1. PacketFence
- 네트워크 노드를 관리하고 모니터링
- PacketFence는 네트워크에 접속 단말기들을 제어하는데 이런 H/W, S/W 장비를 NAC(Network Access Control)로 부른다.
- NAC는 노드 포트의 플러그인(인터페이스) 체크와 사용자 인증을 수행해서 유/무선으로 누가, 언제, 어느 서비스에 접속하는지 통제한다.
- 이 도구를 사용하려면 Snort, MySQL, Apache, PHP, Perl, 그리고 Perl Modules 패키지 등이 있어야 한다.
대규모 조직에서는 스위치 장비에서의 망분리 기법인 VLAN(Virtual LAN)을 사용해서 노드들을 VLAN 별로 관리하고 네트워크 상황을 모니터링하고, 중소규모 조직에서는 Untangle을 사용하지만 어느 정도 큰 규모의 조직에서도 이 PacketFence로 NAC를 훌륭히 수행시킬 수 있다.
PF(PacketFence)는 두 가지 모드로 작동하는데 Inline 모드는 소규모에서 작동되며 PF가 게이트웨이와 스위치 역할을 하고,
VLAN Enforcement 모드는 대규모에서 작동되는데 노드의 MAC 주소를 검사해서 인증된 노드는 Registration(등록) VLAN으로 보내고 감염되거나 이상 행동을 보이는 머신은 Isolation(격리) VLAN에 보내서 활동을 막는다. 관리 호스트는 Managed VLAN이 된다. Registered VLAN에 호스트 등록은 MAC이나 hostname, IP 주소 등으로 할 수 있다.
VLAN은 하나의 라우터 내에서 여러 호스트들을 한 두 대의 스위치 장비에 연결 한 뒤, 물리적인 스위치 연결과는 무관하게(위 그림에서 VLAN 20과 VLAN 30은 각각 스위치 2와 스위치 3에 연결된 머신이 혼합되어 있다) 가상으로 묶어서 VLAN 10, VLAN 20,... 식으로 별도의 네트워크를 형성한다. VLAN도 엄연히 네트워크이며 VLAN끼리 서로 네트워크가 다르므로 VLAN 끼리의 통신은 라우터를 통해야 하는데 VMware가 가상머신들에 대해서 라우터와 스위치의 역할을 하기 때문에 실습에 문제가 없다.
[+] 실습
시나리오 : centos 2(web)는 30번 centos1는 29번 (방화벽)
- 호스트 온리로 네트워크 카드 2개로 잡아놓고
웹 서버 추가 dnf -y install httpd
echo "<h1> web server </h1> > /var/html/index.html
service httpd start
filewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --reload
lptabesl -nL
- centos1에서 web서버인 centos2로 접속 확인
- centos 2에서 네트워크 추가
- ifcfg파일 복사 (cp -arp ifcfg-[기존 IP] ifcfg-[신규 IP])
> 복사 이후 파일 내용 수정 vi /etc/sysconfig/network-scripts/ifcfg-ens
- iptables -t nat PREROUTING -p tcp -i ens36 --dport 80 -j DNAT --to-destintion 192.168.100.131
- 서비스 저장 및 서비스 service iptables save && service iptable
- iptables -t nat -nL
2. ASG(Astaro Security Gateway)
- 이 ASG는 Linux 기반 소프트웨어 방화벽으로 오픈 소스지만 매우 강력한 종합적인 보안 관리 기능을 한다.
- 실습에서는 종합 UTM 도구로써 NIC가 3개 필요
> eth0 VMnet0(Bridged) : external WAN
> eth1 VMnet8(NAT) : management =>192.168.2.0 (관리 목적 / GW)
> eth2 VMnet1(Host-Only) : internal LAN
[+] 설치
- step 별로 설치되는 것을 확인할 수 있다. iso파일을 빼고 reboot 시켜준다.
-리부팅된 화면
[+] 메인 화면
- webadmin(초기설정) / 로그인 페이지
- ASG 접속 후 Dashboard
[+] interfaces & Routing 설정
- new interface을 해서 인터페이스(NIC) 추가
- 최종 설정된 NIC을 확인할 수 있다. 외부로 나가는 GW 192.168.2.1로 설정하여 관리 가능
[+] DNS -> Forwarders
> 외부로 나가는 GW 설정
> Use forwarders assigned by ISP 체크 해제하고 + 눌러서 DNS를 별도 추가도 가능하다.
방화벽의 경우 외부에서 내부로 들어오는 것은 어렵지만, 내부에서 외부로 나가는 것은 관대
[+] firewall 설정
- new Rule 선택 후 source의 폴더를 누르면 왼쪽의 메뉴가 추가된다.
- 내부(LAN)에서 외부로 나갈 때 누구든지(Any)
> action에 Allow로 설정되어 있다.
- Sources에 오른쪽메뉴 중 외부(Any)로 나갈 수 있도록 설정
-아래 advanced를 클릭하여 로그를 볼 수 있다.
- 추가된 룰을 확인할 수 있다. 버튼을 통해 룰을 On/Off 할 수 있다.
[+] 트래픽 룰 설정 (NAT)
- New masqueradiong Rule을 클릭하여 네트워크
> interface : External으로 설정
- External 내부에서 외부로 나가는 룰을 정렬
- 설정이 완료된 후 Windows로 이동
> 설정 : 네트워크를 Host-only로 설정한 뒤
> cmd에서 ipconfig을 통해 네트워크를 확인하면, IP주소가 변경되었고 GW를 192.168.33.150으로 변경해야 한다.
- GW를 수정한 이후 인터넷에 접속되는 것을 아래와 같이 확인할 수 있다.
[+] 내부에서 외부로 못 나가도록 설정(방화벽)
- dashboard -> network protection -> firewall
- 모든 사용자(any)들이 서비스(HTTP)를 이용하지 못하도록 설정하여도 position asc가 적용되어 있다.
> 내림차순으로 적용된다. 즉, position에서 순위를 설정할 수 있다.
> 우선순위 변경
- windows에서 웹사이트(http)로 접속하려고 하면 방화벽 설정으로 인해 접속할 수 없는 것을 확인할 수 있다.
> 다만, FTP, ping과 같은 서비스는 허용되어 있어 이용이 가능하다.
[+] 침입 방지 시스템(IPS) 설정
- Global ==> 활성화 후 로컬 네트워크 모두(any)로 설정할 수 있다.
- anti-DOS
> 체크를 추가하여 DOS 공격 대응할 수 있다.
- anti-portscan
> 활성화하여 포트 스캔 방지
- windows에서 ping / tracert을 사용하여 접속하려고 하였으나 접속할 수 없다.
- 또 칼리에서 패킷이 DROP 되는 것을 확인할 수 있다.
과제 : 교재 보고 PacketFence와 Endian, Untangle
'소소한 IT이야기 > 클라우드' 카테고리의 다른 글
| [Linux_20] 네트워크 모니터링 툴 / 관리자 명령어 (3) | 2023.01.27 |
|---|---|
| [Linux_17] IDS,IPS,네트워크 모니터링 (2) | 2023.01.25 |
| [Linux] CentOS 9 Stream (0) | 2023.01.25 |
