- 인증서를 발급해주는 CA 서버와 인증서를 발급받아서 사용하는 장비의 시간이 서로 일치해야 한다. - 해당 LAB에서는 시간 서버(time.windows.com)로부터 시간을 동기화하려고 한다. 1. CE2, ASA 시간 동기화 설정 ip name-server 168.126.63.1 네임서버 IP를 KT로 지정 ntp-server time.windows.com NTP 서버를 time.windows.com으로 지정 clock timezone KOR +9 한국 시간대로 변경 conf t ip domain lookup ip name-server 168.126.63.1 168.126.63.2 ntp server time.windows.com clock timezone KOR +9 clock timezone K..

SSL(Secure Socket Layer) 개념 - SSL은 넷스케이프에서 개발하였고 TCP 기반의 Application을 보호할 수 있다. (TCP 포트 443번 사용) - TETF에서 SSL을 기반으로 표준화 작업을 진행하였고, TLS(Transport Layer Security)라고 부른다. - SSL과 TLS는 개념적으로 구조가 비슷하지만 서로 완벽히 호환되지 않는다. (SSL 3.3 = TLS 1.2, 1.3) - SSL은 비대칭키를 사용한다. 비대칭키 개념 - 비대칭키 방식은 Public Key(공개키)와 Secret Key(비밀키) 한쌍의 키를 사용한다. - 대칭키와 다르게 암호화 뿐만 아니라 무결성체크, 인증(책임추적성)을 수행한다. - RSA와 같은 Public Key 방식을 사용한 암..

aaa-server ACS_SVR (Inside) host 10.10.1.252 aaa-server ACS_SVR protocol radius key ictsec321 authentication-port 1812 accounting-port 1813 exit show run aaa-server test aaa authentication ACS_SVR host 10.10.1.252 - AAA가 잘 적용됬는지 테스트 - 만약 인증이 안될경우 서비스, 방화벽 확인 tunnel-group IT_SUPPORT general-attributes authentication-server-group ACS_SVR

네트워크 구성 ASA 내부인증 설정 group-policy GP internal 내부 그룹정책 사용하겠다는 의미이다. group-policy GP attributes 내부 그룹정책 속성 설정 !##version 1.0 Setting## crypto ikev1 policy 1 authentication pre-share encryption aes group 2 hash sha lifetime 7200 exit tunnel-group IT_SUPPORT type remote-access tunnel-group IT_SUPPORT ipsec-attributes ikev1 pre-shared-key ictsec123 exit !##version 1.5 Setting## access-list VPN_ST perm..

네트워크 구성 - HQ와 Branch 네트워크에서는 외부 IP 대역으로 ICMP 패킷이 정상적으로 이동하지만 HQ와 Branch 간에는 Outside에서 Inside로 이동할 수 없으므로 통신이 이루어지지 않는다. - HQ 네트워크와 Branch 네트워크를 VPN으로 연결하려고 한다. - HQ와 Branch에서 외부와 통신을 확인 후 Static Route를 삭제한다. no ip route 10.10.1.0 255.255.255.0 fa 0/0 1.1.100.1 no ip route 10.10.2.0 255.255.255.0 fa 0/1 1.1.100.6 ASA Site-to-Site IPSec VPN Cisco 라우터와 ASA의 IPSec VPN 구성 차이 1) AH 방식(무결성만 체크)은 지원하지 않..

네트워크 구성 - 하나의 물리적인 방화벽을 다수의 논리적 방화벽 장치로 나워서 사용하는 방식을 의미한다. - 방화벽의 모델과 라이센스에 따라 사용할 수 있는 논리적 방화벽 (Context) - 숫자가 다르다. (0 - 255) - 각각의 논리적 방화벽 장치들은 독립된 방화벽으로 동작하기 때문에 서로 아무런 영향을 주지 않는다. Security-Context(가상 방화벽) 기능 사용 예시 1) IDC (Internet Data Center) - 다수의 고객 혹은 조직이 존재하는 경우 논리적 방화벽을 사용하여 비용을 절감할 수 있다. 2) 방화벽 이중화 (Failover) - Active / Active 방식을 사용하는 경우 필요한 기술이다. Security-Context사용 시 사용 불가능한 기능 1) D..

- 명령어 입력 후 WIN7_A와 WIN7_B에서 출발지와 목적지 IP 주소에 따라 외부 통신이 성공할 수 도 있고, 실패할 수도 있다. - CEF에 의한 Asymmetric Routing(비대칭 라우팅)이 발생될 수도 있기 때문이다. - 비대칭 라우팅은 요청 트래픽과 응답 트래픽이 서로 다른 경로를 통해 전송되는 것을 의미한다. - 단순히 라우팅만 처리하는 L3 장비의 경우 비대칭 라우팅이 발생되어도 목적지에 대한 경로 정보만 자신의 라우팅 테이블에 등록되어 있다면 정상적으로 전송이 가능하다. - Session을 인지하고 처리하는 방화벽, VPN, NAT 장비의 경우 비대칭 라우팅이 발생되면 정상적으로 응답 패킷을 처리할 수 없다. - show ip cef exact-route [So.IP] [De.I..

