JD Securtiry Expert

컴퓨터 보안은 누구에게나 중요한 문제입니다.

하지만 보안 점검을 꾸준히 수행하는 것은 쉽지 않죠.

오늘 Python 스크립트를 활용해 간단하게나마 컴퓨터 보안을 자동으로 점검하는 방법과,

이를 Windows, macOS, Linux에서 매달 자동으로 실행되도록 설정하는 과정을 자세히 설명해보겠습니다.

먼저 체크리스트를 만들어야합니다.

전문적으로 모든 컴퓨터 내부를 살펴보고 보안관리를 하는것이 아니라

우선 가볍게 간단하게 매달 돌려볼 수 있는 보안 점검 리스트를 만들어 봅시다.

자동으로 스캔할 수 있는 항목

1. 운영 체제 및 소프트웨어 업데이트
   • 운영 체제가 최신 상태인지 확인 (Windows Update 상태 등).
   • 설치된 소프트웨어의 버전 확인.
2. 바이러스 및 악성코드 방지
   • 안티바이러스 소프트웨어의 실시간 보호 상태 확인 (Windows Defender 등).
   • 마지막으로 시스템이 스캔된 날짜 확인.
3. 네트워크 보안
   • 현재 연결된 네트워크의 암호화 상태 확인 (WPA2/WPA3 여부).
   • 활성 네트워크 어댑터 확인.
4. 파일 및 데이터 관리
   • 백업 디렉토리 또는 외장 하드 드라이브 상태 확인.
   • 다운로드 폴더의 최근 파일 검토(예: 잠재적으로 위험한 파일 확장자 탐지).
5. 브라우저 및 인터넷 사용
   • 브라우저 플러그인 설치 상태(Ad-blocker 확인).
   • 저장된 비밀번호 사용 여부.
6. 기타
   • 사용하지 않는 네트워크 어댑터(Wi-Fi, Bluetooth)가 비활성화되었는지 확인.

1. Python으로 보안 점검 스크립트 작성하기

먼저, 컴퓨터 보안을 점검할 수 있는 Python 스크립트를 작성합니다. 이 스크립트는 운영 체제의 상태를 확인하고, 네트워크 보안, 다운로드 폴더의 위험 파일 등을 간단히 분석합니다.

import os
import subprocess
import platform

# 운영 체제 확인 및 업데이트 상태 확인
def check_os_updates():
    os_name = platform.system()
    if os_name == "Windows":
        print("Windows 업데이트 상태 확인 중...")
        subprocess.run("powershell -Command Get-WindowsUpdate", shell=True)
    elif os_name == "Linux":
        print("Linux 패키지 업데이트 상태 확인 중...")
        os.system("sudo apt list --upgradable")
    elif os_name == "Darwin":
        print("MacOS 업데이트 상태 확인 중...")
        os.system("softwareupdate -l")
    else:
        print(f"운영 체제 {os_name}는 지원되지 않습니다.")

# 바이러스 및 실시간 보호 상태 확인 (Windows 전용)
def check_antivirus_status():
    os_name = platform.system()
    if os_name == "Windows":
        print("Windows Defender 상태 확인 중...")
        subprocess.run("powershell -Command Get-MpComputerStatus | Select-Object AMServiceEnabled, RealTimeProtectionEnabled", shell=True)
    else:
        print("현재 OS에서는 이 기능을 지원하지 않습니다.")

# 네트워크 어댑터 상태 확인
def check_network_security():
    print("네트워크 어댑터 상태 확인 중...")
    os_name = platform.system()
    if os_name == "Windows":
        subprocess.run("netsh wlan show interfaces", shell=True)
    elif os_name in ["Linux", "Darwin"]:
        os.system("nmcli device status")
    else:
        print(f"운영 체제 {os_name}는 네트워크 확인을 지원하지 않습니다.")

