ACL(Access Control List) 네트워크에서전송되는트래픽을제어하는것은보안적인관점에서중요한이슈이다. 이때, ACL 은트래픽필 터링과방화벽을구축하는데가장중요한요소일뿐만아니라, 라우팅환경에서서브넷과호스트를정의하는 경우에도중요한요소가된다. ACL 개요 ACL은라우

Size: px
Start display at page:

Download "ACL(Access Control List) 네트워크에서전송되는트래픽을제어하는것은보안적인관점에서중요한이슈이다. 이때, ACL 은트래픽필 터링과방화벽을구축하는데가장중요한요소일뿐만아니라, 라우팅환경에서서브넷과호스트를정의하는 경우에도중요한요소가된다. ACL 개요 ACL은라우"

Transcription

1 제 12 장 ACL 블로그 : net123.tistory.com 저자김정우

2 ACL(Access Control List) 네트워크에서전송되는트래픽을제어하는것은보안적인관점에서중요한이슈이다. 이때, ACL 은트래픽필 터링과방화벽을구축하는데가장중요한요소일뿐만아니라, 라우팅환경에서서브넷과호스트를정의하는 경우에도중요한요소가된다. ACL 개요 ACL은라우터에서정의한필터들로구성된다. 각필터는비교검사를실시하여인터페이스로인바운드또는아웃바운드패켓을허용하거나차단하는일을수행한다. 이때, 필터요소에는출발지주소와목적지주소, 프로토콜유형, 어플리케이션서비스포트번호및타입으로구성된다. ACL 필터구성이완료되면인터페이스에인바운드또는아웃바운드로적용하여트래픽필터링을시작한다. ACL 사용구간 1 라우터에연결된네트워크자원으로트래픽이접근하는것을제어할때사용한다. 2 SNMP, TELNET, SSH 접근을제한하여라우터를보호할때사용한다. 3 라우팅정책을구현하기위한서브넷과호스트를정의할때사용한다 4 QoS 정책을구현하기위한서브넷과호스트를정의할때사용한다. 5 NAT와 PAT 기능을구현하기위한요소로사용한다. 6 IPSec VPN을사용하기위한사용자트래픽을정의할때사용한다. ACL 필터구성단계 1 출발지서브넷 / 호스트와목적지서브넷 / 호스트를정의한다. 2 서버로접근하는서비스타입과클라이언트에게제공하는서비스타입을정의한다. 3 해당대상을허용할것인지, 아니면차단할것인지를결정한다. 4 인터페이스에인바운드필터링을할것인지, 아니면아웃바운드필터링을할것인지결정한다. ACL 메카니즘 라우터로패켓이입력되면목적지 IP 주소를라우팅테이블을참조하여패켓이출력될인터페이스가결정된다. 이때, 출력인터페이스에 ACL이적용되어있다면, ACL 항목을순차적으로검사하다가패켓정보와일치하는항목이있다면, 해당패켓을인터페이스로출력하는것을허용또는차단하는동작을실시하고, 그다음 ACL 항목에대해서는검사를실시하지않는다. 만약, 패켓정보와일치하는 ACL 항목이없다면, 가장마지막에명시적으로처리되는 deny any 에의해서모든패켓을차단한다. 블로그 : net123.tistory.com 저자김정우

3 ACL 설정시주의사항 ACL 설정시주의사항 1 : 서브넷범위가작은항목부터설정한다. ACL 필터항목을설정하면, 설정된순서대로순서번호가할당된다. 이때, 라우터는 ACL 항목에할당된순서번호을작은수부터차례대로검사하여패켓정보와일치한항목이있으면필터동작을실시하고다음순서번호에대한 ACL 항목은검사하지않는다. 만약, [ 예제 12-1] 처럼 ACL을설정하면, /24 는차단되지않고허용되게된다. [ 예제 12-1] /24 를차단하기위한잘못된 ACL 설정예제 R1(config)#access-list 55 permit R1(config)#access-list 55 deny R1(config)# R1(config)#do show ip access-lists Standard IP access list permit , wildcard bits deny , wildcard bits R1(config)# R1(config)#no access-list 55 [ 예제 12-1] 과같이 /16 을허용하는설정을먼저하면, 설정된순서대로순서번호 10 이할당되고, 그다음 /24 를차단하는설정은순서번호 20 이할당된다. 이때, 라우터는순서번호가 10 인 ACL 항목을먼저검사하며, 이와일치한패켓정보가있다면패켓을허용하고그다음순서번호 20 인 ACL 항목은검사하지않는다. 그렇기때문에 /24 는차단되지않는다. 그렇기때문에 ACL을설정할때에는서브넷범위가작은항목부터설정해야한다. [ 예제 12-2] 는서브넷범위가작은항목부터설정한올바른예제이다. [ 예제 12-2] /24 를차단하기위한올바른설정예제 R1(config)#access-list 33 deny R1(config)#access-list 33 permit R1(config)# R1(config)#do show ip access-lists Standard IP access list deny , wildcard bits permit , wildcard bits R1(config)# R1(config)#no access-list 33 블로그 : net123.tistory.com 저자김정우

4 ACL 설정시주의사항 2 : ACL 항목마지막에는명시적으로 deny any 로처리된다. 필터링을하기위해서 ACL 항목을순차적으로검사하다가패켓정보와일치하는 ACL 항목이없다면, 모든 패켓을차단하는 deny any 가동작한다. 만약, [ 예제 12-2] 와같이 ACL 을설정하면, 모든패켓들이차단되는 문제가발생한다. [ 예제 12-3] /24 만차단하기위한잘못된 ACL 설정예제 R1(config)#access-list 77 deny R1(config)# R1(config)#do show ip access-lists Standard IP access list deny , wildcard bits R1(config)# R1(config)#no access-list 77 [ 예제 12-3] 과같이 /24 를차단하는설정만하면, 마지막에처리되는 deny any 때문에모든패켓 이차단되는문제가발생한다. 그래서 /24 만차단하고자한다면, [ 예제 12-4] 와같이맨마지막항 목에 permit any 를설정하여 deny any 가처리되지않도록해야한다. [ 예제 12-4] /24 만차단하기위한올바른 ACL 설정예제 R1(config)#access-list 88 deny R1(config)#access-list 88 permit any R1(config)# R1(config)#do show ip access-list Standard IP access list deny , wildcard bits permit any R1(config)# R1(config)#no access-list 88 ACL 설정시주의사항 3 : ACL 항목은부분삭제와부분추가가불가능하다. ACL 항목을설정하면, 설정한순서대로각각의항목에순서번호가할당되며, 라우터는 ACL 항목순서번호를 차례대로검사하여필터링을실시한다. [ 예제 12-5] 현재 R1 에설정된 ACL 항목내용 R1(config)#access-list 22 deny R1(config)#access-list 22 permit any 블로그 : net123.tistory.com 저자김정우

5 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 만약, [ 예제 12-5] 와같이 ACL이설정된상태에서, /24 를차단하기위해서 access-list 22 deny 항목설정을추가하였다. 그럼방금추가한 ACL 항목은맨마지막항목에추가되므로 access-list 22 permit any 항목때문에차단될수없다. [ 예제 12-6] 은 /24 를차단하는 ACL 설정을추가한다음 ACL 정보확인을실시한것이다. [ 예제 12-6] 부분적으로항목을추가할수없는예제 R1(config)#access-list 22 deny R1(config)# R1(config)#do show ip access-lists Standard IP access list deny , wildcard bits permit any 30 deny , wildcard bits 또한, 방금추가한 access-list 22 deny 설정이불필요하다는이유로삭제를실시한다면, ACL 22 번모든항목들이삭제된다. [ 예제 12-7] 은 /24 를차단하는 ACL 설정을삭제한다음 ACL 정보확인을실시한것이다. [ 예제 12-7] 부분적으로항목을삭제할수없는예제 R1(config)#no access-list 22 deny R1(config)# R1(config)#do show ip access-lists R1(config)# 단, Named ACL 은 ACL 항목에대해서부분추가와부분삭제가가능하다. [ 예제 12-8] 라우터에설정되어있는 Named ACL 항목내용 R1#show ip access-lists Standard IP access list TEST 10 deny , wildcard bits permit any R1 에서 /24 를차단하기위한 ACL 항목을설정하면, 적어도 20 permit any 항목앞에추가되어야 한다. 이때, Named ACL 은순서번호를직접설정할수있기때문에 [ 예제 12-9] 와같이 20 permit any 항목 앞에추가하여 /24 가차단되도록할수있다. [ 예제 12-9] Named ACL 항목추가 R1(config)#ip access-list standard TEST R1(config-std-nacl)#15 deny R1(config-std-nacl)# 블로그 : net123.tistory.com 저자김정우

6 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R1(config-std-nacl)#do show ip access-lists Standard IP access list TEST 10 deny , wildcard bits deny , wildcard bits permit any R1(config-std-nacl)# R1(config-std-nacl)#no ip access-list standard TEST R1(config)#end R1# ACL 유형 ACL은일반적으로항목이름을번호로표현하는데, 이때번호는서로다른 ACL 항목을구분하며, ACL의유형을표현하는용도로사용한다. 만약, 서로다른항목의 ACL 설정을많이할경우에는이름으로항목을표현하는 Named ACL을사용하여 ACL 항목을이름으로표현하여주석처럼사용할수있다. 또한 Named ACL은부분추가와부분삭제가가능하기때문에유동적인 ACL 설정시에유리하다. Standard ACL 사용할수있는항목번호는 1~99까지이며, 기본적인 ACL 항목만설정할수있다. Standard ACL는접근하는출발지서브넷과호스트만정의할수있기때문에요즘같은다양한트래픽환경에서사용하기에는부적합하다. 그렇기때문에보통간단한필터링을하거나, 아니면라우팅환경에서특정서브넷과호스트를정의할때주로사용된다. Extended ACL 사용할수있는항목번호는 100~199까지이며, Standard ACL에비해서다양한패켓정보를정의할수있기때문에다양한트래픽환경에서필터링할때사용된다. Extended ACL은출발지서브넷과호스트뿐만아니라, 목적지서브넷과호스트를정의할수있으며, 패켓의상위프로토콜타입과어플리케이션포트번호도정의할수있다. 또한, 다양한옵션키워드를이용하여시간대별필터링, Cisco IOS 방화벽, Qos 정책을위한패켓분류작업을할수있다. Ethernet ACL 사용할수있는항목번호는 700~799 까지이며, 접근하는출발지 MAC 주소를이용하여항목을정의한다. 단, 출발지 MAC 주소만정의하는 Ethernet ACL 은 Named ACL 로구성할수없다. 블로그 : net123.tistory.com 저자김정우

7 Extended Ethernet ACL 사용할수있는항목번호는 1100~1199 까지이며, 접근하는출발지 MAC 주소뿐만아니라, 목적지 MAC 주 소를정의한다. Extended Ethernet ACL 은 Named ACL 로구성이가능하며, 구성시에 extended 키워드를사 용하면된다. Name ACL 번호대신, TEXT 이름을이용하여 ACL 항목을설정한다. 이는 ACL이많은환경에서 TEXT 이름으로주석표기처럼사용이가능한장점이있으며, Named ACL은부분추가와부분삭제가가능하기때문에유동적인 ACL 환경에서사용하기적합하다. 구성방법은 standard 키워드와 extended 키워드를이용하여 Standard Named ACL과 Extended Named ACL로구성할수있다. 와일드카드마스크 (Wildcard Mask) 와일드카드마스크는 0 과 1 이불연속이가능한 32bit 체계의마스크이다. 이때, 서브넷마스크와구분하기위해서 0 과 1 을반대로사용하기때문에공통비트를 0 으로처리하고, 비공통비트는 1 로처리한다. 서브넷마스크와차이점은 0 과 1 이불연속이가능하므로긴설정을짧게하거나, 특정서브넷만표기할수있는장점을갖고있다. 즉, 서브넷마스크는공통비트를표기하기위해서맨앞에서부터 1 이연속되어야하는제약이있었지만, 와일드카드마스크는 0 과 1 의불연속이가능하기때문에공통비트와비공통비트를표기하는작업이자유롭다는것이다. 그래서와일드카드마스크는긴설정이요구되거나, 특정서브넷만정의할수있는 ACL, EIGRP, OSPF 설정에사용된다. [ 그림 12-1] 은와일드카드마스크표기방법을나타내고있다. [ 그림 12-1] 와일드카드마스크표기방법 [ 그림 12-1] 을보면와일드카드마스크가 0.0 으로표기된 은공통비트를의미하고, 와일드카드마 스크가 로표기된구간은비공통비트를의미한다. 즉, 으로시작하는 IP 주소들을의미한다. [ 표 12-1] 은서브넷마스크와와일드카드마스크관계를보여주고있다. 블로그 : net123.tistory.com 저자김정우

8 [ 표 12-1] 서브넷마스크와와일드카드마스크 IP 주소 서브넷마스크 와일드마스크 내용 전체 IP 주소 호스트주소 로시작하는 IP 주소 으로시작하는 IP 주소 로시작하는 IP 주소 hh 로시작하는 IP 주소 hhhh 로시작하는 IP 주소 hhhhh 로시작하는 IP 주소 hhh.hhhhhhhh 로시작하는 와일드카드마스크를사용하는이유는긴설정을짧게하거나, 특정서브넷만정의하기위한용도로사용된 다. 만약, /24 ~ /24 서브넷범위중에짝수서브넷만 EIGRP 100 으로설정해야하는 경우를알아보도록한다. [ 예제 12-1] 와일드카드마스크활용 1 서브넷마스크활용 와일드카드마스크활용 ß 이불연속하기때문에서브넷마스크로 짝수서브넷만표기할수없다. à network 과 1 이불연속이가능하기때문에짝수 서브넷만표기할수있다. 그럼, /24 ~ /24 서브넷범위중에홀수서브넷만 OSPF Area 0 으로설정해야하는 경우를알아보도록한다 [ 예제 12-2] 와일드카드마스크활용 2 서브넷마스크활용 와일드카드마스크활용 블로그 : net123.tistory.com 저자김정우

9 ß 이불연속하기때문에서브넷마스크로 짝수서브넷만표기할수없다. à network area 0 0 과 1 이불연속이가능하기때문에짝수 서브넷만표기할수있다. 마지막으로 /24 ~ /24 서브넷범위를이용하여 [ 예제 12-3] 문제를풀어보도록하자. [ 예제 12-3] 와일드카드마스크활용 /24, /24 를한줄로설정하여라 ß /24~ /24, /24~ /24 를한줄로설정하여라 ß /24, /24, /24, /24 를두줄로설정하여라. 블로그 : net123.tistory.com 저자김정우

10 ß ß ACL 설정 ACL 은 Standard ACL 과 Extended ACL 2 가지유형이있으며, 항목이름을번호로설정하는 Numbered ACL 과 TEXT 이름으로설정하는 Named ACL 로설정할수있다. Numbered Standard ACL ACL 항목으로사용할수있는범위는 1~99 까지이며, 출발지서브넷과호스트만정의하는필터항목을설 정한다. [ 그림 12-1] Numbered Standard ACL 처리과정 블로그 : net123.tistory.com 저자김정우

