접근 제어 목록(ACL) <ACL 실습 토폴로지> - R1, R2, R3 설정: 주소 및 OSPF 프로토콜.

Slides:



Advertisements
Similar presentations
Linux Advanced Routing & Traffic Control HOWTO (1) 성 백 동
Advertisements

차세대네트워크보안기술 영산대학교 네트워크정보공학부 이원열.
2012 년 2 학기 중부대학교 정보보호학과 이병천 교수.  공중망 (Public Network) ◦ 가격이 저렴 ◦ 네트워크를 공동으로 이용. 보안에 취약  사설망 (Private Network) ◦ 공중망보다 가격이 비쌈 ◦ 네트워크를 독립적으로 이용. 보안성이.
11장. WAN 기술 (PPP, Frame-Relay)
16장 X.25 패킷 교환망 16.1 X.25 계층 구조 16.2 패킷 계층 프로토콜 16.3 요약.
Building Enterprise VPNs
ch16 – 4. IP 보안(2) - ESP and VPN -
제 10장 Access-List.
IPsec.
암호화 기술(SSL, IPSec) 손재성 권기읍 안복선 최준혁
암호화 기술(IPsec,SSL) 배문주 송정미 황유진.
IPsec 석진선.
네트워크계층 보안 IPSec 중부대학교 정보보호학과 이병천 교수.
암호화 기술 SSL와 IPSec의 개요 및 동작과정
Chapter 18 네트워크층 보안: IPSec
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
11장. WAN 기술 (PPP, Frame-Relay)
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
제 7장 정적 라우팅 프로토콜.
LOGO 네트워크 운용(2).
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
모든 내용에 대한 저작권은 BANNA에 있으며, 허가된 사용자 이외에는 사용할 수 없습니다.
Part 라우터 1. 라우터 장비의 이해 2. 라우터 네트워크 환경 설정 3. 라우팅 테이블 설정과 점검.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
실습1 : 장치 기본 설정 (basic configuration)
라우터 프로토콜을 이용한 네트워크 구축 실습.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
네트워크 기말고사 실습 과제 서승희 이도경.
프로토콜 (Protocol) 발표 : 2008년 7월 18일 이 재 정
4장. 정적 경로 설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
무선인터넷 보안기술 컴퓨터공학부 조한별.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
Routing Protocol - Router의 주 목적 중 하나는 Routing
6장. EIGRP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
컴퓨터 네트워크 II - 기말고사 토폴로지 발표자료
IPSec (Internet Protocol Security protocol)
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
23 장 OSI 상위계층 23.1 세션(session)층 23.2 표현(presentation)층
Access Control Lists Access Control List
6장. EIGRP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Chapter 13 사용자 네트워크 보안.
15장. VoIP와 패킷트레이서 서버기능 중부대학교 정보보호학과 이병천 교수.
7장. OSPF 중부대학교 정보보호학과 이병천 교수.
11장. WAN 기술 (PPP, Frame-Relay)
4장. 정적 경로 설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
6장. EIGRP 중부대학교 정보보호학과 이병천 교수.
13장. VPN 중부대학교 정보보호학과 이병천 교수.
11장. WAN 기술 (PPP, Frame-Relay)
네트워크 기말고사 중부대학교 정보보호학과 이종화.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
IPv 이 동 주 HONGIK UNIVERSITY.
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
3장. 라우터와 스위치의 기본설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Part 라우터 1. 라우터 장비의 이해 2. 라우터 네트워크 환경 설정 3. 라우팅 테이블 설정과 점검.
ACL(Access Control List)
11장. WAN 기술 (PPP, Frame-Relay)
6장. EIGRP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽
01. 라우팅 및 원격 액세스의 개요 라우팅은 패킷을 송신지부터 수신지까지 어떠한 경로를 통해 보낼 것인지를 결정하는 방법
Chapter 26 IP over ATM.
Chapter 27 Mobile IP.
5장. 라우팅프로토콜 RIP 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
7 IP 프로토콜의 이해 학습 목표 네트워크 계층의 필요성과 역할을 이해한다.
제 6 장 IP 패킷 전달과 라우팅 6.1 연결형 서비스와 비연결형 서비스 6.2 직접 전달과 간접 전달 6.3 라우팅 방법
운영체제보안 SELinux 실습 박민재
3장. 라우터와 스위치의 기본설정 중부대학교 정보보호학과 이병천 교수.
4장. 정적 경로 설정 중부대학교 정보보호학과 이병천 교수.
Presentation transcript:

접근 제어 목록(ACL) <ACL 실습 토폴로지> - R1, R2, R3 설정: 주소 및 OSPF 프로토콜

접근 제어 목록(ACL) – R1 설정

접근 제어 목록(ACL) – R2 설정

접근 제어 목록(ACL) – R3 설정

접근 제어 목록(ACL) 표준 ACL 적용 실험 확장 ACL 적용 실험 : PC0는 R3에만 ping을 보낼 수 없도록 설정 R1의 PC1은 모든 장치와 통신, PC0은 통신할 수 없도록 표준 ACL적용 R1(config)#access-list 1 deny 1.1.1.2 0.0.0.0 R1(config)#access-list 1 permit any R1(config)#int fa0/0 R1(config-if)#ip access-group 1 in R1(config-if)#exit R1(config)# 확장 ACL 적용 실험 : PC0는 R3에만 ping을 보낼 수 없도록 설정 R1(config)#access-list 100 deny icmp host 1.1.1.2 host 203.230.7.9 echo R1(config)#access-list 100 deny icmp host 1.1.1.2 host 203.230.7.6 echo R1(config)#access-list 100 deny icmp host 1.1.1.2 host 3.3.3.1 echo R1(config)#access-list 100 permit ip any any R1(config-if)# ip access-group 100 in

VPN VPN 개념 종류 IPSec 기반 SSL 기반 MPLS 기반

IPSec 기반 VPN IPSec 기능 2가지 IPSec 모드 VPN을 이용한 보안채널 구성 안전한 원격 인터넷 접근 E-Commerce 보안 라우터 간의 안전한 라우팅 정보교환 2가지 IPSec 모드 Transport Mode : IP 해더를 제외한 패킷의 내용이 암호화 Tunneling Mode : 패킷 전체가 암호화되고 별도의 해더가 추가(터널링)

IPSec IPSec에 사용하는 보안 프로토콜 AH : IP Authentication Header, 순서번호를 이용하여 송신자 인증 ESP : IP Encapsulating Security Payload, 송신자 인증 및 데이터 암호화 IKE : Internet Key Exchange, 안전한 암호화 키 분배 IPSec에서 Key Exchange와 SA(Security Association) 개설 시에 사용하는 프로토콜은 IKE를 사용하고 Packet 포멧은 ISAKMP 패킷 포멧을 따름 ISAKMP (Internet Security Association and Key Management Protocol) 보안협상 (Security Association)과 Key Exchange 관리 등 전반적인 것들을 병합 하기 위하여 설계된 프로토콜 IPSec을 이용할 때에 통신 하려고 하는 Peer들간에 보안 협상을 하게 되는데, 이 때 SA를 서로 교환, 개설, 변경, 삭제하는 작업을 하는 프로토콜

메시지 인증(MAC)

VPN 실습- 터널링기반(그림 13-1)

VPN 실습 – R1 설정 R1(config)#int gi0/0 R1(config-if)# ip add 203.230.9.1 255.255.255.0 R1(config-if)# no shut R1(config-if)#exit R1(config)#int s0/2/0 R1(config-if)# ip add 203.230.10.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config)#router ospf 7 R1(config-router)#network 203.230.9.1 0.0.0.0 area 0 R1(config-router)#network 203.230.10.1 0.0.0.0 area 0 R1(config-router)# exit

