2020-01-13

Strongswan IPSEC-VPN Configuration For CentOS


구글 이나 AWS 등의 Public Cloud 를 사용하는 경우, 또 해외 등에 IDC를 운영할 경우 터미널이나 중요한 포트 접근시 중계서버를 거치거나 공인IP를 통해 접속을 해야하는 경우가 발생하게 된다.

 이 경우 DB 서버나 개인정보등 중요한 데이터를 보관하고 있는 서버는 공인IP가 아닌 사설 IP만으로 통신하게 구성하는것이 안전하다. 이를 위해서는 VPN 가상 사설 망을 구성하여 내부 사설 IP끼리 통신이 가능하도록 구성할 수 있다.

  AWS나 구글 클라우드와 같은 유명 클라우드 업체에서는 전용 VPN 솔루션을 제공해 주고 있으며 약간의 비용을 지불하여 해당 VPN을 사용하는 것이 운영 측면에서 훨신 편리하다.  
 그러나 VPN 을 제공해주지 않는 업체도 있어서 이럴경우에 오픈소스를 활용하여 별도 VPN을 구축하여 사용할 수 있다. 이 글에서는 오픈소스 VPN 중 StrongSwan 에 대해 알아보고 설치 및 설정하는 방법을 설명하려고 한다. 

StrongSwan
  - StrongSwan은 OpenSource IPsec 기반 VPN 솔루션으로 IKEv1 및 IKEv2 ( RFC 7296 ) 키 교환 프로토콜을 모두 구현하며, 가장 강력한 인증 메커니즘에 포커스를 맟춘 프로젝트 이다.
  - 또한 멀티플랫폼 IPSEC을 구현하여, 타사 벤더의 방화벽이나 VPN 장비와 문제 없이 연동이 가능하다.

<구성도 예시 >
 아래와 같이 본사 방화벽과 클라우드간 VPN 을 구성하려고 한다. 


1. StrongSwan 설치.
  - strongswan Repository 추가 및 설치
     wget http://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/e/epel-release-7-12.noarch.rpm 
     rpm -Uvh epel-release-7-12.noarch.rpm 
     yum install strongswan

2. 패킷 포워딩 활성화
  - vi 편집기 로 /etc/sysctl.conf 파일 내용 추가

net.ipv4.ip_forward=1net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.ip_no_pmtu_disc = 1

3. ipsec.conf 터널 파일 설정

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
    strictcrlpolicy=no
    uniqueids = no
    charondebug="cfg 2, ike 2, knl 2"
# Add connections here.
conn officevpn
    authby=secret
    auto=start
    type=tunnel
    leftauth=psk
    rightauth=psk
    left=2.2.2.2          // Local IP Assress 
    leftsubnet=10.10.10.0/24,10.10.20.0/24  // Local VPN 사용 대역
    right=1.1.1.1       // Remote VPN IP
    rightsubnet=192.168.0.0/24, 172.16.100.0/24  // Remote VPN 대역 IP
    leftfirewall=no
    keyexchange=ikev2         // ikev2 사용(Multisubnet 지원)
    ike=aes128-sha1-modp2048    // pharse 1 인증 방식 설정.
    ikelifetime=28800             // pharse 1 key lifetime
    esp=3des-md5-modp2048     // pharse 2 인증 방식 설정.
    lifetime=3600                 // pharse 2 key lifetime
    compress=no
    keyingtries=%forever

※ 참고로 MultiSubnet을 사용할 경우 인증키는 ikev1이 아닌 ikev2로 사용을 해야 한다. 확인해본 결과 ikev1은 여러개 서브넷을 지원하지 않고 가장 마지막에 설정한 IP대역만 할당하는 것을 확인하였다. 

4. 암호화 인증키 값 설정
 인증방법은 인증서를 사용하거나 presharedkey 값을 통한 인증방식이 있으며, 여기서는 presharedkey를 통한 인증 방법을 사용하였다. 추후 기회가 되면 인증서를 활용하는 방법에 대해서도 포스팅을 해 보겠다.
 - ipsec.secret 값 설정. ( vi /etc/strongswan/ipsec.secret , 패스워드는 임의의 값 지정. )

1.1.1.1 : PSK "password"
2.2.2.2 : PSK "password"

5. strongswan 시작 및 상태 확인.

