NetFlow และ IPFIX เป็นเทคโนโลยีที่ใช้สำหรับการตรวจสอบและวิเคราะห์การไหลของข้อมูลในเครือข่าย เทคโนโลยีเหล่านี้ให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูลในเครือข่าย ช่วยในการเพิ่มประสิทธิภาพ แก้ไขปัญหา และวิเคราะห์ความปลอดภัย
เน็ตโฟลว์:
NetFlow คืออะไร?
เน็ตโฟลว์NetFlow คือโซลูชันการตรวจสอบการไหลของข้อมูลแบบดั้งเดิม ซึ่งพัฒนาขึ้นโดย Cisco ในช่วงปลายทศวรรษ 1990 มีหลายเวอร์ชัน แต่ส่วนใหญ่ใช้ NetFlow v5 หรือ NetFlow v9 แม้ว่าแต่ละเวอร์ชันจะมีคุณสมบัติที่แตกต่างกัน แต่การทำงานพื้นฐานยังคงเหมือนเดิม:
ขั้นแรก เราเตอร์ สวิตช์ ไฟร์วอลล์ หรืออุปกรณ์ประเภทอื่น ๆ จะบันทึกข้อมูลเกี่ยวกับ "การไหลของข้อมูล" ในเครือข่าย ซึ่งโดยพื้นฐานแล้วคือชุดของแพ็กเก็ตที่ใช้คุณลักษณะร่วมกัน เช่น ที่อยู่ต้นทางและปลายทาง พอร์ตต้นทางและปลายทาง และประเภทโปรโตคอล หลังจากที่การไหลของข้อมูลหยุดทำงานหรือผ่านไปตามระยะเวลาที่กำหนดไว้ อุปกรณ์จะส่งออกบันทึกการไหลของข้อมูลไปยังหน่วยงานที่เรียกว่า "ตัวเก็บรวบรวมการไหลของข้อมูล"
สุดท้ายนี้ “ตัววิเคราะห์การไหลของข้อมูล” จะประมวลผลข้อมูลเหล่านั้น โดยให้ข้อมูลเชิงลึกในรูปแบบของการแสดงภาพ สถิติ และรายงานโดยละเอียดทั้งในอดีตและแบบเรียลไทม์ ในทางปฏิบัติ ตัวเก็บรวบรวมและตัววิเคราะห์มักจะเป็นหน่วยเดียวกัน หรืออาจรวมเข้ากับโซลูชันการตรวจสอบประสิทธิภาพเครือข่ายขนาดใหญ่
NetFlow ทำงานบนพื้นฐานของสถานะ เมื่อเครื่องไคลเอ็นต์ติดต่อกับเซิร์ฟเวอร์ NetFlow จะเริ่มบันทึกและรวบรวมข้อมูลเมตาจากกระแสข้อมูล หลังจากเซสชันสิ้นสุดลง NetFlow จะส่งออกบันทึกที่สมบูรณ์เพียงรายการเดียวไปยังตัวเก็บรวบรวมข้อมูล
แม้ว่า NetFlow v5 จะยังคงใช้งานกันอย่างแพร่หลาย แต่ก็มีข้อจำกัดหลายประการ ฟิลด์ที่ส่งออกนั้นคงที่ การตรวจสอบรองรับเฉพาะทิศทางขาเข้าเท่านั้น และไม่รองรับเทคโนโลยีสมัยใหม่ เช่น IPv6, MPLS และ VXLAN NetFlow v9 หรือที่รู้จักกันในชื่อ Flexible NetFlow (FNF) ได้แก้ไขข้อจำกัดบางประการเหล่านี้ โดยอนุญาตให้ผู้ใช้สร้างเทมเพลตแบบกำหนดเองและเพิ่มการสนับสนุนเทคโนโลยีใหม่ๆ
ผู้จำหน่ายหลายรายยังมีระบบ NetFlow ที่เป็นกรรมสิทธิ์ของตนเอง เช่น jFlow จาก Juniper และ NetStream จาก Huawei แม้ว่าการกำหนดค่าอาจแตกต่างกันบ้าง แต่ระบบเหล่านี้มักสร้างบันทึกการไหลที่เข้ากันได้กับตัวเก็บรวบรวมและวิเคราะห์ NetFlow
คุณสมบัติหลักของ NetFlow:
~ ข้อมูลการไหลNetFlow สร้างบันทึกการไหลของข้อมูลซึ่งประกอบด้วยรายละเอียดต่างๆ เช่น ที่อยู่ IP ต้นทางและปลายทาง พอร์ต เวลา จำนวนแพ็กเก็ตและไบต์ และประเภทโปรโตคอล
~ การตรวจสอบการจราจรNetFlow ช่วยให้มองเห็นรูปแบบการรับส่งข้อมูลในเครือข่าย ทำให้ผู้ดูแลระบบสามารถระบุแอปพลิเคชัน อุปกรณ์ปลายทาง และแหล่งที่มาของการรับส่งข้อมูลหลักได้
~การตรวจจับความผิดปกติ: ด้วยการวิเคราะห์ข้อมูลการไหลของข้อมูล NetFlow สามารถตรวจจับความผิดปกติ เช่น การใช้งานแบนด์วิดท์มากเกินไป ความแออัดของเครือข่าย หรือรูปแบบการรับส่งข้อมูลที่ผิดปกติได้
