Technical/Network50 LAG PSC , LACP bonding 구성시 포트별 트래픽 고르게 분산 하기 Linux bonding mode 4 (LACP) 구성시 포트별 트래픽이 고르게 분산 되지 않는데요. 기본 분산 기준에 대해 Layer 2 기준인 MAC 을 기반으로 하기 때문에 포트별 트래픽이 고르게 분산 되지 않습니다. 이를 해결 하는 방법은 각 장비별 PSC(port-selection-criteria) 즉 포트 설정 기준을 변경해주면 됩니다. PSC 즉 포트별 선택 하는 기준 , CISCO 에서는 Port-channel Loadbalancing 을 칭하는 말입니다. Layer 2 기준 = MAC Layer 3 기준 = IP Layer 4 기준 = Port 즉 LAG(Link aggregation group) 기본 포트 선택 기준은 Layer 2 인데 이 기준을 Layer 3 or Layer 4 로 .. 2022. 2. 11. Apache Log4j 2(Log for java) 취약점 및 밴더 장비별 답변 * 취약점 내용 요약 * ------------------------------------------------------------------------------ " Apache 의 Log4j 2(Log for java) 에서 발생하는 취약점 " □ Log4j 2는 프로그램 작성 중 로그를 남기기 위해 사용되는 자바 기반의 오픈소스 유틸리티 □ https://logging.apache.org/log4j □ CVE-2021-44228 Apache Log4j 2에서 발생하는 원격코드 실행 취약점 □ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228 □ Log4j2 가 사용되는 경우, 공격자는 해당 취약점을 이용하여 악성코드 감염 등의 피해를 발.. 2022. 1. 7. CISCO 네트워크 보안 취약점 조치 방법(6) 분류 점검항목 항목 중요도 기능관리 Finger 서비스 차단 중 웹 서비스 차단 중 TCP/UDP Small 서비스 차단 중 Bootp 서비스 차단 중 CDP 서비스 차단 중 Directed-broadcast 차단 중 ■ Finger 서비스 차단 1) Finger 서비스 차단 방법 ※ 12.1(5), 12.1(5)T 이상 버전은 기본적으로 비활성화 되어있다. hostname(config)# no service infiger ( 이전버전) hostname(config)# no ip finger ■ 웹 서비스 차단 1) 웹 서비스 차단 방법 ※ 스위치를 통과하는 웹 서비스를 차단하는 설정 아님. hostname(config)# no ip http server //스위치의 http 서비스 해제 hostname.. 2021. 12. 29. CISCO 네트워크 보안 취약점 조치 방법(5) 분류 점검항목 항목 중요도 기능관리 TFTP 서비스 차단 상 Spoofing 방지 필터링 적용 또는 보안장비 사용 상 DDoS 공격 방어 설정 또는 DDoS 장비 사용 상 사용하지 않는 인터페이스 Shutdown 설정 상 TCP Keepalive 서비스 설정 중 ■ TFTP 서비스 차단 1) 서비스 차단 설정 방법 hostname# config terminal hostname(config)# no service tftp ■ Spoofing 방지 필터링 적용 또는 보안장비 사용 1) 필터링 설정 방법 hostname# config t hostname(config)# access-list 1 deny ip 0.0.0.0 0.255.255.255 any hostname(config)# access-list 1.. 2021. 12. 7. VMware Alteon L4 이중화(vrrp) 구성 이번 포스팅에서는 VMware에서 alteonOS 이중화 구성으로 구축해 보겠습니다. -VMware alteon 이중화 구성 (1) 상단과 하단의 vlan을 나누어 ip를 할당합니다. (2) vlan 10(up) , vlan 20(down)으로 생성하고 상단과 하단에 각각 untagging 합니다. (4) VRRP는 Active-Standby 모드를 사용합니다. (6) VIP 10.10.10.1은 서버들의 GATEWAY 역할을 , VIP 192.168.5.150 은 서비스 IP가 될 것입니다. (7) IP는 네트워크 상황에 맞게 변경하셔도 상관없습니다. 