NetFlow และ IPFIX เป็นเทคโนโลยีที่ใช้สำหรับการตรวจสอบและวิเคราะห์การไหลของเครือข่าย เทคโนโลยีทั้งสองนี้ให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูลบนเครือข่าย ช่วยในการเพิ่มประสิทธิภาพการทำงาน การแก้ไขปัญหา และการวิเคราะห์ความปลอดภัย
เน็ตโฟลว์:
NetFlow คืออะไร?
เน็ตโฟลว์เป็นโซลูชันการตรวจสอบการไหลข้อมูลดั้งเดิมที่พัฒนาโดย Cisco ในช่วงปลายทศวรรษ 1990 มีหลายเวอร์ชัน แต่การใช้งานส่วนใหญ่นั้นใช้ NetFlow v5 หรือ NetFlow v9 แม้ว่าแต่ละเวอร์ชันจะมีขีดความสามารถที่แตกต่างกัน แต่การทำงานพื้นฐานยังคงเหมือนเดิม:
ขั้นแรก เราเตอร์ สวิตช์ ไฟร์วอลล์ หรืออุปกรณ์ประเภทอื่นจะจับข้อมูลเกี่ยวกับ "โฟลว์" ของเครือข่าย ซึ่งโดยทั่วไปแล้วจะเป็นชุดแพ็กเก็ตที่มีลักษณะร่วมกัน เช่น ที่อยู่ต้นทางและปลายทาง พอร์ตต้นทางและปลายทาง และประเภทโปรโตคอล หลังจากที่โฟลว์หยุดทำงานหรือผ่านไปตามระยะเวลาที่กำหนดไว้แล้ว อุปกรณ์จะส่งออกบันทึกโฟลว์ไปยังเอนทิตีที่เรียกว่า "ตัวรวบรวมโฟลว์"
ในที่สุด "ตัววิเคราะห์การไหล" จะทำให้ข้อมูลเหล่านั้นมีความหมายมากขึ้น โดยให้ข้อมูลเชิงลึกในรูปแบบของภาพ สถิติ และการรายงานโดยละเอียดในอดีตและแบบเรียลไทม์ ในทางปฏิบัติ ตัวรวบรวมและตัววิเคราะห์มักจะเป็นหน่วยเดียวกัน มักจะรวมกันเป็นโซลูชันการตรวจสอบประสิทธิภาพเครือข่ายที่ใหญ่กว่า
NetFlow ทำงานบนพื้นฐานของสถานะ เมื่อเครื่องไคลเอนต์เข้าถึงเซิร์ฟเวอร์ NetFlow จะเริ่มบันทึกและรวบรวมข้อมูลเมตาจากโฟลว์ หลังจากเซสชันสิ้นสุดลง NetFlow จะส่งออกระเบียนที่สมบูรณ์เพียงรายการเดียวไปยังตัวรวบรวม
แม้ว่า NetFlow v5 จะยังคงใช้กันอย่างแพร่หลาย แต่ก็มีข้อจำกัดหลายประการ ฟิลด์ที่ส่งออกเป็นแบบคงที่ การตรวจสอบได้รับการสนับสนุนเฉพาะในทิศทางขาเข้าเท่านั้น และไม่รองรับเทคโนโลยีสมัยใหม่ เช่น IPv6, MPLS และ VXLAN NetFlow v9 ซึ่งใช้ชื่อทางการค้าว่า Flexible NetFlow (FNF) ได้แก้ไขข้อจำกัดบางประการเหล่านี้ โดยอนุญาตให้ผู้ใช้สร้างเทมเพลตแบบกำหนดเองและเพิ่มการสนับสนุนสำหรับเทคโนโลยีใหม่ๆ
ผู้จำหน่ายหลายรายยังมีการใช้งาน NetFlow ของตนเอง เช่น jFlow จาก Juniper และ NetStream จาก Huawei แม้ว่าการกำหนดค่าอาจแตกต่างกันบ้าง แต่การใช้งานเหล่านี้มักจะสร้างบันทึกการไหลที่เข้ากันได้กับตัวรวบรวมและตัววิเคราะห์ NetFlow
คุณสมบัติหลักของ NetFlow:
~ ข้อมูลการไหล:NetFlow สร้างบันทึกการไหลที่มีรายละเอียดเช่น ที่อยู่ IP ต้นทางและปลายทาง พอร์ต ไทม์สแตมป์ จำนวนแพ็กเก็ตและไบต์ และประเภทโปรโตคอล
~ การติดตามการจราจร:NetFlow ช่วยให้สามารถมองเห็นรูปแบบการรับส่งข้อมูลบนเครือข่าย ช่วยให้ผู้ดูแลระบบสามารถระบุแอปพลิเคชันหลัก จุดสิ้นสุด และแหล่งที่มาของการรับส่งข้อมูลได้
~การตรวจจับความผิดปกติ:ด้วยการวิเคราะห์ข้อมูลการไหล NetFlow สามารถตรวจจับความผิดปกติ เช่น การใช้แบนด์วิดท์ที่มากเกินไป ความแออัดของเครือข่าย หรือรูปแบบการรับส่งข้อมูลที่ผิดปกติ