11 Numbered Standard ACL 설정구문은 [ 예제 12-1] 과같다. [ 예제 12-1] Numbered Standard ACL 설정구문 Router(config)#access-list [1-99 ACL number] {permit deny} source [wildcard mask] {log} Numbered ACL 항목을설정할때사용하는명령어이다. 2 Numbered Standard ACL 항목범위를의미한다. 3 permit 을이용하여패켓을허용하며, deny 를이용하여패켓을차단한다. 4 접근하는출발지서브넷또는호스트를정의한다. ( 호스트 : host, 전체 : any) 5 출발지서브넷또는호스트의범위를표기하는와일드카드마스크이다. 6 ACL 항목이일치되어필터링을실시할경우, 라우터에로그메시지를출력하는옵션명령어이다. ACL 설정이완료된다음, 필터링을하기위해서는 [ 예제 12-2] 와같이인터페이스에적용한다. [ 예제 12-2] 인터페이스에서 Numbered Standard ACL 적용 Router(config-if)#ip access-group [1-99 ACL number] {in out} 위와같이인터페이스에 ACL 을적용하면, 인터페이스로송수신되는패켓들에대해서 ACL 항목을검사하여 필터링한다. 만약, VTY 라인을통하여라우터접속에관련된트래픽에대해서필터링을하기위해서는 [ 예제 12-3] 과같이 VTY 라인모드에서 ACL 을적용한다. [ 예제 12-3] VTY 라인에서 Numbered Standard ACL 적용 Router(config)#line vty 0 4 Router(config-line)#access-class [1-99 ACL number] {in out} [ 그림 12-3] 을보고 Numbered Standard ACL 활용방법을알아보도록하자. [ 그림 12-2] Numbered Standard ACL 활용예제 블로그 : net123.tistory.com 저자김정우

12 /24 사용자들이 서버에접근하는것을 R1 에서차단하려면, [ 예제 12-4] 와같다. [ 예제 12-4] R1에서 Numbered Standard ACL 설정및적용 R1(config)#access-list 15 deny R1(confjg)#access-list 15 permit any R1(config)#int fa0/1 R1(config-if)#ip access-group 15 out 만약, [ 예제 12-4] 에서 ACL 15 항목을 Fa0/0 인터페이스에인바운드로적용하면, /24 사용자들이 서버로접근하는것을차단할뿐만아니라, 인터넷으로접근하는것을차단하는문제가발생한다. 이유는 Standard ACL은출발지서브넷과호스트만검사하여필터하기때문이다. 그래서 Standard ACL은인바운드필터링과아웃바운드필터링사용에주의해야한다. 다음은 /24 사용자들이인터넷을사용하는것을제한하며, /24 서버로는접근이가능 한 ACL 설정을알아보도록하자. [ 예제 12-5] R1에서 Numbered Standard ACL 설정및적용 R1(config)#no access-list 15 R1(config)# R1(config)#access-list 30 deny R1(confjg)#access-list 30 permit any R1(config)#int s1/0 R1(config-if)#ip access-group 30 out 만약, [ 예제 12-5] 에서 ACL 30 항목을 Fa0/0 인터페이스에인바운드로적용하면, /24 사용자들은인터넷접근이불가능하겠지만, 동시에 /24 서버접근도불가능한문제가발생한다. 마지막으로 /24 서버는인터넷과연결된외부사용자들에게서비스가되지않도록하며, 오직 /24 사용자들에게만서비스가가능한 ACL 설정을알아보도록하자. [ 예제 12-6] R1에서 Numbered Standard ACL 설정및적용 R1(config)#no access-list 30 R1(config)# R1(config)#access-list 40 deny R1(confjg)#access-list 40 permit any R1(config)#int s1/0 R1(config-if)#ip access-group 40 out 인터넷과연결된외부사용자들이 /24 서버로데이터요청을보내면, 이에대한응답으로서버는출발지 IP 주소를 로하여 R1으로패켓을전송하고, R1은인터넷과연결된 S1/0 인터페이스로패켓을출력한다. 이때, R1 S1/0 인터페이스에 ACL 40 항목이아웃바운드로적용되어있으므로패켓이출력되는것을차단한다. 그렇기때문에 /24 서버는인터넷쪽사용자들에게서비스를실시하지않으며, 블로그 : net123.tistory.com 저자김정우

13 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. ACL 40 항목과적용된인터페이스와관계없는 /24 사용자들은서버로부터서비스를제공받을수있다. Numbered Extended ACL ACL 항목으로사용할수있는범위는 100~199 까지이며, 출발지 / 목적지서브넷과호스트를정의할뿐만아니라, 패켓이사용하는프로토콜과어플리케이션프로토콜포트번호를정의하기때문에네트워크를통하여전송되는다양한트래픽에대해서제어가가능하다. 그리고다양한옵션이제공되므로시간대별 ACL 필터링, TCP Flag 제어, QoS 관련설정에서도사용할수있다. [ 그림 12-4] Numbered Extended ACL 처리과정 [ 표 12-1] 내용을참조하여 Extended ACL 을활용할수있는경우를알아보도록하자. [ 표 12-1] Extended ACL 활용예제프로토콜출발지 IP 주소출발지포트목적지 IP 주소목적지포트 Ex 1. 출발지가 인 PC가, FTP 서버 로접근하는트래픽정의 tcp all port , 21 Ex 2. 출발지가 인 PC가, 웹-서버 로접근하는트래픽정의 tcp all port Ex 3. 출발지가 인 PC가, 로 Ping 되는것을차단하여라. icmp all port all port Ex 4. 출발지가 인 PC가, 로접근하는트래픽정의 ip Ex 5. RIP 라우팅업데이트정의 블로그 : net123.tistory.com 저자김정우

14 udp any 520 any 520 Ex 6. 웹 - 서버 에서 PC 로다운로드되는트래픽정의 tcp all port Numbered Extended ACL 설정구문은 [ 예제 12-15] 과같다. [ 예제 12-15] Numbered Extended ACL 설정구문 Router(config)#access-list [ ACL number] {permit deny} Protocol source [wildcard Mask] eq [Application Protocol Port Number] destination[wildcard Mask] eq [Application Protocol Port Number] {log log-input} {time-range} {tos precedence dscp} {TCP Flag} {fragments} {established} a b 1 Numbered ACL 항목을설정할때사용하는명령어이다. 2 Numbered Extended ACL 항목범위를의미한다. 3 permit 을이용하여패켓을허용하며, deny 를이용하여패켓을차단한다. 4 패켓이사용하는 TCP, UDP, ICMP, EIGRP, OSPF, IP 프로토콜을정의한다. 이때 IP는전체를의미한다. 5 출발지서브넷또는호스트를와일드카드마스크로정의한다. ( 호스트 : host, 전체 : any) 6 출발지포트번호를정의하기위한키워드이다. ( 포트번호를정의하는옵션 : eq, neq, gt, lt, range) 7 출발지포트번호를정의한다. (Telnet : 23, HTTP : 80, FTP : 20/21, SSH : 22, BGP : 179) 8 목적지서브넷또는호스트를와일드카드마스크로정의한다. ( 호스트 : host, 전체 : any) 9 목적지포트번호를정의하기위한키워드이다. ( 포트번호를정의하는옵션 : eq, neq, gt, lt, range) 10 목적지포트번호를정의한다. (Telnet : 23, HTTP : 80, FTP : 20/21, SSH : 22, BGP : 179) 11 ACL 항목이일치되어필터링을실시할경우, 라우터에로그메시지를출력하는옵션명령어이다. 12 로그메시지를출력할때, ACL 필터가동작한인터페이스정보도같이출력하는옵션명령어이다. 13 정해진시간동안에만 ACL 필터를동작하게하는옵션명령어이다. 14 IP 패켓마킹이실시된트래픽들을정의할때사용하는옵션명령어이다. 15 TCP 플래그 ACK, FIN, PSH, RST, SYN, URG가설정된패켓을정의하는옵션이다. a 분할된 IP 패켓을정의하는옵션이다. b TCP 플래그중에 ACK와 RST가설정된트래픽을정의하는옵션이다. ACL 설정이완료된다음, 필터링을하기위해서는 [ 예제 12-16] 과같이인터페이스에적용한다. [ 예제 12-16] 인터페이스에서 Numbered Extended ACL 적용 Router(config-if)#ip access-group [ ACL number] {in out} 위와같이인터페이스에 ACL 을적용하면, 인터페이스로송수신되는패켓들에대해서 ACL 항목을검사하여 블로그 : net123.tistory.com 저자김정우

15 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 필터링한다. 만약, VTY 라인을통하여라우터접속에관련된트래픽에대해서필터링을하기위해서는 [ 예제 12-17] 과같이 VTY 라인모드에서 ACL을적용한다. [ 예제 12-17] VTY 라인에서 Numbered Extended ACL 적용 Router(config)#line vty 0 4 Router(config-line)#access-class [ ACL number] {in out} [ 그림 12-5] 을보고 Numbered Extended ACL 활용방법을알아보도록하자. [ 그림 12-5] Numbered Extended ACL 활용예제 /24 사용자들이 /24 서브넷으로접근하는것을차단하려면 [ 예제 12-18] 과같다. [ 예제 12-18] R1에서 ACL 설정및적용 R1(config)#access-list 120 deny ip R1(config)#access-list 120 permit ip any any R1(config)#int fa0/0 R1(config-if)#ip access-group 120 in [ 예제 12-19~22] 를참조하여 Numbered Extended ACL 을활용하는예제를알아보도록한다. [ 예제 12-19] Numbered Extended ACL 활용예제-1 1 출발지가 호스트가 FTP 서버 로접근하는것을차단하여라. 2 출발지가 /24 서브넷이 FTP 서버 로접근하는것은허용하여라. 3 외부사용자가인터넷을통하여 서버로 Telnet 접속하는것을차단하여라. 4 이외나머지트래픽들은접근이가능하도록허용하여라. R1(config)#access-list 130 deny tcp host host eq 20 1 R1(config)#access-list 130 deny tcp host host eq 21 1 R1(config)#access-list 130 permit tcp host eq 20 2 R1(config)#access-list 130 permit tcp host eq 21 2 R1(config)#access-list 130 deny tcp any host eq 23 3 블로그 : net123.tistory.com 저자김정우

16 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R1(config)#access-list 130 permit ip any any 4 R1(config)#int fa0/1 R1(config-if)#ip access-group 130 out [ 예제 12-20] Numbered Extended ACL 활용예제-2 1 출발지가 ~2 호스트가웹-서버 로접근하는것을차단하여라. 2 출발지가 /24 서브넷이웹-서버 로접근하는것은허용하여라. 3 외부사용자가인터넷을통하여 서버로 ping 하는것을차단하여라. 4 Ping을차단할경우, 라우터에인터페이스정보와함께로그가출력되도록하여라. 5 이외나머지트래픽들은접근이가능하도록허용하여라. R1(config)#access-list 170 deny tcp host host eq 80 1 R1(config)#access-list 170 deny tcp host host eq 80 1 R1(config)#access-list 170 permit tcp host eq 80 2 R1(config)#access-list 170 deny icmp any host echo log-input 4 R1(config)#access-list 170 permit ip any any 5 R1(config)#int fa0/1 R1(config-if)#ip access-group 170 out [ 예제 12-21] Numbered Extended ACL 활용예제-3 1 평일오전 9:00부터오후 6:00까지만웹-서버 에서 PC 로다운로드되는트래픽만차단하여라. 2 이외나머지트래픽들은허용한다. R1(config)#time-range TIME R1(config-time-range)#periodic weekdays 09:00 to 18:00 R1(config-time-range)#exit R1(config)#access 150 deny tcp host eq 80 host time-range TIME 1 R1(config)#access-list 150 permit ip any any 2 R1(config)#int fa0/1 R1(config-if)#ip access-group 150 in [ 예제 12-22] Numbered Extended ACL 활용예제-4 1 IP Precednece가 5인음성패켓을정의하여라.. 2 DSCP가 EF인음성패켓을정의하여라. 3 TCP 플래그가 SYN와 FIN가설정된패켓을정의하여라. 4 TCP 플래그가 ACK와 RST가설정된패켓을정의하여라. 5 분할된 IP 패켓을정의하여라. R1(config)#access-list 190 permit udp any any range precedence 5 1 R1(config)#access-list 190 permit udp any any range dscp ef 2 R1(config)#access-list 190 permit tcp any any syn fin 3 R1(config)#access-list 190 permit tcp any any established 4 R1(config)#access-list 190 permit ip any any fragments 5 블로그 : net123.tistory.com 저자김정우

17 제 13 장 Cisco IOS Firewall 블로그 : net123.tistory.com 저자김정우

18 Cisco IOS Firewall 본교재는수업용으로제작된게시물입니다. 사용자시스템과서비스를제공하는서버들이 IP 네트워크망으로연결되어있기때문에사용자들이원하는정보를손쉽게수집할수있으며, 서비스공급측입장에서도효율적인어플리케이션서비스구현이가능하다. 그러나이를역으로이용하는공격자들은 IP 네트워크망에연결된사용자시스템에접근하여해킹을할수있으며, 서비스를실시하는서버에게과다한패켓을전송함으로써서버부하및네트워크부하현상을발생시키는문제가있다. 이를해결하기위한대표적인방법으로는내부네트워크를보호하기위한트래픽필터링과방화벽구축이라는솔루션이있다. 트래픽필터링 트래픽필터링은 ACL 항목을이용하여구성한다. ACL 설정단계는먼저내부네트워크접근을차단하는항목을설정한다음, 내부네트워크로접근이가능한항목을설정한다. 이때주의사항은내부에서외부로데이터요청을실시한다음, 데이터응답을허용하는 ACL 항목을설정해야한다. 왜냐하면내부에서외부로데이터요청은가능하지만, 데이터응답이차단된다면외부서버에서내부사용자들에게서비스가불가능하기때문이다. 그럼 [ 그림 13-1] 를참조하여내부네트워크 /24 로접근하는트래픽을제어하기위한 ACL을구성하도록하자. [ 그림 13-1] 네트워크토폴로지 [ 예제 13-1] 내부네트워크 /24 로접근하는트래픽차단설정 1 출발지가 에서접근하는텔넷트래픽차단및로그메시지확인 2 출발지가 /24 에서실시하는 PING 차단 3 대신, 내부네트워크 /24 에서 /24 으로는 PING이되어야함 4 나머지트래픽들은접근허용 R1(config)#ip access-list extended In-Filter R1(config-ext-nacl)#deny tcp host eq telnet log-input 1 R1(config-ext-nacl)#deny icmp echo 23 R1(config-ext-nacl)#permit ip any any 4 R1(config-ext-nacl)# R1(config-ext-nacl)#int s1/0 R1(config-subif)#ip access-group In-Filter in 블로그 : net123.tistory.com 저자김정우