 - strongswan start
 - strongswan statusall 


[root@vpn ~]# strongswan statusall
Status of IKE charon daemon (strongSwan 5.7.2, Linux 3.10.0-957.21.3.el7.x86_64, x86_64):
  uptime: 2 hours, since Nov 20 10:30:51 2019
  malloc: sbrk 2801664, mmap 0, used 624976, free 2176688
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 6
  loaded plugins: charon pkcs11 tpm aesni aes des rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 chapoly xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-sim eap-aka eap-aka-3gpp eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp led duplicheck unity counters
Listening IP addresses:
  2.2.2.2
Connections:
   officevpn:  2.2.2.2...1.1.1.1  IKEv2
   officevpn:   local:  [2.2.2.2] uses pre-shared key authentication
   officevpn:   remote: [1.1.1.1] uses pre-shared key authentication
   officevpn:   child:  10.10.0.0/16 === 192.168.0.0/24 172.16.100.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
   officevpn[3]: ESTABLISHED 2 hours ago, 2.2.2.2[2.2.2.2]...1.1.1.1[1.1.1.1]
   officevpn[3]: IKEv2 SPIs: 6fd2c767e22898ba_i 03421dd57066da71_r*, pre-shared key reauthentication in 5 hours
   officevpn[3]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
   officevpn{6}:  INSTALLED, TUNNEL, reqid 2, ESP SPIs: c4dcdcf1_i a88939db_o
   officevpn{6}:  3DES_CBC/HMAC_MD5_96/MODP_2048, 6383 bytes_i (67 pkts, 0s ago), 6689 bytes_o (43 pkts, 7s ago), rekeying in 32 minutes
   officevpn{6}:   10.10.0.0/16 === 192.168.0.0/24 172.16.100.0/24
[root@vpn ~]#

DHCP Snooping - 비인가 DHCP 사용 차단.


사내 네트워크 운영하다보면 사용자 부주의 혹은 허용되지 않은 공유기등을 통해서 내부에 DHCP가 도는 경우가 종종 발생하게 된다.
  이를 방지할 수 있는 방법으로 Cisco 장비에서 지원하는 DHCP Snooping 기능이 있어서 소개하고자 한다. 
 1. DHCP Snooping
   - Snooping 은 '기웃거리다, 염탐하다' 라는 의미로, dhcp snooping은 dhcp 패킷의 내용을 중간에서 엿보는 것처럼 탐지 하여 DHCP 응답이 오면 차단을 하는 기능이다.
  - 각 인터페이스에 대해 신뢰여부를 판단하여 신뢰하지 않는 인터페이스에 대해서는 DHCP 응답 패킷을 모두 차단하여 불법 DHCP 서버등으로 부터의 공격을 차단할 수 있다.
2. 스위치 설정 방법
SW#conf t
SW(config)#ip dhcp snooping
SW(config)#ip dhcp snooping vlan [vlan id]
SW(config)#interface range gigabitEthernet 0/1 ~ 10  
SW(config)#ip dhcp snooping limit rate [num]
SW(config)#interface gigabitEthernet 0/24
SW(config)#ip dhcp snooping trust
- ip dhcp snooping
   : dhcp snooping 기능 활성화. 
- ip dhcp snooping vlan [vlan id]
   : dhcp snooping 기능을 사용할 Vlan을 정해준다. 기본적으로 모든 인터페이스는 신뢰할 수 없는 인터페이스가 된다. 
- interface range gigabitEthernet 0/1 ~ 10
- ip dhcp snooping limit rate [num]
   : 신뢰하지 않는 인터페이스에 들어가서 초당 dhcp 패킷 수를 조정한다. 혹시 내부에서 dos 공격이 있을 경우 차단하기위한
    옵션이다. 
- interface gigabitEthernet 0/24 
- ip dhcp snooping trust
   : 사용하는 dhcp 서버가 연결되어 있는 인터페이스가 있다면 신뢰 인터페이스로 변경해 준다. 
3. DHCP Snooping 상태 확인
SW#sh ip dhcp snooping  
Switch DHCP snooping is enabled
Switch DHCP gleaning is disabled
DHCP snooping is configured on following VLANs:
1
DHCP snooping is operational on following VLANs:
1
DHCP snooping is configured on the following L3 Interfaces:

Insertion of option 82 is enabled
   circuit-id default format: vlan-mod-port
   remote-id: 6c6c.d38d.c280 (MAC)
Option 82 on untrusted port is not allowed
Verification of hwaddr field is enabled
Verification of giaddr field is enabled
DHCP snooping trust/rate is configured on the following Interfaces:
Interface                  Trusted    Allow option    Rate limit (pps)
-----------------------    -------    ------------    ----------------   
GigabitEthernet0/24        yes        yes             unlimited  
Custom circuit-ids:
SW#

SW#sh ip dhcp snooping statistic
  Packets Forwarded                                     = 106
 Packets Dropped                                         = 0
 Packets Dropped From untrusted ports       = 0
SW#

MRTG Log 파일 분석


네트워크 트래픽 모니터링 도구 MRTG 를 실행하면 아래와 같은 Format으로 Log 파일이 생성된다. 


