IT BLOG(KR)

안녕하세요.

오늘은 phpIPAM를 위해서 Ubuntu 22.04.5 LTS 버전을 설치 하겠습니다.

https://releases.ubuntu.com/jammy/

Desktop버전 또는 Server 버전을 선택 할수 있습니다.

저는 Desktop 버전을 설치 하겠습니다.

위에 링크에서 Ubuntu 22.04.05 LTS desktop버전을 다운로드 받습니다.

VMware ESXi, VMware Workstation, VMware Player 또는 Virtual-Box안에 Ubuntu를 설치 합니다.

저는 VMware ESXi에 Ubuntu를 설치 하겠습니다.

1. 가상 시스템을 선택 합니다. 그리고 VM생성/목록를 클릭 합니다. 

2. 다음을 클릭 합니다. 

3. 

이름: 

호환성:

게스트 운영체제 제품군

게스트 운영체제 버전

을 아래 처럼 선택하고 다음을 클릭 합니다. 

4. 스토리지를 선택 합니다. 

5. CPU랑 메모리 하드시스크 사이즈를 선택하고, IOS선택하고 다음 버튼을 클릭 합니다. 

6. 아래 처럼 VM이 생성 되었습니다. VM를 클릭 합니다. 

7. 전원 켜기를 클릭 합니다. 

8. try or install Ubuntu를 선택 합니다. 

9. Install Ubuntu를 선택 합니다. 

10. Continue를 선택 합니다.

11. Continue를 선택 합니다.

12. Install now를 선택 합니다. 

13. 나라를 선택하고 Continue를 선택합니다. 

14. name이랑 password를 입력하고 continue버튼을 클릭 합니다. 

설치가 완료 될때까지 기다립니다. 

설치가 완료되었습니다. 재부팅 합니다. 

15. 부팅이 완료되면 name를 클릭하고 Password를 입력합니다. 

16. IP주소를 입력하기 위해서 network icon를 선택합니다.

수정 버튼을 클릭 합니다.

IP주소를 입력합니다. Apply를 클릭 합니다. 

17. PC에서 ubuntu로 Ping테스트를 합니다.

지금까지 [phpIPAM][#2]-Ubuntu 22.04.5 install 글을 읽어주셔서 감사합니다. 

안녕하세요. 

오늘은 ipam에 대해서 알아보겠습니다.

ipam이란 IP주소를 효과적으로 관리하기 위해서 사용하는 Tool 입니다. 유료 버전도 있고 무료 버전도 있습니다.

1. 여러 사람들이 테스트 망 또는 실망에서 IP주소를 마음데로 설정 함으로 IP중복이 염려 되시는 분.

2. 현재 어떤 서브넷에 어떤 IP가 사용되고 있는지 확인 하고 싶으신분

3. IP주소를 체계적으로 관리를 하고 싶으신분

유료 버전

Infoblox IPAM

SolarWinds IP address Manager

무료 버전(Open Source 기반) 

phpIPAM

NetBox 

저는 회사에서 테스트 VMware ESXi서버, 네트워크 장비를 공유해서 사용 하는데, IP주소를 아무거나 사용 하기 때문에, 

IP중복이 되어서 어떤 사람이 나랑 똑같은 IP주소를 사용 하는지 찾아야 하는 불편함이 있어서 이번에 open source 기반에 phpIPAM를 설치 하게 되었습니다. 

NetBox는 지원하는 기능들이 여러가지도 있지만, 저는 IPAM기능만 필요하고 phpIPAM이 NetBox보다 간편하고 쉬운거 같아서 선택 하였습니다.

공식 홈페이지는 아래와 같습니다.

https://phpipam.net/

phpipam is an open-source web IP address management application (IPAM). Its goal is to provide light, modern and useful IP address management. It is php-based application with MySQL database backend, using jQuery libraries, ajax and HTML5/CSS3 features.

지원되는 기능은 아래와 같습니다.

192.168.10.0/24를 스캔을 하고 아래 처럼 사용중인 IP주소에 Description를 설정해서 관리 가능 합니다. 

초록색이 현재 사용중인 IP주소를 표시 됩니다. 192.168.10.0/24 대역중에서 어떤 IP주소가 사용 중인지 확인 가능 합니다. 

