시스코 네트워크 보안 - 12 : Access List, ICMP, 텔넷포트

hanwitjus 2021. 9. 30. 10:14

: 접근을 하게 할지/ 아닐지 미리 정해 놓은 리스트(라우터의 문지기) -> 주로 보안을 위해서 사용, 라우터에 세팅

일반적으로 네트워크 계층 까지만 관리됨.

따라서 피지컬 계층에서 애플리케이션 계층까지 완벽하게 막아줄 수 없기 때문에 파이어월 같은 보안 소프트웨어가 필요하다.

종류는 크게 Standard Access List, Extended Access List 두 가지로 나뉨.

>> 만약 액세스 리스트에 걸려서 못들어오는 경우 host Unreachable 이 뜬다.

1) 액세스 리스트는 윗줄부터 하나씩 차례로 수행된다.

2) 액세스 리스트의 맨 마지막 라인에 Permit any를 넣지 않을 경우는 default로, 어느 액세스 리스트와도 match되지 않은 나머지 모든 address는 deny된다.

-> 액세스 리스트 맨 마지막 줄에는 항상 모든 것을 막아버리는 deny all이 들어있다. 어떤 액세스 리스트의 항목에도 해당하지 않는 주소가 있다면 그 주소는 맨 마지막 줄 까지 내려온 후 deny all에 걸려서 막힌다.

3) 액세스 리스트의 새로운 line은 항상 맨 마지막으로 추가되므로 선택적 추가나 제거가 불가하다.

4) interface에 대한 액세스 리스트가 정의되어있지 않은 경우(interface에 accessgroup 명령이 있지 않은 경우) 결과는 permit any가 된다.

: 출입 통제를 할 때 출발지 주소만 참고함.

*Inbound (패킷이 라우터 안으로 들어왔을 때)

*Outbound (패킷이 밖으로 나갈 때)

+) ICMP(Internet Control Message Protocol)

인터넷 서비스 환경에서 오류에 대한 알림과 관련된 메시지를 전달하는 목적의 프로토콜

+) 와일드 카드 마스크

서브넷 마스크와 반대 -> 서브넷 마스크를 이진수로 풀었을 때 0은 1로, 1은 0으로 바꾼다.

ex. subnet 225.225.0.0

wildcard 0.0.225.225

>> OSPF와 액세스 리스트에서 사용

라우터에 텔넷 접속을 하는 사용자를 제어하기 위한 방법

-> 라우터의 virtual Terminal 포트로 접속한다.

access-class의 뒤에 IN을 써줌, 스탠다드 방식 주로 사용

: 훨씬 정교한 액세스의 제어. 출발지, 목적지, 프로토콜, 사용 포트번호 확인 후 통과여부 결정

LIST