Access List 강사 김성훈

Access Lists and Their Applications Access Lists의 사용 목적을 알고 사용 가능한 Application들을 안다. inbound 및 outbound에 Standard 또는 extended access lists를 적용할 수 있다.

Why Use Access Lists? 172.16.0.0 Internet 172.17.0.0 * Introducing Access Lists Why Use Access Lists? 172.16.0.0 172.17.0.0 Internet Administrator’s Console Packet Filtering을 통해 네트워크의 트래픽을 제한하거나, 특정 사용자나 장치에 의해 사용되는 네트워크 자원을 제한할 수 있다. Access List는 일반적으로 라우터의 특정 인터페이스를 통과하는 패킷을 허용하거나 제한할 수 있다. 사용자가 라우터에 Telnet 접근하는 것을 허용하거나 제한할 수 있고, 라우터로부터 다른 장치나 호스트에 Telnet 접근하는 것을 허용하거나 제한할 수도 있다. Access List는 라우터를 통과하는 트래픽을 제한할 수 있지만 라우터에서 만들어지는 트래픽에 대해서는 제한이 불가능하다.

Access List Applications Transmission of packets on an interface Virtual terminal line access (IP) 라우터를 통과하는 패킷을 Permit하거나 Deny 할 수 있다. 외부에서 라우터로 또는 라우터에서 외부로 vty access 하는 것을 Permit하거나, Deny할 수 있다. Access Lists 설정이 없다면, 모든 패킷은 전체 네트워크로 전달 될 수 있다.

Other Access Lists Uses Priority and custom queuing Router를 통과하는 트래픽의 종류에 따라 별도의 Priority를 주어 각각의 트래픽처리 속도를 다르게 할 수 있다. Queue List ISDN, Dial-Up환경에서는 사용량에 따라서 요금이 다르게 적용되는데, Access List와 같이 연동해서 사용자가 필요한 데이터만 ISDN, Dial-Up을 사용할 수 있도록 하여 요금이 적게 나오도록 할 수 있다. Dial-On-Demand Routing 라우터는 라우팅 프로토콜을 통해서 라우팅 테이블을 만들게 되는데, 이 때 필요한 라우팅 정보만을 주고 받을 수 있도록 제한할 수 있다. Route Filtering Routing Table

Types of Access Lists Access List Processes E0 S0 * Type of Access Lists Types of Access Lists Outgoing Packet E0 S0 Incoming Access List Processes Permit? Source and Destination Protocol Access List는 라우터를 통과하는 패킷을 목적지로 보낼 것인지 제한할 것인지를 지정해서 불필요한 트래픽은 제거하고 네트워크 자원의 보안을 위해 설정되는 명령어이다. 하지만 반드시 설정이 필요한 명령어는 아니다. Standard Access List Source Address만을 체크해서 패킷의 전송 여부를 결정하는 방식으로 특정 프로토콜 (FTP, TFTP, Telnet)에 따라 패킷의 전송 허용/제한이 불가능한 방식이다. Extended Access List Source Address와 Destination Address 모두를 체크해서 패킷의 전송 여부를 결정 하는 방식으로 특정 프로토콜(FTP, TFTP, Telnet)에 따라 패킷의 전송 허용/제한이 가능한 방식이다.

Outbound ACL Operation * How Access Lists Operate Outbound ACL Operation Packet 인터페이스 선택 S0 Inbound Interface Packets Y Outbound Interfaces 조건문 체크 라우팅 테이블 유/무? S0 Packet N Access List ? N Y Permit ? Y N Discard Packet Packet Discard Bucket (Notify Sender) If no access list statement matches then discard the packet

A List of Tests: Deny or Permit * Testing Against Access List Statements A List of Tests: Deny or Permit 첫번째 조건문 ? Packets to Interface(s) in the Access Group Y Y N Permit Deny Y 두번째 조건문 ? Y Deny Permit Destination N Interface(s) Y 마지막 조건문 ? Y Deny Permit N Implicit Deny If no match deny all Deny Packet Discard Bucket