# 다운로드 폴더에서 위험 파일 탐지
def scan_download_folder():
    print("다운로드 폴더 내 파일 검사 중...")
    download_folder = os.path.expanduser("~/Downloads")
    if os.path.exists(download_folder):
        for file in os.listdir(download_folder):
            if file.endswith((".exe", ".bat", ".cmd", ".vbs")):
                print(f"주의: 위험 가능성이 있는 파일 발견 - {file}")
    else:
        print("다운로드 폴더를 찾을 수 없습니다.")

# 메인 실행
if __name__ == "__main__":
    print("컴퓨터 보안 스캔 시작...")
    check_os_updates()
    check_antivirus_status()
    check_network_security()
    scan_download_folder()
    print("보안 스캔 완료.")

2. 운영 체제별 스케줄링 설정

Python 스크립트를 매달 실행하려면 각 운영 체제에 맞는 스케줄링 도구를 사용해야 합니다.

2.1 Windows에서 작업 스케줄러(Task Scheduler) 설정

1. Python 스크립트 파일 저장
   위 코드를 C:\Scripts\security_scan.py로 저장합니다.
2. 작업 스케줄러 열기
   • Windows 검색창에 "작업 스케줄러(Task Scheduler)"를 입력하고 실행합니다.
3. 새 작업 만들기
   • **작업 만들기(Create Task)**를 클릭.
   • 이름: "Monthly Security Scan".
   • 설명: "매월 자동으로 Python 보안 스크립트를 실행".
4. 트리거 설정
   • 트리거 탭에서 **새로 만들기(New)**를 클릭.
   • 매월 실행되도록 설정(예: 매월 1일 오전 9시).
5. 동작 설정
   • 동작 탭에서 **새로 만들기(New)**를 클릭.
   • 프로그램/스크립트에 python을 입력.
   • 인수 추가에 스크립트 경로를 입력:
     makefile

      

C:\Scripts\security_scan.py

저장 후 테스트

• 작업 저장 후 "실행" 버튼으로 정상 실행 여부를 확인합니다.

2.2 macOS에서 launchd 사용

1. Python 스크립트 파일 저장
   • 위 코드를 예를 들어 /Users/사용자/Scripts/security_scan.py로 저장.
2. 플리스트(PLIST) 파일 생성
   • 플리스트 파일을 생성합니다

nano ~/Library/LaunchAgents/com.security.scan.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>com.security.scan</string>
    <key>ProgramArguments</key>
    <array>
        <string>/usr/bin/python3</string>
        <string>/Users/사용자/Scripts/security_scan.py</string>
    </array>
    <key>StartCalendarInterval</key>
    <dict>
        <key>Day</key>
        <integer>1</integer>
        <key>Hour</key>
        <integer>9</integer>
    </dict>
    <key>RunAtLoad</key>
    <true/>
</dict>
</plist>

3. 플리스트 로드 및 테스트

launchctl load ~/Library/LaunchAgents/com.security.scan.plist
launchctl start com.security.scan

2.3 Linux에서 cron 사용

1. Python 스크립트 파일 저장
   • 위 코드를 /home/사용자/Scripts/security_scan.py로 저장.
2. 크론 편집
   • 크론 편집기를 엽니다:

crontab -e

0 9 1 * * /usr/bin/python3 /home/사용자/Scripts/security_scan.py

테스트

python3 /home/사용자/Scripts/security_scan.py

3. 실행 결과 로그 저장

결과를 파일로 저장하려면 스크립트 또는 스케줄 설정에 로그를 추가하면 됩니다.

스크립트에 로그 추가

import logging

# 로그 설정
logging.basicConfig(
    filename="security_scan.log",
    level=logging.INFO,
    format="%(asctime)s - %(message)s"
)

logging.info("보안 스캔 시작...")
# 기존 점검 함수 호출
logging.info("보안 스캔 완료.")

스케줄 설정에서 로그 추가

• Windows: >> C:\Scripts\security_scan.log 2>&1
• macOS/Linux: >> /path/to/security_scan.log 2>&1
  

오늘 우리는 위 과정을 통해 Python 스크립트를 작성하고,

매달 자동으로 실행되도록 설정하는 방법을 배웠습니다.

