2020년 심층 패킷 검사를 위한 5가지 최고의 도구
네트워크 모니터링 및 심층 패킷 분석 도구
네트워크 관리는 복잡하고 까다로운 작업입니다. 네트워크 트래픽은 눈에 보이지 않는 구리 케이블이나 광섬유 내부에서 발생하기 때문에 관리자가 네트워크 상황을 명확하게 파악하기 어렵습니다. 이때 필요한 것이 바로 네트워크 모니터링입니다. 네트워크 모니터링은 다양한 수준으로 제공되며, 각 수준은 트래픽에 대한 추가 정보를 제공합니다. 이 중 심층 패킷 분석은 네트워크 트래픽에 대한 가장 많은 정보를 제공하는 최상위 모니터링 방식입니다. 심층 패킷 분석을 수행하려면 적합한 도구가 필요하며, 이 글에서는 심층 패킷 분석에 유용한 몇 가지 주요 도구를 살펴보겠습니다.
심층 패킷 분석에 대해 먼저 알아보겠습니다. 심층 패킷 분석은 네트워크 모니터링과 밀접한 관련이 있으며, 다양한 관점에서 해석될 수 있습니다. 여기에서는 일반적인 모니터링과 함께 흐름 분석을 살펴봅니다. 특히 널리 사용되는 Cisco의 NetFlow 기술을 자세히 살펴보고 심층 패킷 분석에 가장 적합한 도구를 검토해 보겠습니다.
심층 패킷 분석이란 무엇인가?
심층 패킷 분석(Deep Packet Inspection, DPI)은 단순히 패킷 헤더를 넘어 데이터 패킷의 내용까지 분석하여 네트워크 트래픽에 대한 통계를 수집하거나 필터링, 우선순위 지정, 침입 탐지 등의 목적으로 활용하는 기술입니다. 심층 패킷 분석은 목적에 따라 다양한 방식으로 수행될 수 있습니다. 예를 들어, 통계 수집을 위한 심층 패킷 분석은 트래픽 필터링을 위한 심층 패킷 분석과 다릅니다. 이 글에서는 주로 통계 수집에 초점을 맞추고, 고급 모니터링 도구를 중심으로 살펴보겠습니다.
네트워크 모니터링 도구 개요
네트워크 모니터링 또한 명확하게 정의하기 어려운 용어입니다. 가장 기본적인 형태는 대역폭 모니터링이며, 주로 단순 네트워크 관리 프로토콜(SNMP)을 사용합니다. 대역폭 모니터링은 네트워크 사용률을 파악하는 데 유용하지만, 어떤 요소가 대역폭을 사용하는지에 대한 세부 정보는 제공하지 않습니다.
네트워크 트래픽에 대한 정확한 정보를 얻으려면 흐름 분석이 필요합니다. 흐름 분석은 대역폭 모니터링보다 훨씬 자세한 정보를 제공합니다. 네트워크 장치는 흐름 데이터를 수집하여 수집기 또는 분석기로 전송하고, 여기서 데이터는 의미 있는 방식으로 해석 및 표시됩니다. 흐름 분석을 통해 네트워크 트래픽이 소스와 대상 간에 어떻게 분산되는지, 어떤 프로토콜과 트래픽 유형이 사용되는지 등을 확인할 수 있습니다.
흐름 분석은 헤더 정보를 넘어 네트워크에서 전송되는 실제 데이터에 대한 정보를 분석하므로 심층 패킷 분석으로 간주될 수 있습니다. 흐름 분석 기술 중 가장 널리 사용되는 것은 Cisco의 NetFlow입니다.
NetFlow 기술 상세 분석
Cisco Systems에서 개발한 NetFlow는 라우터 인터페이스를 통해 들어오고 나가는 IP 네트워크 트래픽 정보를 수집하는 기술입니다. 초기에는 접근 제어 목록(ACL)을 개선하는 데 사용되었지만, 현재는 본격적인 모니터링 기술로 발전했습니다. NetFlow는 장치에서 수집한 흐름 데이터를 수집기로 전송하여 분석합니다.
