NetFlow และ IPFIX เป็นเทคโนโลยีที่ใช้สำหรับการตรวจสอบและวิเคราะห์โฟลว์เครือข่าย โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการรับส่งข้อมูลเครือข่าย ซึ่งช่วยในการเพิ่มประสิทธิภาพ การแก้ไขปัญหา และการวิเคราะห์ความปลอดภัย
เน็ตโฟลว์:
NetFlow คืออะไร?
เน็ตโฟลว์เป็นโซลูชันการตรวจสอบการไหลดั้งเดิมที่พัฒนาโดย Cisco ในช่วงปลายทศวรรษ 1990 มีหลายเวอร์ชันที่แตกต่างกัน แต่การปรับใช้ส่วนใหญ่จะขึ้นอยู่กับ NetFlow v5 หรือ NetFlow v9 แม้ว่าแต่ละเวอร์ชันจะมีความสามารถที่แตกต่างกัน แต่การทำงานพื้นฐานยังคงเหมือนเดิม:
ขั้นแรก เราเตอร์ สวิตช์ ไฟร์วอลล์ หรืออุปกรณ์ประเภทอื่นจะรวบรวมข้อมูลบน "โฟลว์" ของเครือข่าย ซึ่งโดยทั่วไปคือชุดของแพ็กเก็ตที่แชร์ชุดคุณลักษณะทั่วไป เช่น ที่อยู่ต้นทางและปลายทาง พอร์ตต้นทางและปลายทาง และโปรโตคอล พิมพ์. หลังจากที่โฟลว์หยุดนิ่งหรือผ่านไปตามระยะเวลาที่กำหนดไว้ล่วงหน้า อุปกรณ์จะส่งออกบันทึกโฟลว์ไปยังเอนทิตีที่เรียกว่า "ตัวรวบรวมโฟลว์"
สุดท้ายนี้ “เครื่องวิเคราะห์โฟลว์” เข้าใจบันทึกเหล่านั้น โดยให้ข้อมูลเชิงลึกในรูปแบบของการแสดงภาพ สถิติ และการรายงานประวัติและเรียลไทม์โดยละเอียด ในทางปฏิบัติ ผู้รวบรวมและผู้วิเคราะห์มักจะเป็นหน่วยงานเดียว และมักจะรวมกันเป็นโซลูชันการตรวจสอบประสิทธิภาพเครือข่ายที่ใหญ่กว่า
NetFlow ทำงานบนพื้นฐานแบบมีสถานะ เมื่อเครื่องไคลเอนต์เข้าถึงเซิร์ฟเวอร์ NetFlow จะเริ่มจับและรวบรวมข้อมูลเมตาจากโฟลว์ หลังจากสิ้นสุดเซสชัน NetFlow จะส่งออกบันทึกที่สมบูรณ์เพียงรายการเดียวไปยังตัวรวบรวม
แม้ว่าจะยังคงใช้กันทั่วไป แต่ NetFlow v5 ก็มีข้อจำกัดหลายประการ ช่องที่ส่งออกได้รับการแก้ไขแล้ว การตรวจสอบรองรับเฉพาะในทิศทางขาเข้าเท่านั้น และไม่รองรับเทคโนโลยีสมัยใหม่ เช่น IPv6, MPLS และ VXLAN NetFlow v9 ซึ่งมีชื่อเรียกว่า FlexFlow (FNF) จะช่วยแก้ไขข้อจำกัดบางประการเหล่านี้ โดยอนุญาตให้ผู้ใช้สร้างเทมเพลตแบบกำหนดเองและเพิ่มการรองรับเทคโนโลยีใหม่ ๆ
ผู้จำหน่ายหลายรายยังมีการใช้งาน NetFlow ที่เป็นกรรมสิทธิ์ของตนเอง เช่น jFlow จาก Juniper และ NetStream จาก Huawei แม้ว่าการกำหนดค่าอาจแตกต่างกันไปบ้าง แต่การใช้งานเหล่านี้มักจะสร้างบันทึกโฟลว์ที่เข้ากันได้กับตัวรวบรวมและวิเคราะห์ NetFlow
คุณสมบัติที่สำคัญของ NetFlow:
~ ข้อมูลการไหล: NetFlow สร้างบันทึกโฟลว์ที่มีรายละเอียด เช่น ที่อยู่ IP ต้นทางและปลายทาง พอร์ต การประทับเวลา จำนวนแพ็กเก็ตและไบต์ และประเภทโปรโตคอล
~ การตรวจสอบการจราจร: NetFlow ให้การมองเห็นรูปแบบการรับส่งข้อมูลเครือข่าย ช่วยให้ผู้ดูแลระบบสามารถระบุแอปพลิเคชัน จุดสิ้นสุด และแหล่งที่มาของการรับส่งข้อมูลยอดนิยมได้
~การตรวจจับความผิดปกติ: ด้วยการวิเคราะห์ข้อมูลโฟลว์ NetFlow สามารถตรวจจับความผิดปกติ เช่น การใช้แบนด์วิธที่มากเกินไป ความแออัดของเครือข่าย หรือรูปแบบการรับส่งข้อมูลที่ผิดปกติ
