NetFlow และ IPFIX เป็นเทคโนโลยีที่ใช้สำหรับการตรวจสอบและวิเคราะห์การไหลของข้อมูลเครือข่าย เทคโนโลยีเหล่านี้ให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูลเครือข่าย ช่วยในการเพิ่มประสิทธิภาพ แก้ไขปัญหา และวิเคราะห์ความปลอดภัย
เน็ตโฟลว์:
NetFlow คืออะไร?
เน็ตโฟลว์คือโซลูชันการตรวจสอบโฟลว์ดั้งเดิมที่พัฒนาโดย Cisco ในช่วงปลายทศวรรษ 1990 มีหลายเวอร์ชัน แต่การใช้งานส่วนใหญ่ใช้ NetFlow v5 หรือ NetFlow v9 แม้ว่าแต่ละเวอร์ชันจะมีความสามารถที่แตกต่างกัน แต่การทำงานพื้นฐานยังคงเหมือนเดิม:
ขั้นแรก เราเตอร์ สวิตช์ ไฟร์วอลล์ หรืออุปกรณ์ประเภทอื่นๆ จะบันทึกข้อมูลบน “โฟลว์” ของเครือข่าย ซึ่งโดยพื้นฐานแล้วคือชุดของแพ็กเก็ตที่มีลักษณะร่วมกัน เช่น ที่อยู่ต้นทางและปลายทาง พอร์ตต้นทางและปลายทาง และประเภทของโปรโตคอล หลังจากที่โฟลว์หยุดทำงานหรือผ่านไปตามระยะเวลาที่กำหนดไว้ อุปกรณ์จะส่งออกบันทึกโฟลว์ไปยังเอนทิตีที่เรียกว่า “ตัวรวบรวมโฟลว์”
สุดท้ายนี้ “ตัววิเคราะห์โฟลว์” จะช่วยวิเคราะห์ข้อมูลเหล่านั้น โดยให้ข้อมูลเชิงลึกในรูปแบบของภาพ สถิติ และรายงานย้อนหลังและแบบเรียลไทม์โดยละเอียด ในทางปฏิบัติ ตัวรวบรวมข้อมูลและตัววิเคราะห์มักจะเป็นหน่วยเดียว และมักรวมเข้าด้วยกันเป็นโซลูชันการตรวจสอบประสิทธิภาพเครือข่ายที่ใหญ่กว่า
NetFlow ทำงานบนพื้นฐานแบบมีสถานะ เมื่อเครื่องไคลเอนต์ติดต่อไปยังเซิร์ฟเวอร์ NetFlow จะเริ่มบันทึกและรวบรวมข้อมูลเมตาจากโฟลว์ หลังจากเซสชันสิ้นสุดลง NetFlow จะส่งออกเรกคอร์ดที่สมบูรณ์หนึ่งรายการไปยังตัวรวบรวม
แม้ว่า NetFlow v5 จะยังคงได้รับความนิยมใช้งานอยู่ แต่ NetFlow v5 ก็มีข้อจำกัดหลายประการ เช่น ฟิลด์ที่ส่งออกเป็นแบบคงที่ รองรับการตรวจสอบเฉพาะในทิศทางขาเข้าเท่านั้น และไม่รองรับเทคโนโลยีสมัยใหม่ เช่น IPv6, MPLS และ VXLAN NetFlow v9 หรือที่รู้จักกันในชื่อ Flexible NetFlow (FNF) ได้แก้ไขข้อจำกัดเหล่านี้บางส่วน โดยอนุญาตให้ผู้ใช้สร้างเทมเพลตแบบกำหนดเองและเพิ่มการรองรับเทคโนโลยีใหม่ๆ
ผู้จำหน่ายหลายรายก็มี NetFlow ที่เป็นกรรมสิทธิ์ของตนเอง เช่น jFlow จาก Juniper และ NetStream จาก Huawei แม้ว่าการกำหนดค่าอาจแตกต่างกันบ้าง แต่การใช้งานเหล่านี้มักจะสร้างเรกคอร์ดโฟลว์ที่เข้ากันได้กับตัวรวบรวมและตัววิเคราะห์ NetFlow
คุณสมบัติหลักของ NetFlow:
~ ข้อมูลการไหล:NetFlow สร้างบันทึกการไหลที่รวมถึงรายละเอียด เช่น ที่อยู่ IP ต้นทางและปลายทาง พอร์ต ไทม์สแตมป์ จำนวนแพ็กเก็ตและไบต์ และประเภทโปรโตคอล
~ การตรวจสอบการจราจร:NetFlow ช่วยให้มองเห็นรูปแบบการรับส่งข้อมูลบนเครือข่ายได้ ช่วยให้ผู้ดูแลระบบสามารถระบุแอปพลิเคชันหลัก จุดสิ้นสุด และแหล่งที่มาของการรับส่งข้อมูลได้
~การตรวจจับความผิดปกติ:ด้วยการวิเคราะห์ข้อมูลการไหล NetFlow สามารถตรวจจับความผิดปกติ เช่น การใช้แบนด์วิดท์ที่มากเกินไป ความแออัดของเครือข่าย หรือรูปแบบการรับส่งข้อมูลที่ผิดปกติ
