Microsoft PowerPoint - ch13.ppt

Similar documents
본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Microsoft PowerPoint - ch10.ppt

Microsoft PowerPoint - ch15.ppt

토폴로지 2( 풀이 ) 1. 요구사항 가. 주어진자료 ( 토폴로지 2.pka) 를참고하여네트워크구성작업을완성하시오. 2. 작업내용가. 설명 - 현재토폴로지에이미통신이가능한모든설정이되어있습니다. - 그러나, 보안문제로지금부터주어진조건으로설정을다시하고자합니다. - 총 4개

Microsoft PowerPoint - 2.Catalyst Switch Intrastructure Protection_이충용_V1 0.ppt [호환 모드]

untitled

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

bn2019_2

4. 스위치재부팅을실시한다. ( 만약, Save 질문이나오면 'no' 를실시한다.) SWx#reload System configuration has been modified. Save? [yes/no]: no Proceed with reload? [confirm] (

Microsoft Word - access-list.doc

Microsoft PowerPoint - ch07.ppt

Microsoft PowerPoint - 06-IPAddress [호환 모드]

[ 네트워크 1] 3 주차 1 차시. IPv4 주소클래스 3 주차 1 차시 IPv4 주소클래스 학습목표 1. IP 헤더필드의구성을파악하고요약하여설명할수있다. 2. Subnet ID 및 Subnet Mask 를설명할수있고, 각클래스의사용가능한호스트수와사설 IP 주소및네트

Microsoft Word - NAT_1_.doc

Network seminar.key

hd1300_k_v1r2_Final_.PDF

ACL(Access Control List) 네트워크에서전송되는트래픽을제어하는것은보안적인관점에서중요한이슈이다. 이때, ACL 은트래픽필 터링과방화벽을구축하는데가장중요한요소일뿐만아니라, 라우팅환경에서서브넷과호스트를정의하는 경우에도중요한요소가된다. ACL 개요 ACL은라우

GRE(Generic Routing Encapsulation) GRE는 Cisco에서개발한터널링프로토콜으로써특정네트워크망에서새로운 IP 헤더를인캡슐레이션하여패켓을전송하는 VPN 기능을제공한다. GRE 터널링을이용하여패켓을전송하면, 데이터를암호화하지않기때문에보안적으로는취

제20회_해킹방지워크샵_(이재석)

슬라이드 제목 없음

PWR PWR HDD HDD USB USB Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl Cable PC PC DDNS (

SMB_ICMP_UDP(huichang).PDF

서버설정 1. VLAN 설정 1.1 토폴로지를참고로 SW1 에 vlan 설정을한다. (vlan 이름을설정하고해당인터페이스에 vlan 이름과동일한코멘트를처리하시오.) 1.2 PC에토폴로지에부여된 IP를설정하고, 게이트웨이는네트워크의마지막주소를사용합니다. - 서버에는 DN

TCP.IP.ppt

Microsoft Word - How to make a ZigBee Network_kr

시스코 무선랜 설치운영 매뉴얼(AP1200s_v1.1)

운영체제실습_명령어

Sena Device Server Serial/IP TM Version

Assign an IP Address and Access the Video Stream - Installation Guide

PowerPoint 프레젠테이션

UDP Flooding Attack 공격과 방어

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

정보기기운용기능사모의고사 1 풀이 1. 기억하세요. 가. 명령어가생각나지않을때? 를입력하세요. 나. 명령어앞의 2~3글자를쓰고탭 (Tab) 키를누르세요. 그러면자동으로완성됩니다. 다. 파일을열고곧바로 [File-SaveAs] 눌러서파일이름을 비번호 로바꿔저장하세요. 2

USB USB DV25 DV25 REC SRN-475S REC SRN-475S LAN POWER LAN POWER Quick Network Setup Guide xdsl/cable Modem PC DVR 1~3 1.. DVR DVR IP xdsl Cable xdsl C

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

TTA Verified : HomeGateway :, : (NEtwork Testing Team)

chapter4


AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY

6강.hwp

슬라이드 1

Chapter11OSPF


OSI 참조 모델과 TCP/IP

Remote UI Guide

Cisco SDN 3.0 DDoS DDoS Cisco DDoS Real Demo 2008 Cisco Systems, Inc. All rights reserved. 2

ATXEVZTBNXGP.hwp

歯Cablexpert제안서.PDF

ORANGE FOR ORACLE V4.0 INSTALLATION GUIDE (Online Upgrade) ORANGE CONFIGURATION ADMIN O

Microsoft Word Question.doc

슬라이드 1

CLX8380_KR.book

네트워크 안정성을 지켜줄 최고의 기술과 성능 TrusGuard는 국내 최초의 통합보안솔루션으로서 지난 5년간 약 4천여 고객 사이트에 구축 운영되면서 기술의 안정성과 성능면에서 철저한 시장 검증을 거쳤습니다. 또한 TrusGuard는 단독 기능 또는 복합 기능 구동 시

