Cisco Configuration Professional:Zone-Based Firewall Blocking Peer to Peer 트래픽컨피그레이션예 목차 소개사전요구사항요구사항 Cisco CP 를실행할라우터컨피그레이션사용되는구성요소표기규칙배경정보구성네트워크다이어그램 Cisco Configuration Professional 을통한구성 ZFW 라우터의명령줄구성다음을확인합니다 관련정보 소개 이문서에서는 Cisco CP(Cisco Configuration Professional) 의고급방화벽컨피그레이션마법사를사용하여 P2P(Peer-to-Peer) 트래픽을차단하기위해 Cisco IOS 라우터를영역기반방화벽으로구성하는단계별접근방식을제공합니다 Zone-Based Policy Firewall(ZFW 또는 Zone-Policy Firewall) 은방화벽컨피그레이션을이전인터페이스기반모델에서더유연하고이해하기쉬운영역기반모델로변경합니다 인터페이스가영역에할당되고검사정책이영역간에이동하는트래픽에적용됩니다 영역간정책은상당한유연성과세분성을제공합니다 따라서동일한라우터인터페이스에연결된여러호스트그룹에서로다른검사정책을적용할수있습니다 영역은네트워크의보안경계를설정합니다 영역은트래픽이네트워크의다른영역을통과할때정책제한을받는경계를정의합니다 영역간의 ZFW 의기본정책은모두거부입니다 정책이명시적으로구성되지않은경우영역간에이동하는모든트래픽이차단됩니다 P2P 애플리케이션은인터넷에서가장널리사용되는애플리케이션중하나입니다 P2P 네트워크는지렁이와같은악의적인위협의매개체역할을할수있으며, 방화벽주위에쉬운경로를제공하고개인정보보호및보안에대한우려를야기할수있습니다 Cisco IOS Software 릴리스 124(9)T 는 P2P 애플리케이션에대한 ZFW 지원을도입했습니다 P2P 검사는애플리케이션트래픽에대한레이어 4 및레이어 7 정책을제공합니다 즉, ZFW 는트래픽을허용또는거부할수있는기본적인스테이트풀검사를제공할수있으며, 다양한프로토콜의특정활동에대한세분화된레이어 7 제어를제공하여다른애플리케이션활동이거부되는동안특정애플리케이션활동이허용됩니다
Cisco CP 는고급방화벽컨피그레이션마법사를사용하여 IOS 라우터를영역기반방화벽으로구성하기위한간편한단계별접근방식을제공합니다 사전요구사항 요구사항 이구성을시도하기전에다음요구사항을충족해야합니다 IOS 라우터는소프트웨어버전이 124(9)T 이상이어야합니다 Cisco CP를지원하는 IOS 라우터모델은 Cisco CP 릴리스정보를참조하십시오 Cisco CP 를실행할라우터컨피그레이션 참고 : Cisco 라우터에서 Cisco CP 를실행하려면다음컨피그레이션단계를수행하십시오 Router(config)# ip http server Router(config)# ip http secure-server Router(config)# ip http authentication local Router(config)# username <username> privilege 15 password 0 <password> Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet Router(config-line)# transport input telnet ssh Router(config-line)# exit 사용되는구성요소 이문서의정보는다음소프트웨어및하드웨어버전을기반으로합니다 IOS Software 릴리스 124(15)T를실행하는 Cisco 1841 IOS Router Cisco Configuration Professional(Cisco CP) 릴리스 21 이문서의정보는특정랩환경의디바이스를토대로작성되었습니다 이문서에사용된모든디바이스는초기화된 ( 기본 ) 컨피그레이션으로시작되었습니다 현재네트워크가작동중인경우, 모든명령어의잠재적인영향을미리숙지하시기바랍니다 표기규칙 문서규칙에대한자세한내용은 Cisco 기술팁규칙을참조하십시오 배경정보 이문서의예에서는라우터가 P2P 트래픽을차단하기위해영역기반방화벽으로구성됩니다 ZFW 라우터에는 2 개의인터페이스, 즉내부 ( 신뢰할수있는 ) 인터페이스가 In-zone 에있고외부 ( 신뢰할수없음 ) 인터페이스가 Out-zone 에있습니다 ZFW 라우터는 edonkey, fasttrack, gnutella 및 kazaa2 와같은 P2P 애플리케이션을 In-zone 에서 Out-zone 으로전달되는트래픽에대한로깅작업을차단합니다
구성 이섹션에서는이문서에설명된기능을구성하는정보를제공합니다 참고 : 명령조회도구 ( 등록된고객만해당 ) 를사용하여이섹션에사용된명령에대한자세한내용을확인하십시오 네트워크다이어그램 이문서에서는다음네트워크설정을사용합니다 Cisco Configuration Professional 을통한구성 이섹션에서는마법사를사용하여 IOS 라우터를영역기반방화벽으로구성하는방법에대한단계별절차를설명합니다 다음단계를완료하십시오 1 Configure( 구성 ) > Security( 보안 ) > Firewall and ACL로이동합니다 그런다음 Advanced Firewall 라디오버튼을선택합니다 선택한작업시작을클릭합니다
2 다음화면에는방화벽마법사에대한간략한소개가나와있습니다 Next( 다음 ) 를클릭하여방화벽구성을시작합니다
3 영역에포함할라우터의인터페이스를선택하고 Next를클릭합니다 4 다음창에는명령집합과함께 High Security가포함된기본정책이표시됩니다 Close( 닫기 ) 를클릭하여진행합니다 5 DNS 서버의세부정보를입력하고 Next( 다음 ) 를클릭합니다
6 Cisco CP 는여기에표시된것과같은컨피그레이션요약을제공합니다 Finish( 마침 ) 를클릭하여컨피그레이션을완료합니다 자세한컨피그레이션요약이이표에나와있습니다 이는 Cisco CP의 High Security 정책에따라기본컨피그레이션입니다 7 Save the running config to router's startup config 확인란을선택합니다 Deliver( 전달 ) 를클릭
