Gigamon Topology example #1
2 회선, 별도 SSL 암복호화 장비

Gigamon Topology example #2
2회선, 기가몬 SSL 암복호화

Gigamon Topology example #3
멀티 회선, Multi-Segment 수용

Gigamon Topology example #4
멀티 회선, Multi-Segment 수용, 보안장비 1G/10G 혼용 사용

Gigamon Topology example #5
Gigamon 이중화 (GRIP)
- Physical Bypass를 Inline-network로 사용
- 상단 장비 장애 시 하단 장비가 활성화

Gigamon Topology example #6
Gigamon 이중화
- 일반 Port를 Inline-network로 사용
- 기가몬 장애시 망 전환

Gigamon-HC1 (config) # show running-config
##
## Running database "initial"
## Generated at 2023/03/09 22:37:25 +0000
## Software version on which this output was taken: GigaVUE-OS 5.13.03.04 347192 2022-08-29 17:34:04
## Hostname: Gigamon-HC1
##
## Note: If you are not an admin user some command invocations may be omitted
## because you do not have permissions to see them.
##
##
## Network interface configuration
##
interface eth0
  no dhcp
  ip address 10.10.10.125 /24
  exit
##
## Routing configuration
##
ip default-gateway 10.10.10.254 eth0
##
## Other IP configuration
##
hostname Gigamon-HC1
ip name-server 8.8.8.8
##
## Local user account configuration
##
username admin password 7 $1$Awce0nPW$l7aLonymvDzWfArYQcLAs.
##
## AAA remote server configuration
##
# ldap bind-password ********
# radius-server shared-secret ********
# tacacs-server shared-secret ********
##
## Chassis level configurations
##
chassis box-id 1 serial-num H013C type hc1 gdp disable
##
## Card level configurations
##
card slot 1/1 product-code 132-00D7
card slot 1/2 product-code 132-00D9
card slot 1/3 product-code 132-00D8
card slot 1/cc1 product-code 132-00D6
##
## Port level configurations
##
port 1/1/g1 type network
port 1/1/g2 type network
port 1/1/g3 type network
port 1/1/g4 type network
port 1/1/x1 type inline-tool
port 1/1/x1 params admin enable
port 1/1/x2 type inline-tool
port 1/1/x2 params admin enable
port 1/1/x3 type inline-tool
port 1/1/x3 params admin enable
port 1/1/x4 type inline-tool
port 1/1/x4 params admin enable
port 1/1/x5 type inline-tool
port 1/1/x5 params admin enable
port 1/1/x6 type inline-tool
port 1/1/x6 params admin enable
port 1/1/x7 type inline-tool
port 1/1/x7 params admin enable
port 1/1/x8 type inline-tool
port 1/1/x8 params admin enable
port 1/1/x9 type network
port 1/1/x10 type network
port 1/1/x11 type network
port 1/1/x12 type network
port 1/2/x1 type network
port 1/2/x2 type network
port 1/2/x3 type network
port 1/2/x4 type network
port 1/2/x5 type inline-net
port 1/2/x5 params admin enable speed 1000
port 1/2/x6 type inline-net
port 1/2/x6 params admin enable speed 1000
port 1/2/x7 type inline-net
port 1/2/x7 params admin enable speed 1000
port 1/2/x8 type inline-net
port 1/2/x8 params admin enable speed 1000
port 1/3/g1 type network
port 1/3/g1 params taptx passive
port 1/3/g2 type network
port 1/3/g2 params taptx passive
port 1/3/g3 type network
port 1/3/g3 params taptx passive
port 1/3/g4 type network
port 1/3/g4 params taptx passive
port 1/3/g5 type network
port 1/3/g5 params taptx passive
port 1/3/g6 type network
