네트워크_ACL(Access Control List)
-목차-
1. ACL
2. 첫 번째 실습
3. 두 번째 실습
1. ACL(Access Control List)
1-1. 개념
1개 이상의 서브넷 내부와 외부의 트래픽을 제어하기 위한 방화벽 역할을 하는 VPC를 위한 선택적 보안 계층입니다. 보안 그룹과 비슷한 규칙으로 네트워크 ACL을 설정하여 VPC에 보안 계층을 더 추가할 수 있습니다.
쉽게 말해서, 특정 주소를 가진 호스트의 접근을 막거나 방화벽을 구축할 수 있으며, 허용하지 않은 클라이언트가 네트워크에 접속하는 것을 차단합니다.
1-2. 종류
1. 표준 ACL (Standard)
IP Header의 Source Address를 검사하여 분류한 후 검사 결과에 따라 패킷 출력을 결정합니다.
1~99, 1300~1999 번호를 사용합니다
2. 확장 ACL (Extended)
IP Header의 Source Address, Destination Address, Protocol 등을 검사하여 분류한 후, 결과에 따라 패킷 출력을 결정합니다.
100~199, 2000~2699 번호를 사용합니다.
1-3. 구문
1. 표준 ACL
# access-list [번호] [permit/deny] [ACL 적용될 출발지 주소] [ACL 적용될 주소의 와일드카드 마스크]
# access list 1 permit any : ACL이 deny 구문으로 이루어져 있을 때에는 deny 된 트래픽을 제외하고 다른 모든 트래픽을 전달시키겠다는 의미로써 꼭 넣어줘야 합니다.
# ip access-group 1 in : ACL 1번을 적용하는데 들어오는 트래픽(in)에 적용할 것인지, 나가는 트래픽(out)에 적용할 것인지 결정
2. 확장 ACL
# access-list [번호] [permit/deny] [tcp/udp/ip] [출발지 주소] [목적지 주소] eq [포트/서비스]
# permit ip any any : 블랙리스트 방식 사용할 때 마지막에 반드시 넣어주셔야 합니다
2. 첫 번째 실습
2-1. 토폴로지. 통신은 동적 라우팅 프로토콜 EIGRP 사용.
2-2. 라우터 기본 통신 설정
Seoul_R1 (좌측)
en
conf t
int f0/0
ip address 1.1.1.254 255.255.255.0
no sh
int s1/0
ip address 10.0.0.1 255.255.255.252
clo rate 4000000
no sh
exit
router eigrp 100 // 동적 라우팅 프로토콜 EIGRP 사용
no auto-s
network 1.1.1.0 0.0.0.255 // 네트워크 광고
network 10.0.0.0 0.0.0.3 // 네트워크 광고
pa f0/0
do wr
exit
line vty 0 4
password babo1
login
exit
ena se babo
do wr // 텔넷 설정
Daejeon_R1(중앙)
en
conf t
int f0/0
ip address 2.2.2.254 255.255.255.0
no sh
int s1/0
ip address 10.0.0.2 255.255.255.252
no sh
int s1/1
ip add 10.0.0.5 255.255.255.252
clo ra 4000000
no sh
exit
router eigrp 100
no auto-s
network 2.2.2.0 0.0.0.255
network 10.0.0.0 0.0.0.3
network 10.0.0.4 0.0.0.3
pa f0/0
do wr
Busan_R1 (우측)
en
conf t
int f0/0
ip address 3.3.3.254 255.255.255.0
no sh
int s1/0
ip address 10.0.0.6 255.255.255.252
no sh
exit
router eigrp 100
no auto-s
network 3.3.3.0 0.0.0.255
network 10.0.0.4 0.0.0.3
pa f0/0
do wr
2-3. 우선 텔넷 접속 확인. 정상.
2-4. 중앙 PC (2.2.2.2)를 중앙 라우터에서 deny
2-5. 좌측 PC에서 deny 한 중앙 PC에 대해 핑 테스트. 통신 불가.
2-6. 중앙 라우터에 설정한 ACL을 다시 삭제
2-7. 다시 좌측 PC에서 핑테스트. deny를 삭제하였으니 통신이 되는 모습
2-8. 이번엔 좌측 라우터에 중앙 PC(2.2.2.2)와 우측 PC(3.3.3.2)에 대해 deny
2-9. 설정한 ACL 확인
2-10. Telnet에 ACL 적용
2-11. Deny 되지 않은 PC에서 telnet 접속 모습
2-12. Deny 된 PC에서 telnet 접속 모습
3. 두 번째 실습
3-1. 토폴로지. 첫번째 실습에 이어서 WEB, DNS, FTP, MAIL에 ACL을 적용해볼 예정.
기본 통신 라우터 설정은 첫번째 실습에서 다뤘으므로 PASS~
좌측 PC는 사용자 c
중앙 PC는 사용자 b
우측 PC는 사용자 a 가 사용한다고 가정.
3-2. DNS 서버 설정. 기본 도메인과 ftp, mail 설정
3-3. DNS가 잘 적용되었는지 web에서 접속 확인
3-4. FTP 설정. FTP 사용자 a, b, c 생성
3-5. FTP 설정 되었는지 접속 확인
3-6. EMAIL 설정. EMAIL 사용자 a, b, c 생성
3-7. EMAIL 설정 잘 되었는지 확인. 계정 생성.
3-8. test EMAIL 전송
3-9. test EMAIL 수신 완료
3-10. ACL 설정. 2.2.2.2에서 1.1.1.1로 가는 80 포트(WEB)를 deny 하겠다.
확장 ACL에서 블랙리스트 작성후 permit ip any any 잊지 말기
3-11. WEB에 대해서만 deny했으므로, nslookup으로 dns는 확인이 가능
3-12. deny 되었던 2.2.2.2에서 web 접근이 불가능한 모습
3-13. deny 되지 않은 3.3.3.2에서는 web 접근 가능
3-14. 새로운 ACL 설정. 1.1.1.2에서 출발하여 3.3.3.1에 도착하는 25 포트(SMTP) deny
3-15. deny 되었던 1.1.1.2에서 EMAIL 전송
3-16. deny 되지 않은 2.2.2.2에서 EMAIL 전송
3-17. deny 되었던 1.1.1.2에서 발송한 EMAIL은 도착하지 않았음을 확인
3-18. 새로운 ACL 설정. 3.3.3.2에서 출발하여 2.2.2.1에 도착하는 21 포트(FTP) deny
3-19. deny 되었던 3.3.3.2에서 ftp 접속 시도 모습. 접속 실패
3-20. deny 되지 않은 1.1.1.2에서 ftp 접속 시도 모습. 접속 성공
