보안/Network

ACL(Access Control List) & extended ACL

lowcodingpython 2022. 2. 11. 02:47
반응형

확장 액세스 리스트(extended ACL)는 출발지/목적지 IP 주소, 프로토콜의 종류, 출발지/목적지

포트 번호까지 제어가 가능

100 ~ 199, 2000 ~ 2699 사이의 번호를 사용하여 정의 및 이름을 사용 가능

 

IP 헤더 정보를 이용하여 확장 ACL 설정

= 확장 ACL을 설정할 때 Permit이나 deny 명령어 다음에 IP 헤더의 프로토콜 필드에 명시된 프로토콜의 종류를 지정

토폴로지
한 권으로 끝내는 firewall 네트워크 보안 방화벽

ip구성도

access-list 100 permit ?

명령어를 입력하게 되면 아래 사진과 같이 사용 가능한 리스트를 보실 수 있습니다.

개인적으로 공부할 때 한 번씩 해보면 도움이 되는 거 같아서 좋습니다.

GNS3

프로토콜 종류와 상관없이 IP 주소만으로 패킷을 제어

- Permit ip 명령어 사용

- Ex) 1.1.34.3에서 1.1.12.1 가는 모든 패킷을 차단

GNS3
GNS3

핑 테스트와 텔넷 테스트를 해보시면 12.1로 가는 ping 및 텔넷은 안되고

12.2로 텔넷 접속은 되시는 것을 확인이 가능합니다.

 

GNS3

1.1.34.4에서 1.1.12.1로 가는 패킷 중 TCP만 차단하기

설정 후 access list 확인

#show access-list 101

GNS3

tcp를 사용하는 텔넷은 접속이 안 되는 것을 확인이 가능합니다.

핑은 정상

GNS3

IP 헤더에서 우선순위를 나타내는 DSCP나 IP 프리시던스 값을 이용하여 ACL 만들 수 있음

IP DSCP 값이 AF11인 패킷을 허용하는 이름을 사용한 확장 ACL 만들기

GNS3

DSCP 값을 지정하는 ACL

= IP 헤더 플래그 필드 중 세 번째 비트는 MF를 의미

즉, 이 비트 값이 1이면 해당 패킷은 분할된 것이며, 분할된 나머지 패킷이 더 존재한다는 뜻

분할된 Ipv4 패킷은 종단 장비가 다시 조립을 하게 된다.

 

분할된 패킷을 대량으로 전송하면 서버, 라우터, 방화벽 등 타켓 장비에 부하가 많이 걸려

이와 같은 상황을 방지하기 위해 분할 패킷을 차단

분할 패킷 차단

(1.1.34.4에서 1.1.12.1로 가는 분할된 패킷을 차단)

acl

큰 사이즈의 패킷 전송 시 차단

ping

분할된 패킷들이 차단된 것을 확인 가능

show ip access

extended ACL record-route

IP 헤더의 옵션 필드 내용을 참조하는 ACL

IP 헤더의 옵션 필드 내용을 참조하여 ACL을 만들 수 있음.

Ex) 패킷이 통과하는 경로를 기록하는 record-route 옵션이 설정된 것을 차단

GNS3

record-route 옵션이 설정된 것을 차단하기

GNS3

Record-route 옵션을 사용한 트래픽 발생시키기

GNS3

Record-route 옵션을 사용한 패킷들은 모두 차단

GNS3

레코드 옵션이 없는 일반적인 핑은 성공

GNS3
반응형