Infoblox-DDI 연동 가이드

이 가이드는 Genian NAC와 Infoblox DDI 연동에 대한 정보를 제공합니다.

가이드 개요

이 가이드는 Genian NAC와 Infoblox-DDI를 연동하여 Infoblox-DDI가 악성 사이트에 접속을 시도하는 노드를 탐지하고, 해당 노드를 Genian NAC의 접근제어 기능을 활용하여, 자동화된 대응이 가능함을 보여줍니다. 또한, 두 제품간의 연동으로 infoblox-DDI의 Secure-DNS를 전사 노드에 활용할 수 있도록 Genian NAC를 이용하여 네트워크 전체를 대상으로 모든 노드의 DNS 설정 정보 확인/교정 기능을 제공합니다.

연동의 목적

../_images/int_infoblox_map.png

Genian NAC와 infoblox-DDI를 연동하여, 다음과 같은 장점 및 효과를 IT관리자와 사용자에게 제공합니다.

관리대상 노드의 자동판단

  • Genian NAC는 네트워크 상의 모든 장치들에 대해서 정보를 수집하고, 이 것을 기반으로 자동 분류하고 그룹을 생성합니다.
  • infoblox-DDI는 Genian NAC로 IP를 전달하면, Genian NAC 는 이 IP에 대해서 추가적인 정보를 활용하여, 제어대상 여부를 자동으로 판단하여 제어합니다.

이상단말의 빠른 식별과 교정시간의 단축

  • Infoblox-DDI에서 GenianNAC로 IP 및 로그 정보를 보내면, Genian NAC는 Infoblox-DDI의 정보와 Genian NAC가 직접 수집한 이 노드에 대한 정보를 관리자에게 신속하게 제공한다.
  • 그리고 이 비정상적인 노드는 Genian NAC를 통해서, 네트워크 격리 등 즉시 대응할 수 있습니다.

관리범위의 확대

  • Genian NAC는 L2-네트워크 계층에서 네트워크 접속 제어를 수행합니다.
  • Genian NAC는 관리대상 네트워크에 존재하는 모든 IP를 가지는 노드를 찾아내고, 해당노드의 추가적인 정보를 수집/분석하여 특성에 따라 노드를 자동분류, 그룹화합니다.
  • 관리자는 Genian NAC, infoblox-DDI가 제공하는 정보를 통하여 관리해야 할 대상과 범위를 더 잘 이해할 수 있습니다.

연동을 위한 infoblox-DDI 설정

Step 1: RPZ(Response Policy Zones) Policy 추가(또는 설정)**

Data management > DNS > Response Policy Zones로 이동합니다.

  • RPZ 정책을 만듭니다(기존의 black-rule에 추가하셔도 됩니다)

    (본 가이드에서는 기존의 Black 룰과 별도의 다른 이름으로 만들어서 테스트 했습니다.)

Step 2: Syslog 전송설정

RPZ monitoring에서 Genian NAC로 전달하기 위한 설정입니다.

‘Grid > Grid Manager > setting icon(Grid properties icon)을 선택합니다.

  • ‘Monitoring’을 선택하여, Genian NAC-policy 정책서버의 IP를 설정합니다.
  • External Syslog 설정에서 RPZ-rule에만 적용하여 전송하도록 선택합니다. (다중으로도 구현 가능합니다.)

연동을 위한 Genian NAC 설정

Step 1: Syslog 수집설정

infoblox-DDI가 전송한 이벤트를 받기 위한 설정입니다.

설정 > 환경설정 > 감사기록 > Syslog 감사기록 저장으로 이동하여 필터를 추가합니다.

설정 항목 설정 값 참고
필터이름 infoblox-filter program,host,match,netmask 중 선택
필터타입 host 정책의 설명을 작성.
필터값 172.29.52.3 infoblox-DDI 장비 IP
IP 키값 SRC= IP정보를 읽을 키값을 설정
문자셋 유니코드(UTF-8) 일반적으로 UTF-8을 사용

Step 2: 제어를 위한 Tag 추가하기

Genian NAC는 타 장비와 연동 등에서 유연하고 다양하게 활용하기 위하여, Tag 기능을 제공합니다.

Infoblox DDI와의 연동 시에는, infoblox의 로그에서 제공하는 위험 등급에 따라 3종류의 Tag를 생성, 적용하였습니다.

(infoblox-DDI의 RPZ 정책의 위험도에 따라서 나누었습니다)

  • 설정 > 속성관리 > 태그 관리 > 작업선택 > 생성으로 이동합니다.
  • 태그를 생성합니다. (태그의 이름, 설명 등을 입력 후, 'Save'합니다.)
  • 본 가이드에서는 이해를 돕기 위해 'Infoblox-DDI-Isolation'으로 설명합니다.

Step 3: 제어정책 적용을 위한 로그필터 생성과 Tag 적용정책 만들기

Genian NAC는 유용한 로그필터 기능을 제공합니다.

로그의 값들을 이용하여 원하는 형태로 필터링하여 필터링된 정보를 기반으로 정책화할 수 있는 구조로 만들어져 있습니다.

  1. 로그필터 생성하기

로그 필터를 만들기 위해, ‘감사 > 로그‘로 이동합니다.

infoblox의 로그에서 제공하는 정보 검색필터 조건은 다음과 같이 작성합니다.

설정 항목 설정 값 참고
설명 passthru-major 구분을 위해 중복이름은 피해서 작성합니다.
로그타입 알림 제어 방식을 선택합니다.
로그ID Syslog infoblox에서 활용하는 RPZ-policy의 구성요소 이름

필터를 만든 후, 우측의 '저장' 버튼을 눌러서 저장하면, 로그필터의 생성은 완료됩니다.

  1. 로그필터를 통해 추출된 로그에 Tag 적용하기

로그필터 설정 창에서 추출된 노드에게 Tag를 적용하여, Infoblox-DDI가 제어할 수 있도록 설정합니다.

설정 항목 설정 값 참고
태그(Tag) 할당 Tag의 상태를 설정합니다.
검색대상 노드 검색의 대상을 지정합니다.
할당대상 노드 태그(Tag)의 할당 대상을 노드로 합니다.
태그(Tag)추가 Infoblox-DDI-Isolation 연동을 위한 Genian NAC 설정에서 정해 둔 태그(Tag)명을 설정합니다.

연동을 위한 설정이 완료되었습니다.