제2의 비엔지니어 인생관을 꿈꾸며

Posted
Filed under Study


Symptoms

When configuring the VMware High Availability (HA) in vCenter Server, you see the message:

Host <xxx> currently has no management network redundancy
 Purpose
To prevent the Host <xxx> currently has no management network redundancy message when configuring the VMware High Availability (HA) in vCenter Server, VMware recommends to add a second vmnic to the service console or management network vSwitch configured with NIC teaming, and that you keep both as active adapters, or place one in standby.
 Cause
This message is displayed if the network redundancy configuration within theService Console/VMkernel Port Management Network is incorrect. This message can be safely ignored.

 Resolution
To prevent this message from appearing, and to comply with proper network redundancy, VMware recommends to add a second vmnic to the service console or management network vSwitch configured with NIC teaming, and that you keep both as active adapters, or place one in standby. For more information, see NIC teaming in ESXi and ESX (1004088).

Alternatively, you can add a second service console on a different vSwitch and subnet.<o></o> To suppress this message on ESXi and ESX hosts in the VMware High Availability (HA) cluster, or if the warning appears for a host already configured in a cluster, set the VMware HA advanced option das.ignoreRedundantNetWarning to true and reconfigure VMware HA on that host. This advanced option is available in VMware Virtual Center 2.5 Update 3 and later.

If the warning appears even when there are two available uplinks for the vSwitch hosting the Service Console/VMkernel Port Management Network, providing a redundancy, see ESX/ESXi host displays warning message when test condition is false (2008602).
 
Note: If the warning continues to appear, disable and re-enable VMware High Availability in the cluster.

To set das.ignoreRedundantNetWarning to true:

From the VMware Infrastructure Client, right-click on the cluster and click Edit Settings.
Select vSphere HA and click Advanced Options.
In the Options column, enter das.ignoreRedundantNetWarning
In the Value column, type true.

Note: Steps 3 and 4 create a new option.
 
Click OK.
Right-click the host and click Reconfigure for vSphere HA. This reconfigures HA.
To set das.ignoreRedundantNetWarning to true in the vSphere 5.1 Web Client:

From the vSphere Web Client, right-click the cluster.
Click the Manage tab for the cluster, then under Settings click vSphere HA.
Click Edit in the top right corner.
Expand the Advanced Options section, and click Add.
In the Options column, type das.ignoreRedundantNetWarning.
In the Value column, type true.
Click OK.
Right-click the host and click Reconfigure for vSphere HA.

2018/10/08 18:59 2018/10/08 18:59
Posted
Filed under Study

1) If RRAS based VPN server is behind a firewall (i.e. a firewall is placed between Internet and RRAS server), then following ports need to be opened (bidirectional) on this firewall to allow VPN traffic to pass through: -
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723   <- Used by PPTP control path
◦IP Protocol=GRE (value 47)   <- Used by PPTP data path

•For L2TP: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path

•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2: ◦IP Protocol Type=UDP, UDP Port Number=500    <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=ESP (value 50)   <- Used by IPSec data path


2) If RRAS server is directly connected to Internet, then you need to protect RRAS server from the Internet side (i.e. only allow access to the services on the public interface that isaccessible from the Internet side). This can be done using RRAS static filters or running Windows Firewall on the public interface (or the interface towards the Internet side). In this scenario following ports need to be opened (bidirectional) on RRAS box to allow VPN traffic to pass through
•For PPTP:  ◦IP Protocol=TCP, TCP Port number=1723  <- Used by PPTP control path
◦IP Protocol=GRE (value 47)  <- Used by PPTP data path

•For L2TP:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv1 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50  <- Used by data path (ESP)


•For SSTP:
◦IP Protocol=TCP, TCP Port number=443   <- Used by SSTP control and data path
•For IKEv2:
◦IP Protocol Type=UDP, UDP Port Number=500   <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=4500 <- Used by IKEv2 (IPSec control path)
◦IP Protocol Type=UDP, UDP Port Number=1701  <- Used by L2TP control/data path
◦IP Protocol Type=50 <- Used by data path (ESP)

