[Firewall] CBAC(Context-Based ACL) 설정

-   1세대 방화벽 기술인 RACL의 경우 단순히 L3 / L4 헤더 정보를 기반으로 응답 트래픽의 수신 여부를 결정하기 때문에 FTP와 같이 2개 이상의 포트를 사용하는 동적 포트 서비스의 경우 정상적인 처리가 불가능하다.

-   이러한 1세대 방화벽의 한계점을 해결할 수 있는 방법은 3세대 방화벽 기술인 SPI (Stateful Packet Inspection)를 사용하는 것이다.

-   SPI의 경우 세션 정보와 특정 프로토콜의 동작을 인식할 수 있기 때문에 동적 포트 서비스 트래픽도 처리가 가능하고, Application 계층 정보도 어느 정도 제어하는 것이 가능하다. (URL Filtering)

-   CBAC도 SPI를 지원하고 L3 / L4 계층의 트래픽을 제어할 뿐만 아니라 응용계층의 트래픽도 제어할 수 있다.

 

네트워크 구성

 

-   본사(1.1.1.0/24)에서 지사로 패킷이 이동할 때 CBAC를 적용한다.

-   지사(2.2.2.0/24)에서 본사로 들어올 때 Extended ACL을 적용한다.

-   본사에서 지사의 FTP 서버를 Active 모드로 접근한다.

-   본사, 지사에서 외부망(NAT)으로 이동할 때 peemangit.tistory.com URL을 차단한다.

 

IOS_FW Router 설정

 

ip inspect name CBAC_RULE tcp 

   tcp session에 대한 요청, 응답 허용

 

<IOS_FW> ip inspect name CBAC_RULE tcp  ip inspect name CBAC_RULE udp ip inspect name CBAC_RULE icmp   ip access-list extended OUT->IN_RULE  permit ospf host 1.1.100.6 any  permit udp any host 1.1.1.250 eq 53  permit tcp any host 1.1.1.251 eq 80  deny ip any any log-input ! int fa 0/1  ip inspect CBAC_RULE out  ip access-group OUT->IN_RULE in !

 

설정 확인

 

-  Win7_A에서 외부로 정상적으로 통신되는 것을 확인할 수 있다.

 

 

-   show ip inspect session detail 명령어로 이동된 세션의 정보를 확인할 수 있다.

 

 

-   위와 같이 CBAC를 구성 후 내부에서 외부로 전송된 TCP / UDP / ICMP 트래픽에 대한 응답 패킷은 정상적으로 방화벽이 허용되는 것을 확인할 수 있다.

 

Client에서 FTP 접속

 

-   FTP를 Active모드로 접속은 되는데  1세대 방화벽인 RACL과 동일하게 Data Connection 연결이 차단되어 파일 목록을 확인하는 것이 불가능하다.

 

 

-   CBAC에서 특정 Application 프로토콜을 세부적으로 제어하기 위해서는 해당 Application을 별도로 inspect 지정을 해야 한다.

 

ip inspect name CBAC_RULE ftp audit-trail on

   ftp 세션에 대한 요청, 응답 허용하고 로그를 보여준다.

   audit-trail on은 로그 확인 명령어이다. (필수 명령어가 아니다.)

 

<IOS_FW> conf t ip inspect name CBAC_RULE ftp audit-trail on

 

설정 확인

 

-   show running-config | include inspect 명령어를 사용하여 명령어가 방화벽 장비에 잘 들어갔는지 확인한다.

 

 

-   FTP를 Active모드로 접속하면 Data Connection도 이루어진 것을 확인할 수 있다.

 

 

-   FTP 연결 포트와 Data Connection 포트가 로그로 표시되는 것을 확인할 수 있다.

 

 

-   CBAC는 SPI를 사용하는 3 계층 방화벽 장비 이므로 URL Filter도 가능하다.

 

URL 차단

 

-   peemangit.tistory.com URL을 차단하려고 한다.

-   차단 전에는 peemangit.tistory.com 사이트를 웹페이지로 접근하면 정상적으로 접속된다.

 

 

IOS_FW Router 설정

 

ip urlfilter exclusive-domain deny .peemangit.tistory.com

   peemangit.tistory.com 사이트를 차단한다.

ip urlfilter allow-mode on

   나머지 URL은 허용한다.

ip urlfilter audit-trail

   urlfilter 로그를 확인한다.

 

<IOS_FW> conf t ip urlfilter exclusive-domain deny .peemangit.tistory.com ip urlfilter allow-mode on ip urlfilter audit-trail ip inspect name CBAC_RULE HTTP urlfilter

 

-   show running-config | include utlfilter 명령어로 잘 설정되었는지 확인한다.

 

 

-   Win7_A에서 해당 URL을 들어가면 사용권한이 없어서 HTTP 403 에러가 출력되면서 접속이 되지 않는다.

 

 

-   IOS_FW 라우터를 보면 허용되지 않은 사이트에 접속한 로그가 출력된다.