NetFlow ve IPFIX, ağ akışı izleme ve analizi için kullanılan teknolojilerdir. Ağ trafiği kalıpları hakkında bilgi sağlayarak performans optimizasyonuna, sorun gidermeye ve güvenlik analizine yardımcı olurlar.
NetFlow:
NetFlow nedir?
NetFlowOrijinal akış izleme çözümü, Cisco tarafından 1990'ların sonlarında geliştirilmiştir. Birkaç farklı sürümü mevcut olsa da, çoğu dağıtım NetFlow v5 veya NetFlow v9 tabanlıdır. Her sürümün farklı özellikleri olsa da temel işleyiş aynıdır:
İlk olarak, bir yönlendirici, anahtar, güvenlik duvarı veya başka bir cihaz türü, ağ "akışları" hakkında bilgi toplayacaktır. Bu akışlar, temelde kaynak ve hedef adresi, kaynak ve hedef bağlantı noktası ve protokol türü gibi ortak bir özellik kümesini paylaşan bir paket kümesidir. Bir akış uyku durumuna geçtikten veya önceden belirlenmiş bir süre geçtikten sonra, cihaz akış kayıtlarını "akış toplayıcısı" olarak bilinen bir varlığa aktaracaktır.
Son olarak, bir "akış analizörü" bu kayıtları anlamlandırır ve görselleştirmeler, istatistikler ve ayrıntılı geçmiş ve gerçek zamanlı raporlamalar şeklinde içgörüler sunar. Uygulamada, toplayıcılar ve analizörler genellikle tek bir varlıktır ve genellikle daha büyük bir ağ performansı izleme çözümünde birleştirilir.
NetFlow, durum bilgisi esasına göre çalışır. Bir istemci makinesi bir sunucuya ulaştığında, NetFlow akıştan meta verileri yakalamaya ve toplamaya başlar. Oturum sonlandırıldıktan sonra, NetFlow toplayıcıya tek bir tam kayıt aktarır.
NetFlow v5 hala yaygın olarak kullanılsa da bazı sınırlamalara sahiptir. Dışa aktarılan alanlar sabittir, izleme yalnızca giriş yönünde desteklenir ve IPv6, MPLS ve VXLAN gibi modern teknolojiler desteklenmez. Esnek NetFlow (FNF) olarak da bilinen NetFlow v9, bu sınırlamaların bazılarını ele alarak kullanıcıların özel şablonlar oluşturmasına ve daha yeni teknolojiler için destek eklemesine olanak tanır.
Juniper'dan jFlow ve Huawei'den NetStream gibi birçok tedarikçinin kendi tescilli NetFlow uygulamaları da bulunmaktadır. Yapılandırma biraz farklılık gösterse de, bu uygulamalar genellikle NetFlow toplayıcıları ve analizörleriyle uyumlu akış kayıtları üretir.
NetFlow'un Temel Özellikleri:
~ Akış Verileri: NetFlow, kaynak ve hedef IP adresleri, portlar, zaman damgaları, paket ve bayt sayıları ve protokol türleri gibi ayrıntıları içeren akış kayıtları oluşturur.
~ Trafik İzleme: NetFlow, ağ trafiği modellerine ilişkin görünürlük sağlayarak yöneticilerin en önemli uygulamaları, uç noktaları ve trafik kaynaklarını belirlemesine olanak tanır.
~Anomali TespitiNetFlow, akış verilerini analiz ederek aşırı bant genişliği kullanımı, ağ tıkanıklığı veya alışılmadık trafik düzenleri gibi anormallikleri tespit edebilir.
~ Güvenlik Analizi: NetFlow, dağıtılmış hizmet reddi (DDoS) saldırıları veya yetkisiz erişim girişimleri gibi güvenlik olaylarını tespit etmek ve araştırmak için kullanılabilir.
NetFlow SürümleriNetFlow zamanla gelişti ve farklı sürümleri yayınlandı. Önemli sürümler arasında NetFlow v5, NetFlow v9 ve Flexible NetFlow yer alıyor. Her sürümde iyileştirmeler ve ek özellikler sunuluyor.
