Administrateur Réseau

NetFlow et sFlow

Dans les réseaux à commutation de paquets, les données sont décomposées en paquets (constitués d'un en-tête et d'une charge utile) avant d'être transmises sur un réseau numérique. Les données de l'en-tête sont utilisées par le matériel réseau pour diriger le paquet vers sa destination, où la charge utile est extraite et utilisée par un système d'exploitation, un logiciel d'application ou des protocoles de couche supérieure. Lorsqu'une séquence de paquets voyage d'une source à une destination, elle est appelée flux de paquets ou flux réseau, ou simplement flux. Un flux est un ensemble unidirectionnel de paquets partageant des attributs communs tels que l'adresse IP source et de destination, les ports source et de destination, la taille en octets et le type de service, entre autres.

Les administrateurs réseau surveillent le flux de paquets dans leur réseau à l'aide d'outils d'analyse de flux pour extraire les attributs qui leur indiquent, entre autres, la nature des données, leur source et leur destination. Cela leur donne la visibilité nécessaire pour identifier les modèles de trafic anormaux et les applications, appareils ou utilisateurs non conformes ; ainsi que suivre la cause première des problèmes de performances. La surveillance du réseau basée sur les flux offre des avantages significatifs par rapport aux autres surveillance du réseau méthodes car il capture des informations utiles plus détaillées sur la composition du flux réseau. Et comme la capacité de surveillance des flux est désormais intégrée à la plupart des équipements réseau modernes, elle est nettement moins coûteuse et plus facile à déployer.

Flux net et sFlux sont les deux protocoles clés vers lesquels les administrateurs réseau se tournent souvent pour la surveillance du réseau basée sur les flux. À première vue, ces protocoles semblent offrir des capacités similaires, mais ils diffèrent également à bien des égards. Dans cet article, nous examinerons ces deux protocoles de surveillance réseau basés sur les flux. Espérons que cela vous guidera dans le processus de choix de celui qui convient à votre environnement.

Qu’est-ce que NetFlow ?

NetFlow est un protocole propriétaire de Cisco introduit sur les appareils Cisco tels que les routeurs pour lui permettre de surveiller le trafic réseau et d'extraire des données sur le trafic lorsqu'il entre ou sort d'une interface. Netflow tente d'identifier les flux de paquets réseau associés, plutôt que de les traiter individuellement. Cela permet de mieux comprendre le contexte des activités du réseau. NetFlow revient à observer les modèles de trafic et à collecter des statistiques utiles sur une autoroute très fréquentée. Par exemple, NetFlow peut nous dire combien de véhicules ou quel type de véhicule ont voyagé d'un point A à un point B.

En analysant les données fournies par NetFlow, un administrateur réseau peut déterminer la source et la destination du trafic réseau, le type de service, les adresses IP malveillantes et les modèles de trafic, entre autres.

Comment fonctionne NetFlow

Graphique 1.0 | Architecture du système NetFlow | Crédit image : Wikipédia

NetFlow fonctionne en suivant un processus simple d'agrégation, de stockage, de tri et d'analyse des données de flux.

Une architecture de système de surveillance NetFlow se compose des éléments clés suivants :

Exportateur de fluxRegroupe les paquets en flux et exporte les enregistrements de flux vers les collecteurs NetFlow.
Collecteur de fluxLes collecteurs sont des dispositifs logiciels ou matériels chargés de recevoir, de stocker et de prétraiter les données de flux fournies par l'exportateur de flux. Il comprend un cache ou une base de données utilisée pour stocker les données NetFlow une fois les paquets examinés.
Analyseur de débitIl s'agit d'outils utilisés pour analyser les données de flux reçues, ce qui offre ensuite une visibilité plus approfondie sur la nature des données.

Lorsque des périphériques tels que des routeurs prenant en charge NetFlow reçoivent un flux de paquets, ces paquets sont examinés pour un ensemble d'attributs. Ces attributs ou statistiques de trafic réseau sont ensuite extraits sur toutes les interfaces sur lesquelles NetFlow est activé. Une fois extraits, le routeur les exporte sous forme d'enregistrements NetFlow vers les collecteurs NetFlow pour le stockage et le prétraitement. Cela pourrait être un dédié Outil d'analyse Netflow ou une suite complète de gestion de réseau qui accepte NetFlow comme fonctionnalité complémentaire.

