넷플로우 및 메타데이터 생성

넷플로우 생성의 과제

엔터프라이즈 네트워크가 성장하고 네트워크의 속도 또한 빨라지고 있는 데 반해, 필수적인 업무 어플라이언스가 추가 데이터를 소비하고 분석하는 기능은 동일한 속도로 퇴화하고 있습니다. 예컨대, 위협 복잡성은 보안 장치로 하여금 보다 많은 분석을 실시하도록 요구하고 있으며, 어플라이언스 상에 컴퓨팅이 부족하여 40Gb 및 100Gb는 고사하고 10Gb 속도에 간신히 맞출 수 있을 정도로 더욱 혹사되고 있습니다.

여기서 문제는 과도한 데이터 양에 비해 컴퓨팅 성능이 너무 부족하다는 것입니다. 그렇다면 해결책은 무엇일까요? 바로 메타데이터입니다.

넷플로우는 메타데이터의 한 형태입니다. 이 레이어 4 플로우에서 생성된 데이터는 전체 시스템의 트래픽에 대한 가시성을 증대시킬 수 있고, 제대로 된 방법으로 생성되기만 한다면 네트워크 상 노드 간 관계와 사용 패턴을 구축하는 데 사용될 수 있습니다. 라우터와 스위치는 넷플로우 메타데이터를 생성할 수 있긴 하지만, 모든 패킷에 대해 메타데이터를 생성하도록 설계된 것은 아니기 때문에 문제점과 한계가 발생합니다. 라우터나 스위치로 생성된 넷플로우는 샘플링에 불과할 뿐 아니라 형태도 일정하지 않고 서비스 저하, 지연 시간 저하, 패킷 누락을 유발할 수 있는 처리 부담이 수반됩니다.

뿐만 아니라 처리 문제가 해결된다 하더라도 넷플로우는 레이어 4에 불과합니다. 기업이 능동적인 가시성을 가지고 성공적인 분석을 수행하기 위해서는 레이어 7 애플리케이션 수준의 메타데이터가 필요합니다.

기가몬 솔루션

기가몬은 수신되는 트래픽 스트림에서 레이어 4와 레이어 7 메타데이터를 모두 생성할 수 있습니다. 그렇다면 주요 차별화 요소와 혜택은 바로 이 넷플로우가 샘플링되지 않는다는 것입니다. 넷플로우는 버전 5 및 9, IPFIX를 포함한 일련의 넷플로우 형식을 지원하여 무한대의 표준 기반 수집기, 스토리지 장치 및 SIEM과 완벽한 통합이 가능하며, 처리 부담이나 성능 저하를 유발하지 않고 실행됩니다.

또한 기가몬은 IPFIX를 확장하여 트래픽에 관한 표준 정보(소스, 목적지 IP 주소 및 포트)뿐 아니라 DNS, URL 및 HTTP 반응 코드와 같은 애플리케이션 전용 확장자를 모두 포함시켰습니다. 기가몬은 이런 데이터를 생성할 때 고비용의 생산 네트워크 리소스를 사용하는 부담을 없애기 위해 관리자로 하여금 기가몬 가시성 패브릭™ 같은 대역 외 솔루션에서 메타 데이터 생성이 가능하도록하였습니다. 기가몬의 특허 받은 플로우 매핑® 기술을 사용하면 플로우에서 선택하여 넷플로우 및 메타데이터 통계를 생성할 수 있으며, 이와 동시에 다른 모니터링 툴로 원본 패킷을 전송할 수 있습니다. 운영자는 넷플로우 기록과 다른 네트워크 메타데이터를 여러 수집기로 동시에 내보내서 보안, 청구, 용량 계획 등과 같은 필수적인 업무 관리 애플리케이션용 단일 플로우 소스를 생성할 수 있습니다. 운영자는 내보낸 플로우를 필터링하여 수집기에 특정 기록만이 수신되도록 할 수 있습니다.

넷플로우 생성

기가몬 가시성 패브릭은 확장 가능한 프레임워크가 엔터프라이즈, 데이터 센터 및 서비스 사업자 환경에 걸쳐 플로우 수준의 전반적인 가시성을 제공하여 사용자가 네트워크 인프라를 정확하게 설계, 엔지니어링, 최적화 및 관리할 수 있도록 설정합니다.

넷플로우 핵심 기능 및 이점

특징 이점
전체 네트워크에 걸친 넷플로우 생성 전반에 대한 가시성

보안 및 성능 모니터링 툴은 특정 라우터나 스위치가 생성한 개별 네트워크 세그먼트에 대한 독립적인 보기와 네트워크 전체 보기를 대비해서 볼 수 있습니다.