~ การวิเคราะห์ความปลอดภัยNetFlow สามารถใช้ในการตรวจจับและตรวจสอบเหตุการณ์ด้านความปลอดภัย เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) หรือความพยายามเข้าถึงโดยไม่ได้รับอนุญาต
เวอร์ชัน NetFlowNetFlow ได้มีการพัฒนามาเรื่อย ๆ และมีการออกเวอร์ชันต่าง ๆ มาหลายเวอร์ชัน เวอร์ชันที่โดดเด่น ได้แก่ NetFlow v5, NetFlow v9 และ Flexible NetFlow โดยแต่ละเวอร์ชันจะมีการปรับปรุงและเพิ่มความสามารถเพิ่มเติม
IPFIX:
IPFIX คืออะไร?
มาตรฐาน IETF ที่เกิดขึ้นในช่วงต้นทศวรรษ 2000 อย่าง Internet Protocol Flow Information Export (IPFIX) นั้นคล้ายคลึงกับ NetFlow อย่างมาก ที่จริงแล้ว NetFlow v9 เป็นพื้นฐานของ IPFIX ความแตกต่างหลักระหว่างทั้งสองคือ IPFIX เป็นมาตรฐานเปิด และได้รับการสนับสนุนจากผู้จำหน่ายอุปกรณ์เครือข่ายหลายรายนอกเหนือจาก Cisco ยกเว้นฟิลด์เพิ่มเติมบางส่วนที่เพิ่มเข้ามาใน IPFIX รูปแบบโดยรวมแทบจะเหมือนกันทุกประการ ที่จริงแล้ว บางครั้ง IPFIX ยังถูกเรียกว่า “NetFlow v10” อีกด้วย
เนื่องจากมีความคล้ายคลึงกับ NetFlow ส่วนหนึ่ง IPFIX จึงได้รับการสนับสนุนอย่างกว้างขวางทั้งในกลุ่มโซลูชันการตรวจสอบเครือข่ายและอุปกรณ์เครือข่าย
IPFIX (Internet Protocol Flow Information Export) เป็นโปรโตคอลมาตรฐานเปิดที่พัฒนาโดย Internet Engineering Task Force (IETF) โดยอิงตามข้อกำหนด NetFlow เวอร์ชัน 9 และให้รูปแบบมาตรฐานสำหรับการส่งออกบันทึกการไหลของข้อมูลจากอุปกรณ์เครือข่าย
IPFIX พัฒนาต่อยอดจากแนวคิดของ NetFlow และขยายขอบเขตให้มีความยืดหยุ่นและทำงานร่วมกันได้มากขึ้นระหว่างผู้ผลิตและอุปกรณ์ต่างๆ โดยนำเสนอแนวคิดของเทมเพลต ซึ่งช่วยให้สามารถกำหนดโครงสร้างและเนื้อหาของบันทึกการไหลของข้อมูลได้อย่างยืดหยุ่น ส่งผลให้สามารถเพิ่มฟิลด์ที่กำหนดเอง รองรับโปรโตคอลใหม่ๆ และขยายขีดความสามารถได้
คุณสมบัติหลักของ IPFIX:
~ แนวทางตามแม่แบบIPFIX ใช้เทมเพลตในการกำหนดโครงสร้างและเนื้อหาของบันทึกการไหลของข้อมูล ทำให้มีความยืดหยุ่นในการรองรับฟิลด์ข้อมูลต่างๆ และข้อมูลเฉพาะโปรโตคอล
~ ความสามารถในการทำงานร่วมกันIPFIX เป็นมาตรฐานแบบเปิด ซึ่งช่วยให้มั่นใจได้ถึงความสามารถในการตรวจสอบการไหลของข้อมูลอย่างสม่ำเสมอในอุปกรณ์และผู้จำหน่ายเครือข่ายต่างๆ
~ รองรับ IPv6IPFIX รองรับ IPv6 โดยตรง ทำให้เหมาะสำหรับการตรวจสอบและวิเคราะห์ปริมาณการรับส่งข้อมูลในเครือข่าย IPv6
~ระบบรักษาความปลอดภัยที่ได้รับการปรับปรุงIPFIX มีคุณสมบัติด้านความปลอดภัย เช่น การเข้ารหัส Transport Layer Security (TLS) และการตรวจสอบความสมบูรณ์ของข้อความ เพื่อปกป้องความลับและความสมบูรณ์ของข้อมูลระหว่างการส่งผ่าน
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายอุปกรณ์เครือข่ายต่างๆ ทำให้เป็นตัวเลือกที่ไม่ขึ้นกับผู้จำหน่ายรายใดและได้รับการยอมรับอย่างกว้างขวางสำหรับการตรวจสอบการไหลของข้อมูลในเครือข่าย
แล้ว NetFlow กับ IPFIX ต่างกันอย่างไร?
