플로우(Flow) 기반의 패킷 정보 모니터링과 네트워크 보안

최근의 네트워크 트래픽은 WWW, FTP, E-MAIL 등과 같은 일부 애플리케이션 중심이었던 과거와는 달리 온라인 게임, 인터넷 뱅킹, VOD, VoIP, P2P 등의 새로운 애플리케이션과 프로토콜의 출현으로 인해 매우 복잡해지고 세분화되는 경향을 보이고 있다. 특히 과도한 트래픽 유발이나 세션을 생성하는 유해 트래픽의 경우, 네트워크 자원 낭비뿐 아니라 시스템 오동작 유발과 다른 시스템 감염 등을 통해 전체 네트워크 장애로 이어질 수 있기 때문에 네트워크 보안 관리는 더욱 중요시되고 있다. 이런 경향을 반영해 최근에는 트래픽 모니터링의 패러다임이 이상 트래픽 모니터링과 현황 분석을 통해 유해 트래픽의 발생지/목적지 확인과 현재 보안 위협수준 정의, 그리고 자동화된 대처를 통해 안정적인 네트워크/서비스 가용성을 확보하는 쪽으로 변화하고 있다.

1. 해당 트래픽으로 하여금 수신자 측에서 해당 트래픽을 수신하고 시스템이 이상 작동하게 되는 공격적 트래픽 혹은 공격 정보

2. 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽 혹은 데이터 흐름 

3. 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단 시키는 행위를 하기 위한 트래픽

4. 수신자의 네트워크 상태나 각종 시스템의 정보를 알아내기 위해서 임의의 트래픽을 생성하여 수신자로 하여금 각종 네트워크 정보를 추출하기 위한 트래픽

5. 각종 어플리케이션 레벨에서 비 정상적으로 생성하여 타 어플리케이션 혹은 타 운영체제 운영을 방해하거나 비정상적인 행위를 유도하기 위한 트래픽

일정 규모 이상의 네트워크를 운영하고 있는 사이트에서 최근 가장 이슈가 되고 있는 것 중 하나가 비약적으로 증가하는 유해 트래픽이다. 유해 트래픽은 정상적인 네트워크 운용이나 서비스 운영을 방해하는 악의적 공격성 패킷과 웜/바이러스, 그리고 P2P 애플리케이션 등으로 분류할 수 있는데, 이와 같은 트래픽의 급속한 확산은 네트워크에 직접적인 피해를 유발할 뿐 아니라, 최근에는 내부 정보 유출로까지 이어지고 있어 심각성이 나날이 증가하고 있다.
특히, 내부의 특정 시스템에서 발생하는 과도한 트래픽으로 인한 패킷 로스(Packet Loss) 등으로 인해 전체 네트워크가 불안정하게 동작하거나 영향을 받는 사례가 최근 들어 자주 발생하고 있다. 이는 대개 은밀히 설치된 웜/바이러스나 봇(BOT)에 의한 경우가 많으며 이런 현상은 최근 중요성이 부각되고 있는 내부 네트워크 구간에서의 보안과 밀접한 연관이 있다.
특히 최근에는 내부 애플리케이션 서버가 타깃이 되고 있는 DRDOS가 있으며, 제한적으로 설치된 무선 네트워크 구간을 경유한 위협도 감지되고 있는데, 네트워크 경계 부분에 설치된 파이어월, 바이러스월, IDS 등은 안정적으로 동작하고 있지만, 이런 문제 해결에는 큰 도움이 되지 않는 것으로 보인다.

네트워크 관리자라면 이런 유해 트래픽의 발생지와 원인 분석 작업을 위해 IDS/IPS와 NMS, MRTG, 스니퍼, 보안스캐너와 같은 다양한 보안 도구들이 이용될 수 있지만, IDS/IPS와 같은 보안 솔루션은 네트워크 경계지점에 설치되기 때문에 내부 네트워크 구간 보안 이슈에 대해서는 기능이 제한적이며, 스니퍼나 보안 스캐너는 사후 분석에 가까운 도구다. 또한, MRTG나 SNMP를 활용한 트래픽 모니터링은 전체 네트워크의 변화나 추이 분석에는 효과적이지만, 관리자가 필요로 하는 과도한 트래픽을 유발하는 특정 호스트 검색이나 전체 트래픽에서 특정 서비스/애플리케이션 분류나 분석과 같은 세부적인 정보 제공은 불가능하다.
과거에는 트래픽 관리 작업이 주로 MRTG나 NMS를 이용해 전체 트래픽을 모니터링 하고 장애 발생시 신속한 복구와 처리 등 사후 관리에 집중됐었다. 하지만, 점차 네트워크 주요 지점에서 수집된 세부 정보를 바탕으로 장애가 발생하기 전 사전 감지와 자동화된 제어와 같은 능동형 솔루션이 필수적으로 요구되는 상황이다.

