보안/Network
[Router] 라우터의 보안 관련 요소들
dp.
2011. 7. 6. 19:15
1. 동적 라우팅 프로토콜
/ /업무시간에만(09 -19시)에만 telnet R3->R1거부
ip nat pool NAT_A 100.1.1.1 100.1.1.1 netmask 255.255.255.0 overload
2. 정적 NAT
규칙
1. 인증에 대한 부분
1. 종단 장비의 취약
:
2. ACL관련
토폴로지
토폴로지
1. 표준 ACL
// 1.1.3.0 네트워크 패킷 유입을 막을 때
R2!에서
# conf t
# access-list 1 deny 1.1.3.0 0.0.0.255
# access-list 1 permit any
# interface s1/0
#ip access-group 1 in
2. 확장 ACL
// ping 막을때
! R2에서
# access-list 100 deny icmp any any echo
# access-list 100 permit ip any any
# interface s1/0
# ip access-group 100 in
/ /업무시간에만(09 -19시)에만 telnet R3->R1거부
! R2
# conf t
# time-range WORKHOUR
# periodic weekday 09:00 to 19:00
# exit
# ip access-list extended ACL
# deny tcp host 1.1.3.3 host 1.1.1.1 eq23 time-range WORKHOUR
# permit ip any any
# exit
# int s 1/0
# ip access-group ACL in
# end
3. 동적ACL
1. Reflexive ACL
: 내부에서 외부로 새로운 연결이 시작될 때 임시로 ACL이 만들어짐
R2에서
# conf t
# ip access extended INACL
# evaluate MyTcp
# exit
# ip access extended OUTACL
# permit tcp any any reflect MyTcp
# exit
#int s1/0
# ip access-group INACL in
# ip access-group OUTACL out
R3에서
# telnet 1.1.1.1 접속안됨
2. Lock and Key ACL
: 라우터의 인증을 통과해야만 내부 네트워크에 접속이 가능
디이얼 업 사용자 등과 같은 특정 권한을 가진 사람이 외부에서 접속할 때 유용
여기서 라우터는 telnet의 인증서비스를 사용하여 인증한다. 오직 인증만을 위한 정책이기 때문에 access-list를 만들어 놓은 다음엔 인증에 사용했던 세션이 끊어진다.
그래서 다음의 명령어를 넣어준다.
# autocommand access-enable timeout 10 명령어를 넣어준다.
디이얼 업 사용자 등과 같은 특정 권한을 가진 사람이 외부에서 접속할 때 유용
여기서 라우터는 telnet의 인증서비스를 사용하여 인증한다. 오직 인증만을 위한 정책이기 때문에 access-list를 만들어 놓은 다음엔 인증에 사용했던 세션이 끊어진다.
그래서 다음의 명령어를 넣어준다.
# autocommand access-enable timeout 10 명령어를 넣어준다.
3. CBAC ( Context Based Access Control)
: 동적 ACL의 단점을 보완
: 동적 ACL의 단점을 보완
1.트래픽 필터링
2. 침임탐지
동적 ACL의 단점 보완
동적 ACL의 단점 보완
내부에서 나간 패킷을 기억해서 들어올때 허용
특징 : 프로토콜별로 가능
!R2
conft
ip inspect name CBAC tcp
ip inspect name CBAC udp
ip inspect name CBAC Icmp
int s1/0
ip inspect CBAC out ///inspect 검사 table에 남는 시점
!R1 ping 1.1.3.3
!R2 telnet 1.1.3.3
show ip access-list
show ip inspect session (5초뒤에 사라짐)
4. ZFW (zone-based FireWall )
CBAC과 같이 못씀
1)zone만들기
!R2
conf t
zone security z1
zone security z2
2) zone과 interface연결
!R2
int fa0/0
zone-member security z1
int s1/0
zone-member security z2
test) R1 # ping 1.1.3.3 /////////.........
zone이 다르면 서로 트래픽이 흐르지 못함
3) 어느 트래픽을 적용할지 결정
ip access-list extended 100
permit ip any any //모든 패킷을 inspect하기 위해
또는
permit 1.1.1.0 0.0.0.255
permit 1.1.2.0 0.0.0.255
exit
class-map type inspect C1
match access-group 100
exit
policy-map type inspect P1
class C1
inspect
exit
zone-pair security Outbound source Z1 destination Z2
service-policy type inspect P1
R1 # ping 1.1.3.3
telnet 1.1.3.3
확인
R2# show policy-map type inspect zone-pair session : 세션을 확인
전체 과정
ACL > class-map > policy-map > service-policy로 사용
분류할때 ACL, class-map 사용
정책설정시 policy-map 사용
정책적용시 service-policy 사용
Qos할 경우 많이 사용함(패킷분류 > Marking > 정책설정)
ex >htttp 50M 패킷 이상이면 drop 하시오
5. NAT
1. 동적 NAT
s1/0
R1 -------------------------R2-----------------------------R3
내부,사설망 외부, 공인망
공인 IP주소는 R2 s1/0만 있음 > 여러 사설 IP주소가 하나의 공인 IP로만 변환함
바꿀 IP주소가 network 대역인 경우 > ACL사용
바꾸어지게 될 주소가 network 대역인경우 > IP nat pool을 이용
!R2
ip access-list standard NAT
permit 1.1.1.0 0.0.0.255
permit 1.1.12.0 0.0.0.255
permit 1.1.2.0 0.0.0.255
exit
ip nat inside source list NAT interface s1/0 overload
또는 다음과 같이 사용가능
!R2에서
!R2에서
ip access-list standatd Src_A
permit host 1.1.1.1
exit
ip access-list standard Src_B
permit host 1.1.2.2
exit
start IP end IP
ip nat pool NAT_B 100.2.2.2 100.2.2.2 netmask 255.255.255.0 overload
맵핑내용 ACL Src_A > ip nat pool NAT_A
ACL Src_B > ip nat pool NAT_B
ip nat insiide source list Src_A pool NAT_A overload
ip nat insiide source list Src_B pool NAT_B overload
int fa0/0
ip nat inside
int s1/0
ip nat outside
end 2. 정적 NAT
규칙
내부망 외부망
1.1.1.1 > 100.1.1.1 로 바뀌게
1.1.2.2 > 100.2.2.2
ip nat inside source static
!R3
conf t
ip route 100.1.1.1 255.255.255.255 100.1.23.2
ip route 100.2.2.2 255.255.255.255 100.1.23.2