흙수저의 엔지니어링

1. 다운로드 하기

curl -LO "https://dl.k8s.io/release/$(curl -L -s https://dl.k8s.io/release/stable.txt)/bin/darwin/amd64/kubectl"

2. 실행권한 부여하기

chmod +x ./kubectl

3. 경로 이동하기

sudo mv ./kubectl /usr/local/bin/kubectl
sudo chown root: /usr/local/bin/kubectl

4. 설치 파일 정리하기

rm kubectl kubectl.sha256

아래 사이트 참고하시어 설치하셔도 됩니다.

https://kubernetes.io/docs/tasks/tools/install-kubectl-macos/

수집된 로그를 이용하여 map에 ip의 지역을 표시할 수 있습니다.

기존에는 logstash.conf에서 geoip만 사용하면 자동으로 설정이 됐는데...

지금 사용하는 버전에서는 설정이 필요하네요.

기본설정으로는 geoip.location = float 으로 표시됩니다.

지도에 IP를 표시하기 위해서는 geoip.location = geo_point 로 표시되어야 합니다.

아래 그림을 보고 참고하시기 바랍니다.

전제조건으로 sslvpn의 계정 생성 시, RADIUS 서비스를 이용한 계정 생성이 필수입니다.

RADIUS를 사용할 경우 sslvpn portal 설정의 ip-mode를 변경하여 고정 IP를 부여 할 수 있습니다.

당연하게도 fortigate는 유용한 기능은 CLI 모드에서만 적용이 가능합니다.

FORTIGATE # show vpn ssl web portal full-access-static-ip
config vpn ssl web portal
    edit "full-access-static-ip"
        set tunnel-mode enable
        set web-mode enable
        set ip-mode user-group # 해당 옵션이 RADIUS에서 고정 IP를 부여하는 옵션입니다.
        set ip-pools "SSLVPN_TUNNEL_ADDR1"
        set split-tunneling disable
        config bookmark-group
            edit "gui-bookmarks"
            next
        end
    next
end

FORTIGATE (full-access-stat~-ip) # set ip-mode  
range         Use the IP addresses available for all SSL-VPN users as defined by the SSL settings command.
user-group    Use the IP addresses associated with individual users or user groups (usually from external auth servers).
dhcp          Use IP addresses obtained from external DHCP server.
 
FORTIGATE (full-access-stat~-ip) #

보통 일반적인 설정으로 사용하는 ip-mode는 range 입니다.

Fortigate 설정 시 Portal Mapping 입니다.

아래의 게시글은 계정에 IP를 고정하는 설정입니다.

https://dirt-spoon.tistory.com/163

※ IP를 고정할 때에는 반드시 "SSLVPN_TUNNEL_ADDR1" 대역에 포함되는 IP로 설정해야 합니다.

  - SSLVPN_TUNNEL_ADDR1: SSLVPN에 사용되는 IP RANGE 주소 입니다.

AD 계정에서 고정 IP 설정 적용하기

 Active Directory 사용자 및 컴퓨터 → 계정 선택 → "전화접속 로그인" 탭 선택 → 고정 IP 주소 할당 활성화 및 IP 설정

  - "고정 IP 주소 할당" 활성화

  - 고정 IP 주소 입력

SSLVPN 시 할당 받은 IP 주소 화면 입니다.

※ 방화벽에서 SSLVPN 접속 시 RADIUS의 설정 변경 필요

  - Fortigate 제품을 대상으로 테스트를 진행하였습니다.

   설정 화면은 아래 게시글을 참고 하세요.

네트워크 정책 생성

네트워크 정책 이름 및 연결 형식 지정

  - 정책 이름: 정책을 나타내는 이름

조건 지정

  - 추가

  - 조건 선택: 사용자 그룹

  - 그룹 추가

  - 그룹 선택: Domain Users

  - 그룹 추가 완료

  - 조건 지정 완료

액세스 권한 지정: 액세스 허용

인증 방법 구성: Microsoft 암호화 인증 버전 2(MS-CHAP-v2) 선택

제약 조건 구성: 기본 설정으로 진행

설정 구성: 기본 설정으로 진행

네트워크 정책 설정 완료

정책 우선 순위 변경

연결 요청 정책 생성

연결 요청 정책 이름 및 연결 형식 지정

  - 정책 이름: 정책을 나타내는 이름

조건 지정

  - 추가

  - 조건 선택: 액세스 클라이언트 IPv4 주소

  - 액세스 클라이언트 IPv4 주소

  - 조건 지정 완료

연결 요청 전달 지정

인증 방법 지정

설정 구성

연결 요청 정책 설정 완료

정책 우선 순위 변경

이 다음 설정은 아래 게시물을 보시기 바랍니다.

---------------------------------

https://dirt-spoon.tistory.com/162

RADIUS를 이용하여 SSLVPN의 계정 관리를 할 경우, SSLVPN 계정에 고정 IP를 할당 할 수 있습니다.

이는 보안 업무를 하는 입장에서 너무나 좋은 옵션입니다.

Windows Server에서 AD 등록된 사용자를  RADIUS 서버에 등록하여, 사용자에게 고정 IP를 제공하는 것을 해보겠습니다.

아래의 설정은 제가 설정한 방식으로 절대적인 설정은 아닙니다.

클라이언트 목록 생성

클라이언트 등록 (방화벽에서 RADIUS서버를 이용하려고 한다면, 방화벽이 클라이언트가  됩니다.)

  - 이름: 클라이언트를 표시할 이름

  - 주소: 클라이언트의 IP or DNS (해당 서버의 G/W IP)

  - 암호: RADIUS 서버와 클라이언트가 공동으로 사용할 패스워드

클라이언트 등록 완료

이 다음 설정은 아래 게시물을 보시기 바랍니다.

---------------------------------

https://dirt-spoon.tistory.com/160

윈도우즈 서버에서 RADIUS를 이용한 계정 관리를 해보기 위해 RADIUS 서버를 설치해 봅니다.

서버관리자 → 관리 → 역할 및 기능 추가를 실행하여 서버 역할을 실행하는 부분부터 작성하였습니다.

[설치하기]

Network Policy and Access Services 체크 후 다음 클릭

다음 클릭 (실제로는 Remote Server Administration Tools를 설치해야 하지만, 기본으로 필요한 것은 선택 됨)

다음 클릭

다음 클릭

설치 될 때까지 기다림

설치 완료 후 닫기