Le routeur exportera les enregistrements de flux lorsqu’il déterminera que le flux est terminé. NetFlow utilise une technique connue sous le nom d'échantillonnage pour réduire le volume d'enregistrements de flux exportés à partir des périphériques réseau. Les enregistrements de flux ne contiennent pas les données réelles qui composent le flux. Ce sont simplement des métadonnées : des données utilisées pour décrire les données contenues dans le flux.

Pourquoi utiliser NetFlow ?

NetFlow permet aux administrateurs réseau et au personnel du NOC de visualiser les modèles de trafic sur l'ensemble du réseau, de profiler l'utilisation par un utilisateur des ressources réseau et applicatives, de découvrir la quantité de trafic liée à la navigation Web et à d'autres activités pendant les heures de travail, de savoir quand et à quelle fréquence les utilisateurs accèdent à un réseau. application dans le réseau et identifier les problèmes de performances du réseau. Les informations recueillies à partir des statistiques NetFlow peuvent également être utilisées pour anticiper et planifier la croissance du réseau.

Plus important encore, les statistiques NetFlow sont également utilisées par les équipes de sécurité et SOC pour détecter les changements de comportement du réseau ou identifier les modèles de trafic anormaux pouvant conduire à un problème. violation de la sécurité . Les données NetFlow peuvent révéler où la plupart des ressources réseau sont consommées. Certaines activités malveillantes, telles que les spams sortants et l'exfiltration de données, drainent les ressources du réseau. Par conséquent, s'il y a des pics de ressources dans des zones inhabituelles, cela peut indiquer un problème de sécurité sous-jacent.

Limites de NetFlow

NetFlow offre de nombreux avantages à l'équipe d'administration réseau, notamment dans les domaines de la visibilité, de la planification et de la sécurité du trafic réseau. Néanmoins, vous devez être conscient de plusieurs limitations :

Impact sur les performancesNetFlow a un impact sur les performances des appareils sur lesquels il est implémenté. Tout le trafic qui traverse votre réseau doit être traité dans votre cache NetFlow et après un certain point, votre appareil peut rencontrer des problèmes de performances.
Exportation limitéeLes appareils Cisco NetFlow vous permettent uniquement d'exporter deux flux vers deux collecteurs NetFlow. Le transfert des flux vers un nombre de collecteurs inférieur à celui requis pour gérer et dépanner correctement le réseau peut avoir un impact sur la visibilité. pour gérer et dépanner correctement le réseau.
LatenceL'un des problèmes de NetFlow est le décalage temporel entre le trafic transitant par votre réseau et votre capacité à le visualiser et à le comprendre. Ce délai peut aller jusqu'à 5 minutes. Dans le contexte de l'informatique et des réseaux, l'impact négatif de ce retard peut être important, notamment dans les réseaux où la disponibilité et les performances sont primordiales.

Qu’est-ce que sFlow ?

sFlux d'InMon Corporation est un protocole d'échantillonnage de paquets utilisé pour enregistrer des métadonnées statistiques, d'infrastructure, de routage et autres sur le trafic traversant un périphérique réseau compatible sFlow. La lettre « s » dans sFlow signifie « échantillonné » ou « échantillonnage », et elle est essentielle pour comprendre sFlow et en quoi il diffère de NetFlow. L'échantillonnage fait partie intégrante de sFlow. Cela revient à prendre des instantanés aléatoires ou à échantillonner des véhicules voyageant d'un point A à un point B à une période donnée. SFlow a été conçu pour effectuer l'exportation de flux par échantillonnage aléatoire de paquets et échantillonnage temporel des interfaces réseau, et non en considérant chaque paquet. Cela lui permet d'atteindre une évolutivité, ce qui le rend idéal pour une utilisation dans les réseaux à haut débit en raison de sa capacité à évoluer.

