네트워크 트래픽 확인 방법

주요 콘텐츠로 건너뛰기

이 브라우저는 더 이상 지원되지 않습니다.

최신 기능, 보안 업데이트, 기술 지원을 이용하려면 Microsoft Edge로 업그레이드하세요.

네트워크 트래픽이 인증되었는지 확인

• 아티클
• 10/26/2022
• 읽는 데 7분 걸림
• 적용 대상:✅ Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022

이 문서의 내용

인증을 요구하지 않고 요청하도록 도메인 격리 규칙을 구성한 후에는 네트워크의 디바이스에서 보낸 네트워크 트래픽이 예상대로 IPsec 인증으로 보호되고 있는지 확인해야 합니다. 모든 디바이스가 올바른 GPO를 수신하고 적용하기 전에 인증을 요구하도록 규칙을 전환하거나 규칙에 오류가 있는 경우 네트워크의 통신이 실패할 수 있습니다. 먼저 인증을 요청하도록 규칙을 설정하면 진단하고 문제를 해결하는 동안 인증에 실패한 모든 네트워크 연결이 명확한 텍스트로 계속될 수 있습니다.

이러한 절차에서는 배포한 규칙이 올바르게 작동하는지 확인합니다. 다음 단계는 작업 중인 영역에 따라 달라집니다.

• 기본 도메인 격리 영역. 기본 도메인 격리 IPsec 규칙을 요청 모드에서 필요 모드로 변환하기 전에 네트워크 트래픽이 디자인에 따라 보호되는지 확인해야 합니다. 작업을 시작할 때 인증을 요구하지 않고 요청하도록 규칙을 구성하면 기본 모드 인증 또는 빠른 모드 무결성 및 암호화 규칙이 제대로 작동하지 않는 경우에도 네트워크의 디바이스가 계속 통신할 수 있습니다. 예를 들어 암호화 영역에 특정 암호화 알고리즘이 필요한 규칙이 포함되어 있지만 해당 알고리즘이 클라이언트의 보안 방법 조합에 포함되지 않은 경우 해당 클라이언트는 빠른 모드 보안 연결을 성공적으로 협상할 수 없으며 서버는 클라이언트의 네트워크 트래픽 수락을 거부합니다. 먼저 요청 모드만 사용하면 규칙을 배포한 다음 네트워크 트래픽을 검사하여 통신 손실의 위험 없이 예상대로 작동하는지 확인할 수 있습니다.

• 경계 영역. 경계 영역 GPO에서 작업하는 경우 IPsec의 올바른 작업을 확인하는 것이 마지막 단계입니다. GPO를 언제든지 필요한 모드로 변환하지 않습니다.

• 암호화 영역. 기본 격리 영역과 마찬가지로 영역 멤버에 대한 네트워크 트래픽이 제대로 인증되고 암호화되었는지 확인한 후에는 영역 규칙을 요청 모드에서 필요 모드로 변환해야 합니다.

참고

이 절차에 표시된 단계 외에도 Microsoft 네트워크 모니터와 같은 네트워크 트래픽 캡처 도구를 사용할 수도 있습니다. 네트워크 모니터 및 유사한 도구를 사용하면 디바이스에서 네트워크 어댑터에서 받은 네트워크 패킷을 캡처, 구문 분석 및 표시할 수 있습니다. 이러한 도구의 현재 버전에는 IPsec에 대한 모든 지원이 포함됩니다. 암호화된 네트워크 패킷을 식별할 수 있지만 암호를 해독할 수는 없습니다.

관리 자격 증명

이러한 절차를 완료하려면 도메인 관리자 그룹의 구성원이거나 GPO를 수정할 수 있는 권한을 위임해야 합니다.

고급 보안 콘솔에서 Windows Defender 방화벽을 사용하여 네트워크 연결이 인증되었는지 확인하려면

1. 고급 보안 콘솔을 사용하여 Windows Defender 방화벽을 엽니다.

2. 탐색 창에서 모니터링을 확장한 다음 연결 보안 규칙을 클릭합니다.

   세부 정보 창에는 현재 디바이스에 적용되는 규칙이 표시됩니다.

3. 규칙 원본 열을 표시하려면

   1. 작업 창에서 보기를 클릭한 다음 열 추가/제거를 클릭합니다.

   2. 사용 가능한 열 목록에서 규칙 원본을 선택한 다음 추가를 클릭합니다.

   3. 위로 이동 및 아래로 이동 단추를 사용하여 순서를 다시 정렬합니다. 마치면 확인을 클릭합니다.

      새로 추가된 열로 목록을 새로 고치는 데 몇 분 정도 걸릴 수 있습니다.

4. 이 디바이스에 적용될 것으로 예상되는 GPO의 규칙에 대한 목록을 검사합니다.

   참고: 규칙이 목록에 표시되지 않으면 GPO 보안 그룹 및 GPO에 적용되는 WMI 필터 문제를 해결합니다. 로컬 디바이스가 적절한 그룹의 구성원이며 WMI 필터의 요구 사항을 충족하는지 확인합니다.