~ การวิเคราะห์ความปลอดภัยNetFlow สามารถใช้ในการตรวจจับและตรวจสอบเหตุการณ์ด้านความปลอดภัย เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) หรือความพยายามเข้าถึงโดยไม่ได้รับอนุญาต
เวอร์ชัน NetFlowNetFlow ได้รับการพัฒนาอย่างต่อเนื่อง และมีการเปิดตัวเวอร์ชันต่างๆ ออกมา เวอร์ชันที่โดดเด่น ได้แก่ NetFlow v5, NetFlow v9 และ Flexible NetFlow แต่ละเวอร์ชันจะมีการปรับปรุงและความสามารถเพิ่มเติม
IPFIX:
IPFIX คืออะไร?
IPFIX (Internet Protocol Flow Information Export) ซึ่งเป็นมาตรฐานของ IETF ที่เกิดขึ้นในช่วงต้นทศวรรษ 2000 มีความคล้ายคลึงกับ NetFlow อย่างมาก อันที่จริง NetFlow v9 ทำหน้าที่เป็นพื้นฐานของ IPFIX ความแตกต่างหลักระหว่างทั้งสองคือ IPFIX เป็นมาตรฐานเปิด และได้รับการสนับสนุนจากผู้จำหน่ายเครือข่ายหลายรายนอกเหนือจาก Cisco ยกเว้นฟิลด์เพิ่มเติมเล็กน้อยที่เพิ่มเข้ามาใน IPFIX แล้ว รูปแบบอื่นๆ แทบจะเหมือนกันทุกประการ อันที่จริง IPFIX บางครั้งถูกเรียกว่า "NetFlow v10"
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางในโซลูชันการตรวจสอบเครือข่ายและอุปกรณ์เครือข่าย เนื่องมาจากมีความคล้ายคลึงกับ NetFlow บางส่วน
IPFIX (Internet Protocol Flow Information Export) เป็นโปรโตคอลมาตรฐานเปิดที่พัฒนาโดย Internet Engineering Task Force (IETF) โปรโตคอลนี้ใช้มาตรฐาน NetFlow เวอร์ชัน 9 และมีรูปแบบมาตรฐานสำหรับการส่งออกข้อมูลโฟลว์จากอุปกรณ์เครือข่าย
IPFIX พัฒนาต่อยอดจากแนวคิดของ NetFlow และขยายขอบเขตเพื่อให้มีความยืดหยุ่นและการทำงานร่วมกันได้มากขึ้นระหว่างผู้จำหน่ายและอุปกรณ์ต่างๆ นำเสนอแนวคิดของเทมเพลตที่ช่วยให้สามารถกำหนดโครงสร้างและเนื้อหาของโฟลว์เรคคอร์ดแบบไดนามิกได้ ซึ่งช่วยให้สามารถรวมฟิลด์ที่กำหนดเอง รองรับโปรโตคอลใหม่ๆ และขยายการใช้งานได้
คุณสมบัติหลักของ IPFIX:
~ แนวทางตามเทมเพลต:IPFIX ใช้เทมเพลตเพื่อกำหนดโครงสร้างและเนื้อหาของบันทึกการไหล โดยเสนอความยืดหยุ่นในการรองรับฟิลด์ข้อมูลที่แตกต่างกันและข้อมูลเฉพาะโปรโตคอล
~ ความสามารถในการทำงานร่วมกัน:IPFIX เป็นมาตรฐานแบบเปิดที่รับประกันความสามารถในการตรวจสอบการไหลข้อมูลที่สอดคล้องกันระหว่างผู้จำหน่ายเครือข่ายและอุปกรณ์ที่แตกต่างกัน
~ รองรับ IPv6:IPFIX รองรับ IPv6 โดยตรง ทำให้เหมาะสำหรับการตรวจสอบและวิเคราะห์ปริมาณการรับส่งข้อมูลในเครือข่าย IPv6
~การรักษาความปลอดภัยขั้นสูง:IPFIX มีคุณลักษณะด้านความปลอดภัย เช่น การเข้ารหัสความปลอดภัยของเลเยอร์การขนส่ง (TLS) และการตรวจสอบความสมบูรณ์ของข้อความ เพื่อปกป้องความลับและความสมบูรณ์ของข้อมูลการไหลในระหว่างการส่ง
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายอุปกรณ์เครือข่ายต่างๆ ทำให้เป็นตัวเลือกที่เป็นกลางและได้รับการนำไปใช้กันอย่างแพร่หลายสำหรับการตรวจสอบการไหลของเครือข่าย
แล้วความแตกต่างระหว่าง NetFlow กับ IPFIX คืออะไร?
