• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Lo streaming dei dati abilita l’innovazione dei prodotti AI
    • StarWind Software acquisita da DataCore
    • Dell Technologies per progettare data center più moderni
    • OVHcloud lancia il nuovo data center a Milano, con il Public Cloud disponibile nella multizona 3-AZ
    • Portworx e Red Hat per promuovere risparmi e semplicità operativa
    • Cyber attacchi: l’Italia è maglia nera mondiale
    • Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi
    • Attacchi informatici: Russia, UE e Asia nel mirino
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Attualità»NetFlow: quattro miti da sfatare

    NetFlow: quattro miti da sfatare

    By Redazione LineaEDP11/06/20196 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    Flowmon Networks analizza e spiega quattro falsi miti sulla tecnologia NetFlow nell’ambito della sicurezza informatica

    Di Pavel Minarik, CTO di Flowmon Networks

    I dati di flusso, come NetFlow e IPFIX, sono notoriamente utilizzati dai fornitori di telecomunicazioni per la fatturazione dei servizi, la pianificazione della capacità di rete e la protezione contro i DDoS. Solo recentemente le imprese hanno iniziato a esplorarne il potenziale per il networking e la sicurezza. Ancora oggi, alcuni miti in proposito impediscono un’adozione più rapida della tecnologia di flusso e la maggior parte di essi si basa su una mancanza di informazioni o di dettagli fraintesi. Ecco i quattro principali miti su NetFlow.

    Mito 1: i dati di flusso sono campionati e molto imprecisi

    Questo problema sussiste per gli standard sFlow o NetFlow Lite supportati su dispositivi obsoleti a volte utilizzati dalle PMI.

    Al contrario, tutti i principali fornitori di apparecchiature di rete aziendali forniscono oggi router e switch in grado di esportare statistiche sul traffico non campionato e molto accurato.

    Tutti i principali fornitori di firewall consentono l’esportazione del flusso, incluse le piattaforme virtualizzate. L’accesso ai dati di flusso non campionati è ormai la regola, consentendo quindi misurazioni accurate e di alta precisione.

    Dati di flusso completi non campionati consentono la visualizzazione del traffico di rete tra i server, mostrando l’utilizzo di singoli collegamenti uplink in varie località.

    Un altro utilizzo importante è costituto dalla risoluzione dei problemi di rete. Un utente, ad esempio, potrebbe avere problemi durante la connessione a un server tramite un servizio SSH: con i dati di flusso si può confermare che non vi è stata risposta dal server e quindi escludere molte potenziali cause, come il tempo di inattività del server o della rete o una configurazione scadente.

    È possibile restringere il campo delle cause al mancato funzionamento del servizio o alla comunicazione bloccata da un firewall o altro dispositivo. Questo processo riduce notevolmente il Mean-Time-To-Resolve (MTTR).

    Mito 2: il flusso è limitato alla visibilità L3 / L4

    Originariamente i dati di flusso erano limitati ai livelli 3 e 4, ma oggi non è più così perché descrivono un singolo flusso di pacchetti nella rete utilizzando i bit di identificazione 5-tuple, che mostrano l’indirizzo IP di origine e destinazione, la porta di origine, la porta di destinazione e il protocollo di comunicazione.

    Tali pacchetti vengono aggregati in un record di flusso che mostra così la quantità di dati trasferiti, il numero di pacchetti e altre informazioni provenienti dal livello di rete e trasporto.

    Per ottenere dati ancora più utili, cinque anni fa Flowmon ha sviluppato dati di flusso arricchiti con informazioni dal livello dell’applicazione e questo concetto è stato recentemente adottato anche da molti altri vendor. Quindi è ora possibile avere una visione dettagliata dei protocolli applicativi come HTTP, DNS e DHCP per la risoluzione dei problemi.

    In un altro esempio, un utente potrebbe avere un servizio che non risponde. Analizzando i dati di flusso tradizionali, un tecnico può visualizzare lo schema del traffico e i dettagli sulle singole connessioni stabilite dal computer dell’utente, ma utilizzando l’analisi standard del flusso non è possibile vedere alcun traffico verso il servizio.

    Con la visibilità estesa offerta da un flusso dati arricchito, il tecnico può facilmente risolvere il problema: potrebbe risultare che il nome del servizio richiesto non è configurato correttamente in DNS e restituisce “NXDOMAIN”, indicando che il nome di dominio richiesto non esiste e non è possibile fornire l’indirizzo IP corrispondente, e in questo caso non viene stabilita alcuna sessione, da cui il problema.

    Mito 3: i dati di flusso non soddisfano le metriche relative alle prestazioni della rete

    Oltre alla risoluzione dei problemi, un’altra considerazione importante è il monitoraggio delle prestazioni della rete.

    Il monitoraggio della rete non è più dominio unico dei tool di cattura dei pacchetti; le metriche possono essere facilmente estratte dai dati a pacchetto ed esportate come parte delle statistiche di flusso.

