라우터 보안: Difference between revisions
From IT Wiki
No edit summary |
(→종류) |
||
(8 intermediate revisions by 3 users not shown) | |||
Line 1: | Line 1: | ||
== | == 보안 설정 == | ||
===패스워드 설정=== | |||
# | *패스워드 암호화를 활성화 | ||
<pre class="shell"> | |||
Router#configure terminal | |||
Router(config)# service password-encryption | |||
</pre> | |||
# | *패스워드를 암호화해서 저장 | ||
<pre class="shell"> | |||
Router#configure terminal | |||
Router(config)# enable secret | |||
</pre> | </pre> | ||
== no ip source-route == | *패스워드를 평문으로 저장 | ||
* '''Source Routing''' | <pre class="shell"> | ||
** 일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다. | Router#configure terminal | ||
** 하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다. | Router(config)# enable password | ||
* '''No Source Routing''' | </pre> | ||
** IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다. | ===no ip source-route=== | ||
** 보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다. | |||
** 예시 | *'''Source Routing''' | ||
<pre class= | **일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다. | ||
**하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다. | |||
*'''No Source Routing''' | |||
**IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다. | |||
**보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다. | |||
**예시 | |||
<pre class="shell"> | |||
(config) # no ip source-route | (config) # no ip source-route | ||
</pre> | </pre> | ||
== no ip unreachables == | ===no ip unreachables=== | ||
* '''ICMP Unreachable 메시지''' | |||
** 송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다. | *'''ICMP Unreachable 메시지''' | ||
** 이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다. | **송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다. | ||
** 포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다. | **이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다. | ||
* '''No IP Unreachable''' | **포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다. | ||
** 라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다. | *'''No IP Unreachable''' | ||
** 예시 | **라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다. | ||
<pre class= | **예시 | ||
<pre class="shell"> | |||
(config-if) # no ip unreachables | (config-if) # no ip unreachables | ||
</pre> | </pre> | ||
== 패킷 필터링 == | |||
=== 종류 === | |||
* '''Ingress filtering''' | |||
** 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링 | |||
** 패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부 | |||
** 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역 | |||
** (대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함)** | |||
** Standard 또는 Extended Access-List를 활용한다. | |||
* '''Egress filtering''' | |||
** 라우터 내부에서 라우터 외부로 나가는 패킷을 필터링 | |||
** 라우터를 통과하여 나가는 패킷의 소스 IP는 반드시 라우터와 같은 대역이여야 함 | |||
** (라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정) | |||
* '''Blackhole filtering'''(Null routing 을 활용한 필터링) | |||
** 특정한 IP 대역에 대해서 Null 이라는 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷의 통신이 되지 않도록 함 | |||
* '''Unicast RPF''' | |||
** 인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인 | |||
** Access-List나 Blackhole 필터링을 이용한다. | |||
===ACL(Access List)=== | |||
*기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션] | |||
*예시 | |||
<pre class="shell"> | |||
// 192.168.5.0 대역에서 SSH 허용 | |||
Router(config)# access-list 1 permit tcp 192.168.5.0 any eq 22 | |||
// 192.168.5.5로 나가는 UDP 100~150번 포트 허용 | |||
Router(config)# access-list 1 permit udp any 192.168.5.5 range 100 150 | |||
// 그 외 모든 패킷 거부 | |||
Router(config)# access-list deny ip any any | |||
</pre> | |||
== 같이 보기 == | |||
* [[라우터]] | |||
== 참고 문헌 == | |||
* [https://raisonde.tistory.com/entry/Ingress-Egress-Blackhole-필터링과-Unicast-RPF 지식잡식 포스팅] | |||
[[분류:보안]] | [[분류:보안]] | ||
[[분류: | [[분류:네트워크]] | ||
[[분류:정보보안기사]] |
Latest revision as of 14:28, 10 March 2023
보안 설정[edit | edit source]
패스워드 설정[edit | edit source]
- 패스워드 암호화를 활성화
Router#configure terminal Router(config)# service password-encryption
- 패스워드를 암호화해서 저장
Router#configure terminal Router(config)# enable secret
- 패스워드를 평문으로 저장
Router#configure terminal Router(config)# enable password
no ip source-route[edit | edit source]
- Source Routing
- 일반적인 IP Packet은 목적지 IP주소만을 가지고 있으므로 경로설정은 라우터에 의존한다.
- 하지만 source routing을 설정하면 라우터가 지정해 준 경로가 아니라 직접 설정한 경로로 이동할수 있다.
- No Source Routing
- IP 스푸핑 등을 통해 신뢰받는 호스트로 위장한 경우 허가되지 않는 망에 접근을 시도해 볼 수 있다.
- 보안상 IP Packet 마음대로 경로를 정할 수 없도록 꺼 두는 것이 바람직하다.
- 예시
(config) # no ip source-route
no ip unreachables[edit | edit source]
- ICMP Unreachable 메시지
- 송신할 수 없는 패킷이 나타난다면 라우터는 최초 출발지로 ICMP Unreachable 메시지를 보낸다.
- 이를 이용하여 Unreachable 메시지를 고의로 다량 발생시켜 DoS공격을 할 수 있다.
- 포트 스캐닝에서도 ICMP Unreachable 반환 유무에 따라 포트의 오픈 여부를 판단할 수 있다.
- No IP Unreachable
- 라우터에서 ICMP Unreachable 메시지를 보내지 않도록 설정한다.
- 예시
(config-if) # no ip unreachables
패킷 필터링[edit | edit source]
종류[edit | edit source]
- Ingress filtering
- 라우터 외부에서 라우터 내부로 유입되는 패킷 필터링
- 패킷의 소스 IP 나 목적지 포트 등을 체크하여 허용하거나 거부
- 공통적으로 필터링 하여야할 소스 IP는 인터넷 상에서 사용되지 않는 IP 대역
- (대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함)**
- Standard 또는 Extended Access-List를 활용한다.
- Egress filtering
- 라우터 내부에서 라우터 외부로 나가는 패킷을 필터링
- 라우터를 통과하여 나가는 패킷의 소스 IP는 반드시 라우터와 같은 대역이여야 함
- (라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정)
- Blackhole filtering(Null routing 을 활용한 필터링)
- 특정한 IP 대역에 대해서 Null 이라는 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷의 통신이 되지 않도록 함
- Unicast RPF
- 인터페이스를 통해 들어오는 패킷의 소스 ip 에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인
- Access-List나 Blackhole 필터링을 이용한다.
ACL(Access List)[edit | edit source]
- 기본 형태 : access-list [ACL번호] [동작] [프로토콜] [출발지] [목적지] [포트 옵션]
- 예시
// 192.168.5.0 대역에서 SSH 허용 Router(config)# access-list 1 permit tcp 192.168.5.0 any eq 22 // 192.168.5.5로 나가는 UDP 100~150번 포트 허용 Router(config)# access-list 1 permit udp any 192.168.5.5 range 100 150 // 그 외 모든 패킷 거부 Router(config)# access-list deny ip any any