Active Directory의 필요성
https://blog.naver.com/visualdata/221286664014
Active Directory의 구조
https://blog.naver.com/silioss/222291494118
문제1. GP는 무엇입니까? 예시에는 무엇이 있습니까? GPO >>>
- 관리자 특정 그룹에 정책을 구현하기위 해서 사용하는 정책을 (Group Policy)라고 합니다.
- tive Directory 내의 컴퓨터나 사용자에게 사용 가능한 프로그램을 지정하거나 제한할 수 있음.
- 로그온 시 적용되는 정책 제공
- 시작 메뉴의 사용 옵션, USB나 CD/DVD의 사용 제한 등을 구성
- 잘못된 사용자의 시스템 구성 변경이나 네트워크 바이러스 침투 등의 사고를 예방
문제2. GPO는 무엇입니까?
- GPO ( 그룹 정책을 생성한 후에 그 그룹 정책을 묶은 개체)
- GPO는 도메인 단위에 저장
- 글로벌 카탈로그(Global Catalog, 약자로 GC)에 해당 정보가 저장
도전과제1
- 사용자가 AD에 Join하면, 프로그램을 설치하지 못하도록 GPO를 구성
도전과제2
- AD에 Join한 PC가 Booting되면, 크롬으로 특정 홈페이지가 오픈되도록 설정
문제3. AAA란 무엇이며, 어떠한 용도로 사용됩니까?
-> DC가, ISE
- AAA는 Authentication, Authorization, Accounting이면,
- Authentication은 사용자, 단말에 대한 인증 (예
- Authorization은 사용자, 단말에 대한 권한 (예, 특정 Command 설정, 특정 Network에 접근)
- Accounting은 사용자, 단말에 대한 기록 (예, log message)
- 3가지의 역할을 하는 장비를 인증서버 또는 NAC라고 하며, CISCO 제품으로는 ISE가 있음
도전과제
ISE에서
1. 사용자 생성, 사용자 그룹 생성(OU)
2. 단말등록(인증 요청자) -> Tacacs, Radius로 연동
3. AAA Policy Set 생성 -> Authentication(특정사용자그룹), Authorization(Command Set, Shell Profile)
4. 적용시 Log message 확인
문제4. Tacacs+, Radius는 무엇이며, 어떠한 용도로 사용됩니다?
- 인증서버와 연동하는 장비간에 사용되는 Protocol 입니다.
- Tacacs (TCP, 49, Encryption, Authentication, Authorization 분리) , Device Administration
-> 장비 관리
- Radius (UDP, 1812,1813, 1645,1646) Password만 Encryption, Authentication, Authorization 통합, Network Access(사용자 인증)
-> 802.1X(유선,무선 사용자 인증)
도전과제
- Tacacs와 Radius의 차이
- Wireshark를 통해서, Tacases+ Packet을 Capture한다. -> Encryption
현재상황
- ISE와 AD의 연동 필요성
수정1. 현재 구성도에서는 ISE는 공인, AD(Active Dierectory)는 사설대역에 존재합니다.
-> ISE와 AD가 통신이 되도록, 설정을 변경해야 합니다.
DC : 192.168.111.10 -------- (G1)R1(G2) -------- ISE : 192.168.18.X
R1
ip nat inside source static 192.168.111.10 192.168.18.x
ip nat inside source static 사설 ip CD ip
-> 1 : 1 STATIC NAT
ISE
show run(확인)
#ping 192.168.18.X
config)#no ip name-server 8.8.8.8
config)#ip name-server 192.168.18.x
144ㄴㄴ 148 OO
확인1. ISE#ping 192.168.18.X !!!!!!
LAB01
문제1. ISE와 AD와 연동합니다.
- ISE에서 아래의 경로를 통해 AD (this.com)와 연동합니다.
Administration > Identity Management > External Identity Sources > Active Directory > Add
확인1. Status에 "Operational"을 확인합니다.
확인2. Test User를 통해, "jhkim"을 확인합니다.
문제2. Condition에 OU를 호출하여, 특정 OU의 사용자에 대한 정책을 적용합니다.
https://bluenetsec.com/how-to-use-active-directory-ous-in-cisco-ise-authorization-rules/
.회계부.
AD에서 testuser jhkim으로 로그인한다.
Attributes에서 add -> Select Attributes From Directory한다.
jhkim 속성을 확인하고 distinguishedName 체크
저장한다.