19 설정이완료되었다면, R2 에서 로텔넷접속과 PING 이차단되는지확인하도록하자. [ 예제 13-2] R2 에서 로텔넷접속및 PING 테스트실시 R2#ping source Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of U.U.U Success rate is 0 percent (0/5) R2# R2#telnet /source-interface fa0/1 Trying % Destination unreachable; gateway or host down 정보확인이완료되었다면, R1 에서 ACL 로그메시지와 ACL 정보확인을실시하도록하자. [ 예제 13-3] R1에서확인한 ACL 로그메시지와 ACL 정보확인 R1# *Mar 1 01:09:18.191: %SEC-6-IPACCESSLOGP: list In-Filter denied tcp (20355) (Serial1/0 ) -> (23), 1 packet R1# R1#show ip access-lists Extended IP access list In-Filter 10 deny tcp host eq telnet log-input (1 match) 20 deny icmp echo (11 matches) 30 permit ip any any 그럼 R4 에서 로 Ping 이가능한지확인하도록하자. [ 예제 13-4] R4 에서 로 Ping 테스트실시 R4#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/42/44 ms 만약, [ 예제 12-1] 설정에서 23 조건을설정할때, echo 를추가하지않았다면, echo-reply 도더불어차단되므로 R4에서 로 echo 를전송한다음, 돌아오는 echo-reply 가차단되기때문에 Ping이성공되지않게된다. 블로그 : net123.tistory.com 저자김정우

20 다음내용을알아보기위해서 R1 에서설정한 ACL 을삭제하도록하자. [ 예제 13-5] R1서설정한 ACL 삭제 R1(config)#no ip access-list extended In-Filter R1(config)#int s1/0 R1(config-subif)#no ip access-group In-Filter in established 키워드 TCP는 3-Way 핸드쉐이킹 을실시하여상대방과통신수립을성립한다. 이때, ACL 설정시 established 키워드를사용하면내부로들어오는패켓의 TCP Control Flag 중에 ACK나 RST가설정된경우에만패켓을허용한다. 만약, TCP 세션이외부에서시작되어내부로들어오면, SYN만설정되어있기때문에패켓을허용하지않게된다. 즉, [ 그림 13-2] 와같이내부에서세션을시작하여, 외부로부터들어오는 TCP 세션만허용한다는의미이다. [ 그림 13-2] established 키워드처리과정 그럼내부사용자들이외부네트워크와 TCP 세션을이용한패켓전송이가능하도록구성하며, 반대로외부 네트워크에서내부네트워크로는 TCP 세션을이용한패켓접근이차단되도록구성하자. [ 예제 13-6] R1에서 established 키워드를이용한 ACL 설정 R1(config)#access-list 110 permit tcp any any established R1(config)#access-list 110 permit udp any eq 520 any eq 520 R1(config)#int s1/0 R1(config-subif)#ip access-group 110 in 설정이완료되었다면, 외부에위치한 R2 에서내부 로텔넷접속이차단되는지확인하도록하자. [ 예제 13-7] R2에서 로텔넷접속실시 R2#telnet /source-interface fa0/1 Trying % Destination unreachable; gateway or host down 블로그 : net123.tistory.com 저자김정우

21 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 정보확인결과, R2에서 로텔넷접속을실시하면, TCP Control Flag가 SYN 만설정되고 ACK가설정되어있지않기때문에 ACL에의해서패켓이차단된다. 이번에는내부네트워크 R4에서외부네트워크 로텔넷접속이가능한지확인하도록하자. [ 예제 13-8] R4 에서 로텔넷접속실시 R4#telnet Trying Open User Access Verification Password: R2> R2>exit [Connection to closed by foreign host] R4# 정보확인결과, R4 에서먼저 로 TCP 세션을성립하기위한 SYN 를전송하고, 이에대한응답으 로외부로부터 ACK, SYN 가설정된패켓을수신함으로써 ACL establised 키워드때문에텔넷응답패켓이 허용된다. 마지막으로 R1 에서 ACL 처리내용을확인하도록하자. [ 예제 13-9] R1에서확인한 ACL 정보확인 R1#show ip access-lists Extended IP access list permit tcp any any established (20 matches) 20 permit udp any eq rip any eq rip (6 matches) 이처럼 establised 키워드는수신한패켓의 TCP Control Flag 중 ACK 또는 RST 가설정된경우에만허용하는동작을실시하기때문에 TCP 환경에서방화벽기능을수행할수있다. 그러나 ACK 필드는 TCP 헤더에만존재하기때문에 TCP가아닌다른서비스들에대한방화벽수행이불가능하며, 외부공격자에의해서 ACK 가설정된공격성패켓을수신하는문제가발생하므로수준높은방화벽솔루션으로는적합하지못하다. 다음내용을알아보기위해서 R1 에서설정한 ACL 을삭제하도록하자. [ 예제 13-10] R1에서설정한 ACL 삭제 R1(config)#no access-list 110 R1(config)#int s1/0 R1(config-subif)#no ip access-group 110 in 블로그 : net123.tistory.com 저자김정우

22 리플렉시브 ACL(Reflexive ACL) 리플렉시브 ACL이란내부에서외부로패켓을전송하는순간, 외부에서내부로되돌아오는응답패켓을허용하는항목이임시적으로자동생성되는것을의미한다. 이동작은 TCP 패켓에대해서만처리하는 established 키워드와비교되는데, 리플렉시브 ACL은항목으로설정된모든패켓에대해서내부에서외부로새로운세션이시작되어, 다시되돌아올수있도록임시적으로항목을생성하여응답세션을허용하고, 반대로외부에서는내부로접근이불가능하도록전체차단을실시하여방화벽기능을수행한다. 예를들어, 내부에서외부로첫번째 ICMP 요청패켓이전송되면, 되돌아오는 ICMP 응답패켓을허용할수있는리플렉시브 ACL 항목이임시적으로생성되어입력인터페이스에인바운드로적용된다. 이때, 임시적으로생성되는리플렉시브 ACL 항목은다음과같은특징을갖고있다. 1 임시항목은무조건 permit 으로생성된다. 2 출발지 IP 주소는외부네트워크, 목적지 IP 주소는내부네트워크로생성된다. 3 TCP/UDP 패켓인경우, 출발지포트번호는외부시스템, 목적지포트번호는내부시스템으로생성된다. 4 ICMP 패켓인경우, 포트번호가없기때문에 ICMP 메시지타입이생성된다. 5 이렇게생성된임시항목은영구적으로동작하는것이아니라, 마지막응답패켓이처리되면임시항목은제거된다. 예를들어 TCP 패켓인경우, FIN 가설정된패켓이검사되면, 5초후에임시항목을제거하고, RST 가설정된패켓이검사되면, 즉각임시항목을제거한다. 또는, 특정기간 ( 타임아웃 ) 동안임시항목으로처리되는패켓이없다면, 자동으로임시항목을제거한다. 6 만약, UDP와같은비연결지향성프로토콜에대해서는상대방과의연결종료정보를확인할수없기때문에특정기간 ( 타임아웃 ) 동안임시항목으로처리되는패켓이없다면, 자동으로임시항목을제거한다. 그럼 [ 그림 13-3] 을참조하여내부네트워크를보호하기위한리플렉시브 ACL 을구성하도록하자. [ 그림 13-3] 네트워크토폴로지 [ 예제 13-11] R1에서리플렉시브 ACL 설정 ( 주의사항 : Named Extended ACL에서만지원됨 ) R1(config)#ip access-list extended OUT_Traffic 1 R1(config-ext-nacl)#permit tcp reflect CISCO 2 R1(config-ext-nacl)#permit udp reflect CISCO R1(config-ext-nacl)#permit icmp reflect CISCO R1(config-ext-nacl)# 3 R1(config-ext-nacl)# 블로그 : net123.tistory.com 저자김정우

23 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R1(config-ext-nacl)#ip access-list extended IN_Traffic 4 R1(config-ext-nacl)#permit udp any eq 520 any eq R1(config-ext-nacl)#evaluate CISCO 6 R1(config-ext-nacl)# 7 R1(config-ext-nacl)#int s1/0 R1(config-if)#ip access-group OUT_Traffic out 8 R1(config-if)#ip access-group IN_Traffic in 9 1 내부에서외부로전송되는패켓을검사하기위한 Named Extended ACL을생성한다. 2 내부에서외부 /24 으로패켓전송이허용된항목을생성하고, reflect CISCO 명령어를이용하여리플렉시브 ACL인것을명시한다. 이때, CISCO 는어떠한이름으로설정하여도무관하다. 3 내부에서생성된나머지패켓들이외부로전송되지않게기본 deny any 로처리하도록한다. 4 외부로부터수신되는패켓을검사하기위한 Named Extended ACL을생성한다. 5 라우팅업데이트관련패켓및동적라우팅프로토콜과관련된패켓은수신할수있도록허용한다. 6 evaluate 명령어를이용하여외부에서내부로되돌아오는패켓들을허용하는리플렉시브 ACL 임시항목이인바운드에 permit 으로생성되도록명시한다. 7 외부에서생성된패켓들이내부로전송되지않게기본 deny any 로처리하도록한다. 8 내부에서외부로패켓이전송될때, OUT_Traffic ACL을검사할수있도록아웃바운드로적용한다. 9 외부로부터패켓을수신할때, IN_Traffic ACL을검사할수있도록인바운드로적용한다. 설정이완료되었다면, 패켓전송을하기이전에 R1 에서 ACL 정보확인을실시하도록하자. [ 예제 13-12] R1에서확인한 ACL 정보확인 R1#show ip access-lists Reflexive IP access list CISCO Extended IP access list IN_Traffic 10 permit udp any eq rip any eq rip 20 evaluate CISCO Extended IP access list OUT_Traffic 10 permit tcp reflect CISCO 20 permit udp reflect CISCO 30 permit icmp reflect CISCO 정보확인결과, Reflexive IP access list CISCO 를확인할수있다. 이는리플렉시브 ACL 을의미하며, 현재임 시항목이생성되지않는초기상태이다. 그럼외부에서생성된패켓이내부로접근이차단되는지 R2 에서 로텔넷접속과 Ping 테스트를실시하도록하자. [ 예제 13-13] R2에서 로텔넷접속및 Ping 테스트 R2#telnet /source-interface fa0/1 Trying % Destination unreachable; gateway or host down 블로그 : net123.tistory.com 저자김정우

24 R2#ping source Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 0 percent (0/5) 정보확인결과, R2 에서 로텔넷접속과 Ping 이실패된다. 이는외부로부터수신되는패켓을 R1 의 ACL 7 번기본 deny any 에의해서차단되는것이다. 그럼내부 R4 에서외부 로텔넷접속 및 Ping 테스트를실시하도록하자 [ 예제 13-14] R4 에서 로텔넷접속및 Ping 테스트 R4#telnet Trying Open User Access Verification Password: R2> R2>exit [Connection to closed by foreign host] R4# R4#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/60/80 ms 정보확인결과, R4 에서 로텔넷접속과 Ping 테스트가성공되었다. 이는 R1 에서리플렉시브 ACL 에의해서외부로부터되돌아오는패켓을허용하는임시항목이생성되었기때문이다. R1 에서 ACL 정 보확인을실시하여, 생성된임시항목을확인하도록하자. [ 예제 13-15] R1에서확인한 ACL 정보확인 R1#show ip access-lists Reflexive IP access list CISCO permit icmp host host (19 matches) (time left 298) 1 permit tcp host eq telnet host eq (85 matches) (time left 2) 2 블로그 : net123.tistory.com 저자김정우

25 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. Extended IP access list IN_Traffic 10 permit udp any eq rip any eq rip (6 matches) 20 evaluate CISCO Extended IP access list OUT_Traffic 10 permit tcp reflect CISCO (132 matches) 20 permit udp reflect CISCO 30 permit icmp reflect CISCO (11 matches) 1 외부로부터되돌아오는 ICMP 패켓를허용하는임시항목이다. 타임아웃이 300초이므로 300초동안패켓전송이없다면, 임시항목을제거한다. 2 외부로부터되돌아오는 TCP 패켓을허용하는임시항목이다. 현재텔넷접속을해지했기때문에기본 5 초이후에임시항목을제거한다. 1번항목이삭제될때쯤, R1에서 ACL 정보확인을실시하면, [ 예제 13-16] 과같이리플렉시브 ACL 임시항목이제거된것을확인할수있다. [ 예제 13-16] R1에서확인한 ACL 정보확인 R1#show ip access-lists Reflexive IP access list CISCO Extended IP access list IN_Traffic 10 permit udp any eq rip any eq rip (26 matches) 20 evaluate CISCO Extended IP access list OUT_Traffic 10 permit tcp reflect CISCO (132 matches) 20 permit udp reflect CISCO 30 permit icmp reflect CISCO (11 matches) 이처럼리플렉시브 ACL은내부에서생성되어외부로나가는패켓이다시되돌아올수있도록응답패켓을허용하는임시항목이생성되어인바운드에적용됨으로써내부사용자는외부로부터서비스를제공받을수있으며, 반대로외부에서생성된패켓은인바운드로차단되기때문에방화벽과같은기능을수행할수있게된다. 대신, 데이터요청과데이터응답에사용하는포트번호가서로다른어플리케이션서비스들은인바운드에서허용하는포트번호가다르기때문에응답패켓이차단되는문제가발생할것이다. 이런경우에는리플렉시브 ACL을이용한방화벽구성보다는 CBAC을이용한방화벽구성을실시해야한다. 다음내용을알아보기위해서 R1 에서설정한 ACL 을삭제하도록하자. [ 예제 13-17] R1에서설정한 ACL 삭제 R1(config)#no ip access-list extended OUT_Traffic R1(config)#no ip access-list extended IN_Traffic R1(config)#int s1/0 R1(config-if)#no ip access-group OUT_Traffic out R1(config-if)#no ip access-group IN_Traffic in 블로그 : net123.tistory.com 저자김정우

26 CBAC(Context-Based Access Control) CBAC 은리플렉시브 ACL 과마찬가지로내부에서외부로나가는세션을검사하여, 그세션에대한응답패켓 을수신하기위한임시항목을생성함으로써되돌아오는응답패켓을허용한다. 단, 리플렉시브 ACL 과다 른점과주요기능은다음과같다. 1 FTP, H.323 프로토콜과같이여러개의포트번호를사용하는어플리케이션서비스에대해서도방화벽기능을수행한다. 한예로 FTP 서비스에서제어신호를검사하여데이터접속에대한사항을상태테이블에등록하여허용한다. 2 Layer 4 계층정보이외에어플리케이션계층정보까지검사를실시한다. 3 자바 (JAVA) 애플릿을검사하여트래픽필터링을구현할수있다. 4 TCP SYN 패켓을검사하여 TCP SYN 플러딩공격을차단할수있으며, TCP 패켓의순서번호가특정범위이내에있는지를검사하여공격으로판단되는패켓을차단할수있다. 5 되돌아오는응답패켓을허용하기위해서 ACL 항목을추가설정할필요가없다. 왜냐하면 CBAC을통하여외부로전송된패켓은상태테이블에정보가등록되어있기때문에응답패켓을자동으로허용한다. 6 CBAC은외부로패켓전송이실시되면, 되돌아오는응답패켓을허용하기위해서상태정보를모니터링하기때문에상태감시방법을사용한다. 7 특정패켓을검사하여침입탐지기능을수행할수있으며, 경우에따라서경고및감사메시지를생성하여메시지를출력한다. 방화벽을수행하기위해서 CBAC 은다음과같은처리과정을실시한다. 1 외부로전송될패켓이라우터로입력되거나, 출력될때, CBAC 항목을검사한다. 만약, 항목에서허용하는패켓이면, 패켓의상세정보 ( 출발지 / 목적지 IP 주소와포트번호 ) 를상태테이블에등록한다. 반대로항목에서허용하지않는패켓이면, 해당패켓을드랍하고, 더이상검사를실시하지않는다. 2 상태테이블에등록된패켓의상세정보를임시접근항목으로생성하여, 인바운드필터링이가능하도록설정되어있는 ACL 항목에가장맨앞에위치한다. 이때, 임시접근항목은검사한아웃바운드패켓과같은연결에속한인바운드패켓을허용하도록하며, 패켓을아웃바운드인터페이스로출력한다. 3 응답패켓이되돌아오면, 인바운드접근항목에검사를받게되는데, CBAC으로생성된임시접근항목이있이므로패켓을허용한다. 4 그다음부터전송되는모든인바운드패켓과아웃바운드패켓은임시접근항목에검사를받게되며, 상태테이블에등록된정보가필요한경우계속수정된다. 5 연결이종료되면상태테이블에등록된정보와임시접근항목은삭제된다. CBAC을단독적으로사용하면, 모든트래픽이허용되므로 ACL과같이사용되어야한다. 즉, CBAC에해당되는트래픽은 CBAC이허용하지만, 나머지는일반트래픽으로처리되어허용되기때문에 ACL을같이설정해야한다. 그래야지만 CBAC에해당되는트래픽은 CBAC이허용하고, 나머지일반트래픽은 ACL 항목에의해차단될수있다. 블로그 : net123.tistory.com 저자김정우

