┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding 공격 방지

---

[IP Fragments 공격 방지]

IP 프로토콜은 MTU크기(1500Byte)가 초과할 때, 데이터를 분할하여 전송한다. 예를 들어, 데이터 크기가 5000Byte면, 1500Byte, 1500Byte, 1500Byte, 500Byte로 나누어 전송하는 것이다.

그러나 이 특성을 이용하여 IP 헤더를 조작한 뒤 분할된 패킷을 특정 서버에 무한으로 전송시킨다. 지속적으로 분할된 패킷을 받는 서버는 서버 연결이 불안정해지고, 서버가 다운되는 문제가 발생한다.

이러한 문제는 라우터에서 분할된 패킷을 필터링하면 쉽게 해결할 수 있다.

R2는 외부에서 분할된 패킷이 들어오는 것을 막아야 한다.
설정을 하기 전, R1에서 R3로 분할 패킷 보내는 것을 디버깅해보자.
(디버깅은 아래의 명령어 참고)

R1(config)# access-list 110 permit icmp any any
R1(config)# exit
R1# debug ip packet 110

4000Byte를 보내면, 패킷을 분할 후 보내는 것을 확인할 수 있다.

[설정]
– R2에서 분할 패킷 필터링 설정.

R2(config)# ip access-list extended Fragments_Deny
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3 fragments
R2(config-ext-nacl)# deny ip any 192.168.20.0 0.0.0.255 fragments
R2(config-ext-nacl)# permit ip any any
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access Fragments_Deny in

[확인]
– R1에서 R3로 분할 패킷 전송하면 응답이 없다.

– R2에서 패킷 4개가 차단된 것을 확인할 수 있다.

---

[ICMP Flooding 공격 방지]

트러블슈팅할 때, 기본적으로 확인해보는 것 중 하나가 PING 테스트다. 이 PING이 바로 ICMP를 이용한다. ‘ICMP Echo’ 요청 메세지를 전송하면, ‘ICMP Reply’ 응답 메세지를 전송한다. ICMP Flooding 공격은 이 동작 과정을 이용한다. ‘ICMP Echo’ 요청 메세지를 무한으로 전송해 목표 대상에게 서비스 거부, 서버 다운 문제를 야기시킨다. 앞전에 살펴본 트래픽 필터링으로 ICMP를 거부하거나 QoS Policing을 이용해 ICMP 용량을 제한하여 막을 수 있다.

R2는 외부로부터 오는 ICMP를 차단해야 한다.

[설정]

R2(config)# access-list 110 permit icmp any any echo
R2(config)# access-list 110 permit icmp any any echo-reply
R2(config)# 
R2(config)# int fa0/0
R2(config)# rate-limit input access-group 110 128000 8000 8000 conform-action transmit exceed-action drop

[확인]

– R1에서 R3로 8000Byte 패킷 전송

– R2에서 rate-limit 확인

이번 게시글은 Reflexive ACL과 CBAC에 대해 알아보도록 한다.

┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding 공격 방지

---

[Reflexive ACL]

내부에서 외부로 패킷을 전송하면, 외부에서 내부로 응답 패킷을 허용하는 ACL항목이 임시로 자동 생성된다. 외부에서 먼저 요청하는 패킷은 접근 거부된다.
‘established’ 필터링과 달리 모든 패킷에 적용할 수 있다.

• 특징
  1. 임시 항목은 무조건 permit으로 생성된다.
  2. source는 외부, destination은 내부
  3. TCP/UDP 패킷인 경우, 출발지 포트는 외부시스템, 목적지 포트는 내부 시스템으로 생성된다.
  4. ICMP 패킷인 경우, 포트번호가 없으므로 ICMP 메세지 타입으로 생성된다.
  5. 생성된 임시 항목은 마지막 응답 패킷이 처리되면 제거된다. 예를 들어, TCP ‘FIN’ 패킷이면 5초후 항목 제거, ‘RST’ 패킷이면 즉시 제거, 또는 특정시간 동안 임시항목으로 처리된 패킷이 없으면 제거할 수 있다.
  5. UDP는 비연결 프로토콜이므로 특정시간을 기준으로 임시 항목을 제거한다.
  6. Named Extended ACL에서만 설정할 수 있다.

R2기준으로 Reflexive ACL 설정.

[설정]

R2(confg)# ip access-list extended RACL_OUT
R2(config-ext-nacl)# permit tcp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit udp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# permit icmp 6.6.6.0 0.0.0.3 192.168.0.0 0.0.0.255 reflect TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# ip access-list extended RACL_IN
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# evaluate TEST
R2(config-ext-nacl)# exit
R2(confg)#
R2(confg)# int fa0/0
R2(confg)# ip access-group RACL_OUT outR2
R2(confg)# ip access-group RACL_IN in

2: ‘reflect TEST’라는 값을 통해 Reflexivce ACL이라고 명시한다. TEST 대신 다른 이름을 사용해도 무방하다.
9: ‘evaluate’ 명령을 통해 외부에서 내부로 돌아오는 패킷을 허용하는 Reflexive ACL 임시 항목이 생성되도록 한다.