이러한 자동화를 통해 보안을 효율적으로 관리하고, 중요한 문제를 미리 예방할 수 있습니다.

문의사항은 댓글로 남겨주세요!

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

이웃 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

로그인 기능은 웹 애플리케이션에서
사용자 인증을 담당하는 중요한 부분입니다.
보안을 강화하지 않으면 사용자의 계정이 탈취되거나
시스템에 무단 접근이 발생할 수 있습니다.
이번 글에서는 안전한 로그인 기능을 구현하기 위해
필수적으로 적용해야 할 보안 설정과
방법을 세세하게 살펴보겠습니다.
 
오늘은 프로그래밍 언어
파이썬(python)을 사용하겠습니다.

1. 비밀번호 보호

1.1 비밀번호 해싱 및 솔팅
비밀번호를 안전하게 저장하기 위해
해싱과 솔팅 기법을 사용합니다.

• 해싱: 비밀번호를 해시 함수(bcrypt, Argon2 등)를 사용하여 해시된 값으로 변환합니다. 해시는 단방향 함수이므로 원본 비밀번호를 추출할 수 없습니다.
• 솔팅: 각 비밀번호에 무작위 솔트 값을 추가하여 해시합니다. 동일한 비밀번호라도 솔트가 다르면 해시 값이 달라져서 무차별 대입 공격을 방지할 수 있습니다.

# bcrypt 설치
# pip install bcrypt

import bcrypt

def hash_password(password):
    salt = bcrypt.gensalt()
    hashed_password = bcrypt.hashpw(password.encode('utf-8'), salt)
    return hashed_password

def check_password(hashed_password, user_password):
    return bcrypt.checkpw(user_password.encode('utf-8'), hashed_password)

1.2 비밀번호 복잡성 규칙
강력한 비밀번호를 설정하도록 유도합니다.
최소 길이, 대문자, 소문자, 숫자, 특수문자를
포함하는 규칙을 설정합니다.

• 예시: 최소 8자 이상, 대문자 1자, 소문자 1자, 숫자 1자, 특수문자 1자 포함

import re

def is_password_strong(password):
    if (len(password) < 8 or 
        not re.search(r"[A-Z]", password) or 
        not re.search(r"[a-z]", password) or 
        not re.search(r"\d", password) or 
        not re.search(r"[!@#$%^&*(),.?\":{}|<>]", password)):
        return False
    return True

password = "Example1!"
if is_password_strong(password):
    print("Password is strong.")
else:
    print("Password is weak.")

2. 로그인 시도 제한

2.1 로그인 시도 제한
사용자가 일정 횟수 이상 잘못된 비밀번호를 입력하면
계정을 일시적으로 잠금 처리합니다.

• 예시: 5회 실패 시 15분 동안 계정을 잠금

from datetime import datetime, timedelta

login_attempts = {}

def record_login_attempt(username, success):
    if username not in login_attempts:
        login_attempts[username] = {'attempts': 0, 'last_attempt': None, 'lock_until': None}
    
    # 계정이 잠겨있는지 확인
    if login_attempts[username]['lock_until'] and datetime.now() < login_attempts[username]['lock_until']:
        return "Account is locked. Try again later."
    
    # 로그인 성공 시 시도 횟수 초기화
    if success:
        login_attempts[username]['attempts'] = 0
    else:
        login_attempts[username]['attempts'] += 1
        login_attempts[username]['last_attempt'] = datetime.now()
        # 5회 실패 시 계정 잠금
        if login_attempts[username]['attempts'] >= 5:
            login_attempts[username]['lock_until'] = datetime.now() + timedelta(minutes=15)
            return "Account is locked due to too many failed attempts."
    
    return "Login attempt recorded."

