** 네트워크 접근 제어
액세스 리스트 (Access List)
1. 액세스 리스트의 종류
1) 스탠더드 액세스 리스트 : 출발지주소만 보고 (제한여부)결정한다
- inbound access list : 라우터의 in방향으로 패킷이 들어오면 해당 인터페이스에 액세스 리스트가 있는지 확인하고 설정되어 있으면 비교하게 되는데 출발지 주소와 액세스 리스트의 주소를 비교한다, 해당되면 허용 및 거부의 조건에따라 충족되면 정해진데로 처리하는 것이다
- outbound access list : 라우터의 out방향으로 패킷이 나가는것을 제어한다
- TCP/IP에 대한 제어만 가능
- 1~99까지의 숫자를 액세스 리스트 번호로 사용한다
<참고>
- 외부에서 들어오는 것은 in에서 막는것이 좋고 내부에서 나가는 것은 out에서 막는것이 보통이다
2) 익스텐디드 액세스 리스트 : 출발지 및 목적지 주소와 프로토콜등을 고려하여 결정한다
- ip, tcp, udp, icmp등 특정 프로토콜을 지정하여 제어가능
- 100~199까지의 숫자를 액세스 리스트 번호로 사용한다
<참고>
- 웹방화벽은 Layer7까지 방어하며 일반적인 방화벽은 Lsyer4~3까지 방어함
- 쉽게 방화벽이라고 생각하면 되는데 라우터의 액세스 리스트는 모든 침입자를 완벽하게 막아낼 수는 없다
<참고>
== Black List vs White List ==
- Black List : 전부허용, 일부차단 (윈도우NT계열 이전의 정책임)
예) 적용예
차단
차단
전부허용
- White List : 전부차단, 일부허용 (윈도우vista계열 이후의 정책임)
예) 적용예
허용
허용
전부차단
- 액세스 리스트도 기본적으로 white list 정책이다
2. 액세스 리스트 설정 - 스탠더드
1) Black List기반으로 설정 - 모두 허용, 일부 차단
R3(config)#access-list ? -> 액세스 리스트 종류와 리스트 번호
<1-99> IP standard access list -> 스탠다드 액세스 리스트 : 내부 네트워크를 제한하는데 사용
<100-199> IP extended access list -> 확장 액세스 리스트 : 외부 네트워크를 제한하는데 사용
R3(config)#access-list 1 ? -> 거부, 허용 (black list or white list 결정)
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R3(config)#access-list 1 deny ? -> 범위와 객체 제한인지 결정
A.B.C.D Address to match
any Any source host
host A single host address
R3(config)#access-list 1 deny host ? -> 객체의 IP 주소
A.B.C.D Host address
R3(config)#access-list 1 deny host 172.16.10.3
R3(config)#access-list 1 ? -> 위 줄에 설정후 나머지에 대한 정의
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R3(config)#access-list 1 permit ?
A.B.C.D Address to match
any Any source host
host A single host address
R3(config)#access-list 1 permit any
R3(config)#int s2/0 -> 정의한 액세스리스트를 어떤 포트에 적용할 것인가
R3(config-if)#ip access-group 1 in -> 해당 포트에 들어갈때 or 나갈때 둘중 선택
R3(config)#no access-list 1 -> 해제
3. 텔넷포트에서 액세스 리스트
1) 먼저 텔넷포트를 활성화
R1(config)#username ccna password 1
R1(config)#line vty 0 4
R1(config-line)#login local
2) 내부 네트워크 호스트만 라우터에 접속 허용
R1(config)#access-list 99 ? -> 액세스 리스트를 선언하고 허용 or 거부
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R1(config)#access-list 99 permit ? -> 허용 범위
A.B.C.D Address to match
any Any source host
host A single host address
R1(config)#access-list 99 permit 172.16.10.0 0.0.0.255 -> 서브넷마스크는 와일드카드마스크로 입력
R1(config)#line vty 0 4 -> 위의 액세스 리스트를 적용할 포트나 서비스 선택
R1(config-line)#access-class ? -> 텔넷서비스에 대한 적용임
<1-199> IP access list
WORD Access-list name
R1(config-line)#access-class 99 ? -> 액세스 리스트 번호
in Filter incoming connections
out Filter outgoing connections
R1(config-line)#access-class 99 in -> 접속 시도 시에 차단 및 허용
<참고>
텔넷 접속시에 텔넷접속에 대한 암호 활성화를 필히 해야 접속이 가능 하다. 그리고 접속 후 프리빌리지드 모드에 진입할때의 암호도 활성화해야 텔넷접속을 할수 있다.