첫번째 줄 ( 3 Number )
 가장 최근에 실행된 시간(기준:1970.1.1/초단위)  //  ifIlnOctets 로 부터 가져온 값  //  ifOutOctets 로 부터 가져온 값
Timestamp 변환 방법 : 

 excel : 
 =(x+y)/86400+DATE(1970,1,1)

perl :
 perl -e 'print scalar localtime(x),"\n"'
     x: timestamp        y: the offset in seconds from UTC  (우리나라 9시간)   >
두번째 줄 ( 5 number ) 
  1st column  : 최근에 실행된 시간으로 일정 시간의 간격으로 증가한다. 5분 간격으로 실행이 되도록 설정이 되어
                       있으며, 300초가 차이가 난다. 
  2nd column : 수신된 트래픽의 평균 값(Incoming) ( byte/sec ) . 이 값은 현재 라인의 값과 이전 라인의 값의
                       평균값으로 계산된다. 
  3rd column : 송신된 트래픽의 평균 값(outgoing) ( byte/sec ) . 계산방법은 위와 동일. 
  4th column : 수신된 트래픽의 최대값으로 현재 측정되는 간격중에서 갱신된 값중의 최대값으로 계산된다. 만약
                      현재의 간격이 1시간이고 5분마다 갱신이 된다면 1시간동안 5분마다 갱신된 값중에 가장 큰 값이
                      선정된다. 
  5th column : 현재 간격에서 송신된 트래픽의 최대 값. 계산 방법은 위와 동일. 

CIDR (Classless Inter-Domain Routing)


CIDR (Classless Inter-Domain Routing)


  CIDR[사이더]는 도메인간의 라우팅에 사용되는 인터넷 주소를, 원래의 IP 주소 클래스 체계를 쓰는 것보다 더욱 융통성 있도록 할당하고, 지정하는 방식 중 하나이다. 

  그 결과로, 활용 가능한 인터넷 주소의 숫자가 크게 증가되었다. CIDR는 이제 인터넷 백본 네트웍 상에서 실질적으로 모든 게이트웨이 호스트에 의해 사용되는 라우팅 시스템이다. 인터넷 조정기관들에서는 이제 라우팅을 위해 모든 ISP들이 CIDR를 사용하기 바라고 있다.

  원래의 인터넷 프로토콜은 클래스 A에서 클래스 D에 이르는 네 개의 주요 클래스 내에서 IP 주소를 정의한다. 이러한 클래스 각각은 32 비트 인터넷 주소 형식의 한 부분을 네트웍 주소에 할당하며, 남은 부분은 그 주소에 의해 지정된 네트웍 내에 있는 특정 호스트에 할당한다. 가장 광범위하게 사용되는 클래스 중 하나가 클래스 B인데, 이는 최대 65,533대의 호스트를 지정할 수 있는 주소 공간이 할당된다. 그러나, 만일 254개 이상 65,533개 이하의 호스트 주소가 필요한 회사인 경우에는, 본질적으로 할당된 주소 블록의 대부분을 낭비하게 된다. 바로 이러한 이유 때문에, CIDR가 사용되기 전까지는 실제 필요한 것보다 인터넷 주소 공간이 더 빨리 고갈되고 있었다. CIDR는 라우터 내에서 네트웍 주소를 지정하는데 있어 새롭고 더욱 유연한 방법을 제공함으로써 이런 문제점을 효과적으로 해결한다 (인터넷 프로토콜의 새로운 버전인 IPv6에서는 128 비트의 주소공간 할당이 가능하므로, 인터넷상에서 사용 가능한 주소공간이 크게 늘었다. 그러나, IPv6가 널리 보급되기 위해서는 어느 정도의 기간이 필요하다).

