Explication sur la surveillance du flux réseau : NetFlow vs sFlow vs IPFIX

Sécurité des données

illustration de deux écrans d’ordinateur

Les équipements réseau modernes sont capables de traiter des milliards de paquets de données chaque seconde, mais une grande partie de ces activités n’est pas visible. La surveillance du flux réseau, aussi appelée échantillonnage de paquets, vise à donner aux ingénieurs réseau de la visibilité sur les vastes volumes de trafic qui traversent nos connexions filaires et sans fil tous les jours. Dans cet article, nous expliquons plus en détail ce qu’est la surveillance du flux réseau et comment elle est utilisée pour que le trafic reste fluide et sécurisé. Nous verrons également trois technologies populaires de surveillance du flux réseau.

Qu’est-ce que la surveillance du flux réseau ?

La surveillance du flux réseau est la collecte, l’analyse et la surveillance du trafic qui traverse un réseau ou un segment de réseau donné. Les objectifs de cette surveillance varient : dépannage de problèmes de connectivité ou encore planification de l’affectation future de bande passante. La surveillance du flux et l’échantillonnage de paquets peuvent également servir à identifier et remédier aux problèmes de sécurité.

La surveillance du flux permet aux équipes réseau d’en savoir plus sur le fonctionnement du réseau. Elle leur donne des informations clés sur l’utilisation globale du réseau, l’utilisation des applications, les goulots d’étranglement potentiels et les anomalies qui peuvent signaler la présence de menaces pour la sécurité, entre autres. Différentes normes et formats sont utilisés pour surveiller le flux réseau, notamment NetFlow, sFlow et Internet Protocol Flow Information Export (IPFIX). Chacun a sa propre manière de fonctionner, mais ils ne peuvent pas être considérés comme la mise en miroir des ports et l’inspection des paquets en profondeur, car ils ne capturent pas le contenu de tous les paquets qui transitent par un port ou un commutateur. Toutefois, la surveillance du flux fournit plus d’informations que le SNMP, qui se limite généralement à des statistiques globales comme l’utilisation globale des paquets et de la bande passante.

Comment se servir de la surveillance du flux et de l’échantillonnage de paquets

La surveillance du flux et l’échantillonnage de paquets ont un certain nombre d’avantages mais doivent être minutieusement planifiés et configurés pour être efficaces. Voici quelques conseils généraux pour utiliser pleinement une solution de surveillance du flux :

Définir clairement son cas d’utilisation

Les différentes technologies de surveillance du flux – voire différentes versions de la même technologie – présentent des différences dans leurs capacités et leur fonctionnement. NetFlow version 5, par exemple, ne prend pas en charge l’IPv4 ni les VLAN et ne pourra donc pas être utilisé sur un réseau IPv6 très segmenté. Vos exigences et vos attentes doivent être clairement définies avant même que vous ne commenciez à configurer la surveillance du flux sur votre réseau. Commencez par des questions d’ordre général comme « Où avons-nous besoin de visibilité ? », « Quels genres d’informations spécifiques recherchons-nous ? » ou encore « Avons-nous besoin de flux complets ou des échantillons de données sont-ils suffisants ? ». Les questions plus techniques comme « Avons-nous besoin d’en savoir plus sur le trafic d’entrée ET de sortie ? » et « Quels en-têtes de paquets devons-nous recueillir ? » vous aideront à préciser vos exigences.

Il vous faut aussi prendre en compte le coût, de même que la performance potentielle de la surveillance du flux sur votre équipement réseau. Les équipements réseau modernes prennent quasiment tous en charge la capture et l’exportation de flux de trafic, mais la collecte, l’analyse et la surveillance de ces flux ont généralement lieu dans un autre outil. Ces outils, disponibles en open source ou sous forme commerciale, ont des coûts qui varient du simple au double.

Connaître son équipement

Bien que la plupart des équipements réseau pour entreprises prenne en charge une forme de surveillance du flux, les technologies exactes et les capacités varient, de même que la procédure de configuration. Une fois votre cas d’utilisation précis en tête, vous devrez déterminer ce que peut prendre en charge votre équipement. Si vos routeurs/commutateurs/pare-feux existants ne prennent pas en charge les fonctionnalités dont vous avez besoin, des sondes autonomes peuvent également être utilisées pour capturer les données de surveillance du flux.

