ואצאפ
כפתור הקפץ למעלה

ניטור רשת

ניטור רשת

הוא תהליך קריטי בניהול ובקרה על מערכות מחשוב ורשתות תקשורת בארגונים. מטרתו היא לספק מידע מעודכן ומדויק על בריאות, ביצועים ואבטחת הרשת. ניטור רשת מאפשר לארגונים לזהות בעיות ולטפל בהן בזמן אמת, מה שמונע תקלות ומזעור נזקים.

הפעילות כוללת מעקב אחר תקשורת נתונים ברשת, כגון זיהוי פקקי תנועה, ניתוח בעיות קישוריות, ומעקב אחר נפח השימוש ברשת. כמו כן, ניטור רשת כולל את זיהוי וניהול אירועי אבטחת מידע כמו ניסיונות חדירה או התקפות סייבר.

מערכות ניטור מסוגלות לנתח את תעבורת הרשת על פני השכבות השונות של מודל ה- OSI, החל בשכבת ה- Data Link וכלה בשכבת היישומים (Application). כלים אלה עושים שימוש נרחב בטכניקות כגון Deep Packet Inspection (DPI)‏, Analytics מתקדמים ואף למידת מכונה.

תהליך ניטור רשת מתחיל בהגדרת מטריקות וסף ביצועים שיש למדוד. נתונים אלה יכולים לכלול מדדים כמו זמן תגובה של שרתים, שיעורי שגיאות בשליחת וקבלת חבילות נתונים, וניצול פס רוחב. על ידי הגדרת סטנדרטים וספיקות ביצועים, מנהלי רשת יכולים לזהות בעיות עוד בטרם הן הופכות לקריטיות.

כלי ניטור רשת מתקדמים משתמשים בטכנולוגיות כמו SNMP (Simple Network Management Protocol) לאיסוף נתונים ממכשירי רשת שונים. נתונים אלה נאספים וניתוחים על ידי המערכת, המספקת דוחות ותרשימים שמציגים את מצב הרשת.

אחד האתגרים המרכזיים בניטור רשת הוא זיהוי בעיות בזמן אמת והבנה של השפעותיהן המרחיקות לכת. למשל, זיהוי של פקק תנועה בחלק אחד של הרשת עשוי להצביע על בעיה רחבה יותר שיש לטפל בה במהירות. כמו כן, ניטור רשת יכול להצביע על נקודות תורפה אבטחתיות, כמו ניסיונות חדירה או התקפות DDoS.

סוגי נתוני ניטור רשת

ניתן לאסוף מגוון רחב של נתוני ניטור רשת, כגון:

  • נתוני תנועה: נתוני תנועה כוללים מידע על כל החבילות שעוברות דרך הרשת, כגון כתובות IP, פורטים, וסוגי פרוטוקול.
  • נתוני משאבים: נתוני משאבים כוללים מידע על המשאבים הפועלים ברשת, כגון שרתים, תחנות קצה, והתקני תשתית.
  • נתוני אירועים: נתוני אירועים כוללים מידע על אירועים חריגים ברשת, כגון התקפות סייבר, נפילות שרת, או שגיאות תוכנה.

מטרות ניטור רשת

ניטור רשת יכול לשמש למגוון מטרות, כגון:

  • הגנה מפני התקפות סייבר: ניטור רשת יכול לעזור לארגונים לזהות התקפות סייבר בשלב מוקדם, לפני שהן הספיקו לגרום נזק.
  • שיפור ביצועי הרשת: ניטור רשת יכול לעזור לארגונים לזהות בעיות בביצועי הרשת, כגון פקקים או בעיות ברשת התקשורת.
  • זיהוי בעיות פוטנציאליות: ניטור רשת יכול לעזור לארגונים לזהות בעיות פוטנציאליות ברשת, כגון התקנת תוכנה זדונית או פעילות חשודה.

