태그 보관물: ACL

ACL을 알아보자 3: MAC/Port/VLAN ACL, PBACL

2021년 3월 17일 musketo 댓글 남기기

ACL은 라우터 뿐만 아니라 스위치에서도 설정할 수 있다. 스위치에서 구성할 수 있는 ACL은 아래와 같다.

MAC ACL
IP ACL (이전 게시글 참고)
Port ACL
VLAN ACL
PBACL

1. MAC ACL

MAC 주소를 이용해 트래픽을 제어한다. 일반적인 IP ACL과 다르게 MAC ACL은 반드시 Named ACL을 사용해야 한다.

설정

Switch(config)# mac access-list extended <name>
Switch(config-ext-macl)# deny host <MAC> host <MAC>
Switch(config-ext-macl)# permit any any

만일, 여러 개의 MAC주소를 지정하려면, 와일드카드 마스크를 이용해 지정한다.
ex) 0011. CB 로 시작하는 모든 MAC주소를 지정한다면, 와일드카드 마스크가 0000.00FF.FFFF가 될 것이다.

2. Port ACL

일반적으로 라우터에 사용하는 IP ACL과 비슷해보이지만, Port ACL은 L2 포트에 ACL을 적용하는 것이다. IP주소/MAC주소 모두 사용할 수 있고, 동시에 필터링을 할 수도 있다.

프레임을 수신하는 경우(in방향)에만 ACL을 설정할 수 있다.
특정 스위치에 VLAN ACL이 설정되었거나 라우터에 Inbound ACL이 설정되어있다면, 사용할 수 없다.
Etherchannel을 사용하는 인터페이스에서 사용할 수 없다.
MAC주소로만 필터링 한다면, MAC의 접근은 차단되어도 해당 MAC의 IP로는 접근할 수 있다.

3. VLAN ACL

VLAN에 적용하는 ACL이다. 서로 다른 VLAN 번호 간 제어, 같은 VLAN 번호 간 트래픽을 제어한다.
VACL, VLAN Map 이라고도 한다.

설정

(1) ACL 생성
(2) VLAN MAP 생성
(3) VLAN MAP을 VLAN에 적용

[설정 예시]

-
Switch(config)# access-list 100 permit tcp host 10.10.10.1 host 10.10.10.3 eq ssh
Switch(config)# access-list 100 permit tcp host 10.10.20.1 host 10.10.10.3 eq ssh
Switch(config)# access-list 101 permit ip any any
Switch(config)# 
Switch(config)# vlan access-map <VLAN_MAP_NAME>
Switch(config-access-map)# match ip address 100
Switch(config-access-map)# action drop
Switch(config-access-map)# exit
Switch(config)# 
Switch(config)# vlan access-map <VLAN_MAP_NAME>
Switch(config-access-map)# match ip address 101
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# 
Switch(config)# vlan filter <VLAN_MAP_NAME> vlan-list <VLAN_NUM>
-

2,3,4 : Access list를 통해 허용할 호스트를 지정한다.
6: VLAN Map을 설정한다.
7: 허용하거나 차단할 대상을 불러온다.
8: 7번 대상이 오면 Drop(차단)하도록 설정한다. 별도 action 설정을 하지 않으면, Forward(허용)이다.
11: 6번과 같은 이름을 사용한다. 이름이 같아도 상관없다. 어차피 access-map을 보게 되면 자동으로 맵 이름 뒤에 20이 추가로 붙게 되어 서로 다른 맵이다.
12,13: 맵 이름만 정의하면, match / action을 설정하지 않으면 나머지 모든 것을 허용한다는 의미이므로 12,13는 생략해도 된다.
16: 원하는 VLAN에 VLAN 맵을 적용한다.

4. PBACL

Policy-Based ACL
IP 주소나 포트 번호를 ‘Object Group’으로 지정하고, ACL 생성 시 ‘Object Group’을 사용해 지정하는 방식이다. Routed / SVI와 같은 L3 인터페이스와 IPv4만 적용할 수 있다. 또한, Named ACL로만 적용할 수 있다.

