Контакты
Подписка 2025

Четыре мифа о Netflow

Павел Минарик, 25/06/19

 

 

minaricFlow-данные (NetFlow/IPFIX и т. д.) широко известны в ИT-сообществе на протяжении многих лет и используются, например, в таких случаях, как биллинг, планирование мощностей и защита от DDoS-атак, в основном в сегменте Telco. ИT-менеджеры и ИT-директора предприятий и организаций только недавно начали изучать их огромный потенциал. Тем не менее в сетевом сообществе все еще сохраняются мифы, препятствующие более быстрому внедрению flow-технологий. Павел Минарик, CTO Flowmon Networks, рассмотрит четыре основных.

Миф 1. Flow-данные – выборочные и неточные

Это утверждение действительно верно для стандартов sFlow или NetFlow Lite, поддерживаемых на устаревших устройствах и используемых клиентами малого и среднего бизнеса. Все крупные поставщики сетевого оборудования для предприятий предоставляют маршрутизаторы и коммутаторы, способные экспортировать высокоточную статистику трафика. В последнее время общая доступность flow-данных резко возросла. Все крупные поставщики брандмауэров поддерживают экспорт flow-потоков, а платформы виртуализации обеспечивают их видимость. Даже экономичные устройства, такие как маршрутизаторы Mikrotik, могут предоставить точную статистику.

Миф 2. Прозрачность Flow ограничена видимостью L3/L4

Это исходный дизайн. Flow-данные представляют собой единый поток пакетов в сети с идентичным 5-ступенчатым идентификатором, состоящим из IP-адреса источника, IP-адреса назначения, порта источника, порта назначения и протокола. На основании этого пакеты объединяются в записи потока, которые накапливают объем передаваемых данных, количество пакетов и другую информацию из сетевого и транспортного уровня. Однако более пяти лет назад появилась концепция потоковых данных, расширенная информацией из прикладного уровня. Эта концепция в последнее время широко применяется многими поставщиками. Таким образом, подробное представление о протоколах приложений, таких как HTTP, DNS и DHCP, не является проблемой в наши дни. Фактически это переводит варианты устранения неполадок на совершенно другой уровень.

Миф 3. Flow-данные не используют показатели сетевой эффективности

До этого мы говорили о поиске неисправностей. Другая часть головоломки – это мониторинг производительности сети. Мониторинг сети не обеспечивается исключительно за счет захвата пакетов. Показатели производительности сети могут быть легко извлечены из пакетных данных и экспортированы как часть статистики потока. Индикаторы производительности, такие как RTT, SRT, jitter или количество повторных передач, прозрачно доступны для всего сетевого трафика, независимо от протокола приложения. Учитывая его преимущества, такой подход был принят рядом крупных вендоров, которые предоставляют эти показатели как часть своего расширения AVC (видимость и контроль приложений) ART (время отклика приложений). Это означает, что вы можете измерить производительность всех приложений, работающих в локальной среде, в частном облаке, а также в общедоступной облачной среде.

Миф 4. Flow не является комплексным инструментом для мониторинга и диагностики эффективности сети

Согласно Gartner, основной целью инструментов NPDM является предоставление показателей производительности путем использования полных пакетных данных и возможности исследовать проблемы сети методом анализа полных трассировок пакетов. Но действительно ли нам нужно решение для захвата пакетов? Нет. Расширенные flow-данные обеспечивают точную статистику трафика, видимость в L7 (протоколы приложений) и метрики производительности сети, что позволяет полностью использовать сценарии использования NPMD.

На самом деле с ростом зашифрованного трафика, разнородных сред и с увеличением скорости сети неизбежно, что flow станет преобладающим подходом в области NPMD. Увеличение пропускной способности бросает значимый вызов устаревшим пакетным решениям. Давайте посмотрим на простой пример. Магистраль сети емкостью 10G потребует до 108 Тбайт хранилища данных для отслеживания всего сетевого трафика в течение 24 часов. Это огромный объем данных, которые необходимо собирать, хранить и анализировать, что делает весь процесс чрезвычайно дорогим.

В действительности вам понадобится только часть их. Для потоковых данных в той же ситуации потребуется около 250 Гбайт емкости, что позволяет хранить 30-дневную историю на коллекторе, оснащенном 8 Тбайт памяти.