סוגי מערכות ניטור רשת

קיימים שני סוגים עיקריים של מערכות ניטור רשת:

מערכות ניטור רשת מבוססות פרוטוקול: מערכות אלו אוספות נתוני תנועה ברשת באמצעות פרוטוקול ניטור רשת (SNMP).

מערכות ניטור רשת מבוססות אירועים: מערכות אלו אוספות נתוני אירועים ברשת באמצעות פרוטוקול ניהול אירועים (SIEM).

ניהול נתוני ניטור רשת

נתוני ניטור רשת יכולים להיות רבים ומגוונים. לכן, חשוב לנהל נתוני ניטור רשת בצורה יעילה, כדי לאפשר ניתוח וקבלת החלטות יעילות. נהלי ניהול נתוני ניטור רשת יכולים לכלול:

  • סינון נתונים: סינון נתונים מאפשר לארגונים להתרכז בנתונים הרלוונטיים ביותר לצרכים שלהם.
  • אחסון נתונים: אחסון נתונים מאפשר לארגונים לשמור על נתוני ניטור רשת לטווח ארוך.
  • ניתוח נתונים: ניתוח נתונים מאפשר לארגונים להפיק תובנות מנתוני ניטור רשת.

כאן, אנו מתעניינים במיוחד בניטור רשת כהגנה בפני התקפות סייבר.

 

המטרה של ניטור אבטחת רשת היא לספק תצפית מלאה ומתמדת על כל הפעילות ברשת. זה כולל איסוף, ניתוח, ועיבוד של נתונים על תנועת התקשורת, התקנים מחוברים, ושימוש במשאבים. דרך זו, אפשר לזהות פעילויות חריגות או חשודות שעלולות להיות אינדיקציה לפעילות זדונית.

 

ניטור אבטחת רשת מתמקד בכמה מרכיבים עיקריים: זיהוי של תנועה חריגה, כגון ניסיונות חדירה או התקפות DoS, מעקב אחר תקשורת שאינה תקנית או חשודה, כמו תקשורת לכתובות IP חשודות, וזיהוי של ניסיונות פריצה או חדירה למערכת. כמו כן, ניטור אבטחת רשת עוסק באיסוף וניתוח של לוגים משרתים, ראוטרים, ומכשירים אחרים ברשת, כדי לזהות פגיעות אבטחה ולטפל בהן במהירות.

 

כלי ניטור אבטחת רשת מתקדמים כוללים יכולות כמו זיהוי תבניות התנהגות חריגות באמצעות שימוש בלמידת מכונה ובינה מלאכותית. זה מאפשר למערכת ללמוד מפעילויות קודמות ולזהות איומים חדשים או מתפתחים באופן יעיל יותר.

 

חשוב להדגיש כי ניטור אבטחת רשת הוא רק חלק ממערכת ההגנה של ארגון. הוא צריך להיות משולב עם שאר אלמנטים של אבטחת מידע, כמו פיירוולים, אנטי וירוס, ומערכות אימות והרשאה. כל אלו יחד יוצרים מחסום רב שכבתי נגד איומים מגוונים.

 

סוגי מערכות ניטור רשת למטרות אבטחת רשת

יש מספר סוגים של מערכות ניטור, כל אחת עם תכונות ויכולות ייחודיות, שמתאימות לצורך שונה של ארגונים.

