본문 바로가기
네트워크 (LAN,WAN)

네트워크 트래픽 분석(NTA), 네트워크 탐지 및 대응(NDR)

by 날으는물고기 2023. 9. 30.

네트워크 트래픽 분석(NTA), 네트워크 탐지 및 대응(NDR)

네트워크 트래픽을 미러링하고 분석하는 과정은 네트워크 관리자와 보안 전문가에게 중요한 작업입니다.

이를 위해 다음과 같은 방법을 사용할 수 있으며, 여기에서는 NetFlow와 유사한 방식을 사용하는 예를 제시하겠습니다.

  1. 미러링 설정 및 데이터 수집:
    • 네트워크 장비(스위치 또는 라우터)에서 특정 포트 또는 VLAN에서 발생하는 트래픽을 미러링 설정합니다.
    • 이러한 미러링 설정은 SPAN (Switched Port Analyzer) 또는 RSPAN (Remote SPAN)으로 알려져 있으며, 특정 트래픽을 별도의 모니터링 장비로 복제합니다.
  2. 미러링 데이터 수집 장비 설정:
    • 미러링 데이터를 수집할 트래픽 분석 장비를 설치하고 설정합니다. 이 장비는 트래픽 데이터를 수신하고 저장할 역할을 합니다.
    • 네트워크 분석 툴을 사용하는 경우, Wireshark, tcpdump 또는 상업용 도구와 같은 소프트웨어를 사용할 수 있습니다.
  3. NetFlow와 유사한 데이터 수집:
    • NetFlow와 유사한 방식으로 트래픽 데이터를 수집합니다. NetFlow는 Cisco 장비에서 사용되는 표준 프로토콜로, 다른 제조업체에서는 sFlow, IPFIX 등 다른 프로토콜을 사용할 수 있습니다.
    • 이러한 프로토콜은 트래픽 흐름 데이터(소스 IP, 대상 IP, 포트, 패킷 수, 바이트 수 등)를 수집하고 로그 파일 또는 데이터베이스에 저장합니다.
  4. 데이터 저장 및 분석:
    • 수집된 데이터를 저장하기 위한 데이터베이스 또는 파일 시스템을 구성합니다. 대용량 스토리지가 필요할 수 있습니다.
    • 분석을 위한 도구 또는 플랫폼을 설정하고, 수집된 데이터를 이용하여 네트워크 트래픽 패턴, 보안 이상 징후 등을 분석합니다.
  5. 알람 및 보고:
    • 특정 이벤트나 보안 위협을 탐지하기 위한 알람 설정을 구성합니다. 예를 들어, 이상 행위 감지 시 경고를 발생시키도록 설정할 수 있습니다.
    • 주기적으로 레포트를 생성하고, 보안 문제나 트래픽 패턴의 변화에 대한 보고서를 생성하여 관리자에게 제공합니다.
  6. 데이터 보존 및 규정 준수:
    • 관련 법규나 규정을 준수하기 위해 트래픽 데이터를 적절한 기간 동안 보존합니다. 이러한 데이터 보존 정책은 조직의 요구 사항과 관련 법규에 따라 달라질 수 있습니다.

네트워크 트래픽 미러링 및 분석은 네트워크 성능 모니터링, 보안 감시, 문제 해결 및 예방을 위한 중요한 활동이며, 적절한 도구와 전문 지식이 필요합니다. 이러한 작업을 효과적으로 수행하기 위해서는 조직의 요구 사항과 환경을 고려하여 적절한 솔루션을 선택하고 구성하는 것이 중요합니다.

네트워크 트래픽 미러링 및 분석 시스템을 구축하는 과정은 여러 단계로 나눌 수 있습니다.

아래에서는 이러한 단계를 자세하게 설명하겠습니다.