설정

-
Switch(config)# object-group ip address <OBJECT_NAME>
Switch(config-port-ogroup)# host <IP>
Switch(config-port-ogroup)# <NETWORK_ID> <SUBNETMASK>
Switch(config-port-ogroup)# exit
Switch(config)#
Switch(config)# object-group ip address <OBJECT_NAME2>
Switch(config-port-ogroup)# eq <PORT_NUM>
Switch(config-port-ogroup)# <NETWORK_ID> <SUBNETMASK>
Switch(config-port-ogroup)# exit
Switch(config)#
Switch(config)# ip access-list extended <ACL_NAME>
Switch(config-ext-nacl)# permit tcp addgroup <OBJECT_NAME> portgroup <OBJECT_NAME2> any
Switch(config-ext-nacl)# deny tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# int <interface>
Switch(config-if)# ip access-group <ACL_NAME> in
-

Network

Cisco IOS Firewall 3: IP Fragments, ICMP Flooding

2021년 1월 30일 musketo 댓글 남기기

┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding 공격 방지

[IP Fragments 공격 방지]

IP 프로토콜은 MTU크기(1500Byte)가 초과할 때, 데이터를 분할하여 전송한다. 예를 들어, 데이터 크기가 5000Byte면, 1500Byte, 1500Byte, 1500Byte, 500Byte로 나누어 전송하는 것이다.

그러나 이 특성을 이용하여 IP 헤더를 조작한 뒤 분할된 패킷을 특정 서버에 무한으로 전송시킨다. 지속적으로 분할된 패킷을 받는 서버는 서버 연결이 불안정해지고, 서버가 다운되는 문제가 발생한다.

이러한 문제는 라우터에서 분할된 패킷을 필터링하면 쉽게 해결할 수 있다.

R2는 외부에서 분할된 패킷이 들어오는 것을 막아야 한다.
설정을 하기 전, R1에서 R3로 분할 패킷 보내는 것을 디버깅해보자.
(디버깅은 아래의 명령어 참고)

R1(config)# access-list 110 permit icmp any any
R1(config)# exit
R1# debug ip packet 110

4000Byte를 보내면, 패킷을 분할 후 보내는 것을 확인할 수 있다.

[설정]
– R2에서 분할 패킷 필터링 설정.

R2(config)# ip access-list extended Fragments_Deny
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3 fragments
R2(config-ext-nacl)# deny ip any 192.168.20.0 0.0.0.255 fragments
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access Fragments_Deny in

[확인]
– R1에서 R3로 분할 패킷 전송하면 응답이 없다.

– R2에서 패킷 4개가 차단된 것을 확인할 수 있다.

[ICMP Flooding 공격 방지]

트러블슈팅할 때, 기본적으로 확인해보는 것 중 하나가 PING 테스트다. 이 PING이 바로 ICMP를 이용한다. ‘ICMP Echo’ 요청 메세지를 전송하면, ‘ICMP Reply’ 응답 메세지를 전송한다. ICMP Flooding 공격은 이 동작 과정을 이용한다. ‘ICMP Echo’ 요청 메세지를 무한으로 전송해 목표 대상에게 서비스 거부, 서버 다운 문제를 야기시킨다. 앞전에 살펴본 트래픽 필터링으로 ICMP를 거부하거나 QoS Policing을 이용해 ICMP 용량을 제한하여 막을 수 있다.

R2는 외부로부터 오는 ICMP를 차단해야 한다.

[설정]

R2(config)# access-list 110 permit icmp any any echo
R2(config)# access-list 110 permit icmp any any echo-reply
R2(config)# 
R2(config)# int fa0/0
R2(config)# rate-limit input access-group 110 128000 8000 8000 conform-action transmit exceed-action drop

[확인]

– R1에서 R3로 8000Byte 패킷 전송

– R2에서 rate-limit 확인

conformed 52 packets: 52개 패킷 처리 / exceeded 13 packets: 한도 초과된 13개 패킷 드랍

Network

Cisco IOS Firewall 2: Reflexive ACL, CBAC

2021년 1월 21일 musketo 댓글 남기기

이번 게시글은 Reflexive ACL과 CBAC에 대해 알아보도록 한다.

┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding 공격 방지

[Reflexive ACL]

내부에서 외부로 패킷을 전송하면, 외부에서 내부로 응답 패킷을 허용하는 ACL항목이 임시로 자동 생성된다. 외부에서 먼저 요청하는 패킷은 접근 거부된다.
‘established’ 필터링과 달리 모든 패킷에 적용할 수 있다.

