NetFlow e IPFIX son tecnologías utilizadas para el monitoreo y análisis del flujo de red.Proporcionan información sobre los patrones de tráfico de la red, lo que ayuda a optimizar el rendimiento, solucionar problemas y analizar la seguridad.
Flujo neto:
¿Qué es NetFlow?
flujo netoes la solución original de monitoreo de flujo, desarrollada originalmente por Cisco a fines de la década de 1990.Existen varias versiones diferentes, pero la mayoría de las implementaciones se basan en NetFlow v5 o NetFlow v9.Si bien cada versión tiene capacidades diferentes, el funcionamiento básico sigue siendo el mismo:
Primero, un enrutador, conmutador, firewall u otro tipo de dispositivo capturará información sobre los “flujos” de la red, básicamente un conjunto de paquetes que comparten un conjunto común de características como dirección de origen y destino, puerto de origen y destino, y protocolo. tipo.Después de que un flujo haya quedado inactivo o haya transcurrido un período de tiempo predefinido, el dispositivo exportará los registros de flujo a una entidad conocida como "recolector de flujo".
Finalmente, un "analizador de flujo" da sentido a esos registros, proporcionando información en forma de visualizaciones, estadísticas e informes históricos detallados y en tiempo real.En la práctica, los recopiladores y analizadores suelen ser una sola entidad, a menudo combinada en una solución de monitoreo del rendimiento de la red más grande.
NetFlow opera sobre una base de estado.Cuando una máquina cliente se comunica con un servidor, NetFlow comenzará a capturar y agregar metadatos del flujo.Una vez finalizada la sesión, NetFlow exportará un único registro completo al recopilador.
Aunque todavía se usa comúnmente, NetFlow v5 tiene una serie de limitaciones.Los campos exportados son fijos, la supervisión solo se admite en la dirección de ingreso y no se admiten tecnologías modernas como IPv6, MPLS y VXLAN.NetFlow v9, también denominado Flexible NetFlow (FNF), aborda algunas de estas limitaciones, permitiendo a los usuarios crear plantillas personalizadas y agregando soporte para tecnologías más nuevas.
Muchos proveedores también tienen sus propias implementaciones patentadas de NetFlow, como jFlow de Juniper y NetStream de Huawei.Aunque la configuración puede diferir algo, estas implementaciones suelen producir registros de flujo que son compatibles con los recopiladores y analizadores NetFlow.
Características clave de NetFlow:
~ Datos de flujo: NetFlow genera registros de flujo que incluyen detalles como direcciones IP de origen y destino, puertos, marcas de tiempo, recuentos de paquetes y bytes y tipos de protocolo.
~ Monitoreo de tráfico: NetFlow proporciona visibilidad de los patrones de tráfico de la red, lo que permite a los administradores identificar las principales aplicaciones, puntos finales y fuentes de tráfico.
~Detección de anomalías: Al analizar los datos de flujo, NetFlow puede detectar anomalías como utilización excesiva del ancho de banda, congestión de la red o patrones de tráfico inusuales.
~ Análisis de seguridad: NetFlow se puede utilizar para detectar e investigar incidentes de seguridad, como ataques de denegación de servicio distribuido (DDoS) o intentos de acceso no autorizados.
Versiones de NetFlow: NetFlow ha evolucionado con el tiempo y se han lanzado diferentes versiones.Algunas versiones notables incluyen NetFlow v5, NetFlow v9 y Flexible NetFlow.Cada versión introduce mejoras y capacidades adicionales.
IPFIX:
¿Qué es IPFIX?
Un estándar del IETF que surgió a principios de la década de 2000, la Exportación de información de flujo de protocolo de Internet (IPFIX) es extremadamente similar a NetFlow.De hecho, NetFlow v9 sirvió de base para IPFIX.La principal diferencia entre los dos es que IPFIX es un estándar abierto y es compatible con muchos proveedores de redes además de Cisco.Con la excepción de algunos campos adicionales agregados en IPFIX, los formatos son casi idénticos.De hecho, a veces incluso se hace referencia a IPFIX como “NetFlow v10”.
Debido en parte a sus similitudes con NetFlow, IPFIX disfruta de un amplio soporte entre las soluciones de monitoreo de red y entre los equipos de red.
IPFIX (Exportación de información de flujo de protocolo de Internet) es un protocolo estándar abierto desarrollado por Internet Engineering Task Force (IETF).Se basa en la especificación NetFlow Versión 9 y proporciona un formato estandarizado para exportar registros de flujo desde dispositivos de red.
IPFIX se basa en los conceptos de NetFlow y los amplía para ofrecer más flexibilidad e interoperabilidad entre diferentes proveedores y dispositivos.Introduce el concepto de plantillas, lo que permite la definición dinámica de la estructura y el contenido del registro de flujo.Esto permite la inclusión de campos personalizados, soporte para nuevos protocolos y extensibilidad.
Características clave de IPFIX:
~ Enfoque basado en plantillas: IPFIX utiliza plantillas para definir la estructura y el contenido de los registros de flujo, ofreciendo flexibilidad para acomodar diferentes campos de datos e información específica del protocolo.
~ Interoperabilidad: IPFIX es un estándar abierto que garantiza capacidades consistentes de monitoreo de flujo en diferentes dispositivos y proveedores de redes.
