네트워크 준비 =============== 네트워크에 NAC 구축을 계획할 때 몇 가지 고려 사항이 있습니다. - 장비를 어디에 두어야 하나요? - 스위치에 어떻게 연결 하나요? - 몇 개의 장비가 필요한가요? - Genian NAC가 통신하려면 어떤 포트를 열어야 하나요? 유선 연결 ----------- 정책서버는 Core Switch 포트에 액세스 포트로 직접 연결 되어야합니다. 네트워크센서는 액세스 포트 또는 트렁크 포트가 될 수 있는 Edge 스위치 포트에 연결 되어야합니다. Switches '''''''' 네트워크센서는 브로드 캐스트 패킷을 볼 수 있어야하므로 관리되는 모든 서브넷에 연결해야합니다. **VLANs** 단일 포트를 통해 여러 VLAN (최대 128 개, 권장 64개)을 모니터링 하려면 스위치 포트가 802.1Q 트렁크로 구성되어 있고 모니터링하려는 모든 VLAN이 해당 포트에서 허용되는지 확인합니다. 스위치 제조사 마다 Trunk 설정을 구성하는 방법이 다릅니다. 다음은 Cisco 스위치의 VLAN 10,20,30 및 40에 대한 802.1Q 트렁크 포트를 구성하는 예입니다. .. code-block:: bash Switch> enable Switch# configure terminal Switch(config)# interface fa0/1 Switch(config-if)# switchport trunk encapsulation dot1q Switch(config-if)# switchport mode trunk Switch(config-if)# switchport trunk allowed vlan 10,20,30,40 **SNMP** - Genian은 SNMP 버전 1, 2c 및 3를 지원합니다. - 읽기 전용 커뮤니티 문자열은 노드가 SNMP를 지원하는지 확인하는데 사용됩니다. - 네트워크센서가 노드정보를 수집하는 과정 중 노드가 SNMP 요청에 응답하면 센서는 SNMP 쿼리를 통해 BRIDGE-MIB를 지원하는지 확인함으로써 노드가 스위치인지 확인합니다. - 읽기, 쓰기 커뮤니티 문자열은 스위치 포트 설명 및 셧다운 등 스위치를 변경하는데 사용됩니다. - SNMP를 이용하여 무선 컨트롤러의 정보를 수집하는 등 다양한 부가 기능에 사용할 수 있으며, 장치의 플랫폼 정보를 탐지합니다. .. note:: 동일한 네트워크 세그먼트에 있는 모든 스위치의 액세스 목록에 네트워크센서를 추가하고 모든 OID를 보기 위해 사용자 / 그룹에 필요한 권한을 할당합니다. 자세한 정보는 다음을 참고 :ref:`browsing-switches` 원격지 ''''''' 원격지에 관리해야할 또 다른 네트워크가 있는경우 해당 위치에 별도의 네트워크센서가 필요합니다. 무선 연결 --------------------- 무선 NIC를 포함한 네트워크센서는 주변의 모든 무선 패킷을 감지하고 SSID를 식별합니다. 센서는 대상의 무선 신호를 탐지할 수 있는 물리적으로 인접한 위치에 설치해야 하며, 무선 NIC의 신호가 닿는 중심에 배치하면 대부분의 SSID를 탐지 할 수 있습니다. .. _preparing-network-serviceport: 방화벽 요구 사항 ---------------------- Genian NAC가 제대로 동작하려면 아래의 포트들이 방화벽으로부터 개방되어야합니다. [On-Premises] +-------------------+--------------------------------------------+------------------------------------+------------------------------------------------+ | SRC IP | DST IP | Service | Note | +===================+============================================+====================================+================================================+ | || 로그 서버 | | TCP/9200~9300, TCP/9300~9400 | | 로그 서버 | | || DB 서버 | | TCP/3306 | | 데이터베이스 | | || 네트워크 센서 IP, PC IP(에이전트) | | UDP/3871 | | Kepp Alive, 이벤트 송신 | | 정책서버 || https://alarm.geninetworks.com | | TCP/443 | | Alarm 서비스 | | || https://alarm2.geninetworks.com | | TCP/443 | | Alarm 서비스 | | || https://geniupdate.geninetworks.com | | TCP/443 | | GenianData 업데이트 | | || https://techlab.geninetworks.com | | TCP/80, TCP/443 | | 플랫폼 미탐지 , 오탐 보고 | | || https://pi-api.genians.com | | TCP/443 | | Genian DPI | | || https://api.genians.com | | TCP/443 | | Zero Config Sensor Lookup | | || https://geniupdate2.genians.com | | TCP/8844 | | GenianData Update | | || https://dzxsljwm8reh.cloudfront.note | | TCP/443 | | Syscollect | +-------------------+--------------------------------------------+------------------------------------+------------------------------------------------+ | | | | UDP/3870 | | Keep Alive | | 네트워크센서 IP | 정책서버 IP/FQDN | | TCP/80, TCP/443 | | 정책,액션 정보 업데이트 | | | | | UDP/514, TCP/6514 | | Syslog | | || https://dzxsljwm8reh.cloudfront.note | | TCP/443 | | Syscollect | +-------------------+--------------------------------------------+------------------------------------+------------------------------------------------+ | PC IP (에이전트) | 정책서버 IP/FQDN | | UDP/3870 | | Keep Alive | | | | | TCP/80, TCP/443 | | 정책,액션 정보 업데이트 | | | | | TCP/8000 | | Windows 업데이트 | +-------------------+--------------------------------------------+------------------------------------+------------------------------------------------+ | 관리자 PC || 정책서버 IP, 네트워크센서 IP | | TCP/3910 | | SSH | | || 정책서버 IP | | TCP/8443 | | 웹 콘솔 | +-------------------+--------------------------------------------+------------------------------------+------------------------------------------------+ [Cloud managed] +-------------------+--------------------------------------------+-------------------------------------+-----------------------------------------------+ | SRC IP | DST IP | Service | Note | +===================+============================================+=====================================+===============================================+ | 정책서버 IP || 3.34.24.101 | | TCP/80, TCP/443 | | 플랫폼 미탐지 , 오탐 보고 | | || 네트워크 센서 IP, PC IP(에이전트) | | UDP/Random | | Kepp Alive, 이벤트 송신 | +-------------------+--------------------------------------------+-------------------------------------+-----------------------------------------------+ | | | | UDP/Random | | Keep Alive | | 네트워크센서 IP | 정책서버 IP/FQDN | | TCP/80, TCP/443 | | 정책,액션 정보 업데이트 | | | | | UDP/Random, TCP/Random | | Syslog | +-------------------+--------------------------------------------+-------------------------------------+-----------------------------------------------+ | PC IP (에이전트) | 정책서버 IP/FQDN | | UDP/Random | | Keep Alive | | | | | TCP/80, TCP/443, | | 정책,액션 정보 업데이트 | | | | | TCP/8000 | | Windows 업데이트 | +-------------------+--------------------------------------------+-------------------------------------+-----------------------------------------------+ | 관리자 PC | 정책서버 IP/FQDN | | TCP/22 | | SSH | +-------------------+--------------------------------------------+-------------------------------------+-----------------------------------------------+ .. note:: **Keep Alive** 트래픽은 VLAN 인터페이스(ethX 및 ethX.X)를 포함한 모든 센서 인터페이스에서 전송 됩니다. .. note:: 운영정보 데이터 다운로드 및 플랫폼 오탐보고를 전송하기 위해서는 정책서버가 외부 통신이 가능해야 합니다. .. note:: Cloud managed의 경우 정책서버가 Cloud 환경에 존재하므로 목적지 port가 랜덤으로 설정됩니다. .. note:: 파일배포v2 keyless 방식을 사용하는 경우 다음 :ref:`파일배포v2 ` 정보도 방화벽에서 허용해야합니다. .. _Trunked Switch Port: http://www.ciscopress.com/articles/article.asp?p=2181837&seqNum=7