Access Lists Configuration Guidelines * Implementing Access Lists Access Lists Configuration Guidelines Access-List는 Interface별로 Direction(Inbound, Outbound)별로, Protocol(IP, IPX등) 별로 각각 하나씩만 적용할 수 있다. 1개의 액세스리스트는 여러 인터페이스에 적용가능 Access List는 Top-Down 방식으로 실행되기 때문에 특수한 설정을 Access List의 상단에 위치시키고, 일반적인 설정을 하단에 위치시킨다. Access List에서 한 라인만을 제거할 수 없다. 제거하는 경우 전체 Access List를 제거할 수 있다. Named Access List를 사용하는 경우는 한 라인씩 제거하는 것이 가능하다. Access List Command를 사용하면 암묵적으로 deny all이 마지막으로 적용된다. IP standard access list는 가급적 Destination에 가깝게 위치 시킨다. IP extended access list는 가급적 Source에 가깝게 위치 시킨다. Access List는 라우터를 경유하는 트래픽에 적용되지만 라우터로부터 발생되는 패킷에는 적용되지 않는다. 인터페이스에 액세스 리스트를 적용하기 전에 액세스 리스트를 만들어야 한다. 액세스 리스트는 라우터를 통과하여 지나가는 트래픽만을 필터링한다. 라우터에서 출발하는 트래픽을 필터링하지는 않는다.

Access List의 적용 위치 Inbound Access List 라우터에 수신되는 패킷이 라우터의 Outbound Interface로 전달되기 전에 Access List가 적용된다. 따라서 Filtering에 의해 패킷이 제거되면 라우터 내부에서 처리되는 것이 없기 때문에 별도의 라우팅 Lookup overhead를 감소시킬 수 있어서 효율적인 방법이라고 할 수 있다. Outbound Access List 라우터에 수신된 패킷이 라우터의 Outbound Interface까지 전달된 후 Access List가 적용된다. 라우터의 Inbound Interface에 패킷이 들어 왔을 경우 처음에는 라우팅 테이블을 참조해서 목적지에 대한 주소가 존재하면 맞는 인터페이스 패킷이 전송되고, 그렇지 않는 경우에는 버려진다. 인터페이스에 Access List가 설정되어 있는지를 체크하고 없으면 패킷을 보내고, 적용되어 있으면 Access List의 조건을 체크한다. 조건을 체크해서 조건과 일치하면 Permit/Deny 설정 상태에 따라 패킷을 전송/폐기한다. 마지막 Access List까지 조건과 일치하지 않으면 패킷은 폐기 된다.

How to Identify Access Lists IP 액세스 리스트 번호 범위/식별자 표준 (standard) 1~99, 1300~1999 확장 (Extended) 100~199, 2000~2699 이름 (Name) 이름 Standard Extended Source Address를 근거로 해서 Filtering Source/Destination Address를 근거로 해서 Filtering Permit/Deny가 모든 TCP/IP 적용 특정 프로토콜별/포트별 Access List 적용이 가능 범위는 100~199, 2000~2699(expanded range) 범위는 1~99, 1300~1999(expanded range) # Named는 다음 장에 설명

Testing Packets with Standard Access Lists Segment (for example, TCP header) Data Packet (IP header) Frame Header (for example, HDLC) Source Address Use access list statements 1-99 Deny Permit IP Header 부분 중 Source Address를 분석해서 조건문과 일치하면 Permit/Deny 설정 상태를 확인하고 패킷을 전송/폐기한다. (Layer 3 정보를 체크해서 패킷의 전송 여부를 판단한다.) Standard Access List는 1~99까지 적용되고 있음을 알 수 있다.

Testing Packets with Extended Access Lists Destination Address Source Address Protocol Port Number Segment (for example, TCP header) Data Packet (IP header) Frame Header (for example, HDLC) Access List 100~199사용 Deny Permit Layer2 Layer3 Layer4 Extended Access Lists는 Layer 3, 4의 상태를 체크해서 패킷의 전송 여부를 판단한다. 적용 Number는 100~199까지 지정되어 있다. Extended Access Lists가 체크해야 하는 항목은 Source Address, Destination Address, Protocol (TCP, UDP, ICMP), Port Number (Telnet-23, FTP-20, DNS-53등)

Wildcard Bits: How to Check the Corresponding Address Bists * Wildcard Masking Wildcard Bits: How to Check the Corresponding Address Bists 8 bit position and address value for bit 128 64 32 16 8 4 2 1 Examples 모든 것이 일치해야 함 = = 1 ignore last 6 address bits = 1 ignore last 4 address bits = 1 check last 2 address bits = 1 일치하지 않아도 됨 Wildcard Mask는 IP Address List나 OSPF에서 Network Command 설정시 사용되고 있다. Wildcard Mask의 Rule은 다음과 같다. - Wildcard Bits의 0은 IP Address Bits와 반드시 일치해야 한다. - Wildcard Bits의 1은 IP Address Bits아 일치해야 할 필요가 없다. Subnet Mask에서의 0은 일치할 필요가 없고, 1은 반드시 일치해야 하는 특성이 있는데 위의 Wildcard Mask와 완전히 반대로 동작한다.

