THE 쉬운 실전 네트워크 : ACL 알고보면 쉽니다.

죄송합니다.

 

죄송합니다.

 

죄송합니다.

 

포스팅을 쓰기전 노트북 앞에서 90도 각도로 인사 3번 했습니다.

 

너무 바쁜 나머지 이제 강의 하나를 올립니다.

보안감사 및 기타 개인 생활이 진짜 바뻐서 블로그를 또 방치를 했습니다.

자주 올리겠습니다. 

죄송합니다.

 

 

 

오늘은 정말 어렵게 느껴질 수 있는 기능인 ACL(Access Control List)에 대해서 떠들어 볼려고 합니다.

 

제가 적어도 제가 활동하는 지역내에선 ACL 고수라고 자부 할 수 있습니다.

왜냐? 이걸로 한 2년 고생했기 때문이죠.

(적용이 잘 안될때마다 PL한테 탈탈탈 털렷습니다 ㅠㅠ)

 

ACL은 쉽게 말하자면 스위치나 라우터를 방화벽처럼 만드는 기술을 말합니다.

 

(A)IP에서 (B)IP로 가는 접근제어 정책을 네트워크 스위치에 적용을 하는 기술 입니다.

주로 관리자만 네트워크 장비에 접근 할 수 있게 설절 할 때 많이 사용이 됩니다.

 

그외에는 주로 방화벽을 구축하기는 애매하거나 해당 구간에 방화벽이 없어서 임시로 접근통제를 할 때 사용 합니다.

 

(드물게도 어떤 사이트를 보면 시스코 라우터 장비를 방화벽으로 사용하는 경우도 있습니다.

라우터 겸 방화벽으로 사용하는 거죠.)

 

이건 나중에 설명하도록 하고요~

일단 오늘은 ACL 이런거다 라고 간단하게 설명하도록 하겟습니다. 

 

 

갑님(클라이언트)께서 엔지니어에게 

 

"방화벽이 없어서 그런데 네트워크 스위치로 접근제어가 가능한가요?

저희 회사 사용자들이 내부 관리 서버의 443(HTTPS) 포트로 접근을 막아주세요."

 

 

라고 엔지니어에게 기술 의뢰를 하였습니다. 

 

 

실습 구성도

 

 

딱 세줄이면 끝이 납니다.

 

switch(config)IP access-list extanded DENY_POLICY(ACL 그룹 이름 or 숫자) switch(config-ext-nacl)deny tcp 192.168.0.0(출발지 대역) 0.0.255.255(Prifix/와일드마스크) host 172.16.100.10 eq 443 switch(config-ext-nacl) permit ip any any(나머지 통신은 허용한다)

 

참 쉽죠잉?

 

그러나?

참 이것만 보면 정말 어질어질 합니다. 

이 명령어의 뜻은 무엇일까? 뭐 어쩌라는 거지? 등등 이해가 안가시는 분들도 계실 겁니다.

 

 

ACL은 2가지가 있습니다.

Standard ACL : 출발지 IP 기반으로 전체 패킷을 검사해서 거부하거나 허용하는 방식(1 ~ 99/1300 ~ 1999)

Extanded ACL : 출발지 IP, 목적지 IP, 특정 서비스 포트를 정해두고 특정 프로토콜을 검사해서 거부하거나 허용하는 방식

                          (100 ~ 199 / 2000 ~ 2999)

 

간단히 정리해서 말하자면 IP 기반으로 하냐? TCP 기반으로 하냐 차이 입니다.

 

Standard ACL 예시)

switch(config)ip access-list 11 deny   ip 192.168.0.0. 0.0.255.255 any log ▲ 출발지 IP 192.168.0.0/16의 모든 패캣은 차단하며 접근 할 경우 로그를 남긴다.

 

Extanded ACL  TCP 통신 정책 예시)

switch(config)ip access-list extanded 110  01> switch(config-ext-nacl)deny tcp 192.168.0.0 0.0.0.255.255 host 172.16.100.100 eq 443 02> switch(config-ext-nacl)deny tcp 192.168.0.0 0.0.0.255.255 172.16.200.0 0.0.255 eq 443 03 > switch(config-ext-nacl) permit ip any any ▲ 01> 출발지 IP 192.168.0.0/16 대역에서 172.16.100.100 서버의 443 서비스포트 통신을 차단한다.     02> 출발지 IP 192.168.0.0/16 대역에서 172.16.200.0/24 대역의 443 서비스포트 통신을 차단한다.     03> 2개 ACL 외 모든 통신은 허용한다.

 

차단 정책(DENY)만 작성을 하였는데 반대로 허용 정책을 적용할 경우는 

 

시작 부분에서 Permit tcp, Permit ip라고 작성을 해주시면 됩니다.

 

extanded ACL에서 TCP 통신뿐만 아니라 IP 대역끼리도 차단 or 허용이 가능합니다.

 

자 우리의 갑님(클라이언트)께서

 

"일반 사용자들은 내부 서버팜 대역에 접근 못 하게 막아주세요"

 

했습니다.

 

"방화벽도 아니고 스위치로 어떻게 막어!!!"

 

AUTO K!!! 하는 당신!

이제 제가 알려드리겠습니다.

 

IP대역끼리 통신을 차단/허용을 하려면

switch(config)ip access-list extanded IP_DENY 01> switch(config-ext-nacl)deny ip 192.168.0.0 0.0.0.255.255(출발지IP대역) 172.16.200.0 0.0.255(목적지IP 대역) 02 > switch(config-ext-nacl) permit ip 172.16.150.0 0.0.0.255 172.16.200.0 0.0.255 ▲ 01> 출발지 IP 192.168.0.0/16 대역에서 172.16.200.0/24 대역의 IP통신을 차단한다,     02> 출발지 IP 172.16.150.0/24 대역에서 172.16.200.0/24 대역의 IP통신을 허용한다,

 

참 쉽죠 잉?

 

이렇게 ACL Table에 작성을 했다고 해서 해당 ACL이 적용이 되냐?

 

아닙니다. 절대 아닙니다.!

 

extanded ACL은 보통 두가지로 많이 사용 됩니다.

 

- Port Base

- Vlan Base

 

아 그리고 원격접속 설정에 적용을 할 때도 있습니다. 

 

이건 다음 이시간에~~~~

 

 

 

 

 

 

정말 유익하고 새로운 신간 서적이 나왔습니다.

 

 

 

 

 

▽▼ ▽▼ 구매링크 ▽▼ ▽▼

 

※ 조사부 소개

- 정보통신, 미래IT공학(인공지능) 전공

- 現 중앙 정부부처 네트워크 운영 관리

- 다수 유지보수 및 SI 프로젝트 참여

 

출처 있는 포스팅 무단배포 사랑합니다!

 

 

구독과 좋아요는 사랑입니다. ㅠㅠ

 

 

네트워크 강의 / 야간, 주말 기술 지원 / 네트워크 컨설팅 / 네트워크 설계 

서적, 장비, 강의 리뷰 / PPL등등

조사부의 손길이 필요하시면 아래의 연락처로 연락 주세요.

▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼

 

이메일 : s002150@kakao.com

 

여기로 문의주시면 감사하겠습니다.