2.2 캡차(CAPTCHA)
여러 번 로그인 실패 후 캡차를 요구하여 봇에 의한
자동화된 공격을 방지합니다.
캡차는 reCAPTCHA 등 서비스를 이용할 수 있습니다.

<form action="/login" method="post">
    <!-- Other login fields -->
    <div class="g-recaptcha" data-sitekey="your_site_key"></div>
    <button type="submit">Login</button>
</form>
<script src="https://www.google.com/recaptcha/api.js"></script>

3. CSRF(Cross-Site Request Forgery) 토큰

3.1 CSRF 토큰 사용
로그인 폼에 CSRF 토큰을 포함하여,
서버가 해당 요청이 신뢰할 수 있는 출처에서 왔는지
확인합니다.
이를 통해 CSRF 공격을 방지할 수 있습니다.

from flask import Flask, request, session, render_template_string
import os

app = Flask(__name__)
app.secret_key = os.urandom(24)

def generate_csrf_token():
    if 'csrf_token' not in session:
        session['csrf_token'] = os.urandom(24).hex()
    return session['csrf_token']

@app.route('/login', methods=['GET', 'POST'])
def login():
    if request.method == 'POST':
        token = request.form.get('csrf_token')
        if not token or token != session['csrf_token']:
            return "CSRF token mismatch", 400
        # Process login
    return render_template_string("""
        <form method="POST">
            <input type="hidden" name="csrf_token" value="{{ csrf_token }}">
            <!-- Other login fields -->
            <button type="submit">Login</button>
        </form>
    """, csrf_token=generate_csrf_token())

4. 2단계 인증(Two-Factor Authentication, 2FA)

4.1 2단계 인증 도입
비밀번호 외에도 추가 인증 요소를 요구합니다.
예를 들어, SMS, 이메일로 전송된 인증 코드,
인증 앱(Google Authenticator 등)을 사용한 코드를 입력하도록 요구할 수 있습니다.

import random

def send_otp_via_sms(phone_number):
    otp = random.randint(100000, 999999)
    # Code to send SMS
    return otp

def verify_otp(user_input, actual_otp):
    return user_input == actual_otp

# 예시 사용법
otp = send_otp_via_sms("+1234567890")
user_input = input("Enter the OTP sent to your phone: ")
if verify_otp(user_input, otp):
    print("OTP verified successfully.")
else:
    print("Invalid OTP.")

5. 세션 관리

5.1 세션 타임아웃
일정 시간 동안 사용자의 활동이 없으면
자동으로 로그아웃 시킵니다.

from flask import Flask, session
from datetime import timedelta

app = Flask(__name__)
app.secret_key = os.urandom(24)

@app.before_request
def make_session_permanent():
    session.permanent = True
    app.permanent_session_lifetime = timedelta(minutes=30)

from flask import Flask, session

app = Flask(__name__)
app.secret_key = os.urandom(24)

@app.route('/login', methods=['POST'])
def login():
    # Authenticate user
    user = authenticate_user() # 가정한 함수
    if user:
        session.clear()
        session['user_id'] = user.id
        return "Login successful"
    return "Invalid credentials"

6. SSL/TLS를 통한 데이터 암호화

6.1 SSL/TLS 사용
로그인 페이지 및 API 통신에 SSL/TLS를 사용하여 전송되는 데이터를 암호화합니다.
이를 통해 중간자 공격(MITM)을 방지할 수 있습니다.

• SSL 인증서를 설치하고 HTTPS를 적용합니다.

server {
    listen 443 ssl;
    server_name your_domain.com;

    ssl_certificate /path/to/your_certificate.crt;
    ssl_certificate_key /path/to/your_private.key;

    location / {
        proxy_pass http://localhost:5000;
        # Other configurations
    }
}

7. 계정 잠금 및 경고

7.1 계정 잠금
여러 번 로그인 실패 시 계정을 잠그고,
사용자가 등록한 이메일로 경고 메시지를 보냅니다.