Wildcard Bits (Address Mapping 방법) Wildcard Mask 설명 130.0.0.0 0.255.255.255 반드시 일치할 필요가 있는 0으로 설정된 것이 앞에서 8개 Bit이기 때문에 130.0.0.0/8에 속하는 모든 것을 수용한다. 130.0.0.1~130.255.255.255 130.10.0.0 0.0.255.255 반드시 일치할 필요가 있는 0으로 설정된 것이 앞에서16개 Bit이기 때문에 130.10.0.0/16에 속하는 모든 것을 수용한다. 130.10.0.1~130.10.255.255 130.10.8.0 0.0.7.255 00000111 130.10.8.0/21에 속하는 모든 것을 수용한다. 130.10.8.1~130.10.15.255 0.0.0.255 130.10.8.0/24에 속하는 모든 것을 수용한다. 130.10.8.1 ~ 130.10.8.255 130.10.8.1 0.0.0.0 오직 130.10.8.1만을 수용한다. Host 130.10.8.1로 표현되기도 한다. 255.255.255.255 모든 IP Address를 수용하고자 할 경우 설정 any로 표현되기도 한다.

Configuring IP Access Lists Standard 또는 Extended IP Access Lists를 구성할 수 있다. Named Access Lists를 사용할 수 있다. VTY Access Lists를 구성할 수 있다. Access Lists의 내용을 검증할 수 있다.

Access Lists Command Overview Grobal Mode에서의 설정 Router(config)#access-list access-list-number { permit | deny } { test conditions } Interface에 적용 Router(config-if)#{ protocol } access-group access-list-number {in | out} Standard IP lists (1-99) Extended IP lists (100-199) Standard IP lists (1300-1999) (expanded range) Extended IP lists (2000-2699) (expanded range)

Standard IP Access Lists Configuration * Configuring Standard IP Access Lists Standard IP Access Lists Configuration Router(config)# access-list access-list-number { permit | deny | remark} source [ mask] Sets parameters for this list entry access-list-number는 1에서 99까지 default wildcard mask = 0.0.0.0 전체 access list를 제거하려면 no access-list access-list-number 명령어 사용 remark 옵션은 엑세스리스트에 대한 설명을 나타낼 때 사용한다. Router(config-if)# ip access-group access-list-number { in | out } Activates the Standard list on an interface default = outbound 인터페이스에 설정된 access list를 제거하려면 no ip access-group access-list-number 명령어 사용

예제1: 외부 네트워크로부터 트래픽을 차단하는 표준 액세스 리스트 172.16.0.0 네트워크로부터 출발하지 않은 트래픽이 Ethernet 0 과 Ethernet 1을 통과하지 못하도록 Ethernet 0과 Ethernet 1에 적용된 액세스 리스트 172.16.0.0으로 가지 않는 트래픽 172.16.3.0 172.16.4.0 172.16.3.5 S0 172.16.4.13 E0 E1 Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)# interface ethernet 0 Router(config-if)# ip access-group 1 out Router(config-if)# interface ethernet 1

예제2: 단일 호스트로부터 트래픽을 차단하는 표준 액세스 리스트 Ethernet 0 인터페이스를 통해 172.16.4.13을 거부하고 나머지 모드 트래픽은 전달 하도록 하라 172.16.0.0으로 가지 않는 트래픽 172.16.3.0 172.16.4.0 172.16.3.5 S0 172.16.4.13 E0 E1 Router(config)# access-list 1 deny 172.16.4.13 0.0.0.0 Router(config)# access-list 1 permit 0.0.0.0 255.255.255.255 Router(config)# interface ethernet 0 Router(config-if)# ip access-group 1 out

예제3: 단일 서브넷으로부터 트래픽을 차단하는 표준 액세스 리스트 Ethernet 0 인터페이스를 통해 172.16.4.0을 거부하고 나머지 모드 트래픽은 전달 하도록 하라 172.16.0.0으로 가지 않는 트래픽 172.16.3.0 172.16.4.0 172.16.3.5 S0 172.16.4.13 E0 E1 Router(config)# access-list 1 deny 172.16.4.0 0.0.0.255 Router(config)# access-list 1 permit any Router(config)# interface ethernet 0 Router(config-if)# ip access-group 1 out

