네트워크 준비

네트워크에 ZTNA 구축을 계획할 때 몇 가지 고려 사항이 있습니다.

  • 장비를 어디에 두어야 하나요?

  • 스위치에 어떻게 연결 하나요?

  • 몇 개의 장비가 필요한가요?

  • Genian ZTNA가 통신하려면 어떤 포트를 열어야 하나요?

유선 연결

정책서버는 Core Switch의 액세스 포트에 직접 연결되어야 합니다. 네트워크센서는 액세스 포트 또는 트렁크 포트가 될 수 있는 Edge 스위치 포트에 연결되어야 합니다.

Switches

네트워크센서는 브로드캐스트 패킷을 볼 수 있어야 하므로 관리되는 모든 서브넷에 연결해야 합니다.

VLANs

단일 포트를 통해 여러 VLAN(최대 128개, 권장 64개)을 모니터링하려면 스위치 포트가 802.1Q 트렁크로 구성되어 있고 모니터링하려는 모든 VLAN이 해당 포트에서 허용되는지 확인합니다.

스위치 제조사마다 Trunk 설정을 구성하는 방법이 다릅니다.

다음은 Cisco 스위치의 VLAN 10,20,30 및 40에 대한 802.1Q 트렁크 포트를 구성하는 예입니다.

Switch> enable
Switch# configure terminal
Switch(config)# interface fa0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30,40

SNMP

  • Genian은 SNMP 버전 1, 2c 및 3를 지원합니다.

  • 읽기 전용 커뮤니티 문자열은 노드가 SNMP를 지원하는지 확인하는데 사용됩니다.

  • 네트워크센서가 노드정보를 수집하는 과정 중 노드가 SNMP 요청에 응답하면 센서는 SNMP 쿼리를 통해 BRIDGE-MIB를 지원하는지 확인함으로써 노드가 스위치인지 확인합니다.

  • 읽기, 쓰기 커뮤니티 문자열은 스위치 포트 설명 및 셧다운 등 스위치를 변경하는데 사용됩니다.

  • SNMP를 이용하여 무선 컨트롤러의 정보를 수집하는 등 다양한 부가 기능에 사용할 수 있으며, 장치의 플랫폼 정보를 탐지합니다.

주석

동일한 네트워크 세그먼트에 있는 모든 스위치의 액세스 목록에 네트워크센서를 추가하고 모든 OID를 보기 위해 사용자/그룹에 필요한 권한을 할당합니다. 자세한 정보는 스위치 찾아보기 를 참고하세요.

원격지

원격지에 관리해야 할 또 다른 네트워크가 있는 경우 해당 위치에 별도의 네트워크센서가 필요합니다.

무선 연결

무선 NIC를 포함한 네트워크센서는 주변의 모든 무선 패킷을 감지하고 SSID를 식별합니다. 센서는 대상의 무선 신호를 탐지할 수 있는 물리적으로 인접한 위치에 설치해야 하며, 무선 NIC의 신호가 닿는 중심에 배치하면 대부분의 SSID를 탐지할 수 있습니다.

방화벽 요구 사항

Genian ZTNA가 제대로 동작하려면 아래 포트를 방화벽에서 개방해야 합니다.

[On-Premises]

SRC IP

DST IP

Service

Note

정책서버
로그 서버
DB 서버
네트워크센서 IP, PC IP(에이전트)
https://alarm2.genians.com
https://geniupdate2.genians.com
https://cmupdate2.genians.com
https://techlab2.genians.com
https://pi-api.genians.com
https://dzxsljwmt8reh.cloudfront.net
https://tuf-repo-cdn.sigstore.dev
https://rekor.sigstore.dev
TCP/9200~9300, TCP/9300~9400
TCP/3306
UDP/3871
TCP/8844
TCP/8844
TCP/8844
TCP/8844
TCP/443
TCP/443
TCP/443
TCP/443
로그 서버
데이터베이스
Keep Alive, 이벤트 송신
Alarm 서비스
GenianData 업데이트
GenianData 업데이트
플랫폼 미탐지/오탐 보고
Genian DPI
Syscollect 업데이트
SLSA 검증
SLSA 검증

네트워크센서 IP

정책서버 IP/FQDN
UDP/3870
TCP/80, TCP/443
UDP/514, TCP/6514
Keep Alive
정책,액션 정보 업데이트
Syslog

https://dzxsljwmt8reh.cloudfront.net

TCP/443

Syscollect 업데이트

PC IP (에이전트)

정책서버 IP/FQDN
UDP/3870
TCP/80, TCP/443
TCP/8000
Keep Alive
정책,액션 정보 업데이트
Windows 업데이트

관리자 PC
정책서버 IP, 네트워크센서 IP
정책서버 IP
TCP/3910
TCP/8443
SSH
웹 콘솔

[Cloud managed]

SRC IP

DST IP

Service

Note

정책서버 IP

52.78.17.154 (geniupdate.geninetworks.com)

TCP/80, TCP/443

GENIAN Data Update

네트워크센서 IP

정책서버 IP/FQDN
UDP/Random
TCP/80, TCP/443
UDP/Random, TCP/Random
Keep Alive
Update Information/Policy
Syslog

PC IP (에이전트)

정책서버 IP/FQDN
UDP/Random
TCP/80, TCP/443,
UDP/Random, TCP/Random
Keep Alive
Update Information/Policy
Windows Update

주석

운영정보 데이터를 다운로드 하기 위해서는 정책서버가 외부 통신이 가능해야 합니다.

주석

Cloud managed의 경우 정책서버가 Cloud 환경에 존재하므로 목적지 port가 랜덤으로 설정됩니다.