def send_account_lock_email(user_email):
    # Code to send email
    pass

def lock_account(username):
    # Lock account logic
    send_account_lock_email(username)

7.2 로그인 알림
새로운 디바이스나 IP 주소에서 로그인 시 사용자가 알림을 받도록 설정할 수 있습니다.

def send_new_login_alert(user_email, ip_address):
    # Code to send email alert
    pass

8. 입력 데이터 유효성 검사

8.1 입력 데이터 검증
모든 사용자 입력 데이터에 대해 유효성 검사를 수행하여 SQL 인젝션, XSS 등의 공격을 방지합니다.

from flask import escape

@app.route('/login', methods=['POST'])
def login():
    username = escape(request.form.get('username'))
    password = escape(request.form.get('password'))
    # Process login

9. 보안 감사 및 로그

9.1 보안 로그
로그인 시도, 실패, 비밀번호 변경 등의 보안 관련 이벤트를 로깅하여 나중에 분석할 수 있도록 합니다.

import logging

logging.basicConfig(filename='security.log', level=logging.INFO)

def log_security_event(event):
    logging.info(event)

# 예시 사용법
log_security_event("User login attempt")

9.2 감사 로그
의심스러운 활동을 감지하고 대응할 수 있도록 보안 감사 로그를 유지합니다.

def log_suspicious_activity(user_id, activity):
    logging.warning(f"Suspicious activity detected for user {user_id}: {activity}")

# 예시 사용법
log_suspicious_activity(123, "Multiple failed login attempts")

오늘은 안전한 로그인 기능을 위한 보안 설정을 알아봤습니다.
오늘 설정한 내용 아래에서 한번 더 볼까요?

이러한 보안 설정을 통해 로그인 기능의 보안을 강화하고,
사용자 계정 및 시스템을 보다 안전하게 보호할 수 있습니다.
최신 보안 권고사항을 참고하고,
자동화된 보안 도구를 적극 활용하여 시스템의 안전성을 높여주세요
 
보안은 한 번에 완성되는 것이 아니라 지속적으로 관리하고 업데이트해야 하는 부분입니다.
따라서 정기적인 보안 점검과 최신 보안 패치 적용을 통해 안전한 웹 애플리케이션을 유지하시기 바랍니다.
이 글이 안전한 로그인 기능을 구현하는 데 도움이 되었기를 바랍니다.
추가적인 질문이나 도움이 필요하다면 언제든지 댓글로 남겨주세요.
감사합니다!

conf t
(각각의 내부 네트워크에서는 www.ilbe.com, www.toto24.com으로 접근되지 않도록 차단)
access-list 110 deny ip 13.13.10.0 0.0.255.255 host 141.101.121.208
access-list 110 deny ip 13.13.10.0 0.0.255.255 host 81.150.200.78
access-list 110 permit ip any any
!
int fa0/0
ip access -group 110 int
!
(13.13.20.0/24, 13.13.30.0/24 네트워크만 '13.13.10.100' 웹, FTP 접근이 가능도록 설정)
('13.13.10.100'으로 접근하는 모든 ICMP는 차단 단, '13.13.10.100'은 '13.13.20.0/24', '13.13.30.0/24'로 Ping 가능하도록 설정)
access-list 120 permit tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80
access-list 120 permit tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 443
access-list 120 permit tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 range 20 21
access-list 120 permit tcp 13.13.30.0 0.0.0.255 host 13.13.10.100 eq 80
access-list 120 permit tcp 13.13.30.0 0.0.0.255 host 13.13.10.100 eq 443
access-list 120 permit tcp 13.13.30.0 0.0.0.255 host 13.13.10.100 range 20 21
access-list 120 deny tcp any host 13.13.10.100 eq80
access-list 120 deny tcp any host 13.13.10.100 eq443
access-list 120 deny tcp any host 13.13.10.100 range 20 21
access-list 120 permit icmp 13.13.20.0 0.0.0.255 host 13.13.10.100 echo-reply
access-list 120 permit icmp 13.13.30.0 0.0.0.255 host 13.13.10.100 echo-reply
access-list 120 deny icmp any host 13.13.10.100
access-list 120 permit ip any any
!
int s0/0/0
ip access-group 120 in

