PIX 운영자 Guide

목 차 PIX 소개및 아키텍쳐 시나리오별 운영방법 Monitoring and Trouble Shooting - PIX Firewall 주요 특징 - PIX Series 소개 - Software Achitecture 시나리오별 운영방법 - 설치된 모듈 확인 방법 - PIX 접속 방법 - 신규 네트워크 추가 방법 - Object-group의 수정 및 변경 - 방화벽 정책의 수정 및 변경 - Management Console 접근 설정 변경 - Configuration Backup - Logging 설정 Monitoring and Trouble Shooting - PDM 상에서 Null Rule 조정 - Connection 정보 확인 - CLI Console Monitoring 설정 - Clear 명령 사용

PIX 소개 및 아키텍쳐 Presentation_ID 3 3 3 © 2003, Cisco Systems, Inc. All rights reserved. 3 3 3

PIX Firewall 주요 특징 PIX Firewall Series PIX-501, PIX-506E, PIX-515E, PIX-525, PIX-535 UR: Unrestricted license R: Restricted license BUN: Bundle FO: Failover 1GE-66: Single 66Mhz Gigabit Ethernet Interface (Multimode fiber, SC connector) 1GE: Single 33Mhz 4FE: Four-port 10/100 Fast Ethernet interface 1FE: Single-port 10/100 VPN-ACCEL: IPSEC Hardware VPN Accelerator Card (VAC) VPN-3DES: 168-bit 3DES IPSec VPN software license Notes IOS Firewall (Full: 1720,2600, 3600, 7100, 7200)(only firewall: 800, 1600, 2500), Cisco Secure Policy Manager, IDS, Catalyst 6000 IDS Module

PIX Series 소개 DataSheet

PIX Series 소개(계속) 전면 PIX-515E 후면 VAC

PIX Series 소개(계속) PIX-525 전면 후면

PIX Series 소개(계속) PIX-525 PIX-525 3개의 PIC 슬롯(1개는 VAC가 점유) GigabitEthernet 지원 PIX-525

PIX Series 소개(계속) PIX-535 9개의 PIC 슬롯(1개는 VAC가 점유) GigabitEthernet 지원

PIX Series 소개(계속) PIX-535 Bus 2 Bus 1 Bus 0 1FE 4FE VAC (32-bit/33 MHz) Bus 1 (64-bit/66 MHz) Bus 0 (64-bit/66 MHz) 1FE 4FE VAC

Software Architecture High Level Software Architecture PC (performance depending on traffic pattern and configuration) PIX (cli, failover, routing table,…) L7 fixup Xlate alloc ACL table DNAT table Routing table AAA cache Session Management TCP intercept AAA handler Slow Path NP (150K new cps) Ho_obj/xlate 5-t flow table Background Tasks: timers, … Session Lookup NAT & TCP fixup (seq wind check) ICMP fixup IP Virtual reassembly IP Fragment. Frag. DB L3 checks L2 layer ARP table Fast Path NP (3Mpps)

시나리오별 운영 방법 Presentation_ID 12 12 12 © 2003, Cisco Systems, Inc. All rights reserved. 12 12 12

시나리오별 운영방법 Configuration 수정 및 추가시 주의사항 PIX 접속 방법 신규 네트워크 추가 방법 방화벽 정책의 생성 및 삭제 Object-group의 생성 및 수정 Management Console 접근 설정 변경 Configuration Backup Logging 설정

Configuration 수정 및 추가시 주의사항 CLI 상에서 모든 Config 의 수정은 config mode에서 만 가능하다 E.g.) pixfirewall(config)#  Config Mode 특정 Config 의 경우 Sub-Config 를 가진다(Object-Group, router ospf 등) E.g.) pixfirewall(config)#object-group network HTTP_GRP pixfirewall(config-network)# Config Mode에서 수정한 모든 내용은 입력과 동시에 유효하다 변경된 Config 에 대한 최종 확인이 된 경우 반드시 wr me 를 하여 해당 내용을 저장한다. PDM 상에서 Configuration Menu 상에서 현재의 Tab에서 수정된 Config 는 Apply를 Click 하기 전까지는 적용 되지 않는다. 현재의 Tab에서 Configuration 변경이 있을 경우 Apply를 하지 않고 다른 메뉴 Tab으로 이동할 수 없다. 변경된 Config 에 대한 최종 확인이 된 경우 ApplySAVE 를 반드시 입력한다.