 

단계 1: 미러링 설정 및 데이터 수집

  1. 미러링 포트 설정:
    • Cisco 스위치를 예로 들어, 미러링을 설정하기 위해 다음과 같이 CLI(Command Line Interface)를 사용할 수 있습니다.
    Switch(config)# monitor session 1 source interface FastEthernet0/1
    Switch(config)# monitor session 1 destination interface FastEthernet0/48
    이 예에서 FastEthernet0/1은 미러링할 포트이고 FastEthernet0/48은 미러링된 트래픽을 받을 포트입니다.
  2. RSPAN 설정 (원격 미러링, 선택 사항):
    • 원격 위치에 미러링 데이터를 전송해야 할 경우 RSPAN을 설정합니다. 다른 스위치 또는 장비와의 연결이 필요합니다.

 

단계 2: 미러링 데이터 수집 장비 설정

  1. 트래픽 분석 장비 설치 및 설정:
    • 트래픽 분석을 위한 미러링 데이터 수집 장비를 설치합니다. 이 장비에는 소프트웨어 또는 하드웨어 기반 솔루션이 포함될 수 있습니다.
    • 설치 후, 장비의 IP 주소 및 설정을 구성합니다.
  2. 데이터 수집 프로그램 설정:
    • 데이터 수집 장비에 트래픽 수집 프로그램 (예: Wireshark)을 설치하고 설정합니다.
    • 프로그램에서 미러링 데이터를 수신할 네트워크 인터페이스를 선택하고, 데이터를 저장할 디렉토리를 설정합니다.

 

단계 3: 데이터 수집 및 분석

  1. NetFlow 또는 유사한 프로토콜 설정:
    • 네트워크 장비에서 NetFlow 또는 유사한 프로토콜을 설정하여 트래픽 데이터를 수집합니다.
    • 예를 들어, Cisco 장비에서는 다음과 같이 설정할 수 있습니다.
    Router(config)# ip flow-export destination <분석 장비 IP 주소> <포트 번호>
    Router(config)# ip flow-export version <버전>
    Router(config)# interface <인터페이스>
    Router(config-if)# ip flow ingress
    분석 장비 IP 주소포트 번호는 데이터를 수신할 분석 장비의 IP 주소와 포트 번호를 나타내며, 버전은 사용할 NetFlow 버전을 나타냅니다.
  2. 데이터 저장 및 분석 도구 설정:
    • 수집된 트래픽 데이터를 저장하기 위해 데이터베이스 또는 파일 시스템을 설정합니다.
    • 데이터 분석 도구를 사용하여 데이터를 시각화하고 필요한 보고서를 생성합니다. 예를 들어, ELK Stack (Elasticsearch, Logstash, Kibana)를 사용하면 데이터를 저장하고 시각화할 수 있습니다.

 

단계 4: 알람 및 보고

  1. 알람 설정:
    • 특정 이벤트나 보안 위협을 탐지하기 위한 알람을 설정합니다. 예를 들어, 이상 트래픽 행위를 감지하면 이메일 알람을 보내도록 구성할 수 있습니다.
  2. 보고서 생성 및 스케줄링:
    • 주기적으로 레포트를 생성하고, 이메일로 보내거나 웹 대시보드에 표시하도록 설정합니다.
    • 보고서에는 트래픽 통계, 보안 이벤트, 성능 문제 등의 정보가 포함될 수 있습니다.

 

단계 5: 데이터 보존 및 규정 준수

  1. 데이터 보존 정책 설정:
    • 조직의 요구 사항과 관련 법규를 준수하기 위한 데이터 보존 정책을 설정합니다.
    • 데이터 보존 기간, 보안 정책, 데이터 암호화 등을 고려합니다.
  2. 데이터 백업:
    • 데이터를 안전하게 백업하고, 필요한 경우 복구할 수 있는 백업 및 복원 프로세스를 설정합니다.

 

이러한 단계를 따라 네트워크 트래픽 미러링 및 분석 시스템을 구축하고 설정할 수 있습니다.

이 과정에서는 조직의 요구 사항과 보안 정책을 준수하도록 주의해야 합니다.

728x90

댓글