~ การวิเคราะห์ความปลอดภัย:NetFlow สามารถใช้ในการตรวจจับและสืบสวนเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) หรือความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต
เวอร์ชัน NetFlowNetFlow ได้รับการพัฒนาอย่างต่อเนื่องและมีการเปิดตัวเวอร์ชันต่างๆ ออกมา เวอร์ชันที่น่าสนใจ ได้แก่ NetFlow v5, NetFlow v9 และ Flexible NetFlow โดยแต่ละเวอร์ชันจะมีการปรับปรุงและความสามารถเพิ่มเติม
แก้ไข IP:
IPFIX คืออะไร?
IPFIX (Internet Protocol Flow Information Export) ซึ่งเป็นมาตรฐานของ IETF ที่เกิดขึ้นในช่วงต้นปี 2000 มีความคล้ายคลึงกับ NetFlow มาก โดย NetFlow v9 ทำหน้าที่เป็นพื้นฐานของ IPFIX ความแตกต่างหลักระหว่างทั้งสองคือ IPFIX เป็นมาตรฐานเปิด และได้รับการสนับสนุนจากผู้จำหน่ายเครือข่ายหลายรายนอกเหนือจาก Cisco ยกเว้นฟิลด์เพิ่มเติมสองสามฟิลด์ที่เพิ่มเข้ามาใน IPFIX ฟอร์แมตอื่นๆ แทบจะเหมือนกันทุกประการ ในความเป็นจริง IPFIX บางครั้งเรียกอีกอย่างว่า "NetFlow v10"
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางในโซลูชันการตรวจสอบเครือข่ายและอุปกรณ์เครือข่าย เนื่องมาจากมีความคล้ายคลึงกับ NetFlow
IPFIX (Internet Protocol Flow Information Export) เป็นโปรโตคอลมาตรฐานเปิดที่พัฒนาโดย Internet Engineering Task Force (IETF) โดยอิงตามข้อกำหนด NetFlow เวอร์ชัน 9 และมีรูปแบบมาตรฐานสำหรับการส่งออกบันทึกข้อมูลการไหลจากอุปกรณ์เครือข่าย
IPFIX สร้างขึ้นจากแนวคิดของ NetFlow และขยายแนวคิดดังกล่าวเพื่อให้มีความยืดหยุ่นและทำงานร่วมกันได้มากขึ้นระหว่างผู้จำหน่ายและอุปกรณ์ต่างๆ นอกจากนี้ยังแนะนำแนวคิดของเทมเพลต ซึ่งช่วยให้สามารถกำหนดโครงสร้างและเนื้อหาของบันทึกโฟลว์แบบไดนามิกได้ ทำให้สามารถรวมฟิลด์ที่กำหนดเอง รองรับโปรโตคอลใหม่ และขยายได้
คุณสมบัติหลักของ IPFIX:
~ แนวทางตามเทมเพลต:IPFIX ใช้เทมเพลตเพื่อกำหนดโครงสร้างและเนื้อหาของบันทึกการไหล โดยให้ความยืดหยุ่นในการรองรับฟิลด์ข้อมูลที่แตกต่างกันและข้อมูลเฉพาะโปรโตคอล
~ ความสามารถในการทำงานร่วมกัน:IPFIX เป็นมาตรฐานเปิดที่ช่วยให้มั่นใจถึงความสามารถในการตรวจสอบการไหลที่สม่ำเสมอระหว่างผู้จำหน่ายเครือข่ายและอุปกรณ์ที่แตกต่างกัน
~ รองรับ IPv6:IPFIX รองรับ IPv6 โดยตรง ทำให้เหมาะสำหรับการตรวจสอบและวิเคราะห์ปริมาณการรับส่งข้อมูลในเครือข่าย IPv6
~การรักษาความปลอดภัยที่เพิ่มขึ้น:IPFIX มีคุณลักษณะด้านความปลอดภัย เช่น การเข้ารหัสความปลอดภัยของชั้นการขนส่ง (TLS) และการตรวจสอบความสมบูรณ์ของข้อความ เพื่อปกป้องความลับและความสมบูรณ์ของข้อมูลการไหลในระหว่างการส่ง
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายอุปกรณ์เครือข่ายต่างๆ ทำให้เป็นผู้จำหน่ายที่เป็นกลางและเลือกใช้กันอย่างแพร่หลายสำหรับการตรวจสอบการไหลของเครือข่าย
แล้วความแตกต่างระหว่าง NetFlow กับ IPFIX คืออะไร?