PIX 접속방법 - CLI Mode 접속 하이퍼터미널, SecureCRT 등 터미널 소프트웨어를 통해서 PIX 콘솔 접속 RS232(RJ-45) 9600 Administrative access modes Unprivileged mode Privileged mode Configuration mode

PIX 접속방법 – PDM PDM 접속 https://interface ip add Click yes blank enable password

신규 네트워크 추가 – PIX 설정 with CLI PIX CLI CONSOLE 상에서의 절차 ① Interface 이름 지정 및 Security Level 선정 eg. PIX (config)#nameif ethernet3 dmz 50 ② Interface IP Address 및 Subnet Mask 지정 eg. PIX (config)# ip address dmz 192.168.200.1 255.255.255.0 nameif {hardware_id | vlan_id} if_name security_level ip address if_name ip_address [netmask]

신규 네트워크 추가 – PIX 설정 with CLI (계속) ③ Outbound Translation 지정 - 지정된 IP Pool에 따른 1:1 Dynamic NAT eg. PIX (config)# nat (dmz) 1 192.168.200.0 255.255.255.0 PIX (config)# global (outside) 1 172.16.0.3-172.16.0.30 또는 PIX (config)# global (outside) 1 172.16.0.0 netmask 255.255.255.0 - 특정 IP 에 의한 1:N PAT (Port Address Translation) PIX (config)# global (outside) 1 interface 또는 PIX (config)# global (outside) 1 172.16.0.3 global (low_sec_if_name) nat_id {global_ip [-global_ip] [netmask global_mask]} nat (high_sec_if_name) nat_id local_ip mask global (low_sec_if_name) nat_id [interface | global_ip ] nat (high_sec_if_name) nat_id local_ip mask

신규 네트워크 추가 – PIX 설정 with CLI (계속) ④ Inbound Translation 지정 - 만일 외부에 내부 네트워크를 노출 시킬 필요가 있을 경우만 설정 - Outbound Translation (1:1 Dynamic NAT 혹은 1:N PAT )이 설정 후 특정 시스템만 Global IP 즉, Lower Security Level의 Interface에 소속된 IP 로 Match 시킬 경우 eg. PIX (config)# static (dmz,outside) 172.16.0.5 192.168.200.5 - 내부 IP를 Translation 없이 그대로 사용하고자 할 경우 eg. PIX (config)# nat (dmz) 0 192.168.200.0 255.255.255.0 PIX (config)# static (dmz,outside) 192.168.200.0 192.168.200.0 netmask 255.255.255.0 static (high_sec_if_name, low_sec_if_name) global_ip local_ip nat [(high_sec_if_name)] 0 local_ip mask static [(high_sec_if_name, low_sec_if_name)] local_ip local_ip netmask mask

신규 네트워크 추가 – PIX 설정 with CLI (계속) ⑤ 각 인터페이스 별 Access-list 작성 및 적용(방화벽 정책의 수정 및 변경 참조) ⑥Routing 설정(Optional) - 추가된 Interface에 소속한 네트워크는 connect 로 자동 routing 생성됨 - 추가된 Interface에 다른 네트워크 존재시 eg. route dmz 192.168.0.0 255.255.255.0 192.168.200.3 route if_name ip_address netmask gateway_ip [metric]

신규 네트워크 추가 – PIX 설정 with PDM ① Interface 이름 지정 및 Security Level 선정 ② Interface IP Address 및 Subnet Mask 지정 Configuration  system properties  edit  Interface

