aaa-server ACS_SVR (Inside) host 10.10.1.252 aaa-server ACS_SVR protocol radius key ictsec321 authentication-port 1812 accounting-port 1813 exit show run aaa-server test aaa authentication ACS_SVR host 10.10.1.252 - AAA가 잘 적용됬는지 테스트 - 만약 인증이 안될경우 서비스, 방화벽 확인 tunnel-group IT_SUPPORT general-attributes authentication-server-group ACS_SVR

네트워크 구성 ASA 내부인증 설정 group-policy GP internal 내부 그룹정책 사용하겠다는 의미이다. group-policy GP attributes 내부 그룹정책 속성 설정 !##version 1.0 Setting## crypto ikev1 policy 1 authentication pre-share encryption aes group 2 hash sha lifetime 7200 exit tunnel-group IT_SUPPORT type remote-access tunnel-group IT_SUPPORT ipsec-attributes ikev1 pre-shared-key ictsec123 exit !##version 1.5 Setting## access-list VPN_ST perm..

네트워크 구성 - HQ와 Branch 네트워크에서는 외부 IP 대역으로 ICMP 패킷이 정상적으로 이동하지만 HQ와 Branch 간에는 Outside에서 Inside로 이동할 수 없으므로 통신이 이루어지지 않는다. - HQ 네트워크와 Branch 네트워크를 VPN으로 연결하려고 한다. - HQ와 Branch에서 외부와 통신을 확인 후 Static Route를 삭제한다. no ip route 10.10.1.0 255.255.255.0 fa 0/0 1.1.100.1 no ip route 10.10.2.0 255.255.255.0 fa 0/1 1.1.100.6 ASA Site-to-Site IPSec VPN Cisco 라우터와 ASA의 IPSec VPN 구성 차이 1) AH 방식(무결성만 체크)은 지원하지 않..

초기 네트워크 구성 IP 구성 본사 내부 Client PC (Win_ClientA / 10.1.1.1) DNS 서버 (Win_serverA / 10.1.1.250) Web 서버 (Win_serverB / 10.1.1.251) ACS 서버 (Win_serverC / 10.1.1.252) 본사 외부 Client PC (Win_ClientA / 2.2.2.1) - DNS 서버(10.1.1.250)에 Web서버(10.1.1.251) 정보를 등록하였다. - HQ Client PC에서 정상적으로 웹페이지에 접근이 가능하다. - 외부망 Client(Win_ClientB)에서 본사로 Remote Access VPN 연결을 하려고 한다. - HQ 내부에서 Internet 망과 통신되는 것을 확인 후 VPN 연결을 위해서..

네트워크 구성 - HQ(본사)와 2개의 지사(Branch1,2)로 구성된 네트워크이다. - OSPF로 라우팅 되어있지만 내부망과 IP대역이 달라서 현재 라우터 끼리만 통신이 가능하고 내부 PC간에는 통신이 불가능하다. - 본사와 지사, 지사와 지사간에 GRE 터널과 DMVPN을 사용하여 서로 통신을 할 수 있도록 설정 하려고 한다. - 동적인 대규모 Site-to-Site VPN을 구성하기 적합한 방식이다. - DMVPN은 새로운 지사와 VPN 연결을 해야 하는 경우 본사 VPN 장치에서는 별도의 추가 설정이 요구되지 않는다. DMVPN 기술 1) mGRE (Multipoint GRE) - 다수의 Next-hop 장치와 연결될 수 있다는 특징 때문에 DMVPN에서 사용된다. - DMVPN의 경우 동적으로..

GRE 터널과 IPSEC VPN을 같이 구성할 경우 Direct Encapsulation IPSec가 다르게 Dynamic Routing Protocol을 사용할 수 있게 된다. VPN 이중화 구성이 훨씬 간단해지고, 보호 대상 트래픽 지정도 기존 방식보다 간단하게 처리할 수 있다. 명령어는 Direct Encapsulation IPSec과 거의 동일하다. 보호대상 트래픽 지정시 GRE Tunnel을 통과하는 패킷으로 정의해야 한다. HQ_VPN Router IPSec 설정 crypto isakmp policy 1 isakmp 정책 설정 crypto isakmp key ictsec123 address 1.1.100.6 key 설정 및 실제 VPN 장비(Branch1 Router) IP등록 permit g..

