.. _integration-soosanint-ewalker:

수산INT eWalker SWG 연동 가이드
================================================
이 가이드는 Genian NAC와 수산INT eWalker SWG 연동에 대한 정보를 제공합니다.


가이드 개요
------------------------------------------------
 유해사이트 접속차단 제품인 수산INT의 eWalker SWG와 네트워크 접근제어 시스템인 
 Genian NAC의 연동 기능을 수행하기 위한 설정방법 및 연동테스트을 안내합니다.
 
 Genian NAC에서 IP변경이 감지되면, IP가 사용자 노드의 IP인지 확인한 후, eWalker SWG로 변경된 정보를 전송하여 eWalker SWG에서 정책에 따른 정책을 적용할 수 있도록 연동됩니다.

 (본 가이드에서는 Genian NAC가 타사장비와 연동시 범용적으로 활용하도록 제공하는 Webhook(API)을 활용하였습니다.)

 **권장 버전**
 
 .. csv-table::
     :header: "제품명 (구성요소)", "버전", "비고"
     :widths: 30 30 40

     "eWalker SWG", "V9.2.2 이상", "2020.12 이후 버전"
     "Genian NAC (정책서버)", "V5.0 이상", "2020.12 이후 버전"


연동의 목적
------------------------------------------------
본 연동은 eWalker SWG와 인사정보연동이 되어있지 않거나 인사정보 연동이 불가한 경우에
노드의 MAC 주소를 기준으로 IP가 변경되는 것을 Genian NAC가 탐지하여 eWalker SWG로
전달하여 IP가 변경되는 것에 대해 제어할 수 있도록 도움을 줍니다.

Genian NAC와 eWalker SWG 연동은 다음의 효과를 제공합니다.

**단말의 IP변경시, 유해사이트 접근제어 정책의 자동적용**
 - eWalker SWG 사용고객 중, 일반 사용자의 IP가 다양한 이유로 변경된 경우, IP기반으로 운영중인 고객사에서는 관리자가 수동으로 확인하여, 사용자의 고유 IP와 비교하여, 적용된 정책을 변경하거나 사용자에게 IP를 변경하도록 요청하여야 합니다. 그러나 연동 설정을 해두면, IP변동 시 자동으로 인지하고 eWalker SWG로 정보가 전송되어, 자동으로 정책을 적용하도록 합니다.

**IP를 고의적으로 변경한 사용자에게 네트워크 차단 등 조치**
 - 인사정보를 연동하지 않은 유해사이트 접속차단 제품은 사용자 IP를 기준으로 접근 가능한 사이트가 관리되기 때문에 사용자가 단말의 IP를 변경하여 접근하는 사용자에 대해서 제어가 필요합니다.
 - 예) 사용자 기반으로 운영되는 Genian NAC는 내부사용자가 (인터넷 사용 등에 제한이 없는 방문사용자들의 IP로 변경하여, 사내에서 접근이 제한되는 사이트를 방문하려고 시도하는 경우, Genian NAC에서 네트워크 차단 등의 조치가 가능합니다.


사전준비 사항
------------------------------------------------
**Networking 사전 준비**
 - Genian NAC 정책서버와 수산INT eWalker SWG 서버 간의 통신을 확인합니다. http TCP/80, https TCP/8443,8501 이 API 통신의 기본 포트입니다.

**수산INT eWalker SWG 의 서버정보 확인**
 - Genian NAC 에서 IP 변경을 탐지한 노드의 정보(MAC 주소 또는 IP 주소변경을 탐지한 차단서버 정보(IP 또는 차단서버 이름)를 전송할 eWalker SWG 서버의 정보를 사전에 수집합니다.
 
  .. note::

     - eWalker SWG 서버의 API 접속 주소 예) https://[eWalker SWG 서버 IP]:8501
     - API 경로 예) https://[eWalker SWG 서버 IP]:8501/ewalker/orgdb/dhcp/macid


연동을 위한 Genian NAC 설정
------------------------------------------------
본 항목에서 다루는 Genian NAC의 설정 부분은 eWalker SWG와 연동을 위한 최소한의 부분만을 소개합니다. 
본 과정은 최초 1 회만 작업해주시면 이후엔 자동으로 적용됩니다.

**Step 1: IP 변경 태그 만들기**
 **설정 > 속성관리 > 태그관리** 으로 이동하여 **작업선택 > 생성** 버튼 클릭 후 **SWG_IP 변경** 태그를 생성합니다.

**Step 2: 로그필터를 이용하여 IP 변경 노드그룹 만들기**
 **감사 > 로그 > 로그검색** 으로 이동하여 아래의 항목에 대한 검색필터 생성 과정을 진행합니다.

 1) 팝업 된 필터 설정 창의 **설명** 부분에 **노드 IP 변경 추가 감지됨** 을 입력하고, 검색 버튼을 클릭하여 IP 변경노드 탐지정보가 출력되는지 확인합니다.

  .. csv-table::
     :header: "설정 항목", "설정 값", "참고"
     :widths: 20 40 40

     "설명", "노드 IP 변경 추가 감지됨", ""

 2) 우측상단의 **저장** 을 클릭하면 추가설정 창이 나타납니다. 이름을 설정하고 하단부 태그의 NONE 을 **할당** 으로 변경한 후, 다음과 같이 입력하고 저장합니다.
  
