NetFlow ve IPFIX, ağ akışı izleme ve analizinde kullanılan teknolojilerdir. Ağ trafiği modellerine ilişkin bilgiler sağlayarak performans optimizasyonuna, sorun gidermeye ve güvenlik analizine yardımcı olurlar.
NetFlow:
NetFlow nedir?
NetFlowNetFlow, 1990'ların sonlarında Cisco tarafından geliştirilen orijinal akış izleme çözümüdür. Birkaç farklı sürümü mevcuttur, ancak çoğu kurulum NetFlow v5 veya NetFlow v9'a dayanmaktadır. Her sürümün farklı yetenekleri olsa da, temel çalışma prensibi aynı kalır:
Öncelikle, bir yönlendirici, anahtar, güvenlik duvarı veya başka bir cihaz türü, ağdaki "akışlar" hakkında bilgi toplar; bunlar temelde kaynak ve hedef adres, kaynak ve hedef port ve protokol türü gibi ortak özelliklere sahip bir dizi pakettir. Bir akış pasif hale geldiğinde veya önceden tanımlanmış bir süre geçtikten sonra, cihaz akış kayıtlarını "akış toplayıcı" olarak bilinen bir varlığa aktarır.
Son olarak, bir "akış analizcisi" bu kayıtları anlamlandırarak görselleştirmeler, istatistikler ve ayrıntılı geçmişe dönük ve gerçek zamanlı raporlama şeklinde bilgiler sunar. Uygulamada, veri toplayıcılar ve analizciler genellikle tek bir varlık olup, çoğu zaman daha büyük bir ağ performansı izleme çözümüne entegre edilirler.
NetFlow, durum bilgisi içeren bir temelde çalışır. Bir istemci makinesi bir sunucuya bağlandığında, NetFlow akıştan meta verileri yakalamaya ve toplamaya başlar. Oturum sonlandırıldıktan sonra, NetFlow tek bir eksiksiz kaydı toplayıcıya aktarır.
Hâlâ yaygın olarak kullanılsa da, NetFlow v5'in bazı sınırlamaları vardır. Dışa aktarılan alanlar sabittir, izleme yalnızca giriş yönünde desteklenir ve IPv6, MPLS ve VXLAN gibi modern teknolojiler desteklenmez. Esnek NetFlow (FNF) olarak da bilinen NetFlow v9, bu sınırlamaların bazılarını gidererek kullanıcıların özel şablonlar oluşturmasına olanak tanır ve daha yeni teknolojiler için destek ekler.
Birçok tedarikçinin de NetFlow'un kendi özel uygulamaları bulunmaktadır; örneğin Juniper'in jFlow'u ve Huawei'nin NetStream'i. Yapılandırma biraz farklılık gösterebilse de, bu uygulamalar genellikle NetFlow toplayıcıları ve analizcileriyle uyumlu akış kayıtları üretir.
NetFlow'un Başlıca Özellikleri:
~ Akış VerileriNetFlow, kaynak ve hedef IP adresleri, portlar, zaman damgaları, paket ve bayt sayıları ve protokol türleri gibi ayrıntıları içeren akış kayıtları oluşturur.
~ Trafik İzlemeNetFlow, ağ trafiği modellerine ilişkin görünürlük sağlayarak yöneticilerin en çok kullanılan uygulamaları, uç noktaları ve trafik kaynaklarını belirlemesine olanak tanır.
~Anormallik TespitiNetFlow, akış verilerini analiz ederek aşırı bant genişliği kullanımı, ağ tıkanıklığı veya olağandışı trafik modelleri gibi anormallikleri tespit edebilir.
~ Güvenlik AnaliziNetFlow, dağıtılmış hizmet reddi (DDoS) saldırıları veya yetkisiz erişim girişimleri gibi güvenlik olaylarını tespit etmek ve araştırmak için kullanılabilir.
NetFlow SürümleriNetFlow zaman içinde gelişti ve farklı sürümleri yayınlandı. Öne çıkan sürümler arasında NetFlow v5, NetFlow v9 ve Esnek NetFlow yer alıyor. Her sürüm, geliştirmeler ve ek özellikler sunuyor.
IPFIX:
IPFIX nedir?