Microsoft Word doc

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

Subnet Address Internet Network G Network Network class B networ

Microsoft Word - release note-VRRP_Korean.doc

cam_IG.book

Microsoft PowerPoint - 4.스캐닝-1(11.08) [호환 모드]

PowerPoint Template

untitled

dynamips

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /


VZ94-한글매뉴얼

Microsoft PowerPoint - 네트워크요약3

SRC PLUS 제어기 MANUAL

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션


Solaris System Administration

Microsoft PowerPoint - XAD-400.ppt [호환 모드]

개요 IPv6 개요 IPv6 주소 IPv4와공존 IPv6 전환기술 (Transition Technologies)

네트워크연결매뉴얼 SRP-Q300/302 감열식프린터 Rev

Windows 8에서 BioStar 1 설치하기

Solaris Express Developer Edition

PowerPoint 프레젠테이션

»ç¿ëÀÚ¸Þ´º¾ó

1. GLBP란 GLBP는 HSRP의기능을강화한 CISCO 이중화프로토콜이다. HSRP의확장인 GLBP는 virtual ip 할당을동적으로시행하고 GLBP 그룹멤버에다수의 virtual mac 주소를할당한다. ( 최대 4개 ) 캠퍼스네트워크에서 layer 3 vlan

Microsoft PowerPoint - thesis_rone.ppt

1217 WebTrafMon II

untitled

(SW3704) Gingerbread Source Build & Working Guide

소개 TeraStation 을 구입해 주셔서 감사합니다! 이 사용 설명서는 TeraStation 구성 정보를 제공합니다. 제품은 계속 업데이트되므로, 이 설명서의 이미지 및 텍스트는 사용자가 보유 중인 TeraStation 에 표시 된 이미지 및 텍스트와 약간 다를 수

WiseNet SmartCam 제품사용설명서 Copyright 2017 Hanwha Techwin Co., Ltd. All rights reserved. Trademark 여기에기재된상표는모두등록된것으로이매뉴얼에기재된이상품의이름과다른상표는각회사로부터등록된상표입니다. R

ARMBOOT 1

1

IPv6Q 현배경 > 인터넷의급속한성장 -> IP 주소의고갈 개인휴대통신장치의보급 network TV, VOD 단말기등의인터넷연결 가정용품제어장치의인터넷연결 > 새로운 IP 로의이행문제 IPv4 호스트와의호환성문제를고려하여야합 ~ IPv4 의취약점보완 QoS 지원 인증

IT 관리자가알아야할보안키포인트 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 오늘과내일 /

슬라이드 1

클라우드컴퓨팅이란? WHAT IS CLOUD COMPUTING? 2

Microsoft PowerPoint - IRC_User_Manual.ppt

Microsoft PowerPoint - LG RouterÁ¦Ç°(02-03)

(72) 발명자 서진교 경기 용인시 수지구 풍덕천2동 1167 진산마을 삼성5차아파트526동 1004호 조필제 경기 용인시 풍덕천동 유스빌 401호 - 2 -

vm-웨어-앞부속


2009년 상반기 사업계획

목차 1. 제품 소개 특징 개요 Function table 기능 소개 Copy Compare Copy & Compare Erase


VPN.hwp

Transcription:

chapter 13. 네트워크보안과 ACL 한빛미디어 -1-

학습목표 계층별네트워크보안이슈 시스코라우터의 ACL 시스코라우터의 ACL 설정 한빛미디어 -2-

계층별네트워크보안이슈 데이터링크계층보안 ARP 스푸핑 MAC 플러딩 한빛미디어 -3-

계층별네트워크보안이슈 방화벽 [ 그림 ] 방화벽구조 한빛미디어 -4-

계층별네트워크보안이슈 침입탐지시스템 (IDS) [ 그림 ] 침입탐지시스템 Intrusion Detection System (IDS) Intrusion Prevention System (IPS) 한빛미디어 -5-

계층별네트워크보안이슈 네트워크보안관련주요권고사항 (1) 패스워드의사용과주기적인변경 바이러스프로그램의업데이트 이메일의첨부파일 네트워크의보안정책의수립 서버의운영체제의보안업데이트 라우터의네트워크서비스 ( 시스코라우터 ) 한빛미디어 -6-

계층별네트워크보안이슈 네트워크보안관련주요권고사항 (2) 라우터의패스워드 ( 시스코라우터 ) 라우터의접속 ( 시스코라우터 ) 라우터의 logging( 시스코라우터 ) 스위치의패스워드 ( 시스코스위치 ) 스위치의 STP( 시스코스위치 ) 스위치의인터페이스설정 ( 시스코스위치 ) AP와인증키설정 ( 시스코스위치 ) 한빛미디어 -7-

