Ansible facts 💡 ansible fact는 ansible의 내장 모듈인 setup과 debug 모듈에 의해 실행될 수 있습니다 💡 gather fact를 비활성화 하면 facts 변수를 이용할 수 없습니다. task에서 setup 또는 debug 모듈을 통해서도 facts를 수집할 수 없습니다. ansible facts는 remote host에 대한 정보를 의미하며 OS, IP address, hostname 등등의 정보를 포함한다. ansible을 실행하면 자동으로 remote host에 대한 정보를 수집하고 수집한 정보 는 ansible_ 이라는 접두사를 붙여 저장한다. playbook이 아닌 ad-hoc 명령어에서는 setup 모듈을 이용하여 ansible fact를 수집할 수 있다. 이..
ssh는 처음 접속하는 대상에게 키를 받아올 때 신뢰할 수 있는 대상인지 확인하기 위해 사용자에게 물어보는 과정을 거치고 신뢰할 수 있다고 확인된 대상에게만 세션을 수립하고 known hosts에 등록한다. 하지만 ansible을 이용할 때 이는 굉장히 불편한데 동적 인벤토리를 이용할 때 새로운 노드가 추가될 때마다 아래와 같이 플레이북에서 신뢰할 수 있는 질의를 물어보기 때문이다. 이를 해결할 수 있는 방법은 여러가지가 있다. 먼저 환경 변수에 질의자체를 하지 않도록 정의하는 것이다. host_key_checking = False 위와 같이 적게되면 위 상황에서 질의 자체를 하지 않는다. 하지만 굉장히 보안적으로 좋지 않다. 따라서 플레이 북에 플레이를 지정하여 주는 것이 좋은 방법이다. ssh 파일에..
💡 Ansible은 yaml 형식뿐만 아니라 ini 파일 형식도 지원한다. 대부분 인벤토리 파일은 ini 방식, playbook은 yaml 형식으로 작성하는 것 같으나 이 글은 일관성을 위해 뚝심있게 yaml 형식 위주로 작성된다. 💡 Ansible은 파이썬으로 개발되었기에 파이썬 모듈들을 통해서 대상 노드들과 통신한다. 따라서 Ansible을 깔면서 파이썬도 같이 깔아줘야한다. 이 글은 ansible의 기초 이론을 대충 이해하고 있다는 가정하에 실습 위주로 작성된다. 환경변수 먼저 ansible 환경변수 파일부터 알아보도록 하겠다. apt install ansible ansible 엔진은 ansible 명령을 실행할 때 모든 환경 설정 및 세팅이 들어있는 ansible.cfg 환경변수 파일을 참고하여 ..
네트워크 혼잡QoS에 대해 알아보기 전 네트워크 혼잡에 대해 알아보아야 합니다. 네트워크 혼잡은 패킷의 손실, 지연 또는 새로운 연결 차단을 유발하는 현상을 뜻합니다. 대표적으로 지터를 생각해보시면 될 것 같습니다. 이런 네트워크 혼잡은 2가지 이유와 3가지 구조에서 발생합니다. 1. 빠른 인터페이스에서 느린 인터페이스로 포워딩할 시 발생 2. 큰 패킷이 작은 패킷의 포워딩을 지연시킬 시 발생2번이 발생하는 이유를 조금 더 깊게 설명해보겠습니다. 라우터나 스위치같은 네트워크 장치는 전송될 수 있는 양의 트래픽보다 더 많은 트래픽이 들어올 때 자원이 확보될 때까지 큐에 패킷을 저장하고 대기시킵니다. 그 후 자원을 확보면 전송하게 됩니다. 이는 당연히 지연을 발생시키고요. QoS 솔루션이 없다고 할 때 더 ..
CBAC 실습 https://404notonc.tistory.com/79 CBAC(context-based access control) CBAC? 내부에서 출발한 트래픽이 되돌아올 때 임시 ACL을 구성해 검사한 후 허용하는 것으로 응용계층의 다양한 트래픽도 제억 가능, 사이트 차단, 자바 차단등의 정책을 설정할 수 있습니다. CBAC 404notonc.tistory.com 올해 초에 CBAC에 대해 정리했었는데 이론만 정리하고 실습이 부족했던 느낌이라 간단하게 실습해보고 url filter 하는 방법에 대해 알아보겠습니다. interface GigabitEthernet0/0 ip address [공인망] 255.255.248.0 ip access-group OUTBOUND_DENY in ip nat o..
