.. _integration-esm:

IGLOO Corporation Spider TM 연동
=====================================

이 가이드는 Genian NAC와 IGLOO Coporation Spider TM 간의 연동에 대한 정보를 제공합니다.


가이드 개요
---------------------

 본 가이드는 통합 관제 소루션인 IGLOO Coportation사의 Spider TM 제품과 네트워크 접근제어 시스템인 Genian NAC의 연동 기능을 수행하기 위한
 설정방법 및 연동테스트에 대한 가이드입니다.

 Genian NAC의 위험관리 정책을 통한 네트워크제어 기능을 활용하며, 
 차단 단말에 대한 정보를 SpiderTM에서 실시간으로 전달되도록 연동합니다.

 SpiderTM은 Genian NAC와 연동을 통해 위험 IP / MAC 을 실시간으로 차단 / 해제하여
 안전하고 자동화된 단말제어를 수행 할 수 있습니다.

 **권장 버전**
 
 .. csv-table::
     :header: "제품명", "버전", "비고"
     :widths: 30 30 40

     Genian NAC,4.0 이상,

연동의 목적
------------------------------------------------
Genian NAC와 Spider TM 연동은 다음의 효과를 제공합니다.

**위협 IP / MAC에 대한 실시간 차단**
 - Genian NAC는 Spider TM에서 전달된 SNMP Trap을 통해 전달된 IP/MAC을 즉시 위험감지 정책으로 관리하며 제어정책을 활용하여 차단합니다. 

**위협 IP / MAC에 대한 실시간 차단 해제**
 - Genian NAC는 Spider TM에서 전달된 SNMP Trap을 통해 전달된 IP/MAC을 즉시 위험감지 해제하여 네트워크차단 상태에서 해제합니다.


사전준비 사항
------------------------------------------------
**Networking 사전 준비**

 - Spider TM과 Genian NAC와 SNMP trap 에 사용되는 기본 포트는 UDP/162 입니다. 방화벽을 통해 해당 포트를 통한 통신을 허용해야합니다. 

연동을 위한 Genian NAC 설정
------------------------------------------------
본 항목에서 다루는 Genian NAC의 설정 부분은 Spider TM과  연동을 위해 설정하는 최소한의 부분만을 소개합니다. 
본 과정은 최초 1회만 작업해주시면 이후엔 자동으로 적용됩니다.

Step1. 위험 감지 정책 설정

**정책 > 노드 정책 > 위험 감지** 로 이동하여 아래 신규 위험 감지 정책을 생성합니다.

1) SNMP Trap을 통한 위험탐지를 위한 위험 감지 정책 생성

  .. csv-table::
     :header: "설정 항목", "설정 값", "참고"
     :widths: 30 30 40

     "기본설정 > ID", "SNMP Trap 위험 감지", "위험감지정책 이름 입력"
     "기본설정 > 설명", "Spider TM SNMP 연동을 위한 위험감지 정책", "위험감지정책 설명 입력"
     "기본설정 > CWP메시지", "", ""
     "이벤트정의 설정 > 이벤트", "SNMP 차단요청", ""

 **SNMP OID ì •ë³´**

  .. csv-table::
     :header: "항목명", "OID 값", "참고"
     :widths: 30 30 40 
     
     SNMP Trap OID,.1.3.6.1.4.1.29503.1.1.0.100,트랩 송신을 위한 OID
     차단대상 IP,.1.3.6.1.4.1.29503.10.0.1,차단할 IP 지정
     차단대상 MAC,.1.3.6.1.4.1.29503.10.0.2,차단할 MAC 지정
     차단대상 DEVID,.1.3.6.1.4.1.29503.10.0.8,차단할 장비ID 지정
     차단사유,.1.3.6.1.4.1.29503.10.0.3,차단사유 기록
     해제대상 IP,.1.3.6.1.4.1.29503.10.0.4,차단해제할 IP 지정
     해제대상 MAC,.1.3.6.1.4.1.29503.10.0.5,차단해제할 MAC 지정
     해제대상 DEVID,.1.3.6.1.4.1.29503.10.0.9,차단해제할 장비ID 지정
     해제사유,.1.3.6.1.4.1.29503.10.0.6,해제사유 기록

2) 위험감지 정책을 노드정책에 할당

 #. 정책 > 노드정책 메뉴로 이동
 #. 위험감지 정책을 적용할 대상 노드정책을 선택
 #. 최하단 위험감지 섹션에서 ``할당`` 클릭
 #. 생성한 SNMP Trap 위험감지 정책을 선택
 #. 노드정책 수정 

3) 위험탐지된 노드 그룹핑을 위한 노드그룹 추가

 1. 정책 > 그룹 > 노드 이동
 2. 신규 노드그룹 생성 
  
   .. csv-table::
     :header: "설정 항목", "설정 값", "참고"
     :widths: 30 30 40

     "기본정보 > ID", "SNMP Trap 위험탐지 대상", "노드그룹 이름 입력"
     "기본정보 > 설명", "Spider TM SNMP 연동으로 위험탐지된 노드그룹", "노드그룹 설명 입력"
     "기본정보 > CWP메시지","Spider TM 연동으로 위험에 탐지된 노드로 차단됨","원하는 형태의 차단 안내 메시지 작성"
     "그룹조건 > OR", "", ""
     "그룹조건 > 조건추가","노드정보 > 위험감지 > 특정위험이 감지되면 > SNMP Trap 위험 감지 선택",앞에서 생성한 위험감지정책 선택
 
 3. 생성

4) 위험 탐지된 노드 차단을 위한 제어정책 설정

 #. 정책 > 제어정책 > IP관리 정책 클릭
 #. 노드그룹 섹션 ``할당`` 클릭
 #. SNMP Trap 위험탐지 대상 선택 할당
 #. 하단 ``수정`` 버튼 클릭
 #. 변경 정책 적용 클릭

연동 확인을 위한 테스트
------------------------------------------------

SNMP Trap을 수신하면 Genian NAC Web콘솔 감사로그 메뉴에서 아래와 같은 형태의 감사로그를 확인 할 수 있습니다. 

 .. code:: bash

  Block IP SNMP Trap 감사로그  
  SNMP Trap 수신. .1.3.6.1.2.1.1.3.0=0:0:00:00.00, .1.3.6.1.6.3.1.1.4.1.0=.1.3.6.1.4.1.29503.1.1.0.100, .1.3.6.1.4.1.29503.10.0.1=172.29.132.117

SNMP Trap 수신 후 설정한 위험감지 정책으로 탐지되는지 확인합니다. 

 .. code:: bash

  위험감지 탐지 감사로그
  새로운 위험노드 발견됨. ANOMALY_DEF='TEST-SNMP trasp block'

위험에 탐지된 노드 상세정보의 정책현황 탭에서 노드에 할당되어있는 정책들을 확인하여 정상적으로 차단 및 해제가 되었는지 확인합니다.