NAC 분석 방법

이 페이지에서는 NAC에서 문제를 해결하기 위해 검사할 수 있는 주요 프로세스에 대한 개요를 제공한다.

NAC 프로세스 설명

정책서버 프로세스

centerd: 정책과 노드관리
sensord: 네트워크센서 프로세스
mysql: 데이터베이스에 노드와 정책정보를 저장
httpd: 웹서비스 데몬
java: WebUI를 실행하기 위한 JAVA프로세스로 웹과 데이터베이스 간의 연결작업 수행
procmond: NAC에서 사용하는 프로세스 모니터 데몬, 비정상 종료 모니터링 및 재실행 수행
sshd: SSH 원격접속 서비스를 제공하는 데몬
syslog-ng: SYSLOG 데몬
hbd:하드웨어 또는 소프트웨어 오류가 발생한 경우 일정 시간 후 시스템을 정상화하는 작업(부팅 등)을 수행하는 데몬
mysqld_safe: mysqld 서버구동이 실패할 때 Mysqld_error에 재시작 및 런타임 정보를 저장하는 스크립트
gnlogin: CLI 명령 실행을 위한 서비스 제공
crond: 지정된 사이클에서 스크립트 및 명령을 수행하는 데몬
radiusd: 인증을 위한 RADIUS서버 데몬

네트워크센서 프로세스

sensord: 네트워크센서 프로세스
nmap: 노드의 네트워크 정보 검색 도구
procmond: NAC에서 사용하는 프로세스 모니터 데몬, 비정상 종료 모니터링 및 재실행 수행
sshd: SSH 원격접속 서비스를 제공하는 데몬
syslog-ng: SYSLOG 데몬
hbd: 하드웨어 또는 소프트웨어 오류가 발생한 경우 일정 시간 후 시스템을 정상화하는 작업(부팅 등)을 수행하는 데몬

에이전트 프로세스

프로세스명 : GnAgent.exe
설명 : Genian Agent
기능 : 에이전트 무경설 검사, 노드 정책 수신 및 GnPlugin 실행 관리
실행주기 : 항상
실행조건 : 윈도우즈 로그온 이후 항상

프로세스명: GnPlugin.exe
프로세스명: Genian Action Plugin
기능: 노드 정책의 작업 정책 수행 및 결과 전송
실행 주기: 항상
실행조건: 노드정책에 에이전트 액션이 있는 경우

프로세스명: GnStart.exe
프로세스명: Genian Starter
기능: 에이전트 무결성 검사, GnAgent 실행 관리, Keepalive 전송
실행 주기: 항상
실행조건: 항상

프로세스명: GnAccount.exe
프로세스명: Genian User Account Manager
기능: OS 로그온 계정 대신 특정 계정으로 GnAgent 프로세스를 실행하는 경우 사용
실행 주기: 이벤트가 발생한 경우
실행조건: 노드정책에 에이전트 실행계정 설정이 되어 있는 경우

프로세스명: GnDump.exe
프로세스명: Genian Agent Dump Utility
기능: 에이전트 디버그로그 수집
실행 주기: 없음
실행조건: 수동 실행 시에만 작동

프로세스명: GnExLib.exe
프로세스명: Genian External Module
기능: 외부 인증 모듈 등록(예:dll)
실행 주기: 없음
실행조건: 정책적으로 수동 실행시나 인증정보 갱신시

프로세스명: GnScript.exe
프로세스명: Genians Software Install Manager
기능: 에이전트 설치시
실행 주기: 없음
실행조건: 에이전트 설치 중에만 실행

프로세스명: GnUpdate.exe
프로세스명: Genian Updater
기능: 에이전트 자동 업데이트검사 및 업데이트
실행 주기: 6시간
실행조건: 없음

프로세스명: GnUtil.exe
프로세스명: Genian Agent Utility
Funcfiton: 특정 파일의 SHA1 해시 값 계산
실행 주기: 없음
실행조건: 수동으로 실행될 때만 작동함

시스템 디버그 프로세스명

정책서버 로그

Elasticsearch

GENIAN.log: Elasticsearch 프로세스 비정상 종료 및 재시작 오류 로그

httpd

Error_log: httpd 에러 로그
Mod_jk.log: Apache와 Tomcat은 Apache JServ Protocol(AJP)을 사용하여 통신하여 서로 통신하고 mod_jk라는 모듈을 사용하여 구성한다.
- Apache 및 Tomcat 관련 오류 로그

mysqld

Initdb.log: 데이터베이스 초기화 중에 생성된 로그
구동시 테이블이 비정상인지 점검해야 한다.