2000'li yılların başlarında ortaya çıkan bir IETF standardı olan İnternet Protokolü Akış Bilgisi Dışa Aktarımı (IPFIX), NetFlow'a son derece benzerdir. Aslında, NetFlow v9, IPFIX'in temelini oluşturmuştur. İkisi arasındaki temel fark, IPFIX'in açık bir standart olması ve Cisco'nun yanı sıra birçok ağ üreticisi tarafından da desteklenmesidir. IPFIX'e eklenen birkaç ek alan dışında, formatlar neredeyse aynıdır. Hatta IPFIX bazen "NetFlow v10" olarak da adlandırılır.
Kısmen NetFlow'a olan benzerlikleri nedeniyle IPFIX, ağ izleme çözümleri ve ağ ekipmanları arasında geniş bir destek görmektedir.
IPFIX (Internet Protocol Flow Information Export), İnternet Mühendisliği Görev Gücü (IETF) tarafından geliştirilen açık bir standart protokoldür. NetFlow Sürüm 9 spesifikasyonuna dayanır ve ağ cihazlarından akış kayıtlarını dışa aktarmak için standartlaştırılmış bir format sağlar.
IPFIX, NetFlow'un temel kavramlarını geliştirerek farklı üreticiler ve cihazlar arasında daha fazla esneklik ve birlikte çalışabilirlik sunar. Akış kaydı yapısının ve içeriğinin dinamik olarak tanımlanmasına olanak tanıyan şablon kavramını tanıtır. Bu, özel alanların eklenmesini, yeni protokollerin desteklenmesini ve genişletilebilirliği mümkün kılar.
IPFIX'in Başlıca Özellikleri:
~ Şablon Tabanlı YaklaşımIPFIX, akış kayıtlarının yapısını ve içeriğini tanımlamak için şablonlar kullanır ve farklı veri alanlarını ve protokole özgü bilgileri barındırmada esneklik sunar.
~ Birlikte ÇalışabilirlikIPFIX, farklı ağ üreticileri ve cihazları arasında tutarlı akış izleme yetenekleri sağlayan açık bir standarttır.
~ IPv6 DesteğiIPFIX, IPv6'yı doğal olarak desteklediği için IPv6 ağlarındaki trafiği izlemek ve analiz etmek için uygundur.
~Gelişmiş GüvenlikIPFIX, iletim sırasında akış verilerinin gizliliğini ve bütünlüğünü korumak için Taşıma Katmanı Güvenliği (TLS) şifrelemesi ve mesaj bütünlüğü kontrolleri gibi güvenlik özelliklerini içerir.
IPFIX, çeşitli ağ ekipmanı üreticileri tarafından geniş çapta desteklenmekte olup, bu da onu ağ akışı izleme için üretici bağımsız ve yaygın olarak benimsenen bir seçenek haline getirmektedir.
Peki, NetFlow ve IPFIX arasındaki fark nedir?
Basitçe söylemek gerekirse, NetFlow, 1996 civarında tanıtılan Cisco'ya ait özel bir protokoldür ve IPFIX ise standartlar kuruluşu tarafından onaylanmış kardeşidir.
Her iki protokol de aynı amaca hizmet eder: ağ mühendislerinin ve yöneticilerinin ağ düzeyindeki IP trafik akışlarını toplamasına ve analiz etmesine olanak sağlamak. Cisco, anahtarlarının ve yönlendiricilerinin bu değerli bilgiyi üretebilmesi için NetFlow'u geliştirdi. Cisco ekipmanlarının hakimiyeti göz önüne alındığında, NetFlow hızla ağ trafiği analizi için fiili standart haline geldi. Bununla birlikte, sektördeki rakipler, ana rakipleri tarafından kontrol edilen tescilli bir protokol kullanmanın iyi bir fikir olmadığını fark ettiler ve bu nedenle IETF, trafik analizi için açık bir protokolü standartlaştırma çabasına öncülük etti; bu protokol IPFIX'tir.
IPFIX, NetFlow sürüm 9'a dayanmaktadır ve ilk olarak 2005 civarında tanıtılmış olmasına rağmen, sektörde benimsenmesi birkaç yıl sürmüştür. Şu anda, iki protokol esasen aynıdır ve NetFlow terimi hala daha yaygın olsa da, çoğu uygulama (hepsi olmasa da) IPFIX standardıyla uyumludur.
