Netzwerkdatenflussüberwachung erklärt: NetFlow, sFlow und IPFIX im Vergleich

Datensicherheit

Illustration von zwei Computerbildschirmen

Moderne Netzwerkgeräte sind in der Lage, jede Sekunde Milliarden von Paketen zu verarbeiten, aber das meiste davon findet hinter den Kulissen statt. Netzwerkdatenflussüberwachung, auch bekannt als Packet Sampling, zielt darauf ab, Netzwerkingenieuren einen Einblick in die riesigen Mengen an Datenverkehr zu geben, die jeden Tag unsere kabelgebundenen und drahtlosen Verbindungen durchqueren. In diesem Blogbeitrag erfahren Sie, was Netzwerkdatenflussüberwachung ist und wie sie verwendet wird, um zu gewährleisten, dass der Datenverkehr reibungslos und sicher fließt. Ebenso werfen wir einen Blick auf drei der beliebtesten Technologien zur Datenflussüberwachung.

Was ist Netzwerkdatenflussüberwachung?

Als Netzwerkdatenflussüberwachung bezeichnet man die Sammlung, Analyse und Überwachung des Datenverkehrs, der ein bestimmtes Netzwerk oder Netzwerksegment durchläuft. Die Ziele können von der Behebung von Konnektivitätsproblemen bis zur Planung der zukünftigen Bandbreitenzuweisung reichen. Datenflussüberfachung und Packet Sampling können sogar bei der Identifizierung und Behebung von Sicherheitsproblemen nützlich sein.

Die Überwachung des Datenflusses gibt Netzwerkteams eine gute Vorstellung davon, wie ein Netzwerk funktioniert, und liefert Einblicke in die Gesamtauslastung, die Anwendungsnutzung, potenzielle Engpässe, Anomalien, die auf Sicherheitsbedrohungen hindeuten können, und vieles mehr. Es gibt mehrere verschiedene Standards und Formate, die bei der Netzwerkdatenflussüberwachung verwendet werden, darunter NetFlow, sFlow und Internet Protocol Flow Information Export (IPFIX). Jedes funktioniert auf eine etwas andere Weise, aber alle unterscheiden sich dadurch von der Portspiegelung und der Deep Packet Inspection, dass sie nicht den Inhalt jedes Pakets erfassen, das über einen Port oder durch einen Switch läuft. Die Datenflussüberwachung liefert jedoch mehr Informationen als SNMP, das im Allgemeinen auf allgemeine Statistiken wie die Gesamtpaket- und Bandbreitennutzung beschränkt ist.

Verwendung von Datenflussüberwachung und Packet Sampling

Datenflussüberwachung und Packet Sampling können eine Reihe von Vorteilen bieten, erfordern aber eine sorgfältige Planung und Einrichtung, um effektiv zu sein. Hier sind ein paar allgemeine Tipps, wie Sie das Beste aus einer Lösung zur Datenflussüberwachung herausholen können:

Definieren Sie Ihren Anwendungsfall klar und deutlich

Verschiedene Technologien zur Datenflussüberwachung – und sogar verschiedene Versionen der gleichen Technologie – unterscheiden sich sowohl in ihren Funktionen als auch in ihrer Bedienung. NetFlow Version 5 unterstützt beispielsweise weder IPv4 noch VLANs, was die Verwendung in einem stark segmentierten IPv6-Netzwerk einschränkt. Sie sollten Ihre Anforderungen und Erwartungen klar dokumentieren, bevor Sie überhaupt mit der Einrichtung der Datenflussüberwachung in Ihrem Netzwerk beginnen. Fangen Sie mit allgemeinen Fragen an, beispielsweise „Wo brauchen wir Sichtbarkeit?“, „An welchen spezifischen Informationen sind wir interessiert?“ und „Benötigen wir vollständige Datenflüsse oder reichen Datenstichproben aus?“. Zunehmend technische Fragen wie „Brauchen wir Einblicke sowohl in den eingehenden als auch in den ausgehenden Datenverkehr?“ und „Welche Paket-Header müssen wir erfassen?“ helfen Ihnen, Ihre Anforderungen einzugrenzen.