방화벽 뒷단에 VPN서버를 배치하는것과 다이렉트로 DMZ 영역에 VPN서버를 배치하여 포트를 개방하는 방법입니다. 앞서 1탄에 설명을 했지만 SSTP와 IKEv2를 제외하고는 중국에서는 전부 블랙당하고 OPENVPN도 SSL을 사용한다고 해도 감지하여 블랙당하는걸 직접 테스트 하였습니다.
아이폰은 현재로서는 유일하게 IKEv2 방식을 사용할수밖에 없고 나머지 플랫폼은 전부 SSTP 클라이언트로 접속하여 VPN을 사용할수가 있습니다.
SSTP 클라이언트가 내장된 라우터 및 공유기가 현존하는 제품중 미크로틱 제품이 유일하다라고 국내에서는 트루네트워크가 총판을 담당하고 있습니다.
미크로틱 라우터도 SSTP 서버를 지원하지만 중국에서는 이마져도 감지가 되어 차단된다는걸 명심해야됩니다.
중국에서 VPN 을 차단되지 않고 원활하게 사용할수 있는 VPN을 아직까지 서비스 하지 못하여 IP만 맨날 바꾸는 업체들이 여기저기 보이고 있는게 아쉬울뿐입니다.
Windows Server의 VPN을 비웃기라도 한듯 리눅스및 어플라이언스에 의존한 결과가 아닌가 싶습니다.

2018/08/29 10:14 2018/08/29 10:14
Posted
Filed under Study
IT PRO로 밥벌이 하다 어찌어찌하여 DBA로 변신하여 중국에 프로젝트에 몇개월 일하게 되었습니다. 필자는 VPN을 자주 사용합니다. 자주 사용하는 이유는 SMB 파일 송수신을 편하게 하기 위한 방법이 우선이기도 하고 Hyper-V 의 회사망에 있는 여러대 서버를 터미널로 접속하기 귀찮아서 그냥 VPN으로 붙여서 로컬 노트북으로 관리할때?가 많아서입니다.
그리고 보통 회사망에서는 방화벽이 있어서 까탈스럽게 보안을 중요시 하는데는 왠간한 아웃바운드 포트는 다 차단해버리는게 문제이기도 합니다. 뭐 그냥 일만 하라는 소리죠. 그리고 웹사이트 로그 기록도 남기 때문에 필자는 그런 기록을 남기고 싶어하지 않아 별도로 SSL VPN을 사용합니다. 보통 회사에서는 뻘짓? 하지말라는 보안각서도 쓰기에 그냥 필수일수밖에 없습니다.
그래서 필자는 한국에 개인 인프라가 좀 있는 관계로 여러대의 가상화서버와 고정 및 유동아이피에 기가빗 라인이 있었기에 최근에 분석했던 내용을 포스팅하겠습니다.
중국.
인터넷 검열 빡셉니다. 구글, 페이스북, 티스토리,라인 및 카카오톡은 일부, 한국사람이 사용하던 모든것들이 그냥 다 못쓴다고 생각하면 됩니다. 답답하죠. 많이 답답합니다.
그래서 전 처음부터 PPTP/L2TP 를 스맛폰에서 붙여서 쓰기 시작했습니다. 직원들도 많기도 해서 계정을 많이 만들고 배포했죠. 딱 1주일 만에 블랙 되었습니다. 그때 감잡았습니다. 검열한다는것을요...
분석했습니다. 왠간한 VPN은 분명 다 스니핑 될것이다. PPTP/L2TP는 못쓴다는걸 알고 있어서 SSL 방식을 사용하기로 했습니다. 윈도우서버의 SSTP VPN은 443 포트 기본적인 SSL VPN의 정석입니다. 윈도우에 기본 내장되어 있어서 별도의 어플리케이션도 필요 없습니다.
사용자 삽입 이미지