En permettant aux administrateurs réseau d'obtenir une visibilité approfondie sur l'utilisation du réseau et les itinéraires actifs des réseaux complexes et à haut débit, sFlow fournit les données nécessaires pour contrôler et gérer efficacement l'utilisation du réseau, garantissant ainsi un fonctionnement optimal des services réseau. sFlow est pris en charge par plusieurs fabricants de périphériques réseau et fournisseurs de logiciels de gestion de réseau tels qu'IBM, HP, Cisco, Dell, Alcatel-Lucent, Aruba et bien d'autres.

Comment fonctionne sFlow

Graphique 2.0 | Architecture du système sFlow | Crédit d’image : ResearchGate

Un système sFlow se compose de plusieurs appareils effectuant deux types d'échantillonnage : l'échantillonnage aléatoire des paquets et l'échantillonnage temporel des compteurs. Le paquet échantillonné et les informations de compteur, appelés respectivement échantillons de flux et échantillons de compteur, sont envoyés sous forme de datagrammes sFlow à un serveur central exécutant un logiciel qui analyse et rend compte du trafic réseau ; le collecteur sFlow.

Une architecture de système de surveillance sFlow se compose des composants clés suivants :

Agent sFlowFonction attribuée aux périphériques réseau tels que les commutateurs et les routeurs qui collectent les informations des paquets sortants et transmettent les échantillons.
Collecteur sFlowUne fonction assignée à examiner les informations de chaque agent sFlow créé.

L'exportateur sFlow collecte les préfixes à partir d'échantillons aléatoires de tous les paquets transitant par l'interface surveillée. Sur la base d'un taux d'échantillonnage défini, une moyenne de 1 paquet sur n est échantillonnée de manière aléatoire. L'exportateur assemble ensuite chaque paquet échantillonné avec des compteurs de périphériques et l'envoie au collecteur sFlow. Ce type d'échantillonnage ne vous donne peut-être pas un haut niveau de précision, mais il fournit des informations importantes dont vous avez besoin pour prendre des décisions éclairées. L'appareil ne met en cache aucune donnée ou paquet échantillonné, réduisant ainsi l'utilisation des ressources. Cela garantit que les performances ne sont pas entravées et facilite la mise à l'échelle vers les réseaux à haut débit.

Pourquoi utiliser sFlow ?

Le réseau génère du trafic. Le protocole sFlow offre aux administrateurs réseau la possibilité de capturer et de surveiller ce trafic pour détecter des modèles anormaux. sFlow rend visibles ces modèles de trafic anormaux avec des informations détaillées pour soutenir les efforts de réponse et les actions correctives. sFlow peut être utilisé pour repérer les liens encombrés et identifier la source du trafic ainsi que l'application, l'appareil ou l'utilisateur associé.

Les informations de transfert de flux peuvent être utilisées pour profiler les routes les plus actives et le type de flux transportés par ces routes. Comprendre les itinéraires et les flux spécifiques qu'ils transportent permet de savoir plus facilement quand optimiser le routage pour améliorer la connectivité et les performances. Selon la documentation officielle de sFlow, « lorsque sFlow est utilisé pour créer un historique détaillé du trafic, une base de comportement normal est établie, à partir de laquelle les anomalies peuvent être détectées et les activités suspectes identifiées ».

Limitations du débit

Voici quelques-unes des limitations connues du protocole sFlow.

Compatibilité des appareilsAvant de pouvoir avoir une visibilité complète de ce qui se passe sur votre réseau, chaque périphérique réseau de votre environnement doit être compatible avec sFlow. Si le nombre d'appareils sFlow pris en charge est limité, cela affaiblira encore davantage la qualité de vos résultats. Avant d'adopter sFlow comme protocole de surveillance de flux, assurez-vous que les appareils de votre infrastructure réseau peuvent prendre en charge le protocole sFlow.
Manque de visibilité en profondeurContrairement à NetFlow, sFlow ne fournit pas de vue détaillée au niveau des paquets. L'utilisation d'un échantillonnage signifie que seuls les paquets aléatoires plutôt que l'intégralité des paquets transmis sont capturés. En fonction du taux d'échantillonnage, cela laisse de grandes lacunes dans votre visibilité et réduit vos chances de détecter du trafic malveillant. Cela rend sFlow inadapté aux réseaux où une analyse et une visibilité approfondies sont requises.
PrécisionEn fonction du taux d'échantillonnage défini, des données d'échantillonnage peu fiables et inexactes peuvent en résulter. Pour obtenir une lecture précise, vous devez vous assurer que la fréquence d’échantillonnage est suffisamment élevée.