27 그럼 [ 그림 13-4] 를참조하여내부네트워크를보호하기위한 CBAC 구성을실시하도록하자. [ 그림 13-4] 네트워크토폴로지 [ 예제 13-18] R1에서 CBAC 설정 R1(config)#ip inspect audit-trail 1 R1(config)# R1(config)#ip inspect name CISCO tcp 2 R1(config)#ip inspect name CISCO udp 3 R1(config)#ip inspect name CISCO icmp 4 R1(config)#ip inspect name CISCO http java-list 10 timeout R1(config)# R1(config)#access-list 10 permit R1(config)# R1(config)#ip access-list extended IN_Traffic 7 R1(config-ext-nacl)#permit udp any eq 520 any eq R1(config-ext-nacl)# R1(config-ext-nacl)#int s1/0 R1(config-if)#ip inspect CISCO out 9 R1(config-if)#ip access-group IN_Traffic in 10 1 CBAC을통하여검사된패켓의상세정보내용과트래픽전송양을메시지로출력해준다. 2 내부에서외부로전송되는 TCP 패켓을 CBAC을통하여검사하여임시항목을생성하는설정이다. 3 내부에서외부로전송되는 UDP 패켓을 CBAC을통하여검사하여임시항목을생성하는설정이다. 4 내부에서외부로전송되는 ICMP 패켓을 CBAC을통하여검사하여임시항목을생성하는설정이다. 5 내부에서외부로전송되는자바애플릿를 CBAC을통하여검사하여임시항목을생성하는설정이다. 6 자바애플릿을제공하는웹-서버의 IP 주소를 ACL로설정한다. 7 외부에서내부로들어오는패켓들을차단하기위한확장 ACL를설정한다. 8 기본적으로라우터로입력되어야하는라우팅프로토콜관련패켓만허용한다. 9 CBAC을아웃바운드로적용하여내부에서외부로패켓이출력될때, 임시항목이생성되도록한다. 10 확장 ACL을인바운드로적용하여외부에서내부로들어오는패켓들을차단하도록한다. 블로그 : net123.tistory.com 저자김정우

28 설정이완료되었다면, 패켓전송을하기이전에 R1 에서 CBAC 정보확인을실시하도록하자. [ 예제 13-19] R1 에서확인한 CBAC 정보확인 R1#show ip inspect sessions 1 R1# R1#show ip inspect interfaces Interface Configuration Interface Serial1/0 Inbound inspection rule is not set Outgoing inspection rule is CISCO 2 tcp alert is on audit-trail is on timeout udp alert is on audit-trail is on timeout 30 4 icmp alert is on audit-trail is on timeout 10 5 http java-list 10 alert is on audit-trail is on timeout Inbound access list is IN_Traffic 7 Outgoing access list is not set 1 내부에서외부로패켓전송을하지않았기때문에, 상태정보가생성되지않는다. 2 Serial 1/0 인터페이스아웃바운드로 CBAC이적용되어있다. 3 TCP는상태정보가제거되는기본타임아웃이 3600초이다. 만약, FIN이설정된패켓이검사되면, 5초이후에상태테이블에서상태정보를제거한다. 4 UDP는기본타임아웃이 30초이므로 30초이내에응답패켓이되돌아오지않으면, 상태테이블에서상태정보를제거한다. 5 ICMP는기본타임아웃이 10초이므로 10초이내에응답패켓이되돌아오지않으면, 상태테이블에서상태정보를제거한다. 6 자바애플릿은 timeout 명령어를이용하여타임아웃을 300초로변경했기때문에, 300초이내에응답패켓이되돌아오지않으면, 상태테이블에서상태정보를제거한다. 7 Serial 1/0 인터페이스에인바운드로확장 ACL이적용되어있다. 정보확인이완료되었다면, 외부 R2 에서내부 로 Ping 과텔넷접속이차단되는지확인하도록 하자. [ 예제 13-20] R2 에서 로 Ping 테스트와텔넷접속 R2#ping source Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of U.U.U Success rate is 0 percent (0/5) 블로그 : net123.tistory.com 저자김정우

29 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R2#telnet /source-interface fa0/1 Trying % Destination unreachable; gateway or host down 정보확인결과, 외부에서는내부로패켓전송이차단되는것을알수있다. 그럼내부에서외부 로 Ping 과텔넷접속이이가능한지확인하도록하자. [ 예제 13-21] R4 에서 로 Ping 테스트와텔넷접속 R4#ping Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/36/52 ms R4# R4#telnet Trying Open User Access Verification Password: R2> 정보확인결과, R4 에서는외부 로 Ping 과텔넷접속이가능하다. 그럼 R1 에서 CBAC 정보확인 을실시하도록하자. [ 예제 13-22] R1에서실시한 CBAC 정보확인 R1# *Mar 1 00:25:20.007: %FW-6-SESS_AUDIT_TRAIL_START: Start icmp session: initiator ( :8) -- responder ( :0) 1 *Mar 1 00:25:20.735: %FW-6-SESS_AUDIT_TRAIL_START: Start tcp session: initiator ( :18304) -- responder ( :23) 2 R1# R1#show ip inspect sessions Established Sessions Session ( :18304)=>( :23) tcp SIS_OPEN 3 Session 67089B28 ( :8)=>( :0) icmp SIS_OPEN 4 R1# *Mar 1 00:25:30.695: %FW-6-SESS_AUDIT_TRAIL: Stop icmp session: initiator ( :8) sent 360 bytes -- responder ( :0) sent 360 bytes 5 블로그 : net123.tistory.com 저자김정우

30 정보확인이완료되었다면, R4 에서 R2 로접속한텔넷을종료하도록하자. [ 예제 13-23] R4 에서 로접속한텔넷연결종료 R2>exit [Connection to closed by foreign host] R4# R1 에서 CBAC 정보확인을다시확인하도록하자. [ 예제 13-24] R1에서실시한 CBAC 정보확인 R1# *Mar 1 00:26:09.131: %FW-6-SESS_AUDIT_TRAIL: Stop tcp session: initiator ( :18304) sent 46 bytes -- responder ( :23) sent 101 bytes 6 R1# R1#show ip inspect sessions 7 R1# 1 내부에서외부로 ICMP 패켓이전송되므로 CBAC에의해서검사되어상태정보를메시지로출력한다. 2 내부에서외부로 TCP( 텔넷 ) 패켓이전송되므로 CBAC에의해서검사되어상태정보를메시지로출력한다. 3 CBAC 상태테이블에등록된 TCP 패켓에대한임시접근항목내용이다. 4 CBAC 상태테이블에등록된 ICMP 패켓에대한임시접근항목내용이다 5 ICMP는기본타임아웃이 10초이므로 10초이내에응답패켓이되돌아오지않으면, 상태테이블에서상태정보를제거한다. 6 R4에서 R2에접속된텔넷을해지하면, FIN가검사되므로 5초이후에상태테이블에서상태정보를제거한다. 7 타임아웃안에응답패켓을수신하지못하면상태테이블에등록된상태정보는제거된다. 그렇기때문에기존에등록되어있던 TCP, ICMP 상태정보는더이상확인되지않는다. 이처럼 CBAC을이용하면리플렉시브 ACL보다간편한방법으로방화벽수행이가능하며, Layer 4 계층정보이외에다양한어플리케이션계층도검사하며, 다양한필터링을이용한 DoS 공격방지와침입탐지가가능하기때문에방화벽구성으로는가장뛰어난보안솔루션이다. 그러나다음과같은사항에대해서는 CBAC 을이용한방화벽구성에제한갖는다. 1 지정된패켓만검사하며, 라우터가생성한패켓과목적지가로컬인패켓에대해서는적용되지않는다. 2 IPSec으로암호화된패켓은검사되지않는다. 단, VPN 접속이해당라우터에서종료되면, VPN 터널에입출력되는패켓들은검사가가능하다. 3 FTP 같은경우, 패시브모드와 2-Way 전송모드만지원하며, 3-Way 전송모드는지원하지않는다. 4 모든어플리케이션계층에대한검사가지원되는게아니기때문에특정어플리케이션에대해서는 CBAC 사용이불가능하다. 블로그 : net123.tistory.com 저자김정우

31 다음내용을알아보기위해서 R1 에서설정한 CBAC 관련설정을삭제하도록하자. [ 예제 13-25] R1에서설정한 CBAC 관련설정삭제 R1(config)#no ip inspect audit-trail R1(config)#no ip inspect name CISCO R1(config)#no access-list 10 R1(config)#no ip access-list extended IN_Traffic R1(config)#int s1/0 R1(config-if)#no ip access-group IN_Traffic in R1(config-if)#no ip inspect CISCO out Dynamic ACL(Lock and Key) 다이내믹 ACL이란인증된외부네트워크로부터전송되는패켓을허용하기위해서라우터에자동으로 ACL 항목을추가하는기능을의미한다. 이때, 인증여부는텔넷접속을이용하여실시하며, 텔넷접속이허용된출발지네트워크만 ACL 항목이추가되어, 외부에서내부네트워크로패켓전송이가능하도록한다. 또한, 자동으로생성된 ACL 항목은일정시간이경과되면, 자동으로삭제되어외부에서내부로더이상패켓전송이가능하지않도록차단한다. 이러한솔루션을다른말로 Lock and Key 라고하며, 동작방식은다음과같다. 1 외부네트워크에위치한사용자가 Lock and Key 가설정된라우터로텔넷접속을실시한다. 2 라우터로텔넷접속이들어오면, 사용자인증을실시한다. 이때, 사용자인증은라우터이외에 RADIUS 서버, 또는 TACACS+ 서버를이용하여할수있다. 3 사용자인증이허용되면, 텔넷접속은자동으로해지되며, 텔넷접속을실시한사용자네트워크가내부네트워크로접근이가능하도록 ACL 항목을자동으로생성한다. 4 외부에위치한사용자는생성된 ACL 항목에검사되어, 내부네트워크로패켓전송이가능해진다. 5 생성된 ACL 항목은일정시간이경과되면삭제되어더이상내부네트워크로패켓전송이가능하지않도록차단한다. 그럼 [ 그림 13-5] 를참조하여외부에서내부네트워크로패켓전송허가를하기위한 Lock and Key 를구성 하도록하자. [ 그림 13-5] 네트워크토폴로지 블로그 : net123.tistory.com 저자김정우

32 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 13-26] R1에서 Lock and Key 설정 R1(config)#username admin password cisco 1 R1(config)#username admin autocommand access-enable host timeout 10 2 R1(config)# R1(config)#line vty 0 4 R1(config-line)#login local 3 R1(config-line)# R1(config-line)#ip access-list extended IN_Traffic 4 R1(config-ext-nacl)#permit tcp any host eq telnet 5 R1(config-ext-nacl)#dynamic Lock&Key permit ip any R1(config-ext-nacl)#deny ip any R1(config-ext-nacl)#permit udp any eq 520 any eq R1(config-ext-nacl)# R1(config-ext-nacl)#int s1/0 R1(config-if)#ip access-group IN_Traffic in 9 1 R1에서사용자인증을하기위한사용자정보 (username, password) 를생성한다. 2 admin 사용자인증이허용되면, autocommand access-enable 에의해서 Lock and Key 에의한텔넷접속이종료되며, host 키워드를이용하여텔넷접속에사용한출발지 IP 주소가나중에자동으로생성되는 ACL의출발지정보로사용할수있도록한다. 또한, timeout 명령어를이용하여일정기간이지나면, ACL 항목이제거되도록한다. 3 R1에서 VTY 라인으로텔넷접속이들어오면, 사용자정보 (username, password) 를검증하게한다. 4 Lock and Key 를구성하기위한확장 ACL를설정한다. 5 외부네트워크에위치한사용자가사용자인증을받기위해서 R1으로텔넷접속이가능하도록설정한다. 6 dynamic 키워드를이용하여사용자인증이허용된출발지정보에대해서자동으로동적 ACL 항목이생성되도록한다. 7 동적 ACL이생성되기전까지는외부에서내부 /24' 로전송되는모든패켓을차단하도록한다. 8 기본적으로라우터로입력되어야하는라우팅프로토콜관련패켓만허용한다. 9 Lock and Key 가동작하도록확장 ACL을 Serial 1/0 인터페이스에인바운드로적용한다. 설정이완료되었다면, 사용자인증을하기이전에 R2 에서내부 로 Ping 이차단되는지확인하도 록하자. [ 예제 13-27] R2 에서 로 Ping 테스트 R2#ping source Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of U.U.U Success rate is 0 percent (0/5) 블로그 : net123.tistory.com 저자김정우

33 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. Ping 테스트결과, 외부에서는내부네트워크로패켓전송이차단되는것을알수있다. 또한, [ 예제 13-28] 과같이 ACL 정보확인을실시하면, 순서번호 30번항목에의해서패켓 11개가차단된것을확인할수있다. [ 예제 13-28] R1에서확인한 ACL 정보확인 R1#show ip access-lists Extended IP access list IN_Traffic 10 permit tcp any host eq telnet 20 Dynamic Lock&Key permit ip any deny ip any (11 matches) 40 permit udp any eq rip any eq rip 그럼 R2 에서 R1 으로텔넷접속을실시하도록하자. [ 예제 13-29] R2 에서 텔넷접속 R2#telnet /source-interface fa0/1 Trying Open User Access Verification Username: admin Password: [Connection to closed by foreign host] R2# R2 에서 R1 으로텔넷접속이후, 사용자인증이허용되면, 자동으로텔넷접속이해지된다. 그럼 R1 에서 ACL 정보확인을실시하도록하자. [ 예제 13-30] R1에서확인한 ACL 정보확인 R1#show ip access-lists Extended IP access list IN_Traffic 10 permit tcp any host eq telnet (75 matches) 20 Dynamic Lock&Key permit ip any permit ip host deny ip any (11 matches) 40 permit udp any eq rip any eq rip (2 matches) 정보확인결과, 출발지가 인패켓이내부 /24 로접근가능한동적 ACL 이생성된것을 알수있다. 그럼 R2 에서내부 로 Ping 이가능한지확인하도록하자. 블로그 : net123.tistory.com 저자김정우

