네트워크 준비
네트워크에 ZTNA 구축을 계획할 때 몇 가지 고려 사항이 있습니다.
장비를 어디에 두어야 하나요?
스위치에 어떻게 연결 하나요?
몇 개의 장비가 필요한가요?
Genian ZTNA가 통신하려면 어떤 포트를 열어야 하나요?
유선 연결
정책서버는 Core Switch 포트에 액세스 포트로 직접 연결 되어야합니다. 네트워크센서는 액세스 포트 또는 트렁크 포트가 될 수 있는 Edge 스위치 포트에 연결 되어야합니다.
Switches
네트워크센서는 브로드 캐스트 패킷을 볼 수 있어야하므로 관리되는 모든 서브넷에 연결해야합니다.
VLANs
단일 포트를 통해 여러 VLAN (최대 128 개, 권장 64개)을 모니터링 하려면 스위치 포트가 802.1Q 트렁크로 구성되어 있고 모니터링하려는 모든 VLAN이 해당 포트에서 허용되는지 확인합니다.
스위치 제조사 마다 Trunk 설정을 구성하는 방법이 다릅니다.
다음은 Cisco 스위치의 VLAN 10,20,30 및 40에 대한 802.1Q 트렁크 포트를 구성하는 예입니다.
Switch> enable Switch# configure terminal Switch(config)# interface fa0/1 Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20,30,40
SNMP
Genian은 SNMP 버전 1, 2c 및 3를 지원합니다.
읽기 전용 커뮤니티 문자열은 노드가 SNMP를 지원하는지 확인하는데 사용됩니다.
네트워크센서가 노드정보를 수집하는 과정 중 노드가 SNMP 요청에 응답하면 센서는 SNMP 쿼리를 통해 BRIDGE-MIB를 지원하는지 확인함으로써 노드가 스위치인지 확인합니다.
읽기, 쓰기 커뮤니티 문자열은 스위치 포트 설명 및 셧다운 등 스위치를 변경하는데 사용됩니다.
SNMP를 이용하여 무선 컨트롤러의 정보를 수집하는 등 다양한 부가 기능에 사용할 수 있으며, 장치의 플랫폼 정보를 탐지합니다.
Note
동일한 네트워크 세그먼트에 있는 모든 스위치의 액세스 목록에 네트워크센서를 추가하고 모든 OID를 보기 위해 사용자 / 그룹에 필요한 권한을 할당합니다. 자세한 정보는 다음을 참고 스위치 찾아보기
원격지
원격지에 관리해야할 또 다른 네트워크가 있는경우 해당 위치에 별도의 네트워크센서가 필요합니다.
무선 연결
무선 NIC를 포함한 네트워크센서는 주변의 모든 무선 패킷을 감지하고 SSID를 식별합니다. 센서는 대상의 무선 신호를 탐지할 수 있는 물리적으로 인접한 위치에 설치해야 하며, 무선 NIC의 신호가 닿는 중심에 배치하면 대부분의 SSID를 탐지 할 수 있습니다.
방화벽 요구 사항
Genian ZTNA가 제대로 동작하려면 아래의 포트들이 방화벽으로부터 개방되어야합니다.
[On-Premises]
SRC IP |
DST IP |
Service |
Note |
---|---|---|---|
정책서버 |
TCP/9200~9300, TCP/9300~9400
TCP/3306
UDP/3871
TCP/443
TCP/443
TCP/443
TCP/80, TCP/443
TCP/443
TCP/443
TCP/8844
TCP/443
|
로그 서버
데이터베이스
Kepp Alive, 이벤트 송신
Alarm 서비스
Alarm 서비스
GenianData 업데이트
플랫폼 미탐지 , 오탐 보고
Genian DPI
Zero Config Sensor Lookup
GenianData Update
Syscollect
|
|
네트워크센서 IP |
|
UDP/3870
TCP/80, TCP/443
UDP/514, TCP/6514
TCP/443
|
Keep Alive
정책,액션 정보 업데이트
Syslog
Syscollect
|
PC IP (에이전트) |
정책서버 IP/FQDN |
UDP/3870
TCP/80, TCP/443
TCP/8000
|
Keep Alive
정책,액션 정보 업데이트
Windows 업데이트
|
관리자 PC |
정책서버 IP, 네트워크센서 IP
정책서버 IP
|
TCP/3910
TCP/8443
|
SSH
웹 콘솔
|
[Cloud managed]
SRC IP |
DST IP |
Service |
Note |
---|---|---|---|
정책서버 IP |
52.78.17.154 (geniupdate.geninetworks.com) |
TCP/80, TCP/443 |
GENIAN Data Update |
네트워크센서 IP |
정책서버 IP/FQDN |
UDP/Random
TCP/80, TCP/443
UDP/Random, TCP/Random
|
Keep Alive
Update Information/Policy
Syslog
|
PC IP (에이전트) |
정책서버 IP/FQDN |
UDP/Random
TCP/80, TCP/443,
TCP/Random, TCP/Random
|
Keep Alive
Update Information/Policy
Windows Update
|
Note
운영정보 데이터를 다운로드 하기 위해서는 정책서버가 외부 통신이 가능해야 합니다.
Note
Cloud managed의 경우 정책서버가 Cloud 환경에 존재하므로 목적지 port가 랜덤으로 설정됩니다.