1. L4 , 서버 생성 -일단 이번 구성에 사용할 L4 스위치 및 서버를 생성합니다. 위와 같이 웹서버 2개 L4 2개를 만들어 줍니다. -웹서버는 8.. 2021. 12. 6. 광케이블 및 GBIC 포설 유의사항 장비 - 장비간 광케이블 연결 장비와 장비가 광케이블로 연결되기 위해선 일반적으로 장비 - GBIC - 광케이블 - GBIC - 장비 연결 됩니다. 지빅과 광케이블은 연결되는 모양과 모드의 종류가 있고 정상적인 통신을 위해서는 이런 모드/타입이 맞아야 합니다. 이에대해 자주 보이는 부분만 정리하여 간락하게 기술 합니다. 광케이블 - GBIC 연결 부분 타입 LC 타입 가장 일반적인 타입 SC 타입 케이블 및 GBIC 모드 멀티 모드 전송거리 짧음 GBIC - 파장 850nm : 멀티 싱글 모드 전송거리 김 GBIC - 파장 1300~1500nm : 싱글3. 케이블 색에 따른 모드 1. 주황 : 1G 멀티 2. 노랑 : 1G, 10G 싱글 3. 파랑 : 10G 멀티 속도 1G / 10G 로 나눠 짐 정리 .. 2021. 12. 3. CISCO 네트워크 보안 취약점 조치 방법(4) 분 류 점검항목 항목중요도 기능관리 SNMP 서비스 확인 상 SNMP community string 복잡성 설정 상 SNMP ACL 설정 상 SNMP 커뮤니티 권한 설정 상 ■ SNMP 서비스 확인 1) 설정 확인 방법 switch# show run // snmp 설정 확인 or switch# show snmp // snmp 서비스 동작 확인 ! %SNMP agent not enabled // snmp 서비스 비활성화 시 나오는 문구 ! 2) snmp 서비스 중지 방법 switch(config)#no snmp-server ■ SNMP community string 복잡성 설정 1) 설정 방법 switch(config)# snmp-server community 1qeig3k // 1qeig3k 커뮤니티명 .. 2021. 11. 3. wireshark ( Dup Ack / Retransmission ) TCP 관련 패킷분석 wireshark를 통해 흔히 보이는 TCP 관련 " Dup Ack" 및 " Retransmission " 패킷에 관한 정보입니다. 1. Dup Ack 가 발견되는 이유 -> 출발지에서 많은 양의 데이터를 요청하여 목적지에 세그먼트 순서가 다르게 받아들인 경우 ex ) 1 , 2 , 3 데이터를 전송했는데 1, 3 만 받는 경우 2 데이터가 송신되지 않아 " Dup Ack " 발생원인 -> 총 3회에 걸쳐 확인이 되지 않는경우 재 전송을 진행 ( Retransmission 발생 ) -> 보통 서버의 서비스 데이터 패킷을 전송중에 방대한 량이 전송되는 경우 종종 발생 -> 서버와 연결한 네트워크 스위치의 MTU 사이즈 확인 및 서버의 애플리케이션이 전송되는 데이터 사이즈 확인 2. Retransmissio.. 2021. 10. 26. CISCO 네트워크 보안 취약점 조치 방법(3) 분류 점검 항목 항목중요도 패치관리 최신 보안 패치 및 벤더 권고사항 적용 상 로그관리 원격 로그서버 사용 하 로깅 버퍼 크기 설정 중 정책에 따른 로깅 설정 중 NTP 서버 연동 중 timestamp 로그 설정 하 ■ 최신 보안 패치 및 벤더 권고사항 적용 1) 버전 확인 방법 switch# show version Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(4)E6, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport . . . (이하 생략) ※ 서비스 영향을 고려하여 벤더사와 협의 후 적용하여야 한다. ■ 원격 로그서버 사용 1) 로.. 2021. 10. 26. 이전 1 2 3 4 5 6 다음