[확인]
– Ping 및 TELNET 테스트 (R1→R3)
외부에서 내부로 접속이 실패한다.

– Ping 및 TELNET 테스트 (R3→R1) 후 R2 ACL 정보 확인.
내부에서 외부로 접속이 성공한다.

---

[CBAC]

Context-Based Access Control

Reflexive ACL과 같이 내부에서 외부로 나가는 세션을 검사하여, 해당 세션에 대한 응답 패킷을 수신할 수 있도록 임시 ACL 항목을 생성한다.
하지만 몇 가지 차이점이 존재한다.

1. FTP와 같이 여러 포트를 사용하는 애플리케이션에 대해 방화벽 기능을 수행한다.
2. Layer 3,4는 물론 Layer 7 애플리케이션 프로토콜까지 검사한다.
3. 각 연결 상태를 지속적으로 감시해야하기 때문에 ‘상태 감시 검사 방법’을 사용한다.
4. 패킷이 인터페이스에 들어갈 때나 나올 때 검사되고, 세션 정보를 상태 정보 테이블에 등록하게 된다. 더불어, 이 상태 테이블이 존재하므로 되돌아오는 응답 패킷을 허용하기 위해 ACL 항목을 추가 설정할 필요가 없다. 상태 테이블을 보고 자동으로 추가하기 때문이다.
5. TCP SYN 패킷을 검사하여 TCP SYN 플러디 공격을 차단할 수 있다.

• CBAC 처리과정

** 주의사항
1. CBAC만 단독으로 사용하면 모든 트래픽이 허용되므로
CBAC에 해당되는 프로토콜은 CBAC, 나머지 일반 트래픽은 ACL로 관리하자.
2. IPSec으로 암호화된 패킷은 검사되지 않는다.
3. FTP의 경우 패시브 모드 / 2-way 전송모드만 지원한다.(3-way 모드 지원안함)
4. 모든 애플리케이션에서 지원되는 것이 아니기 때문에 일부 애플리케이션은 CBAC을 사용할 수 없다.

[설정]

R2(config)#ip inspect audit-trail
R2(config)#ip inspect name TEST tcp
R2(config)#ip inspect name TEST udp
R2(config)#ip inspect name TEST icmp
R2(config)#ip inspect name TEST http java
R2(config)#ip inspect name TEST http java-list 10 timeout 300
R2(config)#access 10 permit host 192.168.0.10
R2(config)#
R2(config)#
R2(config)#ip access ex Traffic_IN
R2(config-ext-nacl)#permit ospf any any
R2(config-ext-nacl)#exit
R2(config)#int fa0/0
R2(config-if)#
R2(config-if)#ip inspect TEST out
R2(config-if)#ip access
R2(config-if)#ip access-group Traffic_IN in

[확인]
– R1에서 R3로 Ping 및 TELNET 테스트
외부에서 내부로 접속이 실패한다.

– R3에서 R1으로 Ping 및 TELNET 테스트
내부에서 외부로 접속이 성공한다.

이 때, R2를 확인해보면 아래와 같이 로그가 발생되고, CBAC 정보도 확인할 수 있다.

라우터에서 과다한 패킷 수신으로 서버 부하, 네트워크 부하 현상을 예방할 수 있는 방법이 있다. 트래픽 필터링과 방화벽을 구축하는 것이다.
아래의 기능을 설정할 수 있다.

┌─ 트래픽 필터링
├─ Established 필터링
├─ Dynamic ACL
├─ Reflexive ACL
├─ CBAC
├─ IP Fragments 공격 방지
└─ ICMP Flooding공격 방지

이 게시글에서는 밑줄이 쳐진 3가지 기능에 대해 알아볼 것이다.

---

[트래픽 필터링]

ACL을 이용해 구성한다. 먼저, 내부 네트워크 접근을 차단할 항목을 설정한 다음 내부 네트워크 접근이 가능한 항목을 설정한다.

[요청사항]
‘라우터 3725’에서 설정할 것.
1: 출발지 192.168.0.0/24에서 접근하는 텔넷 트래픽 차단 및 로그 확인.
2: 출발지 192.168.0.0/24에서 실시하는 PING 차단.
3: 단, 192.168.20.0/24에서 192.168.0.0/24로는 PING 허용.
4: 이외 나머지 트래픽은 접근 허용.