34 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 13-31] R2에서 로 Ping 테스트 R2#ping source Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 36/64/80 ms Ping 테스트결과, 성공이다. 이는 Lock And Key 에의해서생성된 permit ip host 항목때문에 R2 에서내부 로 Ping 이가능한것이다. 그럼 R1 에서 ACL 정보확인을 실시하도록하자. [ 예제 13-32] R1에서확인한 ACL 정보확인 R1#show ip access-lists Extended IP access list IN_Traffic 10 permit tcp any host eq telnet (75 matches) 20 Dynamic Lock&Key permit ip any permit ip host (5 matches) (time left 596) 30 deny ip any (11 matches) 40 permit udp any eq rip any eq rip (3 matches) 정보확인결과, permit ip host 항목뒤에 time left 596 정보가추가되어있 다. 이는 Lock And Key 에의해서생성된 ACL 항목이일정기간사용하지않으면자동으로제거되는타임 아웃시간을의미한다. 이처럼 Dynamic ACL 을이용한 Lock and Key 를구성하면, 평상시에는외부네트워크에서내부접근이불가 능하지만, 특정라우터에의해텔넷접속및사용자인증이허용되면, 내부네트워크로접근이가능하기때 문에방화벽기능을수행하면서, 외부에위치한관리자가내부네트워크로접근이가능하게할수있다. 다음내용을알아보기위해서 R1 에서설정한 Dynamic ACL 관련설정을삭제하도록하자. [ 예제 13-33] R1에서설정한 Dynamic ACL 관련설정삭제 R1(config)#no username admin password cisco R1(config)#no username admin autocommand access-enable host timeout 10 R1(config)# R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#int s1/0 R1(config-if)#no ip access-group IN_Traffic in 블로그 : net123.tistory.com 저자김정우

35 IP Fragments 공격방지 IP 프로토콜은 MTU 크기가초과된패켓에대해서분할 (Fragments) 을실시하여전송처리한다. 이때, MTU 기본크기는 1500Byte이며, 만약 4000Byte 데이터를처리한다면, 1500Byte, 1500Byte, 1000Byte로분할하여패켓을전송한다. 그런다음수신측에서는분할된패켓들에대해서재조립과정을실시한다. [ 그림 13-6] 은 4000Byte 데이터를분할하여전송되는마지막번째패켓을캡처한것이다. [ 그림 13-6] IP 분할내용 이처럼 IP Fragments 기능은 MTU 크기가초과된패켓의크기를기준크기에맞게분할하여전송함으로써패켓전송처리율을극대화하는데목적을두고있다. 그러나외부공격자들은 IP Fragments 기능을역으로이용하여 IP 헤더를조작한다음, 분할된패켓을특정서버에게무한으로전송함으로써다른서비스와연결를거부하거나, 네트워크연결문제및서버다운이라는문제를발생시킨다. 이러한공격을 IP Fragments 공격이라고한다. 이공격을방지하기위해서는라우터에서분할된패켓을필터링하면손쉽게해결할수있다. 그럼 [ 그림 13-7] 를참조하여외부로부터전송되는분할된패켓을라우터에서차단하여, IP Fragments 공격 을방지하도록하자. [ 그림 13-7] 네트워크토폴로지 블로그 : net123.tistory.com 저자김정우

36 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. ACL을이용하여 IP Fragments 공격을방지하기이전에, R2에서내부 로 4000Byte 패켓 1개를전송하도록하자. [ 예제 13-34] R2에서 로 Ping 테스트 R2(config)#no service timestamps debug R2(config)#access-list 110 permit icmp any any R2(config)#^Z R2# R2#debug ip packet 110 IP packet debugging is on for access list 110 R2# R2#ping source size 4000 repeat 1 Type escape sequence to abort. Sending 1, 4000-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of ! Success rate is 100 percent (1/1), round-trip min/avg/max = 40/40/40 ms R2# IP: tableid=0, s= (local), d= (Serial1/0.123), routed via FIB IP: s= (local), d= (Serial1/0.123), len 4000, sending IP: s= (local), d= (Serial1/0.123), len 1500, sending fragment IP: s= (local), d= (Serial1/0.123), len 1500, sending fragment IP: s= (local), d= (Serial1/0.123), len 1040, sending last fragment IP: tableid=0, s= (Serial1/0.123), d= (FastEthernet0/1), routed via RIB IP: s= (Serial1/0.123), d= , len 1500, rcvd 4 IP: recv fragment from offset 0 bytes R2# IP: tableid=0, s= (Serial1/0.123), d= (FastEthernet0/1), routed via RIB IP: s= (Serial1/0.123), d= , len 1500, rcvd 4 IP: recv fragment from offset 1480 bytes IP: tableid=0, s= (Serial1/0.123), d= (FastEthernet0/1), routed via RIB IP: s= (Serial1/0.123), d= , len 1040, rcvd 4 IP: recv fragment from offset 2960 bytes R2# R2#undebug all All possible debugging has been turned off Ping 테스트결과, R2 에서내부 로 4000Byte 패켓을분할하여전송처리하는것을알수있다. 그럼 R1 에서분할된패켓을차단하여, IP Fragments 공격을방지하도록하자. 블로그 : net123.tistory.com 저자김정우

37 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 13-35] R1에서 IP Fragments 공격차단설정 R1(config)#ip access-list extended Deny_Fragments 1 R1(config-ext-nacl)#deny ip any fragments 2 R1(config-ext-nacl)#permit ip any any 3 R1(config-ext-nacl)# R1(config-ext-nacl)#int s1/0 R1(config-if)#ip access-group Deny_Fragments in 4 1 IP Fragments 공격을방지하기위한확장 ACL를설정한다. 2 공격자의출발지는랜덤하거나, 또는변조된다른 IP 주소로접근하기때문에 any 로설정하고, 목적지는내부네트워크로설정한다. 그리고 fragments 키워드를이용하여분할된패켓을차단하도록한다. 3 기본적으로라우터로입력되어야하는라우팅프로토콜관련패켓과나머지트래픽을허용하도록한다. 4 IP Fragments 공격을방지하기위해서확장 ACL을 Serial 1/0 인터페이스에인바운드로적용한다. 설정이완료되었다면, R2 에서내부 로 4000Byte 패켓이차단되는지확인하도록하자. [ 예제 13-36] R2 에서 로 Ping 테스트 R2#ping source size 4000 repeat 1 Type escape sequence to abort. Sending 1, 4000-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 0 percent (0/1) Ping 테스트결과, R2 에서전송한 4000Byte 패켓이차단되는것을알수있다. 그럼 R1 에서 ACL 정보확인 을실시하도록하자. [ 예제 13-37] R2에서 로 Ping 테스트 R1#show ip access-lists Extended IP access list Deny_Fragments 10 deny ip any fragments (4 matches) 20 permit ip any any (2 matches) 정보확인결과, deny ip any fragments 항목이 4 번매치된것을알수있다. 이는분할 된 IP 패켓 4 개를차단했다는의미이다. 이처럼확장 ACL 만이용해도손쉽게 IP Fragments 공격을방어할수있으며, 앞전에알아보았던리플렉시 브 ACL, CBAC 과같이사용해도무관하다. 블로그 : net123.tistory.com 저자김정우

38 다음내용을알아보기위해서 R1 에서설정한 Dynamic ACL 관련설정을삭제하도록하자. [ 예제 13-38] R1에서설정한 IP Fragments 공격차단설정삭제 R1(config)#no ip access-list extended Deny_Fragments R1(config)#int s1/0 R1(config-if)#no ip access-group Deny_Fragments in ICMP 플러딩공격방지 ICMP란 IP 네트워크환경에서패켓전송처리가가능한지를점검할수있는메시지교환방식프로토콜이다. 동작방식은먼저로컬장비에서리모트장비로 ICMP Echo 요청메세지를전송한다. 이를수신한리모트장비는로컬장비에게 ICMP Reply 응답메시지를전송함으로써패켓전송여부를판단하게된다. 그러나외부공격자는이를역으로이용하여리모트장비에게 ICMP Echo 요청메시지를무한으로전송함으로써서비스거부와서버다운및네트워크연결문제를발생시킨다. 이를해결하기위한방법으로는앞전에알아보았던트래픽필터링을구성하여, ICMP Echo 요청메시지를차단하거나, QoS에서사용하는폴리싱기법을이용하여 ICMP 용량을제한하는것이다. 그럼 [ 그림 13-8] 를참조하여외부공격자에의해서실시되는 ICMP 플러딩공격을방지하도록하자. [ 그림 13-8] 네트워크토폴로지 [ 예제 13-39] R1에서 ICMP 플러딩공격차단설정 R1(config)#access-list 110 permit icmp any any echo R1(config)#access-list 110 permit icmp any any echo-reply 1 R1(config)# R1(config)#int s1/0 R1(config-if)#rate-limit input access-group conform-action transmit exceed-action drop 2 1 확장 ACL을이용하여 ICMP 메시지를정의한다. 2 CAR 설정을이용하여입력시처리할수있는 ICMP 패켓한도양을정의한다. 만약, 한도가넘지않는 ICMP 패켓들에대해서는전송처리 (conform-action transmit) 를실시하며, 한도가초과된 ICMP 패켓에대해서는드랍 (exceed-action drop) 을실시하도록한다. 블로그 : net123.tistory.com 저자김정우

39 설정이완료되었다면, R2 에서 [ 예제 13-40] 과같이내부 로 8000Byte 패켓을전송하도록하자. [ 예제 13-40] R2 에서 로 Ping 테스트 R2#ping source size 8000 repeat 10 Type escape sequence to abort. Sending 10, 8000-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of !.!!.!.!. Success rate is 50 percent (5/10), round-trip min/avg/max = 168/180/200 ms Ping 테스트결과, 패켓전송이중간, 중간에실패되는것을알수있다. 그럼 R1 에서 [ 예제 13-41] 과같이 CAR 정보을실시하여폴리싱된패켓내용을확인하도록하자. [ 예제 13-41] R1에서확인한 ACL 정보확인및 CAR 정보확인 R1#show interfaces s1/0 rate-limit Serial1/0 Input matches: access-group 110 params: bps, 8000 limit, 8000 extended limit conformed 54 packets, bytes; action: transmit exceeded 6 packets, 7224 bytes; action: drop last packet: 43556ms ago, current burst: 7708 bytes last cleared 00:00:54 ago, conformed bps, exceeded 1000 bps 정보확인결과, 한도가초과되지않는 54개패켓 (74016Byte) 에대해서는전송처리 (action: transmit) 를실시하였으며, 한도가초과된 6개패켓 (7224Byte) 에대해서는드랍처리 (action: drop) 를실시하였다. 이처럼 CAR 설정을이용하여 ICMP 패켓에대해서폴리싱을구성하면, 한도가초과된패켓에대해서는드랍되기때문에 ICMP 플러딩공격을방지할수있다. 다음내용을알아보기위해서 R1 에서설정한 CAR 관련설정을삭제하도록하자. [ 예제 13-42] R1에서설정한 ICMP 플러딩공격차단설정삭제 R1(config)#no access-list 110 R1(config)# R1(config)#int s1/0 R1(config-if)#no rate-limit input access-group conform-action transmit exceed-action drop 블로그 : net123.tistory.com 저자김정우

40 TCP SYN 플러딩공격방지 TCP 환경에서는데이터를전송하기이전에 TCP 3-Way 핸드쉐이킹을실시하여, 상대방과통신수립을성립 한다음데이터전송을실시한다. TCP 3-Way 핸드쉐이킹과정은 [ 그림 13-9] 와같다. [ 그림 13-9] TCP 3-Way 핸드쉐이킹과정 TCP 는 SYN 플래그를이용하여통신요청을개시하며, 전송되는세그먼트를표기하기위한 Seq 번호와이에 대한응답으로 ACK 플래그를사용한다. 동작과정은다음과같다. 1 A는 B에게통신요청을개시하는 SYN와첫번째세그먼트를알리는 Seq(100) 을전송한다. 2 SYN를수신한 B는이에대한응답으로 A에게 Ack(101) 와 Seq(200) 를전송하며, 자기자신도 A에게통신요청을개시하는 SYN를함께전송한다. 3 SYN를수신한 A는이에대한응답으로 B에게 Ack(201) 을전송함으로써통신연결이성립된다. 이때, 외부공격자가 [ 그림 13-10] 과같이클라이언트가통신요청을실시한것처럼조작하여, 서버에게 SYN 패켓을무한으로전송할경우, 실제사용자는서버와의연결이성립되는것이방해되기때문에서비스 거부현상이발생된다. 이러한서비스거부현상을발생시키는공격을 TCP SYN 플러딩이라고한다. [ 그림 13-10] TCP SYN 플러딩공격과정 블로그 : net123.tistory.com 저자김정우

41 영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 1 공격자는서버측으로 SYN 패켓을전송하여, 마치클라이언트가통신요청을한것처럼조작한다. 2 그럼서버는클라이언트로부터통신요청을수신한것으로알고있기때문에, 클라이언트에게통신응답을하기위한 ACK와통신요청을하기위한 SYN를전송한다. 3 당연공격자는서버측으로 ACK 패켓을전송하지않기때문에, 서버는클라이언트로부터 ACK 패켓을수신할때까지 Half Open 상태가된다. 4 이때, 연결시도를초기화하기이전에새로운통신요청이들어온다면, SYN 패켓이 Backlog 큐에저장되어, 오버플러우가되어더이상연결을수신할수없는상태인서비스거부상태로전환된다. 5 이렇게 Backlog 큐가오버플러우현상이발생되면, 공격을당한해당포트로만연결이성립되지않을뿐, 다른포트에는영향을주지않는다. 그래서서버에는별다른부하가발생되지않기때문에관리자가원인을파악하는데어려움이있다. [ 표 13-1] 은 TCP 연결상태에대한내용을설명하고있다. [ 표 13-1] TCP 상태유형 TCP 상태유형 내용 LISTENING 서버가접속요청을대기하고상태이다. SYN-SENT 클라이언트어플리케이션이원격호스트에연결을요청한상태이다. 서버가클라이언트로부터 SYN를수신한다음, 클라이언트에게 ACK와 SYN-RECEIVED SYN를전송했지만, 클라이언트로부터 ACK를수신하지못한상태를의미한다. 만약, SYN-RECEIVED 상태가장기간지속된다면, TCP SYN 공격 을받고있다고판단하면된다. ESTABLISHED 3-Way 핸드쉐이킹이완료되어통신수립이완료된상태이다. FIN-WAIT1, 2, 3 서버에서연결을종료하기위해클라이언트에게통신종료를요청하고회신을받아종료하는 3단계상태이다. CLOSING 확인메시지가전송도중에분실된상태이다. TIME-WAIT 연결은종료되었지만, 분실되었을지모를느린세그먼트를위해당분간소켓을열어놓은상태이다. CLOSED 통신이완전히종료된상태이다. TCP SYN 플러딩공격은다음과같이 TCP Intercept 기능을이용하여방지할수있다. [ 표 13-2] TCP Intercept 유형모드유형내용클라이언트와서버간에 TCP 세션이성립되는과정을모니터링한다. 만 Watch 모드약, 기본 30초이내에 TCP 연결이성립하지않으면, 서버에게 RST를전송하여연결을해지한다. 라우터입장에서부하발생이낮다. 서버로전송되는 TCP 패켓을라우터가가로채기하여, 대신 TCP ACK+SYN를전송하고, 상대방으로부터 ACK를수신하면, 서버쪽으로 Intercept 모드 SYN를전송하여 TCP 연결을완성한다. 만약, 기본 30초안에 Ack를수신하지못하면공격으로간주하여상대방에게 RST를전송하여연결을해지한다. 라우터입장에서부하발생이높다. 블로그 : net123.tistory.com 저자김정우

