제가 서버쪽은 잘 모르는것을.. 감안해주시고..
저희회사에서 esxi를 사용합니다 vsphere라고 얘기도하는거같은데
그래서 대부분의 서버는 저 가상화를 통해서 구축이됩니다.
이번에 nids인 시큐리티 어니언이라는걸 구축하려고하는데
가상화서버로 네트워크장비에서 미러한 패킷을 보낼수 있는지 궁금합니다
포트는 아직 남아있습니다.
제 생각으로는 esxi박스 랜카드에 포트를 물리고 vsphere에서 nids호스트에만 네트워크 할당해주면 되지않을까 싶습니다.
위 방법이 가능한지 알고싶습니다.
4개의 답변이 있습니다.
관련자료 링크합니다.
https://docs.vmware.com/kr/VMware-NSX-T-Data-Center/2.2/com.vmware.nsxt.admin.doc/GUID-3D403B24-51F6-4A16-8266-0827BFE9FAA9.html
NIDS ( Network Intrusion Detection System ) : Network 침입 탐지 시스템
스위치가 포트 미러링해서 보내주는 트래픽을 분석해서 침입 여부를 판별하는 용도의 가상 컴퓨터를 운영하시려는 것으로 보이는데요.
질문 내용이 네트워크 스위치에서 미러링해서 보내주는 트래픽을 가상 컴퓨터가 받을 수 있을것인지에 대한 질문이라는 생각이 드는데요.
가상 컴퓨터의 네트워크를 브릿지 모드로 설정해서 사용한다면 가상 컴퓨터나 일반 호스트 컴퓨터나 동일하게 스위치 허브와 통신을 할 수 있습니다.
네트워크 인터페이스 설정을 Promiscuous로 해 주는게 맞을 것 같고요.
기본적으로 네트워크 인터페이스가 수신자가 자기 자신인 것만 받아서 OS로 보내도록 필터링시켜 버리기 때문에 프로미스커스 설정을 하지 않을 경우에 OS가 트래픽을 수신하지 못해서 분석용 소프트웨어가 제 역할을 못하게 되어 버리죠.
네트워크에 지나다니는 다른 호스트로 전달되는 트래픽까지 수신할 수 있으려면 네트워크 인터페이스 설정이 Promiscuous mode로 운영되게 설정해 두어야 겠고요.
스위치 장비가 모드 포트로 전달되는 트래픽을 NIDS 서버에 연결된 포트로 미러링을 시켜 줄 수 있다면 특별히 문제될게 없을거란 생각이 드네요.
가능합니다.
전문가는 아니지만 권장하지 않을 것 같습니다.
스위치에서 미러 포트 셋팅하시고 vSwitch 생성해서 미러 포트 별도 NIC Port 지정해서 nids 에 2개 이상의 NIC 을 잡아서 1개는 관리용, 1개는 미러용으로 사용하시면 됩니다.
미러 포트에서 발생하는 패킷량, nids 성능, disk 사용량 등 고려해서 VM 으로 구축할지 별도로 구축할지는 생각을 해보시는게 좋겠습니다.
저는 가상화에 대해서 상당히 긍정적으로 생각을 하는데 미러라던가 대용량 VM 은 신중하게 생각하는 편 입니다.
차라리 CPU, 메모리 리소스를 많이 사용하는 VM 들이 오히려 더 적합합니다.
promiscous모드로 변경하고 하면 될거라고 생각합니다