Представим, что вам нужно устранить очень специфическую проблему с неподдерживаемым протоколом приложения, когда в flow-данных отсутствует видимость. В таком случае нужен инструмент на основе захвата пакетов, верно? На самом деле, не совсем. Наличие зонда означает, что у вас есть доступ к полному пакету данных в любом случае. Таким образом, вместо того, чтобы просто извлекать все метаданные из пакетов, вы задаете Probe задачу запустить захват пакетов. Эта задача будет ограничена во времени и строго сфокусирована на записи пакетов, имеющих отношение к вашему исследованию. Таким образом, выборочный захват пакетов по требованию легко обрабатывается даже в 10G-среде без необходимости в большой емкости хранилища.

Flow-данные в динамике будущего

Flow-данные – больше не игрушка, доступная только в нескольких случаях ограниченного использования. Технология расширенных flow-данных настолько созрела, что стала современным инструментом, обеспечивающим достаточную степень детализации для решения сетевых инцидентов, проблем конфигурации, планирования емкости и многого другого. По сравнению с инструментами непрерывного захвата пакетов она дополнительно обладает непревзойденной масштабируемостью, гибкостью и простотой использования. В результате flow-данные экономят время, снижают MTTR и общую стоимость сетевых операций. Flow-данные не ограничиваются работой сети, мониторингом производительности и устранением неполадок. Это основа для анализа поведения сети, способная обнаруживать и сообщать о показателях компрометации, удаленном движении, APT, сетевых атаках и т.д.

Flow-данные проникают в корпоративную среду, и с непрерывным внедрением облачных технологий, IoT, SDN и повсеместным ростом пропускной способности эта тенденция будет только продолжаться.

Темы:ПерсоныWeb ControlКомпании

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 | Москва | Radisson Blu Belorusskaya. Мероприятия для директоров и специалистов по ИБ, инженеров, ИТ-руководителей и разработчиков
Регистрируйтесь и участвуйте 14-15 октября →
Статьи по той же темеСтатьи по той же теме

  • Finternet: перезагрузка финансовой системы
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Мир современных финансов стремительно меняется под влиянием технологического прогресса. Одним из самых революционных явлений стало появление концепции Finternet, объединяющей финансовую сферу и цифровые технологии. Это не просто эволюция традиционных финансовых систем, а их полное преобразование, позволяющее осуществлять банковские операции, инвестировать, кредитовать и страховать риски в цифровой среде без посредников и территориальных границ.
  • Куда российским компаниям мигрировать с Active Directory?
    Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
  • PAM – строим вместе
    Василий Окулесский, вице-президент по информационной безопасности ЦМРБанка
    Хороший продукт – это всегда плод совместных усилий производителя и пользователей. Чтобы продукт был успешным и востребованным, им должны пользоваться, давать обратную связь, и производитель должен реагировать на нее. Только тогда он станет по-настоящему полезным, конкурентоспособным, будет расти и развиваться.
  • Чем NDR лучше, чем NTA?
    Станислав Грибанов, руководитель продукта “Гарда NDR”, группа компаний “Гарда”
    В 2024 г. NTA – устаревший класс решений в области анализа сетевого трафика во всем мире, кроме России, где под этой аббревиатурой подразумеваются другая функциональность. Как бы то ни было, направление NTA у международных вендоров либо закрыто, либо эволюционировало в класс NDR. Возникает закономерный вопрос, какие задачи решает NDR, и чем он, собственно, отличается от NTA?
  • Indeed Access Manager в Альфа-Банке: отечественное решение оказалось лучше западного
    Сергей Крамаренко, руководитель департамента кибербезопасности Альфа-Банка
    Беседуем с Сергеем Крамаренко, руководителем департамента кибербезопасности АльфаБанка, о реальном опыте внедрения российской системы многофакторной аутентификации пользователей Indeed Access Manager, которая не только успешно заменила, но и по некоторым параметрам превзошла аналогичное зарубежное решение.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Обсудим 15 октября на Форуме ITSEC 2025. Регистрация →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Регистрация участников на конференцию 16 октября →

More...