높은 처리량의 대역 외 넷플로우 솔루션

생산 라우터 및 스위치으로부터 넷플로우 생성에 대한 영향 없음

모든 패킷에서 샘플링되지 않은 1:1 넷플로우 생성

샘플링된 넷플로우 생성으로 인한 충실도의 손상이 없는 보안 모니터링을 위한 네트워크 활동에 대한 완벽하고 정확한 그림

폭넓은 넷플로우 내보내기 형식 지원 – v5, v9 and IPFIX

레거시 및 차세대 넷플로우 수집기와 호환

기가몬 플로우 매핑을 이용하여 레이어 2, 레어어 3 및 레이어 4 헤더에 대한 인그레스 필터링(Ingress filtering)을 수행

특정 네트워크 및 애플리케이션을 위한 플로우 통계 생성

맞춤화 가능한 템플릿과 필터로 최대 6개의 수집기 지원

보안 및 애플리케이션 모니터링을 지원하는 여러 공급업체 활용

핵심 메타데이터 확장자

확장자 추출 필드 이점
DNS
  • dnsIdentifier
  • dnsOpCode
  • dnsResponseCode
  • dnsQueryName
  • dnsResponseName
  • dnsResponseTTL
  • dnsResponseIPv4Addr
  • dnsResponseIPv6Addr
  • 악의적 명령 및 제어(C&C) 서버에 대한 도메인 검색 탐지
  • 잠재적으로 봇에 감염된 엔드포인트 식별
  • 낮은 TTL(Time-To-Live) 값을 가진 의심스러운 DNS 서버 식별
  • 네트워크에서 악성 DNS 서버 식별
URL 메소드 유형에 따른 URL
  • HTTP GET
  • POST
  • PUT
  • DELETE
  • HEAD
  • C&C 서버에 대한 악성 통신 식별
  • URL에서 비롯되는 잠재적인 SQL 및 다른 OWASP 취약점 식별
  • 메타데이터를 사용한 생산성 및 규제 준수 위반 식별
HTTP 응답 코드 HTTP 응답 코드:
  • 100-199 (정보 제공)
  • 200-299 (성공 관련)
  • 300-399 (리디렉션)
  • 400-499 (클라이언트 요청)
  • 500-599 (서버 관련)
  • 비정상 행동 패턴 발견을 위한 HTTP 코드 베이스라인
  • 내부 서버 손상을 야기할 수 있는 과도한 리디렉션(3XX 코드) 식별
  • 잠재적인 DoS 공격 및 감염 호스트의 C&C 서버에 대한 통신을 알려주는 과도한 4XX 코드 식별
인증
  • sslCertificateSubject
  • sslCertificateValidNotBefore
  • sslCertificateValidNotAfter
  • sslCetificateSerialNumber
  • sslCertificateSignatureAlgorithm
  • sslCertificateSubjectPubAlgorithm
  • sslCertificateSubjectPubKeySize
  • sslCertificateSubjectAltName
  • sslServerNameIndication
  • sslServerVersion
  • 네트워크의 만료된 인증 식별
  • 네트워크의 자체 서명된 인증 식별
  • 약한 암호 알고리즘을 이용해 인증 식별
  • 인증 제목 필드의 불일치 식별(제목 필드가 웹사이트 도메인명과 불일치 할 경우)
CDP
  • Device ID
  • Port ID
  • TTL
  • Platform
  • SW Version
  • Native VLAN ID
  • Capabilities
  • Network Prefix Address
  • Network Prefix Mask
  • Interface Address
  • Management Address
  • IP 주소 대신 소스 또는 목적지 머신 유형 식별 (예: Catalyst 6000 스위치)
  • 네트워크 내 트래픽의 물리적 위치 식별로 문제 해결 시간 단축
LLDP
  • Chassis IP
  • Port ID
  • TTL
  • Port Description
  • System Name
  • System Description
  • Management Address
  • Capabilities Available
  • Capabilities Enabled
  • VLAN Name
  • Port VLAN ID
  • Management VLAN ID
  • Link Aggregation ID
  • Link Aggregation Status
  • MTU
  • IP 주소 대신 소스 또는 목적지 머신 유형 식별
  • 네트워크 내 트래픽의 물리적 위치 식별로 문제 해결 시간 단축
SIP 송신자 및 수신자 정보 출처
  • INVITE
  • ACK
  • BYE
  • REGISTER
  • OPTIONS
  • CANCEL requesttypes
  • SIP 호출용 IP 주소 외에 소스 및 목적지 송신자 정보 확보

리소스

Video

네트워크 메타데이터 사례 비디오

Video

인증 메타데이터 비디오

White Paper

9가지 메타데이터 사용 사례 백서

White Paper

보안 백서를 위한 메타데이터 효과 활용하기