Mysqld.error: mysql 작업 중 오류 로그
Slowquery.log: 장시간 실행된 작업에 대한 SQL 쿼리 로그
- NAC 작동 중 특정 작업이 오래 걸리는 경우 참조

system

Agent: PC에 저장된 에이전트 로그를 정책 서버에서 호출하여 저장

centerd: 정책서버에서 수행한 작업에 대한 로그
- 정책 서버 상태, 노드 Role 상태, 인증, 연동, 데이터 동기화 등

sensord: 네트워크센서가 수행한 작업 및 오류 로그
- 네트워크센서 상태, 노드 감지, UP/Down, 정책 수신 등

messages: dmesg와 같은 하드웨어 상태 관련 메시지

procmond: 프로세스가 비정상적으로 종료되고 다시 시작된 로그
scanraw: 노드의 플랫폼 탐지를 위한 노드의 네트워크 검색 정보
updown: 에이전트 Up/Down 상태 로그
authsync: 정보동기화 관련 로그
dbmigration: 데이터베이스 마이그레이션 로그
gnlogin: CLI명령어 수행 이력 로그
radius.log: RADIUS 상태 및 노드 인증 로그

tomcat

Catalina.out: catalina.log 파일은 Tomcats "system.out""system.err" 스트림에 기록된 모든 로그 메시지를 포함한다
catalina.out에 포함된 내용:
- 미발견된 예외 사항 java.lang.ThreadGroup.uncaughtException(..)
- 시스템 신호를 통해 요청한 경우 시스템 덤프 제공

radius

Radiusd: 인증 및 오류 기록 포함(외부포함)
외부 서버에서 가져온 계정

시스템 검사

cli 명령어를 이용하여 NAC시스템의 상태를 확인합니다.

  • 박스에 표시된 대로 다음 단계를 수행하십시오.
  • 정책서버 콘솔에 직접 연결하거나 SSH통해 제품에 접속합니다.
genian> en

genian#

서버체크와 시스템 정보

  • 시스템 이중화 여부 확인
genian# show ha status
  • 데이터베이스 이중화체크, 복제상태 체크
genian# show replication status
  • 시스템 구동된 시간, 시스템 부하
genian# show uptime
  • 제품버전, H/W모델명 확인, 설치날짜
genian# show Version
  • 사용중인 인터페이스 정보 확인
genian# show interface all
  • 시스템 마운트 정보
genian# show filesystem

서비스 상태 체크

NAC에서 필요한 모든 프로세스가 실행 중인지 확인하십시오.

구성 요소별 필요한 프로세스:

정책서버:
Mysqld, elasticsearch, java, centerd, sensord, httpd, procmond, sshd, syslog-ng, radius (Need confirmation if using RADIUS server), vrrpd (Need confirmation if using HA configuration)

네트워크센서:
sensord, procmond, sshd

    명령어:
    genian# show processes

디스크사용량 체크와 메모리체크

서버의 하드 디스크 용량 및 메모리를 확인합니다. 하드 디스크가 꽉 찼거나 사용 가능한 메모리가 없는 경우 NAC는 다음과 같은 문제가 발생할 수 있습니다.

  • NAC 동작이 느리거나 동작하지 않음
  • 백업파일이 만들어 지지 않음
명령어:
genian# show Memory
genian# show filesystem

네트워크센서 확인 방법:

genian# show enforcer
interface | mode | active | local | request | strict | max
bond0.100 |    2 |    OFF |    ON |     OFF |    OFF | 10
bond0.101 |    2 |    OFF |    ON |     OFF |    OFF | 10

노드상태 확인 방법:

genian# show nodeinfo filter [IP address]
    IP              | MAC               | device | sta | up |    age |   idle |     expire | noderole
    172.29.20.183   | 00:E0:4C:36:0D:F8 | eth0   |   1 |  1 | 1728088 |      5 |   -3118306 | Unauthorized Device(10)

ARP Poisoning list
genian# show nodeinfo poisoning [IP address]
IP=172.29.111.55 MAC=00:05:1B:A3:E2:07 IF=bond0.111
TARGET=172.29.111.56   ACTIVE=1 LASTREQ=832    DSTTOXIC=0
TARGET=172.29.111.254  ACTIVE=1 LASTREQ=0      DSTTOXIC=0