  • מערכת ניהול אירועי אבטחת מידע SIEM:  מערכת זו משלבת בין ניהול מידע אבטחתי וניהול אירועי אבטחה, ומספקת אינטגרציה ופרשנות של נתונים ממגוון מקורות. SIEM מאפשרת איסוף וניתוח מידע בזמן אמת, זיהוי פעילויות חריגות, ופיקוח על התראות אבטחה.
  • מערכות זיהוי ומניעת חדירות IDS/IPS: מערכות אלו עוסקות בזיהוי פעילויות חשודות או זדוניות ברשת ובחסימתן. IDS עוסק בזיהוי בלבד, בעוד IPS מציעה גם יכולת לחסום או להתערב בפעילות זדונית.
  • מערכות ניטור תעבורת רשת NPM (Network Performance Monitoring): מתמקדות בביצועים ובאמינות של הרשת ומספקות נתונים על תעבורת הנתונים, פקקי תנועה, ושימוש בפס רוחב. אף שהן ממוקדות בביצועים, הן יכולות גם לסייע בזיהוי פעילות חריגה שעלולה להיות אינדיקטור לפעילות מזיקה.
  • כלי ניטור תעבורה וניתוח רשת (Network Traffic Analyzers) - אוספים נתונים סטטיסטיים על תעבורת הנתונים ברשת על מנת לאפיין פרופיל תקין, לזהות אנומליות ולאתר בעיות ביצועים.  יכולים לנתח פרוטוקולים מרכזיים כגון DNS‏, HTTP ודואר אלקטרוני על מנת לזהות התנהגות חשודה.

כל אחת ממערכות הניטור הללו מציעה גישה שונה וייחודית לאבטחת רשת. ביחד, הן מספקות כיסוי מקיף לזיהוי ומניעת איומים ברשת, ומהוות חלק חשוב בהגנה על רשתות ומערכות מידע בארגונים. על כולן נדון, בפרק זה ובפרקים הבאים.

 

 

 

MIRROR PORT

Mirror Port, שנקרא גם SPAN Port (Switched Port Analyzer) במערכות של Cisco, הוא מונח בעולם הרשתות שמתאר יציאה במתג (Switch) או בנתב (Router) המוגדרת לצורך העתקה ומשלוח נתונים ממספר יציאות אחרות במתג או הנתב. המטרה היא לאפשר ניטור וניתוח של תעבורת רשת בצורה שקופה וללא הפרעה לפעילות הרשת הרגילה.

באמצעות הגדרת Mirror Port, ניתן להעתיק את כל התעבורה העוברת דרך יציאה או מספר יציאות מסוימות במתג ל- Mirror Port. התעבורה המשוכפלת יכולה אז להיות מאוחסנת או ניתנת לעיבוד על ידי מערכת ניטור רשת או מערכת אחרת. לאחר מכן, ניתן לחבר את ה-MP למכשיר ניטור או אנליזה, כגון מנתח חבילות או מערכת אבטחת מידע, שמנתח את התעבורה לצרכי ניטור, אבטחה, או ניתוח בעיות.

השימוש ב-MP הוא כלי חיוני למנהלי רשת ואנשי אבטחת מידע, מכיוון שהוא מאפשר להם לקבל תצפית מלאה על התעבורה ברשת ללא הפרעה לפעילות המשתמשים או השירותים ברשת.

Mirror Ports משמשים למגוון מטרות, כגון:

  • ניטור רשת: Mirror Ports יכולים לשמש לניטור פעילות הרשת, כולל נתוני תנועה, נתוני משאבים, ונתוני אירועים.
  • אבטחת רשת: Mirror Ports יכולים לשמש לזיהוי התקפות סייבר, כגון התקפות מניעת שירות (DoS) או התקפות חדירה.
  • פתרון בעיות: Mirror Ports יכולים לשמש לפתרון בעיות ברשת, כגון ניתוח תקלות או איתור גורמים לבעיות ביצועים.

כיצד משתמשים ב-Mirror Port?

כדי להשתמש ב-Mirror Port, יש להגדיר אותו בהתקן הרשת. הגדרת Mirror Port כוללת את הדברים הבאים:

  • בחירת הפורט המקורי: הפורט המקורי הוא הפורט שבו התעבורה תושעת.
  • בחירת הפורט המשובץ: הפורט המשובץ הוא הפורט שבו התעבורה המשוכפלת תעבור.
  • הגדרת משתנים נוספים: ניתן להגדיר משתנים נוספים, כגון פרוטוקול התעבורה או טווח כתובות IP.