port 1/3/g6 params taptx passive
port 1/3/g7 type network
port 1/3/g7 params taptx passive
port 1/3/g8 type network
port 1/3/g8 params taptx passive
##
## Gigastream hash configurations
##
gigastream advanced-hash slot 1/cc1 default
##
## Apps SSL configuration
##
apps inline-ssl profile alias iSSL-Profile
  certificate expired drop
  certificate invalid drop
  certificate revocation crl disable
  certificate revocation ocsp disable
  certificate self-signed drop
  certificate unknown-ca drop
  decrypt tcp inactive-timeout 5
  decrypt tcp portmap default-out-port disable
  decrypt tool-bypass disable
  default-action decrypt
  ha active-standby disable
  monitor inline
  network-group multiple-entry disable
  no-decrypt tool-bypass disable
  non-ssl-tcp tool-bypass disable
  one-arm disable
  ria disable
  split-proxy disable
  split-proxy server non-pfs-ciphers disable
  tcp delayed-ack disable
  tcp syn-retries 3
  tool early-engage disable
  tool fail-action bypass-tool
  url-cache miss action no-decrypt
  exit
apps inline-ssl signing for primary key ucontech
##
## Gsgroup configurations
##
gsgroup alias iSSL-GS port-list 1/1/e1 hash advanced
##
## Gs params configurations
##
gsparams gsgroup iSSL-GS
  3gpp-node-role disable
  5g-flow timeout 48
  apptcp-lb application broadcast
  apptcp-lb control broadcast
  apptcp-lb disable
  cpu utilization type total rising 80
  dedup-action drop
  dedup-ip-tclass include
  dedup-ip-tos include
  dedup-tcp-seq include
  dedup-timer 50000
  dedup-vlan ignore
  diameter-packet timeout 2
  diameter-s6a-session limit 10000
  diameter-s6a-session timeout 30
  eng-watchdog-timer 60
  erspan3-timestamp format none
  flow-mask disable
  flow-sampling-rate 5
  flow-sampling-timeout 1
  flow-sampling-type device-ip
  generic-session-timeout 5
  gtp-control-sample enable
  gtp-flow timeout 48
  gtp-persistence disable
  gtp-persistence file-age-timeout 30
  gtp-persistence interval 10
  gtp-persistence restart-age-time 30
  gtp-randomsample disable
  gtp-randomsample interval 12
  ip-frag forward enable
  ip-frag frag-timeout 10
  ip-frag head-session-timeout 30
  lb failover disable
  lb failover-thres lt-bw 80
  lb failover-thres lt-pkt-rate 1000
  lb replicate-gtp-c disable
  lb use-link-spd-wt disable
  mobility-sam disable
  resource buffer-asf disable
  resource cpu overload-threshold 90
  resource hsm-ssl buffer disable
  resource hsm-ssl packet-buffer 1000
  resource inline-ssl standalone enable
  resource metadata disable
  resource packet-buffer overload-threshold 80
  resource xpkt-pmatch num-flows 0
  session logging level none
  sip-media timeout 30
  sip-nat disable
  sip-session timeout 30
  sip-tcp-idle-timeout 20
  ssl-decrypt decrypt-fail-action drop
  ssl-decrypt enable
  ssl-decrypt hsm-pkcs11 dynamic-object enable
  ssl-decrypt hsm-pkcs11 load-sharing enable
  ssl-decrypt hsm-timeout 1000
  ssl-decrypt key-cache-timeout 10800
  ssl-decrypt non-ssl-traffic drop
  ssl-decrypt pending-session-timeout 60