하여이컨피그레이션을라우터로전송합니다 전체컨피그레이션이라우터에전달됩니다 처리하는데시간이좀걸립니다 8 OK( 확인 ) 를클릭하여진행합니다
9 다시 OK( 확인 ) 를클릭합니다 이제컨피그레이션이적용되고 Firewall Policy( 방화벽정책 ) 탭아래에규칙으로표시됩니다
10 Configure( 구성 ) > Security( 보안 ) > Advanced Security( 고급보안 ) > Zones( 영역 ) 로이동하면연결된영역쌍과함께 zone을볼수있습니다 Add( 추가 ) 를클릭하여새영역을추가하거나 Edit( 수정 ) 를클릭하여기존영역을수정할수도있습니다 11 Configure( 구성 ) > Security( 보안 ) > Advanced Security( 고급보안 ) > Zone Pairs( 영역쌍 ) 로이동하여영역쌍의세부정보를확인합니다
Cisco CP 의내장웹페이지를통해영역 / 영역쌍및기타관련정보를수정 / 추가 / 삭제하는방법에대한즉각적인도움말을즉시확인할수있습니다
12 특정 P2P 애플리케이션에대한애플리케이션별검사기능을수정하려면 Configuration( 컨피그레이션 ) > Security( 보안 ) > Firewall and ACL로이동합니다 그런다음 Edit Firewall Policy( 방화벽정책수정 ) 를클릭하고정책맵에서해당규칙을선택합니다 Edit를클릭합니다
기본컨피그레이션에의해차단되는현재 P2P 애플리케이션을표시합니다
13 추가및제거단추를사용하여특정애플리케이션을추가 / 제거할수있습니다 이스크린샷은 winmx 애플리케이션을추가하여해당애플리케이션을차단하는방법을보여줍니다
14 삭제작업을선택하는대신 Inspect( 검사 ) 작업을선택하여심층패킷검사를위해다른옵션을적용할수도있습니다
P2P 검사는애플리케이션트래픽에대한레이어 4 및레이어 7 정책을제공합니다 즉, ZFW는트래픽을허용또는거부할수있는기본적인스테이트풀검사를제공할수있으며, 다양한프로토콜의특정활동에대한세분화된레이어 7 제어를제공하여다른애플리케이션활동이거부되는동안특정애플리케이션활동이허용됩니다 이애플리케이션검사에서는 P2P 애플리케이션에대해다양한유형의특정헤더레벨검사를적용할수있습니다 그누텔라에대한예가다음에표시됩니다 15 이에대한새정책맵을생성하려면 P2P 옵션을선택하고 Create를클릭합니다
16 gnutella 프로토콜에대한심층패킷검사를위한새정책맵을만듭니다 Add( 추가 ) 를클릭한다음 New Class Map( 새클래스맵 ) 을선택합니다
17 클래스맵의새이름을지정하고 Add( 추가 ) 를클릭하여일치기준을지정합니다 18 파일전송을일치조건으로사용하고사용된문자열은 exe입니다 이는 exe 문자열을포함하는모든 gnutella 파일전송연결이트래픽정책에대해일치함을나타냅니다 확인을클릭
19 합니다 OK( 확인 ) 를다시클릭하여클래스맵컨피그레이션을완료합니다 20 회사의보안정책에따라달라지는 Reset 또는 Allow 옵션을선택합니다 OK( 확인 ) 를클릭하여 policy-map으로작업을확인합니다
이와같은방법으로다른정책맵을추가하여다른정규식을일치조건으로지정하여다른 P2P 프로토콜에대한심층검사기능을구현할수있습니다 참고 : P2P 애플리케이션은 " 포트호핑 " 동작및탐지를피하기위한기타요령뿐아니라프로토콜의동작을수정하는 P2P 애플리케이션에대한잦은변경및업데이트로인해발생하는문제로인해특히탐지하기어렵습니다 ZFW는네이티브방화벽상태기반검사와 NBAR(Network-Based Application Recognition) 의트래픽인식기능을결합하여 P2P 애플리케이션제어를제공합니다 참고 : P2P Application Inspection은 Layer 4 Inspection에서지원하는애플리케이션의하위집합에대해애플리케이션별기능을제공합니다 edonkey패스트랙귀텔라카사2참고: 현재 ZFW에는 "bittorrent" 애플리케이션트래픽을검사하는옵션이없습니다 BitTorrent 클라이언트는일반적으로일부비표준포트에서실행되는 HTTP를통해추적기 ( 피어디렉토리서버 ) 와통신합니다 일반적으로 TCP 6969이지만 Torrent 관련추적기포트를확인해야할수도있습니다 BitTorrent를허용하려는경우추가포트를수용하기위한가장좋은방법은 HTTP를 match 프로토콜중하나로구성하고다음 ip port-map 명령을사용하여 HTTP에 TCP 6969를추가하는것입니다 ip port-map http port tcp 6969 클래스맵에적용된일치조건으로 http 및 bittorrent를정의해야합니다 21 OK( 확인 ) 를클릭하여 Advanced Inspection 컨피그레이션을완료합니다
해당명령집합이라우터에전달됩니다 22 OK( 확인 ) 를클릭하여라우터에명령세트복사를완료합니다
23 Configure( 구성 ) > Security( 보안 ) > Firewall and ACL( 방화벽및 ACL) 의 Edit Firewall Policy( 방화벽정책수정 ) 탭에서새로운규칙이발생하는것을관찰할수있습니다 ZFW 라우터의명령줄구성 Cisco CP 의이전섹션에있는컨피그레이션에서는 ZFW 라우터에서다음컨피그레이션을수행합니다 ZBF 라우터 ZBF-Router#show run