신규 네트워크 추가 – PIX 설정 with PDM(계속) ③ 지정된 IP Pool에 따른 1:N PAT (Port Address Translation)

신규 네트워크 추가 – PIX 설정 with PDM(계속) ④ Outbound Translation 지정 - 지정된 IP Pool에 따른 1:1 Dynamic NAT

신규 네트워크 추가 – PIX 설정 with PDM(계속) ⑤ Inbound Translation 지정 - NAT 환경하에서의 특정 IP 1: 1 Static NAT 설정

신규 네트워크 추가 – PIX 설정 with PDM(계속) - 내부 IP를 Translation 없이 그대로 사용하고자 할 경우

Object Group 생성 및 삭제 with CLI object-gorup 이란? 용도 : icmp types, hosts, protocols, services port, sub-group 에 대한 Grouping 을 통해 access-list 를 계층적, 구조적이면서 표현의 간소화로 관리 편의 도모 - 각 Type 별 고유 Sub Command - 모든 Type 공통 Sub Command Types Sub Command 설명 [no] object-group icmp-type grp_id icmp type 별 Grouping icmp-object icmp_type icmp type 지정 [no] object-group network grp_id network-object host [host_addr|hostsname] host 별 IP 또는 사전 정의한 hostname 지정 network-object host_addr netmask 특정 서브넷 혹은 네트워크 [no] object-group protocol grp_id protocol type별 Grouping protocol-object protocol_name(or NO.) 특정 protocol type 지정 [no] object-group service grp_id {tcp | udp | tcp-udp} Service Ports Grouping port-object range begin_service end_service 연속된 포트 Range 지정 port-object eq service 특정 포트 지정 Types Sub Command 설명 description description-text 그룹 오브젝트 설명 group-object grp_id 동일 Type의 Sub Group

Object Group 생성 및 삭제 with CLI (계속) 사용 예제 object-group의 생성 PIX (config)# object-group network sjc_eng_ftp_servers PIX (config-network)#network-object host 172.23.56.194 PIX (config-network)#network-object 192.1.1.0 255.255.255.224 PIX (config-network)#exit PIX (config)# object-group network sjc_ftp_servers PIX (config-network)#network-object host sjc.ftp.servers PIX (config-network)#network-object host 172.23.56.195 PIX (config-network)#network-object 193.1.1.0 255.255.255.224 object-group의 구성원 추가 PIX (config-network)#group-object sjc_eng_ftp_servers object-group의 구성원 삭제 PIX (config-network)#no network-object host sjc.ftp.servers ojbect-group의 삭제 구성원 모두 삭제 되어야 함 해당 Object-group이 사용되는 Access-list 모두 삭제되어야함 no object-group network sjc_ftp_servers clear object-group group-type  해당 Type의 모든 object-group 삭제

Object Group 생성 및 삭제 with CLI (계속) Object 를 포함하는 access-list 작성시 주의 사항 모든 Group object 명 앞에 object-group Parameter와 함께 사용 eg. access-list acl permit tcp object-group remotes object-group locals object-group eng_svc 해당 access-list 에 포함된 Group Object는 반드시 하나이상의 구성원을 포함

방화벽 정책의 생성 및 삭제 with CLI 기존 정책 존재 여부 확인 후 정책 입력 절차 show run 상에서의 access-list 와 show access-list 의 차이 show run : 전체 Config View, access-list 는 Grouping 된 내역 그대로 표시 show access-list : Access-list 만 View, access-list Grouping 된 모든 내역 출력 및 Hit Count 값 출력 Eg 192.168.100.100 이 인터넷의 불특정 다수에 대해 www 서비스 Permit 필요 각 인터페이스 별 적용된 access-list ID 확인 PIX # sh access-group access-group 3 in interface db access-group 100 in interface outside access-group 1000 in interface inside 적용하고자 하는 인터페이스의 access-list 에서 정책 존재 유무 확인 PIX # sh access-list 100 access-list 100; 562 elements --중략-- access-list 100 permit tcp any object-group HTTP_192.168.100.0_net eq www access-list 100 permit tcp any host 192.168.100.21 eq www (hitcnt=1218) access-list 100 permit tcp any object-group HTTP_163.239.5.0_net eq www access-list 100 permit tcp any host 163.239.5.190 eq www (hitcnt=154)

