblick in die Datenkommunikation, eine flexible Berichterstattung und eine effektive Fehlerbehebung bei betrieblichen Problemen sowie die Erkennung von Sicherheitsvorfällen. Mit diesem Ansatz lassen sich bis zu 95 % der Netzwerkvorfälle bewältigen.

Wofür wird IPFIX verwendet?

Solche Daten ermöglichen die Analyse der Datenverkehrsstruktur, die Identifizierung von Endstationen, die große Datenmengen übertragen, oder die Behebung von Netzwerkproblemen und Fehlkonfigurationen. Mit anderen Worten, sie bieten einen ausreichenden Detaillierungsgrad, um etwa 80 % der Netzwerkvorfälle zu behandeln, wie Gartner seit 2012 berichtet. Der in NetFlow-Daten enthaltene Detaillierungsgrad reicht jedoch möglicherweise nicht für die weitere Fehlerbehebung, Forensik oder Leistungsüberwachung aus.

Aus IPFIX gewonnene Daten. Zusätzlich zu den NetFlow-Statistiken werden in den Spalten 9, 10 und 11 Anwendungsdaten (Hostname, durchschnittliche Round Trip Time und durchschnittliche Server-Antwortzeit) angezeigt.

Flowmon's proprietäre IPFIX-Sichtbarkeit

L2L3/4L7L7
MACStandard ElementeNBAR2SMB/CIFS
VLANNPM Metrics (RTT, SRT, …)HTTPVoIP (SIP)
MPLSTTL, SYN Größe, …SNIE-mail
GRE tunnelASN (BGP)DNSSQL
OTVGeolokalisierungDHCPSSL/TLS

SNMP im Vergleich zu NetFlow und IPFIX

SNMP (Simple Network Management Protocol) ist eine herkömmliche und einfache Methode für IT-Infrastrukturressourcen, die ursprünglich für die Netzwerkverwaltung entwickelt wurde. Es sammelt Daten von Netzwerkgeräten und liefert Informationen über deren Verfügbarkeit und Status (CPU- und RAM-Auslastung, wie viel Bandbreite das Netzwerkgerät verbraucht usw.). Ein Agent, der auf einem verwalteten Gerät läuft, meldet die angeforderten Informationen über SNMP an den Manager.

SNMP (Simple Network Management Protocol) ist eine herkömmliche und einfache Methode für IT-Infrastrukturressourcen, die ursprünglich für die Netzwerkverwaltung entwickelt wurde. Es sammelt Daten von Netzwerkgeräten und liefert Informationen über deren Verfügbarkeit und Status (CPU- und RAM-Auslastung, wie viel Bandbreite das Netzwerkgerät verbraucht usw.). Ein Agent, der auf einem verwalteten Gerät läuft, meldet die angeforderten Informationen über SNMP an den Manager.

Um den Unterschied besser zu beschreiben, stellen wir uns eine Situation vor, in der eine unerwartete Datenverkehrsanomalie auftritt und der Netzwerkverkehr erheblich zunimmt - SNMP gibt dem Administrator Informationen über die erhöhte Anzahl von Paketen und das Volumen der übertragenen Daten auf den Netzwerkschnittstellen. Aber was noch? Was ist der Ursprung dieser Anomalie? Welches Gerät ist für die Zunahme des Datenverkehrs verantwortlich? Welche Protokolle und Dienste sind an dieser Situation beteiligt? Dies sind die Fragen, die die herkömmliche SNMP-Infrastrukturüberwachung nicht zu beantworten vermag. Sie befasst sich nicht mit dem Netzwerkverkehr selbst und hat daher keine Informationen über dessen Struktur. Dies ist die Situation, in der NetFlow ins Spiel kommt.

Liste der Flow-Standards

NetFlow gibt es in vielen Standards und proprietären Formen, die sich in ihrer Funktionalität und Verwendbarkeit unterscheiden.

