IT Story: centos

구글 이나 AWS 등의 Public Cloud 를 사용하는 경우, 또 해외 등에 IDC를 운영할 경우 터미널이나 중요한 포트 접근시 중계서버를 거치거나 공인IP를 통해 접속을 해야하는 경우가 발생하게 된다.

이 경우 DB 서버나 개인정보등 중요한 데이터를 보관하고 있는 서버는 공인IP가 아닌 사설 IP만으로 통신하게 구성하는것이 안전하다. 이를 위해서는 VPN 가상 사설 망을 구성하여 내부 사설 IP끼리 통신이 가능하도록 구성할 수 있다.

AWS나 구글 클라우드와 같은 유명 클라우드 업체에서는 전용 VPN 솔루션을 제공해 주고 있으며 약간의 비용을 지불하여 해당 VPN을 사용하는 것이 운영 측면에서 훨신 편리하다.
그러나 VPN 을 제공해주지 않는 업체도 있어서 이럴경우에 오픈소스를 활용하여 별도 VPN을 구축하여 사용할 수 있다. 이 글에서는 오픈소스 VPN 중 StrongSwan 에 대해 알아보고 설치 및 설정하는 방법을 설명하려고 한다.

StrongSwan
- StrongSwan은 OpenSource IPsec 기반 VPN 솔루션으로 IKEv1 및 IKEv2 ( RFC 7296 ) 키 교환 프로토콜을 모두 구현하며, 가장 강력한 인증 메커니즘에 포커스를 맟춘 프로젝트 이다.
- 또한 멀티플랫폼 IPSEC을 구현하여, 타사 벤더의 방화벽이나 VPN 장비와 문제 없이 연동이 가능하다.

<구성도 예시 >
아래와 같이 본사 방화벽과 클라우드간 VPN 을 구성하려고 한다.

1. StrongSwan 설치.
- strongswan Repository 추가 및 설치
wget http://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-12.noarch.rpm
rpm -Uvh epel-release-7-12.noarch.rpm
yum install strongswan

2. 패킷 포워딩 활성화
- vi 편집기 로 /etc/sysctl.conf 파일 내용 추가

net.ipv4.ip_forward=1net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.ip_no_pmtu_disc = 1

3. ipsec.conf 터널 파일 설정

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
strictcrlpolicy=no
uniqueids = no
charondebug="cfg 2, ike 2, knl 2"
# Add connections here.
conn officevpn
authby=secret
auto=start
type=tunnel
leftauth=psk
rightauth=psk
left=2.2.2.2 // Local IP Assress
leftsubnet=10.10.10.0/24,10.10.20.0/24 // Local VPN 사용 대역
right=1.1.1.1 // Remote VPN IP
rightsubnet=192.168.0.0/24, 172.16.100.0/24 // Remote VPN 대역 IP
leftfirewall=no
keyexchange=ikev2 // ikev2 사용(Multisubnet 지원)
ike=aes128-sha1-modp2048 // pharse 1 인증 방식 설정.
ikelifetime=28800 // pharse 1 key lifetime
esp=3des-md5-modp2048 // pharse 2 인증 방식 설정.
lifetime=3600 // pharse 2 key lifetime
compress=no
keyingtries=%forever

※ 참고로 MultiSubnet을 사용할 경우 인증키는 ikev1이 아닌 ikev2로 사용을 해야 한다. 확인해본 결과 ikev1은 여러개 서브넷을 지원하지 않고 가장 마지막에 설정한 IP대역만 할당하는 것을 확인하였다.

4. 암호화 인증키 값 설정
인증방법은 인증서를 사용하거나 presharedkey 값을 통한 인증방식이 있으며, 여기서는 presharedkey를 통한 인증 방법을 사용하였다. 추후 기회가 되면 인증서를 활용하는 방법에 대해서도 포스팅을 해 보겠다.
- ipsec.secret 값 설정. ( vi /etc/strongswan/ipsec.secret , 패스워드는 임의의 값 지정. )

1.1.1.1 : PSK "password"
2.2.2.2 : PSK "password"

5. strongswan 시작 및 상태 확인.

