NetFlow e IPFIX son tecnologías utilizadas para el monitoreo y el análisis del flujo de red. Proporcionan información sobre los patrones de tráfico de red, ayudando en la optimización del rendimiento, la resolución de problemas y el análisis de seguridad.
Netflow:
¿Qué es Netflow?
Flujo de redEs la solución original de monitoreo de flujo, desarrollada originalmente por Cisco a fines de la década de 1990. Existen varias versiones diferentes, pero la mayoría de las implementaciones se basan en Netflow V5 o Netflow V9. Si bien cada versión tiene diferentes capacidades, la operación básica sigue siendo la misma:
Primero, un enrutador, conmutador, firewall u otro tipo de dispositivo capturará información sobre los "flujos" de la red, básicamente un conjunto de paquetes que comparten un conjunto común de características como la dirección y la dirección de destino, el origen y el puerto de destino, y el tipo de protocolo. Después de que un flujo se haya inactivo o haya pasado una cantidad de tiempo predefinido, el dispositivo exportará los registros de flujo a una entidad conocida como un "coleccionista de flujo".
Finalmente, un "analizador de flujo" da sentido a esos registros, proporcionando ideas en forma de visualizaciones, estadísticas e informes históricos y en tiempo real detallados. En la práctica, los coleccionistas y analizadores son a menudo una entidad única, a menudo combinada en una solución de monitoreo de rendimiento de red más grande.
Netflow opera con estado. Cuando una máquina cliente se acerca a un servidor, NetFlow comenzará a capturar y agregar metadatos desde el flujo. Después de finalizar la sesión, Netflow exportará un solo registro completo al recolector.
Aunque todavía se usa comúnmente, Netflow V5 tiene una serie de limitaciones. Los campos exportados son fijos, el monitoreo es compatible solo en la dirección de entrada y no se admiten tecnologías modernas como IPv6, MPLS y VXLAN. Netflow V9, también marcado como NetFlow Flexible (FNF), aborda algunas de estas limitaciones, lo que permite a los usuarios crear plantillas personalizadas y agregar soporte para tecnologías más nuevas.
Muchos proveedores también tienen sus propias implementaciones patentadas de Netflow, como JFlow de Juniper y NetStream de Huawei. Aunque la configuración puede diferir un poco, estas implementaciones a menudo producen registros de flujo que son compatibles con los coleccionistas y analizadores de Netflow.
Características clave de Netflow:
~ Datos de flujo: NetFlow genera registros de flujo que incluyen detalles como direcciones IP de origen y destino, puertos, marcas de tiempo, recuentos de paquetes y bytes y tipos de protocolo.
~ Monitoreo de tráfico: NetFlow proporciona visibilidad en los patrones de tráfico de red, lo que permite a los administradores identificar las principales aplicaciones, puntos finales y fuentes de tráfico.
~Detección de anomalías: Al analizar los datos de flujo, Netflow puede detectar anomalías como la utilización excesiva del ancho de banda, la congestión de la red o los patrones de tráfico inusuales.
~ Análisis de seguridad: Netflow se puede utilizar para detectar e investigar incidentes de seguridad, como ataques distribuidos de denegación de servicio (DDoS) o intentos de acceso no autorizados.
Versiones de Netflow: Netflow ha evolucionado con el tiempo, y se han publicado diferentes versiones. Algunas versiones notables incluyen Netflow V5, Netflow V9 y Netflow flexible. Cada versión introduce mejoras y capacidades adicionales.
IPFIX:
¿Qué es IPFIX?
Un estándar IETF que surgió a principios de la década de 2000, la exportación de información de flujo de protocolo de Internet (IPFIX) es extremadamente similar a Netflow. De hecho, Netflow V9 sirvió como base para IPFIX. La principal diferencia entre los dos es que IPFIX es un estándar abierto, y es compatible con muchos proveedores de redes aparte de Cisco. Con la excepción de algunos campos adicionales agregados en IPFIX, los formatos son casi idénticos. De hecho, IPFIX a veces incluso se conoce como "Netflow V10".
Debido en parte a sus similitudes con NetFlow, IPFIX disfruta de un amplio soporte entre las soluciones de monitoreo de red y los equipos de red.
IPFIX (Exportación de información de flujo de protocolo de Internet) es un protocolo estándar abierto desarrollado por el Grupo de Tarea de Ingeniería de Internet (IETF). Se basa en la especificación de la versión 9 de NetFlow y proporciona un formato estandarizado para exportar registros de flujo desde dispositivos de red.
IPFIX se basa en los conceptos de NetFlow y los expande para ofrecer más flexibilidad e interoperabilidad en diferentes proveedores y dispositivos. Presenta el concepto de plantillas, lo que permite una definición dinámica de estructura y contenido de registro de flujo. Esto permite la inclusión de campos personalizados, soporte para nuevos protocolos y extensibilidad.
Características clave de IPFIX:
~ Enfoque basado en plantillas: IPFIX utiliza plantillas para definir la estructura y el contenido de los registros de flujo, ofreciendo flexibilidad para acomodar diferentes campos de datos e información específica del protocolo.
