W' page

- 2015.03.05

1. DFS 분산 파일 시스템

[ 분산 파일 시스템(distributed file system)_네임스페이스 문제 ]

# 시나리오 : itbank 회사에 파일서버를 2대를 운영 중에 있었습니다. 파일서버 이용자
들은 2대의 파일서버를 이용할 때 2대의 IP를 번갈아 가며 이용해야 하기에 불편함을
가지고 있었습니다. 해서 시스템 관리자인 여러분은 물리적으로 상이한 2대의 시스템의
공유 자원을 논리적으로 하나의 공유 디렉토리로 묶기로 결정.
# DFS 네임스페이스를 이용하여 2대의 파일서버를 논리적으로 하나의 영역으로 묶어
서비스하세요.

1. Server1 파일 서버 구축(공유)
 - 1G 하드디스크 2개 추가 후 X, Y 드라이브로 문자 할당
 - X 드라이브 공유 ( administrator 모든 권한 )
 ) X 드라이브 않에 Server1_X.txt 생성
 - Y 드라이브 공유 ( administrator 모든 권한 )
 ) Y 드라이브 않에 Server1_Y.txt 생성
2. Server2 파일 서버 구축(공유)
 - 1G 하드디스크 2개 추가 후 X, Y 드라이브로 문자 할당
 - X 드라이브 공유 ( administrator 모든 권한 )
 ) X 드라이브 않에 Server2_X.txt 생성
 - Y 드라이브 공유 ( administrator 모든 권한 )
 ) Y 드라이브 않에 Server2_Y.txt 생성
3. Server3 DFS Server 구축
 - 네임 스페이스 이름 : itbank
 - DFS 디렉토리 트리 : itbank\server1\X    (Server1의 X 드라이브를 대상으로)
        \Y    (Server1의 Y 드라이브를 대상으로)
        itbank\server2\X    (Server2의 X 드라이브를 대상으로)
              \Y    (Server2의 Y 드라이브를 대상으로)

===========================================================
확인 :
Client1에서 Server3의 공유자원 접근 후 server1, server2 디렉토리가 모두 보이나 확인

[Tip]

1) 서버관리자 - 역할 추가 - 파일 서비스 - 분산 파일 시스템
2) ip 주소 적고 찾으면 됨

2. FTP

[방법]

관리도구 - 역할 추가  - IIS - FTP 추가 설치
IIS 관리자 - 사이트 - Default 웹서버 중지
               - 사이트 우클릭 - FTP 사이트 추가 - 원하는 설정 적용 (기본 연결로 설정)

고급 보안이 포함 된 방화벽 - tcp의 20, 21, 1025-65535 포트 개방

[Client 접속 방법]

cmd - ftp ftp서버IP 입력

[ FTP 기본 문제 ]

# Server1 User 추가 : test1, test2
1. Server1에 FTP 서버 구축
 - C:\
 - SSL 인증 없음
 - test1 읽기/쓰기 권한
 - test2 읽기 권한
 - FTP 메세지
 ) 배너 : 오셨습니까.
 ) 시작 : 파일 전송 서비스를 시작합니다.
 ) 끝내기 : 파일 전송 서비스를 종료합니다.
 - FTP 디렉토리 목록 스타일 : UNIX
확인 :
# Server2에서 FTP 접속
 - test1 : 파일 업로드 및 다운로드 가능하면 성공
 - test2 : 파일 다운로드 가능하면 성공. 업로드는 불가능
# 배너 메세지 확인
# 디렉토리 목록 스타일 UNIX 인지 확인

[ FTP(가상 디렉토리 및 홈 디렉토리) 문제 ]

# Server1 FTP Server
# Local User 추가 : samadal, ddasig
# C:\LocalUser 디렉토리 생성
# C:\LocalUser\samadal 디렉토리 생성 후 디렉토리 안에 samadal.txt 생성
# C:\LocalUser\ddasig 디렉토리 생성 후 디렉토리 안에 ddasig.txt 생성
# C:\전역 디렉터리 생성 후 디렉토리 안에 전역입니다.txt 생성
1. FTP Server 설정
 - SSL 인증 없음
 - 모든 사용자 : 읽기/쓰기
 - FTPROOT 디렉토리 : C:\LocalUser
 - FTP 사용자 격리 : 사용자 이름 실제 디렉터리(격리 안 함)
 - 가상 디렉토리 : C:\전역