คำตอบง่ายๆ ก็คือ NetFlow เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Cisco ซึ่งเปิดตัวเมื่อประมาณปี 1996 และ IPFIX เป็นพี่น้องที่ได้รับการรับรองมาตรฐานจากหน่วยงานที่เกี่ยวข้อง
โปรโตคอลทั้งสองมีวัตถุประสงค์เดียวกัน นั่นคือ ช่วยให้วิศวกรเครือข่ายและผู้ดูแลระบบสามารถรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูล IP ระดับเครือข่ายได้ Cisco พัฒนา NetFlow เพื่อให้สวิตช์และเราเตอร์สามารถส่งข้อมูลอันมีค่านี้ออกมาได้ ด้วยความเป็นผู้นำของอุปกรณ์ Cisco NetFlow จึงกลายเป็นมาตรฐานโดยพฤตินัยสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายอย่างรวดเร็ว อย่างไรก็ตาม คู่แข่งในอุตสาหกรรมต่างตระหนักว่าการใช้โปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งควบคุมโดยคู่แข่งหลักนั้นไม่ใช่ความคิดที่ดี ดังนั้น IETF จึงได้ริเริ่มความพยายามในการสร้างมาตรฐานโปรโตคอลแบบเปิดสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูล ซึ่งก็คือ IPFIX
IPFIX มีพื้นฐานมาจาก NetFlow เวอร์ชัน 9 และเปิดตัวครั้งแรกประมาณปี พ.ศ. 2548 แต่ใช้เวลาหลายปีกว่าจะได้รับการยอมรับอย่างกว้างขวางในอุตสาหกรรม ณ จุดนี้ โปรโตคอลทั้งสองมีพื้นฐานเดียวกัน และแม้ว่าคำว่า NetFlow จะยังคงแพร่หลายมากกว่า แต่การใช้งานส่วนใหญ่ (แต่ไม่ใช่ทั้งหมด) ก็สามารถใช้งานร่วมกับมาตรฐาน IPFIX ได้
นี่คือตารางสรุปความแตกต่างระหว่าง NetFlow และ IPFIX:
| ด้าน | เน็ตโฟลว์ | ไอพีฟิกซ์ |
|---|---|---|
| ต้นทาง | เทคโนโลยีที่เป็นกรรมสิทธิ์ที่พัฒนาโดย Cisco | โปรโตคอลมาตรฐานอุตสาหกรรมที่ใช้ NetFlow เวอร์ชัน 9 |
| การสร้างมาตรฐาน | เทคโนโลยีเฉพาะของ Cisco | มาตรฐานเปิดที่กำหนดโดย IETF ใน RFC 7011 |
| ความยืดหยุ่น | เวอร์ชันพัฒนาพร้อมคุณสมบัติเฉพาะ | ความยืดหยุ่นและการทำงานร่วมกันที่มากขึ้นระหว่างผู้จำหน่าย |
| รูปแบบข้อมูล | แพ็กเก็ตขนาดคงที่ | แนวทางตามเทมเพลตสำหรับรูปแบบบันทึกการไหลที่ปรับแต่งได้ |
| การสนับสนุนเทมเพลต | ไม่รองรับ | เทมเพลตแบบไดนามิกสำหรับการรวมฟิลด์ที่ยืดหยุ่น |
| การสนับสนุนผู้ขาย | อุปกรณ์ Cisco เป็นหลัก | การสนับสนุนที่กว้างขวางครอบคลุมผู้จำหน่ายเครือข่าย |
| ความสามารถในการขยาย | การปรับแต่งที่จำกัด | การรวมฟิลด์ที่กำหนดเองและข้อมูลเฉพาะแอปพลิเคชัน |
