Ağ izleme ve yönetimi, modern şirketlerin siber güvenlik ve operasyonel verimliliklerini sürdürebilmeleri için kritik öneme sahiptir. Doğru aracı seçmek, ağ performansını optimize ederken olası tehditleri önceden tespit etmek için gereklidir. Bu bağlamda, NetFlow ve SNMP iki farklı ancak birbirni tamamlayabilen çözüm sunar. Bu yazıda, her iki teknolojiyi tanımlayarak temel farklarına ve hangisinin hangi durumda tercih edilmesi gerektiğine değineceğim.
NetFlow ve SNMP Nedir? Temel Özellikler
NetFlow Nedir?
NefFlow, Cisco tarafından geliştirilmiş bir ağ trafik akışı izleme protokolüdür. Temel amacı, üzerindeki veri akışını kaydetmek ve analiz etmektir. NetFlow, ağın hangi cihazlardan ne tür verilerin geçtiğini detaylı şekilde raporlayarak, trafiğin hacmini ve yapısını analiz eder.
İşlevleri Nedir?
Kaynak ve hedef IP adresleri, port numaraları, protokoller gibi detaylı trafik bilgilerini toplar. Bir ağ üzerinden geçen her paket akışını IP adresleri, portlar, servis protokolleri ve QoS bilgileri gibi önemli parametrelerle kayıt altına alır.
Trafik analizinde granular (ince detaylı) veri sağlar. Trafik akışlarının akıntı detaylarıyla incelenmesini mümkün kılar. Kayıt edilen bu detaylar sayesinde ağ yöneticileri, hangi uygulama veya cihazın fazla bant genişliği kullandığı ve bu trafiğin hangi protokolleri kullandığı konusunda tam bir görüş sahibi olur.
Trafik hacmini ve bant genişliği kullanımını belirler. Yoğun trafik yaratan noktaları tespit ederek, ağ tıkanıklıklarının nereden kaynaklandığını gösterir ve gelecekteki bant genişliği ihtiyacının planlanmasına rehberlik eder.
- Uygulama tabanlı trafik tespitinde kullanılabilir.
- Anomali algılama ve siber tehdit tespiti için kullanılır.
NetFlow, özellikle ağ performansını optimize etmek, trafik yoğunluğunu anlamak ve ağı etkileyen potansiyel tehditleri belirlemek isteyen kurumlar için kritik bir çözüm sağlar.
NetFlow vs SNMP: Farklar
| Özellik | NetFlow | SNMP |
| Amaç | Trafik akış analizi yapmak ve ağ trafiğini detaylı incelemek için kullanılır. | Ağ cihazlarının genel durumu ve performansını izlemek için kullanılır. |
| Çalışma Mantığı | Router ve Switch’lerden geçen ağ trafiğini “flow” olarak kaydeder ve analiz eder. | Cihazlardan belirli MIB (Management Information Base) verilerini sorgular ve alır. |
| Veri Türü | IP başlık bilgilerini, source/destination IP’ler, portları, protokol tiplerini, paket ve byte sayısını içerir. | CPU kullanımı, RAM durumu, bağlantı durumu, arayüz durumu, hata sayısı gibi donanım ve performans bilgilerini içerir. |
| Veri Toplama Yöntemi | Ağ cihazları (Örneğin; router, switch) trafik Veri Toplama Yöntemi akışlarını NetFlow kolektörüne yollar. | SNMP istemcisi (NMS) belirli aralıklarla cihazlardan bilgi çeker veya cihazlar SNMP trap ile anlık bildirim yapar. |
| Kapsamı | Trafik yönlendirme analizi, bant genişliği kullanımı ve anormallik tespiti için uygundur. | Cihaz sağlığı, durum izleme ve yönetim için uygundur. |
| Gerçek Zamanlılık | Trafik akışlarını anlık olarak Gerçek Zamanlılık analiz edebilir. | Genellikle belirli aralıklarla veri çeker, anlık olayları SNMP Trap ile alabilir. |
| Ağ Protokolleri ile Etkileşim | TCP,UDP,ICMP,IP gibi protokollerin detaylı analizini sağlar. | Daha çok ağ cihazlarının sistem sağlığı ile ilgilenir, trafik detaylarını vermez. |
| Örnek Kullanım Alanları | Bant genişliği yönetimi, DDoS tespiti, trafik analizleri, güvenlik olayları izleme. | Sunucu ve switch sağlık durumu, arıza tespiti, CPU/RAM takibi, Uptime izleme. |
| Örnek Veri | Kaynak IP:192.168.1.10 -> Hedef IP:8.8.8.8, Protocol:TCP, Port: 443, Paket Sayısı: 100 | CPU Kullanımı: %45, RAM Kullanımı: %70, Bağlantı Durumu: UP/DOWN |
| Uygulama Protokolü | Çoğunlukla UDP üzerinden çalışır. | UDP/161 (GET, GET-NEXT, SET), UDP/162 (TRAP) kullanır. |
Kullanım Alanlarına Göre: NetFlow ve SNMP
NetFlow
Bant Genişliği Yönetimi: Hangi kullanıcı veya uygulamaların fazla bant genişliği tükettiğini belirleyerek ağ optimizasyonu sağlar.
