O que é NetFlow?

Os dados de fluxo de tráfego informam os profissionais de TI da empresa sobre a quantidade de tráfego, de onde ele vem e para onde vai, além dos caminhos utilizados. Essas estatísticas de fluxo de rede são registradas e utilizadas para monitorar o uso ao longo do tempo, identificar problemas e planejar upgrades.

O NetFlow é reconhecido como um padrão da Internet Engineering Task Force (IETF), embora "netflow" também seja um termo geral para se referir a outros protocolos de monitoramento de fluxo de rede. O NetFlow da Cisco Systems versão 9 é baseado em modelos e permite escolher quais estatísticas habilitar. Em contraste, versões anteriores, como a popular NetFlow v5 da Cisco Systems, exigiam o uso de um conjunto fixo de campos. No geral, o NetFlow versão 9 é mais flexível do que as versões anteriores.

IP Flow Information Export (IPFIX) é outro protocolo de netflow que utiliza uma abordagem baseada em modelos flexíveis. Embora o NetFlow v9 seja amplamente usado, o IPFIX tornou-se o padrão do setor. Na verdade, o IPFIX é baseado no NetFlow v9. Os dois protocolos são tão semelhantes que o IPFIX às vezes é chamado de NetFlow v10, embora não seja um produto NetFlow.

Outro protocolo popular de monitoramento de fluxo de rede IP e padrão de registro de dados é o sFlow, ou NetFlow de amostragem. Introduzido pela InMon Corp, ele não rastreia todos os pacotes que cruzam sua rede, como faz o NetFlow; em vez disso, captura uma amostra aleatória do tráfego da rede. Essa amostragem aleatória significa que há menos dados de fluxo de tráfego para processar e analisar, mas minimiza o impacto no desempenho. Como o NetFlow rastreia tudo, pode causar lentidão na rede.

Outros protocolos de monitoramento de netflow incluem J-Flow da Juniper Networks, NetStream da 3Com/Huawei, Cflow da Alcatel-Lucent e Rflow da Ericsson. Um termo genérico utilizado para se referir a essas ferramentas é xFlow.

As soluções NetFlow geralmente possuem três componentes principais:

1. Exportador de NetFlow. Um dispositivo habilitado para NetFlow, geralmente um roteador ou firewall, opera como exportador de fluxo e coleta informações de fluxo. Ele agrega pacotes de dados em fluxos e exporta periodicamente registros NetFlow via User Datagram Protocol (UDP) para um ou mais coletores NetFlow.

O exportador identifica um fluxo como um fluxo de pacotes unidirecional com pelo menos um desses elementos em comum: porta de interface de entrada, endereço IP de origem e destino, porta de origem, número da porta de destino, campo do protocolo de camada 3 ou tipo de serviço. Um fluxo está pronto para exportação NetFlow quando fica inativo por um período determinado. Também está pronto quando um flag TCP, como FIN ou RST, indica que o fluxo terminou.

2. Coletor NetFlow. Um coletor NetFlow pode ser baseado em hardware ou software, embora as ferramentas baseadas em software sejam mais comumente usadas. Os coletores NetFlow recebem os dados de registro de fluxo agregados das ferramentas exportadoras de fluxo e os pré-processam e armazenam.

3. Analisador de NetFlow. Um analisador NetFlow é uma ferramenta que processa e analisa os registros NetFlow recebidos e armazenados por um coletor de fluxo. Ele transforma os dados em relatórios e alertas que fornecem informações sobre o uso da largura de banda, os consumidores de largura de banda, os padrões de tráfego, o uso de aplicações e outros indicadores de desempenho que podem identificar ameaças de segurança e problemas de desempenho. Essa análise de fluxo de tráfego permite criar um panorama do tráfego e volume da sua rede.

Os dados NetFlow fornecem uma visibilidade profunda da sua rede, o que ajuda a otimizar o desempenho para uma melhor experiência do usuário.

