[Firewall] DACL(Dynamic ACL) 설정

DACL(Dynamic ACL)

 

-   출장이나 재택근무 중인 직원이 회사 내부망에 접근하여 업무와 관련된 특정 서비스를 사용하기 위해서 오늘날에는 Remote Access VPN을 주로 사용한다.

-   만약 VPN을 구성하기 힘든 경우 방화벽에서 Authentication(인증)을 통해 외부 사용자가 내부망에 접근이 가능한 임시 ACL을 일정 시간 동안 활성화시키는 것이 가능하다. 이를 DACL이라고 한다.

-   필요할 때만 임시적으로 내부와의 통신이 허용되고, 기본적으로는 차단되어 있기 때문에 보안침해 가능성을 줄여준다.

 

DACL 동작 과정

 

1.   외부 사용자를 인증하기 위한 목적으로 방화벽 장치(IOS_FW)에 Telnet을 구성한다. 

(관리 목적의 Telnet이 아닌 사용자를 인증하기 위한 Telnet이다.)

2.   외부 사용자가 정상적으로 방화벽에 인증을 하게 되면 해당 사용자가 내부망에 접근할 수 있는 임시 ACL이 활성화된다.

3.   인증이 통과된 사용자는 임시 ACL이 활성화되어 있는 동안 내부망에 접근하는 것이 가능하다.

 

 

 

-   IOS_FW에서 인증이 통과된 외부 사용자가 내부망의 HQ로 DACL을 이용하여 Telnet 접근을 수행한다. 

 

IOS_FW Router 설정

 

32 dynamic applythis permit tcp any host 1.1.100.1 eq 23

   모든 출발지(출발지의 모든 IP를 알 수 없으므로)에서 1.1.100.1로 telnet으로 접근할 경우 DACL을 적용한다. 

autocommand access-enable host timeout 10 

   telnet 접속을 성공하면 access-enable(DACL)를 활성화시키고 DACL ACL 정책을 ANY에서 해당 호스트 IP로 바꾸고 10분간 유지한다. 

 

<IOS_FW> conf t username user1 password cisco123 ip access-list extended DACL_IN  31 permit tcp any host 1.1.100.5 eq 23  32 dynamic applythis permit tcp any host 1.1.100.1 eq 23 exit line vty 0 4  login local  autocommand access-enable host timeout 10 !

 

 

 

Client 확인

 

-   HQ 라우터로 Telnet접속을 시도하면 DACL을 설정은 했지만 인증은 하지 않았기 때문에 접속이 되지 않는다.

 

 

-   IOS_FW 라우터로 Telnet 접속하여 DACL인증을 받는다.

 

 

-   HQ 라우터로 다시 Telnet 접속을 시도하면 정상적으로 접근이 가능한 것을 확인할 수 있다.

 

 

-   ACL정책이 출발지 IP가 any에서 인증된 host IP로 변경된 것을 확인할 수 있다.

 

 

-   DACL은 통신을 할 때 패킷이 암호화가 되지 않기 때문에 많이 사용하지 않고 VPN을 많이 사용한다.