show ip access-lists

신중한 IP 주소 및 서비스 선정

• 정밀한 대상 지정: ACL을 설정할 때, 차단하거나 허용해야 하는 특정 IP 주소, 네트워크, 또는 서비스(웹, FTP, ICMP 등)를 명확히 식별해야 합니다. 이는 불필요한 접근을 정확히 차단하고, 필요한 트래픽은 원활하게 통과시키는 데 중요합니다.

최소 권한 원칙 적용

• 필요한 최소한의 접근만 허용: 네트워크 보안에서는 항상 최소 권한 원칙(Principle of Least Privilege)을 적용해야 합니다. 이는 사용자나 시스템이 자신의 업무를 수행하는 데 필요한 최소한의 권한만을 가지도록 하는 것입니다. ACL 설정 시, 이 원칙에 따라 필수적인 접근만 허용하고 나머지는 기본적으로 차단하는 방식을 채택해야 합니다.

서비스별 포트 번호 인식

• 적절한 포트 사용: 웹(HTTP, HTTPS)이나 FTP 서비스에 대한 접근을 허용하거나 차단할 때, 각 서비스의 표준 포트 번호(예: HTTP는 80, HTTPS는 443, FTP는 20과 21)를 정확히 지정해야 합니다. 잘못된 포트 번호 설정은 의도하지 않은 서비스 접근을 허용하거나 차단할 수 있습니다.

정책 구현 후 검증

• 설정 후 검증: ACL을 구성한 후에는 show ip access-lists 명령어를 사용하여 설정된 규칙을 검토하고, 실제 네트워크 트래픽이 의도한 대로 필터링되는지 확인해야 합니다. 또한, 허용된 접근과 차단된 접근 모두를 테스트하여 ACL이 정상적으로 작동하는지 검증해야 합니다.

문서화 및 지속적 관리

• 구성 문서화: ACL 설정을 문서화하여 관리하면 나중에 네트워크 변경이나 문제 해결 시 큰 도움이 됩니다. 구성 변경 사항을 기록해 두면, 미래의 보안 감사나 네트워크 개선 작업에 유용한 참고 자료가 됩니다.
• 지속적인 업데이트와 관리: 네트워크 환경은 지속적으로 변화하므로, ACL도 새로운 보안 위협, 변경된 네트워크 구성, 새로운 서비스 요구 사항에 맞게 주기적으로 검토하고 업데이트해야 합니다.

ACL 실습을 진행할 때, 위의 지침들을 철저히 따르는 것이 중요합니다.

이를 통해 네트워크 보안을 강화하고, 불필요한 접근을 효과적으로 차단할 수 있습니다.

또한, 실습 과정에서 발생할 수 있는 다양한 문제를 예방하고, 보안 정책을 효과적으로 구현할 수 있습니다.

VLAN

오늘은 VLAN을 실제로 설정해 보는 실습을 진행하도록 하겠습니다.

글에 앞서 VLAN에 대해서 아직 잘 모르시겠다면 아래 글을 읽고 와주세요!

https://jdcyber.tistory.com/53

오늘 실습에 이용해 볼 소프트웨어는 패킷트레이서(Packet tracer)입니다.

패킷 트레이서(Packet Tracer)는 Cisco에서 개발한 네트워크 시뮬레이션 도구로,

네트워크 설계, 구성, 테스트 등을 가상 환경에서 실습할 수 있게 해주는 프로그램입니다.

이 도구에 대해 모르신다면 아래 글을 참조해 주세요!

(작성 중)

오늘 실습의 목적은 VLAN 생성 및 관리의 기본을 배우고,

네트워크의 논리적 분리를 이해하며, 보안과 관리 효율성을 향상시키는 방법을 학습하기 위함입니다.