NetFlow는 크게 세 가지 구성 요소로 이루어져 있습니다. 첫째, 흐름 내보내기는 패킷을 흐름으로 집계하고, 흐름 레코드를 하나 이상의 흐름 수집기로 보냅니다. 둘째, 흐름 수집기는 흐름 데이터를 수신, 저장, 전처리합니다. 셋째, 흐름 분석기는 수신된 흐름 데이터를 분석하여 트래픽 프로파일링, 네트워크 문제 해결 등에 활용합니다. 최신 시스템에서는 수집기와 분석기가 통합된 경우가 많습니다.
NetFlow 작동 원리
NetFlow를 지원하는 모든 장치는 흐름 데이터를 흐름 레코드 형식으로 출력하여 NetFlow 수집기로 보낼 수 있습니다. 흐름은 IP 수준에서 완전한 대화를 의미하며, 특정 인터페이스를 통해 여러 흐름이 동시에 발생할 수 있습니다. 네트워크 장치는 흐름이 완료되면(에이징 또는 TCP 세션 종료) 흐름 레코드를 수집기로 전송합니다.
흐름 레코드에는 입력 및 출력 인터페이스, 흐름 시작 및 종료 타임스탬프, 바이트 및 패킷 수, 레이어 3 헤더, 소스 및 대상 IP 주소와 포트 번호, IP 프로토콜, 서비스 유형(TOS) 값 등 다양한 정보가 포함되어 있습니다. 중요한 점은 흐름 레코드에는 실제 데이터가 아닌 흐름에 대한 정보만 포함된다는 것입니다. 이는 보안 측면에서 매우 중요합니다.
흐름 레코드를 수집하는 수집기는 대부분 분석기 역할도 합니다. 대규모 네트워크 환경에서는 여러 사이트에 분산된 수집기를 사용할 수도 있습니다. 수집기와 분석기는 흐름 레코드 정보를 사용하여 네트워크 관리자가 네트워크 트래픽을 이해하는 데 필요한 데이터를 제공합니다. 주요 차이점은 데이터를 의미 있게 해석하고 표시하는 방식입니다.
심층 패킷 분석을 위한 최적의 도구
모니터링 관점에서 흐름 분석은 심층 패킷 분석의 한 형태입니다. 이 글에서 소개하는 도구들은 사실상 NetFlow 분석기입니다. 일부 도구는 전체 모니터링 솔루션의 일부로 제공되기도 합니다.
1. SolarWinds NetFlow 트래픽 분석기 (무료 평가판)
SolarWinds는 네트워크 및 시스템 관리 분야에서 선도적인 소프트웨어 개발 회사입니다. 주력 제품인 SolarWinds Network Performance Monitor는 최고의 네트워크 대역폭 모니터링 도구 중 하나로 인정받고 있습니다. SolarWinds는 무료 고급 서브넷 계산기, 무료 syslog 서버 등 다양한 무료 도구도 제공합니다. SolarWinds NetFlow Traffic Analyzer(NTA)는 최고의 NetFlow 수집기 및 분석기 중 하나입니다.
SolarWinds NetFlow 트래픽 분석기는 애플리케이션, 프로토콜, IP 주소 그룹별로 대역폭 사용을 모니터링할 수 있습니다. Cisco NetFlow 외에도 Juniper J-Flow, sFlow, Huawei NetStream 및 IPFIX 등 다양한 흐름 분석 기술을 지원하여 어떤 애플리케이션과 프로토콜이 대역폭을 가장 많이 사용하는지 파악할 수 있습니다. 이 도구는 트래픽 데이터를 수집하여 사용자 친화적인 형식으로 웹 기반 대시보드에 표시합니다. Cisco NBAR2를 지원하여 대역폭 사용량이 많은 애플리케이션과 카테고리를 식별하여 네트워크 트래픽 가시성을 높입니다.
