Was Ist NetFlow?
NetFlow wird von IT-Fachleuten zur Analyse des Netzwerkverkehrs verwendet: zur Bestimmung des Ursprungsorts, des Ziels, des Volumens und der Pfade im Netzwerk. Das NetFlow-Netzwerkprotokoll sammelt den IP-Netzwerkverkehr, während er durch eine Schnittstelle ein- oder ausgeht. Die Durchflussdaten werden analysiert, um ein Bild des Netzwerkverkehrsflusses und -volumens zu erhalten.
Vor NetFlow nutzten Netzwerkingenieure und Administratoren Einfaches Netzwerkverwaltungsprotokoll (Simple Network Management Protocol, SNMP) zur Überwachung des Netzwerkverkehrs. SNMP war zwar effektiv für die Netzwerküberwachung und Kapazitätsplanung, lieferte aber keinen detaillierten Einblick in die Bandbreitennutzung. NetFlow ist jetzt Teil des Internet Engineering Task Force (IETF)-Standards als Internet Protocol Flow Information eXport (IPFIX), und das Protokoll wird von Netzwerkausrüstern weitgehend implementiert.
Wie funktioniert NetFlow?
NetFlow folgt einem einfachen Prozess der Datenerfassung, -sortierung und -analyse. Zu den Hauptkomponenten gehören:
IP-Flow
Ein IP-Flow besteht aus einer Gruppe von Paketen, die dieselben IP-Paketattribute enthalten. Wenn ein Paket innerhalb eines Routers oder Switches weitergeleitet wird, wird es auf eine Reihe von Attributen untersucht, einschließlich IP-Quelladresse, IP-Zieladresse, Quellport, Ziel-Port, Layer-3-Protokolltyp, Dienstklasse und Router- oder Switch-Schnittstelle.
NetFlow Cache
Der NetFlow Cache ist eine Datenbank mit verdichteten Informationen, in der Daten gespeichert werden, sobald die Pakete untersucht wurden.
Kommandozeilenschnittstelle
Die Kommandozeilenschnittstelle (Command Line Interface CLI) ist eine von zwei Methoden, um auf NetFlow-Daten zuzugreifen. Sie bietet einen sofortigen Überblick über den Netzwerkverkehr und ist hilfreich bei der Fehlersuche.
NetFlow-Kollektor
Die zweite Möglichkeit, auf NetFlow-Daten zuzugreifen, besteht darin, die Daten in einen NetFlow-Kollektor zu exportieren, einem Reporting-Server, der Verkehrsinformationen sammelt und verarbeitet, so dass sie leicht zu analysieren sind.
Warum NetFlow verwenden?
NetFlow-Statistiken sind für verschiedene Anwendungen nützlich:
- Netzwerk-Monitoring: Unternehmen können Flow-basierte Analyseverfahren einsetzen, um Verkehrsmuster im gesamten Netzwerk zu visualisieren. Mit dieser übergreifenden Ansicht des Verkehrsflusses können die Teams von Netzwerkoperationen (NetOps) und Sicherheitsoperationen (SecOps) überwachen, wann und wie oft Benutzer auf eine Anwendung im Netzwerk zugreifen. Außerdem können Teams die Daten verwenden, um die Nutzung von Netzwerk- und Anwendungsressourcen durch einen Benutzer zu überwachen und zu profilieren, um potenzielle Sicherheits- oder Richtlinienverstöße aufzudecken.
- Netzwerk-Planung: Das Team kann NetFlow verwenden, um das Wachstum des Netzwerks zu verfolgen und zu antizipieren. So können sie beispielsweise Upgrades planen, um die Anzahl der Ports, Routing-Geräte oder Schnittstellen mit höherer Bandbreite zu erhöhen, die zur Deckung der wachsenden Nachfrage erforderlich sind.
- Sicherheitsanalyse: Mit NetFlow können Sicherheitsteams Änderungen im Netzwerkverhalten erkennen, um Anomalien zu identifizieren, die auf einen Sicherheitsverstoß hindeuten. Die Daten sind auch ein wertvolles forensisches Werkzeug, um die Historie von Sicherheitsvorfällen zu verstehen und wiederzugeben, so dass die Sicherheitsteams daraus lernen können.
