NetFlow ve IPFIX, ağ akışı izleme ve analizi için kullanılan teknolojilerdir. Ağ trafiği kalıplarına ilişkin içgörüler sağlar, performans optimizasyonuna, sorun gidermeye ve güvenlik analizine yardımcı olur.
Net Akış:
NetFlow Nedir?
Net Akışorijinal akış izleme çözümüdür, ilk olarak Cisco tarafından 1990'ların sonlarında geliştirilmiştir. Birkaç farklı sürüm mevcuttur, ancak çoğu dağıtım NetFlow v5 veya NetFlow v9'a dayanmaktadır. Her sürümün farklı yetenekleri olsa da temel işlem aynı kalır:
İlk olarak, bir yönlendirici, anahtar, güvenlik duvarı veya başka bir cihaz türü, ağ "akışları" hakkında bilgi yakalayacaktır - temelde kaynak ve hedef adresi, kaynak ve hedef bağlantı noktası ve protokol türü gibi ortak bir özellik kümesini paylaşan bir paket kümesi. Bir akış uykuda kaldıktan veya önceden tanımlanmış bir süre geçtikten sonra, cihaz akış kayıtlarını "akış toplayıcısı" olarak bilinen bir varlığa aktaracaktır.
Son olarak, bir "akış analizcisi" bu kayıtları anlamlandırır ve görselleştirmeler, istatistikler ve ayrıntılı tarihsel ve gerçek zamanlı raporlama biçiminde içgörüler sağlar. Uygulamada, toplayıcılar ve analizciler genellikle tek bir varlıktır ve genellikle daha büyük bir ağ performansı izleme çözümünde birleştirilir.
NetFlow durumsal bir temelde çalışır. Bir istemci makinesi bir sunucuya ulaştığında, NetFlow akıştan meta verileri yakalamaya ve toplamaya başlar. Oturum sonlandırıldıktan sonra, NetFlow toplayıcıya tek bir tamamlanmış kayıt aktarır.
Hala yaygın olarak kullanılsa da, NetFlow v5'in bir dizi sınırlaması vardır. Dışa aktarılan alanlar sabittir, izleme yalnızca giriş yönünde desteklenir ve IPv6, MPLS ve VXLAN gibi modern teknolojiler desteklenmez. Esnek NetFlow (FNF) olarak da markalanan NetFlow v9, bu sınırlamaların bazılarını ele alarak kullanıcıların özel şablonlar oluşturmasına ve daha yeni teknolojiler için destek eklemesine olanak tanır.
Birçok satıcının ayrıca Juniper'dan jFlow ve Huawei'den NetStream gibi kendi tescilli NetFlow uygulamaları vardır. Yapılandırma biraz farklı olsa da, bu uygulamalar genellikle NetFlow toplayıcıları ve analizörleriyle uyumlu akış kayıtları üretir.
NetFlow'un Temel Özellikleri:
~ Akış Verileri: NetFlow, kaynak ve hedef IP adresleri, portlar, zaman damgaları, paket ve bayt sayıları ve protokol türleri gibi ayrıntıları içeren akış kayıtları oluşturur.
~ Trafik İzleme: NetFlow, ağ trafiği modellerine ilişkin görünürlük sağlayarak yöneticilerin en önemli uygulamaları, uç noktaları ve trafik kaynaklarını belirlemesine olanak tanır.
~Anomali AlgılamaNetFlow, akış verilerini analiz ederek aşırı bant genişliği kullanımı, ağ tıkanıklığı veya alışılmadık trafik kalıpları gibi anormallikleri tespit edebilir.
~ Güvenlik Analizi: NetFlow, dağıtılmış hizmet engelleme (DDoS) saldırıları veya yetkisiz erişim girişimleri gibi güvenlik olaylarını tespit etmek ve araştırmak için kullanılabilir.
NetFlow Sürümleri: NetFlow zamanla gelişti ve farklı sürümler yayınlandı. Bazı önemli sürümler arasında NetFlow v5, NetFlow v9 ve Flexible NetFlow bulunur. Her sürüm geliştirmeler ve ek özellikler sunar.
