제 10장 Access-List.

Slides:



Advertisements
Similar presentations
정보 보안 개론과 실습 네트워크 해킹과 보안 3부 해킹 전 정보 획득 Chapter 10. 목록화.
Advertisements

재료수치해석 HW # 박재혁.
Part TCP / IP(계속) 3. IP 주소 4. IP 라우팅 5. 응용 프로토콜.
2장. TCP/IP, 서브넷팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
16장 X.25 패킷 교환망 16.1 X.25 계층 구조 16.2 패킷 계층 프로토콜 16.3 요약.
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
Access List 강사 김성훈.
NAT – Network Address Translation
VPC (Virtual Port channel)
Chapter 2. IP Address IP Address의 구성에 대한 자세한 설명과 함께 IP Address를 효율적으로 관리하기 위한 방법인 서브넷팅, 수퍼넷팅, VLSM 등에 대해서 단계별로 접근할 수 있다. 몇가지 예제를 통해서 서브넷팅에 대한 개념을 정리하고.
제 7장 정적 라우팅 프로토콜.
24 장 TCP/IP 24.1 개요 24.2 네트워크층 24.3 주소 지정 24.4 서브넷팅틍
18장. 방화벽 컴퓨터를 만들자.
Windows Server 장. 사고를 대비한 데이터 백업.
VoIP (Voice Over Internet Protocol)
테이블 : 데이터베이스를 구성하는 요소로 같은 성격에 정보의 집합체. 레코드 : 하나의 정보를 가지고 있는 컬럼의 집합체
9장 데이터 링크층 개요 (Introduction To Data-Link Layer)
Chapter 13 Wired LANs: Ethernet.
제 14장 Multicast & Broadcast
Access Control Lists Access Control List
Chapter 21 Network Layer: ARP, ICMP (IGMP).
11장. 포인터 01_ 포인터의 기본 02_ 포인터와 Const.
Chapter 13 사용자 네트워크 보안.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
10 장 데이터 링크 제어(Data Link Control)
4. LAN의 배선체계 (3장. LAN: Local Area Network)
FTP 프로그램의 활용 FTP 프로그램의 용도 인터넷 공간에 홈페이지 파일을 업로드할 때 필요
Chapter 19 솔라리스 네트워크 관리 Solaris1 . TCP/IP 개요
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
WOL(Wake-On Lan) 컴퓨터공학과 4학년 박기웅.
2장. TCP/IP, 서브넷팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
시스템 인터페이스 Lab3 Unix 사용법 실습.
Network Security WireShark를 활용한 프로토콜 분석 I.
Day-04(mon_9.6) Host_PC Router NAT NIC Switch ISP NAT Host Only
2장. 인터넷의 개념과 주소.
뇌를 자극하는 Windows Server 2012 R2
2장. TCP/IP, 서브넷팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Part 라우터 1. 라우터 장비의 이해 2. 라우터 네트워크 환경 설정 3. 라우팅 테이블 설정과 점검.
제 15 장 BOOTP와 DHCP BOOTP 15.2 동적 호스트 설정 프로토콜.
ACL(Access Control List)
뇌를 자극하는 Windows Server 장. 원격 접속 서버.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
네트워크 프로토콜.
TCP/IP 인터네트워킹 INTERNETWORKING with TCP/IP <vol
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
Network 네트워크 이론 및 실습 TCP / IP 4장.
20 장 네트워킹과 인터네트워킹 장치 20.1 리피터(Repeaters) 20.2 브리지(Bridges)
10 장 데이터 링크 제어(Data Link Control)
10 장 데이터 링크 제어(Data Link Control)
Packet sniffing 응용 레벨이 아닌 네트워크 디바이스 레벨에서의 데이타을 얻는 것 네트워크 상의 트래픽을 분석
01. 라우팅 및 원격 액세스의 개요 라우팅은 패킷을 송신지부터 수신지까지 어떠한 경로를 통해 보낼 것인지를 결정하는 방법
Chapter 26 IP over ATM.
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
Teaming pms.
01. DHCP의 개념 조직의 네트워크에 연결되어 있는 워크스테이션의 TCP/IP 설정을 자동화하기 위한 표준 프로토콜
01. 개요 네트워크에 있는 컴퓨터와 그룹에 대한 NetBIOS 이름에 대응되는 IP 주소를 찾아주는 서비스
Ping Test.
Addressing the Network – IPv4
Chapter 27 Mobile IP.
라우터의 이해 (보충자료) TCP/IP구성 Ping명령어를 이용한 연결검사 비트와 바이트 10진수/2진수/16진수
통신프로토콜 전산정보학부 모바일인터넷과 권 춘 우
제 13 장 인터넷 그룹 관리 프로토콜 정보통신연구실.
01. 분산 파일 시스템의 개요 네트워크에 분산된 파일을 사용자가 쉽게 접근하고 관리할 수 있게 해준다.
제 6 장 IP 패킷 전달과 라우팅 6.1 연결형 서비스와 비연결형 서비스 6.2 직접 전달과 간접 전달 6.3 라우팅 방법
Part 05 TCP/IP 1. 네트워크 2. 포트번호.
4. IP 데이터그램과 라우팅 (6장. 인터넷과 IP) IP 데이터그램 : 특정 물리망에 종속되지 않은 가상의 패킷 형식.
 6장. SQL 쿼리.
버스와 메모리 전송 버스 시스템 레지스터와 레지스터들 사이의 정보 전송을 위한 경로
6 객체.
ARP.
Presentation transcript:

제 10장 Access-List

1 2 3 4 5 6 Contents Access-list Wildcard Mask 표준 액세스 리스트 확장 액세스 리스트 VTY 접속 관리 6 Named 액세스 리스트

1 액세스 리스트(Access-List) 1) 액세스 리스트의 개념 과거에는 시스코 라우터에서 보안 설정 용도로 사용였으나 지금은 다양한 방법을 이용하여 네트워크 필터링을 할 때 많이 사용하고 있음 2) 액세스 리스트의 구분 액세스 리스트는 제어하려는 트래픽의 종류( 인터페이스 모든 정보 , Routing 경로정보)에 따라 다음과 같이 구분한다. Access Group Access Group은 인터페이스를 경유하는 모든 패킷을 제어할 수 있어, 인터페이스 관련 트래픽에 적용한다. 그러나 모든 패킷을 점검하여 불필요한 트래픽을 차단할 수 있다는 장점이 있지만 라우터의 성능이 저하될 수 있다는 단점도 있으므로 너무 많은 액세스리스트의 사용은 자제해야 한다. Distribute List Distribute List는 라우터 간에 교환되는 경로정보를 제어할 수 있으므로, 주로 라우팅 프로토콜 관련 트래픽에 적용한다. Access-Class 가상터미널에 적용한다.

1 액세스 리스트(Access-List) 3) 액세스 리스트의 종류 3) 액세스 리스트의 종류 (1) 표준 액세스 리스트 (Standard Access List) 표준 액세스 리스트는 프로토콜 전체를 허용(Permit)하거나 거부(Deny)할 수 있으며, 발신지의 IP 주소로 패킷을 필터링한다. 출력 패킷 S0 S1 입력 패킷 액세스 리스트 조건 비교 IP 주소분석 (발신지) Router

1 액세스 리스트(Access-List) 3) 액세스 리스트의 종류 3) 액세스 리스트의 종류 (2) 확장 액세스 리스트 (Extended Access List) 확장 액세스 리스트는 발신지 IP주소와 목적지 IP주소로 패킷을 필터링하며, IP 헤더의 프로토콜 번호와 세그먼트 헤더의 포트 번호를 확인하여 패킷을 필터링한다. 출력 패킷 S0 S1 입력 패킷 액세스 리스트 조건 비교 IP 주소분석 (발신지,목적지) Router

1 액세스 리스트(Access-List) 액세스 리스트의 패킷 필터링 원리 아래 그림은 액세스 리스트에서 패킷을 필터링하는데 사용되는 기준 정보를 보여주고 있다. 표준 액세스 리스트는 IP 패킷 헤더에 있는 목적지 주소를 이용하며, 확장 액세스 리스트는 목적지 주소외에도 발신지 주소와 프로토콜 번호, 그리고 TCP 세그먼트 헤더에 있는 포트번호를 이용하여 데이터를 필터링한다 목적지 주소 발신지 주소 프로토콜 번호 포트 번호 Segment (for example, TCP header) Data Packet (IP header) Frame Header (for example, HDLC) Use access list statements 1-99 or 100-199 to test the packet 거부 허용