* 네트워크의 혼잡(Congestion)을 없애기
- 네트워크 상에서 Bursty(벌스티)트래픽이라고 하는 것이 있는데 갑자기 데이터가 폭주하는 것을 말하는데 이 폭주가 상습적으로 늘, 언제나, 계속 발생하면 문제가 된다 그래서 해결 해줘야 하는데 이것이 바로 컨제스젼 메니지먼트라 한다. 간단하게 대역폭을 늘려주면 되겠지만 많은 제원이 투입되어야 겠지만...
- 혼잡 제어 방법
1) 사용자와 어플리케이션에 대한 필터링 실시 : 모든 사용자의 모든 어플리케이션을 다 통과시키면 트래픽이 증가하니까 골라서 통과시키는 것인데 네트워크에 들어올수 없게 만드는 것을 액세스 리스트를 사용하여 구현한다
2) 브로드캐스트를 막아준다 : 알맞은 서브넷팅을 통하여 네트워크를 적당히 작게 나눈다. 하지만 라우팅의 업데이트 정보도 브로드캐스트를 사용하는것이 있으니 고려해서 실행해야한다
3) 타이머를 맞춘다 : 일정시간마다 일어나는 일(브로드캐스트)들은 조정해 주어 네트워크 트래픽을 분산시키는 것이다
4) 라우팅 테이블의 관리 : 라우팅 정보을 교환하는 것 또한 트래픽을 발생시키므로 가능하면 스태틱으로 조정해주면 도움이 되겠다
5) 트래픽의 우선순위를 매긴다 : 중요한 트래픽은 우선 처리해주고 느려도 되는 것은 뒤에 처리하는 식으로 하지만 한쪽으로 치우치지 않게 적당히 배합하여 관리한다
액세스 리스트 (Access List)
1. 액세스 리스트의 종류
1) 스탠더드 액세스 리스트 : 출발지주소만 보고 (제한여부)결정한다
- inbound access list : 라우터의 in방향으로 패킷이 들어오면 해당 인터페이스에 액세스 리스트가 있는지 확인하고 설정되어 있으면 비교하게 되는데 출발지 주소와 액세스 리스트의 주소를 비교한다, 해당되면 허용 및 거부의 조건에따라 충족되면 정해진데로 처리하는 것이다
- outbound access list : 라우터의 out방향으로 패킷이 나가는것을 제어한다
- TCP/IP에 대한 제어만 가능
- 1~99까지의 숫자를 액세스 리스트 번호로 사용한다
<참고>
- 외부에서 들어오는 것은 in에서 막는것이 좋고 내부에서 나가는 것은 out에서 막는것이 보통이다
2) 익스텐디드 액세스 리스트 : 출발지 및 목적지 주소와 프로토콜등을 고려하여 결정한다
- ip, tcp, udp, icmp등 특정 프로토콜을 지정하여 제어가능
- 100~199까지의 숫자를 액세스 리스트 번호로 사용한다
<참고>
- 웹방화벽은 Layer7까지 방어하며 일반적인 방화벽은 Lsyer4~3까지 방어함
- 쉽게 방화벽이라고 생각하면 되는데 라우터의 액세스 리스트는 모든 침입자를 완벽하게 막아낼 수는 없다
<참고>
== Black List vs White List ==
- Black List : 전부허용, 일부차단 (윈도우NT계열 이전의 정책임)
예) 적용예
차단
차단
전부허용
- White List : 전부차단, 일부허용 (윈도우vista계열 이후의 정책임)
예) 적용예
허용
허용
전부차단
- 액세스 리스트도 기본적으로 white list 정책이다
2. 액세스 리스트 설정 - 스탠더드
1) Black List기반으로 설정 - 모두 허용, 일부 차단
R3(config)#access-list ? -> 액세스 리스트 종류와 리스트 번호
<1-99> IP standard access list -> 스탠다드 액세스 리스트 : 내부 네트워크를 제한하는데 사용
<100-199> IP extended access list -> 확장 액세스 리스트 : 외부 네트워크를 제한하는데 사용
R3(config)#access-list 1 ? -> 거부, 허용 (black list or white list 결정)
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R3(config)#access-list 1 deny ? -> 범위와 객체 제한인지 결정
A.B.C.D Address to match
any Any source host
host A single host address
R3(config)#access-list 1 deny host ? -> 객체의 IP 주소
A.B.C.D Host address
R3(config)#access-list 1 deny host 172.16.10.3
R3(config)#access-list 1 ? -> 위 줄에 설정후 나머지에 대한 정의
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R3(config)#access-list 1 permit ?
