[netscreen] 트러블 슈팅하기

.

netscreen장비에서 트러블슈팅할때 다음과 같은 순서로 하면 큰 도움이 됩니다.

get clock   (이외로 이것때문에 장비가 정상작동하지않을수있습니다.)
get system,get interface (uptime,version)
get chassis (온도 , 모듈구조)
get session info (몇번수)
get perf sess det
get perf cpu
get perf cpu det
get couters stat int eth1
get sess proto 6
   get session 명령실행시 재빨리 Ctr+C 누르지않으면 엄청난 라인을 보게됩니다. ^^
get sess proto 17
get sess proto 1
(평소에 사용하는 프로토콜별 비율을 체크하세요)
get sess proto 17 dst-port 1026 (예제)

평소의 정상적인 상황에서의 위 항목의 수치들을 반드시 체크하고 계시기 바랍니다.
비정상 상황에서의 문제를 빨리 파악할수있게되고 조치도 빨라집니다.

IPS를 두는것보다  아래와 같은 카테고리로 네트웍을 관리하면 정말 튼튼한 네트웍을 구축할수있습니다.
▶ profilling
▶ behavior-based
▶ abnomaly

[nestcreen] 튼튼한 보안을 위한 3단계

.

netscreen에서 튼튼하면서 성능을 보장하는 정책을 펼치려면 어떻게 해야할까요..
아래의 3단계의 순서로 보안을 하시면 됩니다.

라우팅 -> Screening -> 필터링



1. 라우팅 (Routing)
적절한 라우팅이 먼저 우선해야합니다.
특히 직접연결된 네트웍대역에 대해 Null라우팅을 사용해야합니다.
웜이 창궐할때  또는 내부 네트웍 일부에 문제가 생겼을때 Null라우팅은 위력을 발휘하게 됩니다.
직접연결된 네트웍은 가장 우선시되기때문에 실제로 연결된 네트웍에 Null라우팅을 넣어도
평시엔 작동하지않습니다.  내부네트웍에 문제가 생겼을때만  직접연결된 네트웍에 대한 Null라우팅이
작동하게 됩니다.  이렇게 준비하지않으면  문제발생시 엄청난 루핑이 발생하게 됩니다. 이로 인해
네트웍장비의 CPU가 올라가고 네트웍대역을 더욱 많이 소모하게 되는 것이죠..
또한 내부에서 사용하지않는 사설대역에 대한 Null routing도 만들어주세요…
외부 사이트들에 민폐를 끼치지않는 적절한 습관이라 할수있답니다.
아래 그림을 참조하세요

2. 스크리닝 (Screening)
  적절한 스크리닝을 사용해야합니다.  일반적인 항목들을 표시한 상태를 캡춰해서 올렸습니다.
내부에 서비스하는 서버가 있을 경우  세션제한을 적절히 조정해야합니다. 기본값으로 할 경우
이유없이 트래픽들이 끊기는 일들이 있을수있습니다.

3. 정책 (filtering Policy)
정책수립시 꼭 지켜야할 원칙 (Principle of Making Ruleset)
1) 출발지주소로 any사용금지 (permit일 경우)
2) 서버에서 인터넷사용금지,  outbound 제어  (dmz->untrust로 나가는것 금지)
3) 공인서버망 -> 사설내부망 접속금지
4) positive rule 의 적용성 검토
5) rule순위 조정 (log count가 많은것을 위로 올려라) ->장비성능의 30%올릴수있음

[netscreen] NS204에서 redundant 인터페이스 사용하기

내부에 두개의 백본을 HSRP로 돌리는 상황에서  fullmash로  라인이중화를 하려고 하였습니다.
한개의 인터넷 라인은 메트로 방식이고 또 하나는 인터넷 전용망을 쓴다고 할때
NS204이 연결된 라인쪽을 설정함에 있어서  필요한 내용입니다.

NS204입장에서 외부 인터넷라인은 하나의 인터페이스이지만
내부 이더넷단은 두개의 trust를 가져가야합니다.
이때 trust쪽 이더넷 2개포트를 active-passive 모드로 redundant하게 구성하는 방법입니다.

▶ NS204에서 리던던트 인터페이스 설정하기
1. 리던던트 인터페이스를 설정한 다음
2. 2개의 다른 이더넷 인터페이스에 리던던트인터페이스를 할당하고
3. 우선권을 그중 하나에 줍니다.

실제 예문
set interface redundant1 zone trust
set interface redundant1 ip 192.168.1.1/24
set interface ethernet1/1 group redundant1
set interface ethernet1/2 group redundant1
set interface redundant1 primary ethernet1/1