GRE Tunnel - Cisco에서 개발한 Tunneling Protocol이다. - 특정 망을 통과할 수 없는 패킷들은 통과가 가능하도록 해주는 프로토콜이다. - GRE Tunnel이 출구 인터페이스인 경우 원본 IP 패킷에 4Byte의 GRE헤더와 20Byte의 New IP헤더가 추가되어 전송된다. (New IP 헤더 + GRE헤더 + 원본 IP 헤더 + Data) - 추가적인 24Byte의 오버헤드가 발생된다. tunnel mode gre ip 터널 인터페이스 기본 모드가 gre ip 모드이기 때문에 별도로 입력하지 않아도 된다. tunnel source 1.1.100.1 터널 인터페이스의 실제 출발지 IP입력 tunnel destination 1.1.100.6 터널 인터페이스의 실제 목적지 IP..

네트워크 구성 - 하나의 물리적인 방화벽을 다수의 논리적 방화벽 장치로 나워서 사용하는 방식을 의미한다. - 방화벽의 모델과 라이센스에 따라 사용할 수 있는 논리적 방화벽 (Context) - 숫자가 다르다. (0 - 255) - 각각의 논리적 방화벽 장치들은 독립된 방화벽으로 동작하기 때문에 서로 아무런 영향을 주지 않는다. Security-Context(가상 방화벽) 기능 사용 예시 1) IDC (Internet Data Center) - 다수의 고객 혹은 조직이 존재하는 경우 논리적 방화벽을 사용하여 비용을 절감할 수 있다. 2) 방화벽 이중화 (Failover) - Active / Active 방식을 사용하는 경우 필요한 기술이다. Security-Context사용 시 사용 불가능한 기능 1) D..

- 명령어 입력 후 WIN7_A와 WIN7_B에서 출발지와 목적지 IP 주소에 따라 외부 통신이 성공할 수 도 있고, 실패할 수도 있다. - CEF에 의한 Asymmetric Routing(비대칭 라우팅)이 발생될 수도 있기 때문이다. - 비대칭 라우팅은 요청 트래픽과 응답 트래픽이 서로 다른 경로를 통해 전송되는 것을 의미한다. - 단순히 라우팅만 처리하는 L3 장비의 경우 비대칭 라우팅이 발생되어도 목적지에 대한 경로 정보만 자신의 라우팅 테이블에 등록되어 있다면 정상적으로 전송이 가능하다. - Session을 인지하고 처리하는 방화벽, VPN, NAT 장비의 경우 비대칭 라우팅이 발생되면 정상적으로 응답 패킷을 처리할 수 없다. - show ip cef exact-route [So.IP] [De.I..

네트워크 구성 - ASA는 기본적으로 L3방화벽 즉 Router 모드로 동작한다. - L3 방화벽 모드는 라우터와 동일하게 인터페이스마다 서로 다른 네트워크 대역의 IP 주소가 할당되어야 하고, 라우팅 구성이 필요하다. - L2 방화벽인 Transparent 모드를 사용하게 되면 IP 정책과 Routing 구성을 변경하지 않고 기존 Topology에 방화벽을 추가하는 것이 가능하다. - L2 방화벽 모드에서 L3 방화벽과 동일한 기능을 수행할 수 있다. (ACL / MPF / NAT / Routung 등) - 추가적으로 L2 필터링 정책인 EtherType ACL로도 사용이 가능하다. * Router(L3) 모드와 Transparent(L2) 모드는 Cisco에서 사용되는 용어이다. L2 방화벽 장점 -..