~ Soporte IPv6: IPFIX admite de forma nativa IPv6, lo que lo hace adecuado para monitorear y analizar el tráfico en redes IPv6.
~Seguridad mejorada: IPFIX incluye funciones de seguridad como cifrado de seguridad de la capa de transporte (TLS) y comprobaciones de integridad de mensajes para proteger la confidencialidad y la integridad de los datos del flujo durante la transmisión.
IPFIX cuenta con un amplio respaldo de varios proveedores de equipos de red, lo que lo convierte en una opción neutral y ampliamente adoptada para el monitoreo del flujo de red.
Entonces, ¿cuál es la diferencia entre NetFlow e IPFIX?
La respuesta simple es que NetFlow es un protocolo propietario de Cisco introducido alrededor de 1996 e IPFIX es su hermano aprobado por el organismo de estándares.
Ambos protocolos tienen el mismo propósito: permitir a los ingenieros y administradores de redes recopilar y analizar flujos de tráfico IP a nivel de red.Cisco desarrolló NetFlow para que sus conmutadores y enrutadores pudieran generar esta valiosa información.Dado el dominio de los equipos de Cisco, NetFlow rápidamente se convirtió en el estándar de facto para el análisis del tráfico de red.Sin embargo, los competidores de la industria se dieron cuenta de que utilizar un protocolo propietario controlado por su principal rival no era una buena idea y, por lo tanto, el IETF lideró un esfuerzo para estandarizar un protocolo abierto para el análisis de tráfico, que es IPFIX.
IPFIX se basa en la versión 9 de NetFlow y se introdujo originalmente alrededor de 2005, pero tardó varios años en lograr la adopción en la industria.En este punto, los dos protocolos son esencialmente los mismos y, aunque el término NetFlow sigue siendo más frecuente, la mayoría de las implementaciones (aunque no todas) son compatibles con el estándar IPFIX.
Aquí hay una tabla que resume las diferencias entre NetFlow e IPFIX:
| Aspecto | flujo neto | IPFIX |
|---|---|---|
| Origen | Tecnología patentada desarrollada por Cisco | Protocolo estándar de la industria basado en NetFlow versión 9 |
| Estandarización | Tecnología específica de Cisco | Estándar abierto definido por IETF en RFC 7011 |
| Flexibilidad | Versiones evolucionadas con características específicas | Mayor flexibilidad e interoperabilidad entre proveedores |
| Formato de datos | Paquetes de tamaño fijo | Enfoque basado en plantillas para formatos de registro de flujo personalizables |
| Soporte de plantilla | No soportado | Plantillas dinámicas para inclusión de campos flexibles |
| Soporte de proveedores | Principalmente dispositivos Cisco | Amplio soporte entre proveedores de redes |
| Extensibilidad | Personalización limitada | Inclusión de campos personalizados y datos específicos de la aplicación. |
| Diferencias de protocolo | Variaciones específicas de Cisco | Compatibilidad nativa con IPv6, opciones mejoradas de registro de flujo |
| Características de seguridad | Funciones de seguridad limitadas | Cifrado de seguridad de la capa de transporte (TLS), integridad de mensajes |
Monitoreo del flujo de redes la recopilación, análisis y monitoreo del tráfico que atraviesa una red o segmento de red determinado.Los objetivos pueden variar desde solucionar problemas de conectividad hasta planificar la futura asignación de ancho de banda.La supervisión del flujo y el muestreo de paquetes pueden incluso resultar útiles para identificar y solucionar problemas de seguridad.
El monitoreo de flujo brinda a los equipos de redes una buena idea de cómo está operando una red, brindando información sobre la utilización general, el uso de aplicaciones, posibles cuellos de botella, anomalías que pueden indicar amenazas a la seguridad y más.Existen varios estándares y formatos diferentes que se utilizan en el monitoreo del flujo de red, incluidos NetFlow, sFlow y Exportación de información de flujo de protocolo de Internet (IPFIX).Cada uno funciona de una manera ligeramente diferente, pero todos se diferencian de la duplicación de puertos y la inspección profunda de paquetes en que no capturan el contenido de cada paquete que pasa por un puerto o por un conmutador.Sin embargo, el monitoreo de flujo proporciona más información que SNMP, que generalmente se limita a estadísticas amplias como el uso general de paquetes y ancho de banda.
Comparación de herramientas de flujo de red
| Característica | NetFlow v5 | NetFlow v9 | Flujo | IPFIX |
| Abierto o propietario | Propiedad | Propiedad | Abierto | Abierto |
| Muestreo o basado en flujo | Principalmente basado en flujo;El modo muestreado está disponible | Principalmente basado en flujo;El modo muestreado está disponible | muestreado | Principalmente basado en flujo;El modo muestreado está disponible |
| Información capturada | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. | Encabezados de paquetes completos, cargas útiles de paquetes parciales | Metadatos e información estadística, incluidos bytes transferidos, contadores de interfaz, etc. |
| Monitoreo de entrada/salida | Sólo ingreso | Ingreso y egreso | Ingreso y egreso | Ingreso y egreso |
| Soporte IPv6/VLAN/MPLS | No | Sí | Sí | Sí |
Hora de publicación: 18-mar-2024
