post by WHITEHATS
웹기반 정보보안 엔지니어 과정 160303 22번째 강의
6.Access List
6.Access List
•Router의 ACL
-Router를 경유하는 트래픽을 필터링 함
-정책에 따른 트래픽 필터링, 식별, 분류, 암호화, 변환 작업등을 수행 함
•ACL 기본 동작
-순차적인 동작
-조건에 명시되어 있는 정보와 전달받은 packet의 정보를 비교하여 지정된 Action을 수행 함
--Permit → 허용, 사용 됨
--Deny → 거부, 사용되지 않음
-모든 조건에 해당되지 않으면 ALL Deny
--항상 조건의 마지막에 기본값으로 “ALL Deny”정책이 지정되어 있음
-정책 구성 후 필요한 위치에서 적용함 (정책만들기, 사용하고자 하는 위치에 적용시키기)
기본 조건이 거부인 ACL을 화이트 리스트 방식 그 반대는 블랙 리스트 방식
6.Access List 종류
•Numbered 형 ACL
-숫자를 식별값으로 사용하는 ACL
-주로 특정 기능 수행을 위한 트래픽 분류를 목적으로 사용 됨
-조건 항목의 수정, 삭제가 불가능 함
--하나의 조건이라도 삭제하면 ACL 자체가 삭제 됨
•Named 형 ACL
-문자를 식별값으로 사용하는 ACL
-방화벽의 보안정책 구성 및 복잡한 정책구성을 할 때 사용 됨
-조건을 원하는 위치에 추가 및 수정, 삭제가 가능 함
-ACL을 생성하고 ACL Mode에서 조건을 지정 함
6.Access List 적용 위치
•Filtering을 위한 ACL
-정책에 맞춰 구성된 조건(ACL)과 실 트래픽을 필터링할 지점 설정
-트래픽을 필터링해야할 인터페이스
-종류 → Inbound, outbound
•Inbound
-인터페이스로 데이터가 유입됐을 때 정책 확인 후 전송
-ACL확인 → Routing Table 확인(Routing) → Switching
•outbound(default)
-인터페이스로 데이터가 전달되기 직전에 정책 확인 후 전송
-Routing Table 확인(Routing) → ACL확인 → Switching
•트래픽 분류를 위한 ACL
-데이터를 분류해야 하는 기능 설정 시 사용 됨
6.Access List 설정
•정책에 맞는 조건 계획
•조건을 설정하여 List 생성
-같은 번호로 설정 → 조건 추가
-새로운 번호로 설정 → 새로운 ACL 생성
(위에는 numbered 형 ACL, 아래는 Named 형 ACL)
•생성한 ACL을 이용할 위치(interface …)에서 적용
6.Standard 조건 설정
•Standard ACL
-조건 → source IP
-Wildcard Mask를 이용하여 조건에 매치할 IP의 범위를 지정할 수 있음
--모든 IP(0.0.0.0 255.255.255.255) = any
--특정 IP 하나(10.10.10.1 0.0.0.0) = host 10.10.10.1
6.Standard 조건 설정
•Extended ACL (standard ACL은 모든 서비스를 제어하기 때문에, 세분화된 필터링을 위해 사용한다.)
-필수 조건 → Protocol(IP헤더의 Protocol 필드와 비교할 값), Source IP, Destination IP
-Option
--지정된 Protocol의 종류에 따라 다름
--특정 기능을 수행하기 위한 조건을 지원 함 → Log(데이터 전달됬을 때 흔적을 남기겠다/안남기겠다), Established(상태추적), Qos …
--TCP/UDP인 경우 Source port, Destination port를 조건으로 사용할 수 있음
6.VTY 접근 제어
•간접(원격) 접근 접속 제어
-허용되지 않은 사용자의 접근을 제어 함
-vty에서 설정 함-일반적으로 Standard형 ACL을 사용 함
대부분 인바운드로 처리한다. ( 들어올때 확인하는것이 더 좋다고 함.. )
6.Access List
•ACL 설정 확인
-설정한 ACL의 조건 및 조건에 매치된 트랙픽 정보 확인
•ACL 적용 확인
-ACL이 적용된 인터페이스 정보 확인
실습 !
