ACL 트래픽 필터링 실습
이 실습은 확장 ACL(Extended Access Control List)을 사용하여 네트워크 보안을 강화하는 방법에 대해 다룹니다.
확장 ACL은 IP 헤더의 출발지 주소, 목적지 주소, 프로토콜 등을 검사하여 패킷의 허용 또는 차단을 결정합니다.
ACL 접근 제어 목록
(Access Control List)
허가되지 않은 이용자가 라우터나 네트워크의 특정 자원에 접근하려고 하는 것을 차단하는 기능입니다.
ACL에 대한 자세한 개념은 아래 글을 참고해 주세요!
https://jdcyber.tistory.com/17
ACL (Access Control List) 이란? ACL 구성 가이드: 네트워크 보안 강화를 위한 필수 지침 (쉬운 설명, 예
ACL (Access Control List) 정의 및 개념 ACL (Access Control List) 은 네트워크 보안의 핵심 구성 요소로, 네트워크 장비에서 데이터 패킷의 흐름을 제어하는 데 사용되는 일련의 지침입니다. 이 규칙들은 특
jdcyber.tistory.com
R1에서 조건에 맞게 Extended ACL를 구성해 봅시다.
(IP Header의 Source Address, Destination Address, Protocol 등을 검사하여 분류한 후, 결과에 따라 패킷 출력을 결정)
| 조건 |
| 출발지 네트워크가 ‘13.13.30.0/24’인 트래픽이 내부 로컬 네트워크 ‘13.13.10.1’로 Telnet 접근을 차단하여라. (목적: 이 규칙의 주요 목적은 내부 네트워크 '13.13.10.1'로의 무단 Telnet 접근을 차단하는 것입니다. Telnet 프로토콜은 암호화되지 않은 통신을 사용하기 때문에, 민감한 데이터가 노출될 위험이 있습니다. 따라서, 특정 출발지 네트워크 '13.13.30.0/24'에서 오는 Telnet 트래픽을 차단함으로써, 무단 접근과 데이터 유출을 방지하고 네트워크 보안을 강화합니다.) 명령어: access-list 110 deny tcp 13.13.30.0 0.0.0.255 host 13.13.10.1 eq 23 외부에서 내부 서버 ’13.13.10.100’으로 Ping이 되는 것을 차단하여라. 단, '13.13.10.100' 서버는 외부로 Ping이 되어야 한다. (목적: 이 규칙은 외부에서 내부 서버 '13.13.10.100'으로의 Ping(즉, ICMP 'echo' 요청)을 차단하여, 서버가 네트워크 서비스 거부(DoS) 공격이나 다른 형태의 네트워크 공격에 노출되는 것을 방지합니다. 동시에, 서버가 외부로 Ping을 보낼 수 있도록 설정하여 네트워크 연결 상태를 확인할 수 있게 합니다.) 명령어: access-list 110 deny icmp any host 13.13.10.100 echo 출발지 네트워크가 ‘13.13.20.0/24’인 트래픽이 내부 로컬 웹서버 ‘13.13.10.100’으로 접근하는 것을 차단하여라. 목적: 이 설정은 '13.13.20.0/24' 네트워크에서 오는 트래픽이 내부 로컬 웹서버 '13.13.10.100'으로의 접근을 차단합니다. 이는 웹 서버를 무단 접근과 잠재적인 공격으로부터 보호하며, 웹 서버의 데이터 보안과 안정성을 유지하는 데 중요합니다. 명령어: access-list 110 deny tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80 위에 조건을 제외한 나머지 트래픽은 허용한다. |
위의 조건을 구성할 때에는 최대한 간결하게 ACL를 구성하며, ACL을 R1 Serial 1/0에 적용하여라.
| 명령어 |
conf t
(출발지 네트워크가 ‘13.13.30.0/24’인 트래픽이 내부 로컬 네트워크 ‘13.13.10.1’로 Telnet 접근을 차단)
access-list 110 deny tcp 13.13.30.0 0.0.0.255 host 13.13.10.1 eq 23
(외부에서 내부 서버 ’13.13.10.100’으로 Ping이 되는 것을 차단. 단, '13.13.10.100' 서버는 외부로 Ping 가능하도록 설정)
access-list 110 deny icmp any host 13.13.10.100 echo
(출발지 네트워크가 ‘13.13.20.0/24’인 트래픽이 내부 로컬 웹서버 ‘13.13.10.100’으로 접근하는 것을 차단)
access-list 110 deny tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80
(위에 조건을 제외한 나머지 트래픽은 허용)
access-list 110 permit ip any any
!
(위의 조건을 구성할때에는 최대한 간결하게 ACL를 구성하며, ACL을 R1 Serial 1/0 에 적용)
int s1/0
ip access-group 110 in
| 확인 |
show ip access-lists
(해당 기능을 통해 아래 ICMP 스마트 공격을 방어할 수 있습니다.)
(ICMP 스마트 공격)
SA 13.13.10.100
DA 13.13.30.255
ICMP Echo-Reply
--------------------
SA 13.13.30.X
DA 13.13.10.100| 규칙 번호 | 유형 | 출발지 주소 | 목적지 주소 | 프로토콜 | 포트 | 동작 |
| 110 | Deny | 13.13.30.0/24 | 13.13.10.1 | TCP | 23 | Telnet 접근 차단 |
| 110 | Deny | Any | 13.13.10.100 | ICMP | - | 외부에서의 Ping 차단 |
| 110 | Deny | 13.13.20.0/24 | 13.13.10.100 | TCP | 80 | 웹 접근 차단 |
| 110 | Permit | Any | Any | IP | - | 모든 트래픽 허용 |
| - | Apply ACL | - | - | - | - | R1 Serial 1/0 인터페이스에 적용 |
이 표는 각 ACL 규칙의 세부 사항을 명확하게 보여줍니다.
각 규칙은 특정 트래픽 유형을 차단하거나 허용하도록 설정되어 있으며,
마지막으로 이러한 규칙들이 R1 라우터의 Serial 1/0 인터페이스에 적용됩니다.
이 실습은 네트워크 보안을 강화하는 데 필수적인 ACL의 구성 및 적용 방법을 보여줍니다. 이를 통해 특정 네트워크의 접근을 제어하고, 민감한 자원을 보호할 수 있습니다. 또한, 위험한 네트워크 트래픽을 효과적으로 차단하여 네트워크의 안전성을 유지할 수 있습니다.
궁금하신 사항은 댓글에 남겨주세요
댓글에 남겨주신 내용은
추후 정리해서 올려드리겠습니다
구독 신청하시면 업로드 시 알려드릴게요!
-
조금이라도 도움이 되셨다면
공감&댓글 부탁드리겠습니다
감사합니다!
'보안 > 실습' 카테고리의 다른 글
| 안전한 로그인 기능 구현을 위한 필수 보안 설정 및 방법 (1) | 2024.06.03 |
|---|---|
| ACL 트래픽 필터링 실습 #3 위험 사이트 차단 (예제, 연습, 네트워크, 보안, 패킷 트레이서) (0) | 2024.03.28 |
| VLAN 설정 (패킷 트레이서로 시작하는 네트워크 분리 실습 가이드) (1) | 2024.03.26 |
| ACL 트래픽 필터링 실습 #2 (예제, 연습, 네트워크, 보안, 패킷 트레이서) (0) | 2024.01.05 |