توضیح مانیتورینگ شبکه: NetFlow vs sFlow در مقابل IPFIX
تجهیزات مدرن شبکه قادر به پردازش میلیاردها بسته در هر ثانیه است ، اما بیشتر کارها در پشت صحنه اتفاق می افتد. Network Flow Monitoring ، همچنین به عنوان نمونه برداری بسته ای شناخته می شود ، هدف آن این است که مهندسان شبکه را به میزان گسترده ای از ترافیک که هر روز از اتصالات بی سیم و بی سیم ما عبور می کند ، مشاهده کنیم. در این پست وبلاگ ، ما بررسی خواهیم کرد که نظارت بر جریان شبکه چیست و چگونه برای جریان روان و ایمن ترافیک استفاده می شود. ما همچنین به سه مورد از محبوب ترین فن آوری های نظارت بر جریان خواهیم پرداخت.
نظارت بر جریان شبکه چیست؟
نظارت بر جریان شبکه ، جمع آوری ، تجزیه و تحلیل و نظارت بر ترافیک است که در یک شبکه یا بخش شبکه مشخص عبور می کند. اهداف ممکن است از عیب یابی مشکلات اتصال تا برنامه ریزی برای تخصیص پهنای باند در آینده متفاوت باشد. نظارت بر جریان و نمونه برداری از بسته حتی می تواند در شناسایی و اصلاح مسائل امنیتی مفید باشد.
نظارت بر جریان ، به تیم های شبکه ایده خوبی در مورد نحوه کارکرد یک شبکه می دهد ، اطلاعاتی در مورد استفاده کلی ، استفاده از برنامه ، گلوگاه های احتمالی ، ناهنجاری هایی که ممکن است تهدیدهای امنیتی را نشان دهند و موارد دیگر. چندین استاندارد و قالب مختلف در نظارت بر جریان شبکه از جمله NetFlow ، sFlow و پروتکل اینترنت جریان صادرات اطلاعات (IPFIX) استفاده می شود. هر کدام به روشی کمی متفاوت عمل می کنند ، اما همه آنها از بازتاب پورت و بازرسی بسته عمیق متمایز هستند ، زیرا محتوای هر بسته عبوری از پورت یا یک سوئیچ را ضبط نمی کنند. با این حال ، نظارت بر جریان اطلاعات بیشتری نسبت به SNMP ارائه می دهد ، که عموماً به آمار گسترده ای مانند استفاده کلی از بسته و پهنای باند محدود می شود.
نحوه استفاده از نظارت بر جریان و نمونه برداری از بسته
نظارت بر جریان و نمونه برداری از بسته می تواند مزایای زیادی را فراهم کند. اما برای تأثیرگذار بودن به برنامه ریزی و تنظیم دقیق نیاز دارد. در اینجا چند نکته کلی برای استفاده بیشتر از یک راه حل نظارت بر جریان آورده شده است: عمل. به عنوان مثال NetFlow نسخه 5 از IPv4 یا VLAN پشتیبانی نمی کند ، بنابراین استفاده از آن در یک شبکه IPv6 بسیار تقسیم بندی شده محدود است. قبل از شروع به راه اندازی نظارت بر جریان در شبکه ، باید نیازها و انتظارات مشخصی داشته باشید. با س questionsالات عمومی مانند «کجا به چشم اندازی نیاز داریم؟» ، «به چه نوع اطلاعات خاصی علاقه مند هستیم؟» و «آیا به جریان کامل نیاز داریم یا داده های نمونه برداری کافی است؟» را شروع کنید. س questionsالات فنی بیشتر مانند "آیا ما به ورودی و خروج از ترافیک نیاز داریم؟" و "کدام سربرگ های بسته را باید ضبط کنیم؟" به شما کمک می کند تا نیاز خود را کاهش دهید.