A.B.C.D Address to match
any Any source host
host A single host address
R3(config)#access-list 1 permit any
R3(config)#int s2/0 -> 정의한 액세스리스트를 어떤 포트에 적용할 것인가
R3(config-if)#ip access-group 1 in -> 해당 포트에 들어갈때 or 나갈때 둘중 선택
R3(config)#no access-list 1 -> 해제
3. 텔넷포트에서 액세스 리스트
1) 먼저 텔넷포트를 활성화
R1(config)#username ccna password 1
R1(config)#line vty 0 4
R1(config-line)#login local
2) 내부 네트워크 호스트만 라우터에 접속 허용
R1(config)#access-list 99 ? -> 액세스 리스트를 선언하고 허용 or 거부
deny Specify packets to reject
permit Specify packets to forward
remark Access list entry comment
R1(config)#access-list 99 permit ? -> 허용 범위
A.B.C.D Address to match
any Any source host
host A single host address
R1(config)#access-list 99 permit 172.16.10.0 0.0.0.255 -> 서브넷마스크는 와일드카드마스크로 입력
R1(config)#line vty 0 4 -> 위의 액세스 리스트를 적용할 포트나 서비스 선택
R1(config-line)#access-class ? -> 텔넷서비스에 대한 적용임
<1-199> IP access list
WORD Access-list name
R1(config-line)#access-class 99 ? -> 액세스 리스트 번호
in Filter incoming connections
out Filter outgoing connections
R1(config-line)#access-class 99 in -> 접속 시도 시에 차단 및 허용
<참고>
텔넷 접속시에 텔넷접속에 대한 암호 활성화를 필히 해야 접속이 가능 하다. 그리고 접속 후 프리빌리지드 모드에 진입할때의 암호도 활성화해야 텔넷접속을 할수 있다.
* 네트워크의 혼잡(Congestion)을 없애기
- 네트워크 상에서 Bursty(벌스티)트래픽이라고 하는 것이 있는데 갑자기 데이터가 폭주하는 것을 말하는데 이 폭주가 상습적으로 늘, 언제나, 계속 발생하면 문제가 된다 그래서 해결 해줘야 하는데 이것이 바로 컨제스젼 메니지먼트라 한다. 간단하게 대역폭을 늘려주면 되겠지만 많은 제원이 투입되어야 겠지만...
- 혼잡 제어 방법
1) 사용자와 어플리케이션에 대한 필터링 실시 : 모든 사용자의 모든 어플리케이션을 다 통과시키면 트래픽이 증가하니까 골라서 통과시키는 것인데 네트워크에 들어올수 없게 만드는 것을 액세스 리스트를 사용하여 구현한다
2) 브로드캐스트를 막아준다 : 알맞은 서브넷팅을 통하여 네트워크를 적당히 작게 나눈다. 하지만 라우팅의 업데이트 정보도 브로드캐스트를 사용하는것이 있으니 고려해서 실행해야한다
3) 타이머를 맞춘다 : 일정시간마다 일어나는 일(브로드캐스트)들은 조정해 주어 네트워크 트래픽을 분산시키는 것이다
4) 라우팅 테이블의 관리 : 라우팅 정보을 교환하는 것 또한 트래픽을 발생시키므로 가능하면 스태틱으로 조정해주면 도움이 되겠다
5) 트래픽의 우선순위를 매긴다 : 중요한 트래픽은 우선 처리해주고 느려도 되는 것은 뒤에 처리하는 식으로 하지만 한쪽으로 치우치지 않게 적당히 배합하여 관리한다
댓글 없음:
댓글 쓰기