다음장에서는 phpIPAM를 사용 하기위해서 Ubuntu 리눅스를 설치 하겠습니다. 

안녕하세요.

오늘은 FortiGate를 이용해서 SSL VPN Remote Access에 대해서 알아보겠습니다.

PC에 Forticlient를 설치해서 FortiGate Firewall에 연결해서 내부 자원을 접속 할 수 있습니다.

1. Remote Access User가 사용할 Group를 생성 합니다.

User & Authentication -> User Groups -> Create New

REMOTE_USER  그룹이 생성 되었습니다. 

2. Remote Access User가 사용할 계정을 생성 합니다. 

User & Authentication -> User Definition -> Create New

User가 생성 완료되었습니다. 

3. SSL VPN Remote Access를 설정 합니다.

Listen on interface: wan1

Listen on Port: 55443

Server Certificate: Fortinet_Factory

IP Rnage를 REMOTE_ACCESS_SUBNET를 생성하고 IP주소는 10.10.10.0/24를 선택합니다.

원하시는 IP주소를 지정하시면 됩니다. 
FortiClient로 FortiGate에 접속하면 10.10.10.0/24 대역에 IP주소를 할당받아서 FortiGate내부 자원에 접속 하게 됩니다. 

4. 방화벽을 정책을 설정 합니다.

5. 테스트를 진행 합니다.

Remote Access User정보를 입력합니다. 

FortiClient를 다운로드 받고 설치 합니다. 

FortiClient를 실행합니다.

아래와 같이 VPN를 설정 합니다. 

FortiClient를 이용해서 FortiGate에 접속을 시도 합니다.

연결과 동시에  Internet를 사용 할수 없습니다.

모든 트래픽이 다 VPN를 향하고 있습니다. 포티넷에서 Remote Access VPN User가 인터넷을 나가는 방화벽 정책이 없어서 인터넷 사용이 불가능 합니다.

인터넷은 자체 인터넷을 사용하고 FortiGate내부에 있는 자원에 네트워크 대해서만 VPN통해서 접속하고 싶습니다.

Splite Tunnel를 설정합니다.

Full-access portal에 설정값을 확인 합니다. 

방화벽 정책에 목적지 주소를 확인하여 그 주소에 대해서만 Split Tunnel이 적용 된다고 합니다. 

아래 Destination를 Any가 아니라 FortiGate 내부안에 서브넷을 설정 합니다. 

그리고 FortiClient를 다시 접속합니다. 

PC에 라우팅 테이블 확인

인터넷은 로컬인터넷, 그리고 FortiGate 내부 자원은 VPN을 이용해서 접속 가능 합니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 Fortigate 61E 7.0.9에서 7.2.10로 업그레이드 하는 방법에 대해서 알아보겠습니다.

꼭 업그레이드를 Fortigate 홈페이지에서 제공하는 Upgrade Path를 따라서 Firmware 업그레이드 하시길 바랍니다.

https://docs.fortinet.com/upgrade-tool/fortigate

1. 7.2.4F firmware를 다운로드 받습니다. 

System -> Firmware -> File Upload 에서 7.2.4F를 선택합니다.

2. Upgrade를 다하고 로그인합니다. 그리고 Firmware Version를 확인합니다.

3. 이번에는 7.2.6 F Firmware를 다운로드 받고 업그레이드를 합니다. 

콘솔포트에 콘솔을 연결하면 아래처럼 진행 상황을 볼수 있습니다. 

4. 이번에는 7.2.8 M Firmware를 다운로드 받고 업그레이드를 합니다. 

5. 이번에는 7.2.10 M Firmware를 다운로드 받고 업그레이드를 합니다.

Upgrade Path를 참고하지 않고 원하는 Firmware를 Upgrade할 경우, 제대로 부팅이 되지 않습니다.

지금까지 글을 앍어주셔서 감사합니다. 

안녕하세요. 

이번에는 fortigate firewall를 upgrade path를 지키지 않고 업그레이드 했을 경우에 제대로 부팅이 되지 않는 경우가 있습니다.

예를 들어서, 현재 버전은 7.0.9 입니다. 저는 7.2.9로 업그레이드 하고 싶습니다. 

https://docs.fortinet.com/upgrade-tool/fortigate

위에처럼 업그레이드를 진행해야 합니다.