هزینه نیز به عنوان یک پتانسیل قابل توجه است. عملکرد فعال کردن نظارت بر جریان بر روی سخت افزار شبکه شما. تقریباً همه تجهیزات شبکه مدرن از جذب و صادرات جریان های ترافیکی پشتیبانی می کنند ، اما جمع آوری ، تجزیه و تحلیل و نظارت بر این جریانات معمولاً در یک ابزار شخص ثالث صورت می گیرد. این ابزارها از نظر هزینه بسیار گسترده هستند و گزینه های متن باز و تجاری در دسترس هستند.
سخت افزار خود را بشناسید
اگرچه بیشتر تجهیزات شبکه درجه یک از نوعی نظارت بر جریان را پشتیبانی می کنند ، اما فناوری دقیق و قابلیت ها متفاوت است ، همچنین روش پیکربندی متفاوت است. با در نظر گرفتن مورد استفاده ، می خواهید آنچه را که سخت افزار شما پشتیبانی می کند ارزیابی کنید. در مواردی که روترها / سوئیچ ها / فایروال های موجود از ویژگی های مورد نیاز شما پشتیبانی نمی کنند ، از پروب های مستقل نیز می توان برای گرفتن داده های نظارت بر جریان استفاده کرد.
قبل از پرش به CLI نزدیکترین روتر خود ، انتخاب کنید چه چیزی را مانیتور کنید
ویژگی را روشن کنید ، شما باید دقیقاً تصمیم بگیرید که به کدام نوع جریان ترافیک شبکه علاقه مند هستید. این معمولاً به صورت "tuple" تعریف می شود. به عنوان مثال رایج ترین نسخه NetFlow از یک "5-tuple" استفاده می کند که شامل آدرس مبدا و مقصد ، منبع و پورت مقصد و قسمت پروتکل است. سایر فناوری های نظارت بر جریان ممکن است از "7-tuple" یا حتی "9-tuple" استفاده کنند. صرف نظر از این ، برای اطمینان از به دست آوردن میزان ترافیک مناسب ، باید قبل از انجام آن کمی تکالیف انجام دهید. همان فروشنده شما می خواهید نه تنها برای محصول خاص خود بلکه برای نسخه نرم افزاری که در شبکه شما استفاده می شود ، از اسناد و مدارک استفاده کنید.
پیکربندی جمع کننده و تجزیه و تحلیل جریان خود
صادر کردن رکوردهای جریان فقط آغاز کار است. برای دریافت ارزش واقعی از نظارت بر جریان ، می خواهید سوابق جریان خود را در یک مجموعه جمع کنید و از یک تجزیه و تحلیل برای درک واقعی داده ها استفاده کنید. یک تحلیلگر جریان می تواند به روند کوتاه مدت و بلند مدت کمک کند ، داده های مهم را تجسم کند و بینش های جدیدی را که ممکن است از دست داده باشید نشان دهد.
مزایای نظارت بر جریان
نظارت بر جریان شبکه می تواند مزایای زیادی را برای سازمان هایی که آن را پیاده سازی کنید. درک اینکه چگونه ، چه موقع و توسط چه کسی شبکه استفاده می شود ، می تواند منجر به انعطاف پذیری بیشتر ، هزینه کمتری برای عملکرد و زمان حل سریعتر شود. در اینجا تنها برخی از مزایایی که نظارت بر جریان شبکه می تواند فراهم کند وجود دارد:
استفاده کارآمدتر از منابع
یک پیوند شبکه یا رابط WAN بسیار پر ازدحام را تصور کنید. اگر به تکنیک های نظارت قدیمی مانند SNMP متکی باشید ، به نظر می رسد که باید پهنای باند اضافی خریداری شود. Flow Monitoring می تواند به سازمان دید عمیق تری نسبت به میزان مصرف و پهنای باند موجود در مورد چه کسی بدهد. شاید یک کارمند یک سرور پرونده غیرمجاز راه اندازی کرده باشد و یا یک پایگاه داده اشتباه پیکربندی شده باشد. اصلاح این نوع مسائل باعث می شود که شما پهنای باند بیشتری نداشته باشید و در نتیجه باعث صرفه جویی در هزینه سازمان می شوید.
