Access Control Lists Access Control List

Slides:



Advertisements
Similar presentations
6 장. 네트워크 개론 네트워크 장비, 프로토콜, 통신망. 개요 네트워크란 ? 네트워크의 종류 데이터전송방식 네트워크 장비 프로토콜의 종류 IP 주소체계 네트워크 토폴로지 통신망 네트워크진단 명령어.
Advertisements

조준희 (Cho, Junhee) TCP/IP 조준희 (Cho, Junhee)
PIX 운영자 Guide.
TCP/IP 통신망 특론 3장 인터넷프로토콜( IP ).
2 장 인터넷의 구성 및 접속.
Chapter 8 Authorization
7장. TCP와 UDP.
IP변경 요청_ 스마트폰 전자결제연동 올더게이트.
Asymmetric Link 분석.
Chapter 06. 프로토콜.
22 장 프로세스간 전달 : UDP와 TCP 22.1 프로세스간 전달 22.2 사용자 데이터그램 프로토콜
Cisco ASA 5500 Configuration Guide - 기본 및 Firewall 기능 설정 (ASA 8
Access List 강사 김성훈.
UDP 1434 공격에 대한 방어 요령 Cisco Systems Korea 최 우 형 Network 보안과 대책
Switching 기술 II(L4, L5, L7).
제 1장 인터네트워킹.
Network Security - Wired Sniffing 실습
Dept. of Computer Engineering, Hannam Univ. Won Goo Lee
RIP 2 IBGP가 다수일 경우 IGP(rip, OSPF,….)가 가까운 곳(목적지까지 비용이 적은 곳)이 최적경로로 선정
Internet Control Message Protocol (ICMP)
Network 네트워크 이론 및 실습 TCP / IP 4장.
Introduction to Networking
ARP TARM PROJECT 1조 신영민.
10. About TCP / IP SPARCS 08 우성필.
목 차 1. 기 업 현 황 회 사 개 요 2. Finger Police System 개요
Firewall & N-IDS 김창현.
네트워크 보안 TCP/IP 네트워크통신 개념.
Chapter 02 네트워크에 대한 이해.
모든 내용에 대한 저작권은 BANNA에 있으며, 허가된 사용자 이외에는 사용할 수 없습니다.
Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2 암호학의 원리 8.3 메시지 무결성 8.4 종단점 인증
실습1 : 장치 기본 설정 (basic configuration)
라우터 프로토콜을 이용한 네트워크 구축 실습.
NAC Test 시나리오 내부단말 통제 보안 BMT 시나리오
네트워크 기말고사 실습 과제 서승희 이도경.
4장. 정적 경로 설정 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
Processing resulting output
기업 시스템/네트웍 보안 종합 설계 방안.
Network Security Footprint & Scan.
세미나.. NETWORK??!! 저자 : 장경칩 도전하라 창조의 세계로(SINCE 1992) - 장경칩.
Network Layer: ARP, ICMP (IGMP).
Network Programming Version 2.1.
Chapter 13 사용자 네트워크 보안.
3부 해킹 전 정보 획득 Chapter 6. 풋프린팅과 스캔
DHCP 박윤환 윤준호.
Network Programming(1)
1강_web과 html Web이란? HTML이란? CSS란? Lecturer Kim Myoung-Ho Nickname 블스
네트워크와 소켓 프로그래밍 Chapter 01. * 학습목표 TCP/IP 프로토콜의 동작 원리를 개관 소켓의 기본 개념을 이해
OSI 모델 OSI 모델의 개념과 필요성 OSI 모델의 데이터 전송 과정 OSI 모델 7계층 한빛미디어(주)
Part 04-3 Windows 2000 Server IIS Outlook Express 도메인 사용 관리자
ACL(Access Control List)
Transmission Control Protocol (TCP)
User Datagram Protocol (UDP)
Chapter 04. OSI 참조 모델.
TCP/IP 네트워크 구조 TCP/IP 개요 TCP/IP 프로토콜 한빛미디어(주).
IP변경 요청 올더게이트.
기술가정 2학년 2학기 4.컴퓨터와 생활 > 2) 인터넷의 활용 > 1/7 인터넷이란 무엇일까.
초기화면 인터넷의 이해 Ⅳ. 컴퓨터와 생활> 2. 인터넷의 활용> 기술·가정 2학년 2학기
컴퓨터 개론 √ 원리를 알면 IT가 맛있다 쉽게 배우는 컴퓨터 기본 원리 한빛미디어 교재출판부.
공공기관에서의 UTM과 혼합공격 차단기법 May.2004 Fortinet Korea Inc.
윤성우의 열혈 TCP/IP 소켓 프로그래밍 윤성우 저 열혈강의 TCP/IP 소켓 프로그래밍 개정판
Internet & WWW Protocols
14 방화벽.
Snort의 구성.
제 11장 User Datagram Protocol(UDP)
TCP/IP 인터네트워킹 INTERNETWORKING with TCP/IP <vol
Chapter 10 Mobile IP.
Part TCP / IP 1. TCP / IP 프로토콜 2. 기본 프로토콜.
Chapter 17 BOOTP and DHCP.
제 9 장 ICMP 9.1 메시지 유형 9.2 메시지 형식 9.3 오류 보고 9.4 질의 9.5 검사합 9.6 ICMP 설계
6. 오류 보고 체계 (ICMP) (6장. 인터넷과 IP)
Presentation transcript:

