Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
67페이지
보안
액세스 방법 가이드
NetFlow 특성
표 4에는 NetFlow 프로브를 통해 수집되는 일부 특성이 나와 있습니다.
표
2 NetFlow 프로브 특성
IN_BYTES IN_PKTS
FLOWS
PROTOCOL SRC_TOS
TCP_FLAGS
L4_SRC_PORT IPV4_SRC_ADDR SRC_MASK
L4_DST_PORT IPV4_DST_ADDR DST_MASK
IPV4_NEXT_HOP LAST_SWITCHED
L4_DST_PORT IPV4_DST_ADDR DST_MASK
IPV4_NEXT_HOP LAST_SWITCHED
FIRST_SWITCHED
OUT_BYTES OUT_PKTS
IPV6_SRC_ADDR
IPV6_DST_ADDR IPV6_SRC_MASK
IPV6_DST_MASK
IPV6_FLOW_LABEL ICMP_TYPE
DST_TOS
IN_SRC_MAC OUT_DST_MAC
SRC_VLAN
DST_VLAN IP_PROTOCOL_VERSION
DIRECTION
ISE 프로파일링 서비스에서 NetFlow는 일반적으로 생성되는 트래픽을 기반으로 엔드포인트를 식별하는 데
사용됩니다. 반면에, 특정 엔드포인트가 해당 엔드포인트의 특성에 해당하지 않는 트래픽을 생성하는 것처럼
보이는 경우 비정상적인 동작 표시기를 제공할 수 있습니다. 예를 들어 IP 전화기가 NetFlow 특성에 반영된
것처럼 443번 포트의 원격 대상과 갑자기 통신을 시작할 때 엔드포인트가 초기에 프로파일링된 경우
비정상적인 조건 및 잠재적인 스푸핑 공격용 악성코드를 나타냅니다. 그러나 ISE 프로파일링 서비스는
NetFlow와 함께 사용할 경우 안티 스푸핑 기능 또는 솔루션 역할을 하지 못한다는 점에 유의하십시오.
사용됩니다. 반면에, 특정 엔드포인트가 해당 엔드포인트의 특성에 해당하지 않는 트래픽을 생성하는 것처럼
보이는 경우 비정상적인 동작 표시기를 제공할 수 있습니다. 예를 들어 IP 전화기가 NetFlow 특성에 반영된
것처럼 443번 포트의 원격 대상과 갑자기 통신을 시작할 때 엔드포인트가 초기에 프로파일링된 경우
비정상적인 조건 및 잠재적인 스푸핑 공격용 악성코드를 나타냅니다. 그러나 ISE 프로파일링 서비스는
NetFlow와 함께 사용할 경우 안티 스푸핑 기능 또는 솔루션 역할을 하지 못한다는 점에 유의하십시오.
엔드포인트의 명확한 분류에 초점을 맞추는 경우 NetFlow는 범용 하드웨어가 미션별 기능에 가장 유용하게
사용될 수 있습니다. 그에 따라 엔드포인트를 고유하게 분류하는 유일한 정보가 트래픽과 관련이 있습니다.
이러한 디바이스 유형의 예에는 제조 또는 의료 업계에 사용되는 디바이스가 있습니다. 예를 들어 병원의 심장
모니터는 표준 하드웨어 기술을 이용하는 내장형 Windows OS 또는 강화된 Linux 커널을 사용할 수 있지만,
매우 특정한 프로토콜, 포트 및 대상에서 통신하는 애플리케이션을 실행할 수 있습니다. 이러한 엔드포인트
유형의 경우 NetFlow가 실행 가능한 유일한 옵션일 수 있습니다.
사용될 수 있습니다. 그에 따라 엔드포인트를 고유하게 분류하는 유일한 정보가 트래픽과 관련이 있습니다.
이러한 디바이스 유형의 예에는 제조 또는 의료 업계에 사용되는 디바이스가 있습니다. 예를 들어 병원의 심장
모니터는 표준 하드웨어 기술을 이용하는 내장형 Windows OS 또는 강화된 Linux 커널을 사용할 수 있지만,
매우 특정한 프로토콜, 포트 및 대상에서 통신하는 애플리케이션을 실행할 수 있습니다. 이러한 엔드포인트
유형의 경우 NetFlow가 실행 가능한 유일한 옵션일 수 있습니다.
Step 21
일반적으로 무작위로 NetFlow를 활성화하거나 NetFlow 프로브를 범용 프로파일링 방법으로
사용하는 것은 권장되지 않습니다. NetFlow는 사용되는 플랫폼은 물론 NetFlow 컨피그레이션 및
트래픽 양에 따라 디바이스 리소스에 부정적인 영향을 미칠 수 있으므로 구축 시 주의해야 합니다.
또한 하나 이상의 소스에서 대량의 트래픽을 지속적으로 전송할 경우 NetFlow는 ISE 정책 서비스
노드에 과부하를 야기할 수도 있습니다. 다른 ISE 프로브와 달리, NetFlow 프로브는 데이터 수집 및
데이터베이스 효율성을 최적화하는 특성 필터를 지원하지 않습니다.
사용하는 것은 권장되지 않습니다. NetFlow는 사용되는 플랫폼은 물론 NetFlow 컨피그레이션 및
트래픽 양에 따라 디바이스 리소스에 부정적인 영향을 미칠 수 있으므로 구축 시 주의해야 합니다.
또한 하나 이상의 소스에서 대량의 트래픽을 지속적으로 전송할 경우 NetFlow는 ISE 정책 서비스
노드에 과부하를 야기할 수도 있습니다. 다른 ISE 프로브와 달리, NetFlow 프로브는 데이터 수집 및
데이터베이스 효율성을 최적화하는 특성 필터를 지원하지 않습니다.
Step 22
네트워크 디바이스에서 사용하는 경우 NetFlow를 ISE 정책 서비스 노드로 내보내려면 NetFlow
버전 5보다 버전 9가 권장됩니다. 버전 9는 Flexible NetFlow는 물론 수집되어 NetFlow 프로브로
내보내지는 흐름 데이터를 필터링할 수 있는 수많은 개선 사항을 지원합니다. 샘플링된 NetFlow는
전반적인 트래픽 양을 줄일 수 있지만, 일부 시나리오에서는 NetFlow 프로브가 모든 흐름을
인식해야 하므로 샘플링으로는 모든 프로파일링 요구 사항을 충족하지 못할 수 있습니다.
버전 5보다 버전 9가 권장됩니다. 버전 9는 Flexible NetFlow는 물론 수집되어 NetFlow 프로브로
내보내지는 흐름 데이터를 필터링할 수 있는 수많은 개선 사항을 지원합니다. 샘플링된 NetFlow는
전반적인 트래픽 양을 줄일 수 있지만, 일부 시나리오에서는 NetFlow 프로브가 모든 흐름을
인식해야 하므로 샘플링으로는 모든 프로파일링 요구 사항을 충족하지 못할 수 있습니다.