VPN 실습 – R3 설정 R3(config)#int gi0/0 R3(config-if)# ip add 203.230.8.1 255.255.255.0 R3(config-if)# no shut R3(config-if)#exit R3(config)#int s0/2/0 R3(config-if)# ip add 203.230.11.1 255.255.255.0 R3(config)#router ospf 7 R3(config-router)#network 203.230.8.1 0.0.0.0 area 0 R3(config-router)#network 203.230.11.1 0.0.0.0 area 0 R3(config-router)# exit

VPN 실습 – GRE 터널링 설정 정보패킷 전송은 물리적인 인터페이스를, 라우팅 정보 패킷은 논리적인 인터페이스(GRE 터널링, RIPv2))를 사용 R1 GRE터널 설정 R1(config)#int tunnel 12 R1(config-if)# ip add 163.180.116.1 255.255.255.0 R1(config-if)# tunnel source s0/2/0 R1(config-if)# tunnel destination 203.230.10.2 R1(config-if)#exit R1(config)#int loop 1 R1(config-if)# ip add 1.1.1.1 255.255.255.0 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 1.1.1.1 R1(config-router)#network 163.180.116.1 R1(config-router)# exit

R2 GRE터널 설정 R2(config)#int tunnel 21 R2(config-if)# ip add 163.180.116.2 255.255.255.0 R2(config-if)# tunnel source s0/2/0 R2(config-if)# tunnel destination 203.230.10.1 R2(config-if)#exit R2(config)#int tunnel 23 R2(config-if)# ip add 163.180.117.1 255.255.255.0 R2(config-if)# tunnel source s0/2/1 R2(config-if)# tunnel destination 203.230.11.1 R2(config)#int loop 1 R2(config-if)# ip add 2.2.2.2 255.255.255.0 R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 2.2.2.2 R2(config-router)#network 163.180.116.2 R2(config-router)#network 163.180.117.1 R2(config-router)# exit

R1# show ip route rip, R3# show ip route rip에서 라우팅테이블 확인 R3 GRE터널 설정 R3(config)#int tunnel 32 R3(config-if)# ip add 163.180.117.2 255.255.255.0 R3(config-if)# tunnel source s0/2/0 R3(config-if)# tunnel destination 203.230.11.2 R3(config-if)#exit R3(config)#int loop 1 R3(config-if)# ip add 3.3.3.1 255.255.255.0 R3(config)#router rip R3(config-router)#version 2 R3(config-router)#no auto-summary R3(config-router)#network 3.3.3.1 R3(config-router)#network 163.180.117.2 R3(config-router)# exit R1# show ip route rip, R3# show ip route rip에서 라우팅테이블 확인 R1에서 R3로 traceroute 3.3.3.1과 203.230.8.2 실행 후 경로 차이 확인

VPN 실습(터널링기반)

VPN 실습(그림 13-3) GRE 터널링을 이용한 IPSec <IPSec VPN을 GRE터널링과 함께 사용하여 보안성을 향상> - ISAKMP 정책 : 인증(pre-share), 암호화(Advanced Encryption Standard 256) Hash(sha), Lifetime(36000초) - IPSec 정책 : 대상 트래픽(각 라우터의 시리얼 I/F로 나가는 모든 트래픽) 캡슐화(esp-3des), 암호화(esp-aes 256), Hash(esp-md5-hmac)

VPN 실습 – R1 설정 R1(config)#int gi0/0 R1(config-if)# ip add 203.230.9.1 255.255.255.0 R1(config-if)# no shut R1(config-if)#exit R1(config)#int s0/2/0 R1(config-if)# ip add 203.230.10.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config)#router ospf 7 R1(config-router)#network 203.230.9.1 0.0.0.0 area 0 R1(config-router)#network 203.230.10.1 0.0.0.0 area 0 R1(config-router)# exit

