본문 바로가기

Technical/Security28

IPSec VPN 이중화 진행 예시(5/5) - 이중화 테스트 ■이중화 테스트 - 위 절차로 A IDC와 B IDC 작업이 완료 되었다고 가정한다. - B IDC를 먼저 작업하고 A IDC에서 설치 완료 후 이중화(FailOver) 테스트 진행 - 벤더사마다 VPN 이중화 방식과 특성들이 다르다. 여기서는 엑스게이트 방화벽 기준으로 기술 한다. 1. 이중화 테스트 과정 - 1번 포트 제거 -> 원복 - 2번 포트 제거 -> 원복 - 3번 포트 제거 -> 원복 - 4번 포트 제거 -> 원복 - 전체적인 서비스 테스트 후 철수 2. 여기서 A IDC의 구성특징을 다시 봐 보자. 3. 포트 단절 전(평상시) - 터널은 총 4개가 맺어져 있다. (A01B01 / A01 B02 / A02 B01 / A02B02) - 평상시 라우팅 메트릭값으로.. 2025. 4. 8.
IPSec VPN 이중화 진행 예시(4/5) - 작업 진행 ■대략적인 작업 계획은 아래와 같이 협의  - 서비스 단절을 고려하여 업무시간 이후 작업 B IDC 작업18:00 ~ 19:00 : 사전준비(장비 개봉 / 랙마운트 / 전원 ON등 / 케이블링)19:00 ~ 19:30 : 1호기 펌웨어 업그레이드 / 준비 한 설정 복원19:30 ~ 20:00 : 2호기 연결 / HA 링크 연결20:00 ~ 20:30 : 장비 상태 확인 및 서비스 확인20:30 ~ 21:00 : 이중화 테스트■작업1. 사전 작업  1) 출입 절차신분증 제출 / 방문증 수령 / 핸드폰,노트북에 카메라 보안스티커 부착 / 노트북 시리얼번호등 입력 및 반입등록 / 반입 VPN 장비 확인 (사전 등록 된 Serial Number, 모델) / IDC 담당자 만난 후 인솔하여 입실  2) 장비 설치.. 2025. 4. 8.
FortiClient 리눅스(Centos7) cli 환경 사용 리눅스에서 cli 환경에서 FortiClient 설치 및 sslvpn 연결 방법입니다. https://www.fortinet.com/kr/support/product-downloads/linux FortiClient Linux Product Downloads Information www.fortinet.com위 사이트에 가시면 리눅스 OS별  FortiClient 설치 방법이 안내되어 있습니다. 이 글은 Centos7 기준으로 작성됩니다. repo 추가yum-config-manager --add-repo  https://repo.fortinet.com/repo/6.4/centos/7/os/x86_64/fortinet.repo forticlient 설치sudo yum install forticlient -.. 2024. 4. 26.
IPSec VPN 이중화 진행 예시(3/5) - 작업준비(2) 7. 터널링 운영방식 선택 Active - Active vs Active - Standby  - 트래픽량 / 구성 단순화 / 방화벽 로그 검색 용이 등을 고려하여 결정 Q.  (To 고객사) A-A or A-S 구성 협의  8. IDC에 IP할당을 요청해야 한다.1. A IDC   1) 기존 IP     - WAN : 221.4.8.2/24     - LAN : 192.168.5.40/24   2) LAN 인터페이스     - 기존 IP는 이중화의 VIP로 변경     - 신규 IP를 2개 할당 받아 각각 1,2호기의 Real IP로 할당   3) WAN 인터페이스     - VIP 운영이 불필요할것으로 판단     - 신규 IP 1개만 할당 받는다 Q. (To IDC) VPN에 할당할 IP 요청드립니다.. 2024. 4. 25.
IPSec VPN 이중화 진행 예시(2/5) - 작업준비(1) 1. 미리 장비 개봉하고 / 검수사진 찍고 / 설정도 해서 가면 좋을 텐데! - 사전에 사무실에서 장비 오픈하여 검수사진을 촬영하고 설정등을 준비해서 가면 엔지니어입장에서 작업이 편하나 공공기관 같은 경우 신규 장비는 현장에서 최초 개봉하여 검수를 거치고 설치하는 경우가 많다. - 이번 작업은 공공기관은 아니기에 사전 셋팅이 가능할지도 모른다. 고객사 판단이 필요하다. Q. (To고객사) 사전에 신규장비에 대한 셋팅이 가능할지 문의 2. 작업 당일. 서비스 단절이 예상 된다. 서비스 단절 관련 대응이 필요하다! - 작업 당일 IPSec VPN 터널 / 라우팅 / IP 할당등 서비스에 영향을 줄 가능성이 높은 설정 변경이 이뤄 진다. - 작업은 서비스 단절이 발생한다고 고객사에 사전 고지하고 작성할 작업 .. 2024. 4. 23.