IPFIX:
IPFIX nedir?
2000'lerin başında ortaya çıkan bir IETF standardı olan İnternet Protokolü Akış Bilgisi Dışa Aktarımı (IPFIX), NetFlow'a son derece benzerdir. Hatta NetFlow v9, IPFIX'in temelini oluşturmuştur. İkisi arasındaki temel fark, IPFIX'in açık bir standart olması ve Cisco dışında birçok ağ sağlayıcısı tarafından desteklenmesidir. IPFIX'e eklenen birkaç ek alan dışında, formatlar neredeyse aynıdır. Hatta IPFIX bazen "NetFlow v10" olarak da anılır.
NetFlow ile benzerliklerinden dolayı IPFIX, ağ izleme çözümlerinin yanı sıra ağ ekipmanları arasında da geniş bir desteğe sahiptir.
IPFIX (İnternet Protokolü Akış Bilgisi Dışa Aktarımı), İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen açık standart bir protokoldür. NetFlow Sürüm 9 spesifikasyonuna dayanır ve ağ cihazlarından akış kayıtlarını dışa aktarmak için standartlaştırılmış bir format sağlar.
IPFIX, NetFlow kavramlarını temel alır ve bunları farklı satıcılar ve cihazlar arasında daha fazla esneklik ve birlikte çalışabilirlik sağlayacak şekilde genişletir. Şablon kavramını tanıtarak akış kayıt yapısının ve içeriğinin dinamik olarak tanımlanmasına olanak tanır. Bu, özel alanların eklenmesini, yeni protokollerin desteklenmesini ve genişletilebilirliği mümkün kılar.
IPFIX'in Temel Özellikleri:
~ Şablon Tabanlı Yaklaşım: IPFIX, akış kayıtlarının yapısını ve içeriğini tanımlamak için şablonlar kullanır ve farklı veri alanlarını ve protokole özgü bilgileri barındırmada esneklik sunar.
~ Birlikte çalışabilirlik: IPFIX, farklı ağ satıcıları ve aygıtları arasında tutarlı akış izleme yetenekleri sağlayan açık bir standarttır.
~ IPv6 Desteği:IPFIX, IPv6'yı doğal olarak destekler ve bu sayede IPv6 ağlarındaki trafiği izlemek ve analiz etmek için uygundur.
~Gelişmiş Güvenlik:IPFIX, iletim sırasında akış verilerinin gizliliğini ve bütünlüğünü korumak için Taşıma Katmanı Güvenliği (TLS) şifrelemesi ve mesaj bütünlüğü kontrolleri gibi güvenlik özellikleri içerir.
IPFIX, çeşitli ağ ekipmanı satıcıları tarafından yaygın olarak desteklenmektedir ve bu da onu ağ akışı izleme için satıcıdan bağımsız ve yaygın olarak benimsenen bir seçenek haline getirmektedir.
Peki NetFlow ile IPFIX arasındaki fark nedir?
Basit cevap şudur: NetFlow, Cisco'nun 1996 civarında tanıttığı tescilli bir protokoldür ve IPFIX de standartlar kuruluşu tarafından onaylanmış kardeşidir.
Her iki protokol de aynı amaca hizmet eder: ağ mühendislerinin ve yöneticilerinin ağ düzeyindeki IP trafik akışlarını toplayıp analiz etmelerini sağlar. Cisco, anahtarlarının ve yönlendiricilerinin bu değerli bilgileri çıktı olarak alabilmesi için NetFlow'u geliştirdi. Cisco cihazlarının hakimiyeti göz önüne alındığında, NetFlow hızla ağ trafiği analizi için fiili standart haline geldi. Ancak, sektördeki rakipleri, baş rakibi tarafından kontrol edilen tescilli bir protokol kullanmanın iyi bir fikir olmadığını fark etti ve bu nedenle IETF, trafik analizi için açık bir protokol olan IPFIX'i standartlaştırmak için bir çalışma başlattı.