 별칭     : itbank

확인 :
# samadal 계정 FTP 접속 후 상위 디렉토리로 이동 가능시 성공
# ddasig 계정 FTP 접속 후 상위 디렉토리로 이동 가능시 성공
# 두 계정 모두 itbank라는 가상 디렉토리 접근 가능하면 성공

[ FTP(접근통제 및 계정 홈디렉토리) 문제 ]

# Server1 FTP Server
# Local User 생성 : ddasig, samadal
# C:\LocalUser 않에 ddasig, samadal 디렉토리 생성
1. FTP Server 설정
 - SSL 인증 없음
 - 지정되지 않은 클라이언트에 대한 액세스 : 거부
   허용 항목 : 100.100.100.130(Client1)
 - 사용자 이름 디렉터리에서 시작(격리)
 - 모든 사용자 : 읽기/쓰기 권한 부여
 - FTPROOT 디렉토리 : C:\

확인 :
# Server2에서 ftp 서버 접속 차단되면 성공
# Client1에서 ddasig, samadal 접속하여 접속된 경로가 어딘지 확인(pwd)
# 자신의 홈 디렉토리에서 상위 디렉토리(FTPRoot 디렉토리)로 이동 안 되면 성공

3. FTPS

[일반 FTP 의 보안상 취약점]

Wireshark 설치 - 랜카드 설치 후 패킷 감시 시작
한글 내용의 txt 파일 다운로드 시 FTP-DATA 라는 프로토콜로 해당 내용을 확인할 수 있다.
FTP DATA 를 아래쪽에서 눌러서 확인해보면 16진수로 나온다. FTP DATA 우클릭 - COPY - BYTE - Offset Hex
복사한 HEXA 코드를 프로그램 이용하여 디코딩 해보면 내용을 그대로 볼 수 있다.
즉 암호화가 되지 않아 스누핑 당했을 시 내용이 그대로 노출된다.
따라서 SSL 프로토콜을 이용하여 보안 및 무결성(변조 여부 확인)을 향상시켜줘야 한다.
하지만 리눅스에서 사용 시 Samba를 이용해야 하기 때문에 잘 사용하진 않는다.

[방법]

IIS 관리자 - HOSTNAME - 서버 인증서 - 자체 인증된 인증서 만들기 - 이름 넣고 확인
FTP 서버 - FTP SSL 설정 - 만들어 놓은 SSL 인증서 선택 - SSL 연결에 128비트 암호화 사용 - 적용
     1) SSL 연결 허용 : SSL 해도 안해도 연결 허용
     2) SSL 연결 필요 : SSL만 이용
FTP 의 바인딩 설정에서 IP 주소가 * 혹은 본인의 IP 인지 확인

[ FTPS 문제 ]

# 브릿지 설중 후 진행
1. Server1에 IIS 역할 추가(FTP 게시 포함)
2. 기본 웹 사이트 중지 또는 제거
3. FTP 게시 추가
 - 사이트 이름 : 자유
 - FTPRoot 디렉토리 : 자유
 - 연결 바인딩 : 모든 IP
 - 포트 21
 - SSL 필요
 - 기본 인증 : 모든 사용자 읽기/쓰기 권한
4. 인증서 제작
 - IIS -> 서버 인증서 -> 자체 서명된 인증서 만들기
 ) 인증서 이름 : 자유
5. FTP SSL 인증서 선택 후 128비트 암호화

확인 :
리얼 PC에 FileZilla 실행 후 FTPS 서버 접속 후
인증서 받은 후 보안 통신 되는지 확인

4. Webserver

역할추가 - IIS 기본 설치 - Hostname - 사이트 - Default Web Site 제거
C:\inetpub\wwwroot 안에 IIS의 기본 페이지가 만들어져 있다. 안에 내용물 삭제
이 곳에 test.htm 파일을 생성
          <title>정지웅</title><br>
          <h1>안녕하세요</h1>

사이트 우클릭 - 웹 사이트 추가 - 원하는 설정 - 웹사이트 - 기본 문서 - test.htm 설정 (위에부터 우선순위 있으며 필요 없는것 삭제)
(포트번호 바꿨다면 방화벽에서 해당 포트 개방 필요)
Client에서 웹으로 접속해보면 내가 띄우고자 하는 페이지가 나온다.

- 2015.02.27

1. DNS 동적 업데이트

DNS 레코드 관리의 편의성을 위해 시스템들의 호스트네임을 자동으로 업데이트 할 수 있다.