42 그럼 TCP Intercept Watch 모드를이용하여 TCP SYN 플러딩공격을방지하도록하자. [ 그림 13-11] TCP Intercept Watch 모드처리과정 1 외부공격자가 R4로 SYN 플래그를설정하여, 조작된통신요청패켓을전송한다. 2 외부공격자가 R4로전송한조작된통신요청패켓이 R1을통하여 R4로전송되는순간 TCP Intercept Watch 모드가동작한다. 그럼 TCP 연결이 30초이내에성립되지않으면, 외부공격으로간주하여 TCP 연결을해지한다. 3 R4는클라이언트가통신요청을실시한것으로알고있기때문에, ACK와 SYN 플래그를설정하여통신응답 / 요청을전송한다. 이때, R4는 Half Open 상태가된다. 4 R4가전송한 ACK+SYN 패켓이 R1을통해서외부로전송된다. 5 외부공격자로부터 ACK 패켓은수신되지않을것이며, TCP 연결을해지하기위해서 Watch 타임아웃이만료될때까지대기한다. 6 30초이내에 ACK가 R1을통과하지않게되면, TCP Intercept Watch 모드에의해서 R1이외부공격자의 IP 주소를출발지로하여 R4에게 RST 패켓을전송하여, 통신종료를실시한다. TCP Intercept Watch 모드설정은다음과같다. [ 예제 13-43] R1에서 TCP Intercept Watch 모드설정 R1(config)#access-list 110 permit tcp any any R1(config)# R1(config)#ip tcp intercept list 110 R1(config)#ip tcp intercept mode watch R1(config)#ip tcp intercept watch-timeout 15 설정이완료되었다면, 평상시 3-Way 핸드쉐이킹과정을알아보기위해서, R1 에서디버깅을실시한이후, R2 에서내부 로텔넷접속을실시하도록하자. [ 예제 13-44] R1에서디버깅실시및 R2에서 텔넷접속및해지 R1#debug ip tcp intercept TCP intercept debugging is on R2#telnet /source-interface fa0/1 Trying Open 블로그 : net123.tistory.com 저자김정우

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취 제 16 장 GRE 터널 블로그 : net123.tistory.com - 1 - 저자김정우 GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취약하지만,

More information

Microsoft PowerPoint - ch13.ppt

Microsoft PowerPoint - ch13.ppt chapter 13. 네트워크보안과 ACL 한빛미디어 -1- 학습목표 계층별네트워크보안이슈 시스코라우터의 ACL 시스코라우터의 ACL 설정 한빛미디어 -2- 계층별네트워크보안이슈 데이터링크계층보안 ARP 스푸핑 MAC 플러딩 한빛미디어 -3- 계층별네트워크보안이슈 방화벽 [ 그림 ] 방화벽구조 한빛미디어 -4- 계층별네트워크보안이슈 침입탐지시스템 (IDS)

More information

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase

More information

AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY

AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY 제 9 장 AAA 블로그 : net123.tistory.com - 1 - 저자김정우 AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY 라인에설정된패스워드를통하여접속제어를실시하였다.

More information

Microsoft Word - access-list.doc

Microsoft Word - access-list.doc 8. Access List Access List 란단어그자체에서의미하듯이라우터를경유하는트래픽에대한제어를할수있는것으로어떤트래픽을어떻게제어할것인지정의한다. 이 Access List 는일반적으로 Interface 에적용되거나 Routing Protocol 에적용되는데이때 Interface 에적용된것을 Access Group 이라고하고, Routing Protocol

More information

TCP.IP.ppt

TCP.IP.ppt TCP/IP TCP/IP TCP/IP TCP/IP TCP/IP Internet Protocol _ IP Address Internet Protocol _ Subnet Mask Internet Protocol _ ARP(Address Resolution Protocol) Internet Protocol _ RARP(Reverse Address Resolution

More information

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DNS를설정하지않습니다. 1.3 R1에 inter-vlan 및모든 IP를설정합니다. vlan 30을위한게이트웨이는

More information

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 28 장이더체널 블로그 : net123.tistory.com 저자김정우 제 28 장이더체널 블로그 : net123.tistory.com - 1 - 저자김정우 이더체널 (Etherchannel) 이더체널는스위치간에연결된다수의포트를논리적인하나의포트로구성하여대역폭확장과이중화링크구현기능을수행한다. 예를들어스위치 F0/1~F0/4 포트를이더체널로구성하면, 400M 대역폭을제공하는논리적인포트를구성할수있다. 또한, F0/1 포트가장애가발생되면,

More information

정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2

정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2 정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2. 작업내용에대한풀이 가. 시스템설정 1) 각장비의호스트이름을도면과같이변경하시오. Switch(config)#host

More information

Microsoft Word - NAT_1_.doc

Microsoft Word - NAT_1_.doc NAT(Network Address Translation) 1. NAT 개요 1 패킷의 IP 헤더의수신지주소, 발신지주소또는그주소를다른주소로변경하는과정 2 NAT기능을갖는장치를 NAT-BOX라함 ( 시스코라우터, 유닉스시스템, 윈도우의호스트혹은몇개의다른시스템일수있기때문에이렇게지칭하기도함 ) 3 NAT 기능을갖는장치는일반적으로스텁도메인 (Stub-domain)

More information

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1 IP 심화 º 각 P 의게이트웨이는해당네트워크의마지막주소를사용한다. - P1 (210.220.10.1/26) 의게이트웨이 (5의 Fa0/0) : 210.220.10.63 /26 = 255.255.255.192 호스트비트수 : 32-26 = 6 비트 => = 64 그러므로 P1의 IP 210.220.10.1 중서브넷마스크에의거 26비트는변함이없고, 나머지 6비트가호스트비트로변하므로

More information

bn2019_2

bn2019_2 arp -a Packet Logging/Editing Decode Buffer Capture Driver Logging: permanent storage of packets for offline analysis Decode: packets must be decoded to human readable form. Buffer: packets must temporarily

More information

슬라이드 1

슬라이드 1 TCPdump 사용법 Neworks, Inc. (Tel) 070-7101-9382 (Fax) 02-2109-6675 ech@pumpkinne.com hp://www.pumpkinne.co.kr TCPDUMP Tcpdump 옵션 ARP 정보 ICMP 정보 ARP + ICMP 정보 IP 대역별정보 Source 및 Desinaion 대역별정보 Syn 과 syn-ack

More information

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] ( [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase startup-config Erasing the nvram filesystem will remove all configuration files Continue? [confirm] ( 엔터 ) [OK] Erase

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

IEEE 802.1w RSTP 본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. RSTP는 IEEE 802.1d STP 컨버전스에비해서포트이전이상당히빠른 STP를의미한다. IEEE 802.1d STP 컨버전스는경우

IEEE 802.1w RSTP 본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. RSTP는 IEEE 802.1d STP 컨버전스에비해서포트이전이상당히빠른 STP를의미한다. IEEE 802.1d STP 컨버전스는경우 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. 제 24 장 IEEE 802.1w RSTP 블로그 : net123.tistory.com - 1 - 저자김정우 IEEE 802.1w RSTP 본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. RSTP는 IEEE 802.1d STP 컨버전스에비해서포트이전이상당히빠른

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 91416208 서승희 91416296 이도경 네트워크구축 ISP Gateway 1 2 CORE 1 2 3 4 Core Router( 서울 ) Major 1 2 지방 A 1 2 지방 B Minor 네트워크구축 라우터설정 거리벡터방식을사용하는내부라우팅프로토콜중에서가장간단하게구현된다. 소규모네트워크환경에적합하며, 현재가장많이사용하는라우팅프로토콜중하나다. 네트워크기기간에서경로정보를교환하고,

More information

VTP(VLAN Trunk Protocol) Cisco 전용프로토콜로서트렁크로연결된스위치간에 VLAN 정보를공유하는기능을수행한다. 즉, 하나의스위치에서 VLAN을생성하거나, 삭제또는수정을실시하면, 트렁크로연결된다른스위치에게변경된 VLAN 데이터베이스정보를공유하는기능을담

VTP(VLAN Trunk Protocol) Cisco 전용프로토콜로서트렁크로연결된스위치간에 VLAN 정보를공유하는기능을수행한다. 즉, 하나의스위치에서 VLAN을생성하거나, 삭제또는수정을실시하면, 트렁크로연결된다른스위치에게변경된 VLAN 데이터베이스정보를공유하는기능을담 제 19 장 VTP 블로그 : net123.tistory.com - 1 - 저자김정우 VTP(VLAN Trunk Protocol) Cisco 전용프로토콜로서트렁크로연결된스위치간에 VLAN 정보를공유하는기능을수행한다. 즉, 하나의스위치에서 VLAN을생성하거나, 삭제또는수정을실시하면, 트렁크로연결된다른스위치에게변경된 VLAN 데이터베이스정보를공유하는기능을담당한다.

More information

Microsoft Word doc

Microsoft Word doc TCP/IP 구조 1. I.P 구조설명 2. ARP 구조설명 3. TCP 구조설명 4. UDT 구조설명 5. RIP 구조설명 6. BOOTP 구조설명 7. TFTP 구조설명 destination addr source addr type data CRC 6 6 2 46-1500 4 type 0X0800 IP datagram 2 46-1500 type 0X0806

More information

Network seminar.key

Network seminar.key Intro to Network .. 2 4 ( ) ( ). ?!? ~! This is ~ ( ) /,,,???? TCP/IP Application Layer Transfer Layer Internet Layer Data Link Layer Physical Layer OSI 7 TCP/IP Application Layer Transfer Layer 3 4 Network

More information

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드] Catalyst Switch Infrastructure Protection Cisco Systems Korea SE 이충용 (choolee@cisco.com) Overview DoS (Denial of Service) 공격대상 - Server Resource - Network Resource - Network devices (Routers, Firewalls

More information

SMB_ICMP_UDP(huichang).PDF

SMB_ICMP_UDP(huichang).PDF SMB(Server Message Block) UDP(User Datagram Protocol) ICMP(Internet Control Message Protocol) SMB (Server Message Block) SMB? : Microsoft IBM, Intel,. Unix NFS. SMB client/server. Client server request

More information

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트워크주소와 브로드캐스트주소를설명할수있다. 학습내용 1 : IP 헤더필드구성 1. Network Layer Fields 2. IP 헤더필드의구성 1)

More information

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt L4-7 Switch 기본교육자료 Pumpkin Networks. Inc. http://www.pumpkinnet.co.kr (Tel) 02-3280-9380 (Fax) 02-3280-9382 info@pumpkinnet.co.kr 기본개념 L4/L7 Switch 란? -2- 기본개념 - Switching & Routing Switching & Routing

More information

ATXEVZTBNXGP.hwp

ATXEVZTBNXGP.hwp CCNA : 라우터및스위치설정방법총정리 - 1 - < 내용구성 > 1. 기본설정 - 3 Page 1) 패스워드설정 2) 편리한기능설정 3) 자주사용하는명령어들 4) 단축키설정 2. 정적라우팅 - 4 Page 1) 넥스트-홉 IP 주소지정 2) 데이터가나가는발신인터페이스지정 3) 정적경로신뢰도 (Administrative Distance) 변경 4) 정적경로삭제

More information

UDP Flooding Attack 공격과 방어

UDP Flooding Attack 공격과 방어 황 교 국 (fullc0de@gmail.com) SK Infosec Co., Inc MSS Biz. Security Center Table of Contents 1. 소개...3 2. 공격 관련 Protocols Overview...3 2.1. UDP Protocol...3 2.2. ICMP Protocol...4 3. UDP Flood Test Environment...5

More information

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개 토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개의네트워크를모두분리하고자동으로 IP를할당하도록설정하려합니다. * 라우터와서버를포함한모든 PC는이전의네트워크설정이되어있습니다.

More information

Subnet Address Internet Network G Network Network class B networ

Subnet Address Internet Network G Network Network class B networ Structure of TCP/IP Internet Internet gateway (router) Internet Address Class A Class B Class C 0 8 31 0 netid hostid 0 16 31 1 0 netid hostid 0 24 31 1 1 0 netid hostid Network Address : (A) 1 ~ 127,

More information

Microsoft PowerPoint - ch15.ppt

Microsoft PowerPoint - ch15.ppt chapter 15. CCNA 준비 -1- 학습목표 CCNA 시험대비총정리 -2- OSI 계층별특징 -3- 데이터의인캡슐레이션 -4- TCP/IP 모델과 OSI 계층모델의대응 -5- 캐이블 내 용 동축 STP UTP 광 대역폭 10-100 100-1G -10G 매체크기 큼 보통 작음 작음 전자기장애 작음 작음 큼 없음 최대길이 500m 100m 100m 100km

More information

Microsoft Word Question.doc

Microsoft Word Question.doc 1. Switching 1. Frame-relay 구성 PVC만을사용할수있으며어떠한 Dynamic Circuit도허용되지않는다. FR 구간을설정하시오 A. R3, R4, R5를제외한나머지 Router에서는 Sub interface를사용할수없다. B. R4, R5는 FR point-to-point로구성하고, R3는 multipoint로구성하되반드시 subinterface를이용하여구성하시오.

More information

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 / 팀장나병윤!dewymoon@pgpnet.com 주요내용 시스템모니터링! 패킷크기와장비의 CPU 및 Memory 사용량! SNMP를장비의상태관찰 비정상적인트래픽모니터링! Packet 분석기의다양한트래픽모니터링도구를이용한비정상적인트래픽관찰!