~ การวิเคราะห์ความปลอดภัย: NetFlow สามารถใช้เพื่อตรวจจับและตรวจสอบเหตุการณ์ด้านความปลอดภัย เช่น การโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) หรือความพยายามในการเข้าถึงที่ไม่ได้รับอนุญาต
เวอร์ชัน NetFlow: NetFlow มีการพัฒนาอยู่ตลอดเวลา และมีเวอร์ชันต่างๆ ออกมาแล้ว บางเวอร์ชันที่โดดเด่น ได้แก่ NetFlow v5, NetFlow v9 และ Flex NetFlow แต่ละเวอร์ชันแนะนำการปรับปรุงและความสามารถเพิ่มเติม
ไอพีฟิกซ์:
IPFIX คืออะไร?
มาตรฐาน IETF ที่เกิดขึ้นในต้นปี 2000 Internet Protocol Flow Information Export (IPFIX) มีความคล้ายคลึงกับ NetFlow อย่างมาก ในความเป็นจริง NetFlow v9 ทำหน้าที่เป็นพื้นฐานสำหรับ IPFIX ข้อแตกต่างหลักระหว่างทั้งสองคือ IPFIX นั้นเป็นมาตรฐานเปิด และได้รับการสนับสนุนจากผู้จำหน่ายเครือข่ายหลายรายนอกเหนือจาก Cisco ยกเว้นบางฟิลด์เพิ่มเติมที่เพิ่มใน IPFIX รูปแบบจะเกือบจะเหมือนกัน ในความเป็นจริง IPFIX บางครั้งเรียกว่า "NetFlow v10"
เนื่องจากส่วนหนึ่งมีความคล้ายคลึงกับ NetFlow IPFIX จึงได้รับการสนับสนุนอย่างกว้างขวางจากโซลูชันการตรวจสอบเครือข่ายตลอดจนอุปกรณ์เครือข่าย
IPFIX (Internet Protocol Flow Information Export) เป็นโปรโตคอลมาตรฐานแบบเปิดที่พัฒนาโดย Internet Engineering Task Force (IETF) ขึ้นอยู่กับข้อกำหนด NetFlow เวอร์ชัน 9 และจัดเตรียมรูปแบบมาตรฐานสำหรับการส่งออกบันทึกโฟลว์จากอุปกรณ์เครือข่าย
IPFIX สร้างขึ้นจากแนวคิดของ NetFlow และขยายออกไปเพื่อมอบความยืดหยุ่นและความสามารถในการทำงานร่วมกันที่มากขึ้นผ่านผู้จำหน่ายและอุปกรณ์ต่างๆ โดยจะแนะนำแนวคิดของเทมเพลต เพื่อให้สามารถกำหนดโครงสร้างและเนื้อหาบันทึกการไหลแบบไดนามิกได้ ซึ่งช่วยให้สามารถรวมฟิลด์ที่กำหนดเอง รองรับโปรโตคอลใหม่ และความสามารถในการขยายได้
คุณสมบัติที่สำคัญของ IPFIX:
~ แนวทางตามเทมเพลต: IPFIX ใช้เทมเพลตเพื่อกำหนดโครงสร้างและเนื้อหาของบันทึกการไหล ซึ่งให้ความยืดหยุ่นในการรองรับช่องข้อมูลที่แตกต่างกันและข้อมูลเฉพาะโปรโตคอล
~ การทำงานร่วมกัน: IPFIX เป็นมาตรฐานแบบเปิด ทำให้มั่นใจได้ถึงความสามารถในการตรวจสอบการไหลที่สอดคล้องกันระหว่างผู้จำหน่ายเครือข่ายและอุปกรณ์ต่างๆ
~ รองรับ IPv6: IPFIX รองรับ IPv6 โดยกำเนิด ทำให้เหมาะสำหรับการตรวจสอบและวิเคราะห์การรับส่งข้อมูลในเครือข่าย IPv6
~การรักษาความปลอดภัยขั้นสูง: IPFIX มีคุณลักษณะด้านความปลอดภัย เช่น การเข้ารหัส Transport Layer Security (TLS) และการตรวจสอบความสมบูรณ์ของข้อความ เพื่อปกป้องการรักษาความลับและความสมบูรณ์ของข้อมูลการไหลระหว่างการส่ง
IPFIX ได้รับการสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายอุปกรณ์เครือข่ายต่างๆ ทำให้เป็นทางเลือกที่เป็นกลางสำหรับผู้ขายและนำมาใช้กันอย่างแพร่หลายสำหรับการตรวจสอบการไหลของเครือข่าย
แล้ว NetFlow และ IPFIX แตกต่างกันอย่างไร?
