Successfully reported this slideshow.
Your SlideShare is downloading. ×

Openstack Demo-virtual checkpoint FW and virtual suricata IDS

Ad

Copyright@ 2018 All reserved by KrDAG
OPENSTACK DEMO
Security
KRDAG STUDY
Seo & Ryu

Ad

Copyright@ 2018 All reserved by KrDAG
NET1
#1. FW IN OPENSTACK
vRouter와 vFW
vRouter
Internet
VM VM
vFW
? vFW
Internet
VM V...

Ad

Copyright@ 2018 All reserved by KrDAG
DC DC
#1. FW IN OPENSTACK
배포 위치 고민
Controller
Compute
Compute Compute
vFW
VM VM VM V...

Ad

Ad

Ad

Ad

Check these out next

1 of 7 Ad
1 of 7 Ad
Advertisement

More Related Content

Advertisement

Openstack Demo-virtual checkpoint FW and virtual suricata IDS

  1. 1. Copyright@ 2018 All reserved by KrDAG OPENSTACK DEMO Security KRDAG STUDY Seo & Ryu
  2. 2. Copyright@ 2018 All reserved by KrDAG NET1 #1. FW IN OPENSTACK vRouter와 vFW vRouter Internet VM VM vFW ? vFW Internet VM VM vRouter와 vFW의 기능 충돌 Routing Security Routing NAT vRouter를 갈아치우자 NET2
  3. 3. Copyright@ 2018 All reserved by KrDAG DC DC #1. FW IN OPENSTACK 배포 위치 고민 Controller Compute Compute Compute vFW VM VM VM VM Openstack Internet Openstack Openstack Openstack Physical FW Openstack Internet Openstack Openstack Openstack vFW
  4. 4. Copyright@ 2018 All reserved by KrDAG #2. AFTER VM DEPLOY Default is Drop WHY NO initial Configuration – support heat API/CLI/GUI 열어주세요~
  5. 5. Copyright@ 2018 All reserved by KrDAG #2. AFTER VM DEPLOY Auto? Depoloying security policy VM 추가 VM의 IP 정보 확인 방화벽에 해당 IP object 추가 방화벽에 해당 VM IP 허용 ./Cpadd.sh "svr1“ ./Cpdel.sh “svr1” DEMO Controller Compute Compute vFW svr1 IDSsvr3
  6. 6. Copyright@ 2018 All reserved by KrDAG #3. IDS IN OPENSTACK 대체 뭘 모니터링 해야해 그래서 어디있는데? Target VMIDS
  7. 7. Copyright@ 2018 All reserved by KrDAG #3. IDS IN OPENSTACK 인터페이스를 찾자 VM 인스턴스 정보(instance-000xxx)확인 배포된 compute 노드 확인 네트워크 포트 순서(역순) 확인 해당 compute 노드에서 qemu 파일 확인 ./mirrir.sh add "svr1“ “internal service” ./mirrir.sh del "svr1“ “internal service” DEMO 해당 인터페이스 확인 Controller Compute Compute vFW svr1 IDSsvr3

Editor's Notes



  • 사람이 있는 이유는
    두가지를 고민하면서 이런 테스트를 진행했는데, 보안을 오픈스택과 결합하는 부분과 실제 인프라 운영 보안 담당자들이 요구하거나 필요한 걸 테스트 해 보고 싶었습니다.

    과연 벤더의 방화벽을 오픈스택에 잘 올릴 수 있을까? 그리고 나중에 나오겠지만 오픈스택에 올리더라도 대부분 보안 제품이 처음에 설정이 문제.
    이 문제가 데이터센터를 국/해외 원격지에 배포하게 되면 되면 저런 부분 때문에 보안담당자가 필요하게 될 수가 있죠.

    오픈스택은 한대만 설정되어 있고 노드정보만 있으면 자동배포가 가능하지만 보안은 여기에 포함이 잘 안된다.
  • 오픈스택이 인프라 구조를 가상화 시켜놓은 것인데 방화벽이 좀 애매하긴 했죠. 방화벽이 이제는 단순 방화벽이 아니라 NGFW 형태로 동작하죠. 좀더 까보는 방화벽이요
    첫번째 시도는 벤더의 방화벽을 오픈스택 내에 배포해서

    처음 배포를 하고 봤더니 방화벽의 role과 vrouter의 role이 중복되면서 vRouter의 존재가 애매해지더라구요.
  • 그리고 위치의 고민인데
    이 노드를 컨트롤러에 올려야할지 컴퓨트 노드에 올려야할지 고민이 많았죠.
    오른쪽 그림은 공격 포인트

×