만약에 위에 과정대로 업그레이드하지 않으면 방화벽이 제대로 부팅이 되지 않습니다.

방화벽을 재부팅해도 위와 같은 똑같은 증상입니다.

해결방법, 이전 방화벽 Firmware를 불러오게 설정하면 됩니다.

Please wait for OS to boot, or press any key to display configuration menu..

이 부분에서 아무 키가 누릅니다.

그리고 

B: boot with backup firmware and set as default 를 선택합니다.

부팅이 정상적으로 완료 되고 FortiGate-61E 로그인창을 볼수 있습니다. 

지금까지 글을 읽어주셔서 감사합니다. 

Fortigate 공식 홈페이지 KB

https://community.fortinet.com/t5/FortiGate/Technical-Tip-Boot-the-backup-firmware-and-config-via-console/ta-p/317013

안녕하세요.

이번에는 Fortigate Passowrd Recovery에 대해서 알아보겠습니다.

1. 콘솔 케이블을 fortigate방화벽에 연결하고 부팅합니다.

2. 10초안에 정보를 입력해야지 로그인 가능 합니다.

username: maintainer

password: bcpb+serial number - bcpbFGT61E4QXXXXXXXX

serial 정보는 부팅할때  serial number를 확인 가능하고 또는 장비에서 뒷면에서 시리얼번호를 확인 가능 합니다. 

3. 패스워드를 변경합니다. 그리고 변경된 패스워드로 로그인 합니다. 

지금까지 fortigate 방화벽 Password Recovery에 대해서 알아보았습니다.

안녕하세요. 

오늘은 PaloAlto Global Protect cisco DUO PROXY redundancy에 대해서 알아보겠습니다.

https://itblog-kr.tistory.com/93

Server01: Active Directory, DNS, Cisco DUO Proxy

Server02: Active Directory, DNS, cisco DUO proxy 

Portal authentication - LDAP -  Server 01, Server01 죽으면 Server02

Gateway Authentication - DUO Proxy 2FA - Server 01, Server 01 죽으면 server02

Cisco DUO Proxy Server01 설정

Cisco DUO Proxy Server02 설정

1. PALOALTO Radius 설정

2. Authentication Profile 설정

3. Authentication Sequence 설정

4. GP Portal Authentication Protal 설정

LDAP01 우선순위 죽으면 LDAP02

5. GP Gateway authentication 설정

Commit를 누르고 테스트를 진행합니다.

GP 연결 테스트 

Server01 NIC를 Disable 하고 테스트를 합니다.

지금까지 글을 읽어주셔서 감사합니다.

안녕하세요. 

이번에는 PaloAlto Global Protect에서 2FA를 사용해보겠습니다. 2FA은 CISCO DUO입니다. okta도 가능 합니다.

Windows Server 설치 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/66

Active Directory 설정은 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/68

PaloAlto Global Protect 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/89

https://itblog-kr.tistory.com/90

1. Cisco DUO Cloud 계정을 생성합니다. 10 Users까지는 무료로 사용 가능합니다.

   Windows Server는 최소 2016이어야 합니다.

   Cisco DUO Cloud 

https://duo.com/

계정 생성하는 방법에 대해서는 생략 하겠습니다.

2. 로그인 합니다. 

3. Applications -> Protect an application 

paloalto를 Search하고 Protect버튼을 클릭합니다.

4.  PaloAlto Documentation를 클릭합니다.

Detail에 Integration key와 Secret Key 그리고 API hostname은 나중에 설명하겠습니다.

5. 윈도우 서버에서 아래 duo proxy프로그램을 다운로드 받고 설치 합니다. 

6. Cisco Duo authentication proxy manager를 실행합니다.

아래처럼 수정 합니다.

설정값을 저장하고, Restart를 실행합니다. 

7. DUO Cloud 유저를 생성합니다.

AD에서 주기적으로 DUO CLOUD에 동기화 할수 있고 Manual하게 User를 설정 할 수도 있습니다.

휴대폰 정보를 입력합니다. 

그리고 Cisco DUO 프로그램을 아이폰에서 다운로드 합니다. 