OSPF 네트워크 전체 통신된 것을 이용..
본사에서 지사까지 통신이 되는지 확인
pc0 명령 프롬프트 창 ssh -l admin 12.12.12.1
BR로 가서!
차단된 것을 확인!!
본사네트워크 네트워크 트랙픽 전체 차단하고 관리자만 사용가능하게...
통째로 정책이 사라진것 확인!
관리자만 허용! 그 이외엔 거부!
이런게 뜨는데..
PC 1로 가서
관리자 전체 허용되고 있는데 장비의 핑은 못때리게 하겠다.
원격접속(SSH)만 허용하게 하겠다.
standard불가능! extent로 가자!
기존에 있는거 지우기!!
첫번째 관리자의 SSH접속을 허용!
두번째 본사네트워크 전체 트래픽 차단
세번째 나머지 모든 트래픽 허용
이순서대로 해야된다!!
첫번째 관리자의 SSH접속을 허용!
두번째 본사네트워크 전체 트래픽 차단
세번째 나머지 모든 트래픽 허용
정책확인!
인바운드 덮어쓰기됨..
PC 0번
PC 1번 연결 안됨 ㅇㅇ
7.Network Address Translation
•NAT (Network Address Translation)
-주소 변환 기술
-공인 IP 부족 현상을 완화하기 위해 제안된 기술
--사설 IP를 지정하여 intranet 내부에서만 임의의 IP를 사용할 수 있게 함
--중복된 IP를 사용할 수 있으므로 사설 IP를 이용한 공용 네트워크 통신을 제한 함
--intranet에서 공용 네트워크에 접근하기 위해 네트워크를 연결하는 Router에서사설 IP를 공인 IP로 변환시켜 내보내야 함
•사설 IP대역
-10.0.0.0 ~ 10.255.255.255 → 10.0.0.0/8
-172.16.0.0 ~ 172.31.255.255 → 172.16.0.0/11
-192.168.0.0 ~192.168.255.255 → 192.168.0.0/16
•NAT 사용 목적
-IPv4 부족현상 완화
-공인 IP사용 비용 감소
-보안 (방화벽 장비는 무조건 NAT를 사용하게 됨)
7.NAT 기본 설정 순서
•조건 정책 설정
-사설 IP 네트워크 정보 → ACL
-변환에 사용할 공인 IP 정보 → Pool 또는 secondary IP 설정
•NAT 정책 설정
-변환 해야 할 사설 IP를 공인 IP로 연결 함
-NAT 종류 지정
•Interface 역할 결정
-NAT 동작에 사용될 Interface mode로 이동
-Inside (출발자 ip 체크) -> (NAT Table에 저장)
--내부 네트워크(사설)와 연결하고 인터페이스
--Inside로 전달되는 Packet의 Source IP와 조건정책의 사설 IP범위와 비교 → 일치하면 NAT 수행
-Outside (외부로 전송) -> (응답신호 라우터로 받아옴) -> (목적지 ip체크) -> (NAT TABLE 확인)
--외부 네트워크(공용)와 연결하고 인터페이스
--outside로 전달되는 Packet의 Destination IP와 NAT 변환정보를 비교 → 존재하면 지정된 IP로 변환
라우터에서 Outside내보낼때 NAT 일어나서 ip변환 일어난다.
라우터에서 Inside로 들어올때 NAT 일어나서 ip변환 일어난다.
(라우터에서 ip받자마자 변환이 일어나고 라우터를 떠날때(인터페이스) ip변경이 일어난다.)