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

untitled

untitled CAN BUS RS232 Line Ethernet CAN H/W FIFO RS232 FIFO IP ARP CAN S/W FIFO TERMINAL Emulator COMMAND Interpreter ICMP TCP UDP PROTOCOL Converter TELNET DHCP C2E SW1 CAN RS232 RJ45 Power

More information

Windows 8에서 BioStar 1 설치하기

Windows 8에서 BioStar 1 설치하기 / 콘텐츠 테이블... PC에 BioStar 1 설치 방법... Microsoft SQL Server 2012 Express 설치하기... Running SQL 2012 Express Studio... DBSetup.exe 설정하기... BioStar 서버와 클라이언트 시작하기... 1 1 2 2 6 7 1/11 BioStar 1, Windows 8 BioStar

More information

슬라이드 제목 없음

슬라이드 제목 없음 2006-11-02 경북대학교컴퓨터공학과 1 제 8 장인터넷프로토콜 : IP 데이터그램 단편화 검사합 옵션 IP 설계 IP 프로토콜 2006-11-02 경북대학교컴퓨터공학과 2 2006-11-02 경북대학교컴퓨터공학과 3 네트워크계층프로토콜 IP (Internet Protocol) TCP/UDP 세그먼트를받아서패킷별로경로선택 ICMP (Internet Control

More information

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University Outline Network Network 구조 Source-to-Destination 간 packet 전달과정 Packet Capturing Packet Capture 의원리 Data Link Layer 의동작 Wired LAN Environment

More information

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로

ARP(Address Resolution Protocol) ARP - Layer 2 계층, Ethernet 환경에서 Destination IP 에대한 MAC Address 변환동작을담당한다. - 논리주소 (IP) 를물리주소 (MAC) 로변환시켜주는프로토콜이다. - 서로 Analysis is ARP Spoofing Index 1. ARP ARP ARP 동작방식 ARP Cache ARP Packet 2. ARP Spoofing ARP Spoofing의원리 ARP Spoofing의동작방식 ARP Spoofing 공격테스트 3. 4. ARP Spoofing 의공격징후 PC Switch ARP Spoofing 방어, 대책 PC Switch

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 5 장 데이터송수신 (3) 1 파일전송메시지구성예제 ( 고정크기메시지 ) 전송방식 : 고정크기 ( 바이너리전송 ) 필요한전송정보 파일이름 ( 최대 255 자 => 255byte 의메모리공간필요 ) 파일크기 (4byte 의경우최대 4GB 크기의파일처리가능 ) 파일내용 ( 가변길이, 0~4GB 크기 ) 메시지구성 FileName (255bytes)

More information

hd1300_k_v1r2_Final_.PDF

hd1300_k_v1r2_Final_.PDF Starter's Kit for HelloDevice 1300 Version 11 1 2 1 2 3 31 32 33 34 35 36 4 41 42 43 5 51 52 6 61 62 Appendix A (cross-over) IP 3 Starter's Kit for HelloDevice 1300 1 HelloDevice 1300 Starter's Kit HelloDevice

More information

운영체제실습_명령어

운영체제실습_명령어 운영체제실습 리눅스네트워크기본개념및설정 서 기옥 Contents 네트워크용어정의 IP 주소 네트워크기본명령어 네트워크관리명령어 네트워크설정파일 telnet 서버설정 네트워크용어정의 네트워크 (Network) : 전자적으로데이터를주고받기위한목적으로연결된 2 개이상의컴퓨터시스템 IP 주소와 Ethernet 주소 IP 주소 : 네트워크에연결된시스템을구분하는소프트웨어적인주소

More information

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신

2. 인터네트워킹 서로떨어져있는각각의수많은네트워크들을연결하여하나의네트워크처럼연결하여사용할수있도록해주는것 3. 인터네트워킹에필요한장비 1 리피터 (Repeater) - 데이터가전송되는동안케이블에서신호의손실인감쇄 (Attenuation) 현상이발생하는데, 리피터는감쇄되는신 1 주차 3 차시 TCP/IP 학습목표 1. TCP/IP 개요및인터네트워킹에필요한장비에대해설명할수있다. 2. TCP/IP 프로토콜계층구조를구분하고계층구조에서의전송을설명할수있다. 학습내용 1 : TCP/ IP 개요및인터네트워킹 1. TCP/IP 개요 - 1960 년대중반에연구기관들의대형컴퓨터들은독립실행형장비였음 - 미국방성의 ARPA(Advanced Research

More information

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

TTA Verified : HomeGateway :, : (NEtwork Testing Team) TTA Verified : HomeGateway :, : (NEtwork Testing Team) : TTA-V-N-05-006-CC11 TTA Verified :2006 6 27 : 01 : 2005 7 18 : 2/15 00 01 2005 7 18 2006 6 27 6 7 9 Ethernet (VLAN, QoS, FTP ) (, ) : TTA-V-N-05-006-CC11

More information

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드]

Microsoft PowerPoint - 4. 스캐닝-2.ppt [호환 모드] 정보보호 Scanning 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP주소만목록화 현재동작중인시스템확인 ping Echo request 메시지를강제종료전까지계속전송 Echo request 메시지를 4 개전송후, 자동으로종료 Ping - ICMP(Internet Control messaging Protocol)

More information

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation

1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation 1. What is AX1 AX1 Program은 WIZnet 사의 Hardwired TCP/IP Chip인 iinchip 들의성능평가및 Test를위해제작된 Windows 기반의 PC Program이다. AX1은 Internet을통해 iinchip Evaluation Board(EVB B/D) 들과 TCP/IP Protocol로연결되며, 연결된 TCP/IP

More information

Microsoft PowerPoint _TCP_IP

Microsoft PowerPoint _TCP_IP 네트워크 2007 년상반기 1 의개념 (ransmission Control Protocol / Internet Protocol) -는네트워크를상호연결시켜정보를전송할수있도록하는기능을가진다수의 프로토콜이모여있는프로토콜집합임. - 의가장대표적인프로토콜은 3 계층의 IP 와 4 계층의 CP 로대부분의응용서비스가 CP 상 에서이루어지나, 최근인터넷의단점을보완하기위해

More information

슬라이드 1

슬라이드 1 1 Chapter 9 ICMPv4 Objectives ICMP 의필요성 ICMP 메시지종류 오류보고메시지의목적과형식 질의메시지의목적과형식 ICMP 에서의검사합계산 ICMP 를사용하는디버깅도구들 ICMP 패키지의구성요소및모듈 2 목차 개요 메시지 디버깅 ICMP 패키지 3 9.1 개요 IP 프로토콜의문제점 신뢰성이없고비연결형데이터그램전달제공 최선의노력전달서비스

More information

Microsoft Word - release note-VRRP_Korean.doc

Microsoft Word - release note-VRRP_Korean.doc VRRP (Virtual Router Redundancy Protocol) 기능추가 Category S/W Release Version Date General 7.01 22 Dec. 2003 Function Description VRRP 는여러대의라우터를그룹으로묶어하나의가상 IP 어드레스를부여해마스터로지정된라우터장애시 VRRP 그룹내의백업라우터가마스터로자동전환되는프로토콜입니다.

More information

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론 2. 관련연구 2.1 MQTT 프로토콜 Fig. 1. Topic-based Publish/Subscribe Communication Model. Table 1. Delivery and Guarantee by MQTT QoS Level 2.1 MQTT-SN 프로토콜 Fig. 2. MQTT-SN

More information

2009년 상반기 사업계획

2009년 상반기 사업계획 네트워크계층프로토콜 쉽게배우는데이터통신과컴퓨터네트워크 학습목표 IPv6의필요성과헤더구조를이해한다. 이동 IP 프로토콜의터널링원리를이해한다. ARP/RARP의필요성을이해한다. ICMP의헤더와제어메시지를이해한다. IGMP의헤더와멀티캐스트그룹관리방식을이해한다. 2/27 1 절. IPv6 주소공간확장 IPv4의 32 비트에서 128 비트로확장 최대 2 128 개의호스트를지원

More information

(SW3704) Gingerbread Source Build & Working Guide

(SW3704) Gingerbread Source Build & Working Guide (Mango-M32F4) Test Guide http://www.mangoboard.com/ http://cafe.naver.com/embeddedcrazyboys Crazy Embedded Laboratory www.mangoboard.com cafe.naver.com/embeddedcrazyboys CRZ Technology 1 Document History

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 14 장. 웹 (WWW) (3) - HTTP 1 이번시간의학습목표 HTTP 의요청 / 응답메시지의구조와동작원리이해 2 요청과응답 (1) HTTP (HyperText Transfer Protocol) 웹브라우저는 URL 을이용원하는자원표현 HTTP 메소드 (method) 를이용하여데이터를요청 (GET) 하거나, 회신 (POST) 요청과응답 요청

More information

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770>

< F5320B4EBC0C0C0E5BAF1BFA120B4EBC7D120BAB8BEC8B1E2B4C920B0A1C0CCB5E528C3D6C1BE292E687770> DDoS 대응장비보안기능요구사항 2010. 1 IT 보안인증사무국 목차 1. 소개 1 1.1 참고 1 1.2 목적및범위 1 1.3 문서구조 2 2. DDoS 공격유형및대응기술 3 2.1 DDoS 공격유형 3 2.2 DDoS 대응장비구성방식 6 3. DDoS 공격대응을위한보안기능 7 4. DDoS 대응장비시험방법 8 1. 1.1 소개 참조 본요구사항의식별정보는다음과같다.

More information

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 SDN DDoS (whchoi@cisco.com) Cisco Systems Korea 2008 Cisco Systems, Inc. All rights reserved. 1 Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2 Cisco SDN 3.0

More information

제20회_해킹방지워크샵_(이재석)

제20회_해킹방지워크샵_(이재석) IoT DDoS DNS (jaeseog@sherpain.net) (www.sherpain.net) DDoS DNS DDoS / DDoS(Distributed DoS)? B Asia Broadband B Bots connect to a C&C to create an overlay network (botnet) C&C Provider JP Corp. Bye Bye!

More information

1217 WebTrafMon II

1217 WebTrafMon II (1/28) (2/28) (10 Mbps ) Video, Audio. (3/28) 10 ~ 15 ( : telnet, ftp ),, (4/28) UDP/TCP (5/28) centralized environment packet header information analysis network traffic data, capture presentation network

More information

슬라이드 제목 없음

슬라이드 제목 없음 2006-09-27 경북대학교컴퓨터공학과 1 제 5 장서브넷팅과슈퍼넷팅 서브넷팅 (subnetting) 슈퍼넷팅 (Supernetting) 2006-09-27 경북대학교컴퓨터공학과 2 서브넷팅과슈퍼넷팅 서브넷팅 (subnetting) 하나의네트워크를여러개의서브넷 (subnet) 으로분할 슈퍼넷팅 (supernetting) 여러개의서브넷주소를결합 The idea

More information

SRC PLUS 제어기 MANUAL

SRC PLUS 제어기 MANUAL ,,,, DE FIN E I N T R E A L L O C E N D SU B E N D S U B M O TIO

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 네트워크기말고사실무과제 91716880 윤솔비 91707815 송유진 I n d e x 01/ 전체토폴로지 02/ 정적경로설정 03/ RIPv2 04/ EIGRP 05/ OSPF 06/ VLAN 07/ VTP 08/ STP 09/ 무선LAN 10/ WAN 11/ VPN 12/ DHCP 13/ NAT 1. 전체토폴로지 1. 전체토폴로지 RIP OSPF EIGRP

More information

최종연습 LAN2 1. 호스트이름, enable 패스워드변경 ( 토폴로지참고 ) - 스위치와라우터의 MD5로암호화된 enable passwod : Cisco123 가. 스위치이름 : SW1, SW2 나. 라우터이름 : RT Switch(config)#hostname S

최종연습 LAN2 1. 호스트이름, enable 패스워드변경 ( 토폴로지참고 ) - 스위치와라우터의 MD5로암호화된 enable passwod : Cisco123 가. 스위치이름 : SW1, SW2 나. 라우터이름 : RT Switch(config)#hostname S 1. 호스트이름, enable 패스워드변경 ( 토폴로지참고 ) - 스위치와라우터의 MD5로암호화된 enable passwod : Cisco123 가. 스위치이름 : SW1, SW2 나. 라우터이름 : RT Switch(config)#hostname SW1 SW1(config)#enable secret Cisco123 Switch(config)#hostname

More information

4. IP 설정호스트 인터페이스 IP/ 프리픽스 게이트웨이 lock Rate fa 0/ /25 - fa 0/0 R1 fa 0/ /26 - s 0/0/ / ISP fa 0/0

4. IP 설정호스트 인터페이스 IP/ 프리픽스 게이트웨이 lock Rate fa 0/ /25 - fa 0/0 R1 fa 0/ /26 - s 0/0/ / ISP fa 0/0 1. hostname/ 패스워드설정 - 라우터 R1, ISP 이름을토폴로지와동일하게변경 - 스위치 S1의이름을토폴로지와동일하게변경 - 모든네트워크장비들의비밀번호를 "isco123" 으로하되, MD5 알고리즘에의해암호화되어저장되어야함. 2. 텔넷및콘솔설정 ( 모든네트워크장비 ) - 콘솔과텔넷접속을허용하되, 텔넷의경우 10개까지접속을허용하도록설정함 - 콘솔과텔넷의비밀번호

More information

VPN.hwp

VPN.hwp Linksys VPN Router RV042&RV082 VPN Router 용 VPN 터널설정 한국어사용자설명서 V1.0 Table of Content 1 Gateway to Gateway 설정... 1 STEP 1 - Gateway to Gateway 터널생성하기... 1 STEP 2 - 터널정보입력하기... 1 STEP 3 - Gateway to Gateway

More information

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC Step 1~5. Step, PC, DVR Step 1. Cable Step

More information

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D20BBB7BBB7C7D15F FBEDFB0A3B1B3C0B05FC1A638C0CFC2F72E BC8A3C8AF20B8F0B5E55D> 뻔뻔한 AVR 프로그래밍 The Last(8 th ) Lecture 유명환 ( yoo@netplug.co.kr) INDEX 1 I 2 C 통신이야기 2 ATmega128 TWI(I 2 C) 구조분석 4 ATmega128 TWI(I 2 C) 실습 : AT24C16 1 I 2 C 통신이야기 I 2 C Inter IC Bus 어떤 IC들간에도공통적으로통할수있는 ex)

More information

Microsoft PowerPoint - ch07.ppt

Microsoft PowerPoint - ch07.ppt chapter 07. 시스코라우터기본동작 한빛미디어 -1- 학습목표 시스코라우터외적, 내적구성요소 시스코라우터부팅단계 시스코라우터명령어모드 한빛미디어 -2- 시스코라우터구성요소 라우터외부구성요소 (1) [ 그림 ] 2600 라우터전면도 인터페이스카드 전원부 LED 라우터조건 한빛미디어 -3- 시스코라우터구성요소 라우터외부구성요소 (2) [ 그림 ] VTY 를이용한라우터접속

More information

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E >

<4D F736F F F696E74202D E20B3D7C6AEBFF6C5A920C7C1B7CEB1D7B7A1B9D62E > 웹프로그래밍및실습 ( g & Practice) 문양세강원대학교 IT 대학컴퓨터과학전공 소켓 (Socket) (1/2) Socket 이란? 서버와클라이언트가서로특정한규약을사용하여데이터를전송하기위한방식 서버와클라이언트는소켓연결을기다렸다가소켓이연결되면서로데이터를전송 현재네트워크상에서의모든통신의근간은 Socket 이라할수있음 Page 2 1 소켓 (Socket) (2/2)

More information

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770>

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D313939392D382E687770> i ii iii iv v vi 1 2 3 4 가상대학 시스템의 국내외 현황 조사 가상대학 플랫폼 개발 이상적인 가상대학시스템의 미래상 제안 5 웹-기반 가상대학 시스템 전통적인 교수 방법 시간/공간 제약을 극복한 학습동기 부여 교수의 일방적인 내용전달 교수와 학생간의 상호작용 동료 학생들 간의 상호작용 가상대학 운영 공지사항,강의록 자료실, 메모 질의응답,

More information

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren

[ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawren [ tcpdump 패킷캡처프로그램 ] tcpdump란? tcpdump 버전확인 tcpdump 플래그 (flags) tcpdump 사용법 tcpdump의사용예제 telnet을활용해 root와 passwd 암호알아내기 [01] tcpdump란? tcpdump는 Lawrence Berkley Nation Lab의 Network Rearch Gruop에서만든것으로네트워크의패킷을출력해주는프로그램이다.