IPFIX, NetFlow sürüm 9'a dayanır ve ilk olarak 2005 civarında piyasaya sürülmüştür, ancak sektörde benimsenmesi yıllar almıştır. Bu noktada, iki protokol esasen aynıdır ve NetFlow terimi hala daha yaygın olsa da çoğu uygulama (hepsi olmasa da) IPFIX standardıyla uyumludur.
NetFlow ile IPFIX arasındaki farkları özetleyen bir tablo:
| Bakış açısı | NetFlow | IPFIX |
|---|---|---|
| Kökeni | Cisco tarafından geliştirilen tescilli teknoloji | NetFlow Sürüm 9'a dayalı endüstri standardı protokolü |
| Standardizasyon | Cisco'ya özgü teknoloji | IETF tarafından RFC 7011'de tanımlanan açık standart |
| Esneklik | Belirli özelliklere sahip gelişmiş versiyonlar | Tedarikçiler arasında daha fazla esneklik ve birlikte çalışabilirlik |
| Veri Formatı | Sabit boyutlu paketler | Özelleştirilebilir akış kayıt biçimleri için şablon tabanlı yaklaşım |
| Şablon Desteği | Desteklenmiyor | Esnek alan dahil etme için dinamik şablonlar |
| Satıcı Desteği | Öncelikle Cisco cihazları | Ağ satıcıları arasında geniş destek |
| Genişletilebilirlik | Sınırlı özelleştirme | Özel alanların ve uygulamaya özgü verilerin dahil edilmesi |
| Protokol Farklılıkları | Cisco'ya özgü varyasyonlar | Yerel IPv6 desteği, gelişmiş akış kaydı seçenekleri |
| Güvenlik Özellikleri | Sınırlı güvenlik özellikleri | Taşıma Katmanı Güvenliği (TLS) şifrelemesi, mesaj bütünlüğü |
Ağ Akış İzlemeBelirli bir ağ veya ağ segmentinden geçen trafiğin toplanması, analizi ve izlenmesidir. Amaçları, bağlantı sorunlarının giderilmesinden gelecekteki bant genişliği tahsisinin planlanmasına kadar değişebilir. Akış izleme ve paket örnekleme, güvenlik sorunlarının belirlenmesi ve giderilmesinde bile faydalı olabilir.
Akış izleme, ağ ekiplerine bir ağın nasıl çalıştığına dair iyi bir fikir vererek genel kullanım, uygulama kullanımı, olası darboğazlar, güvenlik tehditlerine işaret edebilecek anormallikler ve daha fazlası hakkında bilgi sağlar. Ağ akış izlemede NetFlow, sFlow ve İnternet Protokolü Akış Bilgisi Dışa Aktarımı (IPFIX) dahil olmak üzere birçok farklı standart ve format kullanılır. Her biri biraz farklı şekilde çalışır, ancak hepsi bir port üzerinden veya bir anahtardan geçen her paketin içeriğini yakalamamaları bakımından port yansıtma ve derin paket incelemesinden farklıdır. Ancak akış izleme, genellikle genel paket ve bant genişliği kullanımı gibi geniş istatistiklerle sınırlı olan SNMP'den daha fazla bilgi sağlar.
Ağ Akışı Araçları Karşılaştırıldı
| Özellik | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Açık veya Tescilli | Tescilli | Tescilli | Açık | Açık |
| Örnekleme veya Akış Tabanlı | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur | Örneklendi | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur |
| Yakalanan Bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Tam Paket Başlıkları, Kısmi Paket Yükleri | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler |
| Giriş/Çıkış İzleme | Sadece Giriş | Giriş ve Çıkış | Giriş ve Çıkış | Giriş ve Çıkış |
| IPv6/VLAN/MPLS Desteği | No | Evet | Evet | Evet |
Gönderi zamanı: 18 Mart 2024