בטיחות Mirror Ports

חשוב לציין כי Mirror Ports יכולים להיות כלי יעיל לניטור רשת ואבטחת רשת, אך הם גם יכולים להיות פגיעים להתקפות סייבר. על ארגונים להקפיד על הגדרות אבטחה מתאימות עבור Mirror Ports, כגון שימוש בהצפנה ומדיניות אבטחה נאותות.

 

TAP

TAP (Terminal Access Point) הוא טכנולוגיה המשמשת לניטור ואנליזה של תעבורת רשת. TAP מאפשר להוציא עותק של הנתונים העוברים ברשת ללא הפרעה לפעילות הרשת הרגילה. הדבר נעשה באמצעות הכנסת המכשיר בין שני נקודות ברשת, כך שהוא יכול להאזין ולהעתיק את התעבורה שעוברת ביניהן.

השימוש ב-TAP חיוני במיוחד לאנליזה וניטור רשת לצורך אבטחת מידע. נקודת החוזק המרכזית של TAP היא היכולת שלו לספק תצפית שקופה ומלאה על תעבורת הרשת ללא שינוי או השפעה על התעבורה עצמה. לעומת Mirror Port, שמספק תצפית פחות מלאה ולעיתים יכול להפריע לביצועים של הרשת, TAP מספק דרך אמינה ויעילה יותר לניטור תעבורה ברשת.

TAPs מספק נתוני תנועה, נתוני משאבים, ונתוני אירועים, ומזהה התקפות סייבר כמו התקפות מניעת שירות (DoS).

סוגי TAPs

קיימים שני סוגים עיקריים של TAPs:

  •      TAPs פסיביים: TAPs פסיביים אינם משנים את התעבורה המשוכפלת. הם פועלים על ידי חיתוך התעבורה הקיימת ועקוב אחריה לנתיב נוסף.
  •      TAPs אקטיביים: TAPs אקטיביים משנים את התעבורה המשוכפלת. הם פועלים על ידי הוספת נתונים חדשים לתעבורה, כגון מספר סידורי או תוויות זמן.

בחירת TAP

לבחירת TAP מתאים, חשוב לקחת בחשבון את הצרכים הייחודיים של הארגון, כגון:

  •       סוג הפעילות העסקית: ארגונים העוסקים בתחומים רגישים, כגון פיננסים או בריאות, עשויים להזדקק ל-TAP עם רמת אבטחה גבוהה יותר.
  •      הגדרות אבטחה: חשוב לבחור TAP עם הגדרות אבטחה מתאימות, כגון שימוש בהצפנה.
  •      תקציב: TAPs יכולים להיות יקרים, ולכן חשוב להתאים את הרכישה לתקציב של הארגון.

בטיחות TAP

חשוב לציין כי TAPs יכולים להיות פגיעים להתקפות סייבר. על ארגונים להקפיד על הגדרות אבטחה מתאימות עבור TAPs, כגון שימוש בהצפנה ומדיניות אבטחה נאותות.

דוגמאות לשימוש ב-TAP

להלן כמה דוגמאות לשימוש ב-TAP באבטחת מידע:

  •     ארגון יכול להשתמש ב-TAP כדי לפקח על תנועה ברשת בין שרתים חיוניים.
  •     חברה יכולה להשתמש ב-TAP כדי לזהות התקפות סייבר על תעבורת אינטרנט.
  •     ספקי שירותי אינטרנט יכולים להשתמש ב-TAP כדי לפתרון בעיות בביצועיהם של שרתים.

PACKET SNIFFING

רַחְרְחַן הוא תוכנה או חומרה המאפשרת להאזין ולתעד תקשורת מחשבים העוברת בנקודה כלשהי ברשת. הרחרחן קולט את חבילות מידע היוצרות את התקשורת, מנתח אותן בהתאם ל-RFC הרלוונטי ומציג אותן למשתמש לאחר הניתוח.

