Network/Security

ACL (5) RACL

billy0529 2014. 7. 24. 20:43
728x90

<>RACL



Reflexsive Access Control List


기존의 ACL에서 간단한 설정으로 내부에서 나가는 트래픽에 대해 제한없이 송신하고 외부에서 들어오는 패킷을 차단하도록

하는 좀 더 발전된 형태의 ACL이다.

내부에서 나가는 트래픽의 특정 번호(port 번호, type 넘버등)를 기억하였다가 동일한 트래픽이 다시 유입된다고 판단되면 그 부분만 허용한다. 이는 ACL에서 임시 ACL 리스트를 만들어 이를 기록함으로써 판단하게 된다.






   (1) 서버단의 내부 트래픽은 TCP, UDP, ICMP에 한해 외부 호스트로 자유롭게 통신한다. 

   (2) 호스트단에서는 서버에 응답해주는 패킷을 제외하고 모두 라우터에서 차단된다.




   Router


   (1) 먼저 내부(서버)로 들어오는 트래픽에 대한 정책을 정하는데, 일단 동적 라우팅 프로토콜이 돌아갈경우 이에 대해

        당연히 허용해줘야 한다. 

   (2) 그리고 서버에서 외부 호스트로 나갔다 다시 유입되는 트래픽(예제에서 testacl로 지정된)에 대해 허용하도록 한다.

   (3) 외부 호스트로 나가는 트래픽, TCP, UDP, ICMP 에 대해 testacl 이란 이름으로 임시 ACL을 설정하여

        내부로 다시 유입될시에 이를 허용하게 한다. 

   (4) 그외에는 임시 ACL을 만들지 않고 그냥 허용한다. 임시 ACL에 없는 트래픽에 대해서는 (2)의 내부 방화벽정책에 

        따라 필터링 된다.

   (5) 포트에 ACL을 적용



   Server에서 Host로 Telnet 세션 연결시,

   

   (1) 리플렉시브 ACL testacl 에서 텔넷 세션에 대한 임시 ACL이 생성된다. 이 엔트리는 기본값 5초후에 삭제되며, 

        해당 TCP 포트넘버를 수신할경우 즉시 사라진다.



'Network > Security' 카테고리의 다른 글

IOS Firewall (1) CBAC  (0) 2014.07.25
ACL (6) DACL  (0) 2014.07.25
암호화, 인증 알고리듬 (Encryption, Authentication Algorithm)  (0) 2014.07.06
ACL (4) Extended ACL (TCP/UDP, Timerange)  (0) 2014.07.06
ACL (3) Extended ACL  (0) 2014.07.06