# sFlow & NetFlow: Detaillierte Verkehrs-Analyse im Rechenzentrum

TL;DR / Management Summary SNMP (Artikel 757) sagt uns, wie viel Traffic fließt. NetFlow und sFlow sagen uns, was da fließt. Sie liefern Metadaten über IP-Ströme (Quelle, Ziel, Port, Protokoll). Ein Senior Admin nutzt diese “Flussdaten”, um Bandbreitenfresser zu entlarven, DDoS-Angriffe (Artikel 753) zu analysieren und forensische Nachweise über Netzwerkverbindungen zu führen, ohne den gesamten Datenstrom aufzeichnen zu müssen.

# 1. Einführung & Standards

Vom Paket zum Flow.

1. NetFlow (Cisco Standard): Arbeitet auf Basis von Zuständen. Der Switch merkt sich: “IP A hat mit IP B gesprochen und dabei X Bytes übertragen”.
2. sFlow (Sampled Flow): Arbeitet statistisch. Jedes n-te Paket (z.B. jedes 1000ste) wird komplett an den Monitor geschickt.
   • Vorteil: Extrem geringe CPU-Last auf dem Switch. Ideal für 100G+ Netze.
3. IPFIX: Der moderne, herstellerübergreifende Standard (basiert auf NetFlow v9).

# 2. Einrichtung in der Praxis

Daten exportieren.

# 1. Am Switch/Router

Konfigurieren Sie den Exporter:

# Beispiel (Generic)
flow-export destination 10.0.50.10 port 2055
flow-export source-interface vlan 10

# 2. In OPNsense

Reporting -> Settings.

• Aktivieren Sie NetFlow.
• Wählen Sie das Ziel (Collector) aus.

# 3. Deep Dive: Traffic-Analyse mit ntopng

Den ‘Flow’ visualisieren.

Ein Flow-Exporter ist nutzlos ohne einen Collector.

• ntopng (Artikel 586): Der Industriestandard für die visuelle Aufbereitung.
• Aktion: Verbinden Sie ntopng mit Ihrem OPNsense-Netflow Stream.
• Ergebnis: Sie sehen sofort: “User X verbraucht 80% der Bandbreite durch einen Upload zu Dropbox”.

# 4. Day-2 Operations: Forensik & Security

Spurensuche im Netz.

Flow-Daten sind Gold wert nach einem Sicherheitsvorfall.

• Szenario: Ein Server wurde gehackt.
• Frage: “Mit welchen IPs im Internet hat der Server in den letzten 24 Stunden gesprochen?”
• Antwort: Eine einfache Query im NetFlow-Archiv liefert die komplette Liste der Kontakte, inklusive Zeitstempel und Datenmenge.

# 5. Troubleshooting & “War Stories”

Wenn die Ströme versiegen.

# Top 3 Fehlerbilder

1. Symptom: Keine Daten im Collector sichtbar.

   • Ursache: Firewall blockiert UDP Port 2055 oder 6343.
   • Lösung: OPNsense Regeln prüfen.

2. Symptom: Statistiken sind ungenau (MB-Werte stimmen nicht).

   • Ursache: Zu geringe Sampling-Rate bei sFlow.
   • Fix: Sampling-Rate am Switch auf 1:100 oder 1:500 anpassen.

3. Symptom: Collector-CPU ist bei 100%.

   • Ursache: Zu viele feingranulare Flows (z.B. durch einen Port-Scan im Netz).

# “War Story”: Der “Silent” Datenabfluss

Ein Admin bemerkte, dass seine Internetleitung nachts voll ausgelastet war. Das SNMP-Monitoring am WAN-Port zeigte die Last, aber nicht die Quelle. Die Diagnose: Wir aktivierten NetFlow auf den internen Switchen. Die Entdeckung: In der ntopng-Analyse sahen wir hunderte parallele Verbindungen von einer Drucker-VM zu einer IP in Osteuropa. Die Lösung: Ein gehackter Drucker wurde als Proxy für Daten-Exfiltration genutzt. Da NetFlow auch den TCP-Status und die Ports mitschrieb, konnten wir den Angriff sekundengenau rekonstruieren. Lehre: SNMP ist das Tacho (Geschwindigkeit), NetFlow ist die Dashcam (Wer fährt wo?).

# 6. Monitoring & Reporting

Anomalie-Erkennung.

# Flow-Anomalie Alarme

Nutzen Sie Tools wie ElastiFlow.

• KPI: Top Talkers by ASN.
• Alert: Wenn ein Server plötzlich mit einem unbekannten Land (GeoIP) kommuniziert -> HIGH PRIORITY ALARM.

# 7. Fazit & Empfehlung

Verkehrsanalyse ist die Königsdisziplin der Netzwerk-Sicherheit.

• Empfehlung: Aktivieren Sie NetFlow auf Ihrem zentralen Gateway (OPNsense).
• Wichtig: Achten Sie auf die Privatsphäre. Flow-Daten können (anonymisiert) zur technischen Fehlerbehebung genutzt werden, dürfen aber nicht zur Überwachung von Mitarbeitern missbraucht werden.

# Anhang: Cheatsheet (Standard Ports)

# Referenzen

• Cisco: Introduction to NetFlow
• sFlow.org: Technical Specifications
• RFC 7011: Specification of the IP Flow Information Export (IPFIX)