Network/Security

IOS Firewall (1) CBAC

billy0529 2014. 7. 25. 14:34
728x90

<>CBAC




Context-based Access Control



RACL 에서 좀더 발전된 형태로써 RACL이 커버하는 Layer4 계층을 넘어 응용계층 Layer7 까지 제어가 가능하다.

내부 소스의 프로토콜에 따라 state table을 생성하고 이를 관리한다. 관리하는 각 프로토콜 별로 별도의 세션 종료시간을

가진다(UDP 30초, ICMP 10초, TCP fin 패킷 수신후 5초뒤에 삭제) 또한 이는 변경가능하다. 


허용되는 패킷에 대해 ACL과 함께 유동적으로 작동하는데, 먼저 CBAC에서 걸러진 패킷에 대해 허용하고 해당하지 않는

정보는 모두 ACL에 의해 분류된다. 예를 들어 내부에서 외부로 나갔다 돌아올때 허용될 프로토콜을 세세하게 지정하여 외부와 통신하게 하고 외부에서 들어오는 패킷은 DACL을 이용해 인증될경우 연결하는등의 응용이 가능하다.  


audit-trail 명령을 이용해 지정된 프로토콜의 입출력 로깅이 가능하다.






   서버에서 HTTP, TELNET, ICMP 패킷을 CBAC로 설정하여 외부로 허용하고, 그외 트래픽을 모두 차단



   Router


   (1) http, telnet, icmp 패킷에 대해 cbac로 허용해주고 이에 대해 로그를 띄우도록 audit-trail 명령으로 on 한다.

        기본값은 off이며, CBAC의 state table에서 갱신될때마다 로그가 뜨게 된다.

   (2) OSPF 패킷 외에 모두 차단한다. 따라서 외부에서 특정 패킷에 대해 허용할경우 ACL에서 설정한다.

   (3) 설정한 CBAC를 외부로 나갈때 적용하도록 한다.




   Server 에서 Host 로 텔넷 접속후에 Router의 state table 확인


   (1) 텔넷 세션을 위해 host를 통해 되돌아오는 23번 텔넷 포트의 패킷이 허용되었고 state table 에 기록되었다.

반응형

'Network > Security' 카테고리의 다른 글

IOS Firewall (3) ZFW  (0) 2014.07.25
IOS Firewall (2) URL Filtering  (0) 2014.07.25
ACL (6) DACL  (0) 2014.07.25
ACL (5) RACL  (0) 2014.07.24
암호화, 인증 알고리듬 (Encryption, Authentication Algorithm)  (0) 2014.07.06