NetFlow e IPFIX são dois protocolos de coleta de informações de tráfego de rede que permitem que os administradores monitorem e analisem o tráfego de rede. Ambos os padrões são amplamente utilizados para ajudar os administradores de TI a entender e otimizar o desempenho de suas redes.
O que é NetFlow?
NetFlow é um protocolo de rede originalmente desenvolvido pela Cisco para coletar informações de tráfego IP e monitorar dados de telemetria de rede. Os switches ou roteadores habilitados para NetFlow geram essas estatísticas de tráfego agregadas que oferecem visibilidade da utilização da largura de banda, das conexões de comunicação e das atividades dos clientes.
O formato mais comum usado é o NetFlow v5. Para suportar uma demanda para extrair um conjunto de dados mais amplo, o formato IPFIX surgiu entre uma variedade de formatos proprietários, como jFlow, sFlow ou NetStream.
Para que serve o NetFlow?
O monitoramento do tráfego gera estatísticas que representam os dados de fluxo na rede. As operações de rede e segurança compreendem quem se comunica com quem, quando, por quanto tempo e com que frequência. Na linguagem de um ambiente de rede de dados, são monitorados endereços IP, volumes de dados, tempo, portas, protocolos e isso pode ser enriquecido com medições de latência e dados da camada de aplicação para uma variedade de protocolos.
Coletando NetFlow
Quando uma solicitação de um cliente para o servidor é enviada, o dispositivo ativo com capacidade de exportação NetFlow examina o cabeçalho do pacote e cria um registro de fluxo. O registro de fluxo contém informações sobre as portas e endereços IP de origem e destino, número do protocolo, número de bytes e pacotes e todas as outras informações das camadas 3 e 4. As comunicações de rede de dados individuais são identificadas pelos endereços IP de origem e destino, portas e número do protocolo.
As estatísticas do NetFlow são fornecidas por dispositivos de rede (roteadores, switches) ou por sondas (probes) de hardware autônomas especializadas. As probes são conectadas de forma transparente à rede monitorada como dispositivos passivos, criando um fluxo preciso e detalhado de estatísticas a partir da cópia do tráfego de rede. Essa abordagem é usada para superar várias limitações de desempenho e recursos do monitoramento NetFlow com base em roteador.
É sempre importante verificar a documentação do roteador/switch para garantir que ele oferece suporte ao NetFlow e, em caso afirmativo, qual versão. Geralmente é necessário testar se isso acontece. Os dados do NetFlow extraídos de roteadores ou switches são uma abstração do próprio tráfego de rede. As estatísticas de fluxo são criadas como uma agregação do tráfego de rede que contém dados básicos de telemetria L3/L4 do cabeçalho IP, como IP, porta ou protocolo ou Tipo de serviço. O conteúdo da comunicação não é armazenado, portanto, a taxa de agregação alcançável é de cerca de 500:1 em comparação com o armazenamento de rastreamentos de pacotes completos. Isso significa que a largura de banda exportada pelo NetFlow consome cerca de 0,2%.
O que é IPFIX?
IPFIX (Internet Protocol Flow Information Export) é um protocolo padrão que é usado para coletar e exportar informações de fluxo de rede. Aproveitando o formato IPFIX flexível, é possível enriquecer os campos de dados do NetFlow com informações da camada de aplicação da carga do pacote para fornecer uma compreensão mais profunda do tráfego de rede, mantendo a taxa de agregação de 250:1 ou 0,4% a 0,5% da largura de banda. Isso traz detalhes relevantes, mantendo a escalabilidade, oferecendo uma visão sobre a comunicação de dados, relatórios flexíveis e solução eficaz de problemas operacionais e detecção de incidentes de segurança. Essa abordagem permite lidar com até 95% dos incidentes de rede.
Para que serve o IPFIX?
Esses dados permitem analisar a estrutura do tráfego, identificar endpoints que transferem grandes quantidades de dados ou solucionar problemas de rede e configurações incorretas. Em outras palavras, representa um nível de detalhe suficiente para lidar com cerca de 80% dos incidentes de rede. No entanto, o nível de detalhe contido nos dados do NetFlow pode não ser suficiente para solução de problemas, análise forense ou monitoramento de desempenho.
Lista de padrões de fluxo
O NetFlow vem em muitos padrões e formas proprietárias, cada uma variando em funcionalidade e usabilidade.
NetFlow v5: Padrão original da Cisco para monitoramento de fluxo suportado por muitos roteadores e switches. Formato fixo e conjunto de atributos com foco nas informações da rede L3/L4. Considerado obsoleto agora devido a muitas limitações, como falta de informações de tráfego IPv6 ou falta de extensibilidade. Suportado por muitas ferramentas e aplicativos de monitoramento.
NetFlow v9: Padrão de monitoramento de fluxo estendido que lida com as limitações da versão 5. Oferece monitoramento de tráfego IPv6, informações de L2 como endereços MAC ou tags VLAN.
NetFlow flexível: Um padrão Cisco, semelhante ao NetFlow versão 9, com mais flexibilidade na configuração de exportação de fluxo e personalização em campos-chave (como os pacotes estão sendo agregados aos fluxos) e quais informações estão sendo exportadas. O NetFlow flexível estende o monitoramento para L7 pela tecnologia NBAR2 que identifica o aplicativo pelo payload.