특징
1. 임시 항목은 무조건 permit으로 생성된다.
2. source는 외부, destination은 내부
3. TCP/UDP 패킷인 경우, 출발지 포트는 외부시스템, 목적지 포트는 내부 시스템으로 생성된다.
4. ICMP 패킷인 경우, 포트번호가 없으므로 ICMP 메세지 타입으로 생성된다.
5. 생성된 임시 항목은 마지막 응답 패킷이 처리되면 제거된다. 예를 들어, TCP ‘FIN’ 패킷이면 5초후 항목 제거, ‘RST’ 패킷이면 즉시 제거, 또는 특정시간 동안 임시항목으로 처리된 패킷이 없으면 제거할 수 있다.
5. UDP는 비연결 프로토콜이므로 특정시간을 기준으로 임시 항목을 제거한다.
6. Named Extended ACL에서만 설정할 수 있다.

R2기준으로 Reflexive ACL 설정.

[설정]

R2(confg)# ip access-list extended RACL_OUT
R2(config-ext-nacl)# permit tcp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit udp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit icmp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# ip access-list extended RACL_IN
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# evaluate TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# int fa0/0
R2(confg)# ip access-group RACL_OUT outR2
R2(confg)# ip access-group RACL_IN in

2: ‘reflect TEST’라는 값을 통해 Reflexivce ACL이라고 명시한다. TEST 대신 다른 이름을 사용해도 무방하다.
9: ‘evaluate’ 명령을 통해 외부에서 내부로 돌아오는 패킷을 허용하는 Reflexive ACL 임시 항목이 생성되도록 한다.

[확인]
– Ping 및 TELNET 테스트 (R1→R3)
외부에서 내부로 접속이 실패한다.

– Ping 및 TELNET 테스트 (R3→R1) 후 R2 ACL 정보 확인.
내부에서 외부로 접속이 성공한다.

[CBAC]

Context-Based Access Control

Reflexive ACL과 같이 내부에서 외부로 나가는 세션을 검사하여, 해당 세션에 대한 응답 패킷을 수신할 수 있도록 임시 ACL 항목을 생성한다.
하지만 몇 가지 차이점이 존재한다.

FTP와 같이 여러 포트를 사용하는 애플리케이션에 대해 방화벽 기능을 수행한다.
Layer 3,4는 물론 Layer 7 애플리케이션 프로토콜까지 검사한다.
각 연결 상태를 지속적으로 감시해야하기 때문에 ‘상태 감시 검사 방법’을 사용한다.
패킷이 인터페이스에 들어갈 때나 나올 때 검사되고, 세션 정보를 상태 정보 테이블에 등록하게 된다. 더불어, 이 상태 테이블이 존재하므로 되돌아오는 응답 패킷을 허용하기 위해 ACL 항목을 추가 설정할 필요가 없다. 상태 테이블을 보고 자동으로 추가하기 때문이다.
TCP SYN 패킷을 검사하여 TCP SYN 플러디 공격을 차단할 수 있다.

CBAC 처리과정

** 주의사항
1. CBAC만 단독으로 사용하면 모든 트래픽이 허용되므로
CBAC에 해당되는 프로토콜은 CBAC, 나머지 일반 트래픽은 ACL로 관리하자.
2. IPSec으로 암호화된 패킷은 검사되지 않는다.
3. FTP의 경우 패시브 모드 / 2-way 전송모드만 지원한다.(3-way 모드 지원안함)
4. 모든 애플리케이션에서 지원되는 것이 아니기 때문에 일부 애플리케이션은 CBAC을 사용할 수 없다.

[설정]

R2(config)#ip inspect audit-trail
R2(config)#ip inspect name TEST tcp
R2(config)#ip inspect name TEST udp
R2(config)#ip inspect name TEST icmp
R2(config)#ip inspect name TEST http java
R2(config)#ip inspect name TEST http java-list 10 timeout 300
R2(config)#access 10 permit host 192.168.0.10
R2(config)#
R2(config)#
R2(config)#ip access ex Traffic_IN
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#exit
R2(config)#int fa0/0
R2(config-if)#
R2(config-if)#ip inspect TEST out
R2(config-if)#ip access
R2(config-if)#ip access-group Traffic_IN in

[확인]
– R1에서 R3로 Ping 및 TELNET 테스트
외부에서 내부로 접속이 실패한다.

