<>Netflow
넷플로우는 시스코에서 개발한 네트워크 모니터링 용도의 프로토콜로써 기존의 SNMP를 활용한 대역폭측정 기반의 모니터링과 다른 프로우 기반의 좀더 상세한 정보를 모니터 할수있도록 개발된 기술이다.
여기서 정의하는 Flow란 말그대로 패킷의 흐름으로써, 크게는 출발지와 목적지 그리고 세부적으로 어떤 형태의 패킷을 주고
받는가를 설명한다. SNMP도 특정 MIB값을 이용해 일부 모니터가 가능하지만, 대역폭이 커질수록 리소스가 급격히 증가하는
단점이 있다.
몇몇 기능을 살펴보면,
(1) 가장 많이 접속했거나, 대역폭을 사용한 외부 호스트 정렬 - 이를 통해 트래픽을 유발하는 특정 호스트 적발 가능
(2) 각 프로토콜별 사용량 측정 - 비정상적으로 많은 트래픽을 유발하는 어플리케이션 적발
(3) 그외 인터페이스 대역폭 점유현황, COS 분석, 네트워크 변화분석 모니터등 다양
이를 통해 플로우 모니터링을 활용한 QOS정책 적용, 또는 각종 DOS공격 방어, 위협탐지에 효과적으로 대처할수 있게 된다.
무료로 배포되는 넷플로우 로그 수집 프로그램은 넷상에서 쉽게 찾을수 있다.
UDP 2055 를 사용하며, 9555, 9995 등도 사용된다.
1. Netflow 작동 방식
넷플로우는 먼저, flow정보를 cache로 운반한다. 이때 미리 설정된 flow 타이머에 따라 쪼개서 전송하거나 비활성 타이머가
종료된 flow를 운반하게된다. cache에 저장된 플로우를 netflow export가 원격 서버등의 flow collector로 UDP로 전송한다.
collector가 받은 Flow를 통계, 정렬 하여 유저에게 전달한다.
2. Version
시스코에서 발표한 넷플로운 버전은 v1 ~ 9 까지 존재하나 실제 사용되는 버전은 v5와 v9이다.
V5 - 가장 널리 상용화된 IPv4 지원 넷플로우이다. 장비 기본값
V9 - IPv6 와 MPLS 플로우 수집을 지원한다.
2. Configuration (V5)
(1) cef를 활성화하고 인터페이스에서 route-cache flow 를 활성화한다. 상위 IOS 버전은 기본적으로 CEF와 route-cache
가 활성화되어있으므로 별도의 설정이 필요없다.
(3) destinaion 명령을 통해 netflow 원격 서버 주소를 지정한다.
source 주소를 설정하고 netflow ver 5로 설정
(4) timeout active 는 수집할 플로우 정보를 쪼갤 시간단위를 말한다. 보통 가장 짧은 1분을 권장한다.
inactive는 내보낼 플로우 텀을 설정한다. 기본값은 15초인데 보통 200초 이하로 잡는것을 권장한다.
(5) 추가적으로 ifindex persist 명령은 로그 수집 프로그램으로 인터페이스 이름을 업데이트 할경우 정확한 이름을 업데이
트하도록 한다.
V9은 설정이 V5과 상이하며 여기서는 생략