네트워크센서 설치
네트워크센서는 사용자의 내부 네트워크 또는 AWS(인스턴스)에 설치되고 정보를 수집하여 정책 서버로 전송합니다. 네트워크 구성에 따라 하나 이상의 논리적 / 물리적 네트워크센서를 설치해야 할 수 있습니다.
하드웨어 준비
물리 시스템이나 가상 시스템에 네트워크센서를 설치할 수 있습니다.
물리적 장비
테스트 및 소규모 배포를 위해 HP, Dell 또는 Mini PC와 같은 일반 인텔 서버를 사용할 수 있습니다.
가상 머신
가상 머신에 네트워크센서를 설치할 수 있습니다. 다양한 하이퍼 바이저를 지원합니다.
네트워크 연결 준비
Genian ZTNA는 하나 이상의 고정IP 주소로 네트워크 연결이 필요합니다.
네트워크센서는 네트워크상에 뿌려지는 브로드 캐스트 패킷(ARP, DHCP, uPNP 등)을 모니터링 해야하며 관리하려는 모든 세그먼트(브로드 캐스트 도메인)에 연결되어 있어야합니다.
VLAN으로 구성된 스위치가 있는 경우 하나의 물리적 인터페이스로 여러 네트워크를 모니터링하도록 802.1Q trunk port를 설정할 수 있습니다.
가상 환경에 네트워크센서를 설치하는 경우 VM(센서)은 모니터링 및 제어하려는 모든 세그먼트와 직접 통신이 가능해야합니다.
Note
가상 머신을 사용하는 경우 Bridge 모드에서 네트워크 인터페이스 유형을 선택해야합니다.
네트워크센서가 무선LAN 정보를 수집하려면 호환되는 무선 네트워크 어댑터를 설치해야합니다. 하단 문서 참고
Access port
스위치 Access Port를 통해 단일 네트워크를 모니터링하는 경우에는 스위치의 추가 설정이 필요하지 않습니다. 두개 이상의 NIC가 있는 시스템에 네트워크센서를 설치하는 경우 엑세스 포트를 통해 여러 세그먼트를 모니터링 할 수 있습니다.
Trunk Port
단일 인터페이스에서 여러개의 VLAN을 모니터링하려면 802.1Q 프로토콜을 사용하여 스위치 포트를 Trunk Port로 설정해야합니다. 아래는 Cisco와 HP 스위치에서 트렁크포트 802.1Q를 설정하는 예시입니다.
Cisco switch 설정 예제
Cisco(config)#interface gi1/0/48
Cisco(config-if)#switchport trunk encapsulation dot1q
Cisco(config-if)#switchport mode trunk
HP switch 설정 예제 (태깅된 인터페이스로 port 48 생성)
Procurve(config)#vlan 100
Procurve(config)#tagged 48
Procurve(config)#vlan 200
Procurve(config)#tagged 48
Note
트렁크 인터페이스에 VLAN 인터페이스를 설정하는 방법은 해당 문서를 참조해 주시기 바랍니다. 다중 VLAN 설정
ZTNA Nerwork Sensor 설치
ZTNA Network Sensor는 단독 구성 또는 통합 구성으로 설치가 가능합니다.
통합 구성 : ZTNA Policy Center와 ZTNA Netwrok Sensor를 한 Ubuntu OS 장비에 설치 하는 구성 입니다.
단독 구성 : ZTNA Policy Center와 ZTNA Netwrok Sensor를 서로 다른 Ubuntu OS 장비에 설치 하는 구성 입니다.
통합 구성
ZTNA Policy Center가 설치된 우분투 장비에 접속합니다.
$ sudo su # Ubuntu 계정을 root 계정으로 전환합니다.
$ cd /usr/geni/conf # genian.conf 파일 수정을 위해 conf 디렉토리로 이동합니다.
$ vim genian.conf # 수정을 위해 텍스트 편집기로 genian.conf 파일을 실행합니다.
5번 라인에 위치한 DKNS_ENABLED 값을 no -> yes로 수정합니다.
$ cd /usr/geni
$ ./compoese.sh start # compose 명령어를 통해 Network Sensor를 설치합니다.
$ ./compose.sh start dkns # compose 명령어를 통해 Network Sensor를 구동시킵니다.
$ ./compose.sh ps # compose 명령어를 통해 Docker Container가 정상적으로 구동되는지 확인합니다.
Web UI 접속 후 [시스템] -> [시스템 관리] 클릭 , 추가된 미승인 센서를 체크 후 [작업 선택] -> [미승인 센서 승인] 클릭하여 승인합니다.
If you are sure to continue, Enter ‘kernel update’ 라는 키워드가 나올 경우 kernel update 를 입력 해주시기 바랍니다.
단독 구성 ( On-premise 환경에 Sensor 설치)
범용 OS 설치 를 참고 하여 먼저 Ubuntu OS 설치를 진행하여 주시기 바랍니다.
토큰기반 정책서버 접속 설정하기 를 참고하여 센서 설치토큰 을 사용하는 경우 DKNS_SERVER_TOKEN 에 토큰값을 입력 해주시기 바랍니다.
$ sudo su # Ubuntu 계정을 root 계정으로 전환 합니다.
$ apt-get update # 패키지 업데이트를 진행 합니다.
$ apt install curl # curl를 설치합니다.
$ curl -s https://docs.genians.com/install/ztna-sensor.sh | sudo DKNS_SERVER_TOKEN= BRANCH= bash -s - [POLICY SERVER IP] # 명령어를 통해 ZTNA Network Sensor를 설치 합니다.