IPFIX:
IPFIX nedir?
2000'lerin başında ortaya çıkan bir IETF standardı olan Internet Protocol Flow Information Export (IPFIX), NetFlow'a oldukça benzerdir. Aslında, NetFlow v9, IPFIX'in temelini oluşturmuştur. İkisi arasındaki temel fark, IPFIX'in açık bir standart olması ve Cisco dışında birçok ağ satıcısı tarafından desteklenmesidir. IPFIX'e eklenen birkaç ek alan dışında, formatlar neredeyse aynıdır. Aslında, IPFIX bazen "NetFlow v10" olarak bile anılır.
NetFlow ile benzerliklerinden dolayı IPFIX, ağ izleme çözümlerinin yanı sıra ağ ekipmanları arasında da geniş bir desteğe sahiptir.
IPFIX (İnternet Protokolü Akış Bilgisi İhracatı), İnternet Mühendislik Görev Gücü (IETF) tarafından geliştirilen açık standart bir protokoldür. NetFlow Sürüm 9 spesifikasyonuna dayanır ve ağ aygıtlarından akış kayıtlarını dışa aktarmak için standartlaştırılmış bir biçim sağlar.
IPFIX, NetFlow kavramlarını temel alır ve bunları farklı satıcılar ve cihazlar arasında daha fazla esneklik ve birlikte çalışabilirlik sunmak için genişletir. Şablonlar kavramını tanıtır ve akış kayıt yapısının ve içeriğinin dinamik olarak tanımlanmasına olanak tanır. Bu, özel alanların dahil edilmesini, yeni protokoller için desteği ve genişletilebilirliği mümkün kılar.
IPFIX'in Temel Özellikleri:
~ Şablon Tabanlı Yaklaşım: IPFIX, akış kayıtlarının yapısını ve içeriğini tanımlamak için şablonlar kullanır ve farklı veri alanlarını ve protokol özelindeki bilgileri barındırmada esneklik sunar.
~ Birlikte Çalışabilirlik: IPFIX, farklı ağ satıcıları ve aygıtları arasında tutarlı akış izleme yeteneklerini garanti eden açık bir standarttır.
~ IPv6 Desteği:IPFIX doğal olarak IPv6'yı destekler ve bu da onu IPv6 ağlarındaki trafiğin izlenmesi ve analiz edilmesi için uygun hale getirir.
~Gelişmiş Güvenlik:IPFIX, iletim sırasında akış verilerinin gizliliğini ve bütünlüğünü korumak için Taşıma Katmanı Güvenliği (TLS) şifrelemesi ve mesaj bütünlüğü kontrolleri gibi güvenlik özellikleri içerir.
IPFIX, çeşitli ağ ekipmanı satıcıları tarafından yaygın olarak desteklenmektedir ve bu da onu ağ akışı izleme için satıcıdan bağımsız ve yaygın olarak benimsenen bir seçenek haline getirmektedir.
Peki NetFlow ile IPFIX arasındaki fark nedir?
Basit cevap, NetFlow'un 1996 civarında tanıtılan Cisco'ya ait bir protokol olması ve IPFIX'in de standart kuruluşları tarafından onaylanmış kardeşi olmasıdır.
Her iki protokol de aynı amaca hizmet eder: ağ mühendislerinin ve yöneticilerinin ağ düzeyindeki IP trafik akışlarını toplayıp analiz etmelerini sağlar. Cisco, anahtarlarının ve yönlendiricilerinin bu değerli bilgileri çıktı olarak alabilmesi için NetFlow'u geliştirdi. Cisco donanımının hakimiyeti göz önüne alındığında, NetFlow hızla ağ trafiği analizi için fiili standart haline geldi. Ancak, endüstri rakipleri, baş rakibi tarafından kontrol edilen tescilli bir protokol kullanmanın iyi bir fikir olmadığını fark ettiler ve bu nedenle IETF, trafik analizi için açık bir protokol olan IPFIX'i standartlaştırma çabasına öncülük etti.
