🍒네트워크 17일차(5.4) 방화벽 설정하기, Access-list, BGP(Border Gateway Protocol) 설정하기

지난 시간 요약

라우터에서  ACL은 특정 호스트나 네트워크, 서비스에 대한 제한을 설정하는 기법
Wildmask는 subnetmask 형식으로 호스트를 표시하는 기법으로 NAT, ACL, OSPF에서 사용된다.

passive interface는 라우터의 특정 인터페이스에 설정해서 내부 네트워크의 정보가 외부로 노출되지 않게 한다.
=>스위치에서 VLAN의 VTP 설정에서  Transparent mode 설정과 유사하다.
    스위치에서는 특정 포트로 연결되는 MAC 주소를 지정하는 port security 기법도 있다.

distribute list는 의심스러운 네트워크가 라우터로 들어오지 못하게 막는 설정으로 ACL과 연계해서 사용된다.
=>의심스러운 네트워크를 불신하는 막는 방법으로 Distance Vector(RIP, RIPv2, IGRP)에서 Administrative distance를 255로 설정하거나 Metric을 무한대(매우 큰 수)로 지정하면 된다. 

=>특정 인터페이스로 연결되는 것을 막는 기법으로 
   no ssh input, no password input, set time 0  ..... 등이 있다. 

 

  방화벽 설정하기

  정적 라우팅 설정은 방화벽이 있는 내부-외부 네트워크 설정에서도 매우 요긴하게 사용된다. 방화벽을 설치하면 FW 장비를 중심으로 내부와 외부를 각각 VLAN 1(WAN)과 VLAN 2 (LAN)로 분할해서 Inside와 Outside로 설정하게 한다. 방화벽에서의 Security Level은 1~100까지 있는데 보통 내부 LAN이 있는 Inside zone은 100으로 해서 외부에서 뚫고 들어오기 어렵게 하고, 외부 WAN이 있는 Outside zone은 0으로 해서 내부에서 쉽게 외부로 나가게 한다. 이렇기 때문에 해커는 외부에서 방화벽을 뚫고 들어오는 해킹보다 소셜 엔지니어링 등으로 내부에서 해킹하는 것을 선호한다. 라우터와 방화벽 사이에 Management zone으로 만들고 1-99 사이의 보안 레벨을 별도로 지정할 수도 한다. 

 

방화벽 실습

RT 설정

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#host RT

RT(config)#int fa1/0

RT(config-if)#ip addr 201.1.1.1 255.255.255.252

RT(config-if)#no shut

 

RT(config-if)#

%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up

 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

int fa0/0

RT(config-if)#ip addr 8.8.8.5 255.255.255.252

RT(config-if)#no shut

 

RT(config-if)#

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

 

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

int s2/0

RT(config-if)#ip addr 10.10.10.2 255.255.255.252

RT(config-if)#no shut

 

RT(config-if)#

%LINK-5-CHANGED: Interface Serial2/0, changed state to up

exit

RT(config)#router ospf 10

RT(config-router)#net 201.1.1.0 0.0.0.3 area 0

RT(config-router)#net 8.8.8.0 0.0.0.3 area 0

RT(config-router)#net 10.10.10.0 0.0.0.3 area 0

RT(config-router)#end

DNS 설정도 해준다. 

이제 FW1 설정해주러 간다.

변경

int vlan 1

ip addr 192.168.1.1 255.255.255.0

nameif inside 네임인터페이스 인사이

security-level 100(외부에서 내부로 들어올 때 어렵게 해라)

no shut

 

int e0/1

switchport access vlan 1 이더넷 스위치포트를 vlan1에 가입시킴 

 

vlan 2는 outside로 나갈 때 아주 쉽게 security level만 0으로 해서 설정!

 

dhcpd address 192.168.1.10-192.168.1.20 inside DHCP가 주소를 임대해준다.
dhcpd dns 8.8.8.6 int inside

 

!!when dhcpd spread its information, they are host_ip_address, subnetmask, dns_server, and gateway_address, and administrator only assigns workgroup and host_name

 

DHCP가 자동으로 주소를 받았고 DNS 서버도 8.8.8.6이다. stub한 네트워크의 0.0.0.0 디폴트 게이트웨이 주소다.

즉, 라우터에다 DHCP 서버를 설정해서 노드가 자동으로 주소를 받게 할 수 있다.

 

노드끼리 서로 핑도 간다.

 

route outside 0.0.0.0 0.0.0.0 201.1.1.1

 

 

=>object network를 inside에 적용한다. object network는 특정 대역폭이나 서비스를 객체(object)로 만들어서 관리하는 기법으로써 dhcp = network setting, ospf = network setting, ...식으로 설정한 뒤 간단히 dhcp, ospf로 적용시킬 수 있다. 단축키나 가상의 개념으로 ACL이나 VPN 등에서도 사용된다. 

object network LAN

subnet 192.168.1.0 255.255.255.0

 

NAT 설정

nat (inside,outside) dynamic int

 

 

access-list in2out extended permit tcp any any (일반 entry 지정)

access-group in2out in int outside (in/out 지정)

 

ACL에서 access-list는 Router(config)#인 글로벌 모드에서 설정해준다. 일반 entry를 지정
            access-group은 Router(config-int)#인 로컬 모드에서 설정해준다. in/out을 지정

 

access-list in2out extended permit icmp any any

!!!!! access-list in2out extended permit any any

 

  외부에서 설정을 위해서 Telnet으로 들어오려면 
1) password setting: enable password, enable secret는 user mode에서 privilege mode로 들어갈 때 사용 
2) virtual password setting: line vty 0 4(or vty 2), login local 하면 username & password setting OR login 하면 password setting만 하면 된다.