VLAN 생성하기

1. VLAN 생성 명령어 입력:
   • #conf t 명령어로 글로벌 구성 모드에 진입합니다.
   • (config)#vlan 11 명령어로 VLAN 11을 생성합니다.
   • (config-vlan)#name VLAN_A 명령어로 생성된 VLAN에 이름을 지정합니다.
   • 동일한 방식으로 VLAN 12와 VLAN 13을 생성하고 각각 VLAN_B, VLAN_C라는 이름을 부여합니다.
2. 생성된 VLAN 확인:
   • #show vlan brief 명령어를 통해 현재 스위치에 구성된 VLAN 목록과 상태를 확인할 수 있습니다. 이때, VLAN 11, 12, 13이 성공적으로 생성되었는지 확인합니다.

VLAN Access 설정하기

VLAN을 생성한 후, 각 VLAN에 특정 포트를 할당하여 네트워크 장비들이 해당 VLAN에 속하도록 설정할 수 있습니다.

1. VLAN Access 포트 설정 명령어 입력:
   • #conf t 명령어로 다시 글로벌 구성 모드에 진입합니다.
   • (config)#int fa0/1 명령어로 인터페이스 FastEthernet 0/1을 선택합니다.
   • (config-if)#switchport mode access 명령어로 이 포트를 액세스 모드로 설정합니다.
   • (config-if)#switchport access vlan 11 명령어로 이 포트를 VLAN 11에 할당합니다.
   • 동일한 방식으로 fa0/2 포트를 VLAN 12에 할당합니다.
2. 설정 확인:
   • #show run 명령어를 사용하여 현재 구성을 확인합니다.
   • #show vlan brief 명령어로 각 VLAN에 할당된 포트들을 확인합니다.

명령어 모음

실습을 진행함에 있어 아래와 같은 실수를 많이 하셔서 남겨둡니다.

• VLAN 설정이 반영되지 않는 경우:
  • 해결 방법: show vlan brief 명령어를 사용하여 현재 VLAN 설정을 확인합니다. 설정이 올바르게 반영되지 않았다면, 설정 과정을 다시 한번 점검하고, 오타나 누락된 부분이 없는지 확인합니다.
• 특정 포트에서 트래픽이 통과하지 않는 경우:
  • 해결 방법: 포트가 올바른 VLAN에 할당되었는지, 그리고 해당 포트의 switchport mode access 설정이 올바르게 적용되었는지 확인합니다. 또한, 해당 포트의 상태가 활성화되어 있는지 show interface [interface-id] 명령어를 통해 확인합니다.
• VLAN 간 통신 문제:
  • 해결 방법: VLAN 간 통신이 필요한 경우, Layer 3 장비를 통한 라우팅 설정이 필요합니다. 이는 VLAN 설정과는 별도의 고급 설정이며, 관련 지식이 필요합니다. 기본적으로 VLAN은 네트워크를 논리적으로 분리하기 때문에, VLAN 간 통신을 위해서는 추가적인 설정이 요구됩니다.

VLAN 생성과 포트 할당 과정을 통해,

각각의 VLAN에 특정 포트를 할당함으로써 네트워크의 논리적 분리를 실습해 보았습니다.

패킷 트레이서 같은 시뮬레이션 도구를 이용하면,

네트워크 구성과 관리 기술을 손쉽게 배우고 실습해 볼 수 있습니다.

ACL 접근 제어 목록 (Access Control List)

허가되지 않은 이용자가 라우터나 네트워크의 특정 자원에 접근하려고 하는 것을 차단하는 기능입니다.

첫 번째 실습에 이어 두 번째 시간입니다.

이 실습에서는 네트워크 보안의 중요한 측면인 접근 제어와 트래픽 관리를 실습합니다.

이 실습의 주된 목적은 네트워크 보안을 강화하고 특정 네트워크 트래픽을 제어하는 방법을 배우는 것입니다.
ACL을 사용하여 특정 소스에서 오는 또는 특정 목적지로 가는 트래픽을 제어하고,
네트워크 자원에 대한 무단 접근을 방지하는 방법을 배울 수 있습니다.

