Network - ACL란 (Access Control List)
ACL이란
- Interface 로 들어오고 나가는 패킷을 분석해서 정해진 규칙에 따라 패킷을 전송 또는 차단함으로써 네트워크 접근 제어
- 라우터의 방화벽
종류
1. 표준 ACL
- 출발지 IP주소만 참조하여 패킷을 필터링
- 1~99, 1300~1999 번호 사용
- 3계층
단점 : 패킷 자체를 막기 때문에 특정 서비스를 막고 싶어도 다른 서비스들 까지 모두 막음
사용처
텔넷 접속시 관리자만 접근 가능하게 할 때
실습
토폴로지 : ACL ex.pkt
시나리오
표준 ACL
1. 1.0.0.0 대역의 PC는 2.0.0.0 대역으로 접근 불가 (10.0.0.0/30 까지는 가능)
과정
1. 라우터 1의 전역 설정에서 ACL 을 생성
=> 표준 ACL 이므로 10 , 묵시적으로 deny any 가 설정되어 있어 permit 으로 특정 Host만 허용하면 된다.
2. 라우터 인터페이스에서 ACL을 적용 ( in or out)
=> Router0 의 fastEthernet0/0 인터페이스에 들어오는 패킷에 대해 ACL을 설정해준다.
*번외
블랙리스트 형태로 ACL을 설정할 경우 묵시적으로 deny any가 설정되어 있으므로
꼭 Permit any 를 해주어야 특정 사용자만 막을 수 있다.
텔넷 ACL - 표준 ACL은 주로 텔넷 ACL을 설정하기 위함이다.
1. access-list 생성
1.0.0.2 host만을 permit 하는 access-lis 생성
2. line vty 0 4 에 access list 적용
line vty 0 4 를 지정
access-class 10 in 명령어를 입력하여 라우터의 텔넷으로 들어오는 패킷에 대해 access-list 10 을 적용
telnet 라인 비밀번호 지정 후 login (텔넷은 비밀번호를 지정하고 login 하지 않으면 접근이 차단된다)
3. Clinet 확인
PC 1.0.0.2 에서 telnet 명령어를 이용하여 라우터에 접속한다
2. 확장 ACL
- 출발지,목적지 IP주소,TCP,UDP,포트번호를 참조하여 패킷을 필터링
- 100~199, 2000~2699 번호 사용
실습
시나리오
확장 ACL
1. Server0는 Web에 접속할 수 없다.
과정
1. 라우터 1의 전역 설정에서 ACL 을 생성
100 : 확장 ACL이므로 100
deny : 거부 ACL 생성
tcp : tcp 프로토콜의 port를 이용하여 거부
host : 접속 IP
host : 목적지 IP
eq : eq다음에 나오는 port와 같은 포트에 대한 요청을 거부
www : 80 port를 가리킨다
*확장 ACL은 묵시적으로 IP에 대해 deny any any 가 걸려있으므로 permit any any를 추가해야 한다.
2. 라우터 1의 serial 0/0 interface 에 ACL 적용
라우터 1의 serial 0/0 interface에서 패킷을 차단하는 것이 가장 효율적이므로 serial 0/0으로 지정
ip access-group 100 in 을 지정하여 위에서 생성한 ACL을 적용한다
3. Named 표준 ACL
표준 ACL과 같음, ACL선언시 번호가 아닌 사용자
설정 값을 이용
4. Named 확장 ACL
확장 ACL과 같으며,ACL 선언시 번호가 아닌 사용자 설정값 사용
방화벽 방식
화이트 리스트방식
1. 모두 거부해놓고 허용할 접속자만 허용하는 방식
블랙 리스트 방식
1. 모두 허용해놓고 특정 사용자들만 거부하는 방식
그레이 리스트 방식