Version 9 is not backward-compatible with Version 5 or Version 8. If you need Version 5 or Version 8, then you must configure Version 5 or Version 8.

Версия 9 не является обратно совместимой с версией 5 или версией 8. Если вам необходима v5 или v8, то вы должны сконфигурировать v5 или v8.

Версия 9 немного уменьшает общую производительность, поскольку генерация и поддержка правильных шаблонных наборов потоков требует дополнительной мощности процессора.

Может ли метод обнаружения угроз при помощи NetFlow стать основным оружием для большинства Интернет-угроз?
Этот  метод позволяет создать еще один слой обнаружения угроз  и атак, но, тем не менее, он не может являться основным решением обеспечения безопасности сети.  Хотя сбор информации NetFlow и IPFIX и позволяет обнаруживать нестандартный трафик, современные системы защиты сегодня в основном полагаются на технологии deep packet inspection и учета IP-репутации в качестве первой линии обороны.

Не все угрозы не определяются при помощи NetFlow

Хотя NetFlow и может использоваться для определения некоторых угроз безопасности, определенные ограничения этой технологии не позволяют полностью полагаться на нее. Определение угроз (определение аномалий поведения  трафика) осуществляется на основе использования шаблонов потоков и базовых характеристик. Хотя это позволяет эффективно определять отдельные угрозы, многие атаки могут не регистрироваться даже при использовании самого изощренного анализа NetFlow.
Вот какой пример приводит Лори Маквитти, специалист компании F5 Network: "Рассмотрим атаку типа http fragmentation. В этом случае атакующий устанавливает нормальное http-соединение с веб-сервером. Затем он разделяет обычные http-пакеты на небольшие фрагменты, отсылая каждый фрагмент так медленно, насколько позволяет таймаут сервера, сохраняя http-соединение очень долго и не вызывая никаких сообщений системы защиты".
NetFlow, как правило, будет экспортировать все эти индивидуальные пакеты в едином потоке, что не позволит системе анализа трафика определить аномалию.
Маквитти продолжает: "Атакующий создает множество http-запросов, не создавая их один за другим в процессе одной сессии, а формируя единый пакет, встроенный во многие запросы. Это позволяет ему поддерживать высокий уровень загрузки на сервер-жертву с низкой скоростью передачи атакующих пакетов. Такая низкая скорость делает атакующего практически невидимым для технологий определения аномалий на базе NetFlow".

Как используется NetFlow для обнаружения атак?

На практике NetFlow часто используется для анализа сигнала об атаке, определяемой системой класса IPS. NetFlow может сообщить нам, какой компьютер находится на связи в момент атаки, какие приложения или порты используются и как долго продолжается такая опасная ситуация. Именно для использования в таких целях очень хорош анализатор NetFlow.

Обнаружение атак при помощи NetFlow

Обнаружение атак при помощи этого метода очень хорош для атак типа DDoS, FIN, XMAS или сканирование RST/ASK. На сегодняшний день этого вполне достаточно для обнаружения большинства аномалий трафика.

Репутация IP-адресов и NetFlow

Репутация IP-хостов - это та область, где NetFlow очень полезен. По мере того, как потоки поступают на коллектор NetFlow, адреса источника и приемника сравниваются с постоянно обновляемой базой "плохих адресов".  

IPS (Intrusion Protection Systems) - все еще лучшая защита

Современные системы класса IPS являются лучшей защитой от внутренних и внешних угроз, поскольку они могут осуществлять глубокую инспекцию пакетов (deep packet inspection). Система на базе NetFlow (не считая таких технологий, как NetFlow-Lite и Smart Logging Telemetry) не экспортирует полный пакет. При этом мы теперь видим файерволы нового поколения, которые осуществляют глубокую инспекцию пакетов, при этом может экспортироваться детальная  информация NetFlow или IPFIX. Вендоры, такие как Cisco, SonicWall, Lancope и Palo Alto Networks в своих продуктах экспортируют уже значительно больше информации, чем это возможно при помощи NetFlow v5. В частности, это имена пользователей, приложения (например, Skype, Webex, Flash и т.п.), URL, джиттер, задержка, syslogs (NSEL).
По словам Гэвина Райда, менеджера Cisco CSIRT: "IPS  (или deep packet inspection) для нас это система защиты № 1, NetFlow очень близок и является № 2 (сейчас в версии 9 уже имеется ограниченная возможность глубокой инспекции пакетов). Если мы идентифицируем с помощью DPI (deep packet inspection) нарушение безопасности, то мы можем с помощью NetFlow определить, какой IP имеет доступ к хосту, когда он получил доступ к хосту, и что это хост делал, после того, как произошло это событие".

Итого

Эксперты сходятся в том, что анализ поведения трафика на базе NetFlow пока не может заменить существующие системы защиты. Основная защита все еще осуществляется оборудованием класса IPS благодаря ее функционалу глубокой инспекции пакетов. Обнаружение атак при помощи NetFlow является великолепной вторичной системой безопасности для детектирования таких угроз как DDoS, сканирование сети и отличным средством для исследования угроз, обнаруженных системами IPS.

Этот формат более гибкий и расширяемый, обладает функционалом, позволяющим поддерживать новые поля и типы записей. Формат обеспечивает поддержку таких технологий, как NAT, MPLS,BGP next hop и Multicast. Основная новинка формата Version 5 в том, что он основан на шаблонах.