Choisir l’objet de la surveillance

Avant de sauter sur la ligne de commande du routeur le plus proche pour activer la fonctionnalité, il faut déterminer exactement le type de flux réseau qui vous intéresse. On définit généralement cette informations en termes de « tuple ». La version la plus courante de NetFlow, par exemple, utilise un « 5-tuple » qui comprend l’adresse source et de destination, le port source et de destination et le champ du protocole. D’autres technologies de surveillance du flux utilisent un « 7-tuple » ou même un « 9-tuple ». Quoi qu’il en soit, vous devrez y réfléchir à l’avance pour vous assurer que vous capturez le trafic pertinent pour vous.

Configurer l’exportation du flux

Malheureusement, configurer une technologie de surveillance du flux n’est pas un processus uniforme, même entre plusieurs produits du même fournisseur. Il vous faudra lire la documentation, non seulement du produit spécifique que vous avez choisi, mais aussi de la version logicielle utilisée sur votre réseau.

Configurer la collecte et les analyses du flux

L’exportation des enregistrements du flux n’est que le début. Pour que la surveillance du flux ait vraiment un intérêt, nous vous conseillons de stocker les enregistrements du flux dans un outil de collecte et d’utiliser un outil d’analyse pour mieux comprendre les données. Un outil d’analyse du flux peut vous aider à identifier les tendances à court et long terme, visualiser les données importantes et révéler de nouvelles découvertes que vous auriez peut-être manqué.

Les avantages de la surveillance du flux

La surveillance du flux présente son lot d’avantages pour les entreprises qui la mettent en place. Comprendre comment, quand et par qui un réseau est utilisé, entraîne une meilleure résilience, une baisse du coût de fonctionnement et une résolution plus rapide lorsque les choses ne se passent pas comme prévu. Voici une liste non exhaustive des avantages de la surveillance du flux réseau :

Utilisation plus efficace des ressources

Imaginez que vous avez un maillon du réseau ou une interface WAN très surchargée. Si vous vous basiez sur de vieilles technologies de surveillance comme le protocole SNMP, vous pourriez penser qu’il suffit d’acheter de la bande passante supplémentaire. La surveillance du flux permet à l’entreprise d’avoir une meilleure visibilité sur les appareils et utilisateurs qui consomment la bande passante existante. Un employé a peut-être configuré un serveur de fichiers sans autorisation ou une base de données est peut-être mal configurée. Corriger ce genre de problèmes élimine le besoin de bande passante supplémentaire et évite à l’entreprise de dépenser de l’argent inutilement.

Quand vient le moment d’augmenter la capacité du réseau, la surveillance du flux peut fournir une base très précise à partir de laquelle établir des prévisions. Étudier l’historique de données peut vous permettre d’établir une mesure de l’accélération du trafic. Les décisionnaires dans l’entreprise peuvent ainsi déterminer quand les mises à niveau seront nécessaires.

Détecter le trafic anormal et autres menaces à la sécurité réseau

La capacité de détecter le trafic réseau anormal peut être une motivation majeure à implémenter une solution de surveillance du flux. Surveiller le trafic au sein d’un réseau, plutôt qu’à la frontière ou sur le périmètre, peut vous aider à identifier les menaces qui auraient réussi à passer entre les mailles des autres types de défense. Les gros pics de trafic « est-ouest » entre des machines sur le réseau pourraient indiquer la présence d’un ver ou d’un virus qui se propage. Un pic de trafic sortant pourrait signaler une exfiltration de données ou des messages Command & Control. Un gros volume de trafic entrant pourrait être le signe de la première phase d’une attaque DDoS.

La surveillance du flux complète parfaitement bien les technologies de sécurité basées sur la signature comme les systèmes de détection des intrusions et les antivirus. Les nouvelles menaces pourraient ne pas correspondre aux signatures existantes, mais grâce à la surveillance du flux, un comportement anormal sur le réseau peut quand même déclencher des alertes. Ces types de solutions peuvent aussi servir à resserrer les mailles du filet d’une campagne de détection des menaces, en fournissant aux analystes en sécurité un bon point de départ pour effectuer une capture de paquets en profondeur avec un outil comme Wireshark.