1 액세스 리스트(Access-List) 4) 액세스 리스트의 처리 절차 <라우터에 Access Group 이 등록되어 있는 경우 패킷의 처리 절차> N Y #5액세스 리스트 #6조건비교? 소실된 패킷 #8 패킷 출력 #7 S0 패킷 E0 #1 패킷 입력 #2라우팅 테이블 등록여부? #3인터페이스 선택 #4액세스 그룹 등록여부 ? #9

<다중 액세스 리스트의 처리 절차> 1 액세스 리스트(Access-List) 5) 다중 액세스 리스트의 처리 절차 여러 개의 액세스 리스트가 등록되었을 경우에는 라우터에 액세스 리스트를 등록한 순서대로 조건을 비교하여 전달된 패킷을 처리합니다. 액세스 그룹이 등록되어 있는 인터페이스에서 온 패킷 Y 목적지 인터페이스 거부 첫번째 비교 ? 허용 N 두번째 비교? 세번째 비교 ? 만약 조건을 만족하지 않는다면 모두 거부 Y : 비교에서 거부조건에 등록된 패킷을 찾아내어 거부 Y : 비교에서 허용조건에 등록된 패킷을 찾아내어 허용 N : 비교대상에 없다면 다음 등록조건과 비교하고 끝까지 없다면 소실 소실된 패킷 <다중 액세스 리스트의 처리 절차>

Router(config)#access-list 1 deny any   6) 액세스 리스트의 규칙 규칙 1 순차적으로 액세스 리스트의 조건을 비교한다 첫 번째 문장에서부터 시작하여 조건이 맞으면 다음 문장을 실행하지 않고 바로 첫 번째 문장을 실행한다. 그러나 조건이 맞지 않으면 두 번째를 실행한다. 규칙 2 설정한 작업이 서로 일치할 때까지 계속 실행한다. 만약 일치하면 그 해당 작업을 실행하고 나머지 부분은 더 이상 작업을 진행하지 않는다. (예: 조건문) 거부로 설정하면 IP주소와 상관없이 모두 거부하므로 반드시 나머지 IP 주소에 대해서는 허용하도록 명령을 지정해야 한다. 예를 들어 아래와 같이 액세스 리스트를 설정했다고 했을 때 항상 허용(Permit)을 해야 한다. Router(config)#access-list 1 deny 172.16.10.0 0.0.0.255 Router(config)#access-list 1 permit any 규칙 3 액세스 리스트는 디폴트 값이 항상 거부(Deny)로 설정되어 있기 때문에 설정시 주의해야 한다. Router(config)#access-list 1 deny any

와일드 카드 마스크(Wildcard Mask) 2 와일드 카드 마스크(Wildcard Mask) 1) 와일드 카드 마스크의 개념 액세스 리스트에서는 송신자 주소를 확인하여 필터링 할 때 와일드카드 마스크라는 것을 이용 서브넷 마스크 (Subnet Mask) 255.255.255.0 11111111. 11111111. 11111111. 0000000011 Network Address 172.16.10.0 11000000. 00010000. 00001010. 00000000 와일드 카드 마스크 (Wildcard Mask) 0.0.0.255 0000000. 00000000. 00000000 11111111 - 서브넷 마스크를 255.255.255.0으로 지정하면 172.16.10.0 ~ 172.16.10.255 사이의 IP주소를 모두 동일한 네트워크로 인정한다. - 와일드 카드 마스크를 0.0.0.255로 지정하면 172.16.10.0 ~ 172.16.10.255 사이의 IP 주소를 액세스 리스트로 제어할 수 있다. 그리고 위의 네트워크 사이에 있는 호스트들에게 데이터의 전송을 허용하거나, 거부할 수 있다.

와일드 카드 마스크(Wildcard Mask) 2 와일드 카드 마스크(Wildcard Mask) 2) 와일드 카드 마스크의 원리 = 1 128 64 32 16 8 4 2 호스트 주소와 반드시 일치해야 함. 주소에서 마지막 6 비트를 무시한 범위 주소에서 마지막 4 비트를 무시한 범위 마지막 2비트를 주소와 체크 주소 체크 안함 네트워크 주소와의 의미 - 0 의미 : 반드시 일치해야 하는 비트 - 1 의미 : 일치하지 않아도 되는 비트