  ssl-decrypt session-timeout 300
  ssl-decrypt tcp-syn-timeout 20
  ssl-decrypt ticket-cache-timeout 10800
  tunnel-health-check action pass
  tunnel-health-check disable
  tunnel-health-check dstport 54321
  tunnel-health-check interval 600
  tunnel-health-check protocol icmp
  tunnel-health-check rcvport 54321
  tunnel-health-check retries 5
  tunnel-health-check roundtriptime 1
  tunnel-health-check srcport 54321
  xpkt-pmatch disable
  exit
##
## Gsop configurations
##
gsop alias iSSL-GSOP inline-ssl iSSL-Profile port-list iSSL-GS
##
## Vport configurations
##
vport alias VP1 gsgroup iSSL-GS
vport alias VP1 failover-action vport-bypass
vport alias VP1 outer-traffic-path to-inline-tool
vport alias VP1 inner-traffic-path to-inline-tool
vport alias VP1 deferred-binding disable
vport alias VP1 mmon disable
vport alias VP1 insight-sensor disable
vport alias VP2 gsgroup iSSL-GS
vport alias VP2 failover-action vport-bypass
vport alias VP2 outer-traffic-path to-inline-tool
vport alias VP2 inner-traffic-path to-inline-tool
vport alias VP2 deferred-binding disable
vport alias VP2 mmon disable
vport alias VP2 insight-sensor disable
##
## Inline-network configurations
##
inline-network alias default_inline_net_1_2_1
  pair net-a 1/2/x5 and net-b 1/2/x6
  physical-bypass disable
  traffic-path to-inline-tool
  exit
inline-network alias default_inline_net_1_2_2
  pair net-a 1/2/x7 and net-b 1/2/x8
  physical-bypass disable
  traffic-path to-inline-tool
  exit
##
## Inline-tool configurations
##
inline-tool alias DEC1
  pair tool-a 1/1/x1 and tool-b 1/1/x2
  enable
  exit
inline-tool alias DEC2
  pair tool-a 1/1/x5 and tool-b 1/1/x6
  enable
  exit
inline-tool alias ENC1
  pair tool-a 1/1/x3 and tool-b 1/1/x4
  enable
  exit
inline-tool alias ENC2
  pair tool-a 1/1/x7 and tool-b 1/1/x8
  enable
  exit
##
## Traffic map connection configurations
##
map alias map11
  roles replace admin to owner_roles
  rule add pass portdst 443 bidir
  to VP1
  from default_inline_net_1_2_1
  exit
map alias map21
  roles replace admin to owner_roles
  rule add pass portdst 443 bidir
  to VP2
  from default_inline_net_1_2_2
  exit
map alias map12
  roles replace admin to owner_roles
  use gsop iSSL-GSOP
  to DEC1
  from VP1
  exit
map alias map22
  roles replace admin to owner_roles
  use gsop iSSL-GSOP
  to DEC2
  from VP2
  exit
map-scollector alias map33
  roles replace admin to owner_roles
  from default_inline_net_1_2_2
  collector ENC2
  exit
map-scollector alias map13
  roles replace admin to owner_roles
  from default_inline_net_1_2_1
  collector ENC1
  exit
##
## X.509 certificates configuration
##
#
# Certificate name system-self-signed, ID 6e7c2be346db77d241a438646adbe073ff1e1ab8
# (public-cert config omitted since private-key config is hidden)
##
## Web configuration
##
# web proxy auth basic password ********
##
## E-mail configuration
##
# email auth password ********
# email autosupport auth password ********
Gigamon-HC1 (config) #