4 1 3 2 Filtering vty Access to a Router console e0 * Configuring Virtual Terminal Access Lists Filtering vty Access to a Router 1 2 3 4 Virtual ports (vty 0 through 4) Physical port e0 (Telnet) Console port (direct connect) console e0 Telnet 접속을 허용하는 Virtual Port가 있다. Virtual Port는 Virtual Port Line이라고 불린다. Virtual Port는 기본적으로 0~4까지 5개를 제공한다. 라우터의 Vty ports 접속을 호스트별로 제한할 수 있다.

Virtual ports (vty 0 through 4) Physical port (e0) (Telnet) How to Control vty Access 1 2 3 4 Virtual ports (vty 0 through 4) Physical port (e0) (Telnet) Router# e0 Telnet(Application Layer) 접속의 제한은 Extended IP Access List로 가능하지만 Virtual Port line에 access-class를 적용해서 Standard IP Access List로도 라우터의 Telnet 접속을 제한할 수 있다. 라우터의 접속뿐만 아니라 라우터에서 다른 호스트나 장비에 대한 접속를 제한할 수도 있다. 라우터의 Virtual Terminal 접속을 제한하고자 할 경우에는 모든 Virtual port line에 적용해야 한다. 왜냐하면 과연 어떤 Virtual port line으로 telnet 접속을 하는지에 대한 정확한 판단 요소가 없기 때문이다.

vty Commands Router(config)#line vty {vty# | vty-range} 1 단계: Access List의 조건문을 우선 Global Configuration에 만든다. 2 단계: 원하는 Virtual port line(0~4)에 접속한다. Router(config)#line vty {vty# | vty-range} 3 단계: access-class를 설정한다. Router(config-line)#access-class access-list-number {in|out}

vty Access Example Router(config)# access-list 2 permit 192.168.1.0 0.0.0.255 ! Router(config)# line vty 0 4 Router(config-line)# access-class 2 in 위의 설정은 192.168.1.0/24 네트워크에서 라우터에 Virtual Terminal(Telnet) 접속을 허용하지만, 다른 네트워크에서의 Telnet 접속은 라우터에서 deny한다. 왜냐하면 Access List 마지막 라인에 “deny any”가 포함되어 있기 때문이다. 라우터에 Telnet 접속을 허용하지만 User Mode/Privileged Mode로 접속하기 위해서는 추가적인 Password 입력이 필요하다.

표준 액세스 리스트와 확장 액세스 리스트의 비교 표준 (Standard) 확장 (Extended) 송신지 어드레스만을 기반으로 필터링 송신지와 수신지 어드레스 및 송신지와 수신지 포트번호를 기반으로 필터링 TCP/IP 프로토콜 스위트 전체를 허용하거나 거부 일정한 IP 프로토콜과 포트 번호를 명시한다. 범위가 1~99 범위가 100~199 잘 알려진 포트번호 IP 프로토콜 20 FTP (File Transfer Protocol) 데이터 21 FTP 프로그램 23 텔넷 25 SMTP (Simple Mail Transport Protocol) 69 TFTP (Trivial File Transfer Protocol) 53 DNS (Domain Name System) 80 WWW (HyperText Markup Language)

Extended IP Access Lists Configuration * Configuring Extended IP Access Lists Extended IP Access Lists Configuration Router(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log] Sets parameters for this list entry Router(config-if)# ip access-group access-list-number { in | out } Activates the extended list on an interface

예제1 : 하나의 지정된 서브넷으로부터의 FTP 트래픽 차단 172.16.4.0 서브넷에서 172.16.3.0 서브넷으로 가는 FTP 트래픽을 차단하고, Ethernet 1 인터페이스의 다른 모든 트래픽을 허용하라 FTP Non- 172.16.0.0 172.16.3.0 172.16.4.0 S0 172.16.4.13 E0 E1 Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 0.0.0.255 eq 20 Router(config)# access-list 101 permit ip any any Router(config)# interface ethernet 1 Router(config-if)# ip access-group 101 in