와일드 카드 마스크(Wildcard Mask) 2 와일드 카드 마스크(Wildcard Mask) 2) 와일드 카드 마스크의 원리 만약 액세스 리스트에서 IP주소와 와일드 카드 마스크가 다음과 같이 지정되었다면 액세스 리스트의 제어 범위는 어디까지 일까요? 1 Wildcard mask: 0 0 0 0 1 1 1 1 |--------- match ------>|<------ don’t care ----->| 0 0 0 1 0 0 0 0 = 16 0 0 0 1 0 0 0 1 = 17 0 0 0 1 0 0 1 0 = 18 : : 0 0 0 1 1 1 1 1 = 31 172.10.16.0 Access list : 172.10.16.0 0.0.15.255 15 와일드 카드 마스크 범위지정 범위 결과값은 172.10.16.0/24 ~ 172.10.31.0/24이다.

와일드 카드 마스크(Wildcard Mask) 2 와일드 카드 마스크(Wildcard Mask) 3) 와일드 카드 마스크 표기 방식 (1) 특정 IP호스트와 매칭하기 와일드 카드 마스크의 32개 비트가 전부 0이라면 조건으로 지정한 주소와 반드시 일치해야 된다는 것을 의미하며, 이는 특정 호스트를 제어하기 위해 사용된다. 이와 같이 특정 호스트를 제어하고자 하는 경우, 와일드 카드 마스크를 다음과 같이 2가지 방식으로 표기할 수 있다. 172.16.10.10 0.0.0.0 또는 host 172.16.10.10 172 . 16 . 10 . 10 와일드 카드 마스크 0. 0. 0. 0 (호스트 주소와 반드시 일치) host 호스트 172.16.10.10으로부터 들어오는 패킷은 모두 거부하겠다는 내용이며, 액세스 리스트에서 Host 명령어는 디폴트로 설정되어 있다. 즉 아래와 같이 Host 명령어를 빼고 표현할 수도 있다. Router(config)#access-list 1 deny 172.16.10.10

와일드 카드 마스크(Wildcard Mask) 2 와일드 카드 마스크(Wildcard Mask) 3) 와일드 카드 마스크 표기 방식 (2) 모든 IP주소와 매칭하기 와일드 카드 마스크의 32개 비트가 전부 1이라면 조건으로 지정한 주소와 관계없이 어떤 주소도 된다는 것을 의미하며, 이는 모든 호스트 컴퓨터를 제어하기 위해 사용된다. 이와 같이 모든 호스트를 제어하고자 하는 경우, 와일드 카드 마스크를 다음과 같이 2가지 방식으로 표기할 수 있다. 172.16.10.10 225.255.255.255 또는 any 172.16.10.10 Wildcard mask: 255. 255. 255. 255 (모든 Host를 지정한다는 의미) 여기서 172.16.10.10 이라는 주소는 아무 의미가 없으므로, 주로 0.0.0.0을 많이 사용한다. 액세스 리스트에서 any라고 표현된 경우는 와일드 카드 마스크가 0.0.0.0 255.255.255.255 이다.

3 표준 액세스 리스트 명령어 형식 Router(config)#Access-list ① {access-list-number} 1) 표준 액세스 리스트 명령어 형식 (1) 액세스 리스트 정의하기 Router(config)#Access-list ① {access-list-number} ② {permit | deny } ③{ source-address } ④{ wildcard-mask} ① Access-list-number: 시스코 라우터가 표준 IP 액세스 리스트인지 확장 IP 액세스 리스트인지를 구분할 수 있게 하기 위해서 사용되는 액세스 리스트 번호이며, 표준 IP 액세스 리스트에서 사용되는 번호 1~99까지 이다. ② permit | deny: 액세스 리스트를 선언한 후 허용할 것인지 또는 차단할 것인지 지정하는 것이다. ③ Source-address: 출발지 IP 주소를 지정하는 것이다. ④[ wildcard-mask ] 출발지 IP 주소의 와일드 카드마스크를 지정하는 곳이다. 즉, 어디까지 허용할 것인지 또는 차단을 할 것인지 지정을 해 주어야 한다.