Die Kosten sind ebenfalls ein zu berücksichtigender Aspekt, ebenso wie die potenzielle Leistung der Aktivierung der Datenflussüberwachung auf Ihrer Netzwerkhardware. Fast alle modernen Netzwerkgeräte unterstützen die Erfassung und den Export von Datenverkehrsflüssen, aber die Sammlung, Analyse und Überwachung dieser Datenflüsse erfolgt in der Regel in einem Drittanbieter-Tool. Die Kosten für diese Tools sind sehr unterschiedlich, wobei es sowohl Open-Source- als auch kommerzielle Optionen gibt.

Kennen sie ihre Hardware

Obwohl die meisten Netzwerkgeräte der Unternehmensklasse eine Form der Datenflussüberwachung unterstützen, unterscheiden sie sich in Hinblick auf Technologie und Funktionen sowie Konfigurationsverfahren. Mit Blick auf Ihren Anwendungsfall sollten Sie prüfen, was Ihre Hardware unterstützt. In Fällen, in denen vorhandene Router/Switches/Firewalls die benötigten Funktionen nicht unterstützen, können auch eigenständige Sonden zur Erfassung von Daten zur Datenflussüberwachung verwendet werden.

Wählen Sie aus, was überwacht werden soll

Bevor Sie sich in die CLI des nächstgelegenen Routers einklinken, um die Funktion zu aktivieren, müssen Sie genau festlegen, welche Art von Netzwerkdatenverkehrsströmen Sie interessiert. Dies wird üblicherweise in Form eines „Tupels“ definiert. Die häufigste Version von NetFlow verwendet beispielsweise einen „5-Tupel“, der aus Quell- und Zieladresse, Quell- und Zielport und dem Protokollfeld besteht. Bei anderen Technologien zur Datenflussüberwachung können ein „7-Tupel“ oder sogar ein „9-Tupel“ verwendet werden. Unabhängig davon müssen Sie sich im Voraus etwas vorbereiten, um sicherzustellen, dass Sie den richtigen Datenverkehr erfassen.

Konfigurieren sie ihren Datenflussexport

Die Konfiguration einer Datenflussüberwachungstechnologie ist leider kein einheitlicher Prozess, selbst zwischen verschiedenen Produkten desselben Anbieters nicht. Sie sollten sich die Dokumentation nicht nur für Ihr spezifisches Produkt, sondern auch für die in Ihrem Netzwerk verwendete Softwareversion anschauen.

Konfigurieren Sie Ihre(n) Datenflusssammler und Analysator(en)

Der Export von Datenflussaufzeichnungen ist erst der Anfang. Um einen wirklichen Nutzen aus der Datenflussüberwachung zu ziehen, sollten Sie Ihre Datenflussaufzeichnungen in einem Sammler speichern und einen Analysator verwenden, um die Daten wirklich sinnvoll zu nutzen. Ein Datenflussanalysator kann Ihnen dabei helfen, sowohl kurz- als auch langfristige Trends zu erkennen, wichtige Daten zu visualisieren und neue Erkenntnisse zu gewinnen, die Sie möglicherweise verpasst haben.

Vorteile der Datenflussüberwachung

Die Netzwerkdatenflussüberwachung bietet eine Reihe von Vorteilen für Unternehmen, die sie implementieren. Wenn Sie verstehen, wie, wann und von wem ein Netzwerk verwendet wird, kann dies zu einer höheren Ausfallsicherheit, geringeren Betriebskosten und einer schnelleren Problemlösung führen, wenn etwas schiefgeht. Im Folgenden finden Sie einige der Vorteile, die die Netzwerkdatenflussüberwachung bieten kann:

Effizientere Nutzung von Ressourcen

Stellen Sie sich eine hochgradig überlastete Netzwerkverbindung oder WAN-Schnittstelle vor. Wenn Sie sich auf ältere Überwachungstechniken wie SNMP verlassen, kann es sein, dass Sie zusätzliche Bandbreite kaufen müssen. Die Datenflussüberwachung kann dem Unternehmen einen tieferen Einblick darin geben, was bzw. wer die gesamte verfügbare Bandbreite verbraucht. Vielleicht hat ein Mitarbeiter einen nicht autorisierten Datenserver eingerichtet, oder eine Datenbank ist falsch konfiguriert. Indem solche Probleme behoben werden, wird der Bedarf an mehr Bandbreite beseitigt und das Unternehmen spart Geld.