Güvenlik Analizi: Anormal trafik hareketlerini tespit ederek saldırı izlerini bulmada yardımcı olur.
Uygulama Performans İzleme: Hangi servislerin ve uygulamaların ne kadar trafik ürettiğini görmeyi sağlar.
SNMP
Ağ Cihazlarının İzlenmesi: Router, Switch, sunucu gibi cihazların sağlık durumu ve performans verilerini takip eder.
Arıza Tespiti ve Alarm Yönetimi: Bir cihazın hata verdiğinde veya kritik seviyeye ulaştığında uyarılar gönderir.
Donanım ve Servis İzleme: CPU, RAM, disk kullanımı gibi verileri analiz eder.
Veri Toplama ve Analiz Yöntemlerine Göre: NetFlow ve SNMP
NetFlow
NetFlow, ağ cihazlarında (router, switch) etkinleştirildiğinde belirli parametrelere göre trafik verisi toplar:
- Kaynak ve Hedef IP Adresleri
- Kullanılan Protokoller (TCP, UDP gibi)
- Port Numaraları
- Paket ve byte sayıları
- Akış (Flow) Süresi
Bu veriler, analiz için NetFlow Collector tarafından toplanır ve grafikler halinde gösterilir.
SNMP
SNMP, ağ cihazlarından veri toplamak için üç ana bileşene sahiptir: SNMP Agent: Cihaz üzerinde çalışan ve verileri sağlayan yazılım. SNMP Manager: Verileri toplayan ve analiz eden merkezi sistem. MIB (Management Information Base): Cihazlardan toplanan verileri düzenli saklandığı veri yapısı. Bu bir Switch, Router, Firewall gibi cihazlar olabiliyorken bir IP Kamera veya bir CCTV ekosistemini bile MIB verileri izleyebiliriz. (bknz: https://blog.paessler.com/how-to-monitor-cctv-equipment-with-prtg)
Örnek bir SNMP sorgusu:
- CPU Kullanımı: .1.3.6.1.4.1.2021.10.1.5 (OID verisi)
- Bellek Kullanımı: .1.3.6.1.4.1.2021.4.5 (OID verisi)
- OID: Object Indetifier.
SNMP, belirli aralıklarla cihazlardan veri alır (SNMP polling) ve bu verileri grafikler, tablolar halinde analiz eder.
Performans ve Güvenlik: NetFlow ve SNMP
NetFlow NetFlow, detaylı veri topladığı için ağ cihazlarına orta-yüksek düzeyde bir yük getirebilmektedir. Ancak bu yükü optimize etmek için:
- Gereksiz verileri filtrelemek,
- Akış sayısını sınırlamak,
- Veri örnekleme (Sampling) yöntemlerini kullanmak gibi teknikler uygulanabilmektedir.
NetFlow’un ağ performansına (Bant genişliği) etkisinin PRTG NetFlow v5 sensördeki oranı aşağıdaki görselde olduğu gibi kırmız çubuklarla yüksek olduğu gösterilmiştir:
NetFlow Avantajları
Trafik analizi ve sorun giderme süreçlerinde büyük kolaylık sağlar.
Anormal aktiviteleri tespit ederek güvenliği artırır.