Entenda o fluxo de tráfego para maximizar a taxa de transferência. Há grande valor em ver os padrões de tráfego IP dentro de toda a sua rede, como rastrear o tráfego que entra na rede corporativa e identificar seus principais usuários. As equipes de segurança e operações de rede podem usar essas informações de fluxo para monitorar o uso das aplicações da rede, detectar gargalos e reduzir o risco de downtime. Os dados NetFlow também são úteis para cobrança baseada no uso. Esse recurso permite cobrar custos de rede de unidades de negócios ou usuários finais específicos.

Planeje o crescimento com precisão. Os dados NetFlow ajudam a rastrear o tráfego da rede para garantir capacidade de largura de banda adequada e o melhor planejamento para o crescimento da rede. Essas informações facilitam o planejamento de upgrades de forma mais eficiente em termos do número de portas, dispositivos de roteamento e outras necessidades.

Aumente a proteção de cibersegurança. Visualizar mudanças no comportamento da rede ajuda sua equipe de segurança a identificar anomalias que podem indicar uma violação de cibersegurança. Esses dados também podem ser úteis após um incidente de segurança para reconstituir o histórico e entender melhor o que aconteceu e como evitar esse cenário no futuro.

Melhore a sua experiência do usuário. Coletar e analisar dados de fluxo de tráfego é uma grande ajuda no diagnóstico e solução de problemas como lentidão, picos de tráfego na rede, excesso de uso de largura de banda e outros problemas de rede.

Receba insights em poucos minutos. Muitos dispositivos de rede já possuem suporte para NetFlow ou IPFIX instalado, tornando simples ativar e direcionar os dados resultantes para um coletor NetFlow. Se você ainda não tiver, o NetFlow é relativamente barato para instalar. Geralmente, não é necessário hardware extra. Após baixar o NetFlow, é fácil configurar alguns nós de rede para adicionar análise de fluxo IP à sua rede em apenas alguns minutos, sem downtime.

O NetFlow utiliza muita largura de banda, o que pode impactar o desempenho dos dispositivos que monitora. Devido a essa limitação, algumas equipes optam por amostrar pacotes IP, usando, por exemplo, o sFlow, que utiliza muito menos largura de banda. No entanto, a desvantagem é que a amostragem pode impedir que as equipes de TI identifiquem problemas críticos de segurança de rede ou de desempenho.

Além disso, o NetFlow pode encaminhar resultados apenas para um número limitado de pessoas ou ferramentas de monitoramento, frequentemente menos do que o necessário para gerenciar e solucionar problemas de uma rede adequadamente. Essa limitação significa que poucas pessoas têm acesso a informações insuficientes sobre o desempenho da rede para se manterem a por dentro dos problemas e ameaças.

Outra limitação é que, embora o NetFlow identifique um dispositivo que envia ou recebe tráfego, ele não analisa as informações de login, portanto, não pode fornecer as identidades dos usuários.

Antes da disponibilidade do NetFlow, os profissionais de TI utilizavam o Simple Network Management Protocol (SNMP) para analisar e monitorar o tráfego de rede. O SNMP ainda é amplamente utilizado para monitoramento de rede.

Diferente do NetFlow, o SNMP monitora o uso de memória, CPU, armazenamento e temperatura dos dispositivos. O SNMP coleta informações para o monitoramento padrão de rede e planejamento de capacidade. Ele se diferencia do NetFlow por ser utilizado para o gerenciamento em tempo real da rede. No entanto, o SNMP não fornece informações detalhadas sobre o uso de largura de banda, como o que a rede está utilizando e quem a está utilizando.

O NetFlow utiliza tecnologia de push, então é possível ver as informações assim que estão disponíveis, enquanto o SNMP geralmente usa tecnologia de pull em intervalos definidos.

Como o NetFlow fornece mais informações do que o SNMP, ele é melhor para análises profundas de tráfego de rede e depuração. O NetFlow é mais apropriado para redes complexas e de tráfego intenso que utilizam tráfego IP e para a detecção de anomalias. Ele fornece mais informações detalhadas sobre aplicações e fontes de tráfego de rede e é mais escalável para a análise de desempenho e gerenciamento de tráfego de rede.

Embora ambos, SNMP e NetFlow, possam ser úteis, é importante considerar as diferenças para selecionar a melhor opção para sua rede.