Wenn es an der Zeit ist, die Netzwerkkapazität zu erhöhen, kann die Datenflussüberwachung eine sehr genaue Planungsgrundlage bieten. Indem man sich Daten aus der Vergangenheit anschaut, kann man messen, wie schnell der Datenverkehr zunimmt, und sich so ein Bild davon machen, wann in etwa ein Upgrade erforderlich sein könnte.

Erkennen von anormalem Datenverkehr und anderen Bedrohungen der Netzwerksicherheit

Die Möglichkeit, anormalen Netzwerkdatenverkehr zu erkennen, ist ein wichtiger Grund für die Implementierung einer Lösung zur Datenflussüberwachung. Indem der Datenverkehr innerhalb eines Netzwerks – statt an der Edge oder am Perimeter – überwacht wird, kann man Bedrohungen identifizieren, die den anderen Schutzmaßnahmen entgangen sind. Große „Ost-West“-Verkehrsspitzen zwischen Rechnern im Netzwerk könnten darauf hindeuten, dass sich ein Wurm oder Virus ausbreitet. Eine Spitze im ausgehenden Datenverkehr könnte auf Datenexfiltration oder Command-and-Control-Nachrichten hindeuten. Eine große Menge an eingehendem Datenverkehr könnte die erste Welle eines DDoS-Angriffs sein.

Die Datenflussüberwachung ist eine hervorragende Ergänzung zu signaturbasierten Sicherheitstechnologien wie Intrusionserkennungssystemen und Antivirensoftware. Neue Bedrohungen können möglicherweise nicht mit vorhandenen Signaturen erkannt werden, doch anhand der Datenflussüberwachung kann dennoch ein Alarm ausgelöst werden, wenn eine Abweichung vom gewöhnlichen Netzwerkverhalten vorliegt. Solche Lösungen können auch verwendet werden, um den Fokus einer Bedrohungsjagdkampagne einzugrenzen, da sie Sicherheitsanalysten einen guten Ausgangspunkt für tiefergehende Paketerfassung mit einem Tool wie Wireshark bieten.

Überprüfen der Anwendungsleistung und der Dienstgüte (QoS)

Da die Datenflussüberwachung für ein bestimmtes Protokoll aktiviert werden kann, kann sie bei der Überprüfung oder Fehlerbehebung der Leistung von geschäftskritischen Anwendungen wie VoIP oder Videokonferenzen sehr nützlich sein. Netzwerkadministratoren können den Pfad bzw. die Pfade sehen, auf denen solche wichtigen Pakete das Netzwerk durchlaufen, und sie können auch sicherstellen, dass die richtige Serviceklasse auf den Datenverkehr angewendet wird.

Die Überwachung des Datenflusses ist ebenfalls nützlich, um die Auswirkungen einer neuen Anwendung, einer Netzwerkkonfiguration oder einer Änderung der Anzahl der Benutzer, die auf das Netzwerk zugreifen, zu messen.

Die 3 wichtigsten Tools zur Überwachung des Netzwerkdatenflusses

Es gibt heute eine Vielzahl von Lösungen zur Datenflussüberwachung auf dem Markt, aber die drei wichtigsten sind Netflow, sFlow und IPFIX. Werfen wir einen kurzen Blick auf jede dieser Top-Optionen:

Was ist NetFlow?