IPFIX, NetFlow sürüm 9'a dayanır ve başlangıçta 2005 civarında tanıtıldı ancak endüstri tarafından benimsenmesi birkaç yıl sürdü. Bu noktada, iki protokol esasen aynıdır ve NetFlow terimi hala daha yaygın olsa da çoğu uygulama (hepsi olmasa da) IPFIX standardıyla uyumludur.
NetFlow ile IPFIX arasındaki farkları özetleyen bir tablo:
| Bakış açısı | Net Akış | IPFIX |
|---|---|---|
| Kökeni | Cisco tarafından geliştirilen tescilli teknoloji | NetFlow Sürüm 9'a dayalı endüstri standardı protokolü |
| Standardizasyon | Cisco'ya özgü teknoloji | IETF tarafından RFC 7011'de tanımlanan açık standart |
| Esneklik | Belirli özelliklere sahip gelişmiş versiyonlar | Tedarikçiler arasında daha fazla esneklik ve birlikte çalışabilirlik |
| Veri Formatı | Sabit boyutlu paketler | Özelleştirilebilir akış kayıt biçimleri için şablon tabanlı yaklaşım |
| Şablon Desteği | Desteklenmiyor | Esnek alan dahil etme için dinamik şablonlar |
| Satıcı Desteği | Öncelikle Cisco cihazları | Ağ satıcıları arasında geniş destek |
| Genişletilebilirlik | Sınırlı özelleştirme | Özel alanların ve uygulamaya özgü verilerin dahil edilmesi |
| Protokol Farklılıkları | Cisco'ya özgü varyasyonlar | Yerel IPv6 desteği, gelişmiş akış kaydı seçenekleri |
| Güvenlik Özellikleri | Sınırlı güvenlik özellikleri | Taşıma Katmanı Güvenliği (TLS) şifrelemesi, mesaj bütünlüğü |
Ağ Akış İzlemebelirli bir ağ veya ağ segmentini geçen trafiğin toplanması, analizi ve izlenmesidir. Amaçlar, bağlantı sorunlarını gidermekten gelecekteki bant genişliği tahsisini planlamaya kadar değişebilir. Akış izleme ve paket örnekleme, güvenlik sorunlarını belirlemede ve gidermede bile yararlı olabilir.
Akış izleme, ağ ekiplerine bir ağın nasıl çalıştığına dair iyi bir fikir verir ve genel kullanım, uygulama kullanımı, olası darboğazlar, güvenlik tehditlerini işaret edebilecek anormallikler ve daha fazlası hakkında içgörüler sağlar. NetFlow, sFlow ve İnternet Protokolü Akış Bilgisi İhracatı (IPFIX) dahil olmak üzere ağ akış izlemede kullanılan birkaç farklı standart ve format vardır. Her biri biraz farklı şekilde çalışır, ancak hepsi bir port üzerinden veya bir anahtardan geçen her paketin içeriğini yakalamamaları açısından port yansıtma ve derin paket incelemesinden farklıdır. Ancak akış izleme, genellikle genel paket ve bant genişliği kullanımı gibi geniş istatistiklerle sınırlı olan SNMP'den daha fazla bilgi sağlar.
Ağ Akış Araçları Karşılaştırıldı
| Özellik | NetFlow v5 | NetFlow v9 | sAkış | IPFIX |
| Açık veya Özel | Tescilli | Tescilli | Açık | Açık |
| Örnekleme veya Akış Tabanlı | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur | Örneklenmiş | Öncelikle Akış Tabanlı; Örnekleme Modu mevcuttur |
| Yakalanan Bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler | Tam Paket Başlıkları, Kısmi Paket Yükleri | Aktarılan baytlar, arayüz sayaçları vb. dahil olmak üzere meta veriler ve istatistiksel bilgiler |
| Giriş/Çıkış İzleme | Sadece Giriş | Giriş ve Çıkış | Giriş ve Çıkış | Giriş ve Çıkış |
| IPv6/VLAN/MPLS Desteği | No | Evet | Evet | Evet |
Gönderi zamanı: Mar-18-2024
