JD Securtiry Expert

ACL (Access Control List) 정의 및 개념

ACL (Access Control List) 은 네트워크 보안의 핵심 구성 요소로,

네트워크 장비에서 데이터 패킷의 흐름을 제어하는 데 사용되는 일련의 지침입니다.

이 규칙들은 특정 조건에 따라 네트워크 트래픽을 허용하거나 차단합니다.

ACL은 주로 라우터와 스위치와 같은 네트워크 장비에 구성되며,

네트워크 보안을 강화하고 데이터 흐름을 관리하는 데 중요한 역할을 합니다.

ACL 구성 시 고려해야 할 사항
네트워크 요구 사항 파악: ACL을 구성하기 전에, 네트워크의 요구 사항과 목적을 명확히 이해해야 합니다.
어떤 트래픽을 차단하거나 허용해야 하는지, 그리고 그 이유에 대해 정확히 알고 있어야 합니다.

최소 권한 원칙: 네트워크 보안에서 항상 최소 권한 원칙을 따르는 것이 중요합니다.
즉, 필요한 최소한의 트래픽만 허용하고, 나머지는 기본적으로 차단하는 방식으로 ACL을 구성합니다.

ACL 순서의 중요성: ACL 규칙은 순차적으로 처리되므로, 규칙의 순서가 매우 중요합니다.
더 구체적인 규칙을 먼저 배치하고, 더 일반적인 규칙을 나중에 배치해야 합니다.

테스트 및 검증: ACL을 적용하기 전에는 반드시 테스트를 거쳐야 합니다.
잘못 구성된 ACL은 네트워크 성능에 부정적인 영향을 미칠 수 있으며, 심지어 중요한 네트워크 트래픽을 차단할 수도 있습니다.

문서화 및 관리: 구성된 ACL은 문서화하여 관리하는 것이 좋습니다.
이는 나중에 네트워크 변경이나 문제 해결 시 유용하게 사용될 수 있습니다.

ACL (Access Control List) 설정 예제

1. 표준 ACL 구성:
   • access-list 1 deny ip 192.168.1.100 : IP 주소가 192.168.1.100인 호스트의 모든 트래픽을 차단합니다.
   • access-list 1 permit any : 위 조건을 제외한 모든 트래픽을 허용합니다.
2. 라우터 인터페이스에 ACL 적용:
   • interface GigabitEthernet0/1
   • ip access-group 1 out : GigabitEthernet0/1 인터페이스에서 나가는 트래픽에 대해 ACL 1을 적용합니다.

확장 ACL 구성 예제:

외부 네트워크에서 특정 서버로의 SSH 접근을 차단하고자 할 때 확장 ACL을 사용할 수 있습니다.

1. 확장 ACL 구성:
   • access-list 100 deny tcp any host 192.168.1.200 eq 22 : 모든 출발지에서 IP 주소가 192.168.1.200인 서버로의 TCP 포트 22(SSH) 접근을 차단합니다.
   • access-list 100 permit ip any any : 위 조건을 제외한 모든 트래픽을 허용합니다.
2. 라우터 인터페이스에 ACL 적용:
   • interface GigabitEthernet0/0
   • ip access-group 100 in : GigabitEthernet0/0 인터페이스로 들어오는 트래픽에 대해 ACL 100을 적용합니다.

ACL 구성과 관련된 일반적인 실수 및 해결 방법

1. 규칙 순서 실수:
실수: ACL 규칙은 순차적으로 처리되므로, 순서를 잘못 설정하면 트래픽이 의도하지 않은 방식으로 필터링될 수 있습니다.
해결 방법: 규칙을 추가하기 전에, 각 규칙이 어떻게 트래픽을 처리할지 철저히 계획하고, 더 구체적인 규칙을 먼저 배치합니다.

2. 너무 광범위한 차단 규칙 설정:
실수: 너무 광범위한 트래픽을 차단하는 규칙을 설정함으로써 필요한 트래픽까지 차단하는 경우가 있습니다.
해결 방법: 필요한 트래픽과 차단해야 할 트래픽을 명확히 구분하고, 트래픽을 차단하기 전에 그 영향을 면밀히 고려합니다.