Building configuration Current configuration : 9782 bytes version 124 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname ZBF-Router boot-start-marker boot-end-marker logging buffered 51200 warnings no aaa new-model ip cef ip name-server 107723045 multilink bundle-name authenticated parameter-map type protocol-info msn-servers server name messengerhotmailcom server name gatewaymessengerhotmailcom server name webmessengermsncom parameter-map type protocol-info aol-servers server name loginoscaraolcom server name tocoscaraolcom server name oam-d09ablueaolcom parameter-map type protocol-info yahoo-servers server name scsmsgyahoocom server name scsamsgyahoocom server name scsbmsgyahoocom server name scscmsgyahoocom server name scsdmsgyahoocom server name cs16msgdcnyahoocom server name cs19msgdcnyahoocom server name cs42msgdcnyahoocom server name cs53msgdcnyahoocom server name cs54msgdcnyahoocom server name ads1vipscdyahoocom server name radio1launchvipdalyahoocom server name in1msgvipre2yahoocom server name data1myvipsc5yahoocom server name address1pimvipmudyahoocom server name editmessengeryahoocom server name messengeryahoocom server name httppageryahoocom server name privacyyahoocom server name csayahoocom server name csbyahoocom server name cscyahoocom parameter-map type regex ccp-regex-nonascii pattern [^\x00-\x80]
crypto pki trustpoint TP-self-signed-1742995674 enrollment selfsigned subject-name cn=ios-self-signed-certificate-1742995674 revocation-check none rsakeypair TP-self-signed-1742995674 crypto pki certificate chain TP-self-signed-1742995674 certificate self-signed 02 30820242 308201AB A0030201 02020102 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31373432 39393536 3734301E 170D3130 31313236 31303332 32315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 37343239 39353637 3430819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100A84A 980D15F0 6A6B5F1B 5A3359DE 5D552EFE FAA8079B DA927DA2 4AF210F0 408131CE BB5B0189 FD82E22D 6A6284E3 5F4DB2A7 7517772B 1BC5624E A1A6382E 6A07EE71 E93A98C9 B8494A55 0CDD6B4C 442065AA DBC9D9CC 14D10B65 2FEFECC8 AA9B3064 59105FBF B9B30219 2FD53ECA 06720CA1 A6D30DA5 564FCED4 C53FC7FD 835B0203 010001A3 6A306830 0F060355 1D130101 FF040530 030101FF 30150603 551D1104 0E300C82 0A5A4246 2D526F75 74657230 1F060355 1D230418 30168014 0BDBE585 15377DCA 5F00A1A2 6644EC22 366DE590 301D0603 551D0E04 1604140B DBE58515 377DCA5F 00A1A266 44EC2236 6DE59030 0D06092A 864886F7 0D010104 05000381 810037F4 8EEC7AF5 85429563 F78F2F41 A060EEE8 F23D8F3B E0913811 A143FC44 8CCE71C3 A5E9D979 C2A8CD38 C272A375 4FCD459B E02A9427 56E2F1A0 DA190B50 FA091669 CD8C066E CD1A095B 4E015326 77B3E567 DFD55A71 53220F86 F006D31E 02CB739E 19D633D6 61E49866 C31AD865 DC7F4380 FFEDDBAB 89E3B3E9 6139E472 DC62 quit username cisco privilege 15 password 0 cisco123 archive log config hidekeys class-map type inspect match-all sdm-cls-im match protocol ymsgr class-map type inspect imap match-any ccp-app-imap match invalid-command class-map type inspect match-any ccp-cls-protocol-p2p match protocol signature match protocol gnutella signature match protocol kazaa2 signature