openssl s_client -connect sbpaek.tistory.com:443
openssl s_client -connect sbpaek.tistory.com:443 -tls1_2

지난번에는 Gigamon HC Series iSSL 구성이 각각 Standalone 상태에서 회선별 연결된 좌우형 구성에서 발생할 수 있는 iSSL에 대해 글을 작성하였다.

이번에는 GRIP 구성과 같이 Gigamon을 상하단 구성으로 사용 시...대신 GRIP 설정 없이 아래와 같이 구성 시 발생될 수 있는 iSSL에 대해 이야기 하고자 한다.

내부에서 테스트를 목적으로 구성한 LAB 이며, HC2의 단종으로 인해 HC1의 interface 부족을 해결하기 위해 막연하게 생각해본 구성에서 iSSL도 같이 테스트를 진행 하였는데 약간의 문제점이 발견 되었다.

구성도에서의 iSSL Reverse는 편의상 외부에 있는 서버중 인증서를 포함하고 있기 때문에 상하단 방향이 바뀐 상태로 테스트 진행

하단 Client에서 외부 사이트의 URL로 접속시 인증서가 없을 경우 복호화 되지 않은 상태에서 정상적인 사이트 접속이 가능하다.
하지만 IP로 접속 시도 시 페이지가 연결 안되는 증상이 발견 되었다.

동일하게 외부 웹사이트의 경우도 URL를 통한 접속시에는 문제가 없으나 IP로 접속 시 페이지가 안열리는 증상이 발생한다.

물론 Gigamon 장비를 Standalone으로 상하단 구성을 하는 사례가 없을 수도 있으나 GRIP 구성 중 Stack interface의 다운으로 상하단 2대의 Gigamon 장비가 Standalone 상태가 될 수 있는 상황이기에 이때 iSSL를 사용하고 있다면 내부에서 IP로 접속하는 장비들에 대해서는 페이지 안열림 증상이 발생 될수도 있다.

아직 원인파악은 안된 상태이나, Gigamon 이중화 중 iSSL 구성 시 해당 내용은 참고가 필요하다.

P.S
Gigamon 1대를 Standalone으로 구성 시에는 IP or URL 로 접속 시 정상 작동이 되었다.

Gigamon HC Series는 패킷 미러 처리 뿐 아니라 inline에 직접 연결해 다양한 inline-tool에게 최적의 패킷을 전달 하는 역활을 한다.

보통의 Gigamon 이중화는 GRIP이라는 Gigamon에서 제공하는 이중화 프로토콜을 통해 이중화를 구성하며, 회선별 구성이 아닌 아래와 같이 상하단 구성을 주로 한다.

기존 회선 이중화 방식에서 발생되는 문제점들을 Gigamon을 통해 다양한 문제점들의 해결이 가능해진다.
- 보안 장비로 인한 네트워크 성능 저하
- 여러 장애 포인트 존재
- 비대칭 라우팅으로 인한 보안 장비 탐지의 어려움
- 보안 장비 확장의 어려움
- 보안장비 Firmware 업그레이드 혹은 교체시 네트워크 단절 위험
- 네트워크 증속 시 보안도 동일 증속을 위한 투자
- 보안 장비 한대 장애로 인한 망 전환
- 불필요한 패킷이 보안 장비에 전달 됨으로 인한 성능 저하
- Active/Standby 회선에서 Standby쪽에 연결된 보안장비의 휴무
- 각자 SSL 암복호화를 수행함에 따른 성능 지연 및 인증서 관리 문제

Gigamon의 GRIP 구성은 처음 접하면 이해하기 어려우나, 상당히 추천할 만한 구성이다.

이에 반해 Gigamon을 각각의 회선별로 Standalone으로 구성하는 사례도 있다. 아래와 같이...

위의 구성 시 주의 사항은 아래와 같다.
- Asymmetric 문제 발생
- Gigamon 장애 시 트래픽 바이패스 또는 망 전환 (inline-network 구성을 bypass 모듈에 할지 일반 포트에 구성하는지에 따라 다름)
- SSL 암복호화 시 발생될 수 있는 Mac Flapping

3가지 주의 사항 중 오늘 언급하고자 하는 부분은 SSL 암복호화 부분이다.
특히 Gigamon의 좌/우 구성에서 iSSL 암복호화를 Gigamon에서 수행할 경우 장애 발생 여지가 있다.
결론부터 얘기하자면 Gigamon에서 iSSL 암복호화를 수행 시 Proxy 형태로 GigaSMART에서 연결된 SSL Session에 대해 유지를 하게 된다. 기존 SSL Session이 유지되는 상태에서 망 전환이 발생이 되고, SSL Session Timeout에 의해 기존 연결된 Session에 reset 패킷을 발생 시키게 됨으로 Standby쪽 하단 스위치에 reset 패킷이 도달하게 되며 그로 인해 하단 스위치에서 Mac Flapping이 발생하게 된다.