היקף חבילות המידע שנקלטות תלוי בנקודה שבה הרחרחן הותקן. אם הרחרחן הותקן כתוכנה על מחשב המהווה נקודת קצה ברשת, רק התעבורה שתגיע אליו תתועד. אם המחשבים ברשת מחוברים באמצעות רכזת (Hub), כל מחשב יוכל לקבל את התעבורה של כלל המחשבים המחוברים לאותה הרכזת. אם המחשבים מחוברים באמצעות מתג (switch), הוא לא יוכל לעשות זאת שכן המתג יעביר אליו רק את התעבורה המיועדת אליו (Broadcast לרשת שלו, Unicast אליו או Multicast לקבוצה עליה הוא רשום). כדי להתמודד עם בעיה זו, קיימות מספר שיטות המהתלות במתג או במחשב שאת התעבורה שלו מעוניינים לקבל:

העברת התקשורת דרך המחשב עליו מותקן הרחרחן בשיטות התחזות שונות כגון ARP spoofing או DHCP spoofing, שליחת הודעות ICMP Redirect או MAC flooding.

קבלה של הנתונים במקביל גם במחשב היעד וגם ברחרחן (למשל באמצעות שיקוף פורט).

כדי לאפשר לרחרחן לקבל גם תעבורה שלא מיועדת למחשב עליו הוא מורץ בלבד, יש להשתמש ברחרחן במצב פרוץ (Promiscuous Mode), כך שהוא יוכל לקבל גם את חבילות המידע שהגיעו לכרטיס הרשת של המחשב, אך לא היו מיועדות אליו, ולכן מערכת ההפעלה לא העלתה אותן לעיבוד. במצב כזה הרחרחן עובד ברמת כרטיס הרשת ולא ברמת מערכת ההפעלה.

על אף שניתן לעיתים לקבל ממחשב יחיד את התעבורה של כלל הרשת, כדי לנטר באופן קבוע את התעבורה ברשת עדיף להתקין את הרחרחן בנקודה מרכזית ברשת, למשל על גבי נתב או מתג מרכזיים, כך שכלל התעבורה שעוברת דרכם תתועד ותנותח. חלק מרכיבי הרשת הללו כוללים שער ניטור (Monitoring Port) שמאפשר למחשב המתחבר לאותו השער לקבל שיקוף של כלל התעבורה העוברת על גבי הרכיב. אם רכיב הרשת לא מכיל שער ניטור שכזה, ניתן להשתמש ברחרחן חומרתי היושב על הרשת ולא מבצע אף פעולה למעט קבלת התעבורה, תיעודה, והעברתה הלאה.

ברשת אלחוטית, רחרחן המותקן על מחשב המחובר לרשת אלחוטית יכול לרחרח את כלל התעבורה שבערוץ מסוים.

שימושים

רחרחן יכול לשמש במצבים שונים:

  •  מחקר:
    •  הבנת אופן הפעולה של תקשורת מחשבים באמצעות ניתוח תוצאות הרחרחן
    •  הנדסה הפוכה לפרוטוקול תקשורת קנייני
  •  הקמה ותחזוקה של רשתות:
    •  הבנת אופן פעולת הרשת
    •  ניתוח בעיות תקשורת ברשת המחשבים
    •  ניטור ניצולת הרשת ואופי השימוש בה
    •  איסוף סטטיסטיקה על פעולת הרשת
  •  אבטחת מחשב אישי ברשת:
    •  זיהוי ניסיונות חדירה לרשת על מנת לחסום אותם
    •  זיהוי תוכנות זדוניות המותקנות על המחשב ומקיימות קשר עם מחשבים אחרים ברשת
  •  תקיפת מחשבים:
    •  זיהוי הזדמנויות לצורך תקיפת מחשב
    •  ריגול אחרי משתמשים אחרים ברשת ואיסוף נתונים רגישים שעוברים על גבי הרשת, דוגמת סיסמאות
  •  פיתוח:
    •  ניפוי שגיאות באפליקציות רשת דוגמת שרת-לקוח
    •  ניפוי שגיאות במימושים עצמאיים לפרוטוקולי תקשורת