방화벽 정책의 생성 및 삭제 with CLI (계속) ③기 입력된 정책 상에 Object Grouping 이 되어 있을 경우 : object-group에 소속된 구성원 확인 PIX # sh object id HTTP_192.168.100.0_net object-group network HTTP_192.168.100.0_net network-object 192.168.100.21 255.255.255.255 ④ Object-group에 구성원 추가  정책 적용 완료 PIX (config)# object-group network HTTP_192.168.100.0_net PIX (config-network)# network host 192.168.100.100 ⑤기 입력된 정책이 없을 경우 : access-list 는 맨 윗줄에서 아래로 순차적으로 적용됨, 적용순서 검증 필요 CLI상에서는 access-list 의 중간 삽입 불가, PDM에서만 가능함(향후 2.2 버전에서는 지원할 예정임) 적용 예제 PIX (config)# access-list 1000 deny udp 192.168.100.0 255.255.0.0 any eq 6667 PIX (config)# access-list 100 permit tcp host 211.33.112.19 host 192.168.100.1 eq 19981

방화벽 정책의 생성 및 삭제 with CLI(계속) CLI 상에서 기존 access-list 사이에 라인 추가 하기 show access-list 명령을 통해 라인 No 확인 eg. pixfirewall(config)# sh access-list access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024) alert-interval 300 access-list acl; 24 elements access-list acl line 1 permit icmp any any (hitcnt=0) access-list acl line 2 permit tcp object-group remote object-group local object-group telnet_ftp access-list acl line 2 permit tcp host 172.23.56.194 host 192.168.200.5 eq telnet (hitcnt=0) access-list acl line 2 permit tcp host 172.23.56.194 host 192.168.200.5 eq ftp (hitcnt=0) access-list acl line 3 permit tcp any object-group local_web object-group web_svc access-list [acl_id] line 명령으로 1번라인 앞에 ACL 추가 eg. pixfirewall(config)# access-list acl line 1 deny udp any any eq 137 pixfirewall(config)# sh access-list access-list acl; 25 elements access-list acl line 1 deny udp any any eq netbios-ns (hitcnt=0) access-list acl line 2 permit icmp any any (hitcnt=0) access-list acl line 3 permit tcp object-group remote object-group local object-group telnet_ftp access-list acl line 3 permit tcp host 172.23.56.194 host 192.168.200.5 eq telnet (hitcnt=0)

방화벽 정책의 생성 및 삭제 with CLI (계속) PDM 병행사용시 확인해야 할 네트워크 타입의 Object Group은 항상 두개 이다 예제) access-list 100 permit tcp any object-group vshare_permit_ref object-group vshare_permit1 라는 한 access-list에서 vshare_permit_ref 는 동일한 이름에서 _ref 만 빠진 object-group이 있다. 즉 vshare_permit 이라는 Object-Group이 있으며 추가 및 삭제, 확인시 두 Object-Group의 내용이 항시 같도록 확인 및 변경해줘야 한다. 현재버전에서 access-list 중간 삽입 불가 (PIX OS 2.2 에서 지원) 추가된 access-list 는 항상 해당 access-list ID의 맨 마지막줄에 추가됨

방화벽 정책 & Object Group 생성 및 삭제 with PDM Access Rules 추가

방화벽 정책 & Object Group 생성 및 삭제 with PDM(계속) Logging Access Rules 추가 Add Action Source Destination Protocol Source Port Destination Port Object-group Description

방화벽 정책 & Object Group 생성 및 삭제 with PDM(계속) Host or Network 추가

방화벽 정책 & Object Group 생성 및 삭제 with PDM(계속) Object Group (Network or host) 추가

방화벽 정책 & Object Group 생성 및 삭제 with PDM(계속) Object Group (Network or host) access rule 에 적용시 Source or Destination Select