– R3에서 R1으로 Ping 및 TELNET 테스트
내부에서 외부로 접속이 성공한다.

이 때, R2를 확인해보면 아래와 같이 로그가 발생되고, CBAC 정보도 확인할 수 있다.

Network

Cisco IOS Firewall 1: 트래픽 필터링, Established 필터링, DACL

2021년 1월 20일 musketo 댓글 남기기

라우터에서 과다한 패킷 수신으로 서버 부하, 네트워크 부하 현상을 예방할 수 있는 방법이 있다. 트래픽 필터링과 방화벽을 구축하는 것이다.
아래의 기능을 설정할 수 있다.

┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding공격 방지

이 게시글에서는 밑줄이 쳐진 3가지 기능에 대해 알아볼 것이다.

[트래픽 필터링]

ACL을 이용해 구성한다. 먼저, 내부 네트워크 접근을 차단할 항목을 설정한 다음 내부 네트워크 접근이 가능한 항목을 설정한다.

[요청사항]
‘라우터 3725’에서 설정할 것.
1: 출발지 192.168.0.0/24에서 접근하는 텔넷 트래픽 차단 및 로그 확인.
2: 출발지 192.168.0.0/24에서 실시하는 PING 차단.
3: 단, 192.168.20.0/24에서 192.168.0.0/24로는 PING 허용.
4: 이외 나머지 트래픽은 접근 허용.

[설정]

3725(config)# ip access-list extended Packet_Filter
3725(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 log-input
3725(config-ext-nacl)# deny icmp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 echo
3725(config-ext-nacl)# permit ip any any
3725(config-ext-nacl)# exit
3725(config)#
3725(config)# int fa0/0
3725(config-if)# ip access-group Packet_Filter in

[확인]
– TELNET 접속 시도 (37251라우터 → VPC4)
‘37251’에서 ‘3725’로 텔넷 접속을 시도하면 접속 불가하다고 뜬다. 동시에 ‘3725’ 라우터에서는 로그가 출력되는 것을 볼 수 있다.

(좌) 37251 라우터 (우) 3725 라우터

– PING 테스트 (VPC3 → VPC4)
트래픽 필터링을 걸기 전엔 정상적으로 PING이 나가는 것을 확인할 수 있다. 트래픽 필터링 이후에는 ICMP Type 3 시간 초과 에러를 표출한다.

[Established 필터링]

TCP의 ACK나 RST 패킷만을 허용한다. 하지만 ACK 패킷은 TCP에만 존재하기 때문에 TCP 이외의 서비스들에 대한 방화벽 수행은 어렵다.

[설정]
위에 있는 토폴로지 참고. 난 OSPF로 라우팅을 해놨기 때문에 established 필터링을 적용하기 전 ospf에 대한 패킷은 모두 허용으로 해둔다.

3725(config)# access-list 100 permit ospf any any
3725(config)# access-list 100 permit tcp any any established
3725(config)#
3725(config)# int fa0/0
3725(config)# ip access-group 100 in

[확인]
-37251 라우터 → 37252 라우터
‘목적지에 도달할 수 없다’고 나옴.

– 37252 라우터 →37251 라우터
정상 접속 가능

[Dynamic ACL]

‘Lock and Key’라고도 불린다.
인증된 외부 Network로부터 전송되는 패킷을 허용하기 위해 라우터에 자동으로 ACL을 추가한다. 인증여부는 TELNET 정상 접속 여부를 통해 진행한다. 자동으로 생성된 항목은 일정 시간이 경과되면 자동으로 삭제된다. 외부에 있는 관리자가 내부 네트워크로 접근해야할 때, 사용하기 적합할 것 같다.

동작과정

외부 PC에서 Lock and Key 기능이 설정된 R2로TELNET 접속 시도.
R2는 TELNET으로 접속한 PC에 대해 사용자 인증을 실시.
(RADIUS / TACACS+ 인증 가능)
사용자가 인증되면, 자동으로 TELNET 접속이 해제된다. 외부 PC의 네트워크가 내부로 접근할 수 있도록 ACL을 자동으로 생성한다.
생성된 ACL은 일정 시간이 지나면, 자동으로 삭제된다.