CIDR를 사용하면, 각 IP 주소들은 네트웍 게이트웨이의 집단, 또는 개별 게이트웨이를 확인하는 네트웍 접두어를 갖는다. 네트웍 접두어의 길이도 IP 주소의 일부로서 지정되며, 필요한 비트 수에 따라 가변적이다. 많은 목적지 후보들을 묘사하고 있는 행선지 IP 주소는 더 짧은 접두어를 가지며, 조금 덜 상세한 것이라고 말할 수 있다. 좀더 긴 접두어는 행선지 게이트웨이를 좀더 명확하게 기술한다. 라우터는 패킷을 전달할 때 라우팅 테이블 내에서 가장 명확하고, 긴 네트웍 접두어를 사용하도록 요구된다

CIDR 네트웍 주소는 다음과 같은 형태로 나타내어 진다.

 192.30.250.0/18




여기서 "192.30.250.0"은 네트웍 주소 그 자체이며, "18"이라는 것은 처음 18 비트가 네트웍 주소 부분이고, 나머지 14 비트가 특정한 호스트 주소라는 것을 가리킨다. CIDR는 공중전화시스템이 네트웍의 특정 구역으로 향하는 통화를 보내기 위해 지역번호를 사용하는 것처럼, 하나의 라우팅 테이블 내용이, 특정 게이트웨이 상에 지정될 필요가 없는 전달 경로 내의 네트웍 집단을 표현할 수 있게 한다. 단일 주소 내에 있는 이 네트웍 집단은 때로 수퍼넷이라고도 불린다. CIDR는 널리 사용되고 있는 EGP인 BGP-4에 의해 지원된다 (좀 오래된 EGP, IGP, RIP 등은 CIDR를 지원하지 않는다). CIDR는 OSPF IGP에 의해서도 지원된다.

네트워크 모니터링 툴 - NTOP





다소 추상적으로 들릴 수 있겠지만 네트워크를 구축, 운영, 관리하다보면 담당자는 ‘최소’와 ‘최대’사이에서 많은 고민에 빠지게 된다. ‘최소’라 함은 ping이나 traceroute, MRTG 등을 이용해 주로 네트워크의 연결 여부와 사용량 정도 등을 확인하고 모니터링하는 수준이고, ‘최대’라 함은 주로 대규모 사이트에서 별도의 네트워크 담당자가 대형화면을 통해 Domain Manager나 오픈뷰, 유니센터TNG 등 고가의 NMS를 활용해 네트워크 상태 분석과 품질 추이까지를 모두 분석하는 수준을 의미한다.
이는 네트워크의 경우뿐만 아니라 시스템 관리에도 마찬가지인데, 물론 어느 분야에서나 이런 고가의 툴이 없다고 관리가 불가능한 것도 아니고, 있다고 하더라도 단순히 장애여부 외의 용도에 활용하지 못한다면 무용지물이다. 따라서 이 두가지의 중간 수준에서 담당자들에게 꼭 필요한 기능만을 제공하면서도 부담이 없는 도구에 대한 필요성이 날로 높아지고 있다. 시스템 분야에서는 이같이 꼭 필요한 기능만 제공해 널리 사용되는 TOP이라는 툴이 있으며, 네트워크 분야에서 TOP의 역할을 하겠다는 NTOP 또한 네트워크 분야에서 폭넓게 사용되고 있다.
활용 목적에 따른 설치 방법
먼저 NTOP을 사용하기위한 설치단계에서 관리자는 활용할 목적을 미리 정해야 한다. 즉, NTOP을 활용하는 방식으로 특정 시스템 단위로 인/아웃바운드되는 트래픽에 대한 상세분석을 원할 경우와, 네트워크 전반에 흐르는 트래픽을 분석할 경우가 있다. 이같은 방식의 차이에 따라 설치하는 환경을 다르게 해야 원하는 결과를 얻을 수 있기 때문이다.
먼저 특정 시스템 단위의 상세 분석을 위해서는 NTOP 프로그램을 해당 시스템에 직접 설치하면 되고, 후자의 경우에는 NTOP 전용 시스템을 별도로 지정해서 설치하는 것이 바람직하다. 스위칭 환경의 네트워크 구성(일반적인 구성)이라면, 백본이나 WAN-LAN 연결지점의 스위치에서 미러링 포트를 잡아 NTOP 전용으로 연결하거나 네트워크 TAP 장비를 이용해 모든 포트를 경유하는 트래픽을 NTOP의 모니터링 NIC으로 전달하도록 구성해야 한다. 이때 트래픽량에 따른 NTOP 시스템의 하드웨어 사양에 대한 고려가 필수적이며(예를 들어 기가비트 환경이라면, 64비트 PCI/66Mhz이상의 슬롯이 지원되는 시스템), 여유가 있을 경우에는 ‘NetFlow’라는 플러그인을 이용해 여러 네트워크의 복사된 트래픽들을 복수의 인터페이스에 각각 연결하면 통합 관리 환경에서 인터페이스별로 각각의 리포팅이 가능하다.