İşte NetFlow ve IPFIX arasındaki farkları özetleyen bir tablo:
| Bakış açısı | NetFlow | IPFIX |
|---|---|---|
| Köken | Cisco tarafından geliştirilen tescilli teknoloji | NetFlow Sürüm 9 tabanlı endüstri standardı protokol |
| Standardizasyon | Cisco'ya özgü teknoloji | IETF tarafından RFC 7011'de tanımlanan açık standart |
| Esneklik | Belirli özelliklere sahip gelişmiş sürümler | Tedarikçiler arasında daha fazla esneklik ve birlikte çalışabilirlik |
| Veri Formatı | Sabit boyutlu paketler | Özelleştirilebilir akış kaydı biçimleri için şablon tabanlı yaklaşım |
| Şablon Desteği | Desteklenmiyor | Esnek alan dahil etme için dinamik şablonlar |
| Tedarikçi Desteği | Öncelikle Cisco cihazları | Ağ ekipmanı tedarikçileri genelinde geniş destek |
| Genişletilebilirlik | Sınırlı özelleştirme | Özel alanların ve uygulamaya özgü verilerin dahil edilmesi |
| Protokol Farklılıkları | Cisco'ya özgü varyasyonlar | Yerel IPv6 desteği, gelişmiş akış kaydı seçenekleri |
| Güvenlik Özellikleri | Sınırlı güvenlik özellikleri | Taşıma Katmanı Güvenliği (TLS) şifrelemesi, mesaj bütünlüğü |
Ağ Akışı İzlemeBelirli bir ağ veya ağ segmenti üzerinden geçen trafiğin toplanması, analiz edilmesi ve izlenmesidir. Amaçlar, bağlantı sorunlarını gidermekten gelecekteki bant genişliği tahsisini planlamaya kadar değişebilir. Akış izleme ve paket örnekleme, güvenlik sorunlarını belirlemede ve gidermede bile yararlı olabilir.
Ağ akışı izleme, ağ ekiplerine bir ağın nasıl çalıştığı hakkında iyi bir fikir verir ve genel kullanım, uygulama kullanımı, potansiyel darboğazlar, güvenlik tehditlerine işaret edebilecek anormallikler ve daha fazlası hakkında bilgi sağlar. Ağ akışı izlemede kullanılan NetFlow, sFlow ve İnternet Protokolü Akış Bilgisi Dışa Aktarımı (IPFIX) dahil olmak üzere çeşitli farklı standartlar ve formatlar vardır. Her biri biraz farklı şekilde çalışır, ancak hepsi port yansıtma ve derin paket incelemesinden farklıdır çünkü bir porttan veya anahtardan geçen her paketin içeriğini yakalamazlar. Bununla birlikte, akış izleme, genellikle genel paket ve bant genişliği kullanımı gibi geniş istatistiklerle sınırlı olan SNMP'den daha fazla bilgi sağlar.
Ağ Akışı Araçlarının Karşılaştırılması
| Özellik | NetFlow v5 | NetFlow v9 | sFlow | IPFIX |
| Açık veya Tescilli | Tescilli | Tescilli | Açık | Açık |
| Örneklemeli veya Akış Tabanlı | Esas olarak akış tabanlıdır; örneklemeli mod mevcuttur. | Esas olarak akış tabanlıdır; örneklemeli mod mevcuttur. | Örneklenmiştir | Esas olarak akış tabanlıdır; örneklemeli mod mevcuttur. |
| Yakalanan Bilgiler | Aktarılan baytlar, arayüz sayaçları ve benzerlerini içeren meta veriler ve istatistiksel bilgiler. | Aktarılan baytlar, arayüz sayaçları ve benzerlerini içeren meta veriler ve istatistiksel bilgiler. | Tam Paket Başlıkları, Kısmi Paket Yükleri | Aktarılan baytlar, arayüz sayaçları ve benzerlerini içeren meta veriler ve istatistiksel bilgiler. |
| Giriş/Çıkış İzleme | Sadece Giriş | Giriş ve Çıkış | Giriş ve Çıkış | Giriş ve Çıkış |
| IPv6/VLAN/MPLS Desteği | No | Evet | Evet | Evet |
Yayın tarihi: 18 Mart 2024