[설정]

R2(config)# username cisco123 password ciscopwd123
R2(config)# username cisco123 autocommand access-enable host timeout 10
R2(config)#
R2(config)# ip access-list extended LAK_Traffic
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# permit tcp any host 5.5.5.6 eq telnet
R2(config-ext-nacl)# dynamic L&K permit ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access-group LAK_Traffic in

2: ‘cisco123’으로 사용자 인증이 되면, ‘autocommand access-enable’에 의해 TELNET 접속 종료가 되고, ‘host’에 의해 TELNET 접속 시 사용된 출발지 IP 주소가 자동으로 생성되는 ACL의 출발지 주소로 사용되게끔 한다. ‘timeout’에 의해 자동으로 설정된 ACL이 몇 분 후에 제거될지 설정한다.
7: ‘dynamic’를 이용하여 사용자 인증이 허용된 출발지 주소에 대해 자동으로 ACL항목이 생성되도록 한다.

[확인]
– TELNET 인증 전, PING 테스트

R1에서 ‘R3의 6.6.6.2’로 PING 테스트를 하지만 실패되는 것을 확인할 수 있다. R2에서 ACL 정보를 확인했을 때, 40번 항목에 의해 패킷 11개가 차단된 것을 확인할 수 있다.

– TELNET 인증

R1에서 R2로 TELNET 접속하자마자 바로 종료되며, R2에서 ACL 정보를 확인하면 30번 항목과 40번 항목 사이에 자동으로 ACL 하나가 추가된 것을 알 수 있다.

– TELNET 인증 후, PING 테스트

정상적으로 PING 테스트가 성공하고, R2의 ACL 정보에선 ACL 항목이 유지되는 시간을 확인할 수 있다.

Network

ACL을 알아보자 2: 설정

2021년 1월 18일 musketo 댓글 남기기

ACL을 구성하는 단계는 2가지로 나눌 수 있다.

“① ACL 설정 → ② ACL 적용“

ACL 설정은 Global mode에서 진행하고, ACL 적용은 인터페이스나 라인에서 한다.

1. Standard ACL 설정

간단한 구문으로 이루어져있다.

⑴ [1-99] : ACL 유형별로 범위가 있으며, Standard ACL은 1~99 내에서 사용한다.

⑵ {permit | deny} : permit – 접근 허용, deny – 접근 차단.

⑶ source : 출발지 호스트의 IP.

⑷ wildcard-mask : source의 와일드카드 마스크.

⑸ {log} : ACL 항목이 일치해 필터링되는 경우, 로그를 출력하는 옵션.

1-2. ACL 적용

Standard ACL 및 Extended ACL 모두 적용하는 방법은 동일하다.
(ACL이 적용돼야 하는 인터페이스로 먼저 접속 한다.)

⑴ [1-99] : 앞서 설정한 ACL의 항목 번호를 입력한다.

⑵ {in | out} : 라우터 기준으로 in / out에 해당하는 값을 넣는다.

1-3. Standard ACL 명령어 다뤄보기

Q. 192.168.0.0/24 망이 10.0.0.0/8 망에 접근할 수 없도록 차단해주세요. 단, 호스트 192.168.0.200은 접근할 수 있어야 합니다.

Router(config)# access-list 10 permit 192.168.0.200 host
Router(config)# access-list 10 deny 192.168.0.0 0.0.0.255
Router(config)# access-list 10 deny any
Router(config)# 
Router(config)# int fa0/0
Router(config-if)# ip access-group 10 in
Router(config-if)# int fa0/1
Router(config-if)# ip access-group 10 out

2. Extended ACL 설정

Standard ACL보다 복잡해보이지만 이해하고 나면 막상 어렵지 않으니 일단 ‘아, 이런게 있구나’ 정도로만 봐도 될 것 같다.

⑴,⑵ : 1번 참고

⑶ protocol : 패킷의 프로토콜을 정의한다. (TCP, UDP, ICMP, EIGRP, OSPF, IP)

⑷,⑸ : 출발지 호스트 IP와 와일드카드 마스크

⑹ eq / ⑺ [port-numer] : 출발지 포트 번호를 정의하겠다는 키워드 / 출발지 포트 번호를 입력 부분

⑻, ⑼ : 목적지 호스트 IP와 와일드카드 마스크

⑽ eq / ⑾ [port-numer] : 목적지 포트 번호를 정의하겠다는 키워드 / 출발지 포트 번호를 입력 부분

⑿ log / log-input : 1번 참고 / 로그 메세지 출력 시 ACL 필터가 동작한 인터페이스 정보도 함께 출력한다.