NTOP 프로그램 설치
NTOP은 소스코드까지 완전히 공개돼 있을뿐 아니라 운영체제 플랫폼에 독립적인 구조로 코딩돼 있어 리눅스나 유닉스 환경뿐 아니라 윈도우 환경까지 지원한다. 다만 Win32 바이너리의 경우에는 상용화돼 있기 때문에 별도로 구매해야 한다.
따라서 대부분 유닉스나 리눅스에 설치하게 되며, 이때 리포팅에 필요한 gd-1.8.3 이상, libpng-1.2.4 이상, zlib-1.1.4와 패킷 캡처를 위한 libcap 등 동작에 필요한 필수 라이브러리가 많기 때문에 리눅스 기반에서 바이너리 패키지로의 설치방식을 권장한다. 설치를 위해 소스를 컴파일하고 복잡한 준비과정을 거치는 것은 그리 효과적인 일이 아니기 때문이다.
리눅스 환경에서는 www.ntop.org에서 제공하는 rpm 패키지로 설치하고, 솔라리스의 경우는 sunfreeware.com에서 지원되는 바이너리 패키지 파일로 설치하면 된다.
다음은 각 운영체제에서의 설치 방법이다.
★ 솔라리스 : pkgadd -d ./(디렉토리명)/ntop.2.2(패키지명)
★ 리눅스 : rpm --install ./(디렉토리명)/ntop.2.2.rpm
★ 윈도우 : ntop-2.2(demo).exe 실행(설치 단계에서 pcap 2.3이 함께 설치된다)
★ 소스 설치 : pcap.2.2.gz를 압축 해제하고 tar를 푼 다음 해당디렉토리에서 ./configure;make;make install 하면 된다.  설치후 관리환경에 접속하기 위해서는 ‘Interactive Mode’라 불리는 유닉스 셸의 CLI 화면을 통해 텍스트 기반으로 접속하거나 웹브라우저를 통해 관리포트(default: 3000번)로 접속해 GUI로 된 관리 메뉴에 접속할 수 있다.
주로 실시간 분석이 꼭 필요한 경우를 제외하고는 웹 관리 화면으로 접속하면 더 풍부한 데이터와 리포트를 통해 많은 정보를 얻을 수 있다. 이때 NTOP에서 제공하는 웹 엔진은 인증 등 보안 요소가 없기 때문에 보안에 문제를 일으킬 수 있다(인가받지 않은 사용자가 NTOP의 관리 환경에 접속).
이때에는 방화벽을 통해 인가된 IP만 관리 포트에 접속하게 한다거나 NTOP을 사설 IP로 구성한 다음 공인 IP의 아파치 서버를 프록시로 구성해 연결한 후 아파치를 통해 인증을 받은 후 사용하게 할 수 있다. 이같은 경우는 인가된 사용자만 뒷단의 NTOP 서버의 컨텐츠를 이용할 수 있도록 네트워크를 구성할 수 있다.
NTOP의 내부 구조
NTOP은 크게 네트워크에서 패킷을 수집하는 ‘Packet Sniffer’, 수집된 패킷을 필터링하고 분석하는 ‘Packet Analyzer’, 그리고 분석한 자료를 관리자가 읽을 수 있도록 보고서를 만드는 ‘Report Engine’으로 구성돼 있다.
특히 패킷 캡처와 패킷 필터링 기능의 상당부분을 libcap(unix)이나 pcap(win32)를 활용하기 때문에 플랫폼에 종속적이지 않고 작으면서도 다양한 시스템에 포팅할 수 있도록 구성돼 있다. 또한 이같은 범용 패킷 캡처 라이브러리가 작은 버퍼를 가지고 있어 패킷 로스가 발생하는 것을 보완하기 위해 애플리케이션 레벨에서 충분한 2차 버퍼를 만들어 제공한다.
또한 ‘Packet Analyzer’ 모드에서는 기존의 IP 레벨로 노드를 구분하고, 부가정보로 MAC 등을 제공하는 것이 아니라 MAC 기반으로 노드를 분석한다. 따라서 TCP/IP 외에도 OSPF, IPX, Appletalk, UDP, STP 등 다양한 프로토콜에 대해 원활하게 지원할 수 있다. 그리고 ‘Report Engine’에서는 앞서 언급했듯이 웹기반 관리모드와 실시간 데이터가 갱신되는 셸에서의 CLI를 제공해 ‘Packet Analyzer’에서 분석한 데이터를 가공해 보여준다.