SolarWinds NetFlow 트래픽 분석기는 Network Performance Monitor(NPM)의 애드온 기능입니다. NPM 라이선스가 없는 경우 추가 비용이 발생할 수 있습니다. NPM 라이선스는 최대 100개 요소에 대해 $2,955부터 시작하며, NTA 애드온 라이선스는 NPM 라이선스의 노드 수와 일치해야 하며 $1,915부터 시작합니다. 구매하기 전에 SolarWinds에서 무료 평가판을 이용해 볼 수 있습니다.
2. SolarWinds 실시간 NetFlow 분석기 (무료 다운로드)
소규모 솔루션이 필요한 경우 SolarWinds Real-Time NetFlow Analyzer가 적합할 수 있습니다. SolarWinds의 무료 도구 중 하나인 이 분석기는 NetFlow Traffic Analyzer만큼 강력하지는 않지만 일부 기본 기능을 제공합니다.
흐름 데이터를 실시간으로 캡처하고 분석하여 네트워크 트래픽 유형과 트래픽의 시작 및 도착지를 파악할 수 있습니다. 또한 트래픽 급증을 진단하고 대역폭 문제를 해결하는 데에도 활용할 수 있습니다.
이 도구를 사용하면 대역폭을 가장 많이 사용하는 사용자, 장치, 애플리케이션을 식별할 수 있습니다. 또한 대화, 앱, 도메인, 엔드포인트 및 프로토콜별로 네트워크 트래픽을 분리하여 유형 및 기간별로 확인할 수 있습니다.
물론 무료 소프트웨어이므로 모든 기능을 기대할 수는 없습니다. 제약 사항이 있으며, 네트워크의 현재 및 최근 상태를 중심으로 정보를 제공합니다. 하나의 NetFlow 인터페이스에서만 데이터를 수집하며, 지난 60분 동안의 데이터만 유지하고 분석합니다.
대역폭 사용량을 빠르게 확인하고 싶다면 SolarWinds 무료 Real-Time NetFlow Analyzer가 좋은 선택이지만, 그 이상의 기능은 기대하기 어렵습니다.
3. ManageEngine NetFlow 분석기
ManageEngine은 네트워크 관리 도구 분야에서 잘 알려진 또 다른 기업입니다. ManageEngine NetFlow Analyzer는 네트워크 관리자에게 트래픽 패턴과 네트워크 대역폭 활용에 대한 자세한 정보를 제공합니다. 웹 기반 인터페이스를 통해 다양한 네트워크 정보를 제공하며, 다양한 보기 옵션을 제공합니다.
애플리케이션, 대화, 프로토콜 등 다양한 기준으로 트래픽을 확인할 수 있으며, 잠재적인 문제 발생 시 알림을 설정할 수 있습니다. 예를 들어 특정 인터페이스의 트래픽 임계값을 설정하고, 이를 초과할 때마다 알림을 받도록 설정할 수 있습니다.
ManageEngine NetFlow Analyzer의 가장 큰 장점은 보고서와 대시보드입니다. 문제 해결, 용량 계획, 청구 등 특정 목적에 맞게 사용자 정의된 다양한 사전 구성 보고서를 제공합니다. 사용자 지정 보고서를 직접 만들 수도 있습니다. 대시보드는 상위 애플리케이션, 상위 프로토콜, 상위 대화 등 원형 차트와 히트맵 형태의 인터페이스 상태를 표시합니다. 알림은 대시보드에서 팝업 형태로 표시됩니다. 스마트폰 앱을 통해 대시보드와 보고서에 액세스할 수 있어 이동 중인 네트워크 관리자도 유용하게 사용할 수 있습니다.
NetFlow, IPFIX, J-flow, NetStream 등 다양한 흐름 기술을 지원하며, Cisco 장치와 뛰어난 통합을 제공하여 트래픽 형성 및 QoS 정책을 직접 조정할 수 있습니다.
ManageEngine NetFlow Analyzer는 두 가지 버전으로 제공됩니다. 무료 버전은 두 개의 인터페이스만 모니터링할 수 있지만, 30일 동안은 모든 기능을 이용할 수 있습니다. 평가 기간이 끝나면 100~2500 인터페이스를 지원하는 다양한 크기의 라이선스를 구매할 수 있으며, 가격은 약 $600부터 시작하며 연간 유지 관리 비용이 추가됩니다.
