Configure Terminal_

ZFW Zone-based Policy Firewall IOS에서 구현하는 가장 상위 단계의 방화벽으로써 사실상 ASA/PIX 방화벽에 필적하는 기능들을 제공한다.존 기반으로 방화벽을 구현하며, 각각의 인터페이스에 존을 할당하고 존과존을 묶어 존페어를 만들어 트래픽의 흐름,응용계층을 포함한 프로토콜 제어, 폴리싱, 파라메터 맵을 이용한 세세한 필터링 기능을 제공한다. 위의 예제에서, (1) HOST 에서 SMTP, DNS, FTP 세개의 서버로 각각 서버가 운용하는 프로토콜과 텔넷세션이 가능하도록 설정 (2) HOST 에서 INTERNET으로 HTTP, ICMP, TELNET 을 허용 그리고 대역폭을 10Mbps 로 제한 (3) INTERNET 에서 SMTP, DNS, FTP 서버들로 HTTP만 허용 인..

URL Filtering 말그대로 특정 URL 주소를 필터링하는 정책을 말한다.IOS 기반의 URL 필터링은 프록시나 기타 우회접속은 차단할수 없다. 따라서 보다 본격적인 URL 필터링을 구현하기 위해서는 전문 시스코 방화벽 장비나 PaloAlto 등의 차세대 방화벽을 사용하는것이 권장된다. 1. Filter Server (CBAC) Websense 등의 URL 필터 서버를 이용해 조회하고 이를 허용하거나 차단한다. (1) CBAC 에서 http urlfter 항목을 설정한다. (2) websense 로 필터링할 URL을 조회하도록 하고 서버주소를 명시한다. (3) exclusive-domain 명령은 서버의 조회 없이 임시로 필터링을 할수 있도록 지원하며, 12시간후 혹은 10분간 도메인과 통신이 없을..

CBAC Context-based Access Control RACL 에서 좀더 발전된 형태로써 RACL이 커버하는 Layer4 계층을 넘어 응용계층 Layer7 까지 제어가 가능하다.내부 소스의 프로토콜에 따라 state table을 생성하고 이를 관리한다. 관리하는 각 프로토콜 별로 별도의 세션 종료시간을가진다(UDP 30초, ICMP 10초, TCP fin 패킷 수신후 5초뒤에 삭제) 또한 이는 변경가능하다. 허용되는 패킷에 대해 ACL과 함께 유동적으로 작동하는데, 먼저 CBAC에서 걸러진 패킷에 대해 허용하고 해당하지 않는정보는 모두 ACL에 의해 분류된다. 예를 들어 내부에서 외부로 나갔다 돌아올때 허용될 프로토콜을 세세하게 지정하여 외부와 통신하게 하고 외부에서 들어오는 패킷은 DACL을 이..

DACL Dynamic Access Control List 외부에서 ACL 방화벽을 올린 라우터로 인증을 받은후 인증완료된 사용자에 한해 내부로 통신이 가능하게 한다.ACL에 외부 인증기능을 추가함으로써 원격지의 인증된 사용자와의 통신을 가능하게 한다. 1. 방화벽 기능을 하는 중간라우터에서 DACL 기능을 활성화 2. 외부에서 방화벽 라우터로 텔넷 접속 3. 중간라우터에서 외부사용자에 대한 인증. 여기서 인증은 AAA 혹은 로컬 데이터베이스 사용(텔넷 패스워드는 비추) 4. 인증받은 사용자의 IP가 중간라우터에서 임시 ACL에 출발지 IP로 정의됨으로써 일종의 백도어가 생성됨 Router (1) AAA 인증을 사용하여, line 연결시 로컬 데이터베이스를 참고하도록 하였다. 인증에 관련된 부분은 유저 ..

RACL Reflexsive Access Control List 기존의 ACL에서 간단한 설정으로 내부에서 나가는 트래픽에 대해 제한없이 송신하고 외부에서 들어오는 패킷을 차단하도록하는 좀 더 발전된 형태의 ACL이다.내부에서 나가는 트래픽의 특정 번호(port 번호, type 넘버등)를 기억하였다가 동일한 트래픽이 다시 유입된다고 판단되면 그 부분만 허용한다. 이는 ACL에서 임시 ACL 리스트를 만들어 이를 기록함으로써 판단하게 된다. (1) 서버단의 내부 트래픽은 TCP, UDP, ICMP에 한해 외부 호스트로 자유롭게 통신한다. (2) 호스트단에서는 서버에 응답해주는 패킷을 제외하고 모두 라우터에서 차단된다. Router (1) 먼저 내부(서버)로 들어오는 트래픽에 대한 정책을 정하는데, 일단 동..