방화벽 정책 & Object Group 생성 및 삭제 with PDM(계속) Object Group (Service) 추가 Access-Rule 에 해당 Service object 적용시 Check

Management Console 접근 설정 변경 with CLI 접근 허용 설정 확인 방법 PIX # sh telnet 192.168.100..100 255.255.255.255 inside 192.168.100..19 255.255.255.255 inside 127.0.0.11 255.255.255.255 eobc 127.0.0.12 255.255.255.255 eobc  System Default 설정으로 MSFC 에서 “sesssion” 을 이용한 연결설정 PIX # sh ssh 211.233.10.128 255.255.255.224 outside PIX # sh http http server enabled  enabled 가 되어 있어야 PDM 접속이 가능 163.239.4.53 255.255.255.255 inside 현재 연결된 Session 확인 PIX # sh ssh session Session ID Client IP Version Encryption State Username 1 211.33.112.53 1.5 DES 6 pix PIX # sh pdm session 0 192.168.100..23 1 211.33.112.53

Management Console 접근 설정 변경 with CLI(계속) SSH 설정 SSH는 모든 Interface에 대해 접근 가능 접근을 시도하는 Host 가 어떤 Interface에 소속되어 있는지 여부에 따라 <if_name> 설정함 ( HTTP,Telnet 동일함) Usage Eg. ssh 211.33.112.20 255.255.255.255 outside Telnet 설정 telnet 은 Outside 를 제외한 모든 Interface 에 대해 접근 가능 Eg. telnet 192.168.100.0 255.255.255.0 inside [no] ssh <local_ip> <mask> <if_name> ssh timeout <number> show ssh sessions [<client_ip>] ssh disconnect <session_id> [no] telnet <local_ip> <mask> <if_name> telnet timeout <number> >

Management Console 접근 설정 변경 with CLI(계속) PDM(HTTPS)설정 PDM은 모든 Interface에 대해 접근 가능 Usage Eg. http 211.33.112.20 255.255.255.255 outside [no] http <local_ip> [<mask>] [<if_name>] [no] http server enable

Management Console 접근 설정 변경 with PDM ssh 설정

Management Console 접근 설정 변경 with PDM(계속) Telnet 설정

Management Console 접근 설정 변경 with PDM(계속)

Logging 설정 (Syslog Message Types) Provides means to view network events and assist with troubleshooting Syslog Message Types 1 2 3 4 5 6 7 Emergencies Alerts Critical Errors Warnings Notifications Informational Debugging System Unusable Messages Take immediate action Critical condition Error messages Warning message Normal but significant condition Informational message Debug and log messages

Logging 설정 with CLI Enable Logging & Log Filter Logging 은 특정 호스트, Buffer, Monitor 등에서 Display 또는 Syslog 형태로 전송 및 저장이 가능하다. Usage Eg. PIX (config)#logging on  Logging Enable PIX (config)#logging trap informational  Logging Level 설정, 보통 Warning PIX (config)#logging host inside 192.168.100.254  Log Server 지정 PIX (config)#no logging message 305005  불필요 Log Filtering [no] logging on [no] logging host [<in_if>] <l_ip> [tcp|udp/port#] [no] logging trap <level> [no] logging message <syslog_id> [no] logging facility <fac> logging queue <queue_size>

Logging 설정 with PDM Logging Host 설정 Enable Logging & Log Filter Syetem Porperties  Logging  Logging Setup 메뉴 선택 Enable Logging 체크 불필요 로그 메시지 ID 등록 Logging Host 설정 Syetem Porperties  Logging  Syslog 메뉴 선택 Logging Host IP 및 Port 등록 Syslog Facility 조정 및 Level 설정1

