EN

NetFlow - sFlow Nedir?

25 Şubat 2019

Bir bilgisayar ağını izlemek ve trafiği analiz etmek; anormal durumların anında fark edilmesi, tıkanıklık sorunları, donanım hataları ve güvenlik olayları dahil olmak üzere güvenilirlik ve performans sorunlarını tanılamak ve gidermek için sorunların krize dönüşmeden algılanıp çözümlenmesini sağlar. İzleme ve analiz; ayrıca uzun menzilli ve verimli ağ planlaması için gerekli olan öngörüyü sağlar. Diğer taraftan ağ üzerindeki yazılımsal, donanımsal ve protokol bazlı çeşitlilikler ağın izlenmesini zorunlu kılmaktadır. Ağ trafiğini izlemede kullanılan başlıca araçlar arasında NetFlow ve SFlow sayılabilir.

NetFlow ve sFlow ağ trafiğini çeşitli yöntemlerle izleyen ve analiz ederek raporlayan protokollerdir. Bu protokoller genel olarak ağ kullanıcıları, ağ uygulamaları ve yönlendirme (routing) trafiği hakkında bilgi sağlar.

NetFlow nedir?

Cisco tarafından yönlendiricilerde paket iletim ve erişim kontrol listesi(ACL) için optimizasyon sağlamak amacıyla geliştirilen NetFlow, bir Cisco yönlendiricisine yada üzerinde NetFlow etkin olan bir ağ anahtarına giden veya gelen tüm IP trafiğini toplamak ve kaydetmek ve ağ trafiğini izlemek için yaygın kullanılan protokoldür. 3. Katman ve sonrasında çalışır. Cisco dışındaki bazı üreticiler de NetFlow’u destekler. NetFlow un v1 ile v9 arasında birçok versiyonu bulunmakla beraber bir kısmı yayınlanmamıştır. En çok kullanılan versiyonları v5 ve v9 dur.

NetFlow durum tanımlı(stateful) çalışarak bir arayüz üzerinden gerçekleşen tüm IP haberleşmelerini izler ve raporlama yapar. Netflow’da söz konusu her bir IP haberleşmesi flow kavramı ile tanımlanmıştır. flow bir gönderici ve bir alıcı arasında geçen bir konuşmayı oluşturan paketler dizisi olarak açıklanabilir.  NetFlow, biz cihaza giren ve çıkan IP trafiğine dair verileri toplar;  paketleri inceleyip kaynak ve alıcı adresleri, protokol ve portlar gibi belirli alanlara göre flow’lara gruplandırır. Gözlemlenen flow’larla ilgili veriler paketlerden toplanır, yerel olarak önbelleğe(cash) alınır ve periyodik olarak kolektörlere(collector) gönderilir. Netflow OSI’nin 3. ve 4. Katmanlarına yoğunlaştığı için sadece IP paketlerini izler.

Flow oluşturulmak üzere paketlerden toplanan öğeler şunlardır: Kaynak IP adresi, Hedef IP adresi, UDP veya TCP için kaynak port, UDP veya TCP için hedef port, IP protokolü, Giriş arayüzü, IP Hizmet Türü (Type of Service)

Bunun yanı sıra Sürüm numarası, Sıra numarası (sequence number), Giriş ve çıkış arayüzleri (SNMP destekli), Akış başlangıç ve bitiş bilgisi, Akış boyutu ve paket sayısı,3. Katman yönlendirme  bilgisi gibi parametreler de izlenebilir.

Ayrıca NetFlow v9 isteğe bağlı olarak MPLS (Multiprotocol Label Switching - Çoklu Protokol Etiket Anahtarlama) etiket bilgisini ve IPv6 adres ile port bilgisini de sağlar.

sFlow Nedir?

Yüksek hızla veri transferi yapan ağlarda durum tanımsız(stateless) paket örnekleme protokolü olarak çalışan sFlow paket düzeyinde inceleme yapar. sFlow ismindeki s sampling örnekleme anlamındadır. sFlow isminde her ne kadar isminde flow varsa da akış ile ilgilenmez. Çalışma prensibi yüksek hızlı örneklemedir. NetFlow’da olduğu gibi bir konuşmaya ait paketleri bir araya getirip flow oluşturarak izleme yetisine sahip değildir

sFlow, herhangi bir ağ cihazına gömülü olarak (L2, L3, L4 ve L7'ye kadar)  herhangi bir protokolde sürekli istatistikler sağlamak için tasarlanmıştır. Böylece bir ağdaki tüm trafik doğru bir şekilde karakterize edilebilir ve izlenebilir. Bu istatistikler, tıkanıklık kontrolü, sorun giderme, güvenlik gözetimi, ağ planlaması için kullanılabilir.  Bir sFlow çalıştıran ağ cihazı üzerinden geçen paketten bir örnek alır. Ayrıca rastgele paketler seçer. Alınan tüm paketlerin başlangıç baytlarını toplama noktasına gönderir.

NetFlow ile Slow arasındaki farklar

NetFlow ve SFlow arasındaki en önemli fark; NetFlow ile trafik paternleri incelenerek her bir paketin hangi konuşmaya ait olduğu tespit edilebilirken sFlow’da sadece o anda akan trafiğin bir örnek kümesinin alınabildiği görülmektedir. NetFlow’un bir haberleşmeye ait ilgili tüm paketleri toplayabilmesi,  bir host ile ilgili trafiği ayrıntılarıyla incelemeyi, lokal anomalilikleri algılamayı ve herhangi bir flow ile ilgili araştırma yapmayı kolaylaştırmaktadır. Ancak trafiğin yoğunlaştığı durumlarda, her bir flow’a ait verileri toplamak zorlaşmaktadır, bu durumda sFlow’un ölçeklenebilirliği avantajlı hale gelmektedir. Ancak  yüksek trafikli ağlarda sFlow’un anlık değişimleri pikleri yakalayamaması durumu da sözkonusudur.

NetFlow yüksek trafikli ağlarda ağ cihazının performansını önemli ölçüde tüketir. sFlow ise çalışma prensibi dolayısıyla ağ cihazı performansına fazla etkisi olmaz

Çalışma esnasında NetFlow ‘un gecikmesi sFlow’dan daha fazla olabilir

Son olarak NetFlow’un sadece IP ile çalışması sFlow’un 2. Katmanda da çalışması iki protokol arasındaki göze çarpan farklılıklardır.

Güvenlikle ile ilgili diğer “Nedir Makaleleri” için aşağıdaki linklere tıklayabilirsiniz.

[1] Ağ erisim kontrolu (network access control/NAC) nedir?

[2] CTF nedir?

[3] Kişisel Veri ve Özel nitelikli kişisel veri nedir?

[4] Loglama ve SIEM nedir?

[5] Önbelleğe alma (caching) nedir?

[6] Penetrasyon (sızma testi) nedir?

[7] Soar nedir?

[8] Raid nedir?

[9] UTM nedir?

[10] Verbis nedir?

[11] Zeroday nedir?

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog