LA PLATEFORME NETFLOW
HISTORIQUE
Le protocole (propriétaire) NetFlow a été développé par la société Cisco en 1996 et si son
utilisation première fut (entre autres choses) de faire de la facturation, de l'audit, il est devenu
un standard (de-facto) aujourd'hui pour tout ce qui touche à l'administration et à la sécurité
des réseaux informatiques (analyse des flux normaux, détection de ceux qui ne le sont pas,
etc.), car permettant de répondre efficacement à des questions qui au demeurant simples
prennent un sens essentiel aux yeux des administrateurs réseau et/ou de ceux en charge de la
sécurité.
PRESENTATION
NetFlow est une architecture de surveillance des réseaux développée par
Cisco Systems qui permet de collecter des informations sur les flux IP. Elle
définit un format d'exportation d'informations sur les flux réseau nommé NetFlow services
export format (format d'exportation des services NetFlow, en abrégé protocole NetFlow). Elle
permet de superviser de façon fine les ressources du réseau utilisées. En 2004, Cisco a publié
les caractéristiques de la version 9 du protocole NetFlow dans la RFC 3954. L'IETF en a
dérivé le protocole IPFIX (IP Flow Information Export), normalisé en 2008 dans les
RFC 5101, RFC 5102 et RFC 5103.
Des éléments réseau (commutateurs et routeurs) établissent des statistiques sur les données
des flux réseau qu'ils exportent vers des collecteurs. Ces statistiques détaillées peuvent porter
sur les nombres de paquets et d'octets, les ports applicatifs, les adresses IP, les champs de
qualité de service, les interfaces par lesquelles ils transitent, etc.
Les flux réseau
Un flux est définit comme des Paquets ou trames présentant un attribut commun.
Un flux réseau NetFlow est unidirectionnel. Il est caractérisé par 7 champs clés:
1. le protocole de couche 3 (en général IPv4, mais d'autres protocoles sont possibles)
2. l'adresse IP source
3. l'adresse IP de destination
4. le port source (UDP ou TCP, 0 pour les autres protocoles)
5. le port de destination
6. le champ Type of Service
7. l'interface en entrée
Les paquets appartenant à un même flux (même adresse IP source, même adresse IP
destination, etc.) sont décomptés dans les statistiques. On remarque que l'interface de sortie ne
caractérise pas un flux, ce qui est une bonne chose sur les routeurs où les routes de sortie
peuvent changer.
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 1
� LA PLATEFORME NETFLOW
Il existe aussi des champs non clés qui ne caractérisent pas un flux, mais dont la valeur est
relevée. En règle générale, seule la valeur pour le premier paquet du flux est indiquée. On
peut par exemple relever la date et l'heure du début du flux.
Les données exportées
L'équipement réseau envoie un enregistrement décrivant le flux quand le flux s'achève. Un
flux est considéré comme achevé lorsqu'il n'y a plus de paquets qui passent pendant un certain
temps, ou quand la connexion TCP est close. On peut aussi configurer l'équipement pour
envoyer des enregistrements à intervalles réguliers, même quand le flux est encore en train de
s'écouler.
Ces enregistrements NetFlow sont en général transportés par UDP. L'adresse IP du collecteur
auquel ils sont envoyés doit être configurée sur l'équipement émetteur. Un paquet NetFlow
peut regrouper plusieurs enregistrements en un seul envoi. Par défaut, on utilise le port UDP
2055, mais il est courant de choisir un autre port.
Pour des raisons d'efficacité, si un de ces enregistrements NetFlow est perdu pour cause de
congestion du réseau ou de paquet corrompu, l'équipement réseau est dans l'incapacité de le
renvoyer, car il n'en conserve pas une copie. Cela peut conduire à des statistiques dégradées.
Pour cette raison, certaines implémentations récentes de NetFlow utilisent SCTP à la place
d’UDP pour garantir que les statistiques seront reçues.
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 2
� LA PLATEFORME NETFLOW
LES VARIABLES DU NETFLOW
Lorsqu’on parle des variables du NETFLOW, on veut juste ce référé aux différentes versions
du protocole NETFLOW. Il en existe 10 versions différentes.
VERSION COMMENTAIRES
V1 Première implémentation, à présent dépassée.
Limitée à IPv4 sans masque réseau ni numéro
de système autonome
V2 – V4 Version interne à Cisco, jamais publiée.
V5
La version la plus courante (en 2009) sur de
nombreux équipements de différentes
marques, mais restreinte aux flux IPv4
V6 Version qui n'est plus prise en charge par Cisco.
V7 Comme la version 5, avec un champ « routeur
source ».
V8 Agrégation de plusieurs informations.
V9 S'appuie sur des modèles (templates), ce qui
permet d'ajouter des champs sans redéfinir le
standard. Permet de rapporter des flux IPv6,
MPLS ou le prochain saut BGP en IPv4
V10 Connue comme IPFIX. Champs définis par les
utilisateurs, champs en longueur variable
LA NECESSITE POUR L’ANALYSE DES FLUX
Les Systèmes de gestion de réseau (SGR) effectuer quelques fonctions de base. Ils vous
diront quand quelque chose a échoué et ils vous diront quand quelque chose est
surchargé. La plupart des fonctionnalités d’une SGR tourne autour de fournir cette
information dans des formats différents, tels que rapports, alertes, Syslog viewers et Trap
viewers. Ils répondent aux questions ce qui s’est passé et quand. Mais lorsque la question
est basée sur le rendement, il y’a très peu d’informations pour répondre le pourquoi des
questions, surtout avec une liaison WAN saturée, l’un des problèmes plus communs dans la
performance.
Entant qu'ingénieur de gestion de réseau, on recevra certainement l’appel « les Utilisateurs
du site X ce plaignent que le réseau est lent ».
En utilisant un SGR vous verrez certainement que le lien entre le site X et le siège social est
saturé. Vous aurait pu recevoir quelques messages texte ou des pages du
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 3
� LA PLATEFORME NETFLOW
SGR vous disant quand est-ce-que le lien est devenu saturé. Le problème est que vous ne
savez pas pourquoi le lien est saturé. Si vous pouviez voir quel type de trafic est en utilisant le
lien, vous aurez pu voir ce qui est la cause.
C’est ce que NetFlow et d’autres protocoles d’analyse de flux font, ils capturent des
informations sur la nature des flux.
Avec un SGR et NetFlow déployé vous êtes en mesure de voir « ce qui » pousse un lien à
devenir saturée, « quand » le problème a commencé et « pourquoi » la nature du trafic sur le
lien.
PRINCIPE DE FONCTIONNEMENT
Le terme NetFlow est souvent utilisé de manière interchangeable entre les trois principales
composantes de la technologie NetFlow, dont :
le cache NetFlow
l'exportateur NetFlow sur le routeur ou commutateur, et
le collecteur NetFlow utilisé pour analyser les informations de flux.
1. LE CACHE NETFLOW : il est la surveillance active du trafic et existe
uniquement sur un appareil compatible NetFlow. Ils a 02 fonctions :
• Interrogez les en-têtes de données et soit le marquer comme un nouveau flux ou
ajouter à une partie d'un flux existant.
• Gardez une trace de minuteries de flux et d'autres facteurs. Quand un flux est
Achevée, l'envoyer à l'exportateur, le cas échéant, et supprimer des informations
de flux de l'appareil.
2. L'EXPORTATEUR NETFLOW : consiste à envoyer des informations de flux
complété par le dispositif à un collecteur NetFlow, comme Orion NetFlow Trafic
Analyzer.
3. LE COLLECTEUR NETFLOW : c’est un serveur qui permet de recevoir toutes ces
informations pour faire des statistiques.
VOICI CE QUI SE PASSE ETAPE PAR ETAPE:
• Les utilisateurs du bureau à distance ont accès à l'information à partir des serveurs
d'entreprise et Internet. Dans la terminologie NetFlow, les machines participant à un flux sont
connues comme points d'extrémité.
• Comme les flux de données des utilisateurs dans l'interface WAN R2, le cache d'entrée
NetFlow fait des dossiers sur les flux et les enregistrer dans la mémoire de R2.
• Les flux expirent (nous expliquerons comment cela se produit plus tard) exportateur
NetFlow de R2 envoie le flux d'information au collecteur NetFlow.
• Les magasins du collecteur NetFlow sauvegarde ces informations et les affiches sur les flux
de l'utilisateur...
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 4
� LA PLATEFORME NETFLOW
Voici ce que le tout ressemble graphiquement dans un environnement simplifié (voire la
figure ci-dessous).
GESTION DE LA SECURITE AVEC NETFLOW
Les réseaux d’entreprise sont de plus en plus confrontés aux problèmes de sécurité comme les
vers, les scans de ports, dénis de services (DoS) et abus du réseau, et les solutions de contrôle
pour détecter rapidement ces activités sont grandement nécessaires. Les pare feu et les
systèmes IDS (intrusion detection systems) sont les solutions les plus courantes pour détecter
ces activités, mais d’autres technologies comme le NetFlow peuvent s’avérer être d’une aide
précieuse.
En examinant un enregistrement de flow, vous pourrez constater qu’il n’y a pas
d’informations sur la charge utile (payload) du paquet dans le champ flow. C’est là l’une des
différences principales entre le NetFlow et un système IDS traditionnel. Un enregistrement de
flow ne contient aucune information sur les couches supérieures, il contient seulement des
caractéristiques du trafic. Résultant de ceci, cela fait perdre au NetFlow la possibilité de
fouiller profondément dans les paquets et de faire un travail d’analyse de paquet, néanmoins,
il reste suffisamment d’informations pour promouvoir des conclusions valables d’après les
données. L’avantage de cette méthode est sa grande vitesse. Ignorer les payloads des paquets
réduit grandement le processus et rend NetFlow très adapté aux environnements réseau
rapides encombrés. En plus de cela, cette caractéristique rend NetFlow très utile pour la
détection d’attaque de type zero-day ou mutante pour des cas où les systèmes de détection
d’intrusions basés sur des signatures échouent. Du fait que les données de flow proviennent
directement du routeur, un élément central de tout réseau important, NetFlow est capable de
fournir une vue unique du trafic global d’un réseau au niveau de l’infrastructure. Il permet
également la détection dynamique d’événements liés à la sécurité sur l’infrastructure réseau.
Si ils sont correctement analysés, les enregistrements NetFlow seront particulièrement
adéquats pour la détection préventive de vers ou d’activité réseau anormale dans de grands
réseaux d’entreprise et des services de FAI. Dans ce document, je vais décrire quelques
méthodes d’analyse de base de flows pour la sécurité réseau.
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 5
� LA PLATEFORME NETFLOW
IMPLEMENTATION EXISTANTES DU PROTOCOLE
Plusieurs fournisseurs ont développé NETFLOW. Ils sont appelés par d’autres noms, mais
sont les mêmes, tels que :
APPFLOW-CITRIX
CFLOWD-ALCATEL LUCENT
JFLOW/CFLOWD-JUNIPER
NETSTREAM-3COM
NETSTREAM-HUAWEI
RFLOW-ERICSSON
SFLOW-ALLIED TELESIS
APPLICATION DU PROTOCOLE NETFLOW SUR UN ROUTEUR CISCO
Sélectionnez l’interface sur laquelle activer NetFlow.
Pour sélectionner une interface, utilisez la commande : interface <type> <slot/port>
Pour notre exemple je veux savoir ce qui se passe sur le Vlan1 de mon routeur.
Activez le protocole NetFlow
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 6
� LA PLATEFORME NETFLOW
Vous activez, ensuite, le protocole NetFlow sur l’interface par la commande suivante : ip
route-cash-flow
Paramétrage de NetFlow sur le routeur.
• Il faut configurer le routeur pour l’envoi des trames NetFlow vers votre Collecteur
NetFlow. Pour ce faire entrez cette commande : ip flow-export destination
<addresse_SmartReport> <port_utilisé>
• Ensuite il faut définir l’interface source des exportations NetFlow envoyé par le
dispositif à l’adresse IP spécifiée. NetFlow Analyzer fera des requêtes SNMP sur
cette adresse : ip flow-export source Vlan1
• Enfin Il faut définir le temps en minutes pendant lequel un flux restera en cache avant
expiration. 30 minutes par défaut. Il est conseillé de mettre1 minute pour détecter les
alertes le plus rapidement possibles : ip flow-cache timeout active 1
• Cette commande permettant de s’assurer que les flux transférés soient régulièrement
exportés. La valeur par défaut est 15 secondes. On peut choisir un nombre entre 10 et
600 : ip flow-cache timeout inactive 15
En résumé voici les paramètres à renseigner :
router(config)#ip flow-export destination [Link] 2055
router(config)#ip flow-export source Vlan1
router(config)#ip flow-export version 5
router(config)#ip flow-cache timeout active 1
router(config)#ip flow-cache timeout inactive 15
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 7
� LA PLATEFORME NETFLOW
Important !!! La commande « ip flow egress/ingress » permet d’activer NetFlow en entrée
ou en sortie ou les deux. Cette commande est à appliquer sur l’interface ou NetFlow est
actif.
Une fois la configuration finie, enregistrer la configuration avec la commande : write
Memory Pour tester si votre configuration fonctionne, vous pouvez utiliser les commandes
suivantes sur votre routeur.
Vérification du protocole NetFlow
Show ip flow export
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 8
� LA PLATEFORME NETFLOW
Cette commande vous permet de savoir si NetFlow est activé (Flow export v5 Is enabled),
ainsi que la source et la destination (Source 1 Destination 1) et le nombre de flux envoyés (ici
469690).
show ip cache flow
En surveillant les statistiques NetFlow on s’apercevra en temps réel des évènements suivants :
• Le volume de trafic pour un flux habituel augmente soudainement dans des
proportions suspectes
• Le nombre de flow record augmente soudainement de façon suspecte
• De nombreux flow records présentent des incohérences (ex : un packet par flux = TCP
Syn flood)
• De nouveaux flux suspects apparaissent soudainement dans les statistiques
(propagation d’un vers réseau)
Ces évènements apparaissent de façon évidente lorsque l’on compare le résultat d’une
commande « show ip cache flow » à des intervalles de temps successifs.
L’information à exploiter dans un équipement Cisco pour détecter une malveillance est donc
la commande « show ip cache flow » tapée en mode ligne de commande (ou dont les valeurs
sont récupérées en SNMP ou via un NetFlow data export effectué par l’équipement).
Comme pour IPv4 il est possible de connaître le contenu des caches
NetFlow directement sur le routeur:
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 9
� LA PLATEFORME NETFLOW
Ci-dessous quelques détails sur la nature des informations que fournit cette commande de
visualisation d’état.
Show ip cache verbose flow
Il va afficher quelques informations complémentaires et notamment les valeurs de flags TCP.
Les informations fournies sont :
• SrcIf : l’interface par laquelle arrive le flux
• SrcIPaddress : l’adresse IP source, autrement le host origine du flux
• DstIf : l’interface par laquelle le flux sort de l’équipement
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 10
� LA PLATEFORME NETFLOW
• DstIPaddress : l’adresse IP destination
• Pr : identifie le protocole IP : Pr 11 = UDP, Pr 06 = TCP, Pr 01 = ICMP
• TOS : la valeur du champ TOS
• Flgs : la valeur du champ Flags TCP exprimée en hexa.
• Pkts : le nombre de paquets transmis dans ce sens de trafic
• Port : le numéro de port source dans ce sens de trafic
• Port : le numéro de port destination dans ce sens de trafic
Désactiver NetFlow
Pour désactiver NetFlow sur votre routeur, il suffit de taper la commande suivante : no ip
flow-export destination port
Ensuite pour verifier taper: show ip flow export
Vous voyez bien ici que l’exportation est disable (désactivé).
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 11
� LA PLATEFORME NETFLOW
NETFLOW TRAFIC ANALYZER
Maintenant nous allons prendre un coup d’œil à quelques exemples de sortie du collecteur,
SolarWinds Orion NetFlow Trafic Analyzer (NTA).
Dans l’écran NTA ci-dessus, nous voyons deux ressources, un pour les détails du point de
terminaison pour l’Orion NPM/NTA ([Link]) et un pour les Top 25 conversations
portant sur le point de terminaison Orion NPM/NTA. Ce sont des conversations entre
[Link] et autres points de terminaison sur les 15 dernières minutes, comme indiqué
dans la figure. Notez que le point de terminaison à [Link] apparaît dans les conversations
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 12
� LA PLATEFORME NETFLOW
de 25 albums. Il s’agit de présentation du collecteur de l’un de la conversation dans le cache
de NetFlow. Flux distincts exportés vers ce collecteur ont été stockées et agrégées afin que
nous puissions examiner ces flux Lorsque nous voulons. Cela nous montre qu’il y a eu une
conversation de flux agrégés sur les 15 dernières minutes contenant 16 Ko de données et
représente 4,67 % du trafic observé.
Ce point de vue nous donne une ventilation des types de trafic observés au niveau du réseau
ou d'un résumé. Ici, il n'y a qu'une seule source (exportateur), mais ce niveau agrège les
données de toutes les sources dont ce collecteur écoute.
NŒUD NIVEAU AFFICHAGE ET INTERFACE NIVEAU VUES
Ici, les mêmes types de ressources sont disponibles, mais les données sont limitées à toutes
les exportations à partir d'un seul nœud plutôt que réseau étendu. De même, le point de vue du
niveau d'interface montre que les flux de données à partir d'une interface spécifique(voir
figure ci-dessous).
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 13
� LA PLATEFORME NETFLOW
AVANTAGES ET INCONVENNIENTS
NetFlow v9 règle les problèmes des versions précédentes en introduisant la notion de
Template.
Avantages:
Les templates permettent de définir des data records de manière Complètement libre,
Possibilité de définir de nouveaux schémas d’agrégation plus facilement,
La définition de nouveaux champs est simple (peu de modifications à réaliser sur les
collecteurs),
V9 permet une gestion simultanée d’IPv4 et IPv6.
V9 supporte MPLS
Inconvénients:
Le format des trames plus complexe induit une plus grande charge pour les routeurs et
les collecteurs,
Les collecteurs doivent mémoriser les templates et pouvoir analyser rapidement les
data records en fonction des champs qu’ils contiennent.
Rédige par Ahibena Elele Xavier,Ndjami Joseph,Djantou Paul,Njoudam Ndam Falimatou Page 14
