개요
- 라우터에서는 access-list를 이용해 특정 패킷에 대한 접근제어를 설정함
- 접근제어방법은 크게 standard access-list, extended access-list로 구분
standard access-list
- 패킷의 소스 IP만으로 패킷 허용/차단
- access-list number : 1~99
- 형식 : access-list [acl번호] [permit 또는 deny] [소스IP의 wildcard 또는 any]
standard access-list 예시
access-list 5 permit host 192.168.159.131
- 소스IP가 192.168.159.131일 경우 접근 허용
- 특정 IP를 지정할 경우엔 'host' 명시
- IP대역을 지정할 경우엔 wildcard를 명시하는데, 서브넷마스크를 반전시키면 됨
access-list 5 deny any
- 모든 출발지IP에 대해 차단/필터링함
extended access-list
- 소스IP,목적지IP,포트,프로토콜로 혀용/차단
- access-list number : 100~199
- 형식 : access-list [acl번호] [permit 또는 deny] [프로토콜] [소스IP] [소스IP의 wildcard] [목적지] [목적지IP의 wildcard]
extend access-list 예시
access-list 150 deny ip host 192.168.159.131 100.100.100.0 0.0.0.255
- 출발지가 192.168.159.131이고 목적지가 100.100.100.0/24대역인 IP패킷에 대해 모두 차단/필터링
access-list 150 deny tcp 192.168.1.0 0.0.0.255 host 100.100.100.1 eq 80
- 출발지가 192.168.1.0/24 대역이고 목적지IP가 100.100.100.1, 목적지 포트가 80인 tcp 패킷에 대해 모두 차단/필터링
- eq는 equal의 의미로 단일 포트 지정시 사용
access-list 150 deny udp host 192.168.2.5 100.100.100.0 0.0.0.255 range 100 200
- 출발지IP가 192.168.2.5이고, 목적지IP 대역이 100.100.100.0/24이고 목적지 포트가 100~200인 udp 패킷에 대해 차단/필터링
- range는 포트번호 범위 지정할 때 사용
'정보보안기사&CISSP관련 > Network Security' 카테고리의 다른 글
| [Day 98] 라우터 보안 설정(2) (0) | 2020.11.16 |
|---|---|
| [Day 97] 라우터 보안 설정(1) (0) | 2020.11.15 |
| [Day 95] 완전 순방향 비밀성(PFS : Perfect Forward Secrecy) (0) | 2020.11.13 |
| [Day 94] 주요 ICMP Error-Reporting 메시지 (0) | 2020.11.12 |
| [Day 93] DRDoS(Distributed Reflection DoS) (0) | 2020.11.11 |