Configuration Backup [no] tftp-server [if_name] ip_address path CLI 상에서의 Configuration Backup TFPT 서버를 이용한 Network 백업 특정 TFPT 서버를 구축하고, 쓰기권한 지정 PIX CLI 상에서 저장할 대상 TFP 서버를 미리 설정 Usage eg. PIX (config)# tftp-server 10.1.1.42 /PIX /config PIX CLI 상에서write 명령 으로 저장 eg. PIX (config)# write net :PIX _17Sep2003.conf CLI 콘솔 Dump 전용 Emulator(eg. 새롬데이터맨, CRT, Neterm) 의 Logging 기능 설정 show conf 명령을 통해 Console 상에서 Display 되는 Config 를 저 [no] tftp-server [if_name] ip_address path clear tftp-server [[if_name] ip_address path] show tftp-server write net [[server_ip]:[filename]]

Configuration Backup(계속) PDM 상에서의 Configuration Backup 반드시 PIX Flash Memory에 Save 후 수행 TFTP 를 이용한 Backup TFTP 서버 IP 및 저장될 경로 지정

Configuration Backup(계속) TFTP 서버로 저장

Configuration Backup(계속) TXT 파일로 현재 PDM을 browsing 하고 있는 Desktop에 저장

모니터링 및 트러블슈팅 Presentation_ID 52 52 52 © 2003, Cisco Systems, Inc. All rights reserved. 52 52 52

Monitoring and Trouble Shooting PDM 상에서 Null Rule 조정 Connection 정보 확인 Debug 사용하기 Capture 사용하기 System Resource 상태 확인 CLI Console Monitoring 설정

PDM 상에서 Null Rule 조정 PDM 에서 Null Rule 이 발생할 경우 발생원인 외부-->내부(Inside 또는 DMZ)에 관한 Access-list 중 내부 Object 에 대한 Translation 및 Rouing Rule 이 바르지 못한 경우 생성한 Object 가 IP 상으로 볼 때 소속되어야 할 Interface를 잘못 지정하였을 경우 생성한 Group Object 를 PDM에서 편집이 불가능한 경우 (eg. Group 안에 Group을 포함) 해당 ACL이 설정되어야 할 Interface를 잘못 지정하였을 경우

PDM 상에서 Null Rule 조정(계속) 해결 방법 PDM에서 ACL을 작성할 경우 위의 조건들에 부합한지 여부를 생성하는 과정에서 미리 알려 주므로 쉽게 작성할 수 있으나 CLI에서 Object 와 ACL을 미리 작성하고 PDM으로 불러올 경우에는 다수의 null rule이 생성될 수 있다. 따라서 CLI에서 사전에 ACL 및 Object 생성시에는 다음과 같이 해준다   1.nat 또는 static 을 이용하여 내 외부 Translation Rule 설정 또는 확인 2.Inside(dmz)에 소속된 Object  중 내부 라우팅이 필요한 다른 Network Segment에 속할 경우 즉Connect 라우팅에 속하지 않는 Object일 경우 static routing 설정 또는 확인 3.name <ip_address> <name>   - Host 및 Network object 생성   - Network Object 의 경우 Network Address 만 입력하고, Netmask는 아래 pdm location에서 지정

PDM 상에서 Null Rule 조정(계속) 4.pdm location <ip_addr> <netmask> <intf_name>   - Host 및 Network Object 의 소속 Interface 지정 5. pdm group <real_grp_name> <real_if_name>  - Group Object 의 소속 Interface 지정 6. Real(insideInterface 소속 IP Address) Host/Network Group 생성 ①object-group network <real_grp_name> Real Group Object 생성 및 Config 모드 전환 Eg) HTTP_GRP ②network host <real_ip_addr> 해당 그룹에 포함될 Real IP 의 Host/Network Address 추가

