Flow data Netwerkgegevens op basis van NetFlow en IPFIX worden volwaardige NPMD-oplossing
Vier misverstanden over flow data Gegevens over netwerkverkeer - denk aan NetFlowof IPFIX-data - werden tot voor kort vooral gebruikt in de telecom-wereld voor capaciteitsplanning, financiële verrekening van het gebruik van een netwerk en bijvoorbeeld bij DDoS-aanvallen. ITafdelingen lijken nu echter ook de mogelijkheden van dit soort ‘flow data’ te ontdekken. Al moeten dan nog wel een aantal misverstanden over flowtechnologie uit de weg worden geruimd, meent Artur Kane van Flowmon.
Misverstand #1: Flow data is onnauwkeurig Onder ‘flow data’ verstaan we gegevens over het netwerkverkeer die gegenereerd wordt aan de hand van protocollen als NetFlow en IPFIX. Netwerkbeheerders zijn vaak van mening dat de data die hierbij wordt voortgebracht in feite gesampled is en daarmee dus niet nauwkeurig. Dit klopt niet. Flow data via NetFlow en IPFIX is niet gesampled. NetFlow en IPFIX worden vaak verward met sFlow en NetFlow Lite. Dit zijn twee protocollen die we vroeger vooral tegenkwamen in netwerkapparatuur voor het mkb. Deze standaarden zijn echter inmiddels achterhaald en kunnen beter niet meer gebruikt worden. Alle grote aanbieders van netwerkapparatuur leveren inmiddels routers en switches die op basis van NetFlow en IPFIX in staat zijn niet-gesamplede en zeer nauwkeurige statistieken over het netwerkverkeer te exporteren.
maken het eveneens mogelijk om netwerkstatistieken te exporteren, terwijl de bekende virtualisatieplatformen het mogelijk maken om inzicht te krijgen in al deze gegevens. Zelfs low-cost apparatuur denk bijvoorbeeld aan routers van Mikrotik - kunnen nauwkeurige statistieken leveren. Een professionele analyse-tool - ook wel een ‘collector’ genoemd visualiseert al deze data en toont daarbij het east-west dataverkeer in het netwerk. Hierdoor verkrijgen functionarissen als netwerkbeheerders en IT-managers inzicht in het gebruik dat gemaakt wordt van individuele uplinks in de diverse locaties.Vergeet hierbij echter niet dat een analyse en visualisatie van flow data misschien nog wel de meeste waarde oplevert bij troubleshooting bij storingen of incidenten in het netwerk. Neem het volgende voorbeeld (zie figuur 1). Een gebruiker ondervindt problemen bij het leggen van een verbinding met een server via SSH. Als we in zo’n geval gebruikmaken van flow data, dan kunnen we heel gemakkelijk vaststellen dat er - bijvoorbeeld geen respons is van de server. En kunnen we op zoek gaan naar de oorzaak. Is bijvoorbeeld een bepaald gedeelte van het netwerk niet beschikbaar? Is de server down? Is er sprake van configuratiefouten? De veelheid aan mogelijke oorzaken kan dan bijvoorbeeld worden teruggebracht tot ‘de service is niet actief ’ of ‘de communicatie wordt tegengehouden door een firewall’. Hierdoor kan de zogeheten ‘meantime to resolve’ (MTTR) enorm worden gereduceerd.
Misverstand #2: Flow data geeft alleen inzicht in lagen 2 of 3 Met als gevolg dat de hoeveelheid flow data die beschikbaar is ook enorm is toegenomen. Alle belangrijke fabrikanten van firewalls
Dat is correct voorzover we het hebben over het oorspronkelijke idee achter flow data. Maar we zijn inmiddels een flinke stap verder.
Figuur 1
Figuur 2
30
Alles over innovatie in ICT
