Cos'è NetFlow? 

I dati sul flusso di traffico informano i professionisti IT di un'azienda sulla quantità di traffico, sulla sua provenienza e destinazione e sui percorsi utilizzati. Queste statistiche sul flusso di rete vengono registrate e utilizzate per monitorare l'utilizzo nel tempo, individuare i problemi e pianificare gli aggiornamenti.

NetFlow è riconosciuto come standard Internet Engineering Task Force (IETF), sebbene "netflow" sia anche un termine generico per riferirsi ad altri protocolli di monitoraggio del flusso di rete. La versione 9 di Cisco Systems NetFlow è basata su modelli e consente di scegliere quali statistiche abilitare. Al contrario, le versioni precedenti, come il popolare Cisco Systems NetFlow v5, richiedevano l'utilizzo di un set fisso di campi. Nel complesso, la versione 9 di NetFlow è più flessibile rispetto alle versioni precedenti.

IP Flow Information Export (IPFIX) è un altro protocollo netflow che utilizza un approccio flessibile basato su modelli. Sebbene NetFlow v9 sia ampiamente utilizzato, IPFIX è diventato lo standard del settore. In effetti, IPFIX si basa su NetFlow v9. I due protocolli sono così simili che IPFIX viene talvolta chiamato NetFlow v10, sebbene non sia un prodotto NetFlow.

Un altro popolare protocollo di monitoraggio del flusso di rete IP e standard di registrazione dei dati è sFlow, o NetFlow a campionamento. Introdotto da InMon Corp, non tiene traccia di ogni pacchetto che attraversa la rete come fa NetFlow; al contrario, acquisisce un campione casuale di traffico di rete. Questo campionamento casuale comporta una minore quantità di dati sul flusso di traffico da elaborare e analizzare, ma riduce al minimo l'impatto sulle prestazioni. Poiché NetFlow tiene traccia di tutto, può causare rallentamenti della rete.

Altri protocolli di monitoraggio netflow sono J-Flow di Juniper Networks, NetStream di 3Com/Huawei, Cflow di Alcatel-Lucent e Rflow di Ericsson. Un termine generico utilizzato per riferirsi a questi strumenti è xFlow.

Le soluzioni NetFlow hanno generalmente tre componenti principali:

1. Esportatore NetFlow. Un dispositivo abilitato per NetFlow, in genere un router o un firewall, funziona come esportatore di flusso e raccoglie informazioni sul flusso. Aggrega i pacchetti di dati in flussi ed esporta periodicamente i record NetFlow tramite UDP (User Datagram Protocol) a uno o più raccoglitori NetFlow.

L'esportatore identifica un flusso come flusso di pacchetti unidirezionale con almeno uno di questi elementi in comune: porta dell'interfaccia di input, indirizzo IP sorgente e indirizzo di destinazione, porta sorgente, numero di porta di destinazione, campo o tipo di servizio del protocollo di livello 3. Un flusso è pronto per l'esportazione NetFlow quando è inattivo per un determinato periodo di tempo. È pronto anche quando un flag TCP, come FIN o RST, indica che il flusso è terminato.

2. Raccoglitore NetFlow. Un raccoglitore Netflow può essere basato su hardware o software, sebbene gli strumenti basati su software siano quelli più comunemente usati. I raccoglitori NetFlow ricevono i dati aggregati dei record di flusso dagli strumenti di esportazione dei flussi, quindi li pre-elaborano e li memorizzano.

3. Analizzatore NetFlow. Un analizzatore NetFlow è uno strumento che elabora e analizza i record NetFlow ricevuti e memorizzati da un raccoglitore di flusso. Trasforma i dati in report e avvisi che forniscono insight sull'utilizzo della larghezza di banda, sugli utilizzatori intensivi della larghezza di banda, sui modelli di traffico, sull'utilizzo delle applicazioni e su altre metriche delle prestazioni che possono identificare le minacce alla sicurezza e i problemi di prestazioni. Questa analisi del flusso di traffico consente di creare un'immagine del traffico e del volume della rete.

I dati NetFlow forniscono una visibilità approfondita della rete, che consente di ottimizzare le prestazioni per una migliore esperienza utente.

