- Cisco는 과거 PIX라는 방화벽 장비를 판매하였다. - 오늘날에는 PIX는 단종되었고 ASA모델을 판매하고 있다. - ASA는 사용하는 License에 따라 지원되는 기능이 차이가 있다. (show version 명령어로 확인 가능) 네트워크 구성 - ASA장비에 Outside, DMZ, Inside 세 영역이 연결되어 있다. - Static Routing을 통해 모든 구간을 연결하려고 한다. 방화벽 모드 - show firewall 명령어로 모드를 확인할 수 있다. L3 방화벽 (Router 모드 / Default 동작) - L3 방화벽 모드에서 인터페이스 설정은 Cisco 라우터와 거의 동일하다. - nameif 명령어를 사용하여 인터페이스마다 이름을 지정해야 한다. - security-lev..

1. URL Filter 구현 - 내부 사용자들이 회사 정책에 위반되는 웹 사이트에 접근하는 것을 차단하기 위해서 URL 기반으로 Filtering 정책을 구현하는 것이 가능하다. - Inside에서 Outside로 향하는 트래픽 중 URL이 peemangit.tistory.com인 트래픽을 차단하려고 한다. parameter-map type urlfilter Deny_URL Deny_URL이라는 이름의 urlfilter 파라미터 생성 exclusive-domain deny .peemangit.tistory.com peemangit.tistory.com URL을 차단 다른 사이트도 추가하고 싶으면 exclusive-domain deny 명령어를 여러 번 쓰면 된다. exclusive-domain perm..

네트워크 구성 ZFW GNS Config 파일 - CBAC의 경우 기존 인터페이스 기반의 패킷 필터링에 SPI 기능을 추가한 방식이다. - 다수의 인터페이스에 CBAC 정책을 구성하는 경우 각 인터페이스마다 설정을 입력해야 한다. - ZFW의 경우 인터페이스 기반이 아닌 Zone(영역) 기반의 Firewall 방식으로 동작한다. - 각 인터페이스를 특정 Zone에 할당한다. - 동일 Zone에 포함된 인터페이스 사이에서 통신은 기본적으로 허용이 되고 서로 다른 Zone 사이에서 전송되는 통신은 기본적으로 차단된다. - 서로 다른 Zone에 포함된 인터페이스 사이의 통신은 관리자가 CPL(Cisco Policy Language)이라는 명령어 체계를 사용하여 보안정책을 구성해야만 가능하다. ZFW 구성 방법..

- 1세대 방화벽 기술인 RACL의 경우 단순히 L3 / L4 헤더 정보를 기반으로 응답 트래픽의 수신 여부를 결정하기 때문에 FTP와 같이 2개 이상의 포트를 사용하는 동적 포트 서비스의 경우 정상적인 처리가 불가능하다. - 이러한 1세대 방화벽의 한계점을 해결할 수 있는 방법은 3세대 방화벽 기술인 SPI (Stateful Packet Inspection)를 사용하는 것이다. - SPI의 경우 세션 정보와 특정 프로토콜의 동작을 인식할 수 있기 때문에 동적 포트 서비스 트래픽도 처리가 가능하고, Application 계층 정보도 어느 정도 제어하는 것이 가능하다. (URL Filtering) - CBAC도 SPI를 지원하고 L3 / L4 계층의 트래픽을 제어할 뿐만 아니라 응용계층의 트래픽도 제어할 ..

DACL(Dynamic ACL) - 출장이나 재택근무 중인 직원이 회사 내부망에 접근하여 업무와 관련된 특정 서비스를 사용하기 위해서 오늘날에는 Remote Access VPN을 주로 사용한다. - 만약 VPN을 구성하기 힘든 경우 방화벽에서 Authentication(인증)을 통해 외부 사용자가 내부망에 접근이 가능한 임시 ACL을 일정 시간 동안 활성화시키는 것이 가능하다. 이를 DACL이라고 한다. - 필요할 때만 임시적으로 내부와의 통신이 허용되고, 기본적으로는 차단되어 있기 때문에 보안침해 가능성을 줄여준다. DACL 동작 과정 1. 외부 사용자를 인증하기 위한 목적으로 방화벽 장치(IOS_FW)에 Telnet을 구성한다. (관리 목적의 Telnet이 아닌 사용자를 인증하기 위한 Telnet이다..