예제2 : 하나의 지정된 서브넷으로부터의 텔넷 트래픽 차단 172.16.4.0 서브넷에서 172.16.3.0 서브넷으로 가는 텔넷 트래픽을 차단하고, Ethernet 1 인터페이스의 다른 모든 트래픽을 허용하라 FTP Non- 172.16.0.0 172.16.3.0 172.16.4.0 S0 172.16.4.13 E0 E1 Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config)# access-list 101 permit ip any any Router(config)# interface ethernet 0 Router(config-if)# ip access-group 101 out

Using Named IP Access Lists * Using Named Access Lists Using Named IP Access Lists Cisco IOS 11.2 이상에서만 적용이 가능하다. Numbered IP Access List는 조건문 제거시 모든 Numbered Access List가 삭제되기 때문에 처음부터 다시 모든 Access List를 다시 입력해야 하는 문제가 있지만 Named IP Access List는 원하는 조건문만 제거할 수 있다. 1단계 : Grobal Gonfiguration에 Named Access List를 설정한다. Router(config)#ip access-list { standard | extended } name 2단계 : 조건문을 설정한다. Router(config {std- | ext-}nacl)#{ permit | deny } { ip access list test conditions } { permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } Router(config)#ip access-list extended screen Router(config-ext-nacl)#deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 23 Router(config-ext-nacl)#permit ip any any Router(config)#interface ethernet 0 Router(config-if)#ip access-group screen out

Access List Configuration Principles * Guidelines for Placing Access Lists Access List Configuration Principles 엑세스 리스트 문장의 순서는 적절한 필터링이 중요하다. TFTP 서버에서 텍스트 에디터를 이용해서 만들고 라우터로 TFTP를 이용해서 다운로드하여 엑세스 리스트를 만드는 것을 추천한다. 또는 terminal emulator 또는 Telnet 세션을 PC에서 사용하고 엑세스 리스트를 cut & paste하여 라우터 설정 모드로 옮기는 것을 사용할 수 있다. 엑세스 리스트를 위에서 아래로 처리한다. 자주 테스트하여 만족하는 테스트와 구체적인 테스트들을 엑세스 리스트의 앞쪽에 두면 프로세싱 오버헤드를 줄일 수 있다. 리스트에서 각 문장은 이름이 부여된 엑세스 리스트만이 제거될 수 있지만, 순서를 바꾸는 것은 되지 않는다. 엑서스 리스트의 순서를 바꾸려면, 전체 리스트를 제거하고 원하는 순서 또는 원하는 문장으로 다시 만들어야 한다. 모든 엑세스 리스트는 implicit “deny any” 문장으로 끝난다.

Where to Place IP Access Lists B A C D Standard IP Access List의 설정 위치 Source Address만 체크하는 Standard IP Access List는 Destination에 근접하게 설정해야만 정상적인 패킷 통신에 영향을 주지 않는다. 예를 들어, Token-Ring 0에서 발생하는 패킷이 라우터 D의 Ethernet 0가 아닌 Router B,C로 가는 패킷까지 Filtering된다. 따라서 정상적으로 통신해야 하는 패킷까지 전부 통신이 되지 않는 경우가 생길 수 있다.

Where to Place IP Access Lists (Cont.) B S0 S0 C S0 A S1 D To0 E0 Extended IP Access List의 설정 위치 Token-Ring 0에서 발생하는 패킷이 라우터 D의 Eternet 0로 가지 못하도록 설정하고자 할 경우 Extended IP Access List는 Source/Destination Address 모두를 체크해서 전송/폐기하기 때문에 라우터 A에 설정해야만 불필요한 패킷이 다른 네트워크의 Performance에 영향을 주지 않는다. Source Address 근처에 설정하지 않을 경우 라우터 D의 Ethernet 0로 가는 트래픽이 라우터 B,C,D까지 가는 경우가 발생할 수 있다.

Verifying Access Lists * Verifying the Access List Configuration Verifying Access Lists wg_ro_a# show ip interface e0 Ethernet0 is up, line protocol is up Internet address is 10.1.1.11/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is disabled IP Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled <text omitted>

Monitoring Access Lists Statements Router#show {protocol} access-list {access-list number} Router#show access-lists {access-list number} Router# show access-lists Standard IP access list 1 permit 10.2.2.1 permit 10.3.3.1 permit 10.4.4.1 permit 10.5.5.1 Extended IP access list 101 permit tcp host 10.22.22.1 any eq telnet permit tcp host 10.33.33.1 any eq ftp permit tcp host 10.44.44.1 any eq ftp-data