NetFlow - это протокол, разработанный компанией Cisco Systems, также известный как стандарт IPFIX – компонент Cisco IOS. Протокол NetFlow работает на IP-устройствах (маршрутизаторах, коммутаторах 3-го уровня) и предоставляет статистику IP-трафика. Ряд производителей внедрили этот стандарт (напр., Juniper выпустила аналогичное решение под названием jFlow). Другие компании (напр., HP, Foundry и Extreme) используют технологию контроля потока данных sFlow.
Несмотря на свое название, NetFlow охватывает значительный объем данных и является богатым источником информации, обновляемой в режиме реального времени; эта информация доступна в любое время и содержит множество сведений о трафике данных сети.
Система визуализирует не только параметры TCP/IP на 3-м и 4-м уровне (IP-адрес источника, целевой IP-адрес, протокол, порт), но и дополнительные атрибуты трафика (Type of Service, DSCP, идентификатор источника и целевые области автономных систем в протоколе BGP) и дополнительную информацию о маршрутизации и трафике - следующий транзитный участок, входящий и исходящие интерфейсы, сетевой адрес источника и целевой сетевой адрес.
Преимущества и недостатки
Технология NetFlow позволяет выявлять проблемы, узкие места в сети, проверять настройки классов трафика (CoS/ToS), определять отправленный трафик и приложения, а также позволяет привязать его к определенному пользователю в конкретный период. Более того, NetFlow в качестве технологии, интегрированной в Cisco IOS, не требует использования дополнительных устройств или приобретения лицензий. Большинство платформ Cisco, начиная с маршрутизаторов Cisco ISR, совместимы с NetFlow.
С помощью NetFlow можно создать относительно недорогую и простую систему мониторинга сетевого трафика.
*flow data - shall be understood as NetFlow v5 v9, NSEL, IPFIX, sFlow.
Однако, без соответствующих инструментов для обработки предоставляемых данных NetFlow не особо полезен. Его польза и роль в управлении производительностью сети зависят от способа получения данных ИТ-специалистами. Учитывая объем доступной информации, нет смысла анализировать данные с точки зрения их потока от отдельно взятого элемента сети. Для полноценного использования протокола NetFlow необходимо собрать внешнюю базу данные и обеспечить интуитивный интерфейс, что позволит найти информацию, которая нас интересует, и аномальную активность сети, а также поможет распланировать расширение сетевой инфраструктуры.
Система обработки информации, собранной с помощью NetFlow, состоит из следующих компонентов:
Агент NetFlow, который собирает данные о трафике, что проходит через сетевые устройства, и отправляет их в центральное хранилище (так называемый коллектор). Фактически, любой маршрутизатор Cisco, на котором установлено ПО IOS (начиная с версии 12.3T и выше, NetFlow доступен в функционале SP Services), можно использовать в качестве агента. Коммутаторы Catalyst 6500 также поддерживают протокол NetFlow, а в коммутаторе Catalyst 4500 он встроен в качестве дополнительной функции.
Коллектор NetFlow, который собирает информацию с агентов. Учитывая большой объем данных, коллектор обычно фильтрует, агрегирует и удаляет данные перед помещением их в базу.
Модуль визуализации, который используется для представления данных, собранных в коллекторе NetFlow. Он поддерживает ряд функций таких как обеспечение сетевого планирования, сопоставление пользователей или мониторинг трафика.
С помощью модуля визуализации можно получить следующую информацию:
- Какие приложения используются? Являются ли все они легальными?
- Кто использует приложения?
- Какие серверы являются источниками трафика?
- Являются ли они серверами в действительности? Каких серверов достигает трафик? Необходимо ли достигать этих серверов?
- Какие приложения создают больше всего трафика?
- Кто использует всю доступную пропускную способность?
- Выполняется ли тегирование входящего трафика оператора должным образом?
- Какие интерфейсы отображают самую большую нагрузку?
- Какие маршрутизаторы отображают самую большую нагрузку?