IPFIX (NetFlow v10): Padrão internacional independente que permite aos fornecedores de ferramentas de monitoramento com base em fluxo, como o Flowmon Probe, definir extensões de protocolo próprias para exportar qualquer informação literária de L2 a L7. O Flowmon é pioneiro nessa tecnologia, oferecendo visibilidade em muitos protocolos de aplicativos, com crescimento contínuo do escopo de protocolos suportados. Esta é uma tecnologia crucial que permite oferecer visibilidade de rede exclusiva sem a necessidade de captura contínua de pacotes, integrar NetOps e SecOps em uma única plataforma e escalar em um ambiente multi 100G. No ambiente Cisco, o IPFIX é normalmente referido como NetFlow v10, padronizado pelo IETF.
jFlow: Padrão Juniper para monitoramento de fluxo disponível nas versões v5 e v9. A principal diferença em comparação com o NetFlow é que os carimbos de data/hora dos dados de fluxo exportados são preservados para toda a sessão de rede, o que requer um tratamento um pouco diferente no lado do coletor. Em geral, esse padrão é compatível com NetFlow.
NetStream: Padrão Huawei para monitoramento de fluxo disponível nas versões 5 e 9. Este padrão é compatível com NetFlow.
cflow: Padrão Alcatel-Lucent para monitoramento de fluxo disponível nas versões 5 e 9. Este padrão é compatível com NetFlow, porém geralmente disponível apenas como dados de fluxo amostrados.
NEL / NSEL: NEL significa Network Event Logging, que se refere aos logs da conversão de endereços de rede. NSEL significa Network Security Event Logging, que se refere aos logs de firewall produzidos pelo Cisco ASA. O NetFlow v9 é usado para transportar esses logs para o coletor, mas esses dados não podem ser considerados NetFlow reais, pois as informações fornecidas no NEL ou NSEL não são capazes de reconstruir um gráfico de tráfego de rede real.
sFlow: É uma tecnologia padrão da indústria para monitoramento de redes de alta velocidade. Ao contrário do NetFlow, esta tecnologia não trabalha com o conceito de cache de fluxo e agregação de metadados extraídos de pacotes a fluxos. Os cabeçalhos amostrados são codificados em formato semelhante ao NetFlow e exportados para o coletor. Devido às altas taxas de amostragem (geralmente 1:1000), esses dados não são precisos o suficiente para lidar com detecção de anomalias na rede. Por outro lado, é fácil produzir esses dados, uma vez que o padrão sFlow é suportado por switches corporativos básicos.
NetFlow Lite: É a versão Cisco do sFlow com todos os prós e contras relacionados a esta tecnologia.
FlowLogs: É uma nova tecnologia emergente oferecida por plataformas de nuvem pública para permitir o monitoramento do tráfego de rede usando uma abordagem com base em fluxo. Os FlowLogs geralmente vem por meio de APIs especiais de plataformas de nuvem específicas fornecidas em formato CSV ou JSON, que precisam ser convertidos em formatos de fluxo tradicionais para coleta e processamento adicional em plataformas de monitoramento de tráfego padrão. Na Amazon AWS, essa tecnologia é chamada de VPC FlowLogs. No Microsoft Azure, essa tecnologia é conhecida como NSG FlowLogs.
Dispositivos habilitados para fluxo
Equipamentos de rede (roteadores/switches): Cisco, HP, Huawei, Juniper Networks, Alcatel, Exteme Networks e mais
Firewalls, UTMs, balanceadores de carga e hypervisors: Check Point, Palo Alto, Sonic Wall, VMware, balanceadores de carga Kemp e muito mais
Agentes de pacotes e switches: Ixia, Gigamon, Cubro e etc
Vantagens e benefícios NetFlow e IPFIX
Introduzir visibilidade profunda em ambientes virtuais, híbridos e em nuvem
Detectar anomalias como serviços que não respondem, ataques de ransomware, falsificação de IP ou verificação de portas
Avaliar o tráfego criptografado para simplificar a aplicação de políticas de segurança
Identificar os principais consumidores de largura de banda para economizar orçamento em infraestrutura
Monitorar a latência de aplicativos SaaS, como Office 365, Salesforce ou Google Apps
Acompanhar a experiência do usuário, identificar gargalos e problemas de latência de aplicativos
Detectar a degradação do serviço que pode afetar as operações de missão crítica
Relatórios avançados para ficar à frente dos incidentes de rede
Observar a atividade do dispositivo e aplicar políticas de segurança, incluindo BYOD
Entender o incidente de rede, a causa raiz e os serviços afetados
Tomar as decisões mais eficazes sobre as necessidades de infraestrutura e capacidade do servidor
Rastrear dados históricos para aprender sobre tendências e tomar decisões proativas
Monitoramento NetFlow e IPFIX avançado com Flowmon
O Flowmon permite que você identifique a causa raiz dos problemas, oferece visibilidade completa da rede e detecta ameaças de segurança com facilidade, graças ao seu mecanismo de IA e flexibilidade incomparável.
Obtenha uma solução repleta de recursos com excelente suporte.
Maximize o investimento: O Flowmon é até 500 vezes mais escalável do que a análise de pacotes.
Compatibilidade de dados: Compatível com todos os ambientes para integração perfeita.
Suporte premiado: Atendimento 24 horas por dia, 7 dias por semana, com classificação 5/5 no Gartner Peer Insights.
Entre em contato com a International IT para saber mais detalhes ou realizar um trial da solução Flowmon em seu ambiente.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