PDM 상에서 Null Rule 조정(계속) 7. Reference (Outside Interface 소속 즉 외부에서 인식 가능한 IP Address) Host/Network Group 생성 ①object-group network <ref_grp_name> Rerference Group Object 생성 및 Config 모드 전환 4번에서 생성한 real object-group과 이름을 같이 작성해주는 것이 좋다 eg) HTTP_GRP_ref ②network host <ref_ip_addr> 해당 그룹에 포함될 Reference IP 의 Host/Network Address 추가 8.pdm group <ref_grp_name> <ref_if_name> reference <real_grp_name>  - Group Object 의 Translation Rule 재지정  - 이미 Static 이나 NAT 등에 의해 Translation Rule 이 설정되어 있는 경우라도 PDM에서 인식하기 해서는 추가로 이 Command를 사용해야 한다.  - Group의 Member로 소속되는 각 Hosts 들은 아래 5번에서 설정한 Translation Rule과 동일 해야 한다.

PDM 상에서 Null Rule 조정(계속) 9. Group Object 를 이용한 외부-->내부 ACL 작성시 4번에서 지정한 Reference Group Object Name(ref_grp_name) 으로 ACL 작성 (eg. access-list outside_access_in permit tcp object-group web-grp object-group Local_svr_grp_ref object-group tcp_port_grp)

Connection 정보 확인 sh xlate Command 현재 Translate 된 ip 를 보여주는 명령. 아래 예제는 현재 111.11.1.1 과 111.11.1.6 두개의 아이피가, 실 아이피 그대로 translation 되고 있는것을 보여주고 있습니다. TEST_PIX # sh xlate 2 in use, 528 most used Global 111.11.1.1 Local 111.11.1.1 Global 111.11.1.6 Local 111.11.1.6 clear xlate Command 현재 Translate 되어 사용되고 있는 전체 or 특정 ip 를 재 translate 하고자 할때 , 사용됩니다.( 혹은, 잘못된 Translate 된 ip 가 있을시에도 사용됩니다.) 전체 clear command TEST_PIX # clear xlate 특정 IP clear command TEST_PIX # clear xlate local 111.11.1.1 혹은, TEST_PIX # clear xlate global 111.11.1.1

Connection 정보 확인(계속) sh conn 용도 : 현재 연결된 Connections 에 대한 상세 Status 확인 Usage [show] conn [count]|[protocol <tcp|udp>] [foreign|local <ip1[-ip2]> [netmask <mask>]] [lport|fport <port1[-port2>] [state <up[,finin] [,finout] [,http_get] [,smtp_data] [,data_in][,data_out][,...]>]

Connection 정보 확인(계속) sh conn(계속) detail 옵션에서의 각 Flag 정보 Flag Description a awaiting outside ACK to SYN I inbound data A awaiting inside ACK to SYN k Skinny Client Control Protocol (SCCP) media connection B initial SYN from outside m SIP media connection C Computer Telephony Interface Quick Buffer Encoding (CTIQBE) media connection M SMTP data d dump O outbound data D DNS p replicated (unused) E outside back connection P inside back connection f inside FIN q SQL*Net data F outside FIN r inside acknowledged FIN g Media Gateway Control Protocol(MGCP) connection R outside acknowledged FIN for TCP connection G connection is part of a group. (eg. FTP의 Back connection 인 Data Connection 등) s awaiting outside SYN h H.225 S awaiting inside SYN H H.323 t SIP transient connection, For UDP connections, it will timeout after one minute. i incomplete TCP or UDP connection U up

Connection 정보 확인(계속) sh conn Command 현재 Connetion Table 의 모든 상태 Display 아래 예제는 현재 111.11.1.1 을 가진 IP 가 외부 222.222.222.222 로 80 port connection d이 맺어져 있는 상태임 PIX # sh conn local 222.222.222.222-222.222.222.254 1 in use Network Processor 1 connections Network Processor 2 connections TCP out 222.222.222.222:80 in 111.11.1.1:2746 idle 0:00:00 Bytes 9872 만약, 내부나 혹은 외부에서 Worm Traffic 이 있을 경우 sh conn 명령시 특정ip 에서 특정 네트워크 대역에 대해 특정 웜관련 포트로 트래픽이 발생하고 있는 것을 볼 수 있음, 아래와 같이 조치 ① Access-list 를 이용한 차단 정책 적용 ② Clear conn 및 clear xlate 로 해당 Connection 정보 삭제 sh conn count Command 현재 Connetion 수 disply PIX # sh conn cou