คำตอบง่ายๆ ก็คือ NetFlow เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Cisco ซึ่งเปิดตัวเมื่อประมาณปี 1996 และ IPFIX เป็นโปรโตคอลพี่น้องที่ได้รับการอนุมัติจากหน่วยงานมาตรฐาน
โปรโตคอลทั้งสองมีวัตถุประสงค์เดียวกัน นั่นคือ ช่วยให้วิศวกรและผู้ดูแลระบบเครือข่ายสามารถรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูล IP ในระดับเครือข่ายได้ Cisco พัฒนา NetFlow เพื่อให้สวิตช์และเราเตอร์ของตนสามารถส่งข้อมูลอันมีค่าเหล่านี้ออกมาได้ เมื่อพิจารณาถึงความโดดเด่นของอุปกรณ์ Cisco NetFlow จึงกลายมาเป็นมาตรฐานโดยพฤตินัยสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่ายอย่างรวดเร็ว อย่างไรก็ตาม คู่แข่งในอุตสาหกรรมต่างตระหนักดีว่าการใช้โปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งควบคุมโดยคู่แข่งรายสำคัญนั้นไม่ใช่แนวคิดที่ดี ดังนั้น IETF จึงได้พยายามทำให้โปรโตคอลแบบเปิดสำหรับการวิเคราะห์ปริมาณการรับส่งข้อมูลเป็นมาตรฐาน ซึ่งก็คือ IPFIX
IPFIX มีพื้นฐานมาจาก NetFlow เวอร์ชัน 9 และเปิดตัวครั้งแรกเมื่อประมาณปี 2005 แต่ใช้เวลาหลายปีจึงจะได้รับการยอมรับจากอุตสาหกรรม ณ จุดนี้ โปรโตคอลทั้งสองนั้นโดยพื้นฐานแล้วเหมือนกัน และแม้ว่าคำว่า NetFlow จะยังคงแพร่หลายมากกว่า แต่การใช้งานส่วนใหญ่ (แม้ว่าจะไม่ใช่ทั้งหมด) ก็เข้ากันได้กับมาตรฐาน IPFIX
นี่คือตารางสรุปความแตกต่างระหว่าง NetFlow และ IPFIX:
| ด้าน | เน็ตโฟลว์ | IPFIX |
|---|---|---|
| ต้นทาง | เทคโนโลยีที่เป็นกรรมสิทธิ์ที่พัฒนาโดย Cisco | โปรโตคอลมาตรฐานอุตสาหกรรมที่ใช้ NetFlow เวอร์ชัน 9 |
| การสร้างมาตรฐาน | เทคโนโลยีเฉพาะของ Cisco | มาตรฐานเปิดที่กำหนดโดย IETF ใน RFC 7011 |
| ความยืดหยุ่น | เวอร์ชันพัฒนาที่มีคุณลักษณะเฉพาะ | ความยืดหยุ่นและการทำงานร่วมกันที่มากขึ้นระหว่างผู้จำหน่าย |
| รูปแบบข้อมูล | แพ็กเก็ตขนาดคงที่ | แนวทางตามเทมเพลตสำหรับรูปแบบบันทึกการไหลที่ปรับแต่งได้ |
| การสนับสนุนเทมเพลต | ไม่รองรับ | เทมเพลตแบบไดนามิกสำหรับการรวมฟิลด์แบบยืดหยุ่น |
| การสนับสนุนผู้ขาย | อุปกรณ์ Cisco เป็นหลัก | การสนับสนุนที่กว้างขวางครอบคลุมผู้จำหน่ายเครือข่าย |
| ความสามารถในการขยาย | การปรับแต่งที่จำกัด | การรวมฟิลด์ที่กำหนดเองและข้อมูลเฉพาะแอปพลิเคชัน |
| ความแตกต่างของโปรโตคอล | รูปแบบเฉพาะของ Cisco | รองรับ IPv6 ดั้งเดิม ตัวเลือกบันทึกการไหลที่ได้รับการปรับปรุง |
