최신판 |
당신의 편집 |
1번째 줄: |
1번째 줄: |
| == 보안 설정 ==
| | == ACL(Access List) == |
| ===패스워드 설정===
| | * 기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션] |
| | | * 예시 |
| *패스워드 암호화를 활성화
| | <pre class='shell'> |
| <pre class="shell">
| |
| Router#configure terminal
| |
| Router(config)# service password-encryption
| |
| </pre>
| |
| | |
| *패스워드를 암호화해서 저장
| |
| <pre class="shell">
| |
| Router#configure terminal
| |
| Router(config)# enable secret
| |
| </pre>
| |
| | |
| *패스워드를 평문으로 저장
| |
| <pre class="shell">
| |
| Router#configure terminal
| |
| Router(config)# enable password
| |
| </pre>
| |
| ===no ip source-route===
| |
| | |
| *'''Source Routing'''
| |
| **일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다.
| |
| **하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다.
| |
| *'''No Source Routing'''
| |
| **IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다.
| |
| **보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다.
| |
| **예시
| |
| <pre class="shell">
| |
| (config) # no ip source-route
| |
| </pre>
| |
| | |
| ===no ip unreachables===
| |
| | |
| *'''ICMP Unreachable 메시지'''
| |
| **송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다.
| |
| **이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다.
| |
| **포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다.
| |
| *'''No IP Unreachable'''
| |
| **라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다.
| |
| **예시
| |
| <pre class="shell">
| |
| (config-if) # no ip unreachables
| |
| </pre>
| |
| | |
| == 패킷 필터링 ==
| |
| | |
| === 종류 ===
| |
| | |
| * '''Ingress filtering'''
| |
| ** 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링
| |
| ** 패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부
| |
| ** 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역
| |
| ** (대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함)**
| |
| ** Standard 또는 Extended Access-List를 활용한다.
| |
| | |
| * '''Egress filtering'''
| |
| ** 라우터 내부에서 라우터 외부로 나가는 패킷을 필터링
| |
| ** 라우터를 통과하여 나가는 패킷의 소스 IP는 반드시 라우터와 같은 대역이여야 함
| |
| ** (라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정)
| |
| | |
| * '''Blackhole filtering'''(Null routing 을 활용한 필터링)
| |
| ** 특정한 IP 대역에 대해서 Null 이라는 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷의 통신이 되지 않도록 함
| |
| | |
| * '''Unicast RPF'''
| |
| ** 인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인
| |
| ** Access-List나 Blackhole 필터링을 이용한다.
| |
| | |
| ===ACL(Access List)===
| |
| | |
| *기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션] | |
| *예시 | |
| <pre class="shell"> | |
| // 192.168.5.0 대역에서 SSH 허용 | | // 192.168.5.0 대역에서 SSH 허용 |
| Router(config)# access-list 1 permit tcp 192.168.5.0 any eq 22 | | Router(config)# access-list 1 permit tcp 192.168.5.0 any eq 22 |
83번째 줄: |
13번째 줄: |
| </pre> | | </pre> |
|
| |
|
| == 같이 보기 == | | == no ip source-route == |
| | * '''Source Routing''' |
| | ** 일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다. |
| | ** 하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다. |
| | * '''No Source Routing''' |
| | ** IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다. |
| | ** 보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다. |
| | ** 예시 |
| | <pre class='shell'> |
| | (config) # no ip source-route |
| | </pre> |
|
| |
|
| * [[라우터]]
| | == no ip unreachables == |
| | | * '''ICMP Unreachable 메시지''' |
| == 참고 문헌 == | | ** 송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다. |
| | | ** 이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다. |
| * [https://raisonde.tistory.com/entry/Ingress-Egress-Blackhole-필터링과-Unicast-RPF 지식잡식 포스팅] | | ** 포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다. |
| | * '''No IP Unreachable''' |
| | ** 라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다. |
| | ** 예시 |
| | <pre class='shell'> |
| | (config-if) # no ip unreachables |
| | </pre> |
|
| |
|
| [[분류:보안]] | | [[분류:보안]] |
| [[분류:네트워크]] | | [[분류:정보보안 기사]] |
| [[분류:정보보안기사]]
| |