3 표준 액세스 리스트 명령어 형식 1) 표준 액세스 리스트 명령어 형식 (2) 표준 액세스 리스트 제거하기 표준 액세스 리스트를 제거하기 위해서는 no 명령어를 사용한다. Router(config)# no Access-list {access-list-number} 설정했던 표준 IP 액세스 리스트를 삭제하기 위해서는 “no”라는 명령어를 사용하여 삭제를 할 수가 있으며, 반드시 삭제하고 하는 표준 IP 액세스 리스트 번호를 지정을 해주어야 한다. (3) 액세스 그룹 설정하기 표준 액세스 리스트를 설정한 후 액세스 그룹을 설정하지 않으면, 아무 필요가 없게 된다. 액세스 그룹은 어느 인터페이스로 들어오는 패킷을 차단을 할 것인지 지정하는 것이다. Router(config-if)# IP access-group {access-list-number} { in | out } Access-list-number: 액세스 리스트 번호는 표준 IP 액세스 리스트에서 사용한 번호를 지정을 해야 합니다. 만약 다른 번호를 지정을 하게 되면 아무 필요가 없게 된다. in | out: 해당 인터페이스로 들어오는 패킷을 허용할 것인지 또는 차단을 할 것인지를 선택하는 것이다.

3 표준 액세스 리스트 명령어 형식 2) 표준 액세스 리스트 사용 예제 (1) 172.16.10.0의 모든 네트워크들은 E0과 E1로 접근하는 것을 차단하고자 하는 설정 Non- 172.16.10.0 172.16.4.0 172.16.3.0 S0 E0 E1 ① Router(config)#access-list 1deny 172.16.10.0 0.0.0.255 ② Router(config)#access-list 1 permit any ③ Router(config)#interface ethernet 0 ④ Router(config-if)#ip access-group 1 out ⑤ Router(config-if)#interface ethernet 1 ⑥ Router(config-if)#ip access-group 1 out

3 표준 액세스 리스트 명령어 형식 2) 표준 액세스 리스트 사용 예제 (2) 특정한 호스트만 E0 인터페이스로 전송되는 패킷을 차단하고, 나머지 인터페이스는 모두 허용 하고자 하는 설정 Non- 172.16.10.0 172.16.4.0 172.16.3.0 S0 E0 E1 172.16.4.13 ① Router(config)#access-list 1deny 172.16.4.13 0.0.0.0 ② Router(config)#access-list 1 permit any ③ Router(config)#interface ethernet 0 ④ Router(config-if)#ip access-group 1 out

3 표준 액세스 리스트 명령어 형식 2) 표준 액세스 리스트 사용 예제 (3) 172.16.4.0 네트워크는 E0 인터페이스로 나가는 패킷을 차단하고, 나머지 인터페이스로는 허용 하는 설정 Non- 172.16.10.0 172.16.4.0 172.16.3.0 S0 E0 E1 172.16.4.13 ① Router(config)#access-list 1deny 172.16.4.0 0.0.0.255 ② Router(config)#access-list 1 permit any ③ Router(config)#interface ethernet 0 ④ Router(config-if)#ip access-group 1 out

4 확장 액세스 리스트 1) 확장 액세스 리스트의 개념 - 발신지 IP주소와, 수신지 IP주소, 프로토콜, 포트 번호로 트래픽에 대한 네트워크 필터링 가능 100~199까지 숫자 사용 표준 IP 액세스 리스트보다는 조금 복잡하지만 다양한 방법으로 설정 명령어 형식 Router(config)#access-list ①{ access-list-number } ②{ permit | deny } ③{ protocol } ④{ source-address } ⑤{ source-mask } ⑥{ destination-address } ⑦{ destination-mask } ⑧{ protocol-options }

4 확장 액세스 리스트 1) 확장 액세스 리스트의 개념 ① Access-list-number: 시스코 라우터가 표준 IP 액세스 리스트인지 확장 IP 액세스 리스트인지를 구분할 수 있게 하기 위해서 사용되는 액세스 리스트 번호이며, 확장 IP 액세스 리스트에서 사용되는 번호 100~199까지 이다. ② permit | deny: 액세스 리스트를 선언한 후 허용할 것인지 또는 차단할 것인지 지정하는 것이다. ③ Protocol: 확장 IP 액세스 리스트는 부분별로 액세스 리스트를 설정할 수가 있다. 예를 들어, Telnet은 TCP 포트를 사용하며, Ping은 ICMP 프로토콜을 사용한다. 즉, 확장 IP 액세스 리스트 명령어를 사용하여 차단하고자 하는 프로토콜을 선언하는 것이다. ④ source-address : 소스 IP 주소는 발신지 IP 주소라는 의미이다. 즉, 어디서 부터 시작을 할 것인지 지정하는 것이다. ⑤ source-mask : 소스 IP 주소의 네트워크 부분과 호스트 부분을 지정하기 위해 사용되는 와일드 카드 마스크 이다. ⑥ destination-address : 목적지 IP 주소를 의미한 것이다. ⑦ destination-mask : 목적지 IP 주소의 네트워크 부분과 호스트 부분을 구분하기 위해서 사용되는 와일드 카드 마스크이다. ⑧ protocol-options : 프로토콜 포트번호를 사용하거나 또는 어플리케이션을 사용하는 것이다. - Gt (greater than) : ~보다 크다 - Lt (less than): ~보다 작다 - Eq (equal) : ~와 같다 - Neq (not equal):, ~와 같지않다