⒀ {time-range} : 정해진 시간 동안에만 ACL 동작하게 하는 옵션이다.

⒁ {tos | precedence | dscp} : IP 패킷 마킹이 실시된 트래픽을 정의할 때 사용된다.

⒂ {TCP Flag} : TCP 플래그가 설정된 패킷을 정의한다.

(16) {fragment} : 분할된 IP 패킷을 정의한다.

(17) {established} : TCP 플래그 중 ACK, RST가 설정된 트래픽을 정의한다.

2-2. Extended ACL 명령어 다뤄보기

Q1. 호스트 172.30.5.2가 웹서버 192.168.0.2로 접근하는 것을 차단하고, 172.30.1.0/24 망에서는 웹서버 192.168.0.2로 접근할 수 있어야 합니다. 이외 나머지 트래픽은 접근할 수 있어야합니다. (R2에서 설정)

R2(config)# access-list 100 deny tcp host 172.30.5.2 host 192.168.0.2 eq 80 
R2(config)# access-list 100 permit tcp 172.30.1.0 0.0.0.255 host 192.168.0.2 eq 80 
R2(config)# access-list 100 permit ip any any 
R2(config)# 
R2(config)# int s0/0 
R2(config-if)# ip access-group 100 in

Q2. 172.30.5.0/24 망의 모든 호스트들은 웹서버 192.168.0.2로 ping을 할 수 없고, 호스트 192.168.0.100으로는 ping을 할 수 있어야 합니다. 웹서버에 추가로 ftp 기능을 추가하면서, 모든 외부 호스트들은 09시부터 21시까지 192.168.0.2로 ftp 접속을 할 수 있어야 합니다. 이외 모든 트래픽은 차단되어야 합니다.(R2에서 설정)

R2(config)# time-range TR
R2(config-time-range)# periodic weekdays 09:00 to 21:00
R2(config-time-range)# exit
R2(config)# 
R2(config)# access-list 120 deny icmp 172.30.5.0 0.0.0.255 host 192.168.0.2 echo
R2(config)# access-list 120 permit icmp 172.30.5.0 0.0.0.255 host 192.168.0.2 echo
R2(config)# access-list 120 permit tcp any host 192.168.0.2 eq 21 time-range TR
R2(config)# access-list 120 deny ip any any
R2(config)# 
R2(config)# int s0/0
R2(config-if)# ip access-group 120 in

3. Named ACL 설정

Named ACL을 사용하면 항목 번호가 아닌 이름으로도 지정할 수 있다. 그리고 ACL을 부분적으로 추가하거나 삭제할 수있다.

⑴ {standard | extended} : ACL 종류를 선택한다.

⑵ {num | name} : num은 항목번호, name은 이름이다.
1-99(Standard), 100-199(Extended)를 넣거나 텍스트로 된 이름을 넣으면 된다.

위 명령어를 수행하면 아래의 모드로 변경된다.
Router(config-std-nacl)#
Router(config-ext-nacl)#

설정 방법은 기존 ACL과 매우 유사하지만, sequence number를 통해 부분적으로 acl 설정을 추가하거나 삭제할 수 있다.
Named ACL 설정은 CISCO 가이드를 참고하자.

Network

ACL을 알아보자 1: 개념

2021년 1월 16일 musketo 댓글 남기기

ACL은 ‘Inbound 또는 Outbound 패킷을 허용하거나 차단한 필터’ 로 구성되어 있다. 라우터에서 사용한다.

그렇다면 ACL은 언제 사용될까

보통 라우터로 트래픽이 접근하는 것을 제어하거나 라우터를 TELNET, SSH의 접근으로부터 보호할 때 사용된다. 더불어 QoS 정책을 구현하거나 NAT,PAT 기능을 구현하기 위해 사용되기도 하고, IPSec VPN을 적용하기 전 트래픽을 정의하기 위해 사용되기도 한다.

