Infoblox-DDI 연동 가이드 ============================ 이 가이드는 Genian NAC와 Infoblox DDI 연동에 대한 정보를 제공합니다. 가이드 개요 --------------- 이 가이드는 Genian NAC와 Infoblox-DDI를 연동하여 Infoblox-DDI가 악성 사이트에 접속을 시도하는 노드를 탐지하고, 해당 노드를 Genian NAC의 접근제어 기능을 활용하여, 자동화된 대응이 가능함을 보여줍니다. 또한, 두 제품간의 연동으로 infoblox-DDI의 Secure-DNS를 전사 노드에 활용할 수 있도록 Genian NAC를 이용하여 네트워크 전체를 대상으로 모든 노드의 DNS 설정 정보 확인/교정 기능을 제공합니다. 연동의 목적 ------------------- .. image:: /images/int_infoblox_map.png Genian NAC와 infoblox-DDI를 연동하여, 다음과 같은 장점 및 효과를 IT관리자와 사용자에게 제공합니다. **관리대상 노드의 자동판단** - Genian NAC는 네트워크 상의 모든 장치들에 대해서 정보를 수집하고, 이 것을 기반으로 자동 분류하고 그룹을 생성합니다. - infoblox-DDI는 Genian NAC로 IP를 전달하면, Genian NAC 는 이 IP에 대해서 추가적인 정보를 활용하여, 제어대상 여부를 자동으로 판단하여 제어합니다. **이상단말의 빠른 식별과 교정시간의 단축** - Infoblox-DDI에서 GenianNAC로 IP 및 로그 정보를 보내면, Genian NAC는 Infoblox-DDI의 정보와 Genian NAC가 직접 수집한 이 노드에 대한 정보를 관리자에게 신속하게 제공한다. - 그리고 이 비정상적인 노드는 Genian NAC를 통해서, 네트워크 격리 등 즉시 대응할 수 있습니다. **관리범위의 확대** - Genian NAC는 L2-네트워크 계층에서 네트워크 접속 제어를 수행합니다. - Genian NAC는 관리대상 네트워크에 존재하는 모든 IP를 가지는 노드를 찾아내고, 해당노드의 추가적인 정보를 수집/분석하여 특성에 따라 노드를 자동분류, 그룹화합니다. - 관리자는 Genian NAC, infoblox-DDI가 제공하는 정보를 통하여 관리해야 할 대상과 범위를 더 잘 이해할 수 있습니다. 연동을 위한 infoblox-DDI 설정 ------------------------------------ Step 1: RPZ(Response Policy Zones) Policy 추가(또는 설정)** Data management > DNS > Response Policy Zones로 이동합니다. - RPZ 정책을 만듭니다(기존의 black-rule에 추가하셔도 됩니다) (본 가이드에서는 기존의 Black 룰과 별도의 다른 이름으로 만들어서 테스트 했습니다.) Step 2: Syslog 전송설정 RPZ monitoring에서 Genian NAC로 전달하기 위한 설정입니다. ‘Grid > Grid Manager > setting icon(Grid properties icon)을 선택합니다. - ‘Monitoring’을 선택하여, Genian NAC-policy 정책서버의 IP를 설정합니다. - External Syslog 설정에서 RPZ-rule에만 적용하여 전송하도록 선택합니다. (다중으로도 구현 가능합니다.) 연동을 위한 Genian NAC 설정 ----------------------------------------------------- Step 1: Syslog 수집설정 infoblox-DDI가 전송한 이벤트를 받기 위한 설정입니다. 설정 > 환경설정 > 감사기록 > Syslog 감사기록 저장으로 이동하여 필터를 추가합니다. .. csv-table:: :header: "설정 항목", "설정 값", "참고" :widths: 15 30 55 "필터이름", "infoblox-filter", "program,host,match,netmask 중 선택" "필터타입", "host", "정책의 설명을 작성." "필터값", "172.29.52.3", "infoblox-DDI 장비 IP" "IP 키값", "SRC=", "IP정보를 읽을 키값을 설정" "문자셋", "유니코드(UTF-8)", "일반적으로 UTF-8을 사용" Step 2: 제어를 위한 Tag 추가하기 Genian NAC는 타 장비와 연동 등에서 유연하고 다양하게 활용하기 위하여, Tag 기능을 제공합니다. Infoblox DDI와의 연동 시에는, infoblox의 로그에서 제공하는 위험 등급에 따라 3종류의 Tag를 생성, 적용하였습니다. (infoblox-DDI의 RPZ 정책의 위험도에 따라서 나누었습니다) - 설정 > 속성관리 > 태그 관리 > 작업선택 > 생성으로 이동합니다. - 태그를 생성합니다. (태그의 이름, 설명 등을 입력 후, 'Save'합니다.) - 본 가이드에서는 이해를 돕기 위해 'Infoblox-DDI-Isolation'으로 설명합니다. Step 3: 제어정책 적용을 위한 로그필터 생성과 Tag 적용정책 만들기 Genian NAC는 유용한 로그필터 기능을 제공합니다. 로그의 값들을 이용하여 원하는 형태로 필터링하여 필터링된 정보를 기반으로 정책화할 수 있는 구조로 만들어져 있습니다. 1. 로그필터 생성하기 로그 필터를 만들기 위해, ‘감사 > 로그‘로 이동합니다. infoblox의 로그에서 제공하는 정보 검색필터 조건은 다음과 같이 작성합니다. .. csv-table:: :header: "설정 항목", "설정 값", "참고" :widths: 15 25 60 "설명", "passthru-major", "구분을 위해 중복이름은 피해서 작성합니다." "로그타입", "알림", "제어 방식을 선택합니다." "로그ID", "Syslog", "infoblox에서 활용하는 RPZ-policy의 구성요소 이름" 필터를 만든 후, 우측의 '저장' 버튼을 눌러서 저장하면, 로그필터의 생성은 완료됩니다. 2. 로그필터를 통해 추출된 로그에 Tag 적용하기 로그필터 설정 창에서 추출된 노드에게 Tag를 적용하여, Infoblox-DDI가 제어할 수 있도록 설정합니다. .. csv-table:: :header: "설정 항목", "설정 값", "참고" :widths: 15 25 60 "태그(Tag)", "할당", "Tag의 상태를 설정합니다." "검색대상", "노드", "검색의 대상을 지정합니다." "할당대상", "노드", "태그(Tag)의 할당 대상을 노드로 합니다." "태그(Tag)추가", "Infoblox-DDI-Isolation", "연동을 위한 Genian NAC 설정에서 정해 둔 태그(Tag)명을 설정합니다." 연동을 위한 설정이 완료되었습니다.