$ cd /usr/geni # /usr/geni 로 이동 합니다.
$ ./compose.sh ps # compose 명령어를 통해 Docker Container가 정상적으로 구동되고 있는지 확인 합니다.(State 값이 up인지 확인)
Web UI 접속 후 [시스템] -> [시스템 관리] 클릭 , 추가된 미승인 센서를 체크 후 [작업 선택] -> [미승인 센서 승인] 클릭하여 승인 합니다.
단독 구성(Cloud-Managed(AWS) 환경에 Sensor 설치) - CLI를 통한 수동 설치
인스턴스 생성 방법 을 참고하여 ZTNA Network Sensor를 설치 할 인스턴스를 먼저 생성합니다.
토큰기반 정책서버 접속 설정하기 를 참고하여 센서 설치토큰 을 사용하는 경우 DKNS_SERVER_TOKEN 에 토큰값을 입력 해주시기 바랍니다.
인스턴스 설치 후 SSH 클라이언트를 사용하여 인스턴스에 연결 합니다.
$ sudo su # root 계정으로 전환합니다.
$ curl -s https://docs.genians.com/install/ztna-sensor.sh | sudo DKNS_SERVER_TOKEN= BRANCH= bash -s - [POLICY SERVER IP] # 명령어를 통해 ZTNA Nerwork Sensor 를 설치합니다.
커널 다운그레이드 진행 시,다운그레이드 후 설치가 진행 됩니다. 다운그레이드가 완료 되면 재부팅이 수행됩니다.
$ sudo su # root 계정으로 전환합니다.
$ cd /usr/geni # compose 스크립트 사용을 위해 디렉토리를 이동합니다.
$ ./compose.sh restart dkns # 센서 재시작 명령어를 입력합니다.
$ ./compose.sh ps # compose 명령어를 통해 Docker Container가 정상적으로 구동 되고 있는지 확인 합니다.(State 값이 up인지 확인)
Web UI 접속 후 [시스템] -> [시스템 관리] 클릭 , 추가된 미승인 센서를 체크 후 [작업 선택] -> [미승인 센서 승인] 클릭하여 승인합니다.
단독 구성(Cloud-Managed(AWS) 환경에 Sensor 설치) - Web UI를 통한 자동 설치
1. Web UI 콘솔에 접속 합니다. [ https:// (ZTNA Policy Server IP):8443/ ]
2. 상단 메뉴에서 시스템 -> Cloud Provider 관리 를 클릭합니다.
3. 작업선택 -> 생성 을 클릭 합니다. 하단 표를 참고 하여 설정합니다.
설정 명
Cloud provider의 이름
Cloud
AWS
Access Key
발급 받은 Access key ID
Secret Key
발급 받은 Secret Access key
Note
Access Key 발급은 AWS Access key 발급 방법 을 참고하여 생성합니다.
4. 좌측 메뉴에 시스템 -> 사이트 를 클릭합니다.
5. 작업 선택 -> 생성 을 클릭합니다. 하단 표를 참고 하여 설정합니다.
사이트 명
설정할 사이트의 이름 부여
타입
Hub/Branch
인프라
Cloud
Cloud Provider
3번 과정에서 생성한 Cloud Provider
Region
Policy Center가 생성된 인스턴스의 Region
VPC ID
Policy Center 구축 시 사용된 VPC
사이트 설정은 생성 후 수정이 불가합니다.
6. 시스템 -> 시스템 관리 를 클릭합니다.
7. 작업 선택 -> Cloud 센서 추가 를 클릭합니다. 하단 표를 참고 하여 설정합니다.
사이트 명
5번 과정에서 생성한 사이트명을 지정합니다.
AMI
사이트명 설정 시 자동 설정
Instance Type
인스턴스 유형 선택(t2.medium 이상 선택 권장)
Size
인스턴스의 디스크 크기 지정(64GB 이상 권장)
Subnet ID
사이트명 설정 시 자동 설정
Key pair
센서 인스턴스 SSH 연결 시 사용할 Key pair 설정
8. Check init 을 클릭 합니다. Check init 이 완료 되면 생성 을 클릭합니다.
9. EC2 대시보드에 접속해서 센서 인스턴스가 생성된 것을 확인합니다.
10. Web UI 접속 후 [시스템] -> [시스템 관리] 클릭 , 추가된 미승인 센서를 체크 후 [작업 선택] -> [미승인 센서 승인] 클릭하여 승인합니다.
Docker Container 확인 방법
ZTNA Nerwork Sensor 설치 후 , 정상적으로 컨테이너가 동작하는지 확인이 필요합니다. 확인을 위해 compose.sh 스크립트를 사용하여 확인합니다.
$ cd /usr/geni # compose.sh 스크립트 사용을 위해 디렉토리를 이동합니다.
$ ./compose.sh ps # 해당 명령어를 통해 컨테이너의 동작 상태를 확인 할 수 있습니다.
State 항목이 Up 상태인지 확인합니다.
- 하단의 표를 참고하여 , 각 컨테이너가 정상 동작 하는지 확인합니다.
종류
Container Name
ZTNA Network Sensor
geni_dkns_1
ZTNA Policy Center
geni_nac_1
DB Server
geni_dbserver_1
Log Server
geni_logserver_1
Log 수집기
geni_filebeat_1
업데이트 에이전트
geni_gnupdateinfo_1