match protocol fasttrack signature match protocol bittorrent signature class-map type inspect smtp match-any ccp-app-smtp match data-length gt 5000000 class-map type inspect http match-any ccp-app-nonascii match req-resp header regex ccp-regex-nonascii class-map type inspect match-any CCP-Voice-permit match protocol h323 match protocol skinny match protocol sip class-map type inspect gnutella match-any ccp-classgnutella match file-transfer exe class-map type inspect match-any ccp-cls-insp-traffic match protocol dns match protocol https match protocol icmp match protocol imap match protocol pop3 match protocol tcp match protocol udp class-map type inspect match-all ccp-insp-traffic match class-map ccp-cls-insp-traffic class-map type inspect match-any ccp-cls-icmp-access match protocol icmp match protocol tcp match protocol udp --- Output suppressed class-map type inspect matchall sdm-cls-p2p match protocol gnutella class-map type inspect match-all ccp-protocol-pop3 match protocol pop3 class-map type inspect kazaa2 match-any ccp-cls-p2p match file-transfer class-map type inspect pop3 matchany ccp-app-pop3 match invalid-command class-map type inspect match-all ccp-protocol-p2p match class-map ccpcls-protocol-p2p class-map type inspect match-all ccpprotocol-im match class-map ccp-cls-protocol-im classmap type inspect match-all ccp-invalid-src match accessgroup 100 class-map type inspect match-all ccp-icmpaccess match class-map ccp-cls-icmp-access class-map type inspect http match-any ccp-app-httpmethods match request method bcopy match request method bdelete match request method bmove match request method bpropfind match request method bproppatch match request method connect match request method copy match request method delete match request method edit match request method getattribute match request method getattributenames match request method getproperties match request method index match request method lock match request method mkcol match request method mkdir match request method move match request method notify match request method options match request method poll match request method post match request method propfind match request method proppatch match request method put match request method revadd match request method revlabel match request method revlog match request method revnum match request method save match request method search match request method setattribute match request method startrev match request method stoprev match request method subscribe match request method trace match request method unedit match request method unlock match request method unsubscribe class-map type inspect http match-any ccphttp-blockparam match request port-misuse im match request port-misuse p2p match request port-misuse tunneling match req-resp protocol-violation class-map