윈도우 비스타/2008서버 시절에 처음에 SSTP VPN이란걸 내놓았습니다. 이게 정말 필요하던 이유가 아무 VPN이나 쓰면 좋은데 GRE47 라우팅 프로토콜이 안열리거나 지원 안되는곳에서는 정말 난감한 경우가 많기 때문입니다. 회사내부에 PPT를 열어야 할경우이거나 데모를 실행해야될 경우 그리고 클라우드에 접속해야될경우 PPTP/L2TP는 안되는곳이 좀 되는게 현실입니다. 그때되서 VPN 안되서 계획이 와르르 무너진다고 생각해보면 아찔하겠죠. 그런걸 MS가 잘 동감했는지 이런 SSTP란것을 선보였습니다. 그당시 이거 구축 못해서 MS 백모 부장님이 기술지원카드 던져주었던 기억이 아직도 새록새록 납니다. 인증서가 있어야되고 클라이언트에도 깔아야되고 기타등등 지금은 구글에 설명 잘나왔지만 그당시에는 그냥 MS만 바라볼수 밖에 없는 현실이였습니다.
사용자 삽입 이미지
기존 RRAS 에서 IIS에서 443 채널을 수신 인증해주고 나머지 라우팅을 처리해주는 기능입니다. 중국에서 차단되지 않는 VPN중 하나입니다. 물론 어플라이언스 기업형 SSL VPN도 차단되지는 않습니다. 그러나 그 VPN은 스마트폰을 지원하지 못한다는 단점이 존재합니다. 별도로 개발을 해야되는거죠. 하지만 SSTP는 앱이 유료/무료가 안드로이드만 배포를 하고 있습니다.
사용자 삽입 이미지
앱은 중국의 방화벽이 차단하는지 안하는지 테스트를 위하여 유료 결재하여 앱을 다운받았습니다. 차단 안하는걸 확인하고는 VPN을 무지 원하는 직원이 무료 apk를 찾아서 다운로드 하였더군요. 난 연구를 위해 결재했는데 왜 왜 왜~!!!
사용자 삽입 이미지

평균 14메가 이상 속도가 나와서 한국에서 사용하는것처럼 똑같다고 할수 있습니다. 한번 맛본 사람은 절대 이맛을 못잊어서 통신이라도 장애가 나면 해결해달라고 불만입니다. 그냥 쓰면서...
PC 및 안드로이드는 SSTP가 중국에서 사용할수 있는 유일한 VPN 입니다. 물론 IKEv2 프로토콜이 존재합니다만 너무 보안적이다보니 시원시원하게 터지지도 않고 UDP 프로토콜과 ESP 프로토콜을 사용하지 않은 필자에게는 그리 와닿지 않는 방식입니다.
왜 OPENVPN이 차단되는지 포트를 아무리 바꿔도 차단될수 밖에 없는지는 그리고 왜 SSTP는 차단되지 않는지는 내가 만약 중국의 인터넷을 통제하고 차단하고 싶은데 어떻게 해야될까?라고 접근하면 이해가 빠를수 있습니다. 필자는 취약한 보안을 뚫는것보단 차단하는것을 우선시하는 방법을 많이 찾고 있기 때문입니다.
중국의 VPN 차단은 원더풀 할정도로 자동화입니다. 인간들이 너무 많으니 사람이 통제하기보단 모든건 컴퓨터와 전산으로 처리할겁니다. CCTV로 용의자 및 범죄 검거율이 높은 이유도 다 이런데서 나오고 있습니다. 한국이 IT강국을 외쳤지만 중국은 이미 응용IT에 들어섰습니다. 모든 레퍼런스는 중국에서 나올지 모르겠습니다만 VPN 그것이 알고싶다 중국편 1탄은 여기서 마무리 하겠습니다.
2018/08/13 21:15 2018/08/13 21:15
Posted
Filed under Study

Change the Group Policy on your local client to use the vulnerable setting 

Run:  gpedit.msc

Go to à Computer Configuration -> Administrative Templates -> System -> Credentials Delegation -> Encryption Oracle Remediation

 

Open - Encryption Oracle Remediation à  choose Enable  à change protection levelàVulnerable à Apply

그룹정책편집기를 실행합니다.(gpedit.msc)

사용자 삽입 이미지
관리템플릿-시스템-자격증명위임-Oracle 수정 암호화 를 그림과 같이 변경해주면 모든 서버들을 업데이트 해야하거나 변경할 필요가 없습니다. 서버들을 5월자 업데이트를 완료하면 이문제가 사라지지만 이미 클라이언트PC가 업데이트가 되어 있기 때문에 클라이언트에서 변경을 해주는게 번거로운 작업을 피할수 있을거 같습니다.



2018/05/15 12:23 2018/05/15 12:23
Posted
Filed under Study
https://practical365.com/exchange-server/add-ip-block-list-provider-exchange-server-2013-edge-transport/
사용자 삽입 이미지

Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $true -RejectionResponse "IP address is listed by Spamhaus"

Set-IPBlockListProvider Spamhaus -RejectionResponse "IP address is listed by Spamhaus Zen."

사용자 삽입 이미지

사용자 삽입 이미지
Get-AntispamTopRBLProviders.ps1

우클릭 실행하거나 파워쉘로 실행하고나면 정식적으로 메일서비스를 하지 않는 SMTP서버 스팸은 100프로 차단된다고 볼수 있습니다.
2018/04/06 20:05 2018/04/06 20:05