Vérifier la performance des applications et la qualité de service

La surveillance du flux pouvant être activée pour un protocole en particulier, elle peut être très utile pour vérifier ou dépanner les problèmes de performances d’applications critiques comme le VoIP ou la visioconférence. Les administrateurs réseau peuvent suivre le(s) chemin(s) que prennent ces types de paquets importants sur le réseau et peuvent aussi s’assurer que la bonne classe de service est appliquée au trafic.

La surveillance du flux sert également à mesurer l’impact d’une nouvelle application, de la configuration du réseau ou du changement dans le nombre d’utilisateurs qui accèdent au réseau.

Les trois meilleurs outils de surveillance du flux réseau

De nombreuses solutions de surveillance du flux sont disponibles sur le marché, mais les trois plus populaires sont NetFlow, sFlow et IPFIX. Voici un aperçu rapide de chacune d’entre elles :

Qu’est-ce que NetFlow ?

NetFlow est la solution de surveillance du flux d’origine, développée premièrement par Cisco à la fin des années 1990. Plusieurs versions existent, mais la plupart des déploiements sont basés sur NetFlow v5 ou NetFlow v9. Chaque version a ses propres capacités, mais le fonctionnement de base reste le même :

Premièrement, un routeur, commutateur, pare-feu ou un autre type d’appareil capture des informations sur les « flux » du réseau : des ensembles de paquets qui ont des caractéristiques en commun comme l’adresse source et de destination, le port source et de destination et le type de protocole. Quand le flux est en veille ou après qu’une période prédéfinie se soit écoulée, l’appareil exporte les enregistrements du flux vers une entité connue comme « outil de collecte du flux ».

Enfin un « outil d’analyse du flux » explique ces enregistrements, via des visualisations, des statistiques et des rapports détaillés historiques et en temps réel. En pratique, les outils de collecte et d’analyse sont souvent réunis dans la même entité, souvent rassemblés au sein d’une solution plus globale de surveillance des performances réseau.

NetFlow fonctionne à partir de l’état du trafic. Quand une machine client essaie de joindre un serveur, NetFlow commence à capturer et agréger des métadonnées à partir du flux. Une fois la session terminée, NetFlow exporte un enregistrement complet et unique vers l’outil de collecte.

Bien qu’elle soit encore couramment utilisée, NetFlow v5 a ses limites. Les champs exportés sont fixes, la surveillance est seulement prise en charge dans le sens Entrée et les technologies modernes comme l’IPv6, le MPLS et le VXLAN ne sont pas compatibles. NetFlow v9, aussi appelée Flexible NetFlow (FNF), répond à ces limites et permet aux utilisateurs de créer des modèles personnalisés et d’ajouter la prise en charge des nouvelles technologies.

La plupart des fournisseurs a également mis en place sa propre implémentation de NetFlow, comme jFlow de Juniper et NetStream de Huawei. La configuration peut être légèrement différente, mais ces implémentations produisent souvent des enregistrements de flux compatibles avec les outils de collecte et d’analyse de NetFlow.

Qu’est-ce que sFlow ?

Abréviation de « sampled flow », sFlow suit une approche légèrement différente de la surveillance du flux que les autres solutions. Là où NetFlow suit les états du flux, sFlow prélève un échantillon aléatoire des en-têtes complets du paquet pour un flux donné, à des intervalles prédéterminés. Cela peut réduire l’utilisation de la bande passante et du CPU sur le commutateur ou le routeur qui capture les informations du flux, mais peut également réduire la précision des informations recueillies. En revanche, sFlow capture des niveaux plus détaillés d’informations que NetFlow, dont les en-têtes complets des paquets et même la charge utile partielle des paquets.

sFlow est prise en charge sur une vaste gamme d’équipements réseau, et même sur plusieurs produits Cisco. Du côté de l’outil de collecte/d’analyse, sFlow exporte des enregistrements qui ne sont pas compatibles avec NetFlow, mais de nombreux outils de surveillance réseau et d’analyse prennent en charge ces deux formats.

sFlow exporte des échantillons de paquets en temps quasi réel et, contrairement à NetFlow, il n’y a pas de cache du flux sur le périphérique réseau. C’est pour cette raison que sFlow est une option plus évolutive sur des réseaux à très haut débit. Toutefois, il est essentiel de configurer un taux d’échantillonnage approprié. Prendre un échantillon plus élevé sur le nombre total de paquets peut permettre d’augmenter la précision, mais un pourcentage d’échantillons trop important annule les avantages de l’échantillonnage statistique. Il n’y a malheureusement pas de taux d’échantillonnage « correct » : en raison du nombre de variables, chaque réseau est différent.

