2024.10.17 - [정보보안/네트워크] - 01. ESXi 7와 pfSense를 활용한 방화벽 구축 및 실습(환경구성, ESXi 7설치, pfSense 다운로드)
01. ESXi 7와 pfSense를 활용한 방화벽 구축 및 실습(환경구성, ESXi 7설치, pfSense 다운로드)
정보보안 업무를 하고 있는 입장에서는 IT에 대한 모든 전반적인 지식이 필요하다다는 것을 많이 느끼고 있다.관련된 자격증이나 검색을 통해서 얻는 지식으로는 한계가 있어서, 실무적으로 사
luckyking.tistory.com
지난번 VMware Player에 ESXi 7을 설치하고 pfSense 다운로드를 받고 마무리 했다.
이번에는 NIC 3개 설정, 가상 스위치 및 포트 그룹 추가, pfSense 설치, ubuntu 설치(pfSense접속용) 순으로 이뤄진다.
만약 ESXi가 구동 중이라면 종료하고 VMware에서 NIC를 추가 하는 것 부터 시작한다.
<VM에서 NIC 구성>
VM 설정에서 하단 "Add..." 버튼을 눌러 Network Adapter를 눌러 총 3개의 NIC를 설정한다.
Network Adapter 1번과 2번은 모두 Bridged 모드로 해서 각각 가상 WAN, ESXi 접속용(실무에서는 있으면 안됨)으로 만든다.
Network Adapter 3번은 Host-only로 설정해서 방화벽(pfsense) 뒤 LAN망을 만들예정이다.
3번에서 "LAN Segments..."버튼을 클릭 후 Add버튼으로 LAN1이라는 세그먼트를 하나 만들고 설정하고 ok를 누른다. 꼭 필요한 작업은 아니나 추후 빠르게 확인하기 위함이다.
위의 이미지와 동일한 구성으로 VM NIC 설정을 마무리 하고 ESXi를 ON시킨다.
<ESXi 7 관리는 WEB으로 진행>
ESXi 관리를 별도 Client 프로그램을 설치하지 않고 web에서 관리할 예정이다. 왜냐하면 24년도 말 기준으로 공식적인 지원이 종료됨에 따라 vCenter Server 설치가 불가하다.
vCenter Server 설치 버튼을 눌러 홈페이지로 리다이렉션 되나, 페이지가 삭제되어 확인할 수 없었다.
(별도 설치할 수 있는 방법이 있다면 코멘트 부탁드립니다)
<NIC, 가상스위치, 포트그룹 설정>
디폴트로 설정된 포트그룹 중 "Management Network"가 지정되어 있는데 해당 포트그룹을 통해 현재 접속중이라고 생각하면 된다.
작업하기 쉽도록 해당 포트그룹 선택 후 설정 편집을 눌러 변경할 이름으로 수정한다.
다음으로 NIC카드와 스위치를 잡아주는 작업이다.
가상 스위치 탭에서 "표준 가상 스위치 추가"를 눌러 이미지와 같은 팝업창에서 설정해주면 된다.
업링크1 에서 vmnic1 로 표기됨을 볼 수 있는데, 드롭다운하면 vmnic2도 선택할 수 있다. (0번은 디폴로 설정되어 있는 BackDoor 스위치와 연결되어 있다고 보면 된다)
이번 설정에서는 가상WAN을 받아 처리하는 스위치이므로 vSwitch(WAN)이라고 표기했고, vmnic1과 연결했다(외부와 ESXi 내부간 통신).
방화벽 뒷 단에서 여러 vm을 보호하는 스위치(NIC)를 추가한다.
위에서 vmnic1을 추가했기 때문에 업링크 1에서 vmnic2만 선택할 수 있다
web환경 또는 버전 7버전 때문인지는 몰라도 포트 그룹을 별도로 지정해야한다.
포트그룹 탭에서 "포트 그룹 추가"를 눌러 사용할 포트그룹의 이름을 지정하고 위에서 지정한 가상 스위치를 지정한다.
WAN과 마찬가지로 LAN도 설정한다. 헷갈리지 않게 가상 스위치만 잘 지정해주면 된다.