    Indicatori di prestazioni come RTT (round trip time), SRT (server response time), jitter o numero di ritrasmissioni, sono disponibili in modo trasparente per tutto il traffico di rete, indipendentemente dal protocollo dell’applicazione. Ora è possibile misurare le prestazioni di tutte le applicazioni, gestite in locale, in un cloud privato o pubblico. Per capire meglio come vengono estratti questi parametri, qui una sonda Flowmon fornisce metriche RTT, SRT e jitter / delay per il monitoraggio delle prestazioni:

    Mito 4: Flow non è uno strumento completo per Network Performance and Diagnostics (NPMD)

    Secondo Gartner, gli strumenti NPMD dovrebbero fornire metriche prestazionali sfruttando i dati completi dei pacchetti e analizzare i problemi di rete analizzando le tracce complete dei pacchetti stessi.

    Invece di una soluzione di acquisizione di pacchetti, i dati di flusso arricchiti forniscono statistiche sul traffico accurate, visibilità su L7 (protocolli applicativi) e metriche sulle prestazioni di rete, quindi sono pienamente in grado di eseguire le analisi NPMD.

    In realtà, con l’aumento del traffico crittografato, ambienti sempre più eterogenei e un aumento delle velocità di rete, è inevitabile che il flusso diventerà un approccio predominante in NPMD. La tendenza verso una maggiore larghezza di banda costituisce una sfida molto difficile per le soluzioni legacy basate sui pacchetti.

    Si consideri che un backbone di rete con capacità 10G richiede fino a 108 TB di storage per tracciare il traffico di rete per 24 ore. Si tratta di una quantità enorme di dati da raccogliere, archiviare e analizzare, rendendo il processo estremamente costoso, se non impossibile.

    In alternativa, con il flusso di dati arricchito, è sufficiente una piccola parte dei dati. I dati di flusso nella stessa situazione richiedono circa 250 GB di spazio di archiviazione, consentendo 30 giorni di cronologia su un supporto dotato di memoria da 8 TB. Pertanto, sfruttando i dati di flusso, è possibile ottimizzare le operazioni di rete e risolvere i problemi relativi con una frazione delle risorse.

    Per risolvere un problema specifico su un protocollo applicativo non supportato, in cui non vi è visibilità nei dati di flusso, è possibile utilizzare una sonda per accedere ai dati a pacchetto completi. Quindi, invece di estrarre tutti i metadati dai pacchetti, si richiede semplicemente alla sonda di eseguire un’attività di acquisizione dei pacchetti. Questo compito sarà limitato nel tempo e strettamente focalizzato sulla registrazione dei pacchetti relativi a un’indagine. L’acquisizione selettiva di pacchetti su richiesta è facile da gestire anche in un ambiente multi-10G, senza la necessità di un grande spazio di archiviazione.

    Dati di flusso per dinamiche future

    La tecnologia dei dati di flusso arricchiti è notevolmente maturata con granularità necessaria per la risoluzione degli incidenti di rete, problemi di configurazione, pianificazione della capacità e altro. Rispetto agli strumenti di acquisizione di pacchetti continui, le soluzioni di flusso dati arricchiti offrono un’ampia scalabilità, flessibilità e facilità d’uso. Di conseguenza, i dati di flusso fanno risparmiare tempo, riducono l’MTTR e riducono il costo totale delle operazioni di rete. Inoltre, forniscono anche l’analisi delle prestazioni della rete e il rilevamento dei comportamenti degli attaccanti attivi, compresi gli indicatori di compromissione, movimento laterale (Network Lateral Movement) e APT.

    Le organizzazioni hanno gradualmente abbandonato la tecnologia di acquisizione dei pacchetti e l’hanno sostituita con il flusso. L’adozione di cloud, IoT, SDN e l’onnipresente esplosione della larghezza di banda continueranno a sviluppare ulteriormente questa tendenza.

    Flowmon Networks NetFlow
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Dell Technologies per progettare data center più moderni

    22/05/2025

    Portworx e Red Hat per promuovere risparmi e semplicità operativa

    22/05/2025

    Navigare in rete in modo sicuro: consigli pratici ed accorgimenti per non correre rischi

    21/05/2025
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    Transizione 5.0: vuoi il 45% sui software?
    Stormshield: Zero Trust pilastro della security aziendale
    RENTRI: regole pratiche per uscirne vivi
    Vertiv: come evolve il mondo dei data center
    2VS1 incontra GCI: focus sulle competenze
    Defence Tech

    Cyber attacchi: l’Italia è maglia nera mondiale

    22/05/2025

    Attacchi informatici: Russia, UE e Asia nel mirino

    21/05/2025

    Sicurezza: AI sempre più sfidante

    21/05/2025

    Computer ICS sempre sotto minaccia cyber: l’analisi di Kaspersky

    20/05/2025
    Report

    Lo streaming dei dati abilita l’innovazione dei prodotti AI

    22/05/2025

    Aziende italiane e Intelligenza Artificiale: a che punto siamo?

    12/05/2025

    L’AI irrompe nel manufacturing

    02/05/2025

    L’AI è il futuro, ma senza dati rimane solo una promessa

    02/05/2025
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    BitMAT Edizioni è una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2025 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.