정책 추가에 접속하여 .회계부. Matches해줌.
정책확인 및 적용한다.
확인1. Tatacs Live log에서 접속 정보를 확인합니다.
TACACS LOG에 접속하여 failure reason을 확인한다.
Authentication Policy에서 ALL_User_ID_Stores로 변환
확인2. R1에 Telnet으로 접속시에, "jhkim" 으로 접속이 되는것을 확인합니다.
예제1.
- AD에는 사용자 및 OU가 구성되어 있기 때문에, ISE와 연동을 하면, AD에 사용자를 그대로 사용할수 있습니다.
(예제 기술1,기술2팀의 사용자)를 ISE와 연동하여,
기술1팀은 모든 Command를 사용하도록 설정
기술2팀은 Show Command를 사용하도록 설정
STEP1. ISE와 AD와 연동 !!!
Administration > Identity Management > External Identity Sources > Active Directory
Join Point Name : this.com
Active Directory Domain : this.com
STEP2. Policy-Set을 2개 생성합니다. >> 기술1팀, 기술2팀에 적용하겠습니다.
기술1팀 사용자의 경우, >> Admin 권한
기술2팀 사용자의 경우, >> Helpdesk 권한
shell profile과 command set은 기존에 만든것을 그대로 사용합니다.
확인1. skann으로 R1에 Telnet 접속 시, 모든 Command가 사용가능한 것을 확인한다.
확인2. jhpark으로 R1에 Telnet 접속 시, show Command만 적용되는 것을 확인한다.
확인3. WIN10(2)을 통한 Tacacs Packet 캡쳐 확인 (ip.addr==192.168.18.X && Tacacs)
-> win10(2)을 NIC를 VM Network에 연결 후 Wireshark를 이용하여, 자신의 Tacacs Traffic만 Captere한다.
WINDOW Server
- WINDOW Server 설치 및 운영
- WINDOW WEB(IIS)서버 및 FTP 서버 구성 및 활용
- WINDOW DNS, DHCP 서버 구성 및 활용
- WINDOW E-Mail 서버 구성 및 활용 (hMail Server, Thunderbird Program)
- WINDOW 원격 서버 구성 및 활용
- WINDOW Active Directory 구성, 사용자와 그룹 관리, 그룹 정책의 구성과 운영
---------------------------------------------------------
- WINDOW 파일서버 구성 및 활용
- WINDOW 서버 보안 취약점 확인 운영방안 확인
- WINDOW 서버 Hyper-V 구성 및 운영(6월 9일 10일)
- WINDOW 파일서버 구성 및 활용 (NFS 쿼터, 분산파일시스템, FSRM)
- NSF Server, Client 구성, iSCSI Server, Client 구성
- WINDOW Server의 Cluster를 통한 HA구현
- RAID구성을 통한 하드디스크 관리
통신을 위한 물리적인 연결
1. 인터넷 라인 -> Public (공인 IP, BGP, 보안 고려)
2. 전용선 라인(비용) -> Private (사설 IP, OSPF, BGP... 임의, 보안우수) -> 비용ㅇ!!!
-> 전용선을 대체하는 기능이 VPN(Virtual Private Network)
VPN은 Original DATA에 추가적인 L3 Header를 붙이는 방식 -> Tunneling이라고 한다.
(6월 9일 10일)
- WINDOW 파일서버 구성 및 활용 (NFS 쿼터, 분산파일시스템, FSRM)
- NSF Server, Client 구성, iSCSI Server, Client 구성
- WINDOW Server의 Cluster를 통한 HA구현
1. VPN이란 무엇입니까?
- Virtual Private Network(가상의 Line을 제공)