1. 분할된 IPv4 패킷 차단 - IP 헤더 플래그 필드 중 3번째 비트는 MF(More Fragments)를 의미한다. - 이 비트 값이 1이면 해당 패킷은 분할된 것이며, 분할된 나머지 패킷이 더 존재한다는 의미이다. - 분할된 패킷은 종단 장비가 다시 조립한다. - 분할된 패킷을 서버에 대량으로 전송하면 서버에 부하가 생기므로 분할된 IPv4 패킷을 막아주어야 한다. IOU_FW Router 설정 conf t ip access-list extended NO_IP_FLAG deny ip any host 1.1.1.250 fragments permit ospf host 1.1.100.6 any permit ip any any log-input exit int f 0/1 ip access-group N..

네트워크 구성 GNS ACL LAB Config 파일 - 일반적인 1세대 방화벽(ACL)은 세션을 인지할 수 없다. (Stateless) - 내부에서 외부로 전송한 패킷의 응답 메시지를 자동으로 허용하는 것이 불가능하다. - 1세대 방화벽에서 응답 패킷을 수신하기 위한 방법에는 established 옵션과 RACL이 있다. Established 옵션 - TCP의 경우 RACL을 사용하지 않아도 외부에서 시작되는 세션을 차단할 수 있다. - established옵션을 사용해 ACK나 RST비트가 설정된 패킷만 허용하면 된다. 41 permit tcp any 1.1.1.0 0.0.0.255 established 1.1.1.0/24 IP 대역이 다른 장비로 먼저 요청을 할 때 방화벽이 established상태..

1. ICMP(Internet Control Message Protocol) 1) ICMP 개념 ICMP는 L3 프로토콜이다. 동일 계층의 프로토콜인 IP인 경우 신뢰성 없고, 비연결 지향적이다. 전송 경로 중간에서 패킷 전송이 실패하는 경우에도 해당 패킷을 전송한 출발지 장비에서는 그 사실을 알 수 없다. (자신이 전송한 패킷이 목적지 도달에 실패했는지 L3 IP를 통해서는 알 수 없다.) 이러한 IP를 보조하는 비서 같은 역할로 ICMP가 등장했다. 2) ICMP 역할 오류보고 메시지와 질의 메시지로 나눌 수 있다. 2.1) 수신처 도달 불가 (Type 3) 왜 최종 목적지에 도착하지 못했는지 오류메시지의 종류를 정의하기 위해 0~15까지 다른 코드를 사용 2.2) 발신 제한 (Type 4) 송신자에..

네트워크 구성 - IOS_FW 라우터를 방화벽으로 사용(Cisco IOS Firewall)하고자 한다. - 외부에서 접근하는 패킷 중 다음 조건에 일치하는 패킷들만 허용한다. 1) DNS 서버(1.1.1.250)로 향하는 DNS 조회 패킷 2) Web서버(1.1.1.251)로 향하는 Web 접근 패킷 - 이 이외에는 외부에서 오는 모든 패킷을 차단한다. - Numbered ACL과 Named ACL 구성 방법을 설정한다. ACL LAB GNS Config 파일 1. DNS 패킷, HTTP 패킷 분석 - IOS_FW 라우터와 ISP 라우터 간의 패킷을 조사한다. - WIN7_B에서 nslookup을 통해 www.peemang.com을 조회한다. - 캡처된 DNS 패킷을 보면 UDP 프로토콜을 사용하고 포트..

- 스위치 포트에 연결되는 사용자를 확인하고 해당 사용자에 대한 인증이 통과되는 경우에만 해당 포트를 활성화시킬 수 있는 인증 방식이다. - 오늘날에는 원래 목적이었던 유선 스위치보다 무선(Wireless) AP 인증 등에 주로 사용되고 있다. - Dot1 x 인증에는 EAP(Extensible Authentication Protocol)라는 인증 프로토콜을 사용한다. 네트워크 구성 - Client는 (VLAN 90에서 인증 후 VLAN 70으로 변경된다.) - ACS 서버(VLAN 250 / 10.1.250.5) - GateWay 주소 (VLAN 70 / 10.1.70.252~254, VLAN 90 /10.1.90.252~254) - 인증이 되지 않으면 VLAN 90번으로 사용하고 VLAN 90번은 게..

