Что такое протокол NETFLOW и как он используется

NetFlow - это протокол, разработанный компанией Cisco Systems, также известный как стандарт IPFIX – компонент Cisco IOS. Протокол NetFlow работает на IP-устройствах (маршрутизаторах, коммутаторах 3-го уровня) и предоставляет статистику IP-трафика. Ряд производителей внедрили этот стандарт (напр., Juniper выпустила аналогичное решение под названием jFlow). Другие компании (напр., HP, Foundry и Extreme) используют технологию контроля потока данных sFlow.

Несмотря на свое название, NetFlow охватывает значительный объем данных и является богатым источником информации, обновляемой в режиме реального времени; эта информация доступна в любое время и содержит множество сведений о трафике данных сети.

Система визуализирует не только параметры TCP/IP на 3-м и 4-м уровне (IP-адрес источника, целевой IP-адрес, протокол, порт), но и дополнительные атрибуты трафика (Type of Service, DSCP, идентификатор источника и целевые области автономных систем в протоколе BGP) и дополнительную информацию о маршрутизации и трафике - следующий транзитный участок, входящий и исходящие интерфейсы, сетевой адрес источника и целевой сетевой адрес.

Преимущества и недостатки

Технология NetFlow позволяет выявлять проблемы, узкие места в сети, проверять настройки классов трафика (CoS/ToS), определять отправленный трафик и приложения, а также позволяет привязать его к определенному пользователю в конкретный период. Более того, NetFlow в качестве технологии, интегрированной в Cisco IOS, не требует использования дополнительных устройств или приобретения лицензий. Большинство платформ Cisco, начиная с маршрутизаторов Cisco ISR, совместимы с NetFlow.

С помощью NetFlow можно создать относительно недорогую и простую систему мониторинга сетевоготрафика.

*flow data - shall be understood as NetFlow v5 v9, NSEL, IPFIX, sFlow.

Однако, без соответствующих инструментов для обработки предоставляемых данных NetFlow не особо полезен. Его польза и роль в управлении производительностью сети зависят от способа получения данных ИТ-специалистами. Учитывая объем доступной информации, нет смысла анализировать данные с точки зрения их потока от отдельно взятого элемента сети. Для полноценного использования протокола NetFlow необходимо собрать внешнюю базу данные и обеспечить интуитивный интерфейс, что позволит найти информацию, которая нас интересует, и аномальную активность сети, а также поможет распланировать расширение сетевой инфраструктуры.

Система обработки информации, собранной с помощью NetFlow, состоит из следующих компонентов:

Агент NetFlow, который собирает данные о трафике, что проходит через сетевые устройства, и отправляет их в центральное хранилище (так называемый коллектор). Фактически, любой маршрутизатор Cisco, на котором установлено ПО IOS (начиная с версии 12.3T и выше, NetFlow доступен в функционале SP Services), можно использовать в качестве агента. Коммутаторы Catalyst 6500 также поддерживают протокол NetFlow, а в коммутаторе Catalyst 4500 он встроен в качестве дополнительной функции.

Коллектор NetFlow, который собирает информацию с агентов. Учитывая большой объем данных, коллектор обычно фильтрует, агрегирует и удаляет данные перед помещением их в базу.

Модуль визуализации, который используется для представления данных, собранных в коллекторе NetFlow. Он поддерживает ряд функций таких как обеспечение сетевого планирования, сопоставление пользователей или мониторинг трафика.

С помощью модуля визуализации можно получить следующую информацию:

  • Какие приложения используются? Являются ли все они легальными?
  • Кто использует приложения?
  • Какие серверы являются источниками трафика?
  • Являются ли они серверами в действительности? Каких серверов достигает трафик? Необходимо ли достигать этих серверов?
  • Какие приложения создают больше всего трафика?
  • Кто использует всю доступную пропускную способность?
  • Выполняется ли тегирование входящего трафика оператора должным образом?
  • Какие интерфейсы отображают самую большую нагрузку?
  • Какие маршрутизаторы отображают самую большую нагрузку?
  • Выполняется ли маршрутизация собственного и транзитного трафика должным образом?
  • Обеспечивают ли подключения достаточный битрейт?
  • Происходит ли направление передачи трафика должным образом?
  • Какие приложения запущены на серверах?
  • Какие порты используют серверы?
  • Откуда приходит трафик и куда он направляется?
  • Какие серверы генерируют трафик? Является ли он законным?

