반응형
들어가기 전
Packet Tracer에서 기본적으로 CBAC를 설정할 수 없으나 아래의 명렁어를 입력하면 실습해보실 수 있습니다.
license boot module c2900 technology-package securityk9
do reload
CBAC?
Cisco가 라우터에서 제공하는 Stateful insepction 방화벽 기능 중 하나로 내부에서 출발한 트래픽이 되돌아올 때 임시 ACL을 구성하여 검사한 후 허용하는 것으로 응용계층의 다양한 트래픽도 제억 가능, 사이트 차단, 자바 차단등의 정책을 설정할 수 있습니다.
CBAC는 방화벽 뒤의 활동을 능동적으로 검사하며 일반적인 ACL을 사용하는 것처럼 동일한 방식으로 허용할 트래픽을 지정합니다 그러나 프로토콜이 방화벽 뒤에 있는 시스템으로 이동하기 전에 프로토콜이 손상되지 않았는지 확인하는 ip inspect 문이 추가됩니다.
지원 프로토콜
키워드 이름 프로토콜
| 쿠세미 | CUSeeMe 프로토콜 |
| ftp | FTP(File Transfer Protocol) |
| h323 | H.323 프로토콜(예: Microsoft NetMeeting 또는 Intel Video Phone) |
| http | HTTP 프로토콜 |
| rcmd | R 명령(r-exec, r-login, r-sh) |
| 오디오 | 실제 오디오 프로토콜 |
| rpc | 원격 프로시저 통화 프로토콜 |
| smtp | 단순 메일 전송 프로토콜 |
| sqlnet | SQL Net 프로토콜 |
| 가연성 | StreamWorks 프로토콜 |
| tcp | 전송 제어 프로토콜 |
| tftp | TFTP 프로토콜 |
| udp | 사용자 데이터그램 프로토콜 |
| vdol | VDOLive 프로토콜 |
동작방식
일반적으로 내부에서 출발한 패킷이 돌아올 때 허용하므로 허용하지 않을 나머지를 차단하는 ACL과 함께 사용됩니다.
- 인터페이스에 CBAC가 설정된 방향으로 패킷을 수신 또는 송신할 때 임시 ACL을 만들어 기존의 ACL 상단에 추가
- 해당 세션의 패킷이 돌아올 때 허용하고, 해당 세션이 끝나면 임시 ACL을 제거
TCP에서 세션의 종료를 감지하는 방법
Fin 패킷 감지 후 5초가 지나면 CBAC 상태 테이블에서 해당 세션 제거을 제거합니다.
UDP
30초가 해당 트래픽이 없으면 종료된 것으로 간주하고 CBAC 상태 테이블에서 해당 세션을 제거합니다.
ICMP
10초 이내에 응답이 없으면 CBAC 상태 테이블에서 해당 세션을 제거합니다.
설정법
내부에서 외부로 가능 통신만 열고 외부에선 어떠한 트래픽도 막는 ACL이 있다고 가정했을 때
ip inspect name mysrv tcp
ip inspect name mysrv udp
ip inspect name mysrv icmp
show ip inspect config // inspect 설정 상태 보여줌
int g0/0
ip inspect mysrv out
show ip inspect sessisons detail // inspect 로 열린 세션 상태 보여줌반응형
'네트워크 > 네트워크 일반' 카테고리의 다른 글
| ospf virtual link (0) | 2023.01.11 |
|---|---|
| frame rewrite - Life of Packet (0) | 2023.01.08 |
| stateful inspection 상태 저장 검사 (0) | 2023.01.08 |
| 네트워크 보안 프로젝트 기록 (마셜 플랜 - DNS 공격을 이용한 시스템 침투 및 방어) (0) | 2023.01.06 |
| 인프라 NMS 구축 및 이중화 솔루션 구축 프로젝트 기록 (1) | 2023.01.06 |