네트워크 구성 - ASA는 기본적으로 L3방화벽 즉 Router 모드로 동작한다. - L3 방화벽 모드는 라우터와 동일하게 인터페이스마다 서로 다른 네트워크 대역의 IP 주소가 할당되어야 하고, 라우팅 구성이 필요하다. - L2 방화벽인 Transparent 모드를 사용하게 되면 IP 정책과 Routing 구성을 변경하지 않고 기존 Topology에 방화벽을 추가하는 것이 가능하다. - L2 방화벽 모드에서 L3 방화벽과 동일한 기능을 수행할 수 있다. (ACL / MPF / NAT / Routung 등) - 추가적으로 L2 필터링 정책인 EtherType ACL로도 사용이 가능하다. * Router(L3) 모드와 Transparent(L2) 모드는 Cisco에서 사용되는 용어이다. L2 방화벽 장점 -..

Twice NAT ( = Manual NAT) - 가장 높은 순위의 NAT 방식이다. (Section 1) - 하나의 NAT 규칙 안에서 출발지 주소와 목적지 수소 모두를 확인할 수 있는 주소 변환 설정 방식이다. - 관리자가 기존에 설정되어 있는 Object NAT 보다 우선되어야 하는 예외 정책을 구성하고자 할때 설정되어야 한다. - Manual NAT라고도 불리는데 NAT 테이블에서 정책 순위를 직접 지정할 수 있기 때문이다. 네트워크 구성도 ISP 라우터 Loopback 인터페이스 연결설정 확인 - 현재 Inside에서 외부와 통신을 하는 경우 목적지와 관계 없이 ASA의 Outside인터페이스 IP(1.1.100.2) 주소로 PAT 처리가 되고 있다. - 내부망에 있는 Window에서 외부망으로..

- 특정 트래픽 전송경로 중간에 방화벽이 위치하는 경우 해당 방화벽에 의해서 트래픽이 차단되는지 확인할 수 있는 명령어이다. - 방화벽 구축 후 특정 트래픽이 정상적으로 전송이 되지 않는 경우 방화벽의 보안 정책을 가장 먼저 확인해야 한다. - ACL 설정 내용 혹은 Log 등을 사용하여 파악할 수 도 있지만 Packet-tracer 기능을 사용하면 전송 실패 원인이 방화벽인지 쉽게 파악하는 것이 가능하다. packet-tracer input Inside icmp 1.1.1.1 8 0 8.8.8.8 출발지가 1.1.1.1(WIN7_A)인 PC가 Inside로 들어오는 icmp 패킷중 Type 8번이 8.8.8.8(외부)에게 전송될 수 있는지 확인 packet-tracer input Outside tcp ..

1. Object - 특정 네트워크 대역 혹은 서비스에 대해 Object를 생성하여 관리하는 것이 가능하다. - Object는 Network-Object와 Service-Object로 구성된다. - Object에 2개 이상의 정의하면 마지막에 설정된 항목만 저장된다.\ Network Object 구축 부서 이름 IP 주소 관리부 (MGR_NET) 1.1.1.0 /24 인사부 (HR_NET) 1.1.2.0 /24 판매부 (Sales_NET) 1.1.3.0 /24 IT 지원팀 (IT_SUPPORT) 200.1.1.0 /24 DNS 서버 (DNS_SVR) 100.1.1.250 WEB 서버 (WEB_SVR) 100.1.1.251 FTP 서버 (FTP_SVR) 100.1.1.252 Mail 서버 (MAIL_SVR..

1. Console 2. Telnet 접속 - TCP 포트 23번 사용하고 평문 전송을 사용한다.(보안상 취약하다.) - 관리자가 별도로 Password를 지정하지 않았을 경우 기본 Password는 cisco로 설정되어있다. management-only 관리접근만 가능하도록 설정한다. telnet 192.168.1.1 255.255.255.255 Management Management에있는 WIN7_B(192.168.1.1)PC만 Telnet접근을 가능하도록 설정한다. conf t int management 0/0 desc ##Management_Interface## nameif Management security-level 100 ip add 192.168.1.254 255.255.255.0 mana..

ASA 방화벽의 역할 - Access-Control, NAT, VPN, Authentication, Logging 등을 수행한다. - ASA의 경우 Security Level이 낮은 쪽에서 높은 쪽으로 전송되는 트래픽의 경우 기본적으로 차단된다. - 특정 서비스에 대한 접근을 허용하기 위해서는 관리자가 Access-list를 사용하여 접근을 허용해야 한다. - 기본적인 L3 / L4 정보 기반의 Access-Control은 Access-list를 사용하여 구현한다. - SPI / DPI와 같은 기능은 MPF(Modular Policy Framework)로 구현이 가능하다. ASA Access List - Access-list 방식은 라우터와 설정이 거의 비슷하다. - 필터링 방식의 ACL은 Named 방..

- Cisco는 과거 PIX라는 방화벽 장비를 판매하였다. - 오늘날에는 PIX는 단종되었고 ASA모델을 판매하고 있다. - ASA는 사용하는 License에 따라 지원되는 기능이 차이가 있다. (show version 명령어로 확인 가능) 네트워크 구성 - ASA장비에 Outside, DMZ, Inside 세 영역이 연결되어 있다. - Static Routing을 통해 모든 구간을 연결하려고 한다. 방화벽 모드 - show firewall 명령어로 모드를 확인할 수 있다. L3 방화벽 (Router 모드 / Default 동작) - L3 방화벽 모드에서 인터페이스 설정은 Cisco 라우터와 거의 동일하다. - nameif 명령어를 사용하여 인터페이스마다 이름을 지정해야 한다. - security-lev..