| คุณสมบัติด้านความปลอดภัย | คุณสมบัติความปลอดภัยที่จำกัด | การเข้ารหัสความปลอดภัยชั้นการขนส่ง (TLS) ความสมบูรณ์ของข้อความ |
การตรวจสอบการไหลของเครือข่ายคือการรวบรวม วิเคราะห์ และติดตามปริมาณการรับส่งข้อมูลที่ผ่านเครือข่ายหรือกลุ่มเครือข่ายที่กำหนด วัตถุประสงค์อาจแตกต่างกันไปตั้งแต่การแก้ไขปัญหาการเชื่อมต่อไปจนถึงการวางแผนจัดสรรแบนด์วิดท์ในอนาคต การตรวจสอบการไหลและการสุ่มตัวอย่างแพ็กเก็ตอาจมีประโยชน์ในการระบุและแก้ไขปัญหาความปลอดภัยด้วย
การตรวจสอบโฟลว์ช่วยให้ทีมงานด้านเครือข่ายทราบถึงการทำงานของเครือข่ายได้เป็นอย่างดี โดยให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานโดยรวม การใช้งานแอปพลิเคชัน คอขวดที่อาจเกิดขึ้น ความผิดปกติที่อาจเป็นสัญญาณของภัยคุกคามด้านความปลอดภัย และอื่นๆ อีกมากมาย มีมาตรฐานและรูปแบบต่างๆ มากมายที่ใช้ในการตรวจสอบโฟลว์ของเครือข่าย รวมถึง NetFlow, sFlow และ Internet Protocol Flow Information Export (IPFIX) แต่ละมาตรฐานทำงานในลักษณะที่แตกต่างกันเล็กน้อย แต่ทั้งหมดแตกต่างจากการมิเรอร์พอร์ตและการตรวจสอบแพ็กเก็ตเชิงลึกตรงที่มาตรฐานเหล่านี้จะไม่จับเนื้อหาของแพ็กเก็ตทุกแพ็กเก็ตที่ส่งผ่านพอร์ตหรือผ่านสวิตช์ อย่างไรก็ตาม การตรวจสอบโฟลว์ให้ข้อมูลมากกว่า SNMP ซึ่งโดยทั่วไปจะจำกัดอยู่เพียงสถิติกว้างๆ เช่น การใช้แพ็กเก็ตและแบนด์วิดท์โดยรวม
เปรียบเทียบเครื่องมือการไหลของเครือข่าย
| คุณสมบัติ | เน็ตโฟลว์ เวอร์ชั่น 5 | NetFlow เวอร์ชัน 9 | เอสโฟลว์ | IPFIX |
| เปิดหรือเป็นกรรมสิทธิ์ | กรรมสิทธิ์ | กรรมสิทธิ์ | เปิด | เปิด |
| การสุ่มตัวอย่างหรือตามการไหล | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก | สุ่มตัวอย่าง | เน้นการไหลเป็นหลัก มีโหมดสุ่มตัวอย่างให้เลือก |
| ข้อมูลที่ถูกจับ | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน เคาน์เตอร์อินเทอร์เฟซ และอื่นๆ | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน เคาน์เตอร์อินเทอร์เฟซ และอื่นๆ | ส่วนหัวแพ็คเก็ตที่สมบูรณ์ เพย์โหลดแพ็คเก็ตบางส่วน | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน เคาน์เตอร์อินเทอร์เฟซ และอื่นๆ |
| การตรวจสอบการเข้า/ออก | ทางเข้าเท่านั้น | ทางเข้าและทางออก | ทางเข้าและทางออก | ทางเข้าและทางออก |
| รองรับ IPv6/VLAN/MPLS | No | ใช่ | ใช่ | ใช่ |
เวลาโพสต์ : 18 มี.ค. 2567
