IT BLOG(KR)

안녕하세요. 

오늘은 AP를 직접 IP주소랑 Default Gateway를 설정하고 WLC에 Manuall하게 등록해 보겠습니다. 

테스트 IP주소 입니다. 

AP IP: 192.168.200.200

AP GW: 192.168.200.181

WLC: 192.168.100.182

AP주소를 초기에 설정시 아래와 같이 Username/Passowrd는 Cisco 입니다. 

1. AP에 IP주소랑 Gateway를 설정 합니다. 

IP주소를 입력하면 CAPWAP discovery 패킷을 Broadcase를 사용 해서 전송 하고 있습니다.

하지만 AP랑 WLC가 같은 L2도메인 안에 없기 때문에, WLC 찾을수 없습니다. 

2. AP Hostname를 변경하고 WLC주소를 입력합니다.

아래처럼 WLC가 Discovery Response 패킷을 전송하였습니다. 

그리고 Found Confirued WLC01 이후 DTLS setup 시작 합니다. 

3. 이번에는 WLC GUI에 접속해서 AP를 확인해보겠습니다.

Monitoring ->Wireless ->AP statistics 클릭 합니다. 

아래 사진처럼 AP01이 WLC에 등록이 되었고 Admin Status를 표시면 초록색으로 정상적입니다. 

테스트를 위해서 WLC GUI에서 AP를 Reset 합니다.

AP를 더블클릭 합니다. 

지금까지 [C9800CL][#3]-AP Join Process - Manual Method 글을 읽어주셔서 감사합니다.

다음글은 DHCP option43를 이용해서 AP를 WLC에 등록 하는 글을 다루겠습니다.

안녕하세요.

오늘은 AP가 WLC에 등록할때 AP입장에서 패킷이 어떻게 진행되는지 알아보겠습니다.

시스코 공식 홈페이지에 나와 있는지 문서 입니다.

https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9120axe-access-point/221056-understand-the-ap-join-process-with-the.html

만약에 WLC에 다른 지역에 있는 상황이라면
Note: As per RFC 5415, CAPWAP uses the UDP Ports 5246 (for CAPWAP Control) and 5247 (for CAPWAP Data).

위에 포트는 방화벽에서 허용 되어야 합니다.

Session Establishment Process.

1. Access Point sends a Discovery Request. See the WLC Discovery Methods section for more information on this
2. WLC sends a Discovery Response
3. DTLS session establishment. After this, all messages after this are encrypted and are shown as DTLS application data packets in any packet analysis tool.
4. Access Point sends a Join Request
5. WLC sends a Join Response
6. AP performs an image check. If it has the same image version as the WLC, then it proceeds with the next step. If it does not, then it downloads the image from the WLC and reboots to load the new image. In such case, it repeats the process from step 1.
7. Access Point sends a Configuration Status Request.
8. WLC sends a Configuration Status Response
9. Access Point goes to RUN State
10. During the RUN state, CAPWAP Tunnel Maintenance is pefrormed in two ways:
    1. Keepalives are exchanged to mantain the CAPWAP Data tunnel
    2. AP sends an Echo Request to the WLC, which has to be answered with its respective Echo Response. This is to mantain the CAPWAP Control tunnel.

Wireless LAN Controller Discovery Methods

There are several options to let the Access Points know of the existance of one WLC in the network:

• DHCP Option 43: This option provides the APs the IPv4 address of the WLC to join. This process is convenient for large deployments in which the APs and the WLC are in different sites.
• DNS Discovery: APs queries the domain name CISCO-CAPWAP-CONTROLLER.localdomain. You must configure your DNS server to resolve either the IPv4 or IPv6 address of the WLC tto join. This option is convenient for deployments in which the WLCs are stored in the same site as the APs.
• Layer 3 Broadcast: The APs automatically send a broadcast message to 255.255.255.255. Any WLC within the same subnet as the AP is expected to respond to this discovery request.
• Static configuration: You can use the capwap ap primary-base <wlc-hostname> <wlc-IP-address> command to configure a static entry for a WLC in the AP.
• Mobility Discovery: If the AP was previously joined to a WLC that was part of a mobility group, the AP also saves a record of the WLCs present in that mobility group.

저희는 위에 방식중에 2가지를 테스트 해보겠습니다.

1. Static Configuration - AP에서 IP주소랑 Default Gateway를 설정하고 수동으로 WLC IP주소를 입력해서 WLC에 AP를 등록하겠습니다.

2. DHCP option 43 - DHCP를 이용해서 AP에 IP주소랑 Default Gateway를 할당하고 WLC주소도 같이 할당하여 AP를 WLC에 등록하겠습니다.

테스트는 다음 과정에서 진행 하겠습니다. 