  .. csv-table::
     :header: "설정 항목", "설정 값", "참고"
     :widths: 20 40 40

     "검색대상", "MAC", "eWalker SWG의 관리기준: MAC"
     "할당대상", "MAC", "eWalker SWG의 관리기준: MAC"
     "태그", "SWG_IP 변경 ", "Step 1 에서 생성한 태그 이름"

**Step 3: IP 변경에 대한 관리대상 노드그룹 만들기**
 **정책 > 그룹 > 노드** 로 이동하여 **작업선택** 버튼을 클릭하여 노드정책을 생성합니다.

 - 노드그룹의 조건은 다음과 같이 설정합니다

  .. csv-table::
     :header: "설정 항목", "조건", "설정 값", "참고"
     :widths: 20 25 25 30

     "태그", "존재하면", "SWG_IP 변경", "조건 1) IP 를 변경한 노드"
     "인증사용자", "사용자부서에 속하면", "회사직원", "조건 2) 인증된 직원에 한함"
     "조건연산", "AND", "", "위의 두 조건을 만족해야 함"

  .. note::
     
     IP 가 변경된 노드에 대해서 그룹을 생성하였으나 IP 가 변경된 것만으로 제어하는 것은 운영상의 위험이 따르므로 조건을 추가적용하여 신뢰도를 높여야 합니다.
     본 가이드에서는 위의 2가지 조건을 적용하여 관리대상을 지정했습니다

**Step 4: 관리대상 노드 정보를 eWalker SWG로 전송하기 위한 설정**
 **감사 > 로그검색** 으로 이동 후 상단의 검색 바를 클릭하면 검색옵션을 설정하는 부분이 팝업 됩니다.

 팝업 된 필터 설정 창의 **설명** 부분에 **제어정책 변경됨. NEW='IP 임의 변경단말 네트워크 차단'** 을 입력하고 **검색** 버튼을 클릭하여 정보가 출력되는지 확인합니다.

 올바르게 정보가 출력되면, 우측 상단의 **저장** 을 클릭하여 검색필터 설정창으로 이동합니다. 필터의 이름을 정해주고, 하단 부의 **Webhook** 을 선택하여 다음의 정보를 입력합니다.

 - Webhook 전송 설정

  .. csv-table::
     :header: "설정 항목", "설정 값", "참고"
     :widths: 20 40 40

     "방식", "POST", "Data 전송"
     "URL 설정", "https://[eWalker SWG 서버 IP]:8501/ewalker/orgdb/dhcp/macid", "변경될 수 있음"
     "CHARSET", "UTF-8", ""
     "POST 데이터", "아래의 코드 참조", "reqip는 참고용 이므로 관리자가 식별이 용이한 정보로 대체 가능 (ex. 정책서버 IP)"
     "데이터전송타입", "application/json", ""
  
  - POST 데이터 설정 값
  
   .. code-block:: bash

     {
        "cmd": "update",
        "reqip": "{_SENSORIP}",
        "reqtime": "{_DATETIMEZ}",
        "list": [
            ["{_MAC}", "{_IP}"]
        ]
     }


연동을 위한 eWalker SWG 설정
------------------------------------------------
본 항목에서 다루는 eWalker SWG의 설정 부분은 Genians NAC 연동 시의 운영 방법에 대한 부분으로, eWalker SWG에서 사용되는 조직도의 사용자 ID를 MAC 주소로 대체하여, 
Genian NAC에서 전달 받은 {MAC+IP 주소}를 eWalker SWG 정책에 적용하기 위한 설정입니다.

**Step 1: MAC 기반등록 사용자그룹만들기**
 MAC 주소를 이용하여 정책을 생성하기 위해서, 사용자 그룹을 먼저 만들어 줍니다.

 **정책 > 사용자 제어 정책 > 사용자 그룹** 으로 이동하여, 우측 상단의 **ADD** 버튼을 클릭하여 사용자 그룹을 추가합니다.
 
 - 정책 적용 대상인 **사용자 그룹** 은 등록 시 IP 를 제외한 모든 조합이 가능 합니다. IP 정보는 정책 적용을 위해 사용되며, 이는 IP 변경에 따라 자동으로 변경되는 구조가 아닌 사용자, MAC 주소를 기준으로 IP 가 추가되는 형태로 구현됩니다.

**Step 2: MAC 기반등록 정책만들기**
 MAC 주소를 이용하여 정책을 생성하는 단계입니다.

 **정책 > 사용자 제어 정책 > 정책 설정** 으로 이동하여, 우측 상단의 **ADD** 버튼을 클릭하여 정책을 추가합니다.

 - 사용자, 카테고리 그룹, 시간 그룹에 대해서도 사용자 그룹과 동일한 방식으로 생성 또는 기존에 활용 중이던 그룹정책을 활용하여 설정해 줍니다. 하단부의 설정 값은 기본 값을 활용하셔도 됩니다.

여기까지 설정 시, 내부사용자가 IP 를 변경하면, Genian NAC 에서 탐지하여 내부사용자만을 가려내어 eWalker SWG의 MAC 기반 IP 등록 정책에 자동 적용됩니다.


정상 동작 테스트 방법
------------------------------------------------
**Step 1: Genian NAC의 감사 > 로그 메뉴에서 확인**
 1. 사용자 노드의 IP 변경 시, 이벤트 발생 및 전송 여부 확인 가능

**Step 2: eWalker SWG의 정보/실시간 로그 > 시스템 로그 메뉴에서 확인**
 1. eWalker SWG Web콘솔 접속 후, (https://[eWalker SWG 서버 IP]:8500) 내용을 확인합니다. 
 2. Genian NAC 에서 정보 (MAC:IP) 변동 정보를 받을 경우 처리 내역 확인. (로그)
 3. 사용자 "00:11:22:33:44:55" MAC의 IP 가 "192.168.100.100" 으로 변경되었음을 확인 후 수신 적용 확인
   
 (Genian NAC 에서 전송한 IP 가 하나의 MAC 주소로 추가되어 다수의 IP 가 존재하는 것이 확인되면 정상적으로 동작하는 것으로 볼 수 있습니다. )