System, settings, administration으로 이동합니다. Secure Shell 이라는 항목이 있습니다. 활성화 해주기 위해서 enable secure shell을 선택하고 따로 인증서가 없다면 password login을 활성화 해줍니다. ssh port로 포트도 변경해줄 수 있습니다. root 접속은 허용을 안해줬기 때문에 접속을 위해서 유저 생성을 해보도록 하겠습니다. system, access, users 로 이동합니다. 유저명과 비밀번호를 적습니다. 하나 더 중요한 사항이 있는데 login shell을 선택해줘야 합니다. 기본은 nologin 이기 때문에 접속 후 바로 연결이 종료됩니다. bin 쉘로 변경했습니다. 위 항목에서 그룹 할당도 가능합니다. 짜잔
DHCP 설정란은 SERVICE, DHCPv4, [적용할 인터페이스] 순으로 이동하여 설정할 수 있습니다. 설정은 쉬운데 range에 할당할 IP의 범위를 정해주시고 아래의 DNS SERVERS, GATEWAY, DOMAIN NAME 등등을 기호에 맞게 적어주시고 맨위의 ENABLE DHCP 란을 클릭하고 저장하시면 됩니다. 그래서 이번에는 DHCP 호스트 지정 할당하는 방법을 적어보려고 합니다. 설정창에서 가장 아래로 내려보시면 사진과 같은 설정란이 있습니다. 전에 지정 할당하려는 호스트의 MAC 주소를 복사해옵니다. 룰에 방금 복사한 MAC 주소를 붙여넣기 하시고 할당하려는 IP, 게이트웨이, DNS 서버 등등을 적으시고 SAVE 합니다. 하고 APPLY CHANGES 까지 해주시면 완전히 적용됩니다..
오늘은 OPNsense라는 오픈소스형 UTM 소프트웨어를 가지고 NAT와 포트포워딩을 하는 방법을 공부해보겠습니다. 정리를 안해놓으니까 자꾸 까먹어서 올려보도록 하려고요. 이제 조만간 월급을 타면 포티넷 장비도 한번 사서 실습해보거나 ISO를 구해서 한번 실습해봐야겠습니다. 사용한 토폴로지는 위와 같습니다. VMware와 오픈센스 실장비를 브릿지로 연결하고 WAN 구간에는 저희 집 옛날 삼성 컴퓨터를 이용한 Ubuntu 18.04 온프레미스 서버가 올라가 있습니다. STATIC NAT 웹 페이지로 로그인합니다. Interface에 Virtual IPs의 Settings로 이동합니다. 저는 일단 먼저 생성한 룰이 있긴한데 위의 + 버튼을 눌러 룰을 생성합니다. Mode : IP ALIAS Interface..
Ansible facts 💡 ansible fact는 ansible의 내장 모듈인 setup과 debug 모듈에 의해 실행될 수 있습니다 💡 gather fact를 비활성화 하면 facts 변수를 이용할 수 없습니다. task에서 setup 또는 debug 모듈을 통해서도 facts를 수집할 수 없습니다. ansible facts는 remote host에 대한 정보를 의미하며 OS, IP address, hostname 등등의 정보를 포함한다. ansible을 실행하면 자동으로 remote host에 대한 정보를 수집하고 수집한 정보 는 ansible_ 이라는 접두사를 붙여 저장한다. playbook이 아닌 ad-hoc 명령어에서는 setup 모듈을 이용하여 ansible fact를 수집할 수 있다. 이..
ssh는 처음 접속하는 대상에게 키를 받아올 때 신뢰할 수 있는 대상인지 확인하기 위해 사용자에게 물어보는 과정을 거치고 신뢰할 수 있다고 확인된 대상에게만 세션을 수립하고 known hosts에 등록한다. 하지만 ansible을 이용할 때 이는 굉장히 불편한데 동적 인벤토리를 이용할 때 새로운 노드가 추가될 때마다 아래와 같이 플레이북에서 신뢰할 수 있는 질의를 물어보기 때문이다. 이를 해결할 수 있는 방법은 여러가지가 있다. 먼저 환경 변수에 질의자체를 하지 않도록 정의하는 것이다. host_key_checking = False 위와 같이 적게되면 위 상황에서 질의 자체를 하지 않는다. 하지만 굉장히 보안적으로 좋지 않다. 따라서 플레이 북에 플레이를 지정하여 주는 것이 좋은 방법이다. ssh 파일에..
