ACL

ACL( Access-Control List)

• 라우터는 기본적으로 전송하고자 하는 패킷의 목적지 IP주소에 대한 경로가 자신의 라우팅 테이블에 등록되어 있을경우 전송 처리한다.
• 하지만 보안적인 관점에서 보면 이는 위험할 수 있다. 공격과 관련된 패킷 혹은 쓸데없는 패킷의 경우 전송을 차단할 필요가 있다.
• 이는 기본적으로 방화벽이 수행하지만 ACL로도 비스무리하게 수행이 가능하다.
• ACL의 종류는 2가지가 있으며 Standard ACL은 출발지 IP에 대해서만 확인하고 관리할 수 있다.
• Extended ACL은 출발지 IP, 도착지 IP, 프로토콜, 사용포트 번호를 확인하고 관리할 수 있다.
• '리스트'를 만들고 '포트' 에 적용한다.

Standard ACL

• 출입 통제 시 출발지 주소만을 참고
• 리스트 넘버 1~99, 1300~1999 를 사용 가능
• access-list [리스트넘버] [permit | deny] [네트워크 주소] [와일드카드 마스크]

Extended ACL

• 출발지, 목적지, 프로토콜, 사용 포트 번호 참고
• 리스트 넘버 100~199, 2000~2699
• access-list [리스트넘버] [permit|deny] [Protocol] [source address] [wildcard Mask] [destination address] [wildcard mask]

Standard ACL 실습 

Standard ACL

---

--조건 : IP가 192.168.10.2인 PC만 원격접속(Telnet) 허용--

 

R1>en

R1# conf t

 

R1(config)# int f0/0

R1(config-if)# ip add 192.168.10.254 255.255.255.0

R1(config-if)# no sh

R1(config-if)# exit

 

R1(config)# access-list 10 permit 192.168.2.0 0.0.0.0      //10번(standard acl)정책. 192.68.2.0 을 허용(permit)한다.

 

R1(config)# line vty 0 4                                           //원격접속 라인 0부터 4까지 5개 허용

R1(config-line)# access-class 10 in                             // vty로 들어오는(in) 엑세스를 10번으로 제어하겠다.

---

 

 

 

Standard ACL 실습 2 

Strandard ALC 실습 2

---

--조건 2.1.1.2 와 3.1.1.1에  IP접속 불가--

R1>en

R1# conf t

 

R1(config)# int f0/0

R1(config-if)# ip add 1.1.1.254 255.0.0.0

R1(config-if)# no sh

 

R1(config-if)# int f0/1

R1(config-if)# ip add 192.168.10.254 255.255.255.0

R1(config-if)# no sh

 

R1(config-if)# int se0/0

R1(config-if)# ip add 2.1.1.1 255.0.0.0

R1(config-if)# no sh

R1(config-if)# exit

 

R1(config)# router rip

R1(config-router)# ver 2

R1(config-router)# net 1.0.0.0

R1(config-router)# net 2.0.0.0

R1(config-router)#  net 192.168.10.0

R1(config-router)# no au

R1(config-router)# exit

 

R1(config)# access-list 10 deny host 2.1.1.2          //host = 와카마 0.0.0.0

R1(config)# access-list 10 deny host 3.1.1.1    

R1(config)# access-list 10 permit any                  // 기본적으로 기록 되어있지 않은 IP들은 전부 deny 상태가 되어있기 때문에 실습 상황같은 경우엔 위를 제외한 나머지 전부를 permit 해준다

---

 

 

Extended ACL 실습

---

--조건 : isecedu 서버는 211.175.183.1 만 접근가능. 다른 서버는 모든 ip 접근가능--

R1>en

R1# conf t

 

R1(config)# int fa0/0

R1(config-if)# ip add 192.168.10.254 255.255.255.0

R1(config-if)# no sh

 

R1(config-if)# int se0/0

R1(config-if)# ip add 1.1.1.1 255.255.255.0

R1(config-if)# no sh

 

R1(config-if)# router rip

R1(config-router)# ver 2

R1(config-router)# net 192.168.10.0 255.255.255.0

R1(config-router)# net 1.1.1.0 255.255.255.0

R1(config-router)# no au

R1(config-router)# exit

 

R1(config)# access-list 100 permit ip host 211.175.185.1 host 192.168.10.1

// 211.175.185.1 을 192.168.10.1 에 들여보내겠다 //

R1(config)# access-list 100 deny ip 211.175.185.0 0.0.0.0 host 192.168.10.1

// 211.175.185.0 대역을 192.168.10.1에 들여보내지 않게 하겠다. //

R1(config)# access-list 100 permit ip any any

//나머지 전부 허용 //

---

위 access-list의 1,2번째가 되는 이유는 ACL이 순차적 적용 방식이기 때문이다.

예를들어 211.175.185.1이 ACL 100번에 왔다면 두번째 줄을 보기전에 첫번째줄에서 permit이 될 것이다.