close
프로필 사진

Clovate

github: @denev6
보안/보안 도구 실습 · 2026. 2. 15. fullscreen 넓게보기

[인프라 네트워크 구성] - 1. 가상 스위치를 사용한 네트워크 분리

1. 인프라 네트워크 구성도

 

  1.  인터넷 ↔ DHCP: 사람마다 IP 다를 것임
    • 사내에서 목록화 시켜놓을때는 Static IP를 설치함
  2. Router 배치
    • 네트워크 다 설정할 것임
    • route-att-net: 10.44.44.0/24
      • 라우터: 10.44.44.1
      • 공격자: 10.44.44.44
    • route-fw-net: 10.0.0.0/24
      • 라우터: 10.0.0.1
      • 방화벽: 10.0.0.254
      • 안티DDos, IPS(방화벽 안에 설치됨) 는 인라인으로 구성됨
  3. DMZ 
    • dmz-net: 10.0.10.0/24
      • 방화벽: 10.0.10.1
      • WAF: 10.0.10.2
      • LB: 10.0.10.3
      • 웹서비스: 10.0.10.100
    • soc-net: 10.0.100.0/24
      • 방화벽: 10.0.100.1
      • 정보보호본부: 10.0.100.2
    • dev-net: 10.0.150.0/24
      • 방화벽: 10.0.150.1
      • IT 개발 본부: 10.0.150.2
  4. 내부망
    • intra-net: 10.0.200.0/24
      • 방화벽: 10.0.200.1
      • Splunk(ESEM) : 10.0.200.201
      • IDS: 10.0.200.200
      • DB: 10.0.200.100

 

 

스위치가 있어야 하는 구간

 

 

스위치란?

 

 

 

2. ESXi 네트워크에 필요한 기본 지식

  • NIC(Network Interface Controller): 인터페이스 카드 - 가상 네트워크 어뎁터 드라이버
  • 표준 가사 스위치: 가상 머신들의 NIC를 연결하는 스위치(=공유기)
    • 각각의 환경에 통신할 수 있는 환경을 만들어줌
  • 업링크: 외부와의 연결 상태
    • 업링크가 없는 경우 외부와 단절
    • 공유기에서 외부로 나가는 단자와 같은 역할 > 외부로 나갈 수 있도록

그림에서는 Route의 인터넷으로 나가는 곳만 업링크가 있으면됨!

 

  • 포트 그룹: 가상 스위치 내에 생성하는 그룹 > 그룹별로 정책을 세팅할 수 있다
    • 보안과 트래픽 단위 조절
    • 네트워크 이중화 같은 속성을 지정하는데 사용
    • 스위치는 1개 이상의 포트그룹이 존재해야함!

 

3. ESXi에서 네트워킹 설정

네트워크 탭에서 포트 그룹을 생성해 각각 분리된 네트워크 구성

 

3-1) 분리된 네트워크 구성

 

  • 빨간색: 스위치
    • 파란색: 포트 그룹
  • 노랑색: 우리는 이거 하나만 꽂혀있다
    • 업링크가 여러개 붙은것 > ESXi 다수를 연결해 놓은 것 > 클러스터 구성

 

3-2) 우리가 구성할 네트워크

 

  1. 라우터
    • 업링크와 연결된 vSwitch와 연결한다 > 인터넷과 통신 가능하다
  2. 공격자
    • 외부와 통신하기 위해 > route-att-net > Router을 통해 외부와 연결된다
  3. 방화벽 
    • 외부와 통신하기 위해 > router-fw-net > Router을 통해 외부와 연결된다
  4. 다른애들은 모두 방화벽과 연결되어있다
    • intra-net
    • dmz-net
    • soc-net
    • dev-net

 

 

3-3) 무차별 듣기 모드 설정(Promiscuos mode)

Promiscuos mode 란?

NIC가 자기 MAC 주소로 온 패킷 + 네트워크에 흐르는 모든 패킷을 수신하도록 하는 설정
  • 보통 NIC는 자기 MAC으로 온 패킷만 수신을 한다
  • Promiscuous Mode를 켜면: 네트워크를 지나가는 모든 패킷을 수신한다
    • 스니핑, 패킷분석 가능
    • IDS, 보안 분석, 트래픽 모니터링에 사용한다

필요한 이유?

  • IDS 장비미러링 모드이다
  • 미러링을하기 위해 tab 장비를 두고, 이것을 복사해서 IDS가 탐지한다
  • 복사하는이유? 
    • 인라인이라면, 검사 결과가 나올 때 까지 기다려야한다
    • 트래픽이 지연될 가능성이 있다
  • IDS는 지연들을 지나가고, 사후보고이기때문에 IPS에 비해 속도가 빠르다는 장점이있다

=> 우리는 tab 장비가 없기때문에, 이것을 대신하겠다

트래픽이 지나갈 때 promiscuos가 받아서 IDS가 가로챌 수 있도록

 

 

4. ESXi에서 가상 스위치 구성하기

4-1) route-wan-net

  • 이건 기본으로 ESXi가 설정해준다

4-2) 나머지 구성

 

  • 전체 구성

 

 

4-3) 포트 그룹 설정

  • 전체 구성

 

 

5. 가상 스위치와 KaliLinux 연결

  • Kali의 위치는 라우터 ↔ 공격자 이다!
  • router-att-net으로 NIC 옮기기

 

  • ubuntu mint > soc-net에 연결
  • ubuntu-20.04 > intra-net에 연결

 

 

 

'보안 > 보안 도구 실습' 카테고리의 다른 글

[인프라 네트워크 구성] - 3. 방화벽(pfSense) 및 DMZ 설정  (0) 2026.03.05
[인프라 네트워크 구성] - 2. VyOS 라우터 설치와 기본 네트워크 설정  (0) 2026.02.15
[실습 환경 구성] - 2. Ubuntu 설치 및 KaliLinux 배포  (0) 2026.02.15
[실습 환경 구성] - 1. VMWare ESXi 개념 및 설치  (0) 2026.02.15
웹 방화벽(WAF)  (0) 2026.02.12
보안/보안 도구 실습 관련 글
더 보기
Copyright © rainhyeon 모든 권리 보유.
SKIN: Copyright © 쭈미로운 생활 All rights reserved. Designed by JJuum.
and Current skin "dev-roo" is modified by Jin.

티스토리툴바