คำตอบง่ายๆ ก็คือ NetFlow เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Cisco ที่เปิดตัวประมาณปี 1996 และ IPFIX เป็นโปรโตคอลมาตรฐานที่ได้รับการอนุมัติ
โปรโตคอลทั้งสองมีจุดประสงค์เดียวกัน: ช่วยให้วิศวกรเครือข่ายและผู้ดูแลระบบสามารถรวบรวมและวิเคราะห์โฟลว์การรับส่งข้อมูล IP ระดับเครือข่าย Cisco พัฒนา NetFlow เพื่อให้สวิตช์และเราเตอร์สามารถส่งออกข้อมูลอันมีค่านี้ได้ เมื่อพิจารณาถึงความโดดเด่นของอุปกรณ์ของ Cisco NetFlow จึงกลายเป็นมาตรฐานสำหรับการวิเคราะห์การรับส่งข้อมูลเครือข่ายอย่างรวดเร็ว อย่างไรก็ตาม คู่แข่งในอุตสาหกรรมตระหนักดีว่าการใช้โปรโตคอลที่เป็นกรรมสิทธิ์ซึ่งควบคุมโดยคู่แข่งหลักนั้นไม่ใช่ความคิดที่ดี และด้วยเหตุนี้ IETF จึงได้นำความพยายามในการสร้างมาตรฐานของโปรโตคอลแบบเปิดสำหรับการวิเคราะห์การรับส่งข้อมูล ซึ่งก็คือ IPFIX
IPFIX ใช้ NetFlow เวอร์ชัน 9 และเปิดตัวครั้งแรกประมาณปี 2548 แต่ใช้เวลาหลายปีกว่าจะได้รับการยอมรับในอุตสาหกรรม ณ จุดนี้ โปรโตคอลทั้งสองโดยพื้นฐานแล้วจะเหมือนกัน และแม้ว่าคำว่า NetFlow ยังคงแพร่หลายมากกว่า การใช้งานส่วนใหญ่ (แม้ว่าจะไม่ใช่ทั้งหมด) ก็เข้ากันได้กับมาตรฐาน IPFIX
ตารางสรุปความแตกต่างระหว่าง NetFlow และ IPFIX มีดังนี้
| ด้าน | เน็ตโฟลว์ | ไอพีฟิกซ์ |
|---|---|---|
| ต้นทาง | เทคโนโลยีที่เป็นกรรมสิทธิ์ที่พัฒนาโดย Cisco | โปรโตคอลมาตรฐานอุตสาหกรรมที่ใช้ NetFlow เวอร์ชัน 9 |
| การทำให้เป็นมาตรฐาน | เทคโนโลยีเฉพาะของ Cisco | มาตรฐานเปิดที่กำหนดโดย IETF ใน RFC 7011 |
| ความยืดหยุ่น | เวอร์ชันที่พัฒนาพร้อมคุณสมบัติเฉพาะ | ความยืดหยุ่นและการทำงานร่วมกันที่มากขึ้นระหว่างผู้ขาย |
| รูปแบบข้อมูล | แพ็กเก็ตขนาดคงที่ | วิธีการที่ใช้เทมเพลตสำหรับรูปแบบบันทึกการไหลที่ปรับแต่งได้ |
| การสนับสนุนเทมเพลต | ไม่รองรับ | เทมเพลตแบบไดนามิกสำหรับการรวมฟิลด์ที่ยืดหยุ่น |
| การสนับสนุนผู้ขาย | อุปกรณ์ Cisco เป็นหลัก | การสนับสนุนอย่างกว้างขวางจากผู้จำหน่ายเครือข่าย |
| ความสามารถในการขยาย | การปรับแต่งที่จำกัด | การรวมฟิลด์ที่กำหนดเองและข้อมูลเฉพาะแอปพลิเคชัน |
| ความแตกต่างของโปรโตคอล | รูปแบบเฉพาะของ Cisco | รองรับ Native IPv6 ตัวเลือกบันทึกโฟลว์ที่ได้รับการปรับปรุง |