האיום האבטחתי והתמודדות עמו

אחד משימושי הרחרחן הוא לצורכי תקיפת מחשבים וריגול אחר משתמשים ברשת. נוכחות של גורם תוקף ברשת מאפשרת לו במקרים מסוימים לקבל את תוכן התעבורה שמייצר משתמש אחר ברשת ולחקור אותה. האיום נובע מכך שקיימים פרוטוקולים המעבירים מידע רגיש כגון סיסמאות, מידע מסווג, מספר כרטיס אשראי וכדומה ללא הצפנה מתאימה. לעיתים הנתונים מוצפנים או מקודדים על ידי פונקציית גיבוב באופן שמאפשר פתיחה של הקידוד וחשיפת המידע הרגיש. הדרך להתמודד עם איום זה היא להקפיד להשתמש בחלופות המוצפנות: SSH (והאפליקציות המשתמשות בו: SCP ו-SFTP), ופרוטוקולים מבוססי SSL כגון HTTPS ו-FTPS ולהימנע מהעברת נתונים בפרוטוקולים הלא-מוצפנים.

 

כלים נוספים

  • סורק הפגיעויות -Saint, Netsparker, beSECURE OpenVAS, Infra, Nexpose, ZmEu.
  • סורק יישומי האינטרנט - Nikto, Acunetix, Netsparker, OWASP Zap, W3af.
  • סורק מסדי נתונים - Sqlmap.

NetFlow

NetFlow היא תכונה שהוצגה בנתבים של סיסקו בסביבות 1996 המספקת את היכולת לאסוף תעבורת רשת IP בזמן שהיא נכנסת לממשק או יוצאת ממנו. על ידי ניתוח הנתונים המסופקים על ידי NetFlow, מנהל רשת יכול לקבוע דברים כגון מקור ויעד התעבורה, סוג השירות והגורמים לעומס. מערך ניטור זרימה טיפוסי (באמצעות NetFlow) מורכב משלושה מרכיבים עיקריים:

  •   יצואן זרימה: אוסף מנות לזרימות ומייצא רשומות זרימה לעבר אספן זרימה אחד או יותר.
  •   קולט זרימה: אחראי על קליטה, אחסון ועיבוד מקדים של נתוני זרימה המתקבלים מיצואן זרימה.
  •   אפליקציית ניתוח: מנתח נתוני זרימה שהתקבלו בהקשר של זיהוי חדירה או פרופיל תנועה, למשל.

תיאור פרוטוקול

נתבים ומתגים התומכים ב-NetFlow יכולים לאסוף נתונים סטטיסטיים של תעבורת IP בכל הממשקים שבהם NetFlow מופעלת, ומאוחר יותר לייצא את הנתונים הסטטיסטיים האלה כרשומות NetFlow לעבר אספן NetFlow אחד לפחות - בדרך-כלל שרת שעושה את ניתוח התעבורה בפועל.

 

גרסה 5 של NetFlow הסטנדרטית של Cisco מגדירה זרימה כרצף חד-כיווני של מנות שכולן חולקות שבעה ערכים המגדירים מפתח ייחודי לזרימה:

1. ממשק Ingress (SNMP ifIndex)

2. כתובת מקור IP

3. כתובת יעד IP

4. מספר פרוטוקול IP

5. יציאת מקור עבור UDP או TCP, 0 עבור פרוטוקולים אחרים

6. יציאת יעד עבור UDP או TCP, סוג וקוד עבור ICMP, או 0 עבור פרוטוקולים אחרים

7. סוג שירות IP

ממשק ה-Egress, IP Nexthop או BGP Nexthops אינם חלק מהמפתח, וייתכן שלא יהיו מדויקים אם המסלול משתנה לפני פקיעת הזרימה, או אם נעשה איזון עומסים לכל מנה.