4 확장 액세스 리스트 2) 확장 액세스 리스트의 사용 예제 (1) 172.16.4.0 네트워크에서 172.16.3.0으로 FTP를 접근하는 것을 차단하기 위한 설정 172.16.4.13 Non- 172.16.10.0 172.16.4.0 172.16.3.0 S0 E0 E1 ① Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 ② Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 ③ Router(config)#access-list 101 permit ip any any ④ Router(config)#interface ethernet 0 ⑤ Router(config-if)#ip access-group 101 out

4 확장 액세스 리스트 2) 확장 액세스 리스트의 사용 예제 (2) 172.16.4.0 네트워크에서 172.16.3.0으로 Telnet을 사용하여 접근하는 것을 차단하기 위한 설정 172.16.4.13 172.16.10.0 172.16.4.0 172.16.3.0 S0 E0 E1 ① Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23 ② Router(config)#access-list 101 permit ip any any ③ Router(config)#interface ethernet 0 ④ Router(config-if)#ip access-group 101 out

4 확장 액세스 리스트 2) 확장 액세스 리스트의 사용 예제 (3) 연구팀에서 Data Server로 FTP와 Telnet 접속을 불가능하게 하는 설정 Router#config terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 deny tcp any 172.16.30.0 0.0.0.255 eq 20 Router(config)#access-list 101 deny tcp any 172.16.30.0 0.0.0.255 eq 21 Router(config)#access-list 101 deny tcp any 172.16.30.0 0.0.0.255 eq 23 Router(config)#access-list 101 permit ip any any Router(config)#int e0 Router(config-if)#ip access-group 101 in Internet 172.16.10.0/24 172.16.30.10 E0 S1 S0 E1 연구팀 인사팀 Data Server

5 VTY(telnet) 접속관리 1) VTY [Telnet]접속관리 명령어 형식 VTY (virtual terminal line ) A B 명령어 형식 Router(config)#line vty {vty # | vty-range } Router(config-line)#access-class { number } { in | out } vty # :특정한 가상터미널 번호를 선언하여, 외부 사용자가 Telnet 명령어를 사용하여 접근하는 것을 차단하거나 허용하기 위한 것이다. 예를 들어, VTY 1번 회선으로 들어오는 사용자를 차단하고 싶을 경우 line vty 1 이와 같이 설정을 할 수가 있다. vty-range : 가상터미널의 범위를 지정하는 것이다. 시스코 IOS에 따라 가상터미널 범위가 다르다. 예를 들어, 가상터미널 0~2까지 접속을 차단하고 싶을 경우, line vty 0 2 이와 같이 설정을 할 수가 있다. number : Access-class 명령어를 사용하기 위해서는 액세스 리스트 번호를 선언해야 한다. 액세스 리스트 번호는 표준 IP 액세스 리스트 번호인 1~99까지 사용을 할 수가 있다. in | out 들어오는 패킷을 차단할 것인지 허용할 것인지 또는 나가는 패킷을 차단할 것인지 허용할 것인지 선택한다.