시스코라우터의 ACL ACL(Access Control List) 의개념 ACL의용도 ACL의동작방식 ACL의동작원리 [ 그림 ] ACL 의동작원리 한빛미디어 -8-

시스코라우터의 ACL ACL(Access Control List) 동작 Inbound Outbound [ 그림 ] 아웃바운드 ACL 의동작 [ 그림 ] 인바운드 ACL 의동작 한빛미디어 -9-

시스코라우터의 ACL ACL(Access Control List) 설정방법 ACL 설정 Standard ACL과 Extend ACL IP ACL 기본 ACL 1-99 번호 확장 ACL Named 100-199 이름 (IOS 11.2 이상 ) IPX ACL 기본 ACL 확장 ACL 800-899 900-999 번호 SAP 필터 Named 1000-1099 이름 (IOS 11.2 이상 ) 한빛미디어 -10-

시스코라우터의 ACL ACL(Access Control List) 설정시주의사항 사전에모두작성한이후에적용 기본 ACL의경우목적지에가까운인터페이스에설정, 확장 ACL의경우출발지에가까운인터페이스에설정 좁은범위나빈번한조건을먼저설정한다. ACL의마지막에는 deny all이적용 사전에충분히고려되고, 테스트 인터페이스 (no ip access-group) 에서먼저삭제하고변경 한빛미디어 -11-

시스코라우터의 ACL 와일드카드마스크 (Wild card mask) 와일드카드마스크 2진수변환서브넷마스크 2진수변환의미와일드카드마스크 2진수변환서브넷마스크 2진수변환의미와일드카드마스크 2진수변환서브넷마스크 2진수변환의미 0.0.0.0 00000000 00000000 00000000 00000000 255.255.255.255 11111111 11111111 11111111 11111111 32 비트가매치. 255.255.255.255 11111111 11111111 11111111 11111111 0.0.0.0 00000000 00000000 00000000 00000000 모두무시 ( 의미없음 ) 0.0.3.255 00000000 00000000 00000011 11111111 255.255.252.0 11111111 11111111 11111100 00000000 22비트만매치 한빛미디어 -12-

기본 ACL 설정 (1) 기본 ACL로서 192.5.34.0부터 192.5.34.255의출발지주소를가진패킷만을통과시켜라. 기본 ACL로서 128.88.0.0부터 128.88.255.255의출발지주소를가진패킷만을통과시켜라. 기본 ACL로서 36.0.0.0부터 36.255.255.255의출발지주소를가진패킷만을통과시켜라. 기본 ACL로서 10.29.2.64부터 10.29.2.127의출발지주소를가진패킷만을통과시켜라. access-list 1 permit 192.5.34.0 0.0.0.255 access-list 1 permit 128.88.0.0 0.0.255.255 access-list 1 permit 36.0.0.0 0.255.255.255 access-list 1 permit 10.29.2.64 0.0.0.63 한빛미디어 -13-

기본 ACL 설정 (2) ip access group Router(config-if)#ip access-group {access-list-number access-list-name} {in out} 이더넷인터페이스 0 에 ACL 10 번을아웃바운드로설정해라. interface ethernet 0 ip access-group 10 out 한빛미디어 -14-

기본 ACL 설정예 (1) [ 그림 ] 기본 ACL 설정 (1) 192.168.1.0/24 네트워크만이외부네트워크사용 Router_A(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Router_A(config)#access-list 10 deny any Router_A(config)#interface serial0 Router_A(config-if)#ip access-group 10 out Router_A(config-if)#exit 한빛미디어 -15-

기본 ACL 설정예 (2) [ 그림 ] 기본 ACL 설정 (2) 호스트 B에서호스트 A로의접근을막는다. 호스트 D에서호스트 B로의접근을막는다. 이외에모든호스트는서로간에통신가능 한빛미디어 -16-

기본 ACL 설정예 (3) router_b(config)#access-list 10 deny host 10.0.1.10 router_b(config)#access-list 10 permit any router_b(config)#interface serial 0/0 router_b(config-if)#ip access-group 10 out router_b(config-if)#exit router_c(config)#access-list 10 deny host 10.0.2.10 router_c(config)#access-list 10 permit any router_c(config)#interface serial 0/1 router_c(config-if)#ip access-group 10 out router_c(config-if)#exit 한빛미디어 -17-

기본 ACL 설정예 (4) router_b(config)#access-list 11 deny host 10.0.1.10 router_b(config)#access-list 11 permit any router_b(config)#access-list 22 deny host 10.0.2.10 router_b(config)#access-list 22 permit any router_b(config)#interface serial 0/0 router_b(config-if)#ip access-group 11 out router_b(config-if)#exit router_b(config)#interface fastethernet 0/0 router_b(config-if)#ip access-group 22 out router_b(config-if)#exit 한빛미디어 -18-