~ Interoperabilidad: IPFIX es un estándar abierto, que garantiza capacidades de monitoreo de flujo consistentes en diferentes proveedores y dispositivos de redes.
~ Soporte de IPv6: IPFIX es compatible con IPv6, lo que lo hace adecuado para monitorear y analizar el tráfico en las redes IPv6.
~Seguridad mejorada: IPFIX incluye características de seguridad como las verificaciones de cifrado de seguridad de la capa de transporte (TLS) e integridad de mensajes para proteger la confidencialidad y la integridad de los datos de flujo durante la transmisión.
IPFIX es ampliamente compatible con varios proveedores de equipos de red, lo que lo convierte en una opción de proveedor neutral y ampliamente adoptada para el monitoreo del flujo de red.
Entonces, ¿cuál es la diferencia entre Netflow e IPFIX?
La respuesta simple es que Netflow es un protocolo de propiedad de Cisco introducido alrededor de 1996 e IPFIX es su hermano aprobado por el cuerpo de estándares.
Ambos protocolos tienen el mismo propósito: permitir que los ingenieros y administradores de la red recopilen y analicen los flujos de tráfico IP a nivel de red. Cisco desarrolló NetFlow para que sus conmutadores y enrutadores pudieran generar esta valiosa información. Dado el dominio de Cisco Gear, Netflow se convirtió rápidamente en el estándar de facto para el análisis de tráfico de red. Sin embargo, los competidores de la industria se dieron cuenta de que usar un protocolo patentado controlado por su principal rival no era una buena idea y, por lo tanto, el IETF condujo un esfuerzo para estandarizar un protocolo abierto para el análisis de tráfico, que es IPFIX.
IPFIX se basa en Netflow Versión 9 y originalmente se introdujo alrededor de 2005, pero tardó unos años en obtener la adopción de la industria. En este punto, los dos protocolos son esencialmente los mismos y, aunque el término Netflow es aún más frecuente, la mayoría de las implementaciones (aunque no todas) son compatibles con el estándar IPFIX.
Aquí hay una tabla que resume las diferencias entre NetFlow e IPFIX:
| Aspecto | Flujo de red | IPFIX |
|---|---|---|
| Origen | Tecnología patentada desarrollada por Cisco | Protocolo estándar de la industria basado en Netflow versión 9 |
| Normalización | Tecnología específica de Cisco | Estándar abierto definido por IETF en RFC 7011 |
| Flexibilidad | Versiones evolucionadas con características específicas | Mayor flexibilidad e interoperabilidad entre los proveedores |
| Formato de datos | Paquetes de tamaño fijo | Enfoque basado en plantillas para formatos de registro de flujo personalizables |
| Soporte de plantilla | No compatible | Plantillas dinámicas para la inclusión de campo flexible |
| Soporte de proveedores | Principalmente dispositivos Cisco | Amplio apoyo en los proveedores de redes |
| Extensibilidad | Personalización limitada | Inclusión de campos personalizados y datos específicos de la aplicación |
| Diferencias de protocolo | Variaciones específicas de Cisco | Soporte de IPv6 nativo, opciones de registro de flujo mejoradas |
| Características de seguridad | Características de seguridad limitadas | Cifrado de seguridad de la capa de transporte (TLS), integridad de mensajes |
Monitoreo del flujo de redes la recolección, análisis y monitoreo del tráfico que atraviesa una red o segmento de red determinado. Los objetivos pueden variar desde la resolución de problemas de conectividad hasta la planificación de la asignación futura de ancho de banda. El monitoreo de flujo y el muestreo de paquetes pueden incluso ser útiles para identificar y remediar problemas de seguridad.
El monitoreo de flujo brinda a los equipos de red una buena idea de cómo está funcionando una red, proporcionando información sobre la utilización general, el uso de la aplicación, los posibles cuellos de botella, las anomalías que pueden indicar amenazas de seguridad y más. Existen varios estándares y formatos diferentes utilizados en el monitoreo del flujo de red, incluidos NetFlow, SFLOW y la exportación de información de flujo de protocolo de Internet (IPFIX). Cada uno funciona de una manera ligeramente diferente, pero todos son distintos del reflejo de puertos y la inspección profunda de paquetes en el sentido de que no capturan el contenido de cada paquete que pasa sobre un puerto o a través de un interruptor. Sin embargo, el monitoreo de flujo proporciona más información que SNMP, que generalmente se limita a estadísticas amplias como el uso general de paquetes y ancho de banda.
Herramientas de flujo de red comparadas
| Característica | Netflow v5 | Netflow V9 | Sflow | IPFIX |
| Abierto o propietario | Propiedad | Propiedad | Abierto | Abierto |
| Basado en la muestra o en el flujo | Principalmente basado en flujo; El modo muestreado está disponible | Principalmente basado en flujo; El modo muestreado está disponible | Muestreado | Principalmente basado en flujo; El modo muestreado está disponible |
| Información capturada | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Encabezados de paquetes completos, cargas de paquetes parciales | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. |
| Monitoreo de ingreso/salida | Solo ingresar | Ingreso y salida | Ingreso y salida | Ingreso y salida |
| Soporte de IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Tiempo de publicación: marzo-18-2024