5 VTY(telnet) 접속관리 2) VTY 설정방법 예 172.16.10.10/24 VTY (virtual terminal line ) A B 172.16.20.10/24 172.16.10.0/24 172.16.20.0/24 ① RouterB(config)#access-list 1 permit 172.16.10.10 0.0.0.0 ② RouterB(config)#line vty 0 4 ③ RouterB(config-line)#access-class 1 in

6 이름(Named) 액세스 리스트 1) 이름(named) 액세스 리스트의 개념 액세스 리스트를 식별하기 위해 번호를 사용하지 않고 알기 쉬운 문자열을 사용하는 액세스 리스트를 의미 표준과 확장 액세스 리스트를 지원 - 액세스 리스트에 정의된 임의의 문장을 삭제 이름 액세스 리스트를 만드는 명령어 형식 Router(config)#ip access-list {standard | extended} name Router(config {std- |ext-}nacl)#{permit | deny} {test conditions} Router(config {std-|ext-}nacl)#no {permit | deny} {test conditions}

6 이름(Named) 액세스 리스트 2) 이름(named) 액세스 리스트의 예제 172.30.3.0 망에서 Telnet으로 172.20.2.0 망을 액세스하지 못하도록 하는 예제 Router(config)#ip access-list extended test Router(config ext-nacl)#deny tcp 172.30.1.0 0.0.0.255 172.30.2.0 0.0.0.255 eq 80 Router(config ext-nacl)#deny tcp 172.30.3.0 0.0.0.255 172.30.2.0 0.0.0.255 eq 23 Router(config ext-nacl)#no deny tcp 172.30.1.0 0.0.0.255 172.30.2.0 0.0.0.255 eq 80 Router(config ext-nacl)#permit ip any any Router(config ext-nacl)#exit Router(config)#int s0 Router(config-if)#ip access-group test in 위의 명령어 형식과 예제의 프롬프트가 다른데, 표준일 때 프롬프트는 std-nacl로, 확장일 경우 프롬프트는 ext-nacl 로 표시된다. 또한 예제의 내용을 보면 잘못 정의한 액세스 리스트는 쉽게 제거가 가능하다는 것도 알 수 있다. 이름 액세스 리스트를 인터페이스에 적용하는 방법도 기존 방법과 동일하며 액세스 리스트 번호가 아닌 이름으로서 적용이 가능하다.

7 액세스 리스트 확인 명령어 1) Show access-list 설정된 액세스 리스트의 모든 정보를 확인하고자 할 때 사용하며, 어떤 인터페이스에 적용이 되어 있는지도 확인 할 수 있는 명령어 Router#show access-list Extended IP access list 101 deny tcp host 172.16.10.10 any eq www (8 matches) permit tcp any any Extended IP access list 110 deny tcp any host 172.16.10.5 eq ftp deny tcp any host 172.16.10.5 eq telnet permit ip any any Router# 확장 액세스 리스트라는 것을 확인할 수 있으며, 또한 각각의 액세스 리스트 번호에 설정되어 있는 보안정책들을 모두 출력하여 보여준다.

7 액세스 리스트 확인 명령어 2) show access-list 110 설정된 액세스 리스트 중 액세스 리스트 번호 110번에 적용된 보안정책을 보여주는 메시지를 확인하고자 할 때 사용하는 명령어 Router#show access-list 110 Extended IP access list 110 deny tcp any host 172.16.10.5 eq ftp deny tcp any host 172.16.10.5 eq telnet permit ip any any Router# 3) show ip access-list 라우터에 설정된 IP 액세스 리스트 설정에 대한 전체적인 보안정책을 모두 확인할 수 있는 명령어 Router#sh ip access-list Extended IP access list 101 deny tcp host 172.16.10.10 any eq www (8 matches) permit tcp any any Extended IP access list 110 deny tcp any host 172.16.10.5 eq ftp deny tcp any host 172.16.10.5 eq telnet permit ip any any Router#

7 액세스 리스트 확인 명령어 4) show ip interface 이더넷 인터페이스에 어떠한 액세스 리스트가 설정되어 있는지 확인할 수 있는 명령어 Router#show ip interface Ethernet0 is up, line protocol is up Internet address is 172.16.10.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is 110 Inbound access list is 101 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector [생략]

7 액세스 리스트 확인 명령어 5) Show running-config 액세스 리스트가 어떻게 설정되어 있는지 확인할 수 있으며, 또한 어떤 인터페이스에 어떻게 적용이 되어 있는지 확인할 수 있다 Router#show running-config Building configuration... Current configuration: [생략] interface Ethernet0 ip address 172.16.10.1 255.255.255.0 ip access-group 101 in ip access-group 110 out no ip directed-broadcast [생 략] ip http server ip classless ! access-list 101 deny tcp host 172.16.10.10 any eq www access-list 101 permit tcp any any access-list 110 deny tcp any host 172.16.10.5 eq ftp access-list 110 deny tcp any host 172.16.10.5 eq telnet access-list 110 permit ip any any