[DNS 동적 업데이트 문제]

[Tip]

1) AD 내에 있는 PC 들은 PC들의 ip 변경이나 PC 이름 변경 시 자동으로 DNS 서버에 업데이트 된다.

[DNS 동적 업데이트 문제2]

[DNS 동적 업데이트 및 DNS 이중화 문제]

[Tip]

1) Server1 에 AD 설치

2) Server2 에 AD Join 및 DHCP Server 설치

3) DHCP 옵션 구성 시 DNS 정보 및 15번의 DNS 도메인 이름 필히 입력

4) DHCP 범위 속성 - DNS 에 들어가서 항상 DNS A 및 PTR 레코드를 동적으로 업데이트 체크

5) Client 는 AD에 접속되어있지 않아도 DHCP 서버를 통해 연결되어 있기 때문에 DNS 에 자동 업데이트 된다.

6) 단, AD 가 없으면 보안상의 위험이 있다.

- 2015.02.26

1. DHCP 인증

DHCP는 Broadcast 로 패킷을 주고 받기 때문에 공격자가 쉽게 공격할 수 있다.
때문에 인증된 DHCP 서버가 필요한데 이 때 Active Directory를 이용하여 인증된 서버를 구축하면 된다.
즉, Server와 Client 가 같은 Active Directory의 Forest에 있으면 된다.

[DHCP 인증 문제]

[Tip]

1) 인증할 DHCP Server 및 Client 는 AD 에 Join 한다.
2) 공격자가 DHCP 로 뿌려줄 대역대에 맞춰 해당 Server 의 IP도 맞춰야 한다.

- 2015.02.25

[메일서버 및 vpn 실습]

[Tip] - VPN

1) Server3 에 VPN 역할 추가 및 설정
2) 사용 위한 계정에 원격 로그인 허용

1. DHCP Local 멀티넷

1개의 SW 장비 내에 ip 개수가 모자라 다른 ip 대역을 대범위로 묶어 DHCP 에서 분배하는 것
=> 이전에 실습 함

2. DHCP 원격 멀티넷

다른 Subnet에 있는 장치들에게도 ip 를 설정하는 것

[DHCP 원격 멀티넷 문제]

[Tip]

1) Server1 에 DHCP 역할 추가 및 대범위 설정
2) Server2 에는 릴레이 에이전트 관련 역할추가 및 설정
3) Server3 에 VMnet1 스위치 2개 물려서 2개 받아오는지 확인, Client1 에 VMnet2 스위치 2개 물려서 릴레이 에이전트 테스트

- 2015.02.24

[메일서버 및 vpn 실습]

[Nmail 설치 Tip]

1) apmsetup 설치
2) nmail 을 C:\ 에 풀기 (C:\NmailPHP)
3) C:\NmailPHP\nmail_dir_set.bat 파일을 관리자 권한으로 실행
4) C:\NmailPHP\_php.bat_sample\php_APMSETUP7.bat 파일을 C:\Windows\php.bat 으로 복사
5) C:\APM_Setup\Server\MySQL5\data\my.ini 에서 max_allowed_packet = 64M 로 만든 다음 해당 파일도 C:\Windows에 복사
6) 미리 주어진 ioncube_loader_win_5.2.dll 을 C:\APM_Setup\Server\PHP5\ext\ 위치에 복사
7) C:\NmailPHP\nmail_install.bat 파일을 관리자 권한으로 실행
8) Alias 설정 혹은 document root directory 를 C:\NmailPHP\nmail 로 지정
9) 방화벽 인바운드 규칙 - 80번 포트 개방
10) 도구 - 인터넷 옵션 - 보안 - 신뢰할 수 있는 사이트 에 해당 도메인을 넣어야 정상적으로 보임

- 2015.02.23

1. 전달자

[실습]

Server1 : DMZ Zone에 있는 DNS Server, Server2를 전달자로 설정하여 로컬 서버에서 찾을 수 없는 DNS 정보는 Server2에 질의
Server2 : 내부 망에 있는 DNS Server

Server2에 조회할 영역 생성
Server1 : 동작 - 속성 - 전달자 - Server2 ip 지정
일반적으로는 내부망의 DNS에 KT 등의 DNS 를 전달자로 지정하는 경우가 많다.