그리고 휴대폰을 cisco DUO cloud에 등록 시킵니다. 

휴대폰을 cisco DUO cloud에 정식적으로 등록하지 않으면 cisco DUO를 아이폰에서 실행해도 아무것도 보이지 않습니다.

등록해야지 아래처럼 정보값이 보입니다. 

8. PaloAlto 에서 설정해보겠습니다.

Portal 인증은 AD01과 AD02를 통해서 인증 하도록 하겠습니다

Gateway은 Cisco DUO Proxy를 통해서 휴대폰 push notification을 이용해서 인증해보겠습니다.

Portal Authetication 설정값입니다. 

9. Radius를 설정합니다.

10. Authentication Profile를 생성합니다.

11. Portal authentication 설정은 LADP을 통해서 인증합니다

12. Gateway를 설정합니다.

13. Commit하고 테스트를 진행 합니다.

Approve버튼을 클릭하면 아래처럼 GP가 연결이 완료 되었습니다.

지금까지 PaloAlto Global Protect -2FA에 대해서 알아보았습니다. 

글을 읽어주셔서 감사합니다.

안녕하세요. 

이번에는 Active Directory 01 과 Active Directory 02를 설치 하고 PaloAlto 에서 Global Protect(Remote User) AD01, AD02 이중화 설정 하겠습니다.

PaloAlto입장에서는 AD01이 죽으면 AD02로 연결되게 설정 가능합니다.

L4 처럼 Load-Banlcing은 불가능 합니다. 만약에 Traffic를 분산화 하고 싶으면 L4 스위치를 구매해서 구성해야 합니다.

Active Directory01

IP: 192.168.10.224

Domain: mylab.local

User: Kevin1, Kevin2

Active Directory02

IP: 192.168.10.225

Domain: mylab.local

User: Kevin1, Kevin2

1. LDAP01을 설정합니다.

2. LDAP02를 설정합니다.

3. Authentication Profile를 설정 합니다.

4. Authentication Sequence를 설정합니다.

5. Global Protect Portal에서 Authentication 정보를 수정합니다.

6. Global Protect- Gateway에서 Authentication를 수정합니다.

7. Commit를 실행합니다.

8. 테스트를 진행 합니다.

Active Directory01, Active Directory02가 모두다 정상인 상태

Active Directory01 LAN카드를 Disable 합니다.

그리고 다시 GP를 테스트 합니다. AD01이 Down되었다는걸 인지 해야하기 때문에, GP가 연결되기까지 2배 이상에 시간이 걸립니다.

AD01이 다운되어도 AD02를 통해서 GP USER 인증이 가능 합니다. 

지금까지 글을 읽어주셔서 감사합니다. 

안녕하세요.

이번에는 PaloAlto Global Protect(Remote User)를 인증할때 PaloAlto User를 사용하는게 아니라 Active Directory을 통해서 GP User를 인증해 보겠습니다. 

1. Windows Server 설치 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/66

2. Active Directory 설정은 아래를 참고 부탁드립니다. 

https://itblog-kr.tistory.com/68

3. PaloAlto Global Protect 설정은 아래를 참고 부탁드립니다.

https://itblog-kr.tistory.com/89

https://itblog-kr.tistory.com/90

Active Directory 서버 정보 입니다.

IP: 192.168.10.224 

Domain: mylab.local

User생성 합니다.

1. PALOALTO LADP를 설정합니다

Type: active-directory

Base DN: DC=mylab,DC=local

Bind DN: administrator@mylab.local 

그리고 패스워드를 입력합니다

bind timeout: 2 seconds 

search timeout 2 seconds 

2. Authentication Profile 

3. Global Protect Portal를 Authentication 수정 합니다.

4. Global Protect Gateway에서 Authentication 수정 합니다. 

그리고 Commit를 실행합니다.

5. PaloAlto SSH로 연결 합니다.

Profile 테스트 했을때 위에 처럼 성공하였습니다.

이번에는 GP 프로그램을 이용해서 직접 테스트 해보겠습니다

192.168.10.97 55555

연결이 완료 되었습니다

지금까지 Global Protect 인증할때 Active Directory를 사용해서 인증해보았습니다. 

글을 읽어주셔서 감사합니다.