Flowmon Netflow

NetFlow ist ein Enabler für modernes Netzwerkmanagement und Sicherheit. Es ist der am weitesten verbreitete Standard für die Überwachung des Netzwerkverkehrs und bietet Netzwerkadministratoren, Sicherheitsingenieuren und Betriebsleitern tiefgreifende Kenntnisse über ihre IT-Umgebung. NetFlow bringt eine völlig neue Effektivität, wenn IT-Profis Fehlersuche, Kapazitätsplanung, Leistungsdiagnose und viele andere Aufgaben durchführen.

Die nächste Generation des Netzwerk-Performance- und Sicherheitsmanagements

Jahrelang wurde die regelmäßige Überwachung eines Netzwerks mit Hilfe des SNMP-Protokolls durchgeführt, das einen Überblick über die IT-Infrastruktur liefert und Netzwerkadministratoren Informationen über die Verfügbarkeit der Komponenten gibt. Heute, wo die Verfügbarkeit und das ordnungsgemäße Funktionieren des Netzwerks für die Existenz eines Unternehmens entscheidend sind, werden viel mehr Informationen und ausgefeilte Methoden benötigt. Um diese Informationen zu erhalten, hat Cisco NetFlow entwickelt, einen Standard zum Sammeln von Netzwerkverkehrsstatistiken von Routern, Switches oder speziellen Netzwerksonden.

NetFlow liefert Informationen aus Layer 3 und Layer 4, also IP-Adressen, Ports, Protokoll, Zeitstempel, Anzahl der Bytes, Pakete, Flags und einige andere technische Details. Man kann sich das leicht wie eine Liste von Telefonaten vorstellen. Wir wissen, wer mit wem, wann, wie lange, wie oft usw. kommuniziert hat; aber wir wissen nicht, was das Thema des Gesprächs war. Durch das Sammeln, Speichern und Analysieren dieser aggregierten Informationen können Netzwerkadministratoren, Sicherheitsingenieure oder Betriebsleiter mit verschiedenen Aufgaben fortfahren.

Sammeln von Netflow. Wie funktioniert es?

NetFlow ist der am weitesten verbreitete Standard für Flussdatenstatistiken in der Netzwerkkommunikation. In der Sprache einer Datennetzwerkumgebung repräsentiert ein Flow eine Netzwerkkommunikation mit gleicher Quell-IP-Adresse, Quell-Port, L4-Protokoll, Ziel-IP-Adresse und Ziel-Port. NetFlow ist in verschiedenen Versionen verfügbar, die sich deutlich unterscheiden, so dass das Verständnis der NetFlow-Version wichtig ist, um die richtigen Lösungen für die jeweiligen Anforderungen zu wählen:

• NetFlow v5 - die am weitesten verbreitete Version, die auf verschiedenen Routern und aktiven Netzwerkkomponenten verfügbar ist. Allerdings entspricht diese Version nicht den aktuellen Anforderungen. NetFlow v5 unterstützt keinen IPv6-Verkehr, MAC-Adressen, VLANs oder andere Erweiterungsfelder.
• NetFlow v9 - schablonenbasierter Standard, beschrieben in RFC 3954. Er unterstützt sowohl IPv6 als auch die in NetFlow v5 fehlenden Felder.
• NetFlow v10 alias IPFIX - von der IETF standardisiert, erweiterte Version von NetFlow v9, die Felder mit variabler Länge (z. B. HTTP-Hostname oder HTTP-URL) sowie von Unternehmen definierte Felder unterstützt.

Die derzeit am häufigsten verwendeten Versionen sind NetFlow v5 (festes Format) und NetFlow v9 (vorlagenbasiert, flexibel). Ein weiteres häufig verwendetes Protokoll ist IPFIX, auch bekannt als NetFlow v10. Der Internet Protocol Flow Information Export (IPFIX) wurde von der IETF-Arbeitsgruppe aus dem Bedarf nach einem gemeinsamen, universellen Standard für den Export von IP-Flow-Informationen entwickelt. Der IPFIX-Standard definiert, wie IP-Flow-Informationen formatiert und von einem Exporter zu einem Collector übertragen werden. Zuvor verließen sich viele Datennetzbetreiber auf den proprietären Cisco NetFlow-Standard für den Export von Verkehrsflussinformationen. Der IPFIX ist ein viel flexiblerer Nachfolger des NetFlow-Formats und ermöglicht es, Flussdaten mit mehr Informationen über den Netzwerkverkehr zu erweitern.

Das Prinzip von NetFlow wird im obigen Video beschrieben. Wenn eine Anfrage von einem Client an den Server gesendet wird (grüner Umschlag), schaut das aktive Gerät mit NetFlow-Exportfähigkeit in den Paketkopf und erstellt einen Flow-Record. Der Flow-Record enthält Informationen über die Quell- und Ziel-IP-Adressen und -Ports, die Protokollnummer, die Anzahl der Bytes und Pakete sowie alle anderen Informationen aus Schicht 3 und 4. Einzelne Datennetzkommunikationen werden durch fünf Attribute identifiziert: Quell- & Ziel-IP-Adressen, Ports und Protokollnummer. Wenn also der Server dem Client antwortet, werden die IP-Adressen und Ports im Paket-Header umgekehrt und ein weiterer Flow-Record wird erstellt - NetFlow ist eine Einweg-Verkehrstechnologie. Die nachfolgenden Pakete mit denselben Attributen aktualisieren die zuvor erstellten Flow-Records (z. B.: Anzahl der Bytes, Dauer der Kommunikation). Wenn die Kommunikation beendet ist, werden die Flussdatensätze an den Kollektor gesendet, wo die Daten bereitstehen, um gespeichert und aus verschiedenen Gründen analysiert zu werden.