💡 Ansible은 yaml 형식뿐만 아니라 ini 파일 형식도 지원한다. 대부분 인벤토리 파일은 ini 방식, playbook은 yaml 형식으로 작성하는 것 같으나 이 글은 일관성을 위해 뚝심있게 yaml 형식 위주로 작성된다. 💡 Ansible은 파이썬으로 개발되었기에 파이썬 모듈들을 통해서 대상 노드들과 통신한다. 따라서 Ansible을 깔면서 파이썬도 같이 깔아줘야한다. 이 글은 ansible의 기초 이론을 대충 이해하고 있다는 가정하에 실습 위주로 작성된다. 환경변수 먼저 ansible 환경변수 파일부터 알아보도록 하겠다. apt install ansible ansible 엔진은 ansible 명령을 실행할 때 모든 환경 설정 및 세팅이 들어있는 ansible.cfg 환경변수 파일을 참고하여 ..
네트워크 혼잡QoS에 대해 알아보기 전 네트워크 혼잡에 대해 알아보아야 합니다. 네트워크 혼잡은 패킷의 손실, 지연 또는 새로운 연결 차단을 유발하는 현상을 뜻합니다. 대표적으로 지터를 생각해보시면 될 것 같습니다. 이런 네트워크 혼잡은 2가지 이유와 3가지 구조에서 발생합니다. 1. 빠른 인터페이스에서 느린 인터페이스로 포워딩할 시 발생 2. 큰 패킷이 작은 패킷의 포워딩을 지연시킬 시 발생2번이 발생하는 이유를 조금 더 깊게 설명해보겠습니다. 라우터나 스위치같은 네트워크 장치는 전송될 수 있는 양의 트래픽보다 더 많은 트래픽이 들어올 때 자원이 확보될 때까지 큐에 패킷을 저장하고 대기시킵니다. 그 후 자원을 확보면 전송하게 됩니다. 이는 당연히 지연을 발생시키고요. QoS 솔루션이 없다고 할 때 더 ..
CBAC 실습 https://404notonc.tistory.com/79 CBAC(context-based access control) CBAC? 내부에서 출발한 트래픽이 되돌아올 때 임시 ACL을 구성해 검사한 후 허용하는 것으로 응용계층의 다양한 트래픽도 제억 가능, 사이트 차단, 자바 차단등의 정책을 설정할 수 있습니다. CBAC 404notonc.tistory.com 올해 초에 CBAC에 대해 정리했었는데 이론만 정리하고 실습이 부족했던 느낌이라 간단하게 실습해보고 url filter 하는 방법에 대해 알아보겠습니다. interface GigabitEthernet0/0 ip address [공인망] 255.255.248.0 ip access-group OUTBOUND_DENY in ip nat o..
ZFW를 공부해야 하기도 하고 CBAC에 대한 공부가 부족했다고 생각하여 찾아보던 중 Reflexive ACL에 대해 알게 됐다. 요즘은 아래의 사이트를 학교에서 월정액 결제를 지원해줘서 아래 사이트 위주로 네트워크 공부를 하고 있다. 약간 쉽게 설명해주다보니 좋긴 한데 종속성? 이라고 해야하나 공부가 종속되는 느낌이여서 1차 적으로 아래 사이트를 통해 공부하고 이해가 안되는 부분은 구글링을 통해 공부하고 있다. www.networklessons.com NetworkLessons.com - Networking in Plain EnglishNetworkLessons.com teaches you everything about Cisco R&S, Security, Wireless and Linux. Great..
vlan hopping이라는 재밌는 이론을 발견해서 정리해보겠습니다. Prerequisite vlan hopping이라는 공격을 알기 전에 이해하고 들어가야하는 기술이 있습니다. DTP와 Native VLAN의 작동방식에 대해 알아보고 들어가겠습니다. DTPDynamic Trunking Protocol은 시스코 스위치 간에 트렁크 형성을 협상하는데 사용되는 프로토콜입니다. 스위치 포트에 장치가 연결되면 자동으로 활성화되며 시스코 장비와 버전에 따라 다르지만 특정 모드를 명시해주지 않았을 경우엔 dynamic auto 또는 dynamic desirable로 작동합니다. DTP 모드에 따라서 협상하는 방식이 다릅니다. Dynamic autoDynamic desirableTrunkAccessDynamic au..