Comprendi il flusso del traffico per massimizzare il throughput. È molto utile analizzare i modelli di traffico IP all'interno dell'intera rete, ad esempio per monitorare il traffico in entrata nella rete aziendale e identificare gli utenti principali. I team addetti alla sicurezza e alle operazioni di rete possono utilizzare queste informazioni sul flusso per monitorare l'uso delle applicazioni di rete, rilevare i colli di bottiglia e ridurre il rischio di tempi di inattività. I dati NetFlow sono utili anche per la fatturazione basata sull'utilizzo. Questa capacità consente di addebitare i costi di rete a specifiche unità di business o utenti finali.

Pianifica la crescita con precisione. I dati NetFlow aiutano a tenere traccia del traffico di rete per garantire un'adeguata capacità di larghezza di banda e una migliore pianificazione della crescita della rete. Queste informazioni rendono la pianificazione degli aggiornamenti più facile e più efficiente in termini di numero di porte, dispositivi di routing e altre esigenze.

Aumenta la protezione di cybersecurity. Visualizzare i cambiamenti nel comportamento della rete aiuta il team SecOps a identificare anomalie che possono indicare una violazione della cybersecurity. Questi dati possono anche essere utili dopo un incidente di sicurezza per riprodurre la cronologia degli eventi e comprendere meglio cosa è successo e come evitare quello scenario in futuro.

Migliora l'esperienza utente. La raccolta e l'analisi dei dati sul flusso di traffico è di grande aiuto per la diagnosi e la risoluzione dei problemi di rallentamenti, picchi di traffico di rete, utilizzo eccessivo della larghezza di banda e altri problemi di rete.

Ottieni insight in pochi minuti. Molti dispositivi di rete hanno già il supporto NetFlow o IPFIX installato, il che semplifica l'attivazione e l'indirizzamento dei dati risultanti verso un raccoglitore NetFlow. Se non lo possiedi già, l'installazione di NetFlow è relativamente economica. In genere non richiede hardware aggiuntivo. Dopo aver scaricato NetFlow, puoi configurare facilmente alcuni nodi di rete per aggiungere l'analisi del flusso IP alla tua rete in pochi minuti, senza tempi di inattività.

NetFlow utilizza una larghezza di banda elevata, il che può avere un impatto sulle prestazioni dei dispositivi che monitora. A causa di questa limitazione, alcuni team scelgono invece di campionare i pacchetti IP, utilizzando ad esempio sFlow, che una larghezza di banda molto inferiore. Tuttavia, lo svantaggio è che il campionamento può impedire ai team IT di individuare problemi critici di sicurezza o prestazioni della rete.

Inoltre, NetFlow può inoltrare i risultati solo a un numero limitato di persone o di strumenti di monitoraggio, spesso inferiore a quello necessario per gestire e risolvere adeguatamente i problemi di una rete. Questa limitazione implica che un numero troppo ridotto di persone abbia accesso a informazioni insufficienti sulle prestazioni di una rete per poter rimanere al passo con problemi e minacce.

Un'altra limitazione è che, sebbene NetFlow identifichi un dispositivo che invia o riceve traffico, non esamina le informazioni di accesso, quindi non può fornire l'identità dell'utente.

Prima che NetFlow fosse disponibile, i professionisti IT utilizzavano il protocollo SNMP (Simple Network Management Protocol) per analizzare e monitorare il traffico di rete. SNMP è ancora ampiamente utilizzato per il monitoraggio della rete.

A differenza di NetFlow, SNMP monitora l'utilizzo della memoria, della CPU e dello storage e la temperatura del dispositivo. SNMP raccoglie informazioni per il monitoraggio standard della rete e la pianificazione della capacità. SNMP differisce da NetFlow in quanto viene utilizzato per la gestione della rete in tempo reale. Tuttavia, SNMP non fornisce informazioni dettagliate sull'utilizzo della larghezza di banda, ad esempio per cosa viene utilizzata una rete e chi la utilizza.

NetFlow utilizza la tecnologia push, quindi le informazioni vengono visualizzate non appena sono disponibili, mentre SNMP utilizza generalmente la tecnologia pull a intervalli stabiliti.

Poiché NetFlow fornisce più informazioni rispetto a SNMP, è migliore per un'analisi approfondita del traffico di rete e il debug. NetFlow è più adatto per reti complesse e ad alto traffico che utilizzano traffico IP e per rilevare anomalie. Fornisce informazioni più dettagliate sulle applicazioni e sulle origini del traffico di rete ed è più scalabile per l'analisi delle prestazioni e la gestione del traffico di rete.

Sebbene sia SNMP che NetFlow possano essere utili, è importante considerare le differenze tra loro per selezionare l'opzione migliore per la rete.