ACL(Access Control List)
- Router 내부 정책을 통해 Filtering 수행
- 정책에 따라 트래픽 필터링, 식별, 변환 등의 작업을 수행
- ACL 정책은 위에서 아래로 순차적으로 반영됨
ACL 동작
- 정책과 수신된 패킷과 비교하여 지정된 행동을 수행
- Permit 허용, Deny 거부
- 모든 조건이 해당되지 않으면 항상 마지막 조건으로 ALL Deny 정책이 설정되어 있음
ACL 적용 위치
- 정책에 맞게 구성된 ACL을 트래픽 필터링해야 할 인터페이스 위치에 설정
- 종류 : Inbound, outbound
- Inbound : 인터페이스로 데이터가 수신 시 정책 확인 후 전송
- outbound : 인터페이스에서 데이터가 송신하기 직전에 정책 확인 후 전송
ACL 설정 순서
- 필요한 조건에 따라 협의하여 정책 계획을 수립
- 계획에 따라 설정된 정책들인 List 생성
- 생성된 ACL을 이용할 Interface에 적용
- ACL 설정 확인
ACL 설정 확인
- 설정된 ACL의 조건에 매치된 트래픽 정보 확인
R1# show ip access-lists < number/string >
- ACL이 적용된 인터페이스 정보 확인
R1# show ip interface fastethernet 0/0
ACL 적용
R1(config)# interface <적용 interface>
R1(config-if)# ip access-group <acl number> <in/out>
- acl number : ACL 정책을 구분하기 위한 번호
- in/out : Inbound / Outbound
ACL 종류
Number Type ACL
- 숫자를 식별 값으로 비교하는 ACL
- 특정 기능 수행을 위한 트래픽 분류를 목적
Name Type ACL
- 문자를 식별 값으로 비교하는 ACL
- 방화벽의 보안 정책 구성 및 복잡한 정책 구성 시 주로 사용
Number Type ACL 설정
Standard access-list 생성
R1(config)# access-list <acl number> <action> <IP address> (Wildcard Mask)
- acl number : ACL 정책을 구분하기 위한 번호로 1-99, 1300~1999 사용
( 같은 번호 설정 : 조건 추가 / 새 번호 설정 : ACL 생성) - action : 정책에 대한 permit(허용) / deny(거부) 설정
- Source IP 주소 필수 기입
- Wildcard Mask : 조건에 매치할 IP의 범위를 지정 (생략 가능하며, 생략 시 host를 의미)
- any : ALL IP (0.0.0.0 255.255.255.255)
- host 100.100.100.1 : 하나의 특정 IP
R1(config)# access-list 1 permit 100.100.100.1
R1(config)# interface fastethernet 1/0
R1(config-if)# ip access-group 1 in
Extended access-list 생성
R1(config)# access-list <acl number> <action> <protocol> <Source IP> (Wildcard Mask) (source port) <destination IP> (Wildcard Mask) (destination port) (option)
- acl number : ACL 정책을 구분하기 위한 번호로 100-199, 2000~2699 사용
( 같은 번호 설정 : 조건 추가 / 새 번호 설정 : ACL 생성)
- Protocol, Source IP, Desination IP 필수 기입
- Option
Log 기록이나 Established(상태추적), 특정 기능을 수행하기 위한 조건을 지원
TCP, UDP인 경우 Source port, Destination port를 조건으로 사용
option 설명 eq 조건과 같을 경우 neq 조건과 다를 경우 lt 값 < 조건 gt 값 > 조건 range 범위 지정
R1(config)# access-list 100 permit tcp host 100.100.100.1 any eq 80
R1(config)# interface fastethernet 1/0
R1(config-if)# ip access-group 100 in
Name Type ACL 설정
Standard access-list 생성
R1(config)# ip access-list standard <name>
R1(config-std)# (no) (sequence number) <action> <source IP> (Wildcard Mask)
- name : 정책 이름 설정
- action : 정책에 대한 permit(허용) / deny(거부) 설정
- Source IP 주소 필수 기입
- no : 정책 제거
- sequen number : 정책 순서 번호
R1(config)#ip access-list standard acl1
R1(config-std)# permit 100.100.100.1
R1(config)# interface fastethernet 1/0
R1(config-if)# ip access-group acl1 in
Standard access-list 생성
R1(config)# ip access-list extended <name>
R1(config)# (no) (sequence number) <action> <protocol> <source IP>(wildcard mask) (source port) <destination IP> (Wildcard Mask) (destination port) (option)
- name : 정책 이름 설정
- action : 정책에 대한 permit(허용) / deny(거부) 설정
- Protocol, Source IP, Desination IP 필수 기입
R1(config)# ip access-list extended acl2
R1(config-std)# permit icmp host 100.100.100.2 host 172.16.0.20
R1(config-std)# permit tcp host 100.100.100.1 host 172.16.0.20 eq 80
R1(config)# interface fastethernet 0/0
R1(config-if)# ip access-group acl2 out
원격 ACL 제어
R1(config)# access-list <acl number> <action> host [관리자 IP]
R1(config)# line vty 0 4
R1(config-line)# access-class <acl number> <in/out>
- 허용되지 않은 사용자 접근제어
- vty에서 설정
- Standard형 ACL을 사용
https://sa2da-sac.tistory.com/56?category=1029066
[SO - 02] Router ACL 실습 (Cisco)
실습 환경 실습 외부로부터 PC, Server Zone의 Client, Server가 공격에 취약한 상황 PC, Server Zone 만 통신 허용하며, 외부 트래픽 차단하기 위해 Router ACL 활용 공격 전 확인 공격 전 Cent 7 Web Server의..
sa2da-sac.tistory.com
'*Security > [ SO ] 보안 솔루션' 카테고리의 다른 글
| [SO - 05] iptables 개요 (0) | 2022.01.12 |
|---|---|
| [SO - 04] TCP Wrapper 실습 (0) | 2022.01.10 |
| [SO - 03] TCP Wrapper 개요 (0) | 2022.01.06 |
| [SO - 02] Router ACL 실습 (Cisco) (0) | 2021.12.29 |