Monitorování NetFlow / IPFIX

Standard NetFlow je bez nadsázky základní předpoklad moderní správy a zabezpečení počítačových sítí. Jedná se o nejrozšířenější technologii monitorování síťového provozu, která síťovým a bezpečnostním administrátorům poskytuje detailní přehled o tom, co se v jejich infrastruktuře děje.

NetFlow výrazně zefektivňuje řadu úloh, jako je například řešení provozních problémů v síti, plánování kapacity, řízení výkonnosti, a poskytuje informace důležité pro ochranu podniku před kybernetickými hrozbami.

Spustit Demo
solutions decor

Nový přístup k řízení výkonnosti sítě a bezpečnosti

Po dlouhá léta byl synonymem pro monitorování a dohled nad počítačovou sítí protokol SNMP, který poskytuje informace o stavu IT infrastruktury a dostupnosti jednotlivých komponent. Současná doba, kdy na dostupnosti a správné funkčnosti počítačové sítě závisí fungování většiny organizací, si však žádá mnohem více informací a tedy i efektivnější prostředky. Aby bylo možné tyto informace získávat, uchovávat a analyzovat, vyvinula společnost Cisco standard NetFlow.

NetFlow poskytuje informace z třetí a čtvrté vrstvy referenčního modelu ISO/OSI, tedy informace o IP adresách, portech, protokolech, objemu přenesených dat, paketech a další technické detaily. NetFlow lze připodobnit k výpisu telefonních hovorů. Víme, kdo komunikoval s kým, kdy, jak dlouho, jak často, ale nevíme, jaký byl obsah hovoru. Pomocí sběru, ukládání a analýzy takovýchto informací v agregované podobě mohou síťový a bezpečnostní administrátoři řešit řadu provozních a bezpečnostních úkolů.

NetFlow se typicky používá pro

  • Detailní monitoring síťového provozu, sledování výkonových parametrů sítě a aplikací
  • Identifikaci a řešení provozních problémů v sítí (troubleshooting)
  • Detekci anomálií a zvyšování síťové bezpečnosti proti pokročilým hrozbám (botnety, infikované stanice, DDoS útoky atd.)
  • Sledování vytíženosti sítě, určení kritických míst, plánování kapacity sítě
  • ​Optimalizaci peeringových dohod a kontrola dodržování SLA
  • Monitorování uživatelů a aplikací (služeb), dohled nad využitím internetu
  • Plánování a monitorování kvality služeb (QoS)
  • Splnění požadavků na sběr provozních a lokalizačních údajů (Data Retention) dle prováděcí vyhlášky 357/2012 Sb. zákona o elektronických komunikacích
  • Účtování a fakturace služeb založených na množství přenesených dat
NETFLOW EXPORT Dst IP:Port 212.96.160.170:80 195.113.224.147:10111 Sc IP:Port 195.113.224.147:10111 212.96.160.170:80 Packets 2 5 Duration 0.1 0.9 Bytes 80 1231 Start 9:35:24.8 9:35:25.0 Server SRC & DST IP address SRC & DST port Protocol number Lifetime Number of packets Sum of bytes Others 212.96.160.170 195.113.224.147 Client
BANDWIDTH STATISTIKY ZÍSKANÉ Z NETFLOW

Jak ze síťového provozu získat NetFlow?

NetFlow je v současnosti nejrozšířenější standard pro získávání statistik o datových tocích v síťové komunikaci. Datový tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje. Cisco během let představilo NetFlow v několika verzích (více informací o NetFlow na wikipedia), které se od sebe významně liší a je tedy pro konkrétní účely třeba rozumět jejich vlastnostem:

  • NetFlow v5 je nejrozšířenější verze podporováná aktivním síťovými prvky. Protože nepodporuje IPv6 provoz, MAC adresy, čísla VLAN a další charakteristiky, je dnes již považována za překonanou.
  • NetFlow v9 je založen na tzv. šablonách a umožňuje flexibilně nastavit, jaké informace z provozu datové sítě budou sledovány. Podporuje IPv6 a další položky, které NetFlow v5 opomíjí.
  • NetFlow v10, nebo též IPFIX , je aktuální, zatím nepříliš rozšířený standard obecně uznávaný IETF. IPFIX dovoluje rozšířit datové toky o další informace o síťovém provozu. IPFIX je budoucností monitorování datových toků.

Princip získávání NetFlow statistik ilustruje video výše. V momentě, kdy je klientem zaslán požadavek na server (zelená obálka), se aktivní síťový prvek podporující export NetFlow „podívá“ do hlavičky paketu a vytvoří záznam o datovém toku. Tento záznam obsahuje informace o zdrojové a cílové IP adrese a portu, číslo protokolu, počtu přenesených bajtů a paketů a další informace z L3 a L4. Každá síťová komunikace je definována pěti atributy: zdrojovou a cílovou adresou, cílový/zdrojový port a číslo protokolu. NetFlow je „jednosměrná“ technologie. Jakmile tedy server odpovídá klientovi (červená obálka), je vytvořen další záznam o datovém toku. Následující pakety se stejnými atributy updatují předchozí záznamy o datovém toku (například počet přenesených bajtů, trvání komunikace).

Jakmile je komunikace ukončena, záznamy o datových tocích jsou poslány na kolektorovou aplikaci, kde jsou tato data uložena a připravena pro vizualizaci a analýzu.

Flowmon Packet Investigator Full Packet Capture & Analysis NetFlow, IPFIX, sFlow, jFlow Export Cloud Platforms Routers & Switches Flowmon Probe Enriched Flow Data LoadMaster Flowmon Collector (HW, Virtual, Cloud) Flowmon UI Flowmon Monitoring Center Network Visibility & Troubleshooting Flowmon Anomaly Detection System Network Detection & Response Flowmon Application Performance Monitoring Application Performance Monitoring SW Extending Modules

Jaké jsou nejrozšířenější verze NetFlow?

Nejrozšířenějšími verzemi NetFlow jsou verze 5 a 9. Potřeba jednotného a univerzálního standardu pro export informací o komunikaci v podobě IP toků dala vzniknout standardu IPFIX (Internet Protocol Flow Information Export). Ten definuje, jak jsou informace o IP tocích formátovány a přenášeny z exportéru (routery, switche, speciální sondy, ale i další zařízení) na kolektor. Dříve byli operátoři datových sítí odkázáni na proprietární standard NetFlow společnosti Cisco. Standard IPFIX lze označit za flexibilnějšího následníka NetFlow, který dovoluje rozšířit získávané datové toky o řadu důležitých informací o síťovém provozu.

Jaká zařízení generují NetFlow?

Síťová zařízení jako routery nebo switche
cisco
hp
huawei
juniper
huawei
extreme
Firewally, UTMs, load balancery, hypervisory
Check Point
paloalto
sonicwall
vmware
kemp
Packet brokeri a matrix switche
keysight logo
gigamon
cubro
Demo

Zkuste produktové demo

Prozkoumejte plně interaktivní demo řešení a vyzkoušejte, co vás zajímá.

Živé demo
Trial

Zkuste trial verzi

Nasaďte plnou verzi našeho řešení na 30 dnů zdarma.

Chci trial