Twice NAT ( = Manual NAT) - 가장 높은 순위의 NAT 방식이다. (Section 1) - 하나의 NAT 규칙 안에서 출발지 주소와 목적지 수소 모두를 확인할 수 있는 주소 변환 설정 방식이다. - 관리자가 기존에 설정되어 있는 Object NAT 보다 우선되어야 하는 예외 정책을 구성하고자 할때 설정되어야 한다. - Manual NAT라고도 불리는데 NAT 테이블에서 정책 순위를 직접 지정할 수 있기 때문이다. 네트워크 구성도 ISP 라우터 Loopback 인터페이스 연결설정 확인 - 현재 Inside에서 외부와 통신을 하는 경우 목적지와 관계 없이 ASA의 Outside인터페이스 IP(1.1.100.2) 주소로 PAT 처리가 되고 있다. - 내부망에 있는 Window에서 외부망으로..

- 특정 트래픽 전송경로 중간에 방화벽이 위치하는 경우 해당 방화벽에 의해서 트래픽이 차단되는지 확인할 수 있는 명령어이다. - 방화벽 구축 후 특정 트래픽이 정상적으로 전송이 되지 않는 경우 방화벽의 보안 정책을 가장 먼저 확인해야 한다. - ACL 설정 내용 혹은 Log 등을 사용하여 파악할 수 도 있지만 Packet-tracer 기능을 사용하면 전송 실패 원인이 방화벽인지 쉽게 파악하는 것이 가능하다. packet-tracer input Inside icmp 1.1.1.1 8 0 8.8.8.8 출발지가 1.1.1.1(WIN7_A)인 PC가 Inside로 들어오는 icmp 패킷중 Type 8번이 8.8.8.8(외부)에게 전송될 수 있는지 확인 packet-tracer input Outside tcp ..

1. Object - 특정 네트워크 대역 혹은 서비스에 대해 Object를 생성하여 관리하는 것이 가능하다. - Object는 Network-Object와 Service-Object로 구성된다. - Object에 2개 이상의 정의하면 마지막에 설정된 항목만 저장된다.\ Network Object 구축 부서 이름 IP 주소 관리부 (MGR_NET) 1.1.1.0 /24 인사부 (HR_NET) 1.1.2.0 /24 판매부 (Sales_NET) 1.1.3.0 /24 IT 지원팀 (IT_SUPPORT) 200.1.1.0 /24 DNS 서버 (DNS_SVR) 100.1.1.250 WEB 서버 (WEB_SVR) 100.1.1.251 FTP 서버 (FTP_SVR) 100.1.1.252 Mail 서버 (MAIL_SVR..

1. Console 2. Telnet 접속 - TCP 포트 23번 사용하고 평문 전송을 사용한다.(보안상 취약하다.) - 관리자가 별도로 Password를 지정하지 않았을 경우 기본 Password는 cisco로 설정되어있다. management-only 관리접근만 가능하도록 설정한다. telnet 192.168.1.1 255.255.255.255 Management Management에있는 WIN7_B(192.168.1.1)PC만 Telnet접근을 가능하도록 설정한다. conf t int management 0/0 desc ##Management_Interface## nameif Management security-level 100 ip add 192.168.1.254 255.255.255.0 mana..

ASA 방화벽의 역할 - Access-Control, NAT, VPN, Authentication, Logging 등을 수행한다. - ASA의 경우 Security Level이 낮은 쪽에서 높은 쪽으로 전송되는 트래픽의 경우 기본적으로 차단된다. - 특정 서비스에 대한 접근을 허용하기 위해서는 관리자가 Access-list를 사용하여 접근을 허용해야 한다. - 기본적인 L3 / L4 정보 기반의 Access-Control은 Access-list를 사용하여 구현한다. - SPI / DPI와 같은 기능은 MPF(Modular Policy Framework)로 구현이 가능하다. ASA Access List - Access-list 방식은 라우터와 설정이 거의 비슷하다. - 필터링 방식의 ACL은 Named 방..