הגדרה זו של זרימות משמשת גם עבור IPv6, והגדרה דומה משמשת עבור זרימות MPLS ו-Ethernet.

ייצוא רשומות

הנתב יוציא רשומת זרימה כאשר הוא יקבע שהזרימה הסתיימה. הוא עושה זאת על ידי הזדקנות זרימה: כאשר הנתב רואה תעבורה חדשה עבור זרימה קיימת הוא מאפס את מונה ההזדקנות. כמו כן, סיום הפעלת TCP בזרימת TCP גורם לנתב לפוג את הזרימה. ניתן גם להגדיר נתבים כך שיוציאו רשומת זרימה במרווח קבוע גם אם הזרימה עדיין נמשכת.

פרוטוקול העברת מנות

רשומות NetFlow מיוצאות באופן מסורתי באמצעות User Datagram Protocol (UDP) ונאספות באמצעות אספן NetFlow. יש להגדיר את כתובת ה-IP של אספן NetFlow ויציאת ה-UDP של היעד בנתב השולח. ערך נפוץ הוא יציאת UDP 2055, אך ניתן להשתמש גם בערכים אחרים כמו 9555 או 9995, 9025, 9026 וכו'.

מטעמי יעילות, הנתב באופן מסורתי אינו עוקב אחר רשומות הזרימה שכבר מיוצאות, כך שאם חבילת NetFlow נשמטת עקב גודש ברשת או השחתת מנות, כל הרשומות הכלולות יאבדו לנצח. פרוטוקול UDP אינו מודיע לנתב על האובדן כך שיוכל לשלוח שוב את החבילות. זו יכולה להיות בעיה אמיתית, במיוחד עם NetFlow v8 או v9 שיכולים לצבור הרבה מנות או זרימות לרשומה אחת. אובדן מנות UDP בודד יכול לגרום להשפעה עצומה על הסטטיסטיקה של זרימות מסוימות.

זו הסיבה שחלק מהיישומים המודרניים של NetFlow משתמשים ב- Stream Control Transmission Protocol (SCTP) כדי לייצא מנות כדי לספק הגנה מסוימת מפני אובדן מנות, ולוודא שתבניות NetFlow v9 מתקבלות לפני ייצוא רשומה קשורה כלשהי. שים לב ש-TCP לא יתאים ל-NetFlow מכיוון שהזמנה קפדנית של מנות תגרום לאיסוף מוגזם ולעיכובים.

הבעיה עם SCTP היא שהוא דורש אינטראקציה בין כל אספן NetFlow לבין כל נתב המייצא את NetFlow. ייתכנו מגבלות ביצועים אם נתב צריך להתמודד עם אספנים רבים של NetFlow, ואספן NetFlow צריך להתמודד עם נתבים רבים, במיוחד כאשר חלק מהם אינם זמינים עקב תקלה או תחזוקה.

ייתכן ש-SCTP לא יהיה יעיל אם יש לייצא את NetFlow למספר אספנים עצמאיים, שחלקם עשויים להיות שרתי בדיקה שיכולים לרדת בכל רגע. UDP מאפשר שכפול פשוט של מנות NetFlow באמצעות הקישורים ברשת או שיקוף L2 או L3. ציוד פשוט חסר מצב יכול גם לסנן או לשנות את כתובת היעד של מנות NetFlow UDP במידת הצורך. מכיוון שיצוא NetFlow משתמש כמעט רק בקישורי עמוד שדרה של הרשת, אובדן מנות לרוב יהיה זניח. אם זה יקרה, זה יהיה בעיקר בקישור בין הרשת לאספני NetFlow.

 

 

MORE ARTICLES

11.3 אזורים מפורזים: DMZ
עבור למאמר
11.1 חומת אש: Firewall
עבור למאמר
11.2 מערכות ייעודיות לסינון מנות
עבור למאמר