a opravdu velká série soutěží o nejlepší webovou stránku !!
Proto neváhejte a začněte hned zítra soutěžit o lákavé ceny !!
Netflow
Z Multimediaexpo.cz
NetFlow je otevřený protokol vyvinutý společností Cisco Systems, určený původně jako doplňková služba k Cisco směrovačům. Jeho hlavním účelem je monitorování síťového provozu na základě IP toků, které poskytuje administrátorům i manažerům podrobný pohled do provozu na jejich síti v reálném čase. Proto tvoří důležitou a nepostradatelnou součást zabezpečení každé počítačové sítě a je užitečný pro ISP (Internet Service Providers - poskytovatelé připojení), kteří na základě NetFlow statistik mohou svým zákazníkům účtovat ceny služeb v závislosti na množství přenesených dat. S pomocí NetFlow statistik lze odhalovat vnější i vnitřní incidenty, úzká místa v síti, dominantní zdroje provozu, efektivněji plánovat budoucí rozvoj sítě, sledovat, kdo komunikoval s kým, jak dlouho a s pomocí kterého protokolu.
Obsah |
NetFlow architektura
NetFlow architektura se typicky skládá z několika NetFlow exportérů a jednoho NetFlow kolektoru. NetFlow exportér je připojen k monitorované lince a analyzuje procházející pakety. Na základě zachycených IP toků generuje NetFlow statistiky a ty exportuje na NetFlow kolektor. NetFlow kolektor je zařízení s velkou úložnou kapacitou, které sbírá statistiky z většího počtu NetFlow exportérů a ukládá je do dlouhodobé databáze. Nad těmito daty obvykle běží aplikace, která je umí efektivně vizualizovat a generovat z nich přehledy v podobě grafů a tabulek, které umožňují jednoduše analyzovat monitorovaný provoz i běžnému uživateli.
Tradiční architektura
Tradiční architektura podle Cisco předpokládá na pozici NetFlow exportérů směrovače, které vedle své hlavní činnosti provádějí také výpočet NetFlow statistik. Tradiční architektura však trpí několika nevýhodami. Především se jedná o vysokou pořizovací cenu podobného zařízení, které brání jeho nasazení v malých a středních sítích. Výpočet NetFlow statistik také omezuje směrovací výkon celého zařízení, proto většina směrovačů s podporou NetFlow (s výjimkou těch nejdražších) využívá na vstupu vzorkování, tzn. že se pro výpočet statistik využívá jen každý n-tý paket. Kromě snížené přesnosti měření omezuje vzorkování také pravděpodobnost odhalení bezpečnostních incidentů.
Moderní architektura
Proto se v poslední době stávají velmi oblíbenými řešení, využívající pasivní NetFlow sondy (v ČR např. FlowMon od firmy INVEA-TECH), což jsou zařízení specializovaná na monitorování a export NetFlow statistik, která jsou díky své jednoduchosti velmi levná. NetFlow sondy odstraňují všechny nevýhody tradiční architektury a na rozdíl od směrovačů je lze připojit do libovolného bodu v síti a to transparentním způsobem. Sondy procházející data pouze monitorují a nijak do nich nezasahují (proto pasivní sondy). Exportované statistiky jsou na kolektor odesílány dedikovanou linkou a díky tomu jsou na monitorované lince zcela neviditelné (na vrstvách L2 a výše). Tento rys z nich činí velmi obtížný cíl pro případné útočníky.
Co je to IP tok
IP tok je alfou a omegou celé NetFlow technologie - na jeho základě jsou generovány NetFlow statistiky. Tok je v terminologii NetFlow definován jako sekvence paketů se shodnou pěticí údajů: cílová/zdrojová IP adresa, cílový/zdrojový port a číslo protokolu. Pro každý tok je zaznamenávána doba jeho vzniku, délka jeho trvání, počet přenesených paketů a bajtů a další údaje.
Popis protokolu
NetFlow protokol vznikl v několika verzích, první masově používanou se však stala až verze 5 (NetFlow v5) a v současnosti se začíná hojně využívat i verze 9. Na základě protokolu NetFlow v9 vznikl v nedávné době nový IETF standard Internet Protocol Flow Information eXport (IPFIX), který je taktéž velmi oblíbený a výrobci síťových technologií jej začínají hojně podporovat ve svých nejvýkonějších směrovačích a přepínačích. Lze očekávat, že se v blízké budoucnosti pravděpodbně stane průmyslovým standardem. NetFlow nezahrnuje žádný protokol určený pro konfiguraci spojení mezi exportéry a kolektory. Kromě připojení sond nevyžaduje žádné zásahy do prvků na monitorované síti, proto běžný uživatel vůbec nepozná, že nějaké monitorování probíhá.
| Verze | Popis |
|---|---|
| v1 | První verze |
| v2-v4 | Nebyly uvedeny |
| v5 | Nejpoužívanější |
| v6 | Podpora pro tunelovaný provoz |
| v7 | Informace ze switchů |
| v9 | Struktura daná šablonou, umožňuje mnoho kombinací |
| IPFIX | V podstatě v10, IETF standard, rozšíření v9 |
NetFlow záznamy produkované směrovači nebo NetFlow sondami jsou exportovány na kolektor pomoci User Datagram Protokolu (UDP) nebo Stream Control Transmission Protokolu (SCTP). Jakmile je NetFlow záznam exportován, je z důvodů větší efektivity exportérem zahozen. To má za následek ztrátu NetFlow záznamu v případě, že se paket vlivem nepříznivých okolností nepodaří doručit. V případě UDP protokolu už neexistuje možnost, jak tento NetFlow záznam znovu odeslat a je proto ztracen navždy. Export NetFlow paketů probíhá obvykle na portech 2055, 3000-3010, 9555 nebo 9995.
NetFlow záznam obsahuje důležité statistiky o síťovém provozu. V paketu NetFlow v5 jsou obsaženy následující položky:
- Číslo verze
- Sekvenční číslo
- SNMP index vstupního a výstupního rozhraní (umožňuje sledovat vytížení jednotlivých síťových rozhraní, vyžaduje seznam rozhraní přístupný pomocí SNMP)
- Čas začátku a konce IP toku (tzn. výskyt prvního a posledního paketu tohoto toku)
- Počet bajtů a paketů v toku
- Údaje z L3 hlavičky:
- Zdrojové a cílové IP adresy
- Zdrojové a cílové porty
- IP protokol
- Type of Service (ToS)
- U TCP toků obsahuje množinu tvořenou sjednocením všem TCP flagů, které se v toku vyskytly.
- Směrovací informace:
- IP adresa přístího hopu (důležité pro analýzu routovacích postupů)
- Maska cílové a zdrojové IP adresy (délky prefixlů podle CIDR notace)
Některé exportéry také uvádějí hodnotu zdrojového a cílového autonomního systému (AS). Tato hodnota však nemusí být vždy přesná.
NetFlow v9 je definována jako flexibilní formát. Může obsahovat všechny hodnoty verze 5 a další volitelné položky, např MPLS, IPv6 adresy a porty atd.
Externí informace
| Náklady na energie a provoz naší encyklopedie prudce vzrostly. Potřebujeme vaši podporu... Kolik ?? To je na Vás. Náš FIO účet — 2500575897 / 2010 |
|---|
| Informace o článku.
Článek je převzat z Wikipedie, otevřené encyklopedie, do které přispívají dobrovolníci z celého světa. |