More information

슬라이드 1

슬라이드 1 네트워크기초 피터전 1 차례 1. IOS 기초 2. IP 주소 3. LAN 토폴로지구성 4. WAN 토폴로지구성 2 1. IOS 기초 3 차례 IOS 명령어모드 IOS 도움말기능 기본설정 4 IOS 명령어모드 5 대화식설정모드 공장출하시 관리자모드에서 setup 명령어사용 설정레지스터의끝에서두번째값이 0X2142처럼 4 일때 설정파일을삭제한후재부팅할때 불편하여잘사용하지않음

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 얇지만얇지않은 TCP/IP 소켓프로그래밍 C 2 판 4 장 UDP 소켓 제 4 장 UDP 소켓 4.1 UDP 클라이언트 4.2 UDP 서버 4.3 UDP 소켓을이용한데이터송싞및수싞 4.4 UDP 소켓의연결 UDP 소켓의특징 UDP 소켓의특성 싞뢰할수없는데이터젂송방식 목적지에정확하게젂송된다는보장이없음. 별도의처리필요 비연결지향적, 순서바뀌는것이가능 흐름제어 (flow

More information

The Pocket Guide to TCP/IP Sockets: C Version

The Pocket Guide to  TCP/IP Sockets: C Version 인터넷프로토콜 03 장 도메인네임시스템과주소 패밀리 (IPv4-IPv6 서비스 ) 1 목차 제 3 장도메인네임시스템과주소패밀리 3.1 도메인네임주소를숫자주소로매핑하기 3.2 IP 버전에무관한주소-범용코드의작성 3.3 숫자주소에서도메인네임주소획득하기 2 getaddrinfo() 를활용한주소 범용 (Generic) 코드 주소범용 (Generic) 코드란? 주소버전

More information

OSI 참조 모델과 TCP/IP

OSI 참조 모델과 TCP/IP TCP/IP 프로토콜분석및네트워크프로그래밍 Chapter 1: OSI 참조모델과 TCP/IP 2003. 3. 1 프로토콜 (Protocol) 표준화된통신규약 장치간의정보를송수신하기위한협정 무전기의예 Over: 송신완료통지 Roger: 수신완료통지 제 1 장 OSI 참조모델과 TCP/IP 2 OSI 참조모델 목표 이기종컴퓨터간에도통신이가능한개방형시스템 상호접속모델제시

More information

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지

2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지 PX-8000 SYSTEM 8 x 8 Audio Matrix with Local Control 2 PX-8000과 RM-8000/LM-8000등의 관련 제품은 시스템의 간편한 설치와 쉬운 운영에 대한 고급 기술을 제공합니다. 또한 뛰어난 확장성으로 사용자가 요구하는 시스템을 손쉽게 구현할 수 있습니다. 메인컨트롤러인 PX-8000의 BGM입력소스를 8개의 로컬지역에

More information

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS ( PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (http://ddns.hanwha-security.com) Step 1~5. Step, PC, DVR Step 1. Cable Step

More information

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드] 정보보호 Scanning (1) 목차 Ⅳ. 스캐닝 (Scanning) 1. 활성화된호스트식별 ping 침투테스트범위에있는 IP 주소만목록화 현재동작중인시스템확인 Ping - ICMP(Internet Control messaging Protocol) 패킷을사용 - echo request, echo reply 패킷 - target 시스템이 off상태이거나, ICMP패킷을차단하는경우

More information

ARMBOOT 1

ARMBOOT 1 100% 2003222 : : : () PGPnet 1 (Sniffer) 1, 2,,, (Sniffer), (Sniffer),, (Expert) 3, (Dashboard), (Host Table), (Matrix), (ART, Application Response Time), (History), (Protocol Distribution), 1 (Select

More information

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 - Quick Network Setup Guide xdsl/cable Modem PC DVR ~3.., PC, DVR. Cable IP Cable/ADSL/ VDSL or 3 4 VIDEO OUT (SPOT) AUDIO IN VGA ALARM OUT COM ALARM IN RS-485 3 4 G G + 3 CONSOLE NETWORK DC V VIDEO IN VIDEO

More information

untitled

untitled Oracle DBMS 로그인의접근제어우회 취약점분석 2006. 2. 9 인터넷침해사고대응지원센터 (KISC) 본보고서의전부나일부를인용시반드시 [ 자료 : 한국정보보호진흥원 (KISA)] 룰명시하여주시기바랍니다. 개요 o 2005년이후 Oracle Critical Patch Update(CPU) 는 Oracle사제품대상으로다수의보안패치및보안패치와관련된일반패치를발표하는주요수단임

More information

Microsoft PowerPoint - 06-IPAddress [호환 모드]

Microsoft PowerPoint - 06-IPAddress [호환 모드] Chapter 06 IP Address IP Address Internet address IP 계층에서사용되는식별자 32 bit 2 진주소 The address space of IPv4 is 2 32 or 4,294,967,296 netid 와 hostid 로구분 인터넷에서호스트와라우터를유일하게구분 IP Address Structure 2-Layer Hierarchical

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 (Host) set up : Linux Backend RS-232, Ethernet, parallel(jtag) Host terminal Target terminal : monitor (Minicom) JTAG Cross compiler Boot loader Pentium Redhat 9.0 Serial port Serial cross cable Ethernet

More information

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode]

Microsoft PowerPoint - Lecture_Note_5.ppt [Compatibility Mode] TCP Server/Client Department of Computer Engineering Kyung Hee University. Choong Seon Hong 1 TCP Server Program Procedure TCP Server socket() bind() 소켓생성 소켓번호와소켓주소의결합 listen() accept() read() 서비스처리, write()

More information

컴퓨터네트워크와인터넷 컴퓨터네트워크 Copyright by Tommy Kwon on August, 2010 Copyright by Tommy Kwon on August, 통신 정보전송시스템의구성과역할, 원리 l 원격지간에정보를잘전송하고처

컴퓨터네트워크와인터넷 컴퓨터네트워크 Copyright by Tommy Kwon on August, 2010 Copyright by Tommy Kwon on August, 통신 정보전송시스템의구성과역할, 원리 l 원격지간에정보를잘전송하고처 컴퓨터네트워크와인터넷 컴퓨터네트워크 Copyright by Tommy Kwon on August, 00 Copyright by Tommy Kwon on August, 00 통신 정보전송시스템의구성과역할, 원리 l 원격지간에정보를잘전송하고처리하기위하여, 여러구 성요소를상호유기적으로결합한시스템 정보전송시스템 ( 데이터전송계 ) 정보전송부 정보처리시스템 ( 데이터처리계

More information

Chapter11OSPF

Chapter11OSPF OSPF 111 OSPF Link state Interior Gateway Protocol OSPF 1988 IETF OSPF workgroup OSPF RFC 2383 version 2 Chapter OSPF Version 2 OSPFIGP AS 1 1111 Convergence Traffic Distance Vector Link state OSPF (Flooding),

More information

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ②

[QoS 강좌] QoS에서의 혼잡 회피 적용과 이해 ② [QoS 강좌 ] QoS 에서의혼잡회피적용과이해 2 지난 4 번의강좌를통해 QoS 의전체적인그림을그려봤다. 이제부터는세부적인튜닝으로들어가 QoS 혼잡예방을 위한다양한메커니즘에대해알아보자. 이번호에는 TCP 프로토콜의혼잡제어메커니즘의작동방법과테일드롭시 어떤문제점이있는지, QoS 에서는어떻게적용하는지살펴볼것이다. 특히이론적으로중요한 TCP 혼잡제어 메커니즘, 글로벌싱크로나이제이션,

More information

Secure Programming Lecture1 : Introduction

Secure Programming Lecture1 : Introduction Malware and Vulnerability Analysis Lecture4-1 Vulnerability Analysis #4-1 Agenda 웹취약점점검 웹사이트취약점점검 HTTP and Web Vulnerability HTTP Protocol 웹브라우저와웹서버사이에하이퍼텍스트 (Hyper Text) 문서송수신하는데사용하는프로토콜 Default Port

More information

歯규격(안).PDF

歯규격(안).PDF ETRI ETRI ETRI ETRI WTLS PKI Client, WIM IS-95B VMS VLR HLR/AC WPKI Cyber society BTS BSC MSC IWF TCP/IP Email Server Weather Internet WAP Gateway WTLS PKI Client, WIM BSC VMS VLR HLR/AC Wireless Network

More information

Microsoft PowerPoint - ch10.ppt

Microsoft PowerPoint - ch10.ppt chapter 10. 라우팅프로토콜설정 한빛미디어 -1- 학습목표 시스코라우터의스태틱라우팅설정 시스코라우터의 RIP 설정 시스코라우터의 IGRP 설정 시스코라우터의 EIGRP 설정 시스코라우터의 OSPF 설정 한빛미디어 -2- 시스코라우터의스태틱라우팅설정 스태틱라우팅 루트 (route) / 라우팅테이블 스태틱라우팅예 [ 그림 ] 스태틱라우팅예 (1) 한빛미디어

More information

게시판 스팸 실시간 차단 시스템

게시판 스팸 실시간 차단 시스템 오픈 API 2014. 11-1 - 목 차 1. 스팸지수측정요청프로토콜 3 1.1 스팸지수측정요청프로토콜개요 3 1.2 스팸지수측정요청방법 3 2. 게시판스팸차단도구오픈 API 활용 5 2.1 PHP 5 2.1.1 차단도구오픈 API 적용방법 5 2.1.2 차단도구오픈 API 스팸지수측정요청 5 2.1.3 차단도구오픈 API 스팸지수측정결과값 5 2.2 JSP

More information

Sena Device Server Serial/IP TM Version

Sena Device Server Serial/IP TM Version Sena Device Server Serial/IP TM Version 1.0.0 2005. 3. 7. Release Note Revision Date Name Description V1.0.0 2005-03-7 HJ Jeon Serial/IP 4.3.2 ( ) 210 137-130, : (02) 573-5422 : (02) 573-7710 email: support@sena.com

More information

Assign an IP Address and Access the Video Stream - Installation Guide

Assign an IP Address and Access the Video Stream - Installation Guide 설치 안내서 IP 주소 할당 및 비디오 스트림에 액세스 책임 본 문서는 최대한 주의를 기울여 작성되었습니다. 잘못되거나 누락된 정보가 있는 경우 엑시스 지사로 알려 주시기 바랍니다. Axis Communications AB는 기술적 또는 인쇄상의 오류에 대해 책 임을 지지 않으며 사전 통지 없이 제품 및 설명서를 변경할 수 있습니다. Axis Communications

More information

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB

1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x 16, VRAM DDR2 RAM 256MB Revision 1.0 Date 11th Nov. 2013 Description Established. Page Page 1 of 9 1. GigE Camera Interface를 위한 최소 PC 사양 CPU : Intel Core 2 Duo, 2.4GHz이상 RAM : 2GB 이상 LANcard : Intel PRO/1000xT 이상 VGA : PCI x

More information

제목 레이아웃

제목 레이아웃 웹해킹이라고무시하는것들보소 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM SQL Injection 끝나지않은위협 2017.07.10 RUBIYA805[AT]GMAIL[DOT]COM Who am I 정도원 aka rubiya Penetration tester Web application bughuter Pwned 20+ wargame @kr_rubiya

More information

Microsoft PowerPoint - 04-UDP Programming.ppt

Microsoft PowerPoint - 04-UDP Programming.ppt Chapter 4. UDP Dongwon Jeong djeong@kunsan.ac.kr http://ist.kunsan.ac.kr/ Dept. of Informatics & Statistics 목차 UDP 1 1 UDP 개념 자바 UDP 프로그램작성 클라이언트와서버모두 DatagramSocket 클래스로생성 상호간통신은 DatagramPacket 클래스를이용하여

More information

네트워크연결매뉴얼 SRP-Q300/302 감열식프린터 Rev

네트워크연결매뉴얼 SRP-Q300/302 감열식프린터 Rev 네트워크연결매뉴얼 감열식프린터 Rev. 1.00 http://www.bixolon.com 목차 1. 매뉴얼안내... 3 2. 주의사항... 3 3. 연결방법... 4 3-1 Android Soft AP 모드... 7 3-2 ios Soft AP 모드... 8 3-3 Infrastructure 모드로변경하는방법... 9 4. 설정초기화... 11 Rev. 1.00-2

More information

슬라이드 1

슬라이드 1 네트워크 기말고사 91613624 김민경 91613739 백수연 1 목차 1. 전체토폴로지 2. 정적경로설정 3. VPN 4. PPP-PAP / CHAP 7. Port-Security 8. VTP / STP 9. 무선 LAN 10. DHCP 5. Frame-Relay 11. NAT 6. VLAN 2 1. 전체토폴로지 3 1. 전체토폴로지 ( RIP, EIGRP,

More information

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_ Sena Technologies 백서 : Latency/Throughput Test September 11, 2008 Copyright Sena Technologies, Inc 2008 All rights strictly reserved. No part of this document may not be reproduced or distributed without

More information

정보보안 개론과 실습:네트워크

정보보안 개론과 실습:네트워크 풋프린팅과스캐닝 영동대학교스마트 IT 학부 : 컴퓨터와해킹 이호준 hjlee@yd.ac.kr Contents 학습목표 풋프린팅 (footprinting) 이무엇인지안다. 포트와서비스의관계를이해한다. 다양한스캔기술을이해하고실행할수있다. 방화벽과 IDS를탐지할수있다. 운영체제를탐지할수있다. 내용 풋프린팅 (Footprinting) 스캔 운영체제의탐지 방화벽과침입탐지시스템의탐지

More information

CCNA security.hwp

CCNA security.hwp - 1 - 기술문서 10. 07. 23. 작성 CCNA security ( 네트워크보안가이드 ) 작성자 : 영남대학교정보보호연구학회 @Xpert 변규석 crsarang@ynu.ac.kr - 2 - - 목차 - - 목적 3 - 설정방법 4 1. 불필요한서비스제거 4 2. PASSWORD 설정 4 가. 글로벌모드 PASSWORD 설정 4 나. 콘솔 PASSWORD

More information

Windows Server 2012

Windows Server  2012 Windows Server 2012 Shared Nothing Live Migration Shared Nothing Live Migration 은 SMB Live Migration 방식과다른점은 VM 데이터파일의위치입니다. Shared Nothing Live Migration 방식은 Hyper-V 호스트의로컬디스크에 VM 데이터파일이위치합니다. 반면에, SMB

More information

Microsoft PowerPoint - Supplement-03-TCP Programming.ppt [호환 모드]

Microsoft PowerPoint - Supplement-03-TCP Programming.ppt [호환 모드] - Socket Programming in Java - 목차 소켓소개 자바에서의 TCP 프로그램작성방법 주요클래스와메소드 HTTP 프로토콜을이용한예제 에코프로그램 Q/A 에코프로그램 - EchoServer 에코프로그램 - EchoClient TCP Programming 1 소켓소개 IP, Port, and Socket 포트 (Port): 전송계층에서통신을수행하는응용프로그램을찾기위한주소

More information

OPCTalk for Hitachi Ethernet 1 2. Path. DCOMwindow NT/2000 network server. Winsock update win95. . . 3 Excel CSV. Update Background Thread Client Command Queue Size Client Dynamic Scan Block Block

More information