NetFlow war die erste Lösung zur Datenflussüberwachung und wurde ursprünglich von Cisco in den späten 1990er Jahren entwickelt. Es gibt mehrere verschiedene Versionen, aber die meisten Implementierungen basieren entweder auf NetFlow v5 oder NetFlow v9. Während jede Version unterschiedliche Funktionen bietet, werden dennoch alle im Grunde gleich bedient:

Zunächst erfasst ein Router, Switch, eine Firewall oder ein anderes Gerät Informationen über die Netzwerk-„Datenflüsse“ – im Grunde eine Reihe von Paketen, bei denen eine Reihe von Merkmalen wie Quell- und Zieladresse, Quell- und Zielport und Protokolltyp gleich sind. Nachdem ein Datenfluss inaktiv geworden oder eine vordefinierte Zeitspanne verstrichen ist, exportiert das Gerät die Datenflussaufzeichnungen an eine Einheit, die als „Datenflusssammler“ bezeichnet wird.

Schließlich zieht ein „Datenflussanalysator“ sinnvolle Schlussfolgerungen aus diesen Aufzeichnungen und liefert Erkenntnisse in Form von Visualisierungen, Statistiken und detaillierten Verlaufs- und Echtzeitberichten. In der Praxis sind Sammler und Analysator oft eine Einheit, die häufig Teil einer umfassenderen Lösung zur Überwachung der Netzwerkleistung ist.

NetFlow funktioniert zustandsbehaftet. Wenn ein Client-Rechner mit einem Server kommuniziert, beginnt NetFlow mit der Erfassung und Aggregation von Metadaten aus dem Datenfluss. Nachdem die Sitzung beendet wurde, exportiert NetFlow einen einzelnen vollständigen Datensatz in den Sammler.

Obwohl es immer noch häufig verwendet wird, hat NetFlow v5 eine Reihe von Einschränkungen. Die exportierten Felder sind fixiert, die Überwachung funktioniert nur für eingehenden Verkehr und moderne Technologien wie IPv6, MPLS und VXLAN werden nicht unterstützt. NetFlow v9, auch vermarktet als Flexible NetFlow (FNF), behebt einige dieser Einschränkungen. Benutzer können hier benutzerdefinierte Vorlagen erstellen, und neuere Technologien werden unterstützt.

Viele Anbieter verfügen auch über eigene proprietäre Implementierungen von NetFlow, z. B. jFlow von Juniper und NetStream von Huawei. Obwohl sich die Konfiguration ggf. etwas unterscheidet, erzeugen diese Implementierungen oft Datenflussaufzeichnungen, die mit NetFlow-Sammlern und -Analysatoren kompatibel sind.

Was ist sFlow?

„sFlow“ ist kurz für „sampled Flow“ und verfolgt eine andere Herangehensweise an die Netzwerküberwachung als andere Optionen. Während NetFlow Datenflüsse zustandsbehaftet erfasst, arbeitet sFlow mit zufälligen Stichproben der vollständigen Paket-Header eines bestimmten Datenflusses in einem vorgegebenen Intervall. Dies kann die Bandbreiten- und CPU-Nutzung des Switches oder Routers, der die Datenflussinformationen erfasst, reduzieren, aber auch die Genauigkeit der erfassten Informationen. sFlow erfasst jedoch tiefergehende Informationen als NetFlow, einschließlich vollständiger Paket-Header und sogar partieller Paket-Payloads.

sFlow wird von einer Vielzahl von Netzwerkgeräten unterstützt, sogar von vielen Cisco-Produkten. Auf der Sammler-/Analysatorseite exportiert sFlow Datensätze, die nicht mit NetFlow kompatibel sind, aber viele Netzwerküberwachungs- und Analysetools unterstützen beide Formate.

sFlow exportiert Stichprobenpakete nahezu in Echtzeit – und im Gegensatz zu NetFlow gibt es keinen Datenfluss-Cache auf dem Netzwerkgerät. Dadurch ist sFlow eine besser skalierbare Option in sehr schnellen Netzwerken. Sehr wichtig ist jedoch, dass eine angemessene Sampling-Rate konfiguriert wird. Das Sampling eines größeren Prozentsatzes der Gesamtpakete kann zu einer höheren Genauigkeit führen, aber ein zu hoher Prozentsatz hebt die Vorteile des statistischen Samplings wieder auf. Es gibt leider keine „korrekte“ Sampling-Rate; da so viele Faktoren einen Einfluss darauf haben, ist diese für jedes Netzwerk unterschiedlich.