ZFW를 공부해야 하기도 하고 CBAC에 대한 공부가 부족했다고 생각하여 찾아보던 중 Reflexive ACL에 대해 알게 됐다. 요즘은 아래의 사이트를 학교에서 월정액 결제를 지원해줘서 아래 사이트 위주로 네트워크 공부를 하고 있다. 약간 쉽게 설명해주다보니 좋긴 한데 종속성? 이라고 해야하나 공부가 종속되는 느낌이여서 1차 적으로 아래 사이트를 통해 공부하고 이해가 안되는 부분은 구글링을 통해 공부하고 있다. www.networklessons.com NetworkLessons.com - Networking in Plain EnglishNetworkLessons.com teaches you everything about Cisco R&S, Security, Wireless and Linux. Great..
vlan hopping이라는 재밌는 이론을 발견해서 정리해보겠습니다. Prerequisite vlan hopping이라는 공격을 알기 전에 이해하고 들어가야하는 기술이 있습니다. DTP와 Native VLAN의 작동방식에 대해 알아보고 들어가겠습니다. DTPDynamic Trunking Protocol은 시스코 스위치 간에 트렁크 형성을 협상하는데 사용되는 프로토콜입니다. 스위치 포트에 장치가 연결되면 자동으로 활성화되며 시스코 장비와 버전에 따라 다르지만 특정 모드를 명시해주지 않았을 경우엔 dynamic auto 또는 dynamic desirable로 작동합니다. DTP 모드에 따라서 협상하는 방식이 다릅니다. Dynamic autoDynamic desirableTrunkAccessDynamic au..
1. 서론 1.1 프로젝트 기획 배경 올해 초부터 CCNP를 공부하게 되면서 무선 네트워크에 대해 관심을 가지게 되었습니다. 유선 네트워크에 대해서는 어느정도 공부했는데 정작 무선 네트워크에 대해서 전혀 알지 못했다는 사실을 알았고 CCNP의 무선 네트워크 문제에서 Rogue AP라는 무선 네트워크 취약점을 알게 됐습니다. Rogue AP에 연계해서 Evil twin attack공격에 대해 알게돼 실습해보고 싶었습니다. 1.2 프로젝트 목표 Evil twin attack 무선 네트워크 취약점을 공부하면서 무선 네트워크의 작동 방식과 취약점에 대한 공격 방식과 보안 대응 방법을 알아보고 이 분야에서 사용되고 있는 무선 네트워크 기술들을 배우면서 가지를 뻗어 무선 네트워크 분야에 발을 들이는 것이 이번 프로..
FHRP(Firsthop Redundancy Protocol)게이트웨이 이중화 프로토콜로 하나의 네트워크에 복수의 게이트웨이를 사용할 수 있게 되고(하나의 게이트웨이를 이용하는거임) 사용하던 게이트웨이의 장애로 통신이 불가능 할때 여분의 게이트웨이가 그 자리를 대신해 끊임없이 통신할 수 있게 해주는 고가용성 솔루션 중 하나다.호스트는 가상의 게이트웨이를 게이트웨이라고 알게되고 가상게이트웨이로 묶인 라우터들의 그룹이 이를 처리해주는 방식이다.종류프로토콜 특징HSRPcisco 전용 프로토콜VRRPRFC 3768의 IETF에서 정의한 세계 표준 프로토콜GLBP다른 종류의 프로토콜들과 다르게 백업 게이트웨이가 아닌 로드 밸런싱을 통해 FHRP를 구현하는 프로토콜 HSRP(Hot Standby Routing Pr..
STUB AREA로 들어가기 전 먼저 OSPF가 라우팅 광고를 할때 사용하는 패킷들의 기초 정보에 대해 알아보겠습니다. LSA (link state advertisement) 라우팅 기초 정보가 담겨진 패킷 형태의 광고, ospf 라우터는 자신의 link 상태 정보를 같은 AREA의 라우터에 LSA(주로 LSU,DDP 패킷에 담겨 전송됨)로 플러딩하여 LSDB를 만듦(30분마다 발생) 주로 해당 링크의 경로 비용과 관련된 정보를 나타냄 LSA TYPE Router LSA : 모든 OSPF 라우터에서 기본적으로 생성하고 같은 AREA 안의 모든 라우터들에게 인터페이스 링크 상태를 전송한다. 이 정보를 LSDB에 저장 Network LSA : DR이 생성한다. 같은 AREA 안의 모든 라우터들에게 DR의 I..