안녕하세요.

오늘은 Fortigate Explicit Proxy를  UTM기능, SSL deep inspection 같이 사용해보겠습니다.

https://itblog-kr.tistory.com/107

실습을 하기전에 이전 글을 꼭 확인 부탁드립니다.

현재 테스트 가능한 방화벽에서 UTM라이센스를 확인한 결과 아래와 같이 AntiVirus와 Web Filtering를 사용 할수 있습니다. 

이 기능만 Enable 하겠습니다. 그리고 대부분에 Traffic이 https로 통신하기 때문에, Fortigate이 SSL를 복호화 해서 패킷을 확인 해야 하기 떄문에 SSL inspection를 deep inspection으로 설정 해야 합니다.

1.  Proxy Policy Rule를 더블 클릭 합니다. 

2. 아래처럼 설정합니다.

3. PC에서 youtube를 접속합니다.

SSL deep inspection를 선택하면 방화벽이 SSL proxy처럼 동작하기 때문에,  certificate issued by 보면 fortigate으로 되어져 있습니다. 

이 부분을 해결하기 위해서 Certificate를 설치 합니다. 

4. 방화벽에서 Feature Visibility -> Certificates를 Enable합니다. 

System -> Certificates -> Local Certificate -> Fortinet_CA_SSL 를 다운로드 받습니다. 

5. Certificate를 PC에 다운로드 하고 설치 합니다. 

User PC에서 다시 Youtube를 접속합니다.

지금까지 글을 읽어주셔서 감사합니다.

[Fortigate-#18]- Explicit Proxy with UTM function

안녕하세요.

오늘은 Fortigate를 Explicit Proxy 설정에 대해서 알아보겠습니다.

Forti Proxy 없이 Fortigate를 이용해서 Proxy 구성이 가능 합니다. 

하지만 제한적인 기능만 가능합니다. 

Explicit Proxy는 User PC에 Proxy 설정이 되어야지 인터넷 사용이 가능 합니다.

Transperant Proxy는 User PC proxy 설정없이 자동으로 http/https traffic를 redirect to proxy해서 정책 적용 가능 합니다. 

지금부터 Fortigate Explicit Proxy 설정에 하겠습니다.

FortiGate

WAN: 202.14.X.X

LAN: 192.168.10.181/24

PC: 192.168.10.106

GW: 192.168.10.181

1. Explicit 기능을 활성화 합니다.

2. 실제로 traffic이 fortigate 들어오는 Interface - internal에서 Explicit web proxy를 Enable 합니다.

3. Explicit Proxy 설정합니다.

4. Proxy Policy 설정합니다. 

UTM기능을 함깨 사용 할수 있습니다.  보안을 제대로 설정하기 위해서는 SSL inspection를 deep inspection으로 수정하고, Certificate를 PC에 설정한 후에 UTM기능을 사용 하여 보안을 강화 할수 있습니다. 

이 부분은 다음장에서 설명 하겠습니다. 

5. PC에서 Proxy를 설정합니다. 

5-1 open network & Internet setting 

5-2 왼쪽에 proxy를 선택 합니다. 

아래처럼 설정 합니다. 

PC IP: 192.168.10.106

GW: 192.168.10.181 

Proxy ip: 192.168.10.181

Booking.com접속 합니다.

아래 wireshark로 https 패킷을 보면, https 패킷이 Proxy로 전달되는 것을 볼수 있습니다.

6. Fortigate에서 Hit count 확인하기

Log확인하기

Forti View로 확인하기

지금까지 [Fortigate-#17]- Explicit Proxy 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 admin account말고 다른 user account를 생성해서 phpIPAM URL를 접속해보겠습니다. 

1. Password Policy를 클릭 합니다. 

아래처럼 Password Policy를 수정 하여 규칙이 어긋하면 user account 생성이 불가능 합니다. 

2. Users를 클릭 합니다. 

3. Create User를 클릭 합니다. 

4. user account를 생성 합니다. 

kevin account가 생성 되었습니다.

show user를 클릭하면 정보를 확인 할 수 있습니다.

admin계정을 logoff하고 kevin 계정으로 로그인 합니다. 

정상적으로 로그인 되었습니다. 

지금까지 [phpIPAM][#8]- User 생성 글을 읽어주셔서 감사합니다. 

안녕하세요.