NTOP의 주요 기능
모든 설치 과정을 마치고 NTOP의 관리환경에 접속하면, 상단의 기능 탭에서 ‘total’, ‘Recv’, ‘Sent’, ‘Stats’, ‘IP Traffic’, ‘IP protocol’, ‘Admin’ 등을 확인할 수 있다(그림 1).
(그림
먼저 Total 메뉴에서는 NTOP이 설치된 시스템(이하 NTOP 스테이션)에 인/아웃바운드 되는 모든 트래픽에 대해 노드별로 정렬해 전체 프로토콜, TCP/UDP, 처리량, 호스트 상태 등을 확인할 수 있는 화면이 제공되고, 원하는 프로토콜별, 호스트별, 시간별로 정렬할 수 있다(그림 2). 특히 TCP/UDP의 경우에는 telnet, ftp, mail 등을 비롯해 메신저, edonkey, kazaa등 기존의 잘 알려진 서비스에 대해서도 미리 분류돼 있기 때문에 네트워크 관리자가 쉽게 각 서비스별 통계를 확인할 수 있다(그림 3). 또한 호스트 상태는 시간대별로 시스템의 총 트래픽에 대한 통계를 제공해 어느 시간대에 얼마나 사용했는지 확인할 수 있다(그림 4).
(그림
(그림
(그림
‘Recv’와 ‘Sent’에서는 ‘Total’에서 합한 인바운드와 아웃바운드 트래픽에 대해 구분해 정보를 제공하고, ‘Stats’에서는 시스템에 맺어진 세션을 중심으로 세션을 물고 있는 노드들의 상세정보, 트래픽 통계, 네트워크 부하 그래프, 멀티캐스트에 대한 통계를 확인할 수 있다.
(그림
또한 ‘IP traffic’과 ‘IP Protocol’에 대한 별도의 상세메뉴에서는 라우팅과 어드레스 네이밍 등 TCP/IP 네트워크 송신에 가장 중요한 IP 프로토콜에 대한 일반적인 통계 정보 외에도 상세하고 고급 가공 데이터를 제공한다(그림 5). 이를 통해 현재 맺어진 네트워크 세션에 대한 상세 정보와 네트워크 관리자가 쉽게 로컬의 인가/비인가 라우터를 찾아낼 수 있는 기능, VLAN 등에 대한 데이터 수집과 잘못된 설정 등을 찾아낼 수 있도록 해주는 등 다양하게 활용할 수 있다.
(그림