텔넷접속에대한 ACL 설정 [ 그림 ] 텔넷접속과 ACL router-a(config)#access-list 10 permit 192.168.143.0 0.0.0.255 router-a(config-line)# line vty 0 4 router-a(config-line)# session-timeout 60 router-a(config-line)# exec-timeout 60 0 router-a(config-line)# password cisco router-a(config-line)# login router-a(config-line)# access-class 10 in 한빛미디어 -19-

확장 ACL 설정 (1) access-list 100 deny ip 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 ACL 100은출발지가 10.0.0.0/24에서목적지 20.0.0.0/24로가는모든 IP 트래픽을막는다. access-list 100 deny ip host 10.0.0.10 host 20.0.0.10 ACL 100은출발지가 10.0.0.10/32( 호스트 ) 에서목적지 20.0.0.10/32( 호스트 ) 로가는모든 IP 트래픽을막는다. access-list 100 deny tcp any eq 21 any ACL 100은출발지가어떤네트워크이든지모든네트워크로가는 FTP(Well-known 포트번호 : 21) 를막는다 한빛미디어 -20-

확장 ACL 설정 (2) access-list 100 deny tcp any gt 1023 any ACL 100은출발지가어떤네트워크이든지모든네트워크로가는 TCP 포트번호 1023번이상의트래픽을막는다. access-list 100 deny tcp any any eq telnet ACL 100은출발지가어떤네트워크이든지모든네트워크로가는텔넷을막는다 access-list 100 deny icmp any any ACL 100은출발지가어떤네트워크이던지모든네트워크로가는 icmp 를막는다 한빛미디어 -21-

확장 ACL 설정예 (1) [ 그림 ] 확장 ACL 설정 호스트 10.0.1.100에서 10.0.0.100으로의텔넷접속은허락한다 ( 이외에 10.0.1.0/24의네트워크에서 10.0.0.100으로의텔넷은막는다 ). 10.0.2.0/24 네트워크에서 10.0.0.0/24 네트워크의접근은막는다. 10.0.0.100는모든네트워크에서 ping에대한응답을막는다. 한빛미디어 -22-

확장 ACL 설정예 (2) router_a(config)#access-list 150 permit tcp host 10.0.1.100 host 10.0.0.100 eq 23 router_a(config)#access-list 150 deny tcp 10.0.1.0 0.0.0.255 host 10.0.0.100 eq 23 router_a(config)#access-list 150 permit ip any any router_a(config)#access-list 155 deny ip any 10.0.0.0 0.0.0.255 router_a(config)#access-list 155 permit ip any any router_a(config)#interface fastethernet 0/0 router_a(config-if)#ip access-group 150 in router_a(config-if)#exit router_a(config)#interface fastethernet 0/1 router_a(config-if)#ip access-group 155 in router_a(config-if)#exit router_b(config)#access-list 160 deny icmp any host 10.0.0.100 echo router_b(config)#access-list 160 permit ip any any router_b(config)#interface fastethernet 0/0 router_b(config-if)#ip access-group 160 out router_b(config-if)#exit 한빛미디어 -23-

Named ACL (1) router(config)#ip access-list? extended Extended Access List log-update Control access list log updates logging Control access list logging standard Standard Access List router(config)#ip access-list extended? <100-199> Extended IP access-list number <2000-2699> Extended IP access-list number (expanded range) WORD Access-list name 한빛미디어 -24-

Named ACL (2) router(config)#ip access-list extended PPEVENT_ALL router(config-ext-nacl)#? Ext Access List configuration commands: default Set a command to its defaults deny Specify packets to reject dynamic Specify a DYNAMIC list of PERMITs or DENYs evaluate Evaluate an access list exit Exit from access-list configuration mode no Negate a command or set its defaults permit Specify packets to forward remark Access list entry comment router(config-ext-nacl)#deny ip? A.B.C.D Source address any Any source host host A single source host router(config-ext-nacl)#deny ip any any 한빛미디어 -25-

ACL 동작확인 (1) router#show access-lists? <1-2699> ACL number WORD ACL name rate-limit Show rate-limit access lists Output modifiers <cr> router#show access-lists Standard IP access list 50 deny any Extended IP access list PERVENT Extended IP access list PPEVENT_ALL router#show ip access-lists Standard IP access list 50 deny any Extended IP access list PERVENT Extended IP access list PPEVENT_ALL 한빛미디어 -26-

ACL 동작확인 (2) router#sh ip int fa 0/0 FastEthernet0/0 is up, line protocol is up Internet address is 10.0.0.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.5 224.0.0.6 224.0.0.9 Outgoing access list is 50 Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled 한빛미디어 -27-

2024 © docsplayer.org 개인정보보호 | 약관 | 지원