คำตอบง่ายๆ ก็คือ NetFlow เป็นโปรโตคอลเฉพาะของ Cisco ที่เปิดตัวเมื่อประมาณปี 1996 และ IPFIX เป็นโปรโตคอลที่ได้รับการรับรองจากหน่วยงานกำหนดมาตรฐานซึ่งเป็นโปรโตคอลที่เทียบเท่ากัน
โปรโตคอลทั้งสองมีจุดประสงค์เดียวกัน คือ ช่วยให้วิศวกรและผู้ดูแลระบบเครือข่ายสามารถรวบรวมและวิเคราะห์การไหลของข้อมูล IP ระดับเครือข่ายได้ Cisco พัฒนา NetFlow เพื่อให้สวิตช์และเราเตอร์ของตนสามารถส่งออกข้อมูลที่มีค่านี้ได้ ด้วยความโดดเด่นของอุปกรณ์ Cisco ทำให้ NetFlow กลายเป็นมาตรฐานที่ใช้กันอย่างแพร่หลายสำหรับการวิเคราะห์ข้อมูลเครือข่ายอย่างรวดเร็ว อย่างไรก็ตาม คู่แข่งในอุตสาหกรรมตระหนักว่าการใช้โปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งควบคุมโดยคู่แข่งหลักนั้นไม่ใช่ความคิดที่ดี ดังนั้น IETF จึงเป็นผู้นำในการผลักดันให้เกิดมาตรฐานโปรโตคอลแบบเปิดสำหรับการวิเคราะห์ข้อมูล ซึ่งก็คือ IPFIX นั่นเอง
IPFIX มีพื้นฐานมาจาก NetFlow เวอร์ชัน 9 และเปิดตัวครั้งแรกประมาณปี 2005 แต่ต้องใช้เวลาหลายปีกว่าจะได้รับการยอมรับในอุตสาหกรรม ณ จุดนี้ โปรโตคอลทั้งสองแทบจะเหมือนกัน และถึงแม้ว่าคำว่า NetFlow จะยังคงแพร่หลายมากกว่า แต่การใช้งานส่วนใหญ่ (แม้จะไม่ใช่ทั้งหมด) ก็เข้ากันได้กับมาตรฐาน IPFIX
ตารางต่อไปนี้สรุปความแตกต่างระหว่าง NetFlow และ IPFIX:
| ด้าน | เน็ตโฟลว์ | ไอพีเอฟิกซ์ |
|---|---|---|
| ต้นทาง | เทคโนโลยีที่เป็นกรรมสิทธิ์ซึ่งพัฒนาโดยซิสโก้ | โปรโตคอลมาตรฐานอุตสาหกรรมที่อิงตาม NetFlow เวอร์ชัน 9 |
| การกำหนดมาตรฐาน | เทคโนโลยีเฉพาะของซิสโก้ | มาตรฐานเปิดที่กำหนดโดย IETF ใน RFC 7011 |
| ความยืดหยุ่น | เวอร์ชันที่ได้รับการพัฒนาพร้อมคุณสมบัติเฉพาะ | ความยืดหยุ่นและความสามารถในการทำงานร่วมกันที่มากขึ้นระหว่างผู้จำหน่ายต่างๆ |
| รูปแบบข้อมูล | แพ็กเก็ตขนาดคงที่ | แนวทางการใช้เทมเพลตสำหรับรูปแบบบันทึกการไหลที่ปรับแต่งได้ |
| การสนับสนุนเทมเพลต | ไม่ได้รับการสนับสนุน | เทมเพลตแบบไดนามิกสำหรับการรวมฟิลด์ที่ยืดหยุ่น |
| การสนับสนุนผู้ขาย | ส่วนใหญ่เป็นอุปกรณ์ของซิสโก้ | ได้รับการสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายอุปกรณ์เครือข่าย |
| ความสามารถในการขยาย | การปรับแต่งมีจำกัด | การรวมฟิลด์ที่กำหนดเองและข้อมูลเฉพาะแอปพลิเคชัน |
| ความแตกต่างของโปรโตคอล | รูปแบบเฉพาะของซิสโก้ | รองรับ IPv6 โดยตรง พร้อมตัวเลือกบันทึกข้อมูลการไหลที่ได้รับการปรับปรุง |
| คุณสมบัติการรักษาความปลอดภัย | คุณสมบัติการรักษาความปลอดภัยมีจำกัด | การเข้ารหัส Transport Layer Security (TLS) ความสมบูรณ์ของข้อความ |