NTOP의 활용
이런 NTOP의 기능들은 얼핏 단순하게 여겨질 수 있으나, 네트워크 관리자가 실시간 또는 짧은 시간동안의 트래픽 분석에 필요한 정보와 통계를 충분히 제공하기 때문에, 구성된 네트워크에 대해 진단할때 편리하게 이용할 수 있다.
NTOP은 MRTG 정보와 같은 통계 위주의 데이터나 스니퍼 등의 툴처럼 지정된 시간동안 패킷을 캡처해 오랜시간 분석하는 것이 아니라 실시간으로 연결한 각 네트워크 세그먼트에 현재 흐르는 트래픽상의 모든 세션과 통계를 제공하고 VLAN이나 OSPF등 현황을 파악할 수 있게한다.
따라서 장비의 잘못 설정된 사항 뿐 아니라 통신 애플리케이션 단계에서 문제가 발생한 부분의 트래픽 상황 파악을 통해 네트워크를 최적화하고 오남용을 방지하고 네트워크 효율성을 높이는데, 충분히 필요한 정보를 제공한다.
또한 NTOP은 네트워크 운영을 위한 모니터링뿐만 아니라 보안에도 응용할 수 있다. 예를 들어 현재의 해킹 추세가 시스템 크래킹에서 지난 1.25 대란처럼 주로 네트워크를 통하여 시스템을 마비시키는 형태로 전이되고 있다.
이때 NTOP을 이용하면 그 어떤 IDS보다도 룰셋이 필요없는 모니터링 도구로 활용할 수 있다. NTOP은 특정 포트나 프로토콜(UDP, 1434port)의 과부하에 대해 하나의 화면에서 직관적으로 알려주며, 또한 시스템별로 DoS 공격을 감지하기 위해 맺어진 세션을 모두 확인하고 세션을 맺은 시스템에 대한 정보를 얻을 수 있다. 또한 네트워크 내에서 인터넷공유 등 인가되지 않은 라우팅 기능을 하는 PC나 장비를 찾아낼 수도 있다. 또한 스니핑을 위한 인터페이스(promiscuous mode)를 감지해 관리자가 쉽게 해킹에 대응할 수 있다.
NTOP의 한계
지금까지는 NTOP의 장점에 대해 살펴봤다. NTOP을 실제 현장에서 사용하면서 몇가지 아쉬운 점에 대해 언급한다면, 무엇보다도 실시간 트래픽에 대한 모니터링 도구인 만큼 데이터들이 모두 휘발성이라는 것이다.
관리자가 디버깅이나 장애처리를 위해 항상 모니터링하는 것 이외에 잠시라도 자리를 비우면 그 시간의 데이터는 텅비게되어 분석할 수 없으므로 이럴 경우 NTOP은 적합하지 않다. 또한 리포팅 모듈에서 데이터 익스포트(Export) 기능이 있긴 하지만 단순히 텍스트만으로 보내기때문에 엑셀 등의 별도의 툴을 이용해야 하는 등 여러모로 번거롭다.
네트워크와 보안 관리자에게 큰 도움
최근 성능 문제를 해결하기위해 한 업체의 네트워크 진단을 의회한 적이 있다. 방화벽이 3차로 구성되고 주로 VRRP와 OSPF 구성에 최종 스위치까지 모두 이중화 또는 그 이상으로 구성되는 등 설계가 매우 복잡한 구조였기에 전문 업체에 최적화에 대한 검증을 부탁한 것이었다.
그런데 소위 전문가들도 ping이나 traceroute, Exceed 등과 Nettools에 들어있는 몇가지 도구로부터 나오는 간단한 결과와 그동안의 경험에 따른 감으로 네트워크를 분석하는 정도라는 것에 놀라움을 금치못했다. 물론 상세분석을 위해 사용하는 스니퍼 역시 모니터링을 할 시점만을 캡처해 분석하거나 실시간 분석 역시 거의 로(raw) 데이터를 그냥 뿌려주는 형태여서 숙련된 전문가가 아니면 스니퍼와 같은 툴로 원하는 결과를 얻기는 정말 어려운 일이라는 것을 절감했다.
이제 최소한 네트워크에 한번도 연결되지 않은 시스템은 거의 존재하지 않을 만큼 네트워크가 중요해진 상황에서 네트워크의 접속 여부만 체크하거나 대역폭 모니터링 정도를 하는 담당자라면 점차 자동화된 툴에 밀려 도태될 것이다.
이런 사람에게는 아무리 좋은 툴과 시간을 준다 해도 언제나 답은 네트워크 회선의 고속화와 장비 증설일 것이기 때문이다. 점차 네트워크 엔지니어의 설자리가 좁아지는 현실에서 네트워크 자원이 풍족해지고 장비가 좋아질수록 기계가 할 수 없는 네트워크의 품질을 분석하고 향후를 예측하는 일과 네트워크를 통해 애플리케이션의 문제를 지적해 낼 수 있는 능력을 갖춰야 한다. 이에 NTOP은 모든 네트워크 관리자들에게 충분한 분석능력을, 보안 관리자에게는 IDS보다도 뛰어난 사전탐지 능력을 제공한다.
이 기사는 ZDNet Korea의 자매지인 on the Net에 게재된 내용입니다.

출처 : http://www.zdnet.co.kr/view/?no=00000010066962

Cisco - Radius Active Directory Authentication




스위치를 여러대 혹은 수십대를 관리할 경우 접속 계정을 스위치마다 직접 등록을 한다면.. 
그리고 주기적으로 패스워드를 변경을 해 주어야 한다면.. 관리자로서 아주 골치아플 것이다..
스위치에서는 AAA(authentication, authorization, and accounting) 모드를 통해 Radius 서버나
Tacacs 서버를 통해서 외부에서 계정 인증을 받을 수 있는 방법이 있다. 
그리고 한가지 더 Windows 서버에서 Active Directory를 사용한다면 AD 도메인 계정을 통해서
사용자 인증을 할 수 있는 방법이 있다.
필자도 그동안 스위치에 직접 계정을 등록해서 사용하였는데 관리자가 변경되거나 퇴사등 
수정할 사항이 많아져 귀차니즘으로 인해 새로 구축했던 내용을 토대로 설명해 보도록 하겠다. 

