Höhere Effektivität durch NetFlow/IPFIX-Überwachung
NetFlow ist ein Wegbereiter für modernes Netzwerkmanagement und Sicherheit. Es ist der am weitesten verbreitete Standard für die Überwachung (Monitoring) des Netzwerkverkehrs und bietet NetOps, SecOps und Managern ein umfangreiches Wissen über ihre IT-Umgebung. NetFlow bringt eine völlig neue Effektivität, wenn IT-Experten Fehlerbehebung, Kapazitätsplanung, Leistungsdiagnosen und viele andere Aufgaben durchführen.
Die nächste Generation des Netzwerkleistungs-
und Sicherheitsmanagements
Jahrelang wurde die regelmäßige Überwachung eines Netzwerks durch das SNMP-Protokoll durchgeführt, das einen Überblick über die IT-Infrastruktur und den Netzwerkadministratoren Informationen über die Verfügbarkeit seiner Komponenten liefert.
Heute, wo die Verfügbarkeit und das ordnungsgemäße Funktionieren des Netzwerks eines Unternehmens entscheidend für dessen Existenz ist, werden viel mehr Informationen und ausgefeiltere Methoden benötigt.
Um diese Informationen zu erhalten, hat Cisco NetFlow entwickelt, einen Standard zur Erfassung von Netzwerkverkehrsstatistiken von Routern, Switches oder speziellen Netzwerksonden (Probes).
NetFlow liefert Informationen aus OSI Layer 3 und 4, d.h. IP-Adressen, Ports, Protokoll, Zeitstempel, Anzahl der Bytes, Pakete, Flags und verschiedene andere technische Details.
Man könnte es sich leicht als eine Liste von Telefongesprächen vorstellen. Wir wissen, wer mit wem, wann, wie lange, wie oft usw. kommuniziert, aber wir wissen nicht, was der Gegenstand des Gesprächs war.
Durch das Sammeln, Speichern und Analysieren dieser aggregierten Informationen können Netzwerkadministratoren, Sicherheitsingenieure oder Betriebsleiter verschiedene Aufgaben ausführen.
NetFlow wird normalerweise zu folgendem verwendet:
- Das Netzwerk zu jeder Zeit und an jedem Ort überprüfen
- Netzwerkverkehr in Echtzeit überwachen
- Das Netzwerk gegen interne und externe Bedrohungen sichern
- Verfolgen der historischen Daten und Drill-Down zu jedem Host, jeder Anwendung oder Konversation
- Die Netzwerkflüsse für effiziente Kapazitätsplanung und Traffic Engineering analysieren
- Erfüllung des Gesetzes über die Vorratsspeicherung von Daten (rechtmäßiges Abfangen)
- Schnelle und präzise Fehlerbehebung bei Netzwerkfehlern
- Einführung intelligenter Verkehrs- und Finanzberichte
- QoS-Richtlinie im Detail planen und überwachen
- Überprüfen der Peering- und Service-Level-Vereinbarungen (SLA)
- Einführung IP-basierter Fakturierung und Abrechnung
- Identifizieren der Top-Nutzer und Erhalt von deren Statistiken
Sammeln von NetFlow
Wie funktioniert das?
NetFlow ist der am weitesten verbreitete Standard für Flussdatenstatistiken in der Netzwerkkommunikation. In der Sprache einer Datennetzwerkumgebung stellt ein Datenfluss eine Netzwerkkommunikation mit derselben Quell-IP-Adresse, demselben Quellport, L4-Protokoll, derselben Ziel-IP-Adresse und demselben Zielport dar.
NetFlow ist in verschiedenen Versionen erhältlich, die sich erheblich unterscheiden, so dass das Verständnis der NetFlow-Version bei der Auswahl der richtigen Lösungen für bestimmte Bedürfnisse wichtig ist:
- NetFlow v5 – die gebräuchlichste Version, die auf verschiedenen Routern und aktiven Netzwerkkomponenten verfügbar ist. Diese Version entspricht jedoch nicht den aktuellen Anforderungen. NetFlow v5 unterstützt keinen IPv6-Verkehr, keine MAC-Adressen, VLANs oder andere Erweiterungsfelder.
- NetFlow v9 – Template-basierter Standard, beschrieben in RFC 3954. Er unterstützt sowohl IPv6 als auch die in NetFlow v5 fehlenden Felder.
- NetFlow v10 alias IPFIX – standardisiert von der IETF, erweiterte Version von NetFlow v9, die Felder variabler Länge (z. B. HTTP-Hostname oder HTTP-URL) sowie unternehmensdefinierte Felder unterstützt.
Die derzeit am häufigsten verwendeten Versionen sind NetFlow v5 (festes Format) und NetFlow v9 (template-basiert, flexibel). Ein weiteres häufig verwendetes Protokoll heißt IPFIX, auch bekannt als NetFlow v10. Internet Protocol Flow Information Export (IPFIX) wurde von der IETF-Arbeitsgruppe aus der Notwendigkeit heraus geschaffen, einen gemeinsamen, universellen Exportstandard für IP-Flussinformationen zu schaffen.
Der IPFIX-Standard definiert, wie IP-Flussinformationen formatiert und von einem Exporteur an einen Kollektor übertragen werden. Zuvor stützten sich viele Datennetzbetreiber auf den proprietären Cisco NetFlow-Standard für den Export von Verkehrsflussinformationen.
IPFIX ist ein wesentlich flexiblerer Nachfolger des NetFlow-Formats und ermöglicht es uns, Flussdaten mit mehr Informationen über den Netzwerkverkehr zu erweitern.
Das Prinzip von NetFlow wird durch das untere Video beschrieben. Wenn eine Anforderung von einem Client an den Server gesendet wird (grüner Umschlag), schaut das aktive Gerät mit NetFlow-Exportfähigkeit in den Paketkopf und erstellt einen Flussdatensatz. Der Flussdatensatz enthält Informationen über die Quell- und Ziel-IP-Adressen und -Ports, die Protokollnummer, die Anzahl der Bytes und Pakete sowie alle anderen Informationen aus OSI Layer 3 und 4.
Die einzelnen Datennetzwerk-Kommunikationen werden durch fünf Attribute identifiziert: Quell- und Ziel-IP-Adressen, Ports und Protokollnummer. Wenn der Server also auf den Client antwortet, werden IP-Adressen und Ports im Paketheader umgekehrt und ein weiterer Flussdatensatz erstellt – NetFlow ist eine Einweg-Verkehrstechnologie.
Die nachfolgenden Pakete mit den gleichen Attributen aktualisieren die zuvor erstellten Flussdatensätze (z.B.: Anzahl der Bytes, Dauer der Kommunikation). Wenn die Kommunikation beendet ist, werden Flussdatensätze an den Kollektor gesendet, wo die Daten bereit sind, aus verschiedenen Gründen gespeichert und analysiert zu werden.