이렇게 보면 ACL이 없으면 안될 것 같다. 그럼 그냥 명령어만 우후죽순 실행시키면 적용이 될까? 그렇지만은 않다.

우리가 ACL을 효율적으로 쓰기 위한 주의사항

1. ACL 설정할 때, 서브넷 범위가 작은 항목부터 설정한다.
2. ACL 마지막에는 항상 ‘deny any’로 처리된다.
3. ACL은 부분적으로 추가하거나 삭제할 수 없다.

아래와 같은 ACL 설정 구문이 있다고 가정하자!
(설정값은 이따가 다시 다루기로..)

– 잘못된 설정

[1번째 상황] IP ‘10.0.0.1’을 가진 호스트는 접근이 될까?
당연히 접근할 수 없다. ①을 보면 ‘10.0.0.0/8’에 해당하는 네트워크 대역은 ‘deny’ 되어 있으니까 말이다.

[2번째 상황] IP ‘10.1.0.1’을 가진 호스트는 접근이 될까?
아쉽게도 접근할 수 없다. 이미 ①에서 ‘10.0.0.0/8’에 속하는 IP로 분류했기 때문에 접근을 거부한다.

②에서 설정한 건 무용지물이라고?
그렇다. ②가 제대로 동작하길 원한다면 ①과 ②를 서로 바꿔주어야 한다.

이렇게 말이다.

– 올바른 설정

ACL 유형

1. Standard ACL
항목번호 1~99, 아주 기본적인 ACL만 구성할 수 있다. 출발지 호스트와 서브넷만 정의할 수 있다.

2. Extended ACL
100~199, 출발지는 물론 목적지 주소와 서브넷, 프로토콜 유형과 포트번호를 정의할 수 있다. 여러 옵션을 이용하여 QoS, IOS Firewall을 위한 패킷 필터링도 가능하다.

3. Ethernet ACL
700~799, 라우터로 접근하는 출발지 MAC주소를 정의할 수 있다.

4. Extended Ethernet ACL
1100~1199, 출발지와 목적지 MAC주소를 정의할 수 있다.

5. Named ACL
항목번호 대신 텍스트로 된 이름으로 ACL 항목을 설정할 수 있다.
Named ACL로 사용할 수 있는 유형은 Standard, Extended, Extended Ethernet 이다. Ethernet ACL은 Named ACL로 사용할 수 없다.

Router에서의 IN / OUT

ACL을 적용하려면, 특정 인터페이스로 진입하여 ‘in’인지 ‘out’인지 설정해주어야 한다. 처음 이 개념을 접할 때, 헷갈리는 경우가 종종 있었다.

개념은 간단하다.
외부 → Router로 데이터가 들어오면 IN
(여기서 외부란 네트워크 외부망 개념과는 다르다.)

fa0/0을 통해 데이터가 들어오고 있다. fa0/0 인터페이스가 ‘IN’ 방향인 것이다.

외부 ← Router로 데이터가 나가면 OUT

Router가 s0/0 인터페이스로 데이터를 내보내려고 한다. s0/0 인터페이스는 ‘OUT’ 방향이라고 할 수 있다.

Musket-o

태그 보관물: ACL

ACL을 알아보자 3: MAC/Port/VLAN ACL, PBACL

1. MAC ACL

설정

2. Port ACL

3. VLAN ACL

설정

4. PBACL

설정

Cisco IOS Firewall 3: IP Fragments, ICMP Flooding

[IP Fragments 공격 방지]

[ICMP Flooding 공격 방지]

Cisco IOS Firewall 2: Reflexive ACL, CBAC

[Reflexive ACL]

[CBAC]

Cisco IOS Firewall 1: 트래픽 필터링, Established 필터링, DACL

[트래픽 필터링]

[Established 필터링]

[Dynamic ACL]

ACL을 알아보자 2: 설정

1. Standard ACL 설정

1-2. ACL 적용

1-3. Standard ACL 명령어 다뤄보기

2. Extended ACL 설정

2-2. Extended ACL 명령어 다뤄보기

3. Named ACL 설정

ACL을 알아보자 1: 개념

그렇다면 ACL은 언제 사용될까

우리가 ACL을 효율적으로 쓰기 위한 주의사항

ACL 유형

Router에서의 IN / OUT

🚀 To Infinity and Beyond 🚀