1. AD 서버 네트워크 정책 및 액세스 서비스 역할 추가
● 서버 관리자에서 역할 추가
● 다음


● 
네트워크 정책 및 액세스 서비스 선택



● 
다음



● 네트워크 정책 서버 선택


● 
설치





● 
설치 완료


2. Radius Client 등록 및 NPS 정책 추가.
● 우선 NPS 서비스를 Active Directory에 등록한다.


● 
Raduis 클라이언트 새로 만들기를 선택하여 클라이언트를 등록.



● 
이름, IP주소, 공유 암호 설정


● 
아래와 같이 클라이언트 등록 완료.



● 네트워크 정책 - 새로만들기(N) 선택하여 정책 추가



● 네트워크 정책 이름 및 연결 형식 지정은 기본값(default)으로 하고 다음을 누른다.



● 조건 지정에서 추가를 선택.



● 사용자 그룹을 선택 후 추가버튼을 눌러서 Access 할 도메인 계정 그룹을 등록.



● 사용자 그룹 : 네트워크 엑세스할 특정 도메인 계정을 등록. 
    ex) domain\Domain Admins



● 엑세스 권한은 엑세스 허용으로 선택 후 다음.


● 인증 방법은 아래와 같이 암호와 안된 인증(PAP, SPAP)(S)를 선택.


● 제약조건은 기본값으로 사용하고 다음.


● 설정 구성 에서 기본 등록된 값을 제거하고 
    아래와 같이 표준 값으로 Service-Type, value : NAS Prompt 지정.


● 공급 업체는 Cisco를 선택하고 특정정보 값으로 Privileges Level 값을 지정해 준다.

 - shell:priv-lvl=15  :  로그인 시 privilege level 15 권한 획득.   - shell:priv-lvl=1    :  로그인 시 privilege level 1 권한 획득. enable password 입력 필요. 


● 등록 확인



● 정책 설정 완료 후 마침. 



● 등록한 정책이 처리 순서 1로 우선순위를 변경.




3. Cisco ISO Radius Configuration.

!
aaa new-model
!
!
aaa group server radius NPS
 server 192.168.0.100 auth-port 1812 acct-port 1813
! 
aaa authentication login default local enable
aaa authentication login radius_auth group NPS local
aaa authorization exec radius_auth group NPS local 
aaa authorization network radius_auth group NPS local 
aaa accounting exec default start-stop group NPS
aaa accounting system default start-stop group NPS
!
!
radius-server host 192.168.0.100 auth-port 1812 acct-port 1813 key sharesecretkey
radius-server host 192.168.0.100 auth-port 1645 acct-port 1646 key sharesecretkey
!  
line con 0
 login authenticacion default
!
line vty 0 4
 login authentication radius_auth
!

  Radius는 UDP 포트로 통신을 하며 1812/1813, 1645/1646 포트를 사용한다.(default)     NPS 서버와 switch config를 통해 포트를 변경하여 사용할 수도 있으니 내부 보안 정책
     에 맞게 수정해도 상관 없다.

 콘솔 접속시 로컬 계정 로그인 권한.   AAA 모드로 동작을 하게 되면 콘솔과 vty 세션 모두 AAA  인증이 자동 활성화가 된다.   만약 장애로 인해 radius 인증이 어려울 경우 아래와 같이 설정하여 콘솔 로그인시 로컬    계정으로 로그인 되도록 설정하면 된다.

!
aaa authentication login default local enable
!  
line con 0
 login authenticacion default
!

Dynamips Network device list 실행 오류 해결 방법



Dynamips를 통해 가상의 라우터를 올리고 Network Device list 를 실행하면 아래와 같은 에러가 발생하는 경우가 있다.


 .........
 VM defualt: unable to create instance!
 C7200: unable to create instance! 
 .........

 위와 같은 메세지가 나오면 

 제어판 - 사용자 계정 - 사용자 계정 컨트롤을 OFF 하면 해결 된다.


Elasticsearch Heap Size

  Elasticsearch는 Java 기반으로 동작을 합니다. Java는 가비시 컬렉터 (garbage-collected)에 의해서 관리가 되며, Java 객체는 힙(Heap) 이라고하는 메모리의 런타임 영역에 상주합니다.  Elasticsear...