| คุณสมบัติด้านความปลอดภัย | คุณสมบัติด้านความปลอดภัยที่จำกัด | การเข้ารหัส Transport Layer Security (TLS) ความสมบูรณ์ของข้อความ |
การตรวจสอบการไหลของเครือข่ายคือการรวบรวม การวิเคราะห์ และการตรวจสอบการรับส่งข้อมูลที่ผ่านเครือข่ายที่กำหนดหรือส่วนของเครือข่าย วัตถุประสงค์อาจแตกต่างกันตั้งแต่การแก้ไขปัญหาการเชื่อมต่อไปจนถึงการวางแผนการจัดสรรแบนด์วิธในอนาคต การตรวจสอบโฟลว์และการสุ่มตัวอย่างแพ็กเก็ตยังมีประโยชน์ในการระบุและแก้ไขปัญหาด้านความปลอดภัยอีกด้วย
การตรวจสอบโฟลว์ช่วยให้ทีมเครือข่ายมีความคิดที่ดีเกี่ยวกับวิธีการทำงานของเครือข่าย โดยให้ข้อมูลเชิงลึกเกี่ยวกับการใช้งานโดยรวม การใช้งานแอปพลิเคชัน ปัญหาคอขวดที่อาจเกิดขึ้น ความผิดปกติที่อาจส่งสัญญาณถึงภัยคุกคามด้านความปลอดภัย และอื่นๆ มีมาตรฐานและรูปแบบต่างๆ มากมายที่ใช้ในการตรวจสอบโฟลว์เครือข่าย รวมถึง NetFlow, sFlow และ Internet Protocol Flow Information Export (IPFIX) แต่ละอันทำงานในลักษณะที่แตกต่างกันเล็กน้อย แต่ทั้งหมดนั้นแตกต่างจากการมิเรอร์พอร์ตและการตรวจสอบแพ็กเก็ตเชิงลึกตรงที่พวกมันไม่ได้จับเนื้อหาของทุกแพ็กเก็ตที่ส่งผ่านพอร์ตหรือผ่านสวิตช์ อย่างไรก็ตาม การตรวจสอบโฟลว์จะให้ข้อมูลมากกว่า SNMP ซึ่งโดยทั่วไปจะจำกัดอยู่เพียงสถิติแบบกว้างๆ เช่น การใช้แพ็คเก็ตและแบนด์วิธโดยรวม
เครื่องมือการไหลของเครือข่ายเปรียบเทียบ
| คุณสมบัติ | เน็ตโฟลว์ เวอร์ชัน 5 | เน็ตโฟลว์ v9 | sFlow | ไอพีฟิกซ์ |
| เปิดหรือเป็นกรรมสิทธิ์ | กรรมสิทธิ์ | กรรมสิทธิ์ | เปิด | เปิด |
| สุ่มตัวอย่างหรือตามการไหล | อิงตามการไหลเป็นหลัก; โหมดสุ่มตัวอย่างสามารถใช้ได้ | อิงตามการไหลเป็นหลัก; โหมดสุ่มตัวอย่างสามารถใช้ได้ | สุ่มตัวอย่าง | อิงตามการไหลเป็นหลัก; โหมดสุ่มตัวอย่างสามารถใช้ได้ |
| ข้อมูลที่ถูกจับ | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ | ทำส่วนหัวของแพ็คเก็ตให้สมบูรณ์, เพย์โหลดแพ็คเก็ตบางส่วน | ข้อมูลเมตาและข้อมูลทางสถิติ รวมถึงไบต์ที่ถ่ายโอน ตัวนับอินเทอร์เฟซ และอื่นๆ |
| การตรวจสอบทางเข้า/ออก | ทางเข้าเท่านั้น | ทางเข้าและทางออก | ทางเข้าและทางออก | ทางเข้าและทางออก |
| รองรับ IPv6/VLAN/MPLS | No | ใช่ | ใช่ | ใช่ |
เวลาโพสต์: 18 มี.ค. 2024
