시큐리티백

기본 세팅

vmware 설치 후 ESXi 이미지 파일 삽입 ( 설치 설명은 생략합니다. 그냥 설치만 하면돼서.... 앞글 URL참고 )

1.

VMware Network Editor 설정

VMnet 1 ---> ESXi 내부 인프라에 접근하기 위해 설정

VMnet 5 ---> ESXi 내부 인프라에 접속하려는 공격자를 설정하기 위해 설정

VMnet 8 ---> ESXi 내부 인프라 구성을 위해 설정

2.

vmware 설치 전 하드웨어 구성화면입니다.

network adapter를 2개 추가한 것을 확인할 수 있습니다.

3.

초기 ESXi 설정 화면입니다.

4.

루트 아이디와 비밀번호 설정 화면입니다.

5.

인슬톨 중인 화면입니다.

6.

인스톨 완료 후 ip 설정을 확인하기 위해 구성 설정 화면입니다.

Configure Management Network로 들어가여 구성 설정을 변경 해줍니다.

7.

IPv4 Configuration을 선택해줍니다.

8.

설정을 위와 같이 세팅해주고 나갑니다.

ESXi는 192.168.108.128의 아이피를 고정으로 사용하도록 설정합니다.

9.

설정 완료하고 재부팅한 화면입니다.

10.

아이피 입력 후 화면입니다. ( 192.168.108.128 )

맨 밑에 안전하지 않음으로 이동 부분에 ip를 클릭해 페이지를 이동합니다.

11.

 ESXi 크롬으로 접속한 화면입니다. 아까 설정한 root아이디와 비밀번호를 입력합니다.

다음 글에는 ESXi 아이피로 접근하여 가상 스위치와 포트들을 구성할 예정입니다.

교육 중 ESXi를 활용한 수업이 있어서 그 구성도를 한번 가져와봤다.

이 구성도를 구축해보고 실습하는 것을 앞으로 포스팅할 예정입니다.

구성도

실습 환경은 VMware와 와 ESXi를 설치하여 구성

VMware station 15 체험판 (30일) - https://my.vmware.com/en/web/vmware/info/slug/desktop_end_user_computing/vmware_workstation_pro/15_0

ESXi 이미지파일 - https://my.vmware.com/en/web/vmware/evalcenter?p=free-esxi6

NAC( Network Access Control ) 이란?

 NAC 시스템은 과거 IP 관리 시스템에서 발전한 솔루션입니다.

NAC(네트워크 접근제어)는 일련의 프로토콜들을 사용해 '엔드포인트(Endpoint)'가 처음 내부망 네트워크에  접근시도를 할 때 기존 내부망에 피해를 끼치지 않도록 접속하는 '엔드포인트'에 일련의 보안 정책을 적용할 수 있도록 하는 컴퓨터 네트워킹 솔루션입니다.

* 엔드포인트(endpoint)란 노트북 컴퓨터 스마트폰 등 네트워크에 접속하는 모든 유무선 단말들을 일컫는다.

주요 기능

1. 접근제어/ 인증

2. PC 및 네트워크 장치 통제 ( 무결성 체크 )

3. 해킹, 웹, 유해 트래픽 탐지 및 차단

동작과정

NAC의 접근 제어 및 인증 기능은 일반적으로 MAC주소를 기반으로 수행된다. MAC 주소를 IP 관리 시스템의 관리자에게 알려줘야 합니다. 관리자가 해당 MAC 주소를 NAC에 등록하면 사용자는 비로소 해당 네트워크를 사용할 수 있는 권한을 가집니다.

엔드포인트가 사내망에 연결 될 때 백신 보호 레벨, 시스템 업데이트 레벨 그리고 환경설정이 회사가 정해놓은 정책과 맞지 않는다면 내부망에 접근을 못하게 됩니다.

미리 설치되어 있는 NAC(네트워크 접근제어)에이전트가 엔드포인트를 검역하는 동안 이 엔드포인트는 오직 패치나 백신을 받을 수 있는 서버와만 통신이 가능합니다.