해결 방법으로는 Gigamon 6.x 버전 이상에서는 "Active Visibility"라는 기능에서 Condition에 따른 Action을 수행할수 있기에 망 전환시 발생되는 회선 포트 다운 event에 iSSL Session Clear를 할수 있는 Action을 통해 해결이 가능하다.

Gigamon의 상/하단 구성인 GRIP 구성에서는 SSL Session이 유지된 상태에서 장비 Fail-over가 발생된다 해도 Standby쪽 장비에서는 Physical Bypass 상태를 유지하므로 SSL Session Timeout에 의해 Reset 패킷이 발생한다 하더라도 이로 인한 영향은 없다.

단 Gigamon에서 iSSL의 암복호화 수행이 아닌 별도의 SSL 암복호화 솔루션을 쓰게 될 경우에 해결 방법에 대해서는 아직 미지수이다.

SSL 암복호화를 수행 하는 경우 Gigamon 구성에 대해서는 반드시 확인이 필요하다.

http://egloos.zum.com/popfly/v/6035802

OS X El Capitan부터 OpenSSL이 애플의 SDK에서 제외되었다.
맥에서 OpenSSL 프로그래밍을 하려면 소스를 직접 받아 빌드를 해야 한다.
이런 불편함을 해소하고, 간편하게 OpenSSL 라이브러리를 얻기 위해 Homebrew를 이용한다.

Homebrew 설치하기

Homebrew를 설치한 후 터미널에서 아래의 커맨드를 입력한다.

$ brew doctor

Homebrew의 실행 환경이 잘 되었는지 검사한다.
이상이 없으면 경고 메시지가 나오지 않는다.
내 경우엔 아래처럼 경고가 나왔다.

이를 해결하려면 터미널에서 아래의 커맨드를 입력한다.
계정이름에는 맥에 로그인한 계정이름을 넣는다.

$ sudo chown -R 계정이름:admin /usr/local/

아래의 커맨드를 입력해 새로운 버전의 Homebrew를 가져온다. Homebrew 프로그램 자체를 새로운 버전으로 만든다.

$ brew update

아래의 커맨드를 입력해 설치된 패키지를 최신 버전으로 만든다,

$ brew upgrade

OpenSSL 설치를 위해 아래의 커맨드를 입력한다.

$ brew install openssl

OpenSSL이 설치되면 아래의 경로에 헤더 파일과 라이브러리 파일이 존재하게 된다.

/usr/local/opt/openssl/include
/usr/local/opt/openssl/lib

Brew Error 시

git -C "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core" fetch
git -C "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-core" fetch --unshallow
git -C "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-cask" fetch
git -C "/usr/local/Homebrew/Library/Taps/homebrew/homebrew-cask" fetch --unshallow

GigaVUE H Series nodes support Secure Sockets Layer (SSL) decryption. SSL is a cryptographic protocol that adds security to TCP/IP communications such as Web browsing and email. The protocol allows the transmission of secure data between a server and client who both have the keys to decode the transmission and the certificates to verify trust between them. Out-of-band SSL decryption delivers decrypted traffic to out-of-band tools that can then detect threats entering the network.

SSL decryption is a pillar of the GigaSECURE Security Delivery Platform. For an overview of GigaSECURE, refer to the “GigaSECURE Security Delivery Platform” section in the GigaVUE-FM User’s Guide.

Configure Out-of-Band SSL Decryption Examples
The following sections provide examples of out-of-band SSL decryption. Refer to the following:

• Example 1: Out-of-Band SSL Decryption with a Regular Map
• Example 2: Out-of-Band SSL Decryption with De-Duplication
• Other Usage Examples
For details on the CLI commands used in the following sections, refer to apps ssl, gsparams, and gsop in the reference section.