NetFlow v5Ursprünglicher Cisco-Standard für die Flow-Überwachung, der von vielen Routern und Switches unterstützt wird. Festes Format und eine Reihe von Attributen mit Schwerpunkt auf L3/L4-Netzwerkinformationen. Gilt mittlerweile als veraltet, da viele Einschränkungen wie fehlende IPv6-Verkehrsinformationen oder fehlende Erweiterbarkeit bestehen. Wird von vielen Überwachungstools und Anwendungen unterstützt.
NetFlow v9Erweiterter Standard für die Überwachung von Datenströmen, der die Einschränkungen der Version 5 überwindet. Bietet Überwachung des IPv6-Verkehrs, Informationen von L2 wie MAC-Adressen oder VLAN-Tags. Einzelheiten werden in RFC 3954 behandelt.
Flexibler NetFlowEin Cisco-Standard, ähnlich wie NetFlow Version 9 mit mehr Flexibilität bei der Konfiguration des Flow-Exports und der Anpassung von Hauptfeldern (wie Pakete zu Flows aggregiert werden) und welche Informationen exportiert werden. Flexible NetFlow erweitert die Überwachung auf L7 durch die Technologie NBAR2 (Network Based Application Recognition), die Anwendungen anhand der Nutzdaten identifiziert.
IPFIX (NetFlow v10)Unabhängiger internationaler Standard, der es Anbietern von Flow-basierten Monitoring-Tools wie Flowmon Probe ermöglicht, eigene Protokollerweiterungen zu definieren, um beliebige Informationen von L2 bis L7 zu exportieren. Flowmon ist ein Pionier dieser Technologie und bietet seit 2012 Einblick in viele Anwendungsprotokolle, wobei der Umfang der unterstützten Protokolle kontinuierlich wächst. Dies ist eine entscheidende Technologie, die es ermöglicht, eine einzigartige Netzwerktransparenz zu liefern, ohne dass eine kontinuierliche Paketerfassung erforderlich ist, NetOps und SecOps in eine einzige Plattform zu integrieren und in einer Multi-100G-Umgebung zu skalieren. Die Spezifikationen für IPFIX sind in RFC 7011 bis RFC 7015 und RFC 5103 enthalten. In der Cisco-Umgebung wird IPFIX üblicherweise als NetFlow v10 bezeichnet und von der IETF standardisiert.
jFlowJuniper-Standard für die Überwachung von Datenströmen, der sowohl in Version v5 als auch v9 verfügbar ist. Der Hauptunterschied zu NetFlow besteht darin, dass die Zeitpunkte der exportierten Flussdaten für die gesamte Netzwerksitzung erhalten bleiben, was eine etwas andere Handhabung auf der Kollektorseite erfordert. Im Allgemeinen ist dieser Standard mit NetFlow kompatibel.
NetStreamHuawei-Standard für die Überwachung von Datenströmen, verfügbar in den Versionen 5 und 9. Dieser Standard ist mit NetFlow kompatibel.
cflowAlcatel-Lucent-Standard für die Flow-Überwachung, die sowohl in Version 5 als auch 9 verfügbar ist. Dieser Standard ist mit NetFlow kompatibel, jedoch in der Regel nur als gemessene Flussdaten verfügbar.
NEL / NSELNEL steht für Network Event Logging (Netzwerkereignisprotokollierung) und bezieht sich auf die Protokolle der Netzwerkadressübersetzung. NSEL steht für Network Security Event Logging, das sich auf Firewall-Protokolle bezieht, die von Cisco ASA erzeugt werden. NetFlow v9 wird verwendet, um diese Protokolle zum Kollektor zu transportieren, aber diese Daten können nicht als echtes NetFlow angesehen werden, da die in NEL oder NSEL bereitgestellten Informationen nicht in der Lage sind, ein echtes Netzwerkverkehrsdiagramm zu rekonstruieren.
sFlowsFlow ist eine Industriestandardtechnologie zur Überwachung von Hochgeschwindigkeits-Switching-Netzen. Im Gegensatz zu NetFlow arbeitet diese Technologie nicht mit dem Konzept des Flow-Cache und der Aggregation von Metadaten, die aus Paketen zu Flows extrahiert werden. Die abgetasteten Paketköpfe werden in ein NetFlow-ähnliches Format kodiert und an den Kollektor exportiert. Aufgrund der hohen Abtastraten (in der Regel 1:1000) sind diese Daten nicht genau genug, um bei der Fehlersuche oder bei der Erkennung von Anomalien im Netzwerk eingesetzt zu werden. Andererseits ist es einfach, solche Daten zu erzeugen, so dass der sFlow-Standard von Einstiegs-Switches in Unternehmen unterstützt wird.
NetFlow LiteNetFlow Lite ist die Cisco-Version von sFlow mit allen Vor- und Nachteilen, die mit dieser Technologie verbunden sind.
FlowLogsFlowLogs sind eine neu aufkommende Technologie, die von öffentlichen Cloud-Plattformen bereitgestellt wird, um die Überwachung des Netzwerkverkehrs mit einem flussbasierten Ansatz zu ermöglichen. FlowLogs werden in der Regel über spezielle APIs einer bestimmten Cloud-Plattform im CSV- oder JSON-Format bereitgestellt, das zur Sammlung und weiteren Verarbeitung auf Standardplattformen zur Verkehrsüberwachung in herkömmliche Flow-Formate konvertiert werden muss. Bei Amazon AWS wird diese Technologie als VPC FlowLogs bezeichnet. In Microsoft Azure ist diese Technologie als NSG FlowLogs bekannt.

Flow-fähige Geräte

Netzwerkausrüstung (Router/Switches)

Cisco, HP, Huawei, Juniper Networks, Alcatel, Exteme Networks und andere

Firewalls, UTMs, Lastausgleicher, Hypervisoren

Check Point, Palo Alto, Sonic Wall, VMware, Kemp-Load-Balancers und andere

Paketvermittler und Matrix-Switches

Ixia, Gigamon, Cubro und andere

Live-Produktdemo ansehen

Entdecken Sie eine vollständig interaktive Produktdemo und sehen Sie, welche Probleme es für Sie lösen kann.

Demo starten