[DNS 전달자 문제]

1. Server1, Server2에 DNS 역할 추가
2. Server2 DNS 영역 추가(ddasig.com)
 - A 레코드 : 10.10.10.10(itbank)
 - CNAME 레코드 : ftp
 - CNAME 레코드 : web
3. Client1 에서 로컬 영역 연결 네트워크 설정에서 DNS 서버 IP 설정을 Server1 아이피로 설정
4. Server1 DNS Server에 전달자로 Server2 지정
=======================================
확인 : Client1에서 nslookup 또는 ping 으로 조회 가능한지 확인
 - itbank.ddasig.com
 - ftp.ddasig.com
 - web.ddasig.com

[Tip]

1) ping은 안되지만 nslookup은 된다.
2) Server1에서 Server2의 FQDN 정보를 얻어오려면 Server1에서 Server2의 ip에 대한 DNS 정보를 입력하면 된다.

2. 조건부 전달자

Local DNS Server가 모르는 모든 DNS 쿼리에 대해 문의하는 것이 아니라 특정 조건에 대한 DNS 정보만 질의하는 것

[사용 이유]

1) 자주 사용하는 사이트의 DNS를 따로 빼서 부하 감소 위해 사용 - 별 차이 없음
2) 보안적인 이유 - 보안이 필요한 특정 ip에 대한 DNS를 따로 빼둠

[실습]

Server2 에 조회할 영역 설정
Server1 에서 조건부 전달자 설정 - 조회할 이름 기재 - Server2 ip 입력
Client1 에서 해당 도메인 검색

[DNS 조건부 전달자 문제]

(전달자 lab으로 만드신 영역 또는 설정 전부 삭제 후 진행)
1. Server1, Server2 DNS 역할 추가
2. Server2 DNS 영역 추가(itbank1xx.com)
 - A 레코드 : 20.20.20.20 (dns)
3. Client1에서 로컬 영역 연결 네트워크 설정에서 DNS 서버 IP 설정을 Server1 아이피로 설정
4. Server1 DNS 서버에서 조건부 전달자 등록
 - dns.itbank1xx.com 조회시 Server2로 전달
================================================
확인 : Client1에서 nslookup 또는 ping 으로 조회 가능한지 확인
 - dns.itbank1xx.com

[DNS 조건부 전달자 문제2]

[Tip]

1) Server1과 Client1은 Bridge 모드로 진행, Server1 - Server2 는 VMnet1 로 연결
2) Server1 에서 조건부전달자 설정 시 samsung.com 인 대표 호스트 네임으로 지정

- 2015.02.17

[DHCP 대범위 문제 추가]

어제는 라우터를 이용해 진행했지만 오늘은 gateway 로 지정한 서버 컴퓨터에서 라우터 역할을 하게 한다.

[Tip]

1) 서버3의 ip를 10번대의 gateway 주소로 주기
2) 라우터 역할 추가 : 서버관리자 - 역할 추가 - 라우팅 및 원격 액세스
3) 라우터 서비스 시작 : 라우팅 및 원격 액세스 - 액세스 구성 및 사용 - 사용자 지정 구성 - LAN 라우팅 - 서비스 시작
4) 라우팅 테이블 보는 명령어(in cmd) : route print -4 (IPv4 의 테이블 보는 방법)
5) 라우팅 테이블에 통신 되도록 명령어 입력 : route add 20.20.20.0 mask 255.255.255.0 10.10.10.254
6) 10번대에 대한 라우팅은 자동으로 이미 되어있다.
7) gateway 의 주소는 반드시 자기와 동일한 서브넷을 사용하라는 법은 없다.
8) 네트워크 카드 속성 - 고급에 들어가면 1개의 NIC 에 IP 주소를 추가할 수 있다.

[DHCP 이용한 DNS 이중화 문제]

[Tip]

1) R3 에서 static으로 routing 해주기
    ip route 30.30.30.0 255.255.255.0 f0/0   (혹시 모르니 요놈도 한번 더)
    ip route 40.40.40.0 255.255.255.0 f0/0
4) Client PC 에선 같은 네트워크 카드를 1개 더 추가해서 실습 진행

- 2015.02.16

1. DHCP 분할범위

내결함성 & 부하 분산이 동시에 가능하다.

[설정]

범위 우클릭 - 고급 - 분할 범위 - 다음 - ip 입력 후 다음 - 분할 비율 설정 - 지연시간 설정

[DHCP 분할범위 문제]

[Tip]

1) 분할범위 추가 될 DHCP 서버에는 해당 서브넷에 대한 DHCP 가 없어야 한다.
2) 분할범위로 추가 된 DHCP 서버에서 해당 범위를 활성화 해줘야 한다.
3) 1개의 서버 결함 발생 시, 해당 서버가 갖고 있는 주소 풀에 대한 신규 주소 임대는 안되지만
   해당 서버에서 주소를 임대해간 PC들의 갱신 요청은 받아들일 수 있다.