| ความแตกต่างของโปรโตคอล | รูปแบบเฉพาะของ Cisco | รองรับ IPv6 ดั้งเดิม ตัวเลือกบันทึกโฟลว์ที่ได้รับการปรับปรุง |
| คุณสมบัติด้านความปลอดภัย | คุณสมบัติด้านความปลอดภัยที่จำกัด | การเข้ารหัสความปลอดภัยชั้นการขนส่ง (TLS) ความสมบูรณ์ของข้อความ |
การตรวจสอบการไหลของเครือข่ายคือการรวบรวม วิเคราะห์ และตรวจสอบปริมาณการรับส่งข้อมูลที่ผ่านเครือข่ายหรือเซกเมนต์เครือข่ายที่กำหนด วัตถุประสงค์อาจแตกต่างกันไป ตั้งแต่การแก้ไขปัญหาการเชื่อมต่อไปจนถึงการวางแผนการจัดสรรแบนด์วิดท์ในอนาคต การตรวจสอบโฟลว์และการสุ่มตัวอย่างแพ็กเก็ตยังมีประโยชน์ในการระบุและแก้ไขปัญหาด้านความปลอดภัยอีกด้วย
การตรวจสอบโฟลว์ช่วยให้ทีมเครือข่ายเข้าใจการทำงานของเครือข่ายได้ดียิ่งขึ้น โดยให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานโดยรวม การใช้งานแอปพลิเคชัน ปัญหาคอขวดที่อาจเกิดขึ้น ความผิดปกติที่อาจเป็นสัญญาณของภัยคุกคามด้านความปลอดภัย และอื่นๆ อีกมากมาย มีมาตรฐานและรูปแบบต่างๆ มากมายที่ใช้ในการตรวจสอบโฟลว์เครือข่าย ได้แก่ NetFlow, sFlow และ Internet Protocol Flow Information Export (IPFIX) แต่ละมาตรฐานทำงานแตกต่างกันเล็กน้อย แต่ทั้งหมดแตกต่างจากการทำมิเรอร์พอร์ตและการตรวจสอบแพ็กเก็ตเชิงลึก ตรงที่ไม่ได้บันทึกเนื้อหาของทุกแพ็กเก็ตที่ส่งผ่านพอร์ตหรือสวิตช์ อย่างไรก็ตาม การตรวจสอบโฟลว์ให้ข้อมูลมากกว่า SNMP ซึ่งโดยทั่วไปจะจำกัดอยู่เพียงสถิติทั่วไป เช่น การใช้แพ็กเก็ตและแบนด์วิดท์โดยรวม
เปรียบเทียบเครื่องมือการไหลของเครือข่าย
| คุณสมบัติ | เน็ตโฟลว์ เวอร์ชัน 5 | เน็ตโฟลว์ v9 | เอสโฟลว์ | ไอพีฟิกซ์ |
| เปิดหรือเป็นกรรมสิทธิ์ | กรรมสิทธิ์ | กรรมสิทธิ์ | เปิด | เปิด |
| การสุ่มตัวอย่างหรือการไหลตาม | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก | สุ่มตัวอย่าง | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก |
| ข้อมูลที่ถูกจับ | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ส่วนหัวแพ็กเก็ตที่สมบูรณ์ เพย์โหลดแพ็กเก็ตบางส่วน | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ |
| การตรวจสอบการเข้า/ออก | เฉพาะทางเข้าเท่านั้น | ทางเข้าและทางออก | ทางเข้าและทางออก | ทางเข้าและทางออก |
| รองรับ IPv6/VLAN/MPLS | No | ใช่ | ใช่ | ใช่ |
เวลาโพสต์: 18 มี.ค. 2567