Technique utilisée	Regroupe les paquets en flux et les exporte sous forme d'enregistrements NetFlow vers un collecteur.	Technologie d'échantillonnage : échantillonnage aléatoire des paquets et échantillonnage temporel des compteurs
Département de visibilité	Capture et traite plus de données, ce qui se traduit par une plus grande visibilité.	L'utilisation de l'échantillonnage signifie que seuls les paquets aléatoires plutôt que l'intégralité des paquets transmis sont capturés, laissant de grandes lacunes dans votre visibilité.
Évolutivité	NetFlow prend en compte chaque paquet, le rendant moins évolutif et moins adapté aux réseaux à haut débit	Ne prend pas en compte tous les paquets, ce qui le rend plus évolutif et adapté aux réseaux à haut débit
Précision	Capturer et traiter davantage de données signifie une plus grande précision et fiabilité.	En fonction du taux d'échantillonnage défini, vous risquez de manquer des informations importantes, ce qui peut entraîner des données d'échantillonnage inexactes.
Performance	Des problèmes de performances peuvent survenir en raison d'une forte demande de ressources réseau et de calcul	Impact minimal sur les performances
Latence	NetFlow peut connaître des niveaux de latence plus élevés que sFlow	sFlow a une latence inférieure à NetFlow
Assistance fournisseur	Surtout Cisco	Plusieurs fournisseurs
Cache	Prise en charge	Non supporté

Tableau 1.0 | sFlow vs NetFlow : tableau de comparaison des fonctionnalités

Choisir entre NetFlow et sFlow

Maintenant que nous avons examiné en détail les deux protocoles de surveillance des flux, la question brûlante sur les lèvres de nombreux administrateurs réseau est la suivante : quel protocole est le meilleur ? Lequel dois-je utiliser ? Eh bien, il n’y a vraiment pas de réponse définitive. Ce qui convient parfaitement du point de vue des caractéristiques et des fonctionnalités à une organisation peut ne pas convenir à une autre. Vous devez prendre en compte certains facteurs tels que la visibilité, les performances, la précision et la latence, entre autres. Voulez-vous avoir une image approfondie de ce qui se passe à l’échelle de votre réseau ou êtes-vous simplement d’accord avec les choses importantes ? Entre précision et performance, qu’est-ce qui est le plus important pour votre entreprise ? Êtes-vous à l’aise avec quelques minutes de latence ? Votre réseau est-il composé d'appareils bas de gamme ou haut de gamme ?

En règle générale, sFlow sollicite moins les ressources réseau et de calcul que NetFlow. Ainsi, pour les PME et les petits réseaux utilisant des appareils bas de gamme, sFlow peut être plus adapté dans de tels environnements afin de minimiser les problèmes de performances. Bien que NetFlow puisse collecter plus d'informations et offrir une plus grande visibilité, il peut subir un niveau de latence plus élevé que sFlow. Toutes les énormes données capturées par NetFlow peuvent ne pas être nécessaires sur des réseaux plus petits et l'analyseur de réseau peut ne pas être en mesure de traiter toutes les données.

De nombreux réseaux sont de composition hétérogène et contiennent des appareils provenant de plusieurs fournisseurs. Un facteur clé à prendre en compte est donc le suivant : quel protocole votre équipement réseau prend-il en charge ? Si certains de vos équipements prennent en charge l’un mais pas l’autre, il est alors logique de choisir celui déjà pris en charge sur votre réseau. Si votre infrastructure réseau prend en charge à la fois NetFlow et sFlow, vous pouvez envisager d'utiliser les deux pour tirer le meilleur parti des deux mondes.

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.