Debug 사용하기 debug 용도 : PIX 파이월에 의해 Control 되는 프로토콜에 대한 동작 상태 추적 및 상세한 상태 정보 확인 Syntax : 상세 Syntax 는 Command Reference 참조 주요 사용 예제 해당하는 Interface에 도달 하는 packet 분석 초기 Network Connectivity 확인을 위한 ICMP Tracing 해당 Access-list 에 의한 packet 처리 Tracing debug packet if_name [src source_ip [netmask mask]] [dst dest_ip [netmask mask]] [[proto icmp] | [proto tcp [sport src_port] [dport dest_port]] | [proto udp [sport src_port] [dport dest_port]] [rx | tx | both] debug icmp trace debug access-list all | standard | turbo

Capture 사용하기 capture 용도 : Trouble Shooting 시 다양한 필터에 따른 Low Data Caputure Syntax : 각필터 조건 동시 사용 가능 각 필터 요약 fw-external# capture ? Usage: capture <capture-name> [access-list <acl-name>] [buffer <buf-size>] [ethernet-type <type>] [interface <if-name>] [packet-length <bytes>] [circular-buffer] clear capture <capture-name> no capture <capture-name> [access-list [<acl_name>]] [circular-buffer] [interface <if-name>] show capture [<capture-name> [access-list <acl-name>] [count <number>] [detail] [dump]] 필 터 명 설 명 access-list 해당 acl 에 매치되는 패킷만 캡쳐 interface 해당 인터페이스로 유입되는 모든 트래픽 Capture buffer 해당 사이즈의 버퍼에 들어오는 패킷만 캡쳐 packet-length 입력된 값이 상한선임, 입력된 사이즈 이하의 사이즈에 해당하는 패킷 캡쳐 ethernet-type 해당 Protocol No 에 해당되는 패킷만 캡쳐 circular-buffer 캡쳐한 패킷을 저장할 수 있는 버퍼 사이즈 지정(overwrite 됨)

System Resource 상태 확인 sh cpu usage Command 현재 PIX 의 cpu 상태를 확인 Drop Packet 이나, or Connetion 이 많은경우 Cpu 리소스가 고갈되는 현상이 발생 가능 PIX # sh cpu usa CPU utilization for 5 seconds = 0%; 1 minute: 1%; 5 minutes: 1% 조치 방법 : Connection 정보 확인 후 access-list 를 이용한 차단 sh memory Command 현재 PIX 의 Memory 상태를 확인\ PIX # sh memory 1073741824 bytes total, 853458940 bytes free sh local-host Command 현재 내부 특정 IP 에서의 xlate 정보및 Connection 정보를 확인 가능

CLI Console Monitoring 설정 Syslog 를 이용한 Trouble Shooting Syslog 서버를 이용하여 , 아래와 같이 PIX Security Policy 에 의해 Deny 되는 Log 나 , 혹은 시스템 관련 로그 등을 볼 수 있습니다. 로그분석은Trouble Shooting 시 가장 용이하게 사용될 수 있습니다. 아래 로그 메시지는 PIX Security Policy 에 의해 Deny 되는 로그입니다. Mar 19 00:27:15 211.211.111.111 Mar 19 2004 01:05:30: %PIX-4-106023: Deny tcp src outside:69.158.65.124/3787 dst inside:111.111.11.1/445 by access-group "acl_out“ Telnet Console 또는 SSH Console상에서 Syslog 보기 Logging Monitor Command 와 Terminal Monitor Command 조합으로 로그 서버 없이 실시간 로그 확인 가능 Usage Eg PIX (config)logging monitor debug PIX (config)terminal monitor [no] logging monitor <level> terminal [width <columns> | no monitor]