“PRTG NetFlow v5” Sensörü ile NetFlow v5 Trafiğini İzlemek
Kullanılan Araçlar ve Ortam
- VMware Workstation: Sanal Makine içinde Kali Linux’u çalıştırmak için kullanıldı.
- Kali Linux (Debian): Trafik üretme işlemi için kullanıldı.
- Softflowd: NetFlow v5 formatında trafik üretmek için kullanıldı.
- Fprobe: Alternatif bir NetFlow kolektörü olarak kuruldu.
- PRTG Network Monitor: Fiziksel Windows makinede çalışmakta olup, NetFlow trafiğini analiz etmek için kullanıldı.
Kali Linux Üzerinde Softflowd Kurulumu
Softflowd, Linux üzerinde NetFlow trafiği oluşturmak için kullanılan bir araçtır. Aşağıdaki görüldüğü şekilde kurulumu gerçekleştirdim:
Burada:
-i eth0: Trafiğin izleneceği ağ arayüzü (eth0)
-n 192.168.1.105:2055: NetFlow verilerini toplayacak hedef IP ve Port.
-v 5: NetFlow v5 formatının kullanılması anlamına gelir.
NetFlow Veri Akışı:
PRTG Network Monitor arayüzünde aşağıdaki bilgiler edinilmiştir:
- Top Talkers: En fazla veri gönderen istemciler.
- Top Connections: En yoğun bağlantı yapılan IP ve portlar tespit edilmiştir.
- Top Protocols: En çok kullanılan protokoller analiz edildi.
- Bant Genişliği Kullanımı: Toplam trafik hacmi ve bağlantı türlerine göre bant genişliği kullanım oranları görüntülenmiştir.
Top Connections (En Yoğun Bağlantılar)
Kaynak IP’ler incelendiğinde, 172.19.121.217 adresinin en fazla bağlantıya sahip olduğu, 142.251.140.36 IP’sinin (Google sunucularıyla olan ilişkiden dolayı) bağlantılarında artış olduğu ve 216.58.213.100 adresinin (Google hizmetleriyle olan bağlantıdan dolayı) yüksek veri akışı içerdiği tespit edilmiştir. Destination IP’ler arasında 192.168.235.131, en sık hedef alınan iç ağ IP’si olarak öne çıkarken, en fazla trafiğin http(Port 80) üzerinden gerçekleştiği belirlenmiştir. Protokol dağılımına bakıldığında ise, TCP(Protocol 6) yoğun olarak kullanılmış olup, veri paketlerinin büyük çoğunluğunun 11KB-58KB aralığında küçük boyutlu olduğu görülmüştür.
Top Talkers (En çok Trafik Üreten IP’ler)
En fazla trafik üreten IP’ler arasında 216.58.213.100 (Google hizmetlerine bağlantı yapıyor olabilir) en yüksek trafik üreten kaynaklardan biri olarak öne çıkarken, 172.19.121.217 ikinci sırada yer almaktadır. İç ağ trafiğinde ise 192.168.235.131 yoğun olarak kullanılan bir hedef IP olarak tespit edilmiştir. Bant genişliği dağılımına bakıldığında, ilk sıradaki IP toplam trafiğin %45’ini oluştururken, ikinci sıradaki IP %27 oranında trafik üretmekte, diğer IP’ler ise daha düşük seviyelerde yer almaktadır.
Top Protocols (En Çok Kullanılan Protokoller)
WWW (HTTP/HTTPS) trafiği %93 oranında kullanılarak en baskın trafik türü olmuştur, FTP/P2P trafiği ise %1’den düşük seviyede kalmıştır. Remote Control (Uzak Masaüstü Bağlantıları) oldukça az kullanılırken, Infrastructure & Various kategorileri %5’in altında bir kullanım oranına sahiptir.
Gözlemler Çerçevesinde Genel Değerlendirme
- Ağ trafiği büyük ölçüde HTTP/HTTPS (Web Trafiği) üzerinden gerçekleşmekte.
- Google hizmetlerine yönelik bağlantılar yoğunlukta.
- FTP ve P2P kullanımı neredeyse yok denecek kadar az.
- Dahili ağda (192.168.235.131) trafiği yönlendiren ana istemciler belirlenmiş.
- Ağda yüksek bir trafik olmadığı için anormal bir durum gözlemlenmemiştir.