[설정]

3725(config)# ip access-list extended Packet_Filter
3725(config-ext-nacl)# deny tcp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 eq 23 log-input
3725(config-ext-nacl)# deny icmp 192.168.0.0 0.0.0.255 192.168.20.0 0.0.0.255 echo
3725(config-ext-nacl)# permit ip any any
3725(config-ext-nacl)# exit
3725(config)#
3725(config)# int fa0/0
3725(config-if)# ip access-group Packet_Filter in

[확인]
– TELNET 접속 시도 (37251라우터 → VPC4)
‘37251’에서 ‘3725’로 텔넷 접속을 시도하면 접속 불가하다고 뜬다. 동시에 ‘3725’ 라우터에서는 로그가 출력되는 것을 볼 수 있다.

– PING 테스트 (VPC3 → VPC4)
트래픽 필터링을 걸기 전엔 정상적으로 PING이 나가는 것을 확인할 수 있다. 트래픽 필터링 이후에는 ICMP Type 3 시간 초과 에러를 표출한다.

---

[Established 필터링]

TCP의 ACK나 RST 패킷만을 허용한다. 하지만 ACK 패킷은 TCP에만 존재하기 때문에 TCP 이외의 서비스들에 대한 방화벽 수행은 어렵다.

[설정]
위에 있는 토폴로지 참고. 난 OSPF로 라우팅을 해놨기 때문에 established 필터링을 적용하기 전 ospf에 대한 패킷은 모두 허용으로 해둔다.

3725(config)# access-list 100 permit ospf any any
3725(config)# access-list 100 permit tcp any any established
3725(config)#
3725(config)# int fa0/0
3725(config)# ip access-group 100 in

[확인]
-37251 라우터 → 37252 라우터
‘목적지에 도달할 수 없다’고 나옴.

– 37252 라우터 →37251 라우터
정상 접속 가능

---

[Dynamic ACL]

‘Lock and Key’라고도 불린다.
인증된 외부 Network로부터 전송되는 패킷을 허용하기 위해 라우터에 자동으로 ACL을 추가한다. 인증여부는 TELNET 정상 접속 여부를 통해 진행한다. 자동으로 생성된 항목은 일정 시간이 경과되면 자동으로 삭제된다. 외부에 있는 관리자가 내부 네트워크로 접근해야할 때, 사용하기 적합할 것 같다.

• 동작과정
  

1. 외부 PC에서 Lock and Key 기능이 설정된 R2로TELNET 접속 시도.
2. R2는 TELNET으로 접속한 PC에 대해 사용자 인증을 실시.
   (RADIUS / TACACS+ 인증 가능)
3. 사용자가 인증되면, 자동으로 TELNET 접속이 해제된다. 외부 PC의 네트워크가 내부로 접근할 수 있도록 ACL을 자동으로 생성한다.
4. 생성된 ACL은 일정 시간이 지나면, 자동으로 삭제된다.

[설정]

R2(config)# username cisco123 password ciscopwd123
R2(config)# username cisco123 autocommand access-enable host timeout 10
R2(config)#
R2(config)# ip access-list extended LAK_Traffic
R2(config-ext-nacl)# permit ospf any any
R2(config-ext-nacl)# permit tcp any host 5.5.5.6 eq telnet
R2(config-ext-nacl)# dynamic L&K permit ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# deny ip any 6.6.6.0 0.0.0.3
R2(config-ext-nacl)# exit
R2(config)#
R2(config)# int fa0/0
R2(config-if)# ip access-group LAK_Traffic in

2: ‘cisco123’으로 사용자 인증이 되면, ‘autocommand access-enable’에 의해 TELNET 접속 종료가 되고, ‘host’에 의해 TELNET 접속 시 사용된 출발지 IP 주소가 자동으로 생성되는 ACL의 출발지 주소로 사용되게끔 한다. ‘timeout’에 의해 자동으로 설정된 ACL이 몇 분 후에 제거될지 설정한다.
7: ‘dynamic’를 이용하여 사용자 인증이 허용된 출발지 주소에 대해 자동으로 ACL항목이 생성되도록 한다.

[확인]
– TELNET 인증 전, PING 테스트

R1에서 ‘R3의 6.6.6.2’로 PING 테스트를 하지만 실패되는 것을 확인할 수 있다. R2에서 ACL 정보를 확인했을 때, 40번 항목에 의해 패킷 11개가 차단된 것을 확인할 수 있다.

– TELNET 인증

R1에서 R2로 TELNET 접속하자마자 바로 종료되며, R2에서 ACL 정보를 확인하면 30번 항목과 40번 항목 사이에 자동으로 ACL 하나가 추가된 것을 알 수 있다.

– TELNET 인증 후, PING 테스트

정상적으로 PING 테스트가 성공하고, R2의 ACL 정보에선 ACL 항목이 유지되는 시간을 확인할 수 있다.