VTI Vitual Tunnel Interface 1. 별도의 설정없이 터널을 통하는 모든 트래픽에 대해 IPsec으로 보호한다.2. 설정이 단순하기 때문에 관리가 편하고 신경쓸게 없다. (1) VPN 통신을 위한 터널링을 구성하고 VTI 를 활성화한다. (2) IKE 정책을 설정하고 IPsec 프로파일에 적용한다. (3) 터널 인터페이스에 IPsec 프로파일 적용 R2 (1) R2-R4의 터널링을 설정하고 ipsec ipv4 명령을 통해 vti를 활성화한다. (2) R2-R5의 터널링을 설정한다. 위와 동일 (3) OSPF를 통해 터널인터페이스로 라우팅 정보를 교환하도록 네트워크 선언한다. (4) 연결할 피어의 주소를 지정한다. 위 예는 피어별로 패스워드를 구분하지 않기에 의미가 없는 설정이다. 모든 ..

DMVPN 1. 지사마다 크립토맵, GRE 터널 설정이 필요없다.2. 본사에서 NHRP를 통해 동적으로 주소를 받아오므로 지사확장에 추가 설정이 필요없다. 예제 본사가 허브로 지사간 통신을 중계하는 허브 앤 스포크 형태로 구성된다. 따라서 IGP 에 따라 정책에 차이가 발생하는데, RIPv2의 경우 스플릿 호라이즌 룰에 의해 R4, R5의 통신이 되지 않는다. 따라서 본사라우터에서 스플릿 호라이즌을 비활성해야 한다. OSPF로 구성할시에는 R2와 R4, R5의 네트워크 타입이 포인트 투 포인트인경우 어드제이션시 관계를 맺지 못한다. 따라서 네트워크타입을 Broadcast 혹은 non-broadcast 타입을 변경하는것이 권장되며, DR/BDR 선출이 정책대로 적용되도록 지사의 ospf priority 를..

Encryption, Authentication Algorithm 1. DES 미국정부에서 국가 표준의 암호 알고리즘을 개발하기로 하였고, 각 기업체 및 개인으로부터 국가표준에 부합하는 암호화 알고리즘을 공모했다. 1974년 8월 27일, IBM에서는 루시퍼 암호 알고리즘을 제안했고, 이를 채택하고 수정하여 1975년 3월 17일에 DES를 발표했다. DES(Data Encryption Standard)는 블록 암호의 일종으로, 미국 NBS (National Bureau of Standards, 현재 NIST) 에서 국가 표준으로 정한 암호이다. DES는 대칭키 암호이며, 56비트의 키를 사용한다. 무차별 대입공격에 대한 심각한 취약점이 발견되어, 이를 개선한 3DES를 발표하였다. 2. 3DES DES..

TCP/UDP, Timerange 제어 1. TCP, UDP 제어 TCP, UDP 의 포트넘버를 분류하여 엑세스 리스트를 작성한다. R1(config-ext-nacl)# deny {tcp | udp} {host | ip address} {eq | neq | gt | lt} {tcp, udp port number} {host | ip address} {eq} {tcp, udp port number} ex) 목적지 100.1.1.0/24 대역에 대해 모든 텔넷 세션을 차단 (eq 설정시 정확히 해당 포트넘버만 지정) R1(config-ext-nacl)# deny tcp any 100.1.1.0 0.0.0.255 eq telnet 목적지 호스트 10.1.1.1이 NTP 서버로 운용중일때 내부 사설네트워크 대역..

Extended access list 1. numbered mode R1(config)# access-list {extended acl number} {deny | permit | remark | dynamic} {protocol} {host | source address} {wildcard mask}{host | destination address}{wildcard mask} 2. named mode R1(config)# ip access-list extended {acl number | WORD} R1(config)# {deny | permit | remark | dynamic} {protocol} {host | source address}{wildcard mask}{host | destination..