وقتی زمان ارتقا capacity ظرفیت شبکه فرا می رسد ، نظارت بر جریان می تواند مبنایی کاملاً دقیق برای برنامه ریزی فراهم کند. با نگاهی به داده های تاریخی می توانید اندازه گیری سرعت ترافیک را افزایش دهید ، و به تصمیم گیرندگان کسب و کار ایده می دهد که به چه زودی ممکن است مورد نیاز برای به روزرسانی مورد نیاز باشد. ترافیک می تواند انگیزه اصلی برای اجرای یک راه حل نظارت بر جریان باشد. نظارت بر ترافیک درون یک شبکه ، برخلاف مرز یا محیط ، می تواند به شناسایی تهدیدهایی که از دیگر انواع دفاع ها گذشته اند ، کمک کند. افزایش ترافیک "شرق غربی" بین ماشین های موجود در شبکه می تواند نشان دهنده انتشار کرم یا ویروس باشد. افزایش ترافیک خروجی می تواند سیگنال خروجی داده ها یا پیام های فرماندهی و کنترل را نشان دهد. مقدار زیادی از ترافیک ورودی ممکن است اولین موج حمله DDoS باشد.
Flow Monitor یک مکمل عالی برای فناوری های امنیتی مبتنی بر امضا مانند سیستم های تشخیص نفوذ و آنتی ویروس است. تهدیدهای جدید ممکن است با هیچ امضای موجود مطابقت نداشته باشد ، اما با نظارت بر جریان ، انحراف از رفتار استاندارد شبکه همچنان می تواند هشدارها را ایجاد کند. از این نوع راه حل ها می توان با ایجاد یک نقطه شروع خوب برای تحلیل گران امنیتی برای انجام یک بسته عمیق تر استفاده از ابزاری مانند Wireshark ، برای کاهش تمرکز در یک کار شکار تهدید استفاده کرد.
تأیید عملکرد برنامه و کیفیت خدمات (QoS)
از آنجا که نظارت بر جریان می تواند برای یک پروتکل خاص فعال شود ، می تواند در تأیید یا عیب یابی عملکرد برنامه های مهم تجاری مانند VoIP یا کنفرانس ویدیویی بسیار مفید باشد. سرپرستان شبکه می توانند مسیری را که این نوع بسته های مهم از طریق شبکه طی می کنند مشاهده کنند و همچنین می توانند از کلاس صحیح سرویس برای ترافیک استفاده کنند.
نظارت بر جریان همچنین در اندازه گیری تأثیر یک برنامه جدید ، پیکربندی شبکه یا تغییر در تعداد کاربران دسترسی به شبکه مفید است.
3 ابزار برتر برای کنترل جریان شبکه
امروزه انواع مختلفی از راه حل های نظارت بر جریان در بازار موجود است ، اما سه مورد برتر Netflow ، sFlow و IPFIX هستند. در اینجا نگاه مختصری به هر یک از این گزینه های برتر وجود دارد:
NetFlow چیست؟
NetFlow راه حل اصلی نظارت بر جریان است که در ابتدا توسط سیسکو در اواخر دهه 1990 توسعه یافته است. چندین نسخه مختلف وجود دارد ، اما بیشتر استقرارها براساس NetFlow v5 یا NetFlow v9 انجام می شود. در حالی که هر نسخه دارای قابلیت های مختلفی است ، عملکرد اصلی به همان صورت باقی می ماند:
ابتدا روتر ، سوییچ ، فایروال یا نوع دیگری از دستگاه اطلاعات مربوط به "جریان" های شبکه را ضبط می کند – اساساً مجموعه ای از بسته ها که مشترک هستند مجموعه ای از مشخصات مانند آدرس مبدا و مقصد ، منبع و پورت مقصد و نوع پروتکل. پس از خاموش شدن جریان یا گذشت زمان از پیش تعیین شده ، دستگاه سوابق جریان را به موجودی موسوم به "جمع کننده جریان" صادر می کند.