VPN 실습 – R2 설정 R2(config)#int gi0/0 R2(config-if)# ip add 203.230.7.1 255.255.255.0 R2(config-if)# no shut R2(config-if)#exit R2(config)#int s0/2/0 R2(config-if)# ip add 203.230.10.2 255.255.255.0 R2(config)#int s0/2/1 R2(config-if)# ip add 203.230.11.2 255.255.255.0 R2(config-if)#clock rate 64000 R2(config)#router ospf 7 R2(config-router)#network 203.230.7.1 0.0.0.0 area 0 R2(config-router)#network 203.230.10.2 0.0.0.0 area 0 R2(config-router)#network 203.230.11.2 0.0.0.0 area 0 R2(config-router)# exit

VPN 실습 – R3 설정 R3(config)#int gi0/0 R3(config-if)# ip add 203.230.8.1 255.255.255.0 R3(config-if)# no shut R3(config-if)#exit R3(config)#int s0/2/0 R3(config-if)# ip add 203.230.11.1 255.255.255.0 R3(config)#router ospf 7 R3(config-router)#network 203.230.8.1 0.0.0.0 area 0 R3(config-router)#network 203.230.11.1 0.0.0.0 area 0 R3(config-router)# exit

VPN 설정1 1. 라우터 R1에 대해 실습 토폴로지와 같이 인터페이스 설정과 tunnel 12를 설정한다. 2. 보안설정을 위해 추가로 다음과 같이 입력한다(빨강색 입력, 파란색은 라우터 출력 메시지 임). R1(config)#license boot module c2900 technology-package securityk9 PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND BY ALL THE TERMS SET FORTH HEREIN. ACCEPT? [yes/no]: y % use 'write' command to make license boot config take effect on next boot R1(config)#do write Building configuration... [OK] R1(config)#exit R1# %SYS-5-CONFIG_I: Configured from console by console R1#reload Proceed with reload? [confirm]

VPN 설정2 R1#conf t R1(config)#crypto isakmp policy 10 R1(config-isakmp)#encryption ase 256 R1(config-isakmp)#authentication pre-share R1(config-isakmp)#lifetime 36000 R1(config-isakmp)#hash sha R1(config-isakmp)#exit R1(config)crypto ipsec transform-set strong esp-3des esp-md5-hmac R1(config)crypto isakmp key cisco123 addr 0.0.0.0 0.0.0.0 R1(config)crypto map vpn 10 ipsec-isakmp R1(config-crypto-map)set peer 203.230.9.2 R1(config-crypto-map)set transform-set strong R1(config-crypto-map)match addr 110 R1(config-crypto-map)exit R1(config)access-list 110 permit gre host 203.230.9.1 host 203.230.9.2 R1(config)int s0/2/0 R1(config-if)crypto map vpn R1(config-if)exit R1(config)router ospf 7 R1(config-router)network 203.230.7.1 0.0.0.0 area 0 R1(config-router)network 203.230.8.1 0.0.0.0 area 0 R1(config-router)network 203.230.9.1 0.0.0.0 area 0 R1(config-router)network 203.230.10.1 0.0.0.0 area 0 R1(config-router)exit

VPN 설정3 3. R2와 R3에 대해서도 인터페이스 주소에 맞게 마찬가지로 설정한다 4. 모든 설정이 끝나면 라우터에서 show crypto ipsec sa 명령어를 사용하여 인터페이스에 적용되고 있는 VPN 정보를 확인한다. 5. show crypto ipsec transform-set 명령어를 입력하여 IPSec 설정 내용을 확인한다. 6. show crypto isakmp policy 명령어를 입력하여 ISAKMP 설정 내용을 확인한다. 7. show crypto isakmp sa 명령어를 입력하여 VPN 출발지와 도착지 내용을 확인한다. 8. show crypto map 명령어를 입력하여 VPN 연결내용 및 ACL 내용을 확인한다. 9. 모든 설정을 마친 후 설정파일을 저장(백업)하고 패킷트래이서를 재시작해서 다음을 확인 - PC0과 PC1에서 각각 PC2로 tracert 명령을 실시하여 모두 터널을 통해 패킷이 전달되는 것을 확인