7.Network Address Translation 종류
•Static NAT
-NAT Table의 변환 정보를 관리자가 직접 지정하고 관리 함 → 정보가 고정 됨
-사설 IP(1) : 공인 IP(1)
-Server에 Client가 접근할 수 있게 함
•Dynamic NAT
-NAT Table의 변환 정보를 장비가 직접 생성하고 관리 함
--NAT 동작을 수행해야 하는 조건에 맞는 Packet을 전달받았을 때 변환 됨
-사설 IP(n) : 공인 IP(m)→ 동시에 통신 가능한 장비가 공인 IP수로 제한 됨
-내부 호스트장비의 공용 네트워크 통신을 위해 사용 됨
•NAT-PAT(Port Address Translation)
-일반 Dynamic NAT의 한계를 극복
-NAT동작이 수행될 때Port주소를 변환정보 식별용으로 함께 사용 함
-사설 IP(n) : 공인 IP(1) → 하나의 공인 IP로 다수의 사설 IP를 이용한 통신이 지원 됨
-내부 호스트 장비의 공용 네트워크 통신을 위해 사용 됨
7.Static NAT (DNAT)
•Static NAT
-공인 IP로 전달된 Client의 요청을 내부 Server로 전달할 수 있도록 목적지 주소를 변환하는 기능
-Server에 할당된 사설 IP 하나당 공인 IP를 할당 → 1 : 1
7.Static NAT 설정
•조건 정책 설정
-사설 IP 네트워크 정보 → 1:1 설정이기 때문에 설정할 필요가 없음
-변환에 사용할 공인 IP 정보 → Pool 또는 outside 인터페이스에서 secondary IP로 설정
•NAT 정책 설정
•Interface 역할 결정
-사설 네트워크를 연결하는 인터페이스 → inside
-공용 네트워크를 연결하는 인터페이스 → outside
7.Dynamic NAT (SNAT)
•Dynamic NAT
-사설 네트워크 내부의호스트 통신을 위해 사용 됨
-다수의 사설 IP의 지정된 개수의 공인 IP로 변환 → n : m (동시 통신 가능 → m대)
•Dynamic NAT 문제점
-동시 통신 가능한 호스트의 수 = 공인 IP의 개수
7.Dynamic NAT 설정
•조건 정책 설정
-사설 IP 네트워크 정보 → ACL
-변환에 사용할 공인 IP 정보 → Pool
•NAT 정책 설정
•Interface 역할 결정
-사설 네트워크를 연결하는 인터페이스 → inside
-공용 네트워크를 연결하는 인터페이스 → outside
7.NAT-PAT (Port Address Translation) (Cisco에선 오버로드)
•NAT-PAT
-사설 네트워크 내부의 호스트 통신을 위해 사용 됨
-다수의 사설 IP의 하나의 공인 IP로 변환 → n : 1
보통 UDP를 사용한다!
7.NAT-PAT 설정
•조건 정책 설정
-사설 IP 네트워크 정보 → ACL
-변환에 사용할 공인 IP 정보 → Pool, outside 인터페이스에서 secondary IP, outside 인터페이스 IP
•NAT 정책 설정
•Interface 역할 결정
-사설 네트워크를 연결하는 인터페이스 → inside
-공용 네트워크를 연결하는 인터페이스 → outside
7.NAT 설정 확인
•NAT 설정 정보 확인
•NAT 동작과정 확인
•NAT Table 변환 정보 확인
포트번호는 icmp라서 그에 따른 포트번호가 없기때문에 순차적으로 1번부터 시작!
•NAT Table 변환정보 초기화
•NAT Table 한 항목 삭제
실습
이걸로 시작
whitehats 하얀모자의 정보보안
'▶ 웹기반 정보보안 과정 > Network' 카테고리의 다른 글
160304 23번째 강의 (0) | 2016.03.16 |
---|---|
160303 21번째 강의 (0) | 2016.03.15 |
160302 20번째 강의 - 2 (0) | 2016.03.15 |
160302 20번째 강의 - 1 (0) | 2016.03.15 |
160229 19번째 강의 (0) | 2016.03.15 |