네트워크 노드를 관리하고 모니터링하는 - PacketFence
PacketFence는 네트워크에 접속하는 하드웨어 단말기들을 제어하는데 이런 소프트웨어나 장비를 NAC(Network Access Control)로 부른다. NAC는 노드 포트의 플러그인(인터페이스) 체크와 사용자 인증을 수행해서 유/무선으로 누가, 언제, 어느 서비스에 접속하는지 통제한다.
이 도구를 사용하려면 Snort, MySQL, Apache, PHP, Perl, 그리고 Perl Modules 패키지 등이 있어야 한다.
대규모 조직에서는 스위치 장비에서의 망분리 기법인 VLAN(Virtual LAN)을 사용해서 노드들을 VLAN 별로 관리하고 네트워크 상황을 모니터링 하고, 중소규모 조직에서는 Untangle을 사용하지만 어느 정도 큰 규모의 조직에서도 이 PacketFence로 NAC를 훌륭히 수행시킬 수 있다.
PF(PacketFence)는 두 가지 모드로 작동하는데 Inline 모드는 소규모에서 작동되며 PF가 게이트웨이와 스위치 역할을 하고, VLAN Enforcement 모드는 대규모에서 작동되는데 노드의 MAC 주소를 검사해서 인증된 노드는 Registration(등록) VLAN으로 보내고 감염되거나 이상 행동을 보이는 머신은 Isolation(격리) VLAN에 보내서 활동을 막는다. 관리 호스트는 Managed VLAN이 된다. Registered VLAN에 호스트 등록은 MAC이나 hostname, IP 주소 등으로 할 수 있다.
VLAN은 하나의 라우터 내에서 여러 호스트들을 한 두 대의 스위치 장비에 연결 한 뒤, 물리적인 스위치 연결과는 무관하게(위 그림에서 VLAN 20과 VLAN 30은 각각 스위치2와 스위치3에 연결된 머신이 혼합되어 있다) 가상으로 묶어서 VLAN 10, VLAN 20, ...식으로 별도의 네트워크를 형성한다. VLAN도 엄연히 네트워크이며 VLAN끼리 서로 네트워크가 다르므로 VLAN 끼리의 통신은 라우터를 통해야 하는데 VMware가 가상머신들에 대해서 라우터와 스위치의 역할을 하기 때문에 실습에 문제가 없다.
ASG(Astaro Security Gateway)
이 ASG는 Linux 기반 소프트웨어 방화벽으로 오픈 소스지만 매우 강력한 종합적인 보안 관리 기능을 한다. 종합 UTM 도구로써 NIC가 3개 필요하다.
eth0 VMnet0(Bridged) : external WAN
eth1 VMnet8(NAT) : management =>192.168.2.0
eth2 VMnet1(Host-Only) : internal LAN
외부 Windows 10의 콘솔에서 ipconfig /all 하면
로컬 연결(VMware 0(Bridge) : 192.168.2.101, g/w 192.168.2.1
VMware 1(Host-only) : 192.168.33.1
VMware 8(Nat) : 192.168.100.1
UTM으로 ASG와 함께 FortiGate도 사용하므로 잘 알아두면 좋다.