가상의 Link이 필요한 이유? (VPN이 필요한 이유(
-> 물리적인 연결보다 비용을 절감, 또는 안전한 통신 : GRE/(DMVPN), IPSec, SSL
-> **Network Virtualization : vXLAN, LISP
2. VPN 중 전용선을 대체하는 VPN을 만드는 Protocol에는 무엇이 있습니가?
- GRE
- IPSec
- SSL
3. GRE(Graduate Record Examination)
192.168.111.10 192.168.111.20 DATA -> 사설 IP이기 때문에, 인터넷을 통해 통신이 안됨
211.239.123.1 61.250.123.2 GRE 192.168.111.10 192.168.111.20 DATA-> 211.239.123.1은 서울지사 Router의 G2의 공인 IP
-> 61.250.123.2은 부산지사 Router의 G2의 공인 IP
IPsec(Internet Protocol Security)
192.168.111.10 192.168.111.20 DATA -> 사설 IP이기 때문에, 인터넷을 통해 통신이 안됨
211.239.123.1 61.250.123.2 ESP 192.168.111.10 192.168.111.20 DATA-> 211.239.123.1은 서울지사 Router의 G2의 공인 IP
-> 61.250.123.2은 부산지사 Router의 G2의 공인 IP
PNET 생성
LAB01 VPN
문제1. R1(E0/2), R3(E0/2, E0/3), R2(E0/3)에 BGP를 구성하여, 인터넷 환경을 구성합니다.
- IP는 공인 IP로 구성도를 참고 하세요.
- IP의 마지막은 Router 번호로 설정합니다.
- 서울지사, 부산지사의 BGP AS 는 109로 설정하고, R3(ISP)와 BGP로 연동합니다.
- R3의 AS는 1으로 설정합니다.
STEP1. R1,R3간에 EBGP 구성
STEP2. R2,R3간에 EBGP 구성
STEP3. R3에서 BGP로 211.239.123.0/24, 61.250.123.0/24 경로 광고합니다.
설정
R3
router bgp 1
neighbor 211.239.123.1 remote-as 109
neighbor 61.250.123.2 remote-as 109
network 211.239.123.0 mask 255.255.255.0
network 61.250.123.0 mask 255.255.255.0
확인1. R1#show ip bgp summary
확인2. R1#show ip bgp
확인3. R1#show ip route bgp
확인4. R1#ping 61.250.123.2 !!!!!!
문제2. R4, R1간에 서울지사를 구성합니다. 내부 IGP는 OSPF AREA 0로 구성합니다.
- R1의 E0/2은 OSPF에 포함하지 않습니다. 포함하지 않는 이유는 무엇입니까?
확인1. R4#show ip ospf neighbor로 neighbor를 확인합니다.
문제3. R2, R5간에 서울지사를 구성합니다. 내부 IGP는 OSPF AREA 0로 구성합니다.
- R2의 E0/3은 OSPF에 포함하지 않습니다.
확인1. R5#show ip ospf neighbor로 neighbor를 확인합니다.
문제4. R3에 8.8.8.8을 생성하고, BGP로 광고합니다. R4,R5,R1,R2에서 모두 8.8.8.8로 통신이 되도록 구성합니다.
- R1,R5는 사설 IP이기 때문에, 외부(인터넷)통신이 되지 않습니다.
-> R2,42에서 PAT가 필요합니다.
허용할 수 있는 것을 리스트로 만들어준다.
NAT 처리한다.
- R4,R5는 외부(인터넷)경로를 알지 못합니다.
-> R1,R2는 OSPF로 Default Route 전파가 필요합니다.
확인1. 설정전!! R4에서 ping 8.8.8.8로 통신이 안되는 이유를 확인합니다.
NAT처리를 안해줬기 때문에 사설에서 공인으로 통신이 안된다.
확인2. 설정후!! R4에서 ping 8.8.8.8로 통신이 되는것을 확인합니다.
문제5. R4,R5간에 통신이 되도록 R1, R2간에 GRE Tunnel을 설정합니다.
- R4,R5간에 통신이 안되는 이유는 사설간에 통신이기 때문에, PAT로 통신이 되지 않습니다.
-> R1,R2간에 GRE Tunnel이 설정되야 합니다.
R2
interface tuennl 12
ip add 10.1.12.1 255.255.255.0
tunnel source 211.239.123.2
tunnel destination 61.250.123.4
ip route 192.168.1.0 255.255.255.0 tunnel 12
R4
interface tuennl 12
ip add 10.1.12.2 255.255.255.0 -> 임의로 지정해준 ip & mask
tunnel destination 211.239.123.2 -> tunnel로 가야하는 ip
tunnel source 61.250.123.4 -> 내 ip
ip route 192.168.2.0 255.255.255.0 tunnel 12 -> 2.0으로 오는 건 tunnel로 받아라(??)
확인1. 설정전, R1#ping 192.168.2.5로 통신이 되지 않습니다.
확인2. 설정후, R1#ping 192.168.2.5로 통신이 되는것을 확인합니다.