3. 테스트와 모니터링의 부족:
실수: 새로운 ACL을 적용한 후 적절한 테스트와 모니터링을 하지 않아 예상치 못한 문제가 발생하는 경우가 있습니다.
해결 방법: ACL을 네트워크에 적용한 후, 즉시 테스트를 실시하고 정기적으로 네트워크 트래픽을 모니터링하여, 필요한 조정을 즉시 수행합니다.

4. 문서화 및 업데이트 미흡:
실수: 구성된 ACL의 문서화를 소홀히 하여 나중에 설정을 이해하거나 변경하기 어려운 경우가 있습니다.
해결 방법: 모든 ACL 설정을 문서화하고, 변경사항이 있을 때마다 이를 업데이트하여 관리합니다.

ACL은 네트워크의 보안과 데이터 흐름 관리에 매우 중요합니다.

올바르게 구성되고 적용된 ACL은 네트워크를 보호하고,

불필요한 트래픽으로 인한 네트워크 성능 저하를 방지하는 데 도움이 됩니다.

하지만, 잘못 구성된 ACL은 네트워크의 정상적인 운영을 방해할 수 있으므로,

신중한 계획과 테스트가 필요합니다.

아래는 이해를 돕기 위하여 실습 내용을 담았으니 참고 해주세요

https://jdcyber.tistory.com/16

ACL 트래픽 필터링 실습 #2

ACL 트래픽 필터링 실습 #3

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

ACL 트래픽 필터링 실습

이 실습은 확장 ACL(Extended Access Control List)을 사용하여 네트워크 보안을 강화하는 방법에 대해 다룹니다.

확장 ACL은 IP 헤더의 출발지 주소, 목적지 주소, 프로토콜 등을 검사하여 패킷의 허용 또는 차단을 결정합니다.

ACL 접근 제어 목록

(Access Control List)

허가되지 않은 이용자가 라우터나 네트워크의 특정 자원에 접근하려고 하는 것을 차단하는 기능입니다.

ACL에 대한 자세한 개념은 아래 글을 참고해 주세요!

https://jdcyber.tistory.com/17

R1에서 조건에 맞게 Extended ACL를 구성해 봅시다.

(IP Header의 Source Address, Destination Address, Protocol 등을 검사하여 분류한 후, 결과에 따라 패킷 출력을 결정)

위의 조건을 구성할 때에는 최대한 간결하게 ACL를 구성하며, ACL을 R1 Serial 1/0에 적용하여라.

conf t
(출발지 네트워크가 ‘13.13.30.0/24’인 트래픽이 내부 로컬 네트워크 ‘13.13.10.1’로 Telnet 접근을 차단)
access-list 110 deny tcp 13.13.30.0 0.0.0.255 host 13.13.10.1 eq 23

(외부에서 내부 서버 ’13.13.10.100’으로 Ping이 되는 것을 차단. 단, '13.13.10.100' 서버는 외부로 Ping 가능하도록 설정)
access-list 110 deny icmp any host 13.13.10.100 echo

(출발지 네트워크가 ‘13.13.20.0/24’인 트래픽이 내부 로컬 웹서버 ‘13.13.10.100’으로 접근하는 것을 차단)
access-list 110 deny tcp 13.13.20.0 0.0.0.255 host 13.13.10.100 eq 80

(위에 조건을 제외한 나머지 트래픽은 허용)
access-list 110 permit ip any any
!
(위의 조건을 구성할때에는 최대한 간결하게 ACL를 구성하며, ACL을 R1 Serial 1/0 에 적용)
int s1/0
ip access-group 110 in

show ip access-lists

(해당 기능을 통해 아래 ICMP 스마트 공격을 방어할 수 있습니다.)

(ICMP 스마트 공격)
SA 13.13.10.100
DA 13.13.30.255

ICMP Echo-Reply
--------------------
SA 13.13.30.X
DA 13.13.10.100

이 표는 각 ACL 규칙의 세부 사항을 명확하게 보여줍니다.

각 규칙은 특정 트래픽 유형을 차단하거나 허용하도록 설정되어 있으며,

마지막으로 이러한 규칙들이 R1 라우터의 Serial 1/0 인터페이스에 적용됩니다.

이 실습은 네트워크 보안을 강화하는 데 필수적인 ACL의 구성 및 적용 방법을 보여줍니다. 이를 통해 특정 네트워크의 접근을 제어하고, 민감한 자원을 보호할 수 있습니다. 또한, 위험한 네트워크 트래픽을 효과적으로 차단하여 네트워크의 안전성을 유지할 수 있습니다.