Преимущества

Главное преимущество NetFlow в том, что при грамотном использовании можно создать относительно недорогую и простую систему мониторинга сетевого трафика. Единственные расходы будут связаны с приобретением приложения для визуализации данных.

Кроме того, с помощью NetFlow можно мониторить любой канал в сети. Поскольку настройка NetFlow на маршрутизаторе выполняется на программном уровне, можно выборочно активировать его устройства мониторинга, а также другие критические устройства (напр., на концентраторе, на маршрутизаторе, который обеспечивает
подключение к Интернету или в местах, где возникают проблемы в сети).

Более того, NetFlow - это открытый протокол, поэтому он поддерживает ряд сторонних приложений для мониторинга сети в режиме реального времени, создания отчетов и сопоставления пользователей в сети. Обычно приложения разрабатываются под индивидуального клиента и конкретные требования.

Преимущества использования системы на основе NetFlow:

Повышенная безопасность сети – мониторинг сетевой активности является одним из ключевых элементов обеспечения безопасности. С помощью интерфейса систем визуализации можно выполнять сканирование портов, выявлять DoS-атаки и переключение между IP- адресами.

Возможность полного отображения сетевого трафика и его источника позволяет выявлять незаконные действия и избежать больших штрафов (напр., за использование нелицензионного ПО).

Планирование развития сети – определение моделей трафика и адаптация к ширине канала до того, как сеть достигнет максимальной пропускной способности (напр., выявление серверов с неправильным расположением и их перемещение во избежание чрезмерной нагрузки на глобальную сеть).

Ускоренное решение проблем (напр., с помощью оптимизации настроек QoS для правильной приоритизации важных приложений, что обеспечивает более быстрый ответ).

В качестве системы, анализирующей протокол Netflow можно выделить решение FlowControl от компании Sycope.

FlowControl - это специальное решение для анализа сетевого трафика и выявления угроз, которое использует протоколы NetFlow, SFlow, IPFIX и NSEL. Он является одновременно коллектором данных и анализатором. Помимо прочего, его функционал включает диагностику проблем сетевой инфраструктуры (включая проблемы с сетевым подключением, настройками или так называемые узкие места при передаче данных). FlowControl предоставляет подробную информацию о трафике, который генерируют пользователи, а также соединениях между серверами и приложениями. Этот инструмент также обеспечивает мониторинг ошибок и выявление аномальной активности сети в среде пользователя. Поскольку FlowControl был создан и внедрен с применением методики ATT&CK MITRE, правила и механизмы выявления случаев нарушения безопасности позволяют выявить атаки и нежелательные действия в сети. BGP FlowSpec позволяет блокировать DDoS-атаки. FlowControl использует ряд усовершенствованных индикаторов, отчетов и сводок, основанных на практическом опыте инженеров- разработчиков, полученным за 20 лет сотрудничества с крупнейшими компаниями и учреждениями со всего мира.

Ключевые функции решения:

  • Высокая эффективность (250 000 потоков в секунду) и скорость.
  • Гибкие инструменты анализа данных на основе обработки больших данных (напр., поиск Google).
  • Выявление инцидентов, нарушения политики безопасности, DDoS-атак, нежелательные соединения.
  • Визуализация сетевых подключений, геолокация.
  • Определение приложений и хостов, которые создают нагрузку на сеть.
  • Функциональная валидация политики QoS.
  • Выявление и нейтрализация DDoS-атак.
  • Анализ соединений на уровне конкретного сетевого порта.
  • Проверка и анализ сегментации сети L3.
  • Простая установка и конфигурация - внедрение на базовом уровне, при котором экспортная конфигурация основного потока занимает один день.