=>iptables, tcpwrapper, ACL 등 설정에서는 암묵적(implicity)으로 맨 아래에 deny any any가 들어가 있어서 이들을 설정하고 entry(누군 들어와라, 누군 들어오지 말아라)를 쓰지 않아도 규제된다!!!!
=>따라서 이들을 생성해 두지 않으면 자동으로 모든 프레임/패킷은 자유롭게 통신한다.

 

+

CHAP, PAP으로 Pivotting을 막을 수 있다.

 

 

Q: 첫 번째 entry에서 tcp를 허용한다는 내용을 입력하고 실행하면 ping이 전달되지 않고, 두 번째 entry에 icmp를 허용한다는 내용을 추가하고 실행하면 ping이 전달되는 게 맞아?

A: 네, 맞습니다. 첫 번째 entry에서 TCP를 허용하고 두 번째 entry에서 ICMP를 허용한다는 경우, ping이 전달되지 않고 그 후에 ping이 전달되는 것이 올바른 동작입니다.

ACL은 순서대로 평가되기 때문에 첫 번째 entry부터 순서대로 확인됩니다. 첫 번째 entry에서는 TCP를 허용하고 ICMP를 명시하지 않았으므로, ICMP 패킷은 첫 번째 entry에 의해 거부됩니다. 그러므로 ping(ICMP)은 첫 번째 entry에서 차단됩니다.

그러나 두 번째 entry에서 ICMP를 허용하는 규칙을 추가한 경우, ICMP 패킷은 두 번째 entry에서 허용되므로 ping이 전달될 것입니다. 두 번째 entry에서 ICMP를 허용하는 규칙을 추가하면 이전에 차단된 ICMP 패킷이 허용되게 됩니다.

따라서, 첫 번째 entry에서 TCP를 허용하고 두 번째 entry에서 ICMP를 허용하는 경우, 첫 번째 entry에서는 ping(ICMP)이 차단되고, 두 번째 entry에서는 ping(ICMP)이 허용되어 ping이 전달될 수 있습니다.

  BGP(Border Gateway Protocol) 설정하기

  BGP는 WAN에서 서로 다른 AS 사이에서 사용되는 EGP의 프로토콜로써 ISP를 연결하거나 일반 네트워크가 두 개 이상의 ISP와 동시에 연결되어 있을 때 사용된다. 내부 LAN의 AS 간 연결에 사용되는 IGP는 멀티캐스트로 운용되는데 반해 외부 WAN의 AS 간 연결에 사용되는 BGP는 유니캐스트로 운용되며 벡터 메트릭을 사용한다. 
  예를 들어서 AS 100에 있는 라우터1이 AS 400에 있는 라우터4에게 자신의 192.168.1.2의 정보를 보내면 옆에 있는 AS 200 라우터2는 100->200:192.168.1.2으로 전달하고, 옆의 AS 300 라우터3은 100->200->300: 192.168.1.2식으로 전달해서 400에게 도착한다. 라우터4는 지나온 경로에서 자신의 AS 400을 빼고 나머지 100 200 300 경로 중에서 최단거리를 선택해서 보냄으로써 스플릿 호라이즌이 실행되어 루핑이 일어나지 않는다. BGP에 문제가 발생하면 어느 지역 전체나 국가까지 네트워크에 문제가 있을 수 있다. 

  서로 다른 WAN에서 BGP 사이에는 EBGP(External BGP)를 사용하고 BGP 내부에서는 IBGP(Internal BGP)를 사용한다. EBGP는 TTL이 1이어서 직접 연결된 라우터에게 정보를 전하고 IBGP는 TTL이 255라서 이웃한 라우터를 찾아서 정보를 전달한다. 또 BGP끼리는 Open message, Update message, Keepalive message, 그리고 Notification message를 통해서 서로를 인식하고 에러가 발생하면 알려서 이를 수정한다. 

  간단히 정리하면 

▪ routing protocol : 경로를 찾는 프로토콜 
                   =>rip, ospf, eigrp 
▪ routed protocol : 찾아낸 경로로 실제 데이터를 전송하는 프로토콜 
                  =>ip, ipx(Novell Netware), appletalk(Apple)
▪ IGP(Interior Gateway Protocol) : 내부 라우터(AS 번호가 동일) 인식 프로토콜 
                                   =>ip, ipx(Novell Netwrare), appletalk(Apple)
▪ EGP(Exterio Gateway Protocol) : 각 외부 경계 라우터(AS 번호가 다름) 인식 프로토콜 
                                   =>BGP

  BGP 설정은 
‘neighbor 상대방_라우터의_입력_ip remote-as 상대방_bgp_번호’ 한 뒤
‘network 상대방_네트워크_주소 mask 상대방_서브넷마스크’ 해주면 된다. 
  BGP 설정을 하면 각 경계 라우터에서 Serial 회선만 보여야 하고 자신의 네트워크는 보이지만 다른 네트워크의 내부 네트워크는 보이지 않아야 한다!!!