Qu’est-ce que l’IPFIX ?

Norme de l’IETF, née au début des années 2000, Internet Protocol Flow Information Export (IPFIX) est très proche de NetFlow. En réalité, NetFlow v9 a servi de base pour la création d’IPFIX. La principale différence entre les deux est qu’IPFIX est une norme ouverte et prise en charge par de nombreux fournisseurs de réseau, en plus de Cisco. À l’exception de quelques champs supplémentaires ajoutés à IPFIX, les formats sont quasiment les mêmes. Il arrive même qu’IPFIX soit appelée « NetFlow v10 ».

En partie en raison de ses similitudes avec NetFlow, IPFIX est largement acceptée au sein des solutions de surveillance réseau ainsi que par les équipements réseau.

Comparaison des outils de surveillance du flux

Fonctionnalité NetFlow v5 NetFlow v9 sFlow IPFIX
Ouvert ou exclusif Exclusif Exclusif Ouvert Ouvert
Basé sur un échantillon ou sur le flux Principalement basé sur le flux, mode échantillon disponible Principalement basé sur le flux, mode échantillon disponible Basé sur un échantillon Principalement basé sur le flux, mode échantillon disponible
Informations capturées Métadonnées et informations statistiques, notamment les octets transférés, décomptes d’interface et plus encore Métadonnées et informations statistiques, notamment les octets transférés, décomptes d’interface et plus encore En-têtes de paquets complets, charges utiles partielles Métadonnées et informations statistiques, notamment les octets transférés, décomptes d’interface et plus encore
Surveillance entrée/sortie Entrée uniquement Entrée et sortie Entrée et sortie Entrée et sortie
Prise en charge IPv6/VLAN/MPLS Non Oui Oui Oui

Points à prendre en compte pour la surveillance du flux

Comme énoncé précédemment, plusieurs points sont à prendre en compte lors du déploiement d’une solution de surveillance du flux, qu’il s’agisse de NetFlow, sFlow ou d’IPFIX. Le choix de la plateforme ou de l’outil que vous utiliserez pour vos enregistrements de flux peut grandement affecter la valeur que vous tirerez de la surveillance du flux.

Il faut également prendre en compte les exigences de stockage, qui peuvent varier selon le volume de trafic que vous surveillez ou que vous prenez comme échantillon.

Et peut-être le plus important, vous devrez déterminer avant tout si la surveillance du flux est le type d’analyse de trafic réseau le plus approprié par rapport à vos besoins. Avez-vous vraiment besoin du niveau le plus approfondi d’inspection possible, avec une capture totale des paquets ? Ou bien les métadonnées et les informations résumées vous suffisent-elles ?

La solution est-elle faite pour vous ?

La surveillance du flux est un outil indispensable dans la boîte à outils d’un ingénieur réseau, mais ce n’est pas la solution miracle, notamment lorsque l’on parle de sécurité. L’échantillonnage de paquets en particulier, peut passer à côté de menaces très sophistiquées qui ne font pas beaucoup de vagues. Associer les perspectives centrées sur le réseau de la surveillance de flux à une solution centrée sur les données comme la plateforme de protection des données Varonis peut vous permettre d’éviter les angles morts, d’identifier les menaces avancées et de maintenir votre conformité. Si vous voulez en savoir plus sur Varonis et comment compléter vos solutions de surveillance existantes, programmez une démo individuelle dès aujourd’hui !

Avatar

Robert Grimmick

Robert est un consultant en informatique et en cybersécurité basé en Californie du Sud. Il aime explorer les nouvelles menaces en matière de sécurité informatique.

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.