Qu’est-ce que NetFlow ?
NetFlow est utilisé par les professionnels de l’informatique pour analyser le trafic réseau : afin de déterminer son point d’origine, son volume et son cheminement sur le réseau. Le protocole réseau NetFlow collecte le trafic réseau IP alors qu’il circule vers ou depuis une interface. Les données du flux sont ensuite analysées afin de créer un aperçu du flux du trafic réseau et de
Avant NetFlow, les ingénieurs et administrateurs réseau utilisaient Simple Network Management Protocol (SNMP ; protocole simple de gestion de réseau) pour surveiller le trafic réseau. Bien que SNMP se montrait efficace pour la surveillance du réseau et la planification des capacités, il ne fournissait pas d’informations détaillées sur l’utilisation de la bande passante. NetFlow est un élément du standard de l’Internet Engineering Task Force (IETF ; Détachement d’ingénierie d’Internet) en tant que protocole IPFIX (Internet Protocol Flow Information eXport), et le protocole est largement appliqué par les fournisseurs d’équipements réseau.
Comment NetFlow opère-t-il ?
NetFlow suit un processus simple de collecte, tri et d’analyse des données. Les éléments principaux incluent :
Flux IP
Un flux IP consiste en un groupe de paquets contenant les mêmes attributs IP de paquet. Alors qu’un paquet est transmis au sein d’un routeur ou commutateur, il est examiné en fonction d’un ensemble d’attributs, incluant adresse IP source, adresse IP de destination, port source, port de destination, type de protocole de couche 3, classe de service et interface routeur ou commutateur.
Cache NetFlow
Le cache NetFlow est une base de données d’informations condensées, dans laquelle les données sont stockées après l’examen des paquets.
Interface en ligne de commande
L’interface en ligne de commande (CLI ; Command Line Interface) est l’une des deux méthodes d’accès aux données NetFlow. Elle fournit une vue immédiate de votre trafic réseau et est utile pour le dépannage.
Collecteur NetFlow
La seconde méthode d’accès aux données NetFlow est d’exporter les données vers un collecteur NetFlow, qui est un serveur de génération de rapports, collectant et traitant les informations du trafic, de façon à faciliter son analyse.
Pourquoi utiliser NetFlow ?
Les statistiques NetFlow sont utiles pour plusieurs applications :
- Surveillance du réseau : les entreprises peuvent utiliser des techniques d’analyse basées sur le flux afin de visualiser les tendances du trafic à travers l’intégralité du réseau. Grâce à cette vue générale du flux réseau, les équipes des opérations réseau (NetOps) et des opérations de sécurité (SecOps) peuvent surveiller quand et à quelle fréquence les utilisateurs accèdent à une application sur le réseau. De même, ces équipes peuvent utiliser les données afin de surveiller et établir un profil de l’utilisation par un utilisateur du réseau et des ressources applicatives afin de détecter toute atteinte et/ou violation de la sécurité et des politiques.
- Planification réseau : les équipes peuvent utiliser NetFlow pour assurer le suivi de la croissance du réseau, ainsi que pour anticiper sa croissance future. Par exemple, elles peuvent planifier les mises à niveau afin d’augmenter le nombre de ports, de dispositifs de routage ou les interfaces à bande passante supérieure requis pour répondre à la demande croissante.
- Analyses de sécurité : avec NetFlow, les équipes de sécurité peuvent détecter des changements dans le comportement du réseau afin d’identifier des anomalies indiquant une brèche de sécurité. Les données sont également un outil utile en matière d’informatique réglementaire, pour comprendre et passer en revue l’historique des incidents de sécurité, de sorte que les équipes de sécurité puissent en tirer les leçons appropriées.
Points faibles de NetFlow
NetFlow a un impact sur les performances des dispositifs sur lesquels il est appliqué. Afin de réduire l’impact sur les performances, les dispositifs réseau s’appuient souvent sur un échantillonnage des paquets pour générer des statistiques NetFlow. Des taux d’échantillonnage faibles (avec des échantillons limités parfois à 1 paquet sur 1 000) réduisent considérablement la visibilité réseau, et peuvent empêcher les équipes de découvrir des menaces de sécurité ou des problèmes de performance critiques.
De plus, les enregistrements NetFlow peuvent uniquement être transmis vers un nombre spécifique de collecteurs ou d’outils de surveillance. Souvent, ce nombre peut s’avérer très inférieur à ce qui est requis pour gérer et dépanner adéquatement le réseau. Du fait que les entreprises sont confrontées à un volume croissant autant de données que de menaces de sécurité, ne voir qu’une partie de ce qu’il se produit au sein du réseau expose les entreprises au risque de n’avoir pas suffisamment d’informations pour combattre les menaces de sécurité.
NetFlow et Gigamon
Gigamon élimine les risques associés à l’échantillonnage des données en exécutant les statistiques NetFlow en parallèle des flux de paquets bruts. Grâce à ces capacités de traitement, les utilisateurs Gigamon peuvent générer des statistiques NetFlow à un taux d’échantillonnage supérieur, voire au débit nominal.
La génération NetFlow est généralement prise en charge par les routeurs ou commutateurs comme élément du réseau de production. Néanmoins, ainsi que mentionné ci-dessus, NetFlow impacte les performances des dispositifs sur lesquels il est appliqué. Pouvoir suivre le rythme avec un volume de données croissant et des vitesses réseau plus élevées constitue une préoccupation de plus en plus importante pour la plupart des entreprises, qui se voient mises à l’épreuve en devant disposer de suffisamment de ressources informatiques afin de répondre à la demande croissante.
Comment Gigamon traite-t-elle ce problème ? À l’aide des métadonnées. Tandis que NetFlow fournit des données générées par les flux de couche 4, les entreprises ont également besoin d’accéder à la couche 7 ou aux métadonnées applicatives. La capacité de génération de métadonnées de Gigamon, incluant NetFlow, génère des métadonnées pour la couche 4 et la couche 7, une génération de métadonnées non échantillonnées et sans impact sur les performances.
Lorsque nous avons mis en application cette solution ici, chez Gigamon, nous avons constaté une réduction des faux positifs, un temps de détection des menaces plus rapide, ayant permis d’augmenter l’efficacité de notre équipe de sécurité. En intégrant la génération de métadonnées Gigamon à notre solution SIEM (gestion des événements et informations de sécurité), nous avons été en mesure d’identifier des motifs inhabituels dans les codes de réponse HTTP (Hypertext Transfer Protocol), des domaines spécifiques indiquant une possible brèche de sécurité, et des utilisateurs tentant d’atteindre des sites disposant de certifications WoSign Secure Sockets Layer (SSL).
NetFlow a été et continue d’être une application puissante pour l’obtention d’une meilleure visibilité réseau. En déchargeant NetFlow vers la génération de métadonnées de Gigamon, autant les équipes SecOps que NetOps seront en mesure de faire face à l’augmentation du volume de données et des vitesses, sans avoir à sacrifier des informations importantes, pouvant être obtenues de la surveillance du réseau et des analyses de sécurité.
Original post in English, “What Is NetFlow?”