Access Control Lists Access Control List 특정 트래픽의 접근을 허용할지 차단할지 결정하는 리스트 (Filtering) 보안을 위해서 많이 사용. L3장비인 Router에서 설정하지만 Application Layer부분도 관리하기 때문에 Network Layer까지라고 단정할 수 없다. 하지만 Application Layer까지 완벽히 막을 수 없기 때문에 Firewall 등의 전문적인 보안 장비를 사용. ACL은 크게 Numbered와 Named 두 종류가 있다. 그리고 다시 Standard (1~99)와 Extended (100~199)로 구분할 수 있다. 1) standard Access list  source address만 참조해서 filtering 여부를 결정. 2) extended Access list  source address외에도 destination address, protocol, Port 번호 등 좀더 자세한 정보를 참조해서 filtering 여부를 결정한다.

Access Control Lists 1) Standard ACL (1-99) - Standard ACL의 경우는 출발지 주소(source address)를 보고 permit, deny 여부를 결정. - packet의 source address와 ACL에 정의된 source address가 일치하면 ACL의 내용을 수행한다. (permit or deny) - permit이면 packet을 정해진 경로로 전송하고 deny면 packet의 흐름을 차단 - standard ACL의 사용 list-number는 1-99까지 사용한다. ex) R1(config)# access-list 1 deny 125.101.1.0 0.0.0.255 R1(config)# access-list 1 permit any

Access Control Lists 1) Standard ACL 설정 (1) R1(config)#access-list <list-number> {permit|deny} source [mask] 1 2 3 4 1 : list-number는 1-99까지의 번호를 사용. (1-99까지가 standard ACL의 번호이다.) 2 : 아래 3번 조건에 맞는 packet을 permit할지 deny할지 결정. 3 : 조건을 넣는다. standard ACL의 조건은 source address, 만약 source address를 넣지 않고 any라고 입력하면 특정한 하나의 출발지 주소가 아닌 모든 주소에 2번에서 정의한 수행 내용을 적용. ex) R1(config)# access-list 1 deny 125.101.1.0 0.0.0.255 R1(config)# access-list 1 permit any

Access Control Lists 1) Standard ACL 설정 (2) - Interface 적용 - R1(config)#interface serial 0/0 R1(config-if)#ip access-group <access-list-number> {in | out} 1 2 1 : 앞에서 정의한 ACL을 불러와서 filtering 내용을 인터페이스에 적용한다. 2 : inbound와 outbound 설정. in은 라우터의 인터페이스로 packet이 들어오는 경우 out은 packet이 라우터의 인터페이스에서 나가는 경우 * standard ACL은 항상 destination 라우터 쪽에 설정되어야 한다. 중간 라우터에 설정하면 다른 라우터들까지 ACL의 영향을 받아서 정상적으로 패킷 전송이 이루어지지 않을 수 있다. ex) R1(config)#interface serial 0/0 R1(config-if)#ip access-group 1 in