Defizite von NetFlow
NetFlow hat einen Performance-Einfluss auf die Geräte, auf denen es implementiert ist. Um diese Auswirkungen auf die Performance zu reduzieren, verlassen sich Netzwerkgeräte häufig auf Sampling-Pakete, um NetFlow-Statistiken zu erstellen. Niedrige Samplingraten – manchmal nur eins von 1.000 Paketen – reduzieren die Netzwerktransparenz drastisch und könnten Teams daran hindern, kritische Sicherheitsbedrohungen oder Performance-Probleme aufzudecken.
Darüber hinaus können NetFlow-Datensätze nur an eine bestimmte Anzahl von Kollektoren oder Monitoring-Tools weitergeleitet werden. Oftmals kann diese Zahl weitaus geringer sein, als für die ordnungsgemäße Verwaltung und Fehlerbehebung des Netzwerks erforderlich ist. Da Unternehmen mit einem wachsenden Volumen an Daten- und Sicherheitsbedrohungen konfrontiert sind, besteht die Gefahr, dass Unternehmen aufgrund der Tatsache, dass sie nur einen Teil der Vorgänge im Netzwerk sehen, nicht über ausreichende Informationen verfügen, um Sicherheitsbedrohungen zu bekämpfen.
NetFlow und Gigamon
Gigamon eliminiert die Risiken, die mit der Datenabtastung verbunden sind, indem NetFlow-Statistiken parallel zu den rohen Paketströmen ausgeführt werden. Mit diesen Verarbeitungsfunktionen können Gigamon-Anwender NetFlow-Statistiken entweder mit einer viel höheren Abtastrate oder sogar mit Zeilenrate erstellen.
Die NetFlow-Generierung wird typischerweise von den Routern und Switches als Teil des Produktionsnetzwerks durchgeführt. Wie bereits erwähnt, hat NetFlow jedoch einen Performance-Einfluss auf die Geräte, auf denen es implementiert ist. Mit dem wachsenden Datenvolumen und der zunehmenden Netzwerkgeschwindigkeit Schritt zu halten, ist für die meisten Unternehmen, die sich bemühen, über genügend Rechenressourcen zu verfügen, um der wachsenden Nachfrage gerecht zu werden, ein wachsendes Problem.
Wie stellt sich Gigamon dieser Herausforderung? Durch Metadaten. Während NetFlow Layer-4 Flow-generierte Daten bereitstellt, benötigen Unternehmen auch Zugriff auf Layer-7 oder Metadaten auf Anwendungsebene. Die Gigamon-Metadatengenerierungsfunktion, die NetFlow beinhaltet, generiert sowohl Layer-4- als auch Layer-7-Metadaten, die sowohl ungeprüft als auch ohne Leistungseinbußen erstellt werden.
Als wir diese Lösung hier bei Gigamon implementierten, konnten wir eine Reduzierung der False Positives, eine schnellere Erkennung von Bedrohungen und eine effektivere Nutzung unseres Sicherheitsteams feststellen. Durch die Integration der Gigamon-Metadatengenerierung mit unserer SIEM-Lösung (Security Information and Event Management) konnten wir ungewöhnliche Muster in den Antwortcodes des Hypertext Transfer Protocol (HTTP) identifizieren, spezifische Domänen, die auf eine mögliche Sicherheitsverletzung hinweisen, und Benutzer, die versuchen, Websites zu erreichen, die mit WoSign Secure Sockets Layer (SSL)-Zertifikaten signiert sind.
NetFlow war und ist eine leistungsstarke Anwendung, um eine größere Netzwerktransparenz zu erreichen. Durch die Verlagerung von NetFlow auf Gigamon Metadata Generation können sowohl SecOps als auch NetOps-Teams mit dem wachsenden Datenvolumen und der wachsenden Geschwindigkeit Schritt halten, ohne dabei die wichtigen Erkenntnisse aus der Netzwerküberwachung und Sicherheitsanalyse zu vernachlässigen.
Original post in English: “What Is NetFlow?”