IPSec VPN 이중화 진행 예시(1/5) - 작업개요 1. 목표는 Single로 운영 중인 IPSec VPN 장비의 이중화   - 운영 중인 IPSec VPN 장비의 이중화   - 작업 대상 : VPN_A01, VPN_B01 2. IDC 업체의 협조 필요!   - 싱글로 운영중인 IPSec VPN 장비들을 이중화하는 작업   - 유지보수 하는 장비는 VPN_A01, VPN_B01 2대   - 장비는 현재 사무실에서 보관 중이며 납품하여 설치(마운트) 필요   - 각 IDC망이나 서버등에서 필요한 작업에 있을 경우 작업 요청을 해서 진행 필요 3. A IDC의 구성 정보  1) 일반     - VPN_A01은 공인IP를 할당하여 사용 중     - VPN_A01 이 IPSec VPN에서 Center 역할  2) Server   .. 2024. 4. 22.
fortigate 기본 nat 모드 설정 fortigate를 이용하여 일반적인 nat 구조로 구성하여 보겠습니다. 테스트할 장비는 fortiWiFi-61E 로 진행하겠습니다. 펌웨어 버전은 7.2.4 입니다. 구성환경 wan1 192.168.10.180 lan 192.168.20.1 gw 192.168.10.1 설정법 1.인터페이스 설정 -Network -> Interfaces 에 들어갑니다. -wan1 인터페이스에 들어가 다음과 같이 설정합니다. 만약 회선이 유동ip라면 Address에서 Addressing mode를 DHCP로 설정합니다. -공인 IP로 HTTPS,SSH 관리자 접속이나 PING 을 차단하고 싶은 경우에는 Administrative Access 에서 IPv4 중 체크박스를 해제하시면 됩니다. -lan1 인터페이스에 들어가 다.. 2023. 7. 7.
이중 회선을 사용하는 Static 기반 방화벽 이중화 예시 1. 요구사항 - 평상시 주 회선 SK로 트래픽이 흐름 - Sever04서버는 다소 트래픽 많음 - Sever04만 다른 서비스에 영향을 주지 않기 위해서 평상시 LG회선 이용 - 회선 장애 시, 정상회선으로 서비스 이어 받음 2. 회선 1) 서로 다른 회선으로 인터링크 없음 - 이중화 설정 없음 3. 방화벽 1) FW#1 는 SK쪽으로 디폴트 게이트웨이 잡음 / FW#2 는 LG쪽으로 디폴트 게이트웨이 잡음 2) 기본적으로 인터링크를 통해서 FW#1, FW#2간에 상태 체크 3) 회선 장애 판단 기준 1안) 방화벽 기준 링크 up/down 2안) dns(168.126.63.1) 또는 게이트웨이로 ping 체크 ※주의 : 인터넷을 넘어 체크를 하는 것이기에 평상시에도 간혹 실패할 수 있기때문에 너무 민감.. 2022. 6. 23.
안랩방화벽 구버전(2.7.3 이하) 다운그레이드 TA관련 주의사항 1. 안랩 방화벽(TrusGuard)는 펌웨어에 따라 내장 로그 서버(TrusAnalyer)의 형태가 다름 - 2.7.3 버전 이하 : 독립 형태 - 2.7.4. 이상 : 통합 형태 2. 2.7.4.이상에서 2.7.3이하로 다운그레이드 하는 경우, 2.7.3펌웨어파일에는 TA가 포함되어있지 않기때문에 TA 설치 작업이 추가로 필요 함 ※최근에 출고되는 대체장비의 경우 대부분 2.7.4 이상으로 출고 됨 3. TA 설치 작업 1) PC에 FTP 서버 설치 2) TG_02/admin #> atlliteup 10.0.0.1 test defaultpw /ftp AhnLab-TrusAnalyzer-nokernel-2.1.2.14-99.enc 1 - 10.0.0.1 : ftp 서버 ip - test defaultp.. 2022. 4. 29.