NIC, 스위치, 포트그룹 작업을 마무리 했다.
<pfSense 설치>
pfsense를 설치할 데이터스토어를 만들기 위에 왼쪽 메뉴 스토리지를 눌르고 데이터스토어 탭에서 "새 데이터스토어"를 누른다.
VMware Player에서 ESXi 7설치 시, 80GB로 지정했으므로 용량이 80GB로 확인된다. 선택 후 다음으로 넘어가자.
(여기서 디바이스가 뜨지 않아 몇 시간을 고생했는데, 이전 게시글에서 언급했듯이 VMFSL 파티셔닝이 자동으로 할당되어 신규 데이터스토어를 만들 수 없는 상태였다)
"전체 디스크 사용"과 "VMFS 6"선택
신규 설치이므로 "예"를 누르고 진행한다.
신규로 생성한 데이터스토어가 보인다.
데이터스토어 탭에서 "데이터스토어 브라우저"를 클릭하고 "업로드" 버튼을 눌러서 1번 게시글에서 다운로드 받은 pfsense 이미지를 불러온다.
정상적으로 불러왔다면 이미지 파일이 해당 브라우저에서 조회 가능한 상태가 된다.
데이터스토어에 저장하지 않고 VM 생성 시 이미지 파일을 host에서 불러올 수 있으나, 안정성과 속도 때문에 업로드 후 진행한다.
호스트를 우클릭하여 "VM 생성/등록"을 누른다.
자원 할당은 가능한 여유롭게 주는 편이 좋다(2코어 이상).
필자는 부족한 LAB환경으로 인해 1코어, 1GB 메모리, 16GB로 지정하여 진행했다.
여기서 CD/DVD 드라이브에 데이터스토어에 저장한 pfsense 이미지 파일을 불러온다.
VM 전원을 켜기 전, 설정 편집 화면에 들어가 이미지 파일과 네트워크 어댑터를 추가한다.
네트워크 어댑터를 추가하여 총 2개를 만들고, 아까 생성한 WAN과 LAN을 지정하고 mac주소는 "자동"으로 설정한다.
pfsense 이미지 파일을 읽어 vm을 생성하고 설치하는 과정이다.
모든 설치과정을 캡처하지 못해 센스를 발휘하여 단계별로 진행하면 된다(대체로 NEXT를 누르면 된다).
만약, em0이나 em1에서 ip주소가 제대로 할당이 되지 않았다면, ESXi에서 pfsense VM 설정 편집 내 WAN과 LAN의 mac 주소를 확인한다(따로 기록해두자).
다시 위 화면으로 돌아와서 1번을 눌러 WAN interface 이름을 기재하라고 한다면 확인한 mac주소를 비교하여 em0 또는 em1로 설정한다.
<vm 설치(ubuntu, 사설망) 후 pfsense 초기 설정>
ESXi 관리화면에서 pfsense 관리 web을 접속할 수 없다. 가상환경이지만 외부에서 방화벽 뒤 사설망은 접속할 수 없기 때문이다.
따라서 pfsense 관리 web을 접속하기 위해 ubuntu vm을 하나 만든다. 여기서는 ubuntu 14 를 설치했다.
가지고 있는 이미지 파일이 14버전이라서 설치했으며, 높은 버전 또는 windows os를 설치해도 무방하다.
ubuntu 설치 후 네트워크 대역은 192.168.1.0/24 로 확인할 수 있다.
pfsense 방화벽 관리 web접근을 위해 192.168.1.1로 접속한다.
default ID/PW는 admin/pfsense 이다. 이후 진행되는 과정 중 필요한 부분만 아래와 같이 설명하고 그 이외엔 next를 누른다.
도메인 명은 원하는 대로 설정하고, DNS Server 는 8.8.8.8로 설정한다.
Timezone은 Asia/Seoul로 설정한다.
업데이트는 불필요하다.
모든 초기설정이 완료됐다.
'정보보안 > 네트워크' 카테고리의 다른 글
| 01. ESXi 7와 pfSense를 활용한 방화벽 구축 및 실습(환경구성, ESXi 7설치, pfSense 다운로드) (4) | 2024.10.17 |
|---|