Example 1: Out-of-Band SSL Decryption with a Regular Map
In Example 1, a regular map is configured to use with out-of-band SSL decryption.

Step

Description

Command

1. Upload a key and create a service. Refer to Working with Keys and Services on page 732.

(config) # apps ssl key alias key1 download type private-key url https://keyserver.domain.com/path/keyfile.pem
(config) # apps ssl service alias service1 server-ip 192.168.1.1 server-port 443

2. Configure a GigaSMART group.

(config) # gsgroup alias gsgrp1 port-list 1/1/e1

3. Specify the GigaSMART group alias.

(config) # gsparams gsgroup gsgrp1

4. Specify a failover action.

(config gsparams gsgroup gsgrp1) # ssl-decrypt decrypt-fail-action drop

5. Configure session timeouts, in seconds.

(config gsparams gsgroup gsgrp1) # ssl-decrypt pending-session-timeout 60
(config gsparams gsgroup gsgrp1) # ssl-decrypt session-timeout 300
(config gsparams gsgroup gsgrp1) # ssl-decrypt tcp-syn-timeout 20

6. Configure cache timeouts, in seconds.

(config gsparams gsgroup gsgrp1) # ssl-decrypt key-cache-timeout 9000
(config gsparams gsgroup gsgrp1) # ssl-decrypt ticket-cache-timeout 9000

7. Configure a key/service mapping that maps how a key is assigned to an IP address of a server.

(config gsparams gsgroup gsgrp1) # ssl-decrypt key-map add service service1 key key1

8. Enable out-of-band SSL decryption.

(config gsparams gsgroup gsgrp1) # ssl-decrypt enable

9. Exit the GigaSMART group configuration mode.

(config gsparams gsgroup gsgrp1) # exit
(config) #

10. Configure a GigaSMART operation for out-of-band SSL decryption.

(config) # gsop alias gdssl1 ssl-decrypt in-port any out-port auto port-list gsgrp1

In the previous step, gdssl1 is the alias for a GigaSMART operation, in-port specifies the destination port on which to listen, out-port specifies the destination port on which to send decrypted traffic, and port-list is set to the GigaSMART group alias previously configured. The in-port and out-port arguments can also be a port number between 1 and 65535.

Next, configure a traffic map, as follows:

Step

Description

Command

1. Specify a map alias (m1) and specify the map type and subtype.

(config) # map alias m1

(config map alias m1) # type regular byRule

2. Specify the GigaSMART operation alias (gdssl1) as part of the map. This applies the associated GigaSMART functionality to packets matching a rule in the map.

(config map alias m1) # use gsop gdssl1

3. Specify a map rule.

(config map alias m1) # rule add pass ipver 4

4. Specify the destination for packets matching this map.

(config map alias m1) # to 1/1/g2

5. Specify the source port(s) for this map.

(config map alias m1) # from 1/1/g1

6. Exit the map prefix mode.

(config map alias m1) # exit
(config) #

7. Display the configuration.

(config) # show gsop
(config) # show map
(config) # show gsparams

Example 2: Out-of-Band SSL Decryption with De-Duplication
In Example 2, the configuration steps are the same except when you configure a GigaSMART operation you send the decrypted traffic to de-duplication for additional filtering, as follows:

(config) # gsop alias gdssl1 ssl-decrypt in-port any out-port auto dedup set port-list gsgrp1
Other Usage Examples
Two typical usage examples are as follows:

• Use map rules to filter on the IP address of the server and send everything to GigaSMART. Configure a GigaSMART operation to listen on the in-port used by the server. The GigaSMART will drop other traffic.
• Use map rules to filter on the IP address of the server and in-port and send specific port traffic to the GigaSMART. Configure a GigaSMART operation to listen on in-port any.