4. Paessler 라우터 트래픽 그래퍼 (PRTG)
Paessler의 PRTG는 대역폭 사용량 모니터링을 주요 목표로 하는 통합 솔루션입니다. 다양한 네트워크 리소스의 가용성과 상태를 모니터링하는 데에도 사용됩니다. PRTG는 NetFlow 센서를 통해 NetFlow 수집기와 분석기 역할도 수행할 수 있습니다.
PRTG는 단순한 대역폭 모니터링 도구나 NetFlow 수집기 및 분석기가 아닌, 다양한 기술을 사용하여 시스템, 장치, 트래픽 및 애플리케이션을 모니터링하는 통합 솔루션입니다. SNMP, WMI, Windows 성능 카운터, SSH, NetFlow, sFlow, 패킷 스니핑, HTTP 요청, REST API, Ping, SQL 등 다양한 기술을 지원합니다.
PRTG 설치는 간단하며, 자동 검색 기능을 통해 장치를 검색하고 센서를 설정할 수 있습니다. NetFlow 수집기와 같은 추가 센서는 수동으로 추가할 수 있습니다. Paessler 웹사이트에서 자세한 비디오를 통해 사용 방법을 확인할 수 있습니다.
서버는 Windows에서만 실행되지만, 사용자 인터페이스는 웹 기반으로 모든 브라우저에서 액세스할 수 있습니다. 스마트폰 모바일 클라이언트 앱도 제공하며, 모바일 클라이언트 앱에는 QR 레이블을 생성하여 장치에 부착할 수 있는 기능이 있습니다. 모바일 앱으로 QR 코드를 스캔하면 장치의 센서 데이터를 빠르게 확인할 수 있습니다.
PRTG는 두 가지 버전으로 제공됩니다. 100개의 센서로 제한되는 무료 버전이 있으며, 100개 이상의 센서가 필요한 경우 라이선스를 구매해야 합니다. PRTG의 센서는 장치가 아닌 모니터링할 수 있는 기본 요소입니다. 예를 들어 48포트 스위치의 각 포트를 모니터링하려면 48개의 센서가 필요하며, NetFlow 수집 및 분석에는 흐름 내보내기당 하나의 센서가 필요합니다. 100개 센서가 많지 않을 수도 있습니다. 유료 버전은 500, 1000, 2500, 5000개의 센서 또는 무제한 라이선스를 제공하며, 가격은 약 $1,600에서 $15,000 사이입니다. 무료 버전은 처음 30일 동안 센서 제한 없이 사용할 수 있습니다.
5. 스크루티나이저
마지막으로 소개할 도구는 Plixer의 Scrutinizer입니다. Scrutinizer는 고급 NetFlow 분석기이며, 일부에서는 완전한 사고 대응 시스템으로 간주합니다. NetFlow, J-flow, NetStream, IPFIX 등 다양한 흐름 유형을 지원하므로 Cisco 장치에 국한되지 않습니다.
Scrutinizer는 효율적인 데이터 수집을 위한 계층적 디자인을 자랑하며, 작은 규모에서 초당 수백만 개의 흐름까지 확장할 수 있습니다. 네트워크 문제가 발생할 때 네트워크가 원인으로 지목되는 경우가 많지만, Scrutinizer를 사용하면 네트워크 문제의 실제 원인을 빠르게 찾을 수 있습니다. 물리적 환경과 가상 환경에서 모두 작동하며, 고급 보고 기능을 제공합니다.
Scrutinizer는 기본 무료 버전부터 초당 1천만 개 이상의 흐름을 지원하는 SCR 수준까지 4가지 라이선스 계층으로 제공됩니다. 무료 버전은 초당 10,000개의 흐름으로 제한되며, 원시 흐름 데이터는 5시간 동안만 유지되지만, 네트워크 문제를 해결하는 데 충분한 정보를 제공합니다. 또한 30일 동안 라이선스 계층을 사용할 수 있으며, 이후 무료 버전으로 되돌아갑니다.