프로젝트 환경 구성

실제 환경에서는 방화벽, IPS/IDS, 웹 방화벽, Anti-DDoS 장비 등을 설치하여 운영하지만 본 프로젝트에서는 이러한 환경을 구성할 수 없기 때문에 오픈소스 기반의 UTM, IDS를 이용한다.

 

1. UTM 환경 구성을 위한 준비물

1) 하드웨어

구분	설명
CPU	i5-10210U
RAM	16GB
SSD	약 200GB

 

2) 소프트웨어

구분	링크
VMware Pro Workstation	https://www.vmware.com/kr/products/workstation-pro/workstation-pro-evaluation.html
ESXi	my.vmware.com/kr/group/vmware/details?downloadGroup=ESXI600&productId=491&download=true&fileId=478e2c6f7a875dd3dacaaeb2b0b38228&secureParam=becf74dc95c82c5149b30cce299c07fc&uuId=bf9f7bf9-f325-42bb-ab9b-b01c86dd988c&downloadType=
pfSense	mirror.transip.net/pfsense/downloads/
Ubuntu Server 16.04	https://releases.ubuntu.com/16.04/
Windows7 Desktop	-
Windows Server 2012 R2	https://www.microsoft.com/ko-kr/evalcenter/evaluate-windows-server-2012-r2

Windows와 VMware Pro를 제외한 3가지 소프트웨어는 모두 오픈소스 또는 프리웨어 소프트웨어이므로 공식 홈페이지에서 내려받을 수 있다. (VMware Pro Workstation가 없을 경우 VMware Player를 사용해도 되며 windows server는 180일 평가판을 사용하였음) 

 

 

---

2. 네트워크 구성도

네트워크 구성도

프로젝트를 위한 네트워크 구성도는 위 그림과 같으며 총 3가지 구간으로 나눌 수 있다. 현재 작업 중인 노트북은 공유기를 통해 인터넷이 연결되어있다. 

 

ESXi 6.0

노트북에 VMware를 설치하고 그 위에 ESXi 하이퍼바이저를 설치한다. 이렇게 하는 이유는 Vmware나 VirtualBox는 OS를 가상으로 쓸 수 있게 해 줄 뿐 네트워크 환경에 대한 세부적인 제어가 어렵기 때문이다. 앞으로 프로젝트에서는 ESXi에서 제공하는 버추얼 스위치로 네트워크 환경을 제어할 것이다. 

 

 ESXi를 사용하는 이유?
ESXi는 VMware에서 만든 Vsphere Hypervisor 제품군 중에 하나인 가상화 OS이다. 무료이기도 하고 자원을 효율적으로 사용할 수 있어 사용했다.

 

pfSense

ESXi위에 오픈소스 UTM인 pfSense를 올리고 VM 서버와 클라이언트를 설치한다. 이는 웹서버, DB 서버, 사용자 PC의 OS로 생각하면 된다.

 

ESXi NIC 설정

ESXi를 설치할 때 NIC 카드는 3개를 설치한다. 일반적으로 ESXi 콘솔에 접속할 때나 vSphere로 접속할 때는 LAN 안에 할당된 IP 주소에서 접근해야 한다. 그러나 이 프로젝트에서는 단지 실습 환경을 만드는 것이며 호스트 서버가 필자가 사용하는 노트북이다. vSphere 안에서 접근하기 위해 LAN 안으로 다시 들어가 그 안에 OS를 띄우고 vSphere를 띄우는 방법은 불편하다.

 

구분	설명
1번 Network Adapter	Bridge Mode로 설정 (WAN1 역할, vSphere 접속용)
2번 Network Adapter	Bridge Mode로 설정 (WAN2 역할)
3번 Network Adapter	Host Only로 설정 (LAN 역할)

WAN1을 Bridge Mode로 설정하는 이유는 현자 아웃사이드 대역과 같은 IP 주소 대역을 만들기 위해서이다. LAN을 Host Only로 설정하는 이유는 Host Only 상태로 NIC 카드를 생성하면 가상 환경 안에서만 트래픽이 돌기 때문에 현재 호스트 환경(작업하고 있는 노트북)과 관계없이 게스트 VM 개수를 마음대로 늘릴 수 있기 때문이다. 즉, VM 내에서 사용 가능한 내부 트래픽용 NIC 카드라고 생각하면 된다.

 

 

 

프로젝트 환경

위의 내용을 그림으로 표현하면 위와 같다. WAN1은 단순히 vSphere 접속용이다. 여기에 vSphere 통로 용 NIC 카드 1개(WAN2)를 추가해서 1번 NIC에서 vSphere를 아웃사이드 영역에서도 쉽게 드나들 수 있도록 하면(PC에서 안쪽의 VM으로 쉽게 넘나들 수 있으므로) 테스트하기에 용이한 구조가 된다. 물론 실제에서 이렇게 구성하면 밖에서 내부로 연결되는 통로(백도어 포트)가 있는 것이라 보안상 매우 취약한 구조지만 연구 환경이기 때문에 1번 NIC 카드는 PC에서 vSphere를 실행할 때만 사용하고 방화벽과 관련이 없다고 생각하자.

 

지금까지의 내용을 정리하면 pfSense는 NIC 카드 2개만 있어도 되지만 편의를 위해 vSphere 접속용 Breidge 모드 NIC 카드 하나를 추가해 총 3개의 NIC를 만든다. 

 

프로젝트 환경

총 정리하면 위와 같은 구성이 된다. vSphere를 제어하는 영역(WAN2)와 VMware를 가동하는 네트워크는 pfSense 방화벽 밖에 있으므로 pfSense 방화벽 안쪽으로 접근할 수 없다. 따라서 pfSense 설정 페이지도 열리지 않기 때문에 내부망에 OS(Windows 7)을 올려 pfSense의 웹 콘솔에 접속해서 방화벽을 제어하는 작업을 해야 한다.  

 

 

여기서 em0은 LAN영역을 em1은 WAN영역을 뜻한다.

 

 

pfSense 메인 화면

내부망에 OS를 설치하고 192.168.2.1에 접속하면 pfSense 메인 화면을 볼 수 있다.

맨 처음 접속시에는 192.168.2.2로 접속하였고 [System] - [Setup Wizard] 설치 마법사를 통해 각종 셋팅을하고 [Interface] - [WAN]에서 [Block priivate networks]와 [Block bogon networks]의 체크박스를 푼다.  (사설 IP 주소 간의 접속 문제 방지를 위해) 

 

위 과정을 거쳐서 전통적인 방화벽의 외양 및 인터넷 공유기와 흡사한 환경까지 구축을 완료했다.

 

 

---

3. 느낀 점

생각보다 프로젝트 환경 구성과 에러 처리에서 많은 시간을 사용했다. 특히, vSphere 위에 Windows 7를 설치하면 마우스가 안 움직이는 문제가 있어서 2시간 정도 삽질했다. 위의 문제에 대한 해결 방법은 밑에 링크를 참조하길 바란다.

 

내일은 VLAN으로 퍼블릭 웹 영역(우분투 서버), 오피스 영역(윈도우 7), 내부 웹 영역(윈도우 서버 2012), 데이터베이스 영역(우분투 서버)을 나눌 예정이다.

 

 

[해결] Windows10에서 vSphere Client 사용 시 VM의 마우스가 안 움직이는 현상