การตรวจสอบการไหลของเครือข่ายการตรวจสอบการไหลของข้อมูล คือการรวบรวม วิเคราะห์ และตรวจสอบปริมาณการรับส่งข้อมูลที่ไหลผ่านเครือข่ายหรือส่วนของเครือข่ายที่กำหนดไว้ วัตถุประสงค์อาจแตกต่างกันไป ตั้งแต่การแก้ไขปัญหาการเชื่อมต่อไปจนถึงการวางแผนการจัดสรรแบนด์วิดท์ในอนาคต การตรวจสอบการไหลของข้อมูลและการสุ่มตัวอย่างแพ็กเก็ตยังสามารถเป็นประโยชน์ในการระบุและแก้ไขปัญหาด้านความปลอดภัยได้อีกด้วย
การตรวจสอบการไหลของข้อมูลช่วยให้ทีมงานด้านเครือข่ายเข้าใจการทำงานของเครือข่ายได้ดีขึ้น โดยให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานโดยรวม การใช้งานแอปพลิเคชัน ปัญหาคอขวดที่อาจเกิดขึ้น ความผิดปกติที่อาจบ่งชี้ถึงภัยคุกคามด้านความปลอดภัย และอื่นๆ อีกมากมาย มีมาตรฐานและรูปแบบต่างๆ ที่ใช้ในการตรวจสอบการไหลของข้อมูลในเครือข่ายหลายแบบ เช่น NetFlow, sFlow และ Internet Protocol Flow Information Export (IPFIX) แต่ละแบบทำงานแตกต่างกันเล็กน้อย แต่ทั้งหมดแตกต่างจากการทำมิเรอร์พอร์ตและการตรวจสอบแพ็กเก็ตเชิงลึกตรงที่ไม่ได้บันทึกเนื้อหาของทุกแพ็กเก็ตที่ผ่านพอร์ตหรือสวิตช์ อย่างไรก็ตาม การตรวจสอบการไหลของข้อมูลให้ข้อมูลมากกว่า SNMP ซึ่งโดยทั่วไปจำกัดอยู่เพียงสถิติโดยรวม เช่น การใช้งานแพ็กเก็ตและแบนด์วิดท์โดยรวม
การเปรียบเทียบเครื่องมือวิเคราะห์การไหลของเครือข่าย
| คุณสมบัติ | เน็ตโฟลว์ เวอร์ชัน 5 | เน็ตโฟลว์ เวอร์ชัน 9 | สโฟลว์ | ไอพีเอฟิกซ์ |
| แบบเปิดหรือแบบกรรมสิทธิ์ | กรรมสิทธิ์ | กรรมสิทธิ์ | เปิด | เปิด |
| แบบสุ่มตัวอย่างหรือแบบไหล | ส่วนใหญ่เป็นการวัดอัตราการไหล มีโหมดการสุ่มตัวอย่างให้ใช้งานได้ | ส่วนใหญ่เป็นการวัดอัตราการไหล มีโหมดการสุ่มตัวอย่างให้ใช้งานได้ | สุ่มตัวอย่าง | ส่วนใหญ่เป็นการวัดอัตราการไหล มีโหมดการสุ่มตัวอย่างให้ใช้งานได้ |
| ข้อมูลที่บันทึกไว้ | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงจำนวนไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงจำนวนไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ส่วนหัวแพ็กเก็ตที่สมบูรณ์, ส่วนเนื้อหาแพ็กเก็ตบางส่วน | ข้อมูลเมตาและข้อมูลสถิติ รวมถึงจำนวนไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ |
| การตรวจสอบการเข้า/ออก | เข้าเท่านั้น | ทางเข้าและทางออก | ทางเข้าและทางออก | ทางเข้าและทางออก |
| รองรับ IPv6/VLAN/MPLS | No | ใช่ | ใช่ | ใช่ |
วันที่โพสต์: 18 มีนาคม 2024