5. 탐색 창에서 보안 연결을 확장한 다음 기본 모드를 클릭합니다.

   다른 디바이스와 협상된 기본 모드 연결의 현재 목록이 세부 정보 열에 표시됩니다.

6. 로컬 디바이스와 원격 디바이스 간의 세션에 대한 기본 모드 보안 연결 목록을 검사합니다. 첫 번째 인증 방법 및 두 번째 인증 방법 열에 예상 값이 포함되어 있는지 확인합니다. 규칙이 첫 번째 인증 방법만 지정하면 두 번째 인증 방법 열에 인증 없음이 표시됩니다. 행을 두 번 클릭하면 보안 연결에 대한 자세한 내용과 함께 속성 대화 상자가 나타납니다.

7. 탐색 창에서 빠른 모드를 클릭합니다.

8. 로컬 디바이스와 원격 디바이스 간의 세션에 대한 빠른 모드 보안 연결 목록을 검사합니다. AH 무결성, ESP 무결성 및 ESP 기밀성 열에 예상 값이 포함되어 있는지 확인합니다.

안녕하세요!

이번 포스팅에서는 Network Monitor 설치 및 사용 방법에 대해 알아보겠습니다.

Network Monitor (Netmon)는 네트워크 트래픽을 분석할 수 있는 Microsoft 의 네트워크 모니터링 툴 입니다.

먼저 설치 방법 입니다.

https://www.microsoft.com/en-us/download/details.aspx?id=4865 사이트에서, Microsoft Network Monitor 3.4 (archive) 를 다운로드 합니다.

설치할 OS 비트에 맞는 파일에 체크 후 Next 를 클릭 합니다.

실행 을 클릭 합니다.

Microsoft Network Monitor 창에서, 예 를 클릭 합니다.

Microsoft Network Monitor 3.4 Setup - 3.4.2350.0 창에서,  Next 를 클릭 합니다.

End-User License Agreement 화면에서, I accept the terms in the License Agreement 선택 후 Next 를 클릭 합니다.

Choose Setup Type 화면에서, Typical 그림을 클릭 합니다.

Ready to Install 화면에서, Install 을 클릭 합니다.

Completing the Setup Wizard 화면에서, Finish 를 클릭 합니다.

바탕화면의 Microsoft Network Monitor 3.4 아이콘에서 우클릭 후 관리자 권한으로 실행 을 클릭 합니다.

Microsoft Network Monitor 실행 화면 입니다.

다음은 간략한 사용 방법에 대해 알아보겠습니다.

네트워크 트래픽을 캡쳐 하기 위해 New Capture 를 클릭 합니다.

Start 를 클릭 하여 네트워크 트래픽 캡쳐 를 시작 합니다.

Stop 을 클릭 하여 캡쳐를 중지 합니다.

Network Conversations 에 네트워크 트래픽 캡쳐시 동작한 프로그램 이 나열되여 있습니다.

Network Conversations 에서 특정 프로그램을 클릭 하면 Frame Summary 에서 특정 프로그램의 네트워크 트래픽만을 확인할 수 있습니다.

본 포스팅에서는 OneDrive.exe(4388) 을 클릭 하였습니다.

작업 관리자 창에서 OneDrive.exe 의 PID 가 4388 임을 확인 하고, 위 Network Conversations 의 해당 프로그램 옆에 있는 숫자가 PID 임을 알수 있습니다.

OS 가 동작하면서 발생하는 기타 트래픽은 Other Traffic 으로 구분되여져 있습니다.

캡쳐한 트래픽을 저장하기 위해, Save As 를 클릭 합니다.

다른 이름으로 저장 창에서, 저장할 폴더 지정 후 파일 이름 입력 후 저장 을 클릭 합니다.

Capture1 탭에서 우클릭 후 Close This Tab 을 클릭 합니다.

저장한 캡쳐 파일을 열기 위해, Open Capture 를 클릭 합니다.

열기 창에서, 저장한 캡쳐 파일 선택 후 열기 를 클릭 합니다.

정상적으로 캡쳐 파일이 열림을 확인 합니다.

간단히 실습과 함께 네트워크 트래픽을 분석 해 보겠습니다.

Start 를 클릭 합니다.

명령 프롬프트 창에서, KT DNS 로 핑 명령어를 실행 합니다.

Stop 을 클릭 합니다.

작업 관리자 창에서, cmd.exe 의 PID 가 6520 임을 확인 합니다.

Network Conversations 에 cmd.exe 는 없습니다. 모든 프로그램이 Network Conversations 화면에 나오지는 않는것 같습니다.

Display Filter 에서 icmp 입력 후 Apply 를 클릭 합니다.

Frame Summary 에서, Protocol Name 이 ICMP 인 항목으로만 필터링 되였음을 확인할 수 있습니다.

IPv4.SourceAddress == 168.126.63.1 입력 후 Apply 를 클릭 합니다.

Source 가 168.126.63.1 인 항목으로 필터링 되였습니다.

이상으로 Network Monitor 설치 및 사용 방법에 대해 알아보았습니다.

감사합니다!