ACL (6) DACL

<>DACL

Dynamic Access Control List

외부에서 ACL 방화벽을 올린 라우터로 인증을 받은후 인증완료된 사용자에 한해 내부로 통신이 가능하게 한다.

ACL에 외부 인증기능을 추가함으로써 원격지의 인증된 사용자와의 통신을 가능하게 한다.

   1. 방화벽 기능을 하는 중간라우터에서 DACL 기능을 활성화

   2. 외부에서 방화벽 라우터로 텔넷 접속

   3. 중간라우터에서 외부사용자에 대한 인증. 여기서 인증은 AAA 혹은 로컬 데이터베이스 사용(텔넷 패스워드는 비추)

   4. 인증받은 사용자의 IP가 중간라우터에서 임시 ACL에 출발지 IP로 정의됨으로써 일종의 백도어가 생성됨

   Router

   (1) AAA 인증을 사용하여, line 연결시 로컬 데이터베이스를 참고하도록 하였다. 인증에 관련된 부분은 유저 정책에 따라

       변경하도록 한다. (AAA를 통해 인증서버로 인증. 로컬 데이터베이스 참조, 텔넷 패스워드 인증)

   (2) autocommand 명령은 외부 텔넷 유저의 인증이 완료될경우 자동으로 입력될 명령어를 지정할수 있게 한다.

       여기서 access-enable은 AAA 인증에 따라 로컬 데이터베이스의 유저네임, PW가 일치할경우 DACL을 활성화하도록

       한다. host 명령은 가장 중요한데, 해당 출발지 IP만을 임시 ACL에 기록하도록 하며, host 명령이 없을경우. 한번 인증

       으로 모든 유저가 접속이 가능한상태가 된다.

   (3) OSPF를 IGP로 사용하여 해당 패킷을 허용

   (4) 외부에서 라우터로 오는 인증목적의 텔넷을 허용한다. 

   (5) 임시 ACL 에 등록되는 출발지 IP에 대해 모든 패킷을 허용한다. 

   (6) 외부에서 들어오는 인터페이스에 적용한다.

   Host 에서 Router로 인증시도

   (1) Router에 인증을 하면 곧바로 세션이 종료된다.

   Router 의 ACL list

   (1) 출발지 1.1.23.3의 모든 패킷을 허용하는 임시 ACL이 생성되었다. 따라서 이제 Host 에서는 Server와도 

        지장없이 통신이 가능한 상태가 되었다.