ACL이란?

ACL 트래픽 필터링 실습 #1

ACL 트래픽 필터링 실습 #2

ACL 트래픽 필터링 실습 #3

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!

OSI 7 Layer Reference Model

(open system interconnection)

"한국말로 개방형 시스템"

OSI 7 계층이란 무엇일까요?

OSI 참조 모델이라고 불리는 이것은

모든 장치나 네트워크 통신장비를 만들고 구성할 때

이것을 보고 만들자라고 약속하고 정해놓은 기본이 되는 표준

즉, 기준인 7개의 레이어입니다.

쉽게 말해서 전세계에서 휴대폰 충전기를 만들 때

여러 회사에서 가지각색의 모양을 가진 수많은 충전기를 만들어내는 것이 아니라

라이트닝 단자로 만들자 혹은 C 타입 단자로 만들자라고 약속하고

일정한 모양을 규칙으로 정해놓고 혼선을 없애는 것과 같은 개념입니다.

만약 이러한 규칙이나 약속을 정해두지 않는다면 

수 많은 다른 모양의 충전기들이 나오고 수많은 휴대폰들이 다른 잭을 가지고 있게 되고

우리는 서로 충전기를 공유하지 못하고 매번 충전기를 사야 하는 어려움을 겪게 되겠죠??

그래서 필요한 것이 기준과 표준이며 네트워크 통신장비를 만들 때

이 OSI 7 계층이 바로 기준이 되었고 이 규칙은 1984년에 국제 표준화기구 (ISO)에서 발표되었습니다.

그렇다면 왜 7 계층이라는 단어를 쓰게 되었을까요?

(너무 어렵게 생긴 위 사진을 이해하려 하지 마세요)

쉽게 설명드리겠습다.

군대에서 상급자가 하급자에게 명령을 내릴 때 가장 아래 병사인 이등병까지

명령이 잘 전달되어야 임무를 수행하겠죠?

7 계층 역시 같은 구조입니다.

하지만 순서만 반대로 생각하시면 돼요

맨 아래 1에서부터 상위 6번까지 모든 것이 완벽하게 연결되어야 비로소 7이 동작하게 됩니다.

바로 이러한 모습이

완벽한 수직적 모습을 갖추고 있기 때문에 "계층"이라는 단어를 쓰게 되었습니다.

그래서 우리는 이것을 7 계층이라고 합니다.

이렇게 OSI 7 계층은 통신이 일어나는 과정을 총 7가지로 구분 지어놓고

단계별로 정의하여 네트워크를 구성하고 데이터의 흐름을 파악할 수 있도록 각각 고유한 형태를 이루고 있습니다.

각 계층은 독립되어 있으며 한 부분에서 문제가 생긴다면

빠르게 문제가 생긴 부분을 파악할 수 있고 그 부분을 보안할 수 있도록 모습이 고안되었습니다.

우리는 이미 이걸 이해하고 있을지도 모릅니다.

예를 하나 들어보도록 할게요

컴퓨터에서 인터넷이 갑자기 안됩니다.

왜 이러지? 인터넷 문제인가? 하면서 인터넷 선을 뽑았다 다시 꽂았다 하면서 확인하잖아요?

우리는 이미 OSI 7 계층에서의 3단계 네트워크 단계를 이해하고 있는 겁니다.

만약 접속이 문제가 아니라면 아래 물리계층 1단계 데이터 계층 2단계도 문제가 없는 것이니

4번 전송 계층부터 문제점을 확인해 나아가면 됩니다.

이해가 좀 되시나요?

오늘 이 글에서는 아래 내용만 기억하시고

넘어가시면 좋을 것 같습니다.

네트워크를 준비하시는 분들은 CCNA 시험에 대해서 궁금하실 것 같은데요

아래 자세히 설명해놨으니 참고해주시기 바랍니다.

https://jdcyber.tistory.com/47

궁금하신 사항은 댓글에 남겨주세요

댓글에 남겨주신 내용은

추후 정리해서 올려드리겠습니다

구독 신청하시면 업로드 시 알려드릴게요!

-

조금이라도 도움이 되셨다면

공감&댓글 부탁드리겠습니다

감사합니다!