안녕하세요.
이번 시간에는 보안 쪽 문제에 자주 나오는 Standard Acl에 대해서 알아보겠습니다.
우선, Acl에는 2가지 종류로 나오는데
1. Standard Acl
2. Extended Acl
으로 나뉩니다.
ACL이란? 임의로 특정한 네트워크를 차단하거나 허가할 수 있도록 해주는 명령어입니다.
ACL을 사용하는 이유는 특정한 사용자(해커)가 악의적인 목적으로 무수히 PING을 때리면
서버나 네트워크의 트래픽이 느려지거나 심하면 마비가 오기 때문에
acl을 이용하여 차단하는 역할을 합니다.(전문적인 용어: DDOS)
Standard Acl은 1~99번까지가 Standard ACL의 영역으로 특정한 네트워크를 차단하거나 허가할 때 사용합니다.
명령어 문법은 Access-list [1~99] [permit | deny] [network | host address] [Wildcard mask]입니다.
(여기서 |은 or이라는 뜻이고, permit 또는 deny라는 뜻입니다.)
실습 네트워크 토폴리지입니다.(perfix는 24를 사용합니다.)
Acl 10번을 이용하여 pc0은 pc1과 통신이 안 가도록 하시오 라는 문제가 나왔으면
Router(config)#access-list 10 deny 192.168.1.2 0.0.0.0
Router(config)#access-list 10 permit any
Router(config)#int fa0/1
Router(config-if)#ip access-group 10 in
Router(config-if)#exit
Router(config)#access-list 10 deny 192.168.1.2 0.0.0.0 => 192.168.1.2의 host는 거부합니다.
Router(config)#access-list 10 permit any => 기본적으로 permit any를 해주지 않으면 설정하지 않은 모든 네트워크는 암묵적으로 거부당하므로 permit any를 해줘야 거부한 네트워크를 제외한 모든 트래픽은 정상적으로 이루어줘야 되기 때문에 acl의 마지막에는 무조건 저 명령어를 해주어야 합니다.
Router(config-if)#ip access-group 10 in => 저 네트워크 토폴리지를 보면 192.168.1.2의 주소는 int fa0/1로 통해 들어오므로 int fa0/1에 가서 192.168.1.2의 트래픽이 들어오면 acl 10번을 실행하라 라고 보시면 되겠습니다.
(in = 들어올 때, out = 나갈 때)
자 이렇게 설정한 다음 pc에서 192.168.1.1은 ping이 정상적으로 되지만 우리가 설정한 192.168.1.2의 핑은 막히는 것을 보실 수 있습니다.
192.168.1.1의 ping이 정상적으로 되는 모습
192.168.1.2는 핑이 안 되는 모습
패킷트레이서를 이용한 시뮬레이션
acl이 되는 과정
pc0은 pc1과 통신을 하기 위해서 default gateway를 이용함=>
라우팅 프로토콜(Rip)을 이용하여 192.168.10.2로 Router0에서 Router1까지 가게 됨 =>
Router1은 pc1까지 전송하고, 다시 Router1은 Router0으로 ping이 정상적으로 됐다고 알림=>
Router0은 192.168.1.2는 거부하라는 acl 10번을 보고, 거부함(그림의 빨간색 편지)
결론:따라서 pc0은 request timed out=> ping이 오지 않아서 통신이 안 된다는 것을 판단하고, 시간이 다 지났다 라는 로그?를 보냄
자! 이렇게 acl의 개념, 설정하는 방법, 그리고 어떻게 acl이 통신을 막는지까지 알아보았습니다.
사실 Standard acl은 그렇게 어렵지는 않고, Extended ACL이 조금 어렵습니다.
(최근에 이론적으로 공부만 하고, 실습은 안 해서 그런지 많이 헷갈리네요..)
이번 주제는 여기서 마치겠습니다. 감사합니다
댓글