Was ist IPFIX?

Internet Protocol Flow Information Export (IPFIX) ist ein IETF-Standard, der in den frühen 2000er Jahren entstanden ist und sehr viele Gemeinsamkeiten mit NetFlow hat. Tatsächlich diente NetFlow v9 als Grundlage für IPFIX. Der Hauptunterschied zwischen den beiden ist, dass IPFIX ein offener Standard ist und von vielen Netzwerkanbietern außer Cisco unterstützt wird. Mit Ausnahme einiger zusätzlicher Felder, die in IPFIX hinzugefügt wurden, sind die Formate ansonsten nahezu identisch. Tatsächlich wird IPFIX manchmal sogar als „NetFlow v10“ bezeichnet.

In Anbetracht seiner Ähnlichkeiten mit NetFlow bietet IPFIX weitreichenden Support bei Netzwerküberwachungslösungen und Netzwerkgeräten.

Netzwerkdatenfluss-Tools im Vergleich

Funktion NetFlow v5 NetFlow v9 sFlow IPFIX
Offen oder Proprietär Proprietär Proprietär Öffnen Öffnen
Stichproben- oder datenflussbasiert Hauptsächlich datenflussbasiert; Stichprobenmodus verfügbar Hauptsächlich datenflussbasiert; Stichprobenmodus verfügbar Stichprobenbasiert Hauptsächlich datenflussbasiert; Stichprobenmodus verfügbar
Erfasste Informationen Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw. Vollständige Paket-Header, partielle Paket-Payloads Metadaten und statistische Informationen, einschließlich übertragener Bytes, Schnittstellenzähler usw.
Eingangs-/Ausgangsüberwachung Nur eingehend Eingehend und ausgehend Eingehend und ausgehend Eingehend und ausgehend
Unterstützung von IPv6/VLAN/MPLS Nein Ja Ja Ja

Was bei der Datenflussüberwachung zu beachten ist

Wie bereits erwähnt gibt es einige wichtige Überlegungen bei der Implementierung einer Lösung zur Datenflussüberwachung, egal ob NetFlow, sFlow oder IPFIX. Die Wahl der Plattform oder des Tools, das Sie zur Analyse Ihrer Datenflussaufzeichnungen verwenden, kann große Auswirkungen darauf haben, wie sehr Sie davon profitieren.

Auch sollten Sie die Speicheranforderungen berücksichtigen, die sich je nach Umfang des Datenverkehrs, den Sie überwachen oder stichprobenartig erfassen möchten, unterscheiden.

Am wichtigsten ist vielleicht, dass Sie sich überlegen, ob die Datenflussüberwachung überhaupt die am besten geeignete Art der Netzwerkverkehrsanalyse für Ihre Bedürfnisse ist. Benötigen Sie die tiefere Inspektionsebene, die mit einer vollständigen Paketerfassung möglich ist? Oder reichen Metadaten und zusammengefasste Informationen aus?

Ist diese Lösung die richtige für Sie?

Die Datenflussüberwachung ist eine unverzichtbare Ergänzung für den Werkzeugkasten eines jeden Netzwerkingenieurs. Sie ist jedoch keineswegs ein Allheilmittel, insbesondere für die Sicherheit. Vor allem dem Packet Sampling können fortschrittliche Bedrohungen entgehen, die nicht viel Lärm machen. Indem Sie die netzwerkorientierte Perspektive der Datenflussüberwachung mit einer datenorientierten Lösung wie der Varonis Data Protection Platform kombinieren, können Sie blinde Flecken vermeiden, fortschrittliche Bedrohungen identifizieren und die Compliance einhalten. Wenn Sie mehr darüber erfahren möchten, wie Varonis Ihre bestehenden Überwachungslösungen ergänzen kann, vereinbaren Sie noch heute einen Termin für eine persönliche Demo.

Avatar

Robert Grimmick

Robert ist ein IT- und Cybersicherheitsberater in Südkalifornien. Es macht ihm Spaß, sich über die neuesten Bedrohungen in der Computersicherheit zu informieren.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990