네트워크 구성 - ACS_SVR(10.1.250.5 / Window Server)에서 Radius인증을 설정한다. - HQ_CE 라우터와 Branch1 라우터를 PPP로 인증 하려고 한다. PPP 란? - PPP와 HDLC는 WAN 구간의 L2 프로토콜의 Point-toPoint 연결 방식이다. - Cisco 라우터의 경우 Serial Interface를 사용할 때 관리자가 별도로 설정하지 않는다면 L2 프로토콜로 HDLC를 사용한다. - Cisco 라우터가 다른 벤더 라우터와 Point-to-Point 연결을 구성하는 경우 Cisco HDLC가 타 벤더 라우터에서 지원되지 않기 때문에 PPP 방식을 사용해야 한다. PPP 인증(Authentication) - PPP 인증은 다양한 목적으로 사용된다. (..

네트워크 구성 - Client(Window7_B)가 외부 포트(f 1/1)로 패킷을 보낼 때 Admin(Window7_A)이 관리자 분석기가 연결된 포트(f 1/0)를 통해서 패킷을 복사하여 Client의 패킷 이동 경로를 확인하려고 한다. 장비 정보 및 IP 주소 - 3600 Router 2대 (R1, ESW) - Client (Window 7_A / 10.1.10.1) - Admin (Window 7_B / 10.1.10.2) - 3600 Router 2 대중 1대를 EtherSwitch로 쓰기 위해서 스위치 포트를 추가한다. - ESW 스위치에서 1/0 ~ 2번 포트가 up 상태이면 정상적으로 구성된 것이다. 특정 포트로 송/수신되는 패킷들을 다른 장비에서 분석할 수 있는 방법 1. Hub - 허브..

HTTP - Web 상에서 정보를 주고받기 위한 핵심 프로토콜이다. - 정적인 텍스트 자원을 송/수신하기 위해 개발되었다. - 애플리케이션 레벨의 프로토콜이다. - 메시지 기반으로 동작한다. - 프로토콜은 TCP 80번을 사용한다. HTTP Version HTTP 1.0 (RFC 1945) - 1996년에 발표 되었다. - Client가 서버에 응답을 받으면 연결을 끊는 일시적인 연결을 수행한다. 그러므로 연결할 때마다 3-hand-shake를 수행한다. - 하나의 물리적인 서버에 1개의 사이트만 올릴 수 있다. HTTP 1.1 (RFC 2616) - 1999년에 발표되었다. - 지속적인 연결을 통해 트래픽을 줄일 수 있다. (반복적인 3-hand-shake를 사용하지 않아도 된다.) - 하나의 서버에 ..

World Wide Web 이란? 전 세계에 있는 네트워크에 연결된 시스템을 통해 정보를 공유할 수 있는 정보 공간이다. Web Server - 웹 브라우저 클라이언트로부터 HTTP 요청을 받아 정적인 컨텐츠를 제공한다. - IIS, Apache, Netscape 등이 있다. Web Application Server (WAS) - DB 조회나 다양한 로직 처리를 요구하는 동적인 컨텐츠를 제공한다. - ASP, PHP, JSP, Perl 등이 있다. Database - WAS 서버의 Data를 관리해 주는 역할을 한다. - MA-SQL, MYSQL, Informix 등이 있다.

Router Log 관리 1. Console Logging - 콘솔 포트로 접근한 경우 장비는 기본적으로 해당 콘솔 포트에 로그 메세지를 전송하기 때문에 관리자는 콜솔 창으로 로그 메세지를 확인하는것이 가능하다. - 해당 로그 메세지는 현재 콘솔 포트에 접근 중인 관리자만 확인이 가능하다. - 다음과 같이 인터페이스를 생성 하거나 다른 작업을 실행할 때 콘솔 로그가 발생하게 된다. - no logging console 명령어를 이용해 콘솔 명령어를 띄우지 않게 설정할 수 있다. 2. Terminal Logging - Telnet / SSH와 같이 Remote Access(원격 접속) 방식으로 장비에 접속한 경우 콘솔 창과 다르게 기본적으로 로그 메세지가 확인되지 않는다. - 로그 메세지를 확인하기 위해서..