네트워크 준비

네트워크에 NAC 구축을 계획할 때 몇 가지 고려 사항이 있습니다.

  • 장비를 어디에 두어야 하나요?

  • 스위치에 어떻게 연결 하나요?

  • 몇 개의 장비가 필요한가요?

  • Genian NAC가 통신하려면 어떤 포트를 열어야 하나요?

유선 연결

정책서버는 Core Switch 포트에 액세스 포트로 직접 연결 되어야합니다. 네트워크센서는 액세스 포트 또는 트렁크 포트가 될 수 있는 Edge 스위치 포트에 연결 되어야합니다.

Switches

네트워크센서는 브로드 캐스트 패킷을 볼 수 있어야하므로 관리되는 모든 서브넷에 연결해야합니다.

VLANs

단일 포트를 통해 여러 VLAN (최대 128 개, 권장 64개)을 모니터링 하려면 스위치 포트가 802.1Q 트렁크로 구성되어 있고 모니터링하려는 모든 VLAN이 해당 포트에서 허용되는지 확인합니다.

스위치 제조사 마다 Trunk 설정을 구성하는 방법이 다릅니다.

다음은 Cisco 스위치의 VLAN 10,20,30 및 40에 대한 802.1Q 트렁크 포트를 구성하는 예입니다.

Switch> enable
Switch# configure terminal
Switch(config)# interface fa0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30,40

SNMP

  • Genian은 SNMP 버전 1, 2c 및 3를 지원합니다.

  • 읽기 전용 커뮤니티 문자열은 노드가 SNMP를 지원하는지 확인하는데 사용됩니다.

  • 네트워크센서가 노드정보를 수집하는 과정 중 노드가 SNMP 요청에 응답하면 센서는 SNMP 쿼리를 통해 BRIDGE-MIB를 지원하는지 확인함으로써 노드가 스위치인지 확인합니다.

  • 읽기, 쓰기 커뮤니티 문자열은 스위치 포트 설명 및 셧다운 등 스위치를 변경하는데 사용됩니다.

  • SNMP를 이용하여 무선 컨트롤러의 정보를 수집하는 등 다양한 부가 기능에 사용할 수 있으며, 장치의 플랫폼 정보를 탐지합니다.

Note

동일한 네트워크 세그먼트에 있는 모든 스위치의 액세스 목록에 네트워크센서를 추가하고 모든 OID를 보기 위해 사용자 / 그룹에 필요한 권한을 할당합니다. 자세한 정보는 다음을 참고 스위치 찾아보기

원격지

원격지에 관리해야할 또 다른 네트워크가 있는경우 해당 위치에 별도의 네트워크센서가 필요합니다.

무선 연결

무선 NIC를 포함한 네트워크센서는 주변의 모든 무선 패킷을 감지하고 SSID를 식별합니다. 센서는 대상의 무선 신호를 탐지할 수 있는 물리적으로 인접한 위치에 설치해야 하며, 무선 NIC의 신호가 닿는 중심에 배치하면 대부분의 SSID를 탐지 할 수 있습니다.

방화벽 요구 사항

Genian NAC가 제대로 동작하려면 아래의 포트들이 방화벽으로부터 개방되어야합니다.

[On-Premises]

SRC IP

DST IP

Service

Note

정책서버

TCP/9200~9300, TCP/9300~9400
TCP/3306
UDP/3871
TCP/443
TCP/443
TCP/443
TCP/80, TCP/443
TCP/443
TCP/443
TCP/8844
TCP/443
로그 서버
데이터베이스
Kepp Alive, 이벤트 송신
Alarm 서비스
Alarm 서비스
GenianData 업데이트
플랫폼 미탐지 , 오탐 보고
Genian DPI
Zero Config Sensor Lookup
GenianData Update
Syscollect

네트워크센서 IP

정책서버 IP/FQDN

UDP/3870
TCP/80, TCP/443
UDP/514, TCP/6514
TCP/443
Keep Alive
정책,액션 정보 업데이트
Syslog
Syscollect

PC IP (에이전트)

정책서버 IP/FQDN

UDP/3870
TCP/80, TCP/443
TCP/8000
Keep Alive
정책,액션 정보 업데이트
Windows 업데이트

관리자 PC

정책서버 IP, 네트워크센서 IP
정책서버 IP
TCP/3910
TCP/8443
SSH
웹 콘솔

[Cloud managed]

SRC IP

DST IP

Service

Note

정책서버 IP

3.34.24.101
네트워크 센서 IP, PC IP(에이전트)
TCP/80, TCP/443
UDP/Random
플랫폼 미탐지 , 오탐 보고
Kepp Alive, 이벤트 송신

네트워크센서 IP

정책서버 IP/FQDN

UDP/Random
TCP/80, TCP/443
UDP/Random, TCP/Random
Keep Alive
정책,액션 정보 업데이트
Syslog

PC IP (에이전트)

정책서버 IP/FQDN

UDP/Random
TCP/80, TCP/443,
TCP/8000
Keep Alive
정책,액션 정보 업데이트
Windows 업데이트

관리자 PC

정책서버 IP/FQDN

TCP/22
SSH

Note

Keep Alive 트래픽은 VLAN 인터페이스(ethX 및 ethX.X)를 포함한 모든 센서 인터페이스에서 전송 됩니다.

Note

운영정보 데이터 다운로드 및 플랫폼 오탐보고를 전송하기 위해서는 정책서버가 외부 통신이 가능해야 합니다.

Note

Cloud managed의 경우 정책서버가 Cloud 환경에 존재하므로 목적지 port가 랜덤으로 설정됩니다.

Note

파일배포v2 keyless 방식을 사용하는 경우 다음 파일배포v2 정보도 방화벽에서 허용해야합니다.