이와 같은 솔루션은 트래픽 정보만을 제공하는 MRTG나 SNMP만으로는 구현할 수 없기 때문에 별도의 모니터링 시스템이 필요하다. 전체 네트워크 트래픽에 대한 상세한 모니터링을 위해서는 모든 트래픽이 통과하는 백본 네트워크 구간에 탭(Tap)이나 프로브(Probe)를 설치하거나 백본 라우터에서 제공하는 플로우(Flow) 정보를 이용해야만 한다. 현재 이런 기능을 전문적으로 수행하는 솔루션을 TMS(Threat Management System)이라고 한다.

플로우(Flow)는 두 종단간의 패킷 집합을 의미하며, 일정 시간 동안의 출발지 IP, 목적지 IP, 출발 포트, 목적 포트 및 프로토콜 등과 같은 항목으로 정의되는데, 최근 네트워크 트래픽 분석에 있어 관심이 증대되고 있는 것 중 하나가 이런 플로우(Flow)를 이용한 모니터링 기법이다.
네트워크 트래픽을 플로우 기반으로 분류하면 패킷 레벨에서는 불가능한 세부적인 트래픽 분석이 가능할 뿐 아니라, 동일한 패턴을 단일 플로우로 저장하는 압축 효과가 있기 때문에 대용량 트래픽을 운용하는 네트워크 환경에서도 매우 효율적이다. 네트워크 환경에서 이같은 트래픽 플로우 정보를 얻기 위한 방법은 크게 두 가지가 있는데, 라우터나 스위치에서 생성된 플로우 정보를 받아오는 것과 모니터링 시스템 자체적으로 프로브와 같은 수집기를 이용, 트래픽 정보를 수집해 플로우를 생성하는 방법이 있다.

TMS가 필요한 기능으로는 네트워크 트래픽을 분석함에 있어 상세 분석보다는 빠른 분석을 통해 이상 트래픽 여부를 판단하고, 가능성이 높은 트래픽에 대해 상세 분석을 수행하는 방식이 요구된다. 수집된 네트워크 트래픽 데이터의 축약 정리(reduction)을 수행함으로써 상세분석을 위한 트래픽 범위를 좁힐 필요가 있고, 이는 성능 및 기능에 많은 영향을 미친다.

TMS의 주요 핵심적인 기능으로는 다음이 있다.
 트래픽 in, out 또는 other로 구분 기능
 IP 클래스별 또는 인터페이스 전체 트래픽 분류 기능
 전체 트래픽에서 프로토콜(TCP, UDP, ICMP 등)별 트래픽 분류 기능
 전체 TCP 트래픽에서 각 애플리케이션(HTTP, SMTP, POP3) 포트별 트래픽 분류 기능
 전체 트래픽에서 BPS(Bit per Second), PPS(Packet Per Second)와 FPS(Flow Per Second)추이 분석 기능
 전체 트래픽에서 패킷 사이즈 분류 기능
 전체 트래픽에서 TCP 플래그별 트래픽 분류 기능
 SRC IP, DST IP, PROTOCOL, DST PORT, TCP FLAG에 대한 동일 Flow 분석 기능
 트래픽 트랜드 통계 분석을 통한 학습 및 고정 임계값 분석 기능
 HOST SCAN, PORT SCAN 분석 기능
 네트워크 장비 자동 제어 기능

위 기능은 현재 넷크루즈에서 개발한 트래픽위협관리 제품에 모두 구현된 기능이며 고객 사이트에서 운영 중이다. 넷크루즈 위협관리시스템에 대한 자세한 기술적 내용은 다음 호에서 알아보도록 하겠다.

참고 사이트 
[1] http://blog.pages.kr/246

참고 논문
[1]오승희, 김기영, “네트워크 과다 트래픽 탐지 메커니즘”

 

 

 

 

 

 

 

 

출처 : http://www.netcruz.co.kr/newsletter/vol13/tech_insight.htm