سرانجام ، یک "تجزیه و تحلیل جریان" از آن سوابق استفاده کرده و اطلاعاتی را در قالب تجسم ، آمار و گزارش دقیق تاریخی و در زمان واقعی ارائه می دهد. در عمل ، جمع کننده ها و تحلیل گرها غالباً یک موجود واحد هستند ، که اغلب در یک راه حل بزرگتر برای نظارت بر عملکرد شبکه ترکیب می شوند.
NetFlow به صورت دولت عمل می کند. هنگامی که دستگاه مشتری به سرور دسترسی پیدا می کند ، NetFlow شروع به ضبط و جمع آوری فراداده ها از جریان می کند. پس از خاتمه جلسه ، NetFlow یک رکورد کامل واحد به مجموعه جمع خواهد کرد.
گرچه هنوز هم معمولاً مورد استفاده قرار می گیرد ، NetFlow v5 دارای محدودیت های زیادی است. قسمتهای صادر شده ثابت هستند ، نظارت فقط در جهت ورود پشتیبانی می شود و فناوری های مدرن مانند IPv6 ، MPLS و VXLAN پشتیبانی نمی شوند. NetFlow v9 که با نام NetFlow انعطاف پذیر (FNF) نیز شناخته می شود ، برخی از این محدودیت ها را برطرف می کند ، به کاربران امکان می دهد الگوهای سفارشی بسازند و پشتیبانی از فناوری های جدید را اضافه می کنند.
بسیاری از فروشندگان همچنین از NetFlow به صورت اختصاصی پیاده سازی می کنند ، مانند jFlow از Juniper و NetStream از Huawei. اگرچه ممکن است پیکربندی تا حدودی متفاوت باشد ، این پیاده سازی ها غالباً سوابق جریان را تولید می کنند که با جمع آورنده ها و تجزیه و تحلیل های NetFlow سازگار است. در مواردی که NetFlow جریانات را به طور دولتی ردیابی می کند ، sFlow با نمونه برداری تصادفی از سرآیند های بسته کامل جریان مشخص در یک بازه از پیش تعیین شده کار می کند. این می تواند باعث کاهش پهنای باند و استفاده از پردازنده در سوئیچ یا روتر شود که جریان اطلاعات را ضبط می کند ، اما همچنین می تواند دقت اطلاعات جمع آوری شده را کاهش دهد. sFlow ، اطلاعات عمیق تری از NetFlow را شامل می شود ، از جمله هدرهای بسته کامل و حتی بارهای بسته ای جزئی.
sFlow در طیف گسترده ای از تجهیزات شبکه ، حتی در بسیاری از محصولات سیسکو پشتیبانی می شود. در سمت جمع کننده / تحلیلگر ، sFlow رکوردهایی را صادر می کند که با NetFlow سازگار نیستند ، اما بسیاری از ابزارهای نظارت و تحلیل شبکه از هر دو قالب پشتیبانی می کنند.
sFlow بسته های نمونه را تقریباً در زمان واقعی صادر می کند و بر خلاف NetFlow ، هیچ کش کش در دستگاه شبکه وجود ندارد. این می تواند sFlow را در شبکه های بسیار پرسرعت به گزینه ای مقیاس پذیر تبدیل کند. با این حال ، پیکربندی نرخ نمونه گیری مناسب بسیار مهم است. نمونه گیری درصد بیشتری از کل بسته ها می تواند دقت بیشتری به همراه داشته باشد ، اما درصد بسیار زیاد مزایای نمونه گیری آماری را نفی می کند. متأسفانه میزان نمونه گیری "صحیحی" وجود ندارد. تعداد متغیرهای درگیر به معنای متفاوت بودن هر شبکه است.