Access Control Lists ACL의 동작방식 1) inbound 설정 - packet이 Router 내부로 들어올 때 filtering 여부를 결정 - Router 인터페이스로 packet이 들어올 경우 수신 인터페이스에 ACL이 설정되어 있는지 확인하고 설정이 되어있지 않으면 그냥 통과. - 만약 ACL이 설정돼 있다면 들어온 packet 의 정보와 ACL에 설정 내용을 비교해서 통과 여부를 결정. (조건과 일치하고 permit이면 통과, deny면 통과 X) 2) outbound 설정 - packet이 Router 외부로 나갈 때 filtering 여부를 결정한다 - Router 인터페이스에서 packet 이 나갈 경우 인터페이스에 ACL이 설정되어 있는지 확인하고 설정이 되어있지 않으면 그냥 보낸다. - 만약 ACL이 설정돼 있다면 나가는 packet의 정보와 ACL에 설정 내용을 비교해서 통과 여부를 결정. (조건과 일치하고 permit이면 통과, deny면 통과 X)

Access Control Lists ACL 규칙 1) ACL은 윗줄부터 순서대로 수행. 때문에 ACL은 좁은 범위 설정이 먼저 되어야 한다. 만약 다음처럼 넓은 범위를 먼저 설정하게 되면 모든 Packet이 허용. (Fitering 효과가 없다.) R1(config)# access-list 1 permit any R1(config)# access-list 1 deny 125.101.1.0 0.0.0.255 2) ACL의 마지막은 deny any가 생략되어 있다. 즉, 마지막에 permit any가 없을 경우 ACL 조건에 없는 모든 address는 deny 된다. 3) numbered ACL은 순서대로 입력되기 때문에 중간 삽입이나 중간 삭제가 불가능하다. (중간에 List가 틀려도 삽입, 수정 , 중간 삭제 불가능) * 예외 named ACL의 경우는 중간 삭제 및 추가 삽입이 가능한다. 즉, 새로 추가하는 모든 조건은 마지막에 더해진다. (순서가 하향식 계산이다.)

Access Control Lists 2) Extended ACL (100-199) - standard ACL은 source address만 조건으로 보고 filtering을 수행한다. 하지만 extended ACL은 출발지와 목적지 주소(destination address) 모두를 조건으로 보고 제어한다. - 또한 standard ACL은 TCP/IP에 대해 제어만을 하지만 extended ACL은 ip, tcp, udp, icmp 등의 상세 프로토콜을 선택해서 설정할 수 있다. - extended ACL의 사용 list-number는 100-199까지 사용한다. ex) R1(config)#access-list 101 deny ip 192.100.51.0 0.0.0.255 210.150.6.0 0.0.0.255 R2(config)#access-list 110 deny tcp 200.101.52.0 0.0.0.255 129.29.31.0 0.0.0.255 eq 80

Access Control Lists 2) Extended ACL (100-199) * Well Known Port (지정포트) 1) TCP : FTP(20, 21), Telnet(23), SMTP(25), HTTP(80), HTTPs(443) 2) UDP : DNS(53), TFTP(69), DHCP(67, 68)

Access Control Lists 2) Extended ACL (100-199) R1(config)#access-list <list-number> {permit|deny} <protocol> 1 2 3 source [mask] destination [mask] [operator port] 4 5 6 1 : list-number는 100-199까지의 번호를 사용한다. (100-199까지가 extended ACL의 번호이다.) 2 : 조건에 맞는 트래픽을 permit할지 deny할지 결정한다. 3 : filtering을 할 프로토콜을 정의한다. (TCP, UDP, IP 등) 4 : source address를 지정한다. 5 : destination address를 지정한다. 6 : 목적지 TCP/UDP 포트 이름 및 번호를 지정한다. ex) R1(config)#access-list 101 deny ip 192.100.51.0 0.0.0.255 210.150.6.0 0.0.0.255 R2(config)#access-list 110 deny tcp 200.101.52.0 0.0.0.255 129.29.31.0 0.0.0.255 eq 80

Access Control Lists - Interface 적용 - 2) Extended ACL (100-199) R1(config)#interface serial 0/0 R1(config-if)#ip access-group <access-list-number> {in | out} 1 2 1 : 앞에서 정의한 ACL을 불러와서 filtering 내용을 인터페이스에 적용한다. 2 : inbound와 outbound 설정. in은 라우터의 인터페이스로 packet이 들어오는 경우 out은 packet이 라우터의 인터페이스에서 나가는 경우 * standard ACL은 항상 destination 라우터 쪽에 설정되어야 한다. 중간 라우터에 설정하면 다른 라우터들까지 ACL의 영향을 받아서 정상적으로 패킷 전송이 이루어지지 않을 수 있다. ex) R1(config)#interface serial 0/0 R1(config-if)#ip access-group 101 in