​

ACL에 대한 자세한 개념은

아래 글을 참고해 주세요!

https://jdcyber.tistory.com/17

​

다음 조건에 맞게 ACL를 이용하여 R3에서 트래픽 필터링을 구현하세요

(패킷 트레이서 예제 파일은 본 글 하단에 첨부 해놨습니다.)

conf t
(R3 외부 트래픽 중 출발지 네트워크 ‘13.13.10.0/24’인 트래픽이 내부 로컬 네트워크 ‘13.13.30.0/24’로 Telnet 접근 차단)
access-list 110 deny tcp 13.13.10.0 0.0.0.255 13.13.30.0 0.0.0.255 eq23

(R3 HTTP/FTP 서버는 외부로부터 ICMP 공격을 받고 있는 상태. 외부로 수신하는 ICMP를 차단하여 공격을 방지 단, 서버는 외부로 Ping이 가능도록 설정) access-list 110 deny icmp any host 13.13.30.3 echo

(R3 외부에서 오는 트래픽 중 출발지 네트워크가 ‘13.13.20.0/24’인 트래픽이 내부 로컬 웹서버 ‘13.13.30.3’에 접근하는 것을 차단) access-list 110 deny tcp 13.13.20.0 0.0.0.255 host 13.13.30.3 eq 80

(위에 조건을 제외한 나머지 트래픽은 허용) access-list 110 permit ip any any
!
(위의 조건을 구성할때에는 최대한 간결하게 ACL를 구성하며, ACL을 R1 Serial 1/1 에 적용)
int s1/1
ip access-group 110 in

1. Telnet 접근 차단 (출발지 네트워크 '13.13.10.0/24'에서 '13.13.30.0/24'로):
   설명: 이 단계에서는 '13.13.10.0/24' 네트워크에서 '13.13.30.0/24' 네트워크로의 Telnet 접근을 차단하는 ACL 규칙을 설정합니다. 이는 무단 접근을 막아 네트워크의 보안을 강화하는 데 중요합니다.
   명령어: access-list 110 deny tcp 13.13.10.0 0.0.0.255 13.13.30.0 0.0.0.255 eq 23
   
   
2. ICMP 공격 방지 (HTTP/FTP 서버 '13.13.30.3'로의 ICMP 수신 차단):
   설명: 이 단계는 R3에 위치한 HTTP/FTP 서버를 ICMP 공격으로부터 보호합니다. 외부에서 서버로의 ICMP 메시지를 차단하되, 서버가 외부로 Ping을 할 수 있도록 설정합니다.
   명령어: access-list 110 deny icmp any host 13.13.30.3 echo
   
   
3. 특정 트래픽 차단 (출발지 네트워크 '13.13.20.0/24'에서 웹서버 '13.13.30.3'로의 접근 차단):
   설명: 이 규칙은 '13.13.20.0/24' 네트워크에서 내부 로컬 웹서버 '13.13.30.3'으로의 접근을 차단합니다. 특정 네트워크 소스로부터의 웹 트래픽을 제한하여 서버 보안을 강화합니다.
   명령어: access-list 110 deny tcp 13.13.20.0 0.0.0.255 host 13.13.30.3 eq 80
   
   
4. 나머지 트래픽 허용:
   설명: 이 규칙은 위에 나열된 조건을 제외한 모든 트래픽을 허용합니다. ACL은 위에서 아래로 규칙을 평가하므로, 맨 마지막에 'permit' 규칙을 두어 그 이외의 모든 트래픽을 통과시킵니다.
   명령어: access-list 110 permit ip any any

show ip access-lists

패킷 트레이서 예제 파일

​

ACL이란?

ACL 트래픽 필터링 실습 #1

ACL 트래픽 필터링 실습 #2

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

이웃 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!