IPFIX چیست؟
یک استاندارد IETF که در اوایل دهه 2000 پدیدار شد ، صادرات اطلاعات جریان پروتکل اینترنت (IPFIX) بسیار شبیه به NetFlow است. در واقع ، NetFlow v9 به عنوان پایه ای برای IPFIX عمل کرد. تفاوت اصلی این دو در این است که IPFIX یک استاندارد باز است و به غیر از Cisco ، توسط بسیاری از فروشندگان شبکه پشتیبانی می شود. به استثنای چند قسمت اضافی که در IPFIX اضافه شده است ، فرمت ها تقریباً یکسان هستند. در واقع ، از IPFIX حتی گاهی اوقات "NetFlow v10" نیز یاد می شود.
به دلیل شباهت های آن با NetFlow ، IPFIX از پشتیبانی گسترده ای در بین راه حل های نظارت بر شبکه و همچنین تجهیزات شبکه برخوردار است.
ابزارهای جریان شبکه در مقایسه با
| ] ویژگی | NetFlow v5 | NetFlow v9 | sFlow | IPFIX | ||||||||
| باز یا اختصاصی | اختصاصی | اختصاصی | باز [196590590] جریان | باز | باز | باز | باز | باز | 19659053] در درجه اول جریان؛ حالت نمونه موجود است | در درجه اول جریان؛ حالت نمونه برداری موجود است | نمونه برداری | در درجه اول جریان؛ حالت نمونه برداری موجود است |
| اطلاعات ضبط شده | متادیتا و اطلاعات آماری ، از جمله بایت منتقل شده ، شمارنده های رابط و غیره | متادیتا و اطلاعات آماری ، از جمله بایت منتقل شده ، شمارنده رابط و غیره | عناوین کامل بسته ها ، محموله های بسته ای جزئی | فراداده و اطلاعات آماری ، از جمله بایت های منتقل شده ، شمارنده های رابط و غیره | ||||||||
| نظارت بر ورود / خروج | فقط ورود | ورود و خروج | ورود و خروج | ورود و خروج | ||||||||
| پشتیبانی IPv6 / VLAN / MPLS | نه | بله | بله | بله |
ملاحظات برای نظارت بر جریان
همانطور که قبلاً بحث شد ، هنگام استفاده از هر راه حل نظارت بر جریان ، نکات مهم وجود دارد اعم از NetFlow ، sFlow یا IPFIX. انتخاب اینکه از چه پلتفرم یا ابزاری برای تجزیه و تحلیل سوابق جریان خود استفاده می کنید ، می تواند تاثیری در میزان دریافت از نظارت بر جریان داشته باشد.
همچنین می خواهید شرایط ذخیره سازی را نیز در نظر بگیرید ، که بسته به میزان بازدید یا نمونه برداری از آنها می تواند متفاوت باشد.
شاید از همه مهمتر ، شما بخواهید که آیا نظارت بر جریان حتی مناسب ترین نوع تجزیه و تحلیل ترافیک شبکه برای نیازهای شما است. آیا با ضبط بسته کامل به سطح بازرسی عمیق تری نیاز دارید؟ یا فراداده و اطلاعات خلاصه کافی خواهد بود؟
آیا این راه حل برای شما مناسب است؟
Flow Monitor یک امر ضروری برای هر جعبه ابزار مهندس شبکه است ، اما همه چیز و همه چیز نیست ، به خصوص در مورد امنیت. نمونه برداری از بسته به طور خاص می تواند تهدیدات بسیار پیچیده ای را که صدای زیادی ایجاد نمی کند از دست بدهد. جفت شدن چشم اندازهای شبکه محور از نظارت بر جریان با یک راه حل داده محور مانند Varonis Data Protection Platform می تواند به شما کمک کند از نقاط کور جلوگیری کنید ، تهدیدات پیشرفته را شناسایی کرده و انطباق را حفظ کنید. اگر می خواهید بیشتر بدانید که وارونیس چگونه می تواند راه حل های نظارت موجود شما را تکمیل کند ، امروز یک نسخه آزمایشی یک به یک برنامه ریزی کنید!