1. URL Filter 구현 - 내부 사용자들이 회사 정책에 위반되는 웹 사이트에 접근하는 것을 차단하기 위해서 URL 기반으로 Filtering 정책을 구현하는 것이 가능하다. - Inside에서 Outside로 향하는 트래픽 중 URL이 peemangit.tistory.com인 트래픽을 차단하려고 한다. parameter-map type urlfilter Deny_URL Deny_URL이라는 이름의 urlfilter 파라미터 생성 exclusive-domain deny .peemangit.tistory.com peemangit.tistory.com URL을 차단 다른 사이트도 추가하고 싶으면 exclusive-domain deny 명령어를 여러 번 쓰면 된다. exclusive-domain perm..

네트워크 구성 ZFW GNS Config 파일 - CBAC의 경우 기존 인터페이스 기반의 패킷 필터링에 SPI 기능을 추가한 방식이다. - 다수의 인터페이스에 CBAC 정책을 구성하는 경우 각 인터페이스마다 설정을 입력해야 한다. - ZFW의 경우 인터페이스 기반이 아닌 Zone(영역) 기반의 Firewall 방식으로 동작한다. - 각 인터페이스를 특정 Zone에 할당한다. - 동일 Zone에 포함된 인터페이스 사이에서 통신은 기본적으로 허용이 되고 서로 다른 Zone 사이에서 전송되는 통신은 기본적으로 차단된다. - 서로 다른 Zone에 포함된 인터페이스 사이의 통신은 관리자가 CPL(Cisco Policy Language)이라는 명령어 체계를 사용하여 보안정책을 구성해야만 가능하다. ZFW 구성 방법..

- 1세대 방화벽 기술인 RACL의 경우 단순히 L3 / L4 헤더 정보를 기반으로 응답 트래픽의 수신 여부를 결정하기 때문에 FTP와 같이 2개 이상의 포트를 사용하는 동적 포트 서비스의 경우 정상적인 처리가 불가능하다. - 이러한 1세대 방화벽의 한계점을 해결할 수 있는 방법은 3세대 방화벽 기술인 SPI (Stateful Packet Inspection)를 사용하는 것이다. - SPI의 경우 세션 정보와 특정 프로토콜의 동작을 인식할 수 있기 때문에 동적 포트 서비스 트래픽도 처리가 가능하고, Application 계층 정보도 어느 정도 제어하는 것이 가능하다. (URL Filtering) - CBAC도 SPI를 지원하고 L3 / L4 계층의 트래픽을 제어할 뿐만 아니라 응용계층의 트래픽도 제어할 ..

DACL(Dynamic ACL) - 출장이나 재택근무 중인 직원이 회사 내부망에 접근하여 업무와 관련된 특정 서비스를 사용하기 위해서 오늘날에는 Remote Access VPN을 주로 사용한다. - 만약 VPN을 구성하기 힘든 경우 방화벽에서 Authentication(인증)을 통해 외부 사용자가 내부망에 접근이 가능한 임시 ACL을 일정 시간 동안 활성화시키는 것이 가능하다. 이를 DACL이라고 한다. - 필요할 때만 임시적으로 내부와의 통신이 허용되고, 기본적으로는 차단되어 있기 때문에 보안침해 가능성을 줄여준다. DACL 동작 과정 1. 외부 사용자를 인증하기 위한 목적으로 방화벽 장치(IOS_FW)에 Telnet을 구성한다. (관리 목적의 Telnet이 아닌 사용자를 인증하기 위한 Telnet이다..

1. 분할된 IPv4 패킷 차단 - IP 헤더 플래그 필드 중 3번째 비트는 MF(More Fragments)를 의미한다. - 이 비트 값이 1이면 해당 패킷은 분할된 것이며, 분할된 나머지 패킷이 더 존재한다는 의미이다. - 분할된 패킷은 종단 장비가 다시 조립한다. - 분할된 패킷을 서버에 대량으로 전송하면 서버에 부하가 생기므로 분할된 IPv4 패킷을 막아주어야 한다. IOU_FW Router 설정 conf t ip access-list extended NO_IP_FLAG deny ip any host 1.1.1.250 fragments permit ospf host 1.1.100.6 any permit ip any any log-input exit int f 0/1 ip access-group N..

네트워크 구성 GNS ACL LAB Config 파일 - 일반적인 1세대 방화벽(ACL)은 세션을 인지할 수 없다. (Stateless) - 내부에서 외부로 전송한 패킷의 응답 메시지를 자동으로 허용하는 것이 불가능하다. - 1세대 방화벽에서 응답 패킷을 수신하기 위한 방법에는 established 옵션과 RACL이 있다. Established 옵션 - TCP의 경우 RACL을 사용하지 않아도 외부에서 시작되는 세션을 차단할 수 있다. - established옵션을 사용해 ACK나 RST비트가 설정된 패킷만 허용하면 된다. 41 permit tcp any 1.1.1.0 0.0.0.255 established 1.1.1.0/24 IP 대역이 다른 장비로 먼저 요청을 할 때 방화벽이 established상태..

네트워크 구성 - IOS_FW 라우터를 방화벽으로 사용(Cisco IOS Firewall)하고자 한다. - 외부에서 접근하는 패킷 중 다음 조건에 일치하는 패킷들만 허용한다. 1) DNS 서버(1.1.1.250)로 향하는 DNS 조회 패킷 2) Web서버(1.1.1.251)로 향하는 Web 접근 패킷 - 이 이외에는 외부에서 오는 모든 패킷을 차단한다. - Numbered ACL과 Named ACL 구성 방법을 설정한다. ACL LAB GNS Config 파일 1. DNS 패킷, HTTP 패킷 분석 - IOS_FW 라우터와 ISP 라우터 간의 패킷을 조사한다. - WIN7_B에서 nslookup을 통해 www.peemang.com을 조회한다. - 캡처된 DNS 패킷을 보면 UDP 프로토콜을 사용하고 포트..