- Выполняется ли маршрутизация собственного и транзитного трафика должным образом?
- Обеспечивают ли подключения достаточный битрейт?
- Происходит ли направление передачи трафика должным образом?
- Какие приложения запущены на серверах?
- Какие порты используют серверы?
- Откуда приходит трафик и куда он направляется?
- Какие серверы генерируют трафик? Является ли он законным?
Преимущества
Главное преимущество NetFlow в том, что при грамотном использовании можно создать относительно недорогую и простую систему мониторинга сетевого трафика. Единственные расходы будут связаны с приобретением приложения для визуализации данных.
Кроме того, с помощью NetFlow можно мониторить любой канал в сети. Поскольку настройка NetFlow на маршрутизаторе выполняется на программном уровне, можно выборочно активировать его устройства мониторинга, а также другие критические устройства (напр., на концентраторе, на маршрутизаторе, который обеспечивает
подключение к Интернету или в местах, где возникают проблемы в сети).
Более того, NetFlow - это открытый протокол, поэтому он поддерживает ряд сторонних приложений для мониторинга сети в режиме реального времени, создания отчетов и сопоставления пользователей в сети. Обычно приложения разрабатываются под индивидуального клиента и конкретные требования.
Преимущества использования системы на основе NetFlow:
Повышенная безопасность сети – мониторинг сетевой активности является одним из ключевых элементов обеспечения безопасности. С помощью интерфейса систем визуализации можно выполнять сканирование портов, выявлять DoS-атаки и переключение между IP- адресами.
Возможность полного отображения сетевого трафика и его источника позволяет выявлять незаконные действия и избежать больших штрафов (напр., за использование нелицензионного ПО).
Планирование развития сети – определение моделей трафика и адаптация к ширине канала до того, как сеть достигнет максимальной пропускной способности (напр., выявление серверов с неправильным расположением и их перемещение во избежание чрезмерной нагрузки на глобальную сеть).
Ускоренное решение проблем (напр., с помощью оптимизации настроек QoS для правильной приоритизации важных приложений, что обеспечивает более быстрый ответ).
В качестве системы, анализирующей протокол Netflow можно выделить решение FlowControl от компании Sycope.
FlowControl - это специальное решение для анализа сетевого трафика и выявления угроз, которое использует протоколы NetFlow, SFlow, IPFIX и NSEL. Он является одновременно коллектором данных и анализатором. Помимо прочего, его функционал включает диагностику проблем сетевой инфраструктуры (включая проблемы с сетевым подключением, настройками или так называемые узкие места при передаче данных). FlowControl предоставляет подробную информацию о трафике, который генерируют пользователи, а также соединениях между серверами и приложениями. Этот инструмент также обеспечивает мониторинг ошибок и выявление аномальной активности сети в среде пользователя. Поскольку FlowControl был создан и внедрен с применением методики ATT & amp; CK MITRE, правила и механизмы выявления случаев нарушения безопасности позволяют выявить атаки и нежелательные действия в сети. BGP FlowSpec позволяет блокировать DDoS-атаки. FlowControl использует ряд усовершенствованных индикаторов, отчетов и сводок, основанных на практическом опыте инженеров- разработчиков, полученным за 20 лет сотрудничества с крупнейшими компаниями и учреждениями со всего мира.
Ключевые функции решения:
- Высокая эффективность (250 000 потоков в секунду) и скорость.
- Гибкие инструменты анализа данных на основе обработки больших данных (напр., поиск Google).
- Выявление инцидентов, нарушения политики безопасности, DDoS-атак, нежелательные соединения.
- Визуализация сетевых подключений, геолокация.
- Определение приложений и хостов, которые создают нагрузку на сеть.
- Функциональная валидация политики QoS.
- Выявление и нейтрализация DDoS-атак.
- Анализ соединений на уровне конкретного сетевого порта.
- Проверка и анализ сегментации сети L3.
- Простая установка и конфигурация - внедрение на базовом уровне, при котором экспортная конфигурация основного потока занимает один день.