type inspect match-all ccp-protocol-imap match protocol imap class-map type inspect match-all ccp-protocol-smtp match protocol smtp class-map type inspect match-all ccp-protocol-http match protocol http policy-map type inspect ccp-permit-icmpreply class type inspect ccp-icmp-access inspect class class-default pass --- Output suppressed policy-map type inspect http ccpaction-app-http class type inspect http ccp-httpblockparam log reset class type inspect http ccp-apphttpmethods log reset class type inspect http ccp-appnonascii log reset class class-default policy-map type inspect smtp ccp-action-smtp class type inspect smtp ccp-app-smtp reset class class-default policy-map type inspect imap ccp-action-imap class type inspect imap ccp-app-imap log reset class class-default policy-map type inspect pop3 ccp-action-pop3 class type inspect pop3 ccp-app-pop3 log reset class class-default policymap type inspect ccp-inspect class type inspect ccpinvalid-src drop log class type inspect ccp-protocolhttp inspect service-policy http ccp-action-app-http class type inspect ccp-protocol-smtp inspect servicepolicy smtp ccp-action-smtp class type inspect ccpprotocol-imap inspect service-policy imap ccp-actionimap class type inspect ccp-protocol-pop3 inspect service-policy pop3 ccp-action-pop3 class type inspect sdm-cls-p2p inspect --- Output suppressed class type inspect ccp-protocol-im drop log class type inspect ccp-insp-traffic inspect class type inspect CCP-Voicepermit inspect class class-default pass policy-map type inspect ccp-permit class class-default policy-map type inspect p2p ccp-pmap-gnutella class type inspect gnutella ccp-class-gnutella zone security out-zone zone security in-zone zone-pair security ccp-zp-self-out source self destination out-zone service-policy type inspect ccp-permit-icmpreply zone-pair security ccp-zpin-out source in-zone destination out-zone servicepolicy type inspect ccp-inspect zone-pair security ccpzp-out-self source out-zone destination self servicepolicy type inspect ccp-permit interface FastEthernet0/0 description $FW_OUTSIDE$ ip address 2091652012 255255255224 zone-member security outzone duplex auto speed auto interface FastEthernet0/1 description $FW_INSIDE$ ip address 1077241114 255255255192 zone-member security in-zone duplex auto speed auto --- Output suppressed ip http server ip http authentication local ip http secure-server --- Output suppressed control-plane line con 0 line aux 0 line vty 0 4 privilege level 15 login local transport input ssh scheduler allocate 20000 1000 webvpn cef end ZBF-Router# 다음을확인합니다 이섹션을사용하여컨피그레이션이제대로작동하는지확인합니다 Output Interpreter 도구 ( 등록된고객만해당 )(OIT) 는특정 show 명령을지원합니다 OIT 를사용하여 show 명령출력의분석을봅니다 ZBF-Router#show policy-map type inspect zone-pair sessions - 모든기존영역쌍에대한런타임검사유형정책맵통계를표시합니다
관련정보 Zone-Based Policy Firewall 설계및애플리케이션가이드 Cisco IOS Firewall Classic 및 Zone-Based Virtual Firewall 애플리케이션컨피그레이션예 Cisco Configuration Professional 홈페이지