정해져 있는 NAC(네트워크 접근제어)보안 정책에 맞게 엔드포인트가 준비 되었을 때 비로서 내부망과 인터넷에 접근할 수 있습니다.

NAC(네트워크 접근제어)는 주로 엔드포인트 검역을 위한 것이지만 종종 역할기반 통신제어의 용도로 사용되기도 합니다.

이때, 내부망 접근은 사용자의 직위 또는 직책과 점검상태의 결과에 따라 다르게 주어집니다.

NAC의 효과

1. Zero-day attack의 경감

NAC솔루션의 가장 중요한 역할은 엔드포인트들이 네트워크에 접근했을 때 네트워크 상의 엔드포인트들이 새로 접근한 엔드포인트에 의해 바이러스에 감염되는 것을 막는 것에 있습니다.

2. 정책의 강제화

NAC 솔루션은 네트워크 관리자들이 어떤 종류의 엔드포인트들이나 사용자들이 네트워크에 허용되는지 방침을 세우고 스위치, 라우터, 네트워크 중간 장비들로 구성된 네트워크에 정책을 강제화할 수 있게 해줍니다.

3. 계정 및 접근관리

옛 방식은 IP를 기준으로 통제를 했다면 NAC(네트워크 접근제어)는 IP기준이 아니라 사용자를 기준으로 네트워크를 통제합니다.

ESXi 란?

대다수의 사람들이 알고있는 가상화란 윈도우즈 OS 나 리눅스 계열의 OS, 또는 Mac OS X 운영체제 위에 가상화 프로그램 등을 설치하여 그 위에 다시 Guest OS를 설치하는 방법등으로 알고 있습니다.

( ex : 하드웨어 --> 운영체제 --> 가상화 프로그램(vmware , virtualbox) --> 가상 Guest OS )

 하지만 ESXi 란 OS 위에서 동작을 하는 방식이 아닌 ESXi 자체가 시스템을 구동하여 가상운영체를 동작할 수 있습니다.

( ex : 하드웨어 -> ESXi -> 가상 운영체제 )

 즉 ESXi 가 윈도우즈나 리눅스등의 별도의 운영체제 없이 가상 운영체제를 다이렉트로 관리 하는 기능을 제공합니다. 여러 개의 가상머신으로 서버를 파티셔닝 합니다.

ESXi 를 VMKernel 이라고도 부르는데, VM 에서 구동되고 있는 가상 운영체제 들은 물리적 하드웨어에 직접적인 Access 없이 CPU , Memory , Hard disk , NIC에 Access가 가능합니다.

VMKernel 은 Virtual Machine 의 Resource 사용 요청을 VMM (Virtual Machine Monitor) 을 통해 받게 됩니다. 그리고 그 요청을 물리적 하드웨어 에게 전달합니다. VM웨어에서 하드웨어에 접근하는 방식에서 차이가 납니다.

ESXi (ESX 뒤에 i - Integrated) 버전은 ESX 버전의 Slim 버전이며 무료로 출시 되었습니다. 다만 Free 버전 ESXi 는 그 기능이 매우 제약적이며 ESX 유료 버전에서 구현할 수 있는 모든 기능을 사용해 볼 수 있는것은 아닙니다. 

 Free 버전에서는 간단하게 Virtual Machine 을 생성하고 그 위에 가상 운영체제를 설치하여 작동 시켜보는 기능정도만 제공 한다고 생각하면 됩니다.

 다음 글에서는 교육에서 배웠던 내용을 직접 제 컴퓨터에 구성하여 가상 네트워크를 생성해 보도록 하겠습니다.

정리

 ㅇ 하드웨어에 직접 설치하는 가상화 프로그램이다. 

 ㅇ 하드웨어 바로 위에서 동작하며 고성능을 자랑한다.

 ㅇ 하드웨어 -> ESXi -> 가상 운영체제

 ㅇ 하드웨어의 리소스를 100%사용할수있는것이 장점이다.

내용

내용

개인적인 생각

딕션너리 ( Dictionary )

셋 ( Set )

튜플 ( Tuple )

리스트 List 

인덱싱, 슬라이싱