오늘은 phpIPAM에 administration page에 대해서 알아보겠습니다.

Site title: KEVIN'S IPPAM 

Pretify links: Yes로 변경 

Default Lanuage: 

Default Theme: 배경을 Black또는 White를 선택 할수 있습니다. 

나머지는 디폴트를 선택 합니다. 

Enable FirewallZones

Enable Resolve DNS name

Enable SNMP module

나머지는 디폴트로 두고 저장합니다. 

kevin@kevin-virtual-machine:/etc/apache2$ cd /bin
kevin@kevin-virtual-machine:/bin$ find fping
fping

kevin@kevin-virtual-machine:/bin$ find ping
ping

위에 경로에서 ping과 fping를 찾을수 있습니다. 

Title이 KEVIN'S IPPAM 변경되었습니다. 

안녕하세요.

phpIPAM에서 ip subnet 기반으로 End Device를 scan할수 있습니다.

phpIPAM은 다른 기능으로도 End Device를 scan 할수 있습니다.

Discovery scans

1. Ping scan

2. Telent scan

3. SNMP nested subnets scan

4. SNMP ARP scan

5. SNMP MAC address scan

관련 기능들을 추가적으로 사용 하기위에서는 fping , snmp등이 설치가 되어야 합니다.

설치 과정 입니다. 

그리고 /etc/apache2/apache2.conf 파일에 수정이 필요합니다.

vi /etc/apache2/apache2.conf

아래처럼 추가합니다.

apache를 새로 시작 합니다

지금까지 [phpIPAM][#6]-fping and snmp install for scan 글을 읽어주셔서 감사합니다.

안녕하세요.

오늘은 phpIPAM를 설치해보겠습니다. 

1. PC에서 putty 또는 crt를 사용해서 ubuntu 서버에 접속합니다. 

2. 필요한 utility를 설치 합니다. 

3. Apache httpd랑 mysql를 설치 합니다.

4. PHP Components를 설치 합니다.

5. MySQL Database를 설치 합니다

 Press Enter to login as root - password를 입력 합니다. 
 Type N and press Enter to not switch to unix socket authentication
 Type Y and press Enter to set a root password, type the password twice to confirm
 Type Y and press Enter to remove anonymous users
 Type Y and press Enter to disallow root login remotely
 Type Y and press Enter to remove the test database
 Type Y and press Enter to reload privilege tables

아래는 결과값 입니다. 

6. MySQL Table를 생성합니다.

아래는 결과값입니다. 패스워드를 위와 같이 사용 하겠습니다. 

7. 나머지 설정을 하겠습니다.

git를 사용해서 phpipam를 다운로드 받습니다.

8. /var/www/html/phpipam 폴더에 이동합니다.

9. 최신버전을 확인합니다.

아래는 결과값입니다.

10. phpipam 폴더 onwer를 설정 합니다.

11. sample config file를 복사합니다

12. config.php 파일을 수정하기 위해서 vim를 설치 합니다

13. config.php 파일을 수정합니다. 

아래처럼 주석처리 하고 새로운 설정값을 생성하고 저장합니다. 

14. 서비스를 시작 합니다.

15. 이제 실제로 phpIPAM를 설치 하기 위해서 아래처럼 입력합니다

http://192.168.10.117/phpipam

admin페이지 password를 입력합니다.

안녕하세요.

이번에는 PC에서 ubuntu server에 SSH로 접속하기 위해서 ubuntu server에 ssh server를 설치 합니다.

1. 아래처럼 openssh-server를 설치 합니다. 

2. SSH Server를 시작 합니다. 

3. 서버가 다시 재부팅되더라도 자동으로 SSH 서비스가 시작 될수 있게 설정 합니다. 

5. PC에서 CRT또는 PUTTY를 사용해서 ubuntu 서버에 접속을 시도 합니다. 

지금까지 [phpIPAM][#4]-ssh server install 글을 읽어주셔서 감사합니다. 

안녕하세요.

저번에는 Ubuntu 22.04.05 LTS 버전을 설치 하였습니다.

package가 최신 버전이 아니기때문에, phpIPAM를 설치 하기전에 ubuntu update & upgrade를 합니다. 

1. ubuntu 업데이트 합니다. 

아래 처럼 입력하면 밑에 사진처럼 업데이트 package를 다운로드 합니다.

2, 아래 사진처럼 y를 입력해서 upgrade합니다. 

설치가 완료되었습니다. 

지금까지 [phpIPAM][#3]-Ubuntu update and upgrade 글을 읽어주셔서 감사합니다.