2 DHCP 대범위

다수의 기존 범위를 대범위 1개로 묶을 수 있다.

[설정]

IPv4 우클릭 - 새 대범위 - 범위 묶기

[DHCP 대범위 문제]

[Tip]

1) 10점대, 20점대 대역의 ip를 1개씩만 줘서 2개의 Client가 다른 대역대를 받아갈 수 있도록 한다.
2) 각기 다른 대역대에선 ping 통신이 되지 않는다. GNS 로 설정해보자
3) static 으로 routing 을 설정한다.

- 2015.02.13

[DHCP 듀얼망 문제]

[Tip]

1) 랜카드 2개 설치, 주고자 하는 같은 대역의 ip 를 각각 설정

1. DHCP 릴레이 에이전트

서버 관리자 - 역할 추가 - 라우팅 및 원격 액세스
라우팅 및 원격 액세스 - 호스트네임 우클릭 - 사용자 지정 구성 - LAN 라우팅
IPv4 - 일반 우클릭 - 새 라우팅 프로토콜 - DHCP 릴레이 에이전트 추가
DHCP 릴레이 에이전트 우클릭 - 새 인터페이스 - Discover 메세지 들어오는, 릴레이 시킬 인터페이스 선택
    홉 수 임계값 : 릴레이 에이전트 신호가 넘어가는 장비의 개수
    부팅 임계값 : DHCP 장애 확인하는 시간
DHCP 릴레이 에이전트 우클릭 - 속성 - 릴레이 에이전트 할 이중화된 서버의 IP 입력 - 확인

[DHCP 릴레이 에이전트 문제]

[Tip]

1) 가상망 환경 실습 시 릴레이 에이전트의 실습은 종종 실패한다.

- 2015.02.12

1. DHCP

기존 설명은 http://kanziw.com/102  참조

임대기간의 50% 지점에서 갱신이 이루어짐
- Unicast를 이용한 서버와의 직접 통신을 이용해 갱신 작업 진행
- Request와 Ack 만 진행

[DHCP 서버 인증]

Client는 DIscover 메세지를 Broadcast 로 뿌리기 때문에 DHCP 서버로부터 수신하는 IP 정보가 인가된 것인지 아닌지 알 수 없다.
Active Directory로 묶는다면 인가된 DHCP 서버로부터의 IP만 사용하기 때문에 보안에 있어 더 강력하다.

[Switch 장비에서 말고 구지 DHCP 서버를 두는 이유 - 대기업]

네트워크 장비의 부하 줄이기 위함
분산 된 네트워크 장비의 관리를 서버 1대로 관리할 수 있기 때문
Active Directory 로 묶는 경우, 보안의 이점 증가.

[기본 및 보조 DNS 설정]

IPv4 - 범위 - 범위 옵션 우클릭 - DNS 에 차례대로 2개 주기

[DHCP로 고정 IP 부여하기]

IPv4 - 범위 - 예약 우클릭 - MAC 주소와 함께 IP 주소 설정
예약 임대 하는 경우, 임대 만료 기간이 없다.
따라서 서버에 static 으로 ip를 부여하는 것 보다 예약주소를 활용하여 ip들의 관리를 하는 것이 더 좋다.

[DHCP 문제]

# Server1에 DHCP 역할 추가
 - IP Address Pool : 200.200.200.200 ~ 200.200.200.250/24
   제외 주소 : 200.200.200.201
 - 옵션 : DNS Server IP 200.200.200.50
            게이트 웨이 200.200.200.254
 - 예약 주소 : Server2 예약 200.200.200.249
====================================
확인 방법 :
Server2 에서 DHCP 사용 설정 후 IP 200.200.200.249로 받아오면 성공
Client1 에서 DHCP 사용 설정 후 확인
 - IP 200.200.200.200
 - 게이트웨이 200.200.200.254
 - DNS 주소 200.200.200.50

[Tip]

1) DHCP 설정 완료 후 활성화 필요

[DHCP 다중망 문제]
 

[Tip]

1) 새 범위 추가 시 옵션 구성도 동시에 하면 마지막에 자동으로 활성화 시킬 수 있음