- strongswan start
- strongswan statusall

[root@vpn ~]# strongswan statusall
Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.21.3.el7.x86_64, x86_64):
uptime: 2 hours, since Nov 20 10:30:51 2019
malloc: sbrk 2801664, mmap 0, used 624976, free 2176688
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 6
loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters
Listening IP addresses:
2.2.2.2
Connections:
officevpn: 2.2.2.2...1.1.1.1 IKEv2
officevpn: local: [2.2.2.2] uses pre-shared key authentication
officevpn: remote: [1.1.1.1] uses pre-shared key authentication
officevpn: child: 10.10.0.0/16 === 192.168.0.0/24 172.16.100.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
officevpn[3]: ESTABLISHED 2 hours ago, 2.2.2.2[2.2.2.2]...1.1.1.1[1.1.1.1]
officevpn[3]: IKEv2 SPIs: 6fd2c767e22898ba_i 03421dd57066da71_r*, pre-shared key reauthentication in 5 hours
officevpn[3]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
officevpn{6}: INSTALLED, TUNNEL, reqid 2, ESP SPIs: c4dcdcf1_i a88939db_o
officevpn{6}: 3DES_CBC/HMAC_MD5_96/MODP_2048, 6383 bytes_i (67 pkts, 0s ago), 6689 bytes_o (43 pkts, 7s ago), rekeying in 32 minutes
officevpn{6}: 10.10.0.0/16 === 192.168.0.0/24 172.16.100.0/24
[root@vpn ~]#

NTOPNG Ntopng는 기존 Ntop에서 업그레이드 된 버전으로 웹 인터페이스를 통하여 관리 메니징이 가능하며, 훨신 깔끔해지고 보기 편한 UI를 제공한다. 또한 CPU와 메모리 사용량을 감소시켜 자원 활용에도 용이하다.

필자는 가상화에서도 Ntop을 테스트 해 보았는데 무리없이 동작하는 것을 확인하였다. 단 가상화에서의 이슈가 발생하여 물리 서버로 Ntop서버를 설치하였는데.. 가상화 이슈에 대해서는 추후에 포스팅 해 보도록 할 예정이다.

Ntopng 는 유닉스(Lunux, *BSD, and MacOSX) 및 윈도우(including windows7/8) 플랫폼을 모두 지원한다.

Ntopng에 대한 자세한 사항은 홈페이지 참조 : http://www.ntop.org/products/ntop/

Ntop 설치 방법

준비 사항 : NTOP 서버 1대(물리서버), 랜포트 2개 이상

- Management용 1개, 트래픽 모니터링용 1개,

- OS : CentOS6.5 64bit

EPEL6 Repositoiry 추가

yum -y install http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

vi 편집기로 ntop.repo 파일 오픈 후 ntop repository 추가

vi /etc/yum.repos.d/ntop.repo

아래의 내용 추가

[ntop]

name=ntop packages

baseurl=http://www.nmon.net/centos/$releasever/$basearch/

enabled=1

gpgcheck=1

gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri

repository 업데이트 및 ntopng 및 패키지 설치.

yum clean all

yum update

yum install pfring n2disk nProbe ntopng ntopng-data

ntopng.start 파일 수정.

vi /etc/ntopng/ntopng.start

모니터링할 IP 대역 설정.

--local-networks "192.168.0.0/24"

--interface 0

ntopng.conf.sample 파일 복사

cp /etc/ntopng/ntopng.conf.sample /etc/ntopng/ntopng.conf

방화벽에 Ntopng Management Port 허용

vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m tcp -p tcp --dport 3000 -j ACCEPT

방화벽 재시작 및 ntopng 시작

service iptables restart

service redis start

service ntopng start

설정 완료 후 http://ntopserverIP:3000 으로 접속.

기본 ID/PW는 admin/admin

IT Story

2020-01-13

Centos Ansible Install

Strongswan IPSEC-VPN Configuration For CentOS

2019-05-21

Ntopng Install & configuration

NTOPNG Ntopng는 기존 Ntop에서 업그레이드 된 버전으로 웹 인터페이스를 통하여 관리 메니징이 가능하며, 훨신 깔끔해지고 보기 편한 UI를 제공한다. 또한 CPU와 메모리 사용량을 감소시켜 자원 활용에도 용이하다.

Elasticsearch Heap Size