공부?/국비 지원 일기장

26일차 - TCP 헤더, ACL, socket adderess

무무요 2024. 8. 5. 17:50


=======

Socket Address

4계층주소(port)와 3계층주소(IP)를 합쳐서 socket address 라고도 한다.

일반적으로 Segment - 4계층 - PDU
- 2계층 -> Collisision Domain

tracert - 윈도우 명렁어
traceroute - 리눅스 명령어




Version
  - IP 버전 정보
  - IPv^ header의 version 필드는 항상 4로 고정(0100)
  - IPv6는 개발되면서 별도의 프로토콜을 발표

IHL
  - IP Header Length의 약어로 가변적인 IP Header의 크기를 명시
  - 4개의 Bit로 표현되고 4bytes단위로 표시됨(최대 길이 값 60bytes)

Total Length (2bytes)

  - IP Packet의 전체 크기(IP Header + Payload)

  - IP Packet의 최대 크기는 MTU 값을 가짐

       ※ MTU(Maximum Transmission Unit) : 최대 전송 단위

헤더길이가 가변적이기 때문에 (20~60bytes) TL까지 사용한다.

=======

ACL(Access Control List)
  - Router 내부 정책을 통해 데이터를 Filtering 해주는 역할
  - 정책에 따른 트래픽 필터링, 식별, 분류, 암호화 변환 작업등을 수행 함
  - ACL 정책은 항상 위에서 아래로 순차적으로 적용 됨
  - 접근 제어, 접근을 통제한다. 
  - 기준 S.IP, D.IP, D.Port - 여기서 부터 출발하는게 보안의 기본이다
  - 보안의 시작은 NAT와 ACL

 

ACL 기본 동작
  - 순차적인 동작
  - 조건의 명시되어 있는 정보와 전달받은 Packet의 정보를 비교하여 지정된 Action을 수행 함
     - Permit -> 허용 , 사용 됨
     - Deny -> 거부, 사용되지 않음
  - 모든 조건에 해당되지 않으면 ALL Deny
     - 항상 조건의 마지먹에 기본값으로 ALL Deny 정책이 지정되어 있음
  - 정책 구성 후 필요한 위치에서 적용 함

주의점 
  - 보안정책은 순서대로본다
  - 제일 밑에는 ALL Deny가 깔려있다.(ex 내가 설정한 정책이 4개일때 5번째는 무조건 ALL Deny) 


ACL 종류
  - Standard 
     - 필수 조건 - Source IP
  - Extended 
     - 필수 조건 - Protocol, Source IP, Destination IP, Port 


ACL 설정 순서
  - 조건에 맞는 정책 계획
     - 필요한 조건에 따라 미리 협의하여 정책에 대한 계획을 세움
  - Access-list 정책 생성
  - ACL 적용
     - 생성한 ACL을 이용할 위치(int. . ..)에서 적용
  - ACL 설정 확인

 

Extended ACL 명령어

 

실습

200.1에선 8.8.8.8 로 핑이 되게하고 200.2 는 핑이 안되게 해라.

그럼 200.1 에선 핑이 가고, 200.2는 Destination host unreacheable이 뜬다.

라우터 Se0/0/0에서 부터 이미 나가질 못하기 때문에 목적지 호스트를 찾지 못하기 때문에

R1

()# access-list 1 permit 200.200.200.1

()# int s 0/0/0

()# ip access-group 1 out

 

()# no access-list 1

()# sh ip ac

 

실습 2

8.8.8.0 외에 외부 시스템들이 WEB/DNS에 ping 통신이 안되도록 구성

R1/R2에서 구성

R1/R2 

()# access-list 110 deny icmp any 8.8.8.0 0.0.0.255

()# int se 0/0/0

()# ip access-group 110 out

 

실습3

8.8.8.0 외에 외부의 모든 시스템에서 ping은 안되지만 www.~.com  접속가능 하도록 ACL 구성(R1,R2에서만구성)

R1/R2

(conf)# access-list 110 permit tcp any host 8.8.8.1 eq 80

(conf)# access-list 110 permit udp any host 8.8.8.2 eq 53

(conf)# ip access-group 110 out

 

=======

중간에 넣기

()# ip access-list extended 110
()# 15 deny tcp 7.7.7.2 0.0.0.0 host 8.8.8.1 eq 80 

'공부? > 국비 지원 일기장' 카테고리의 다른 글

28일차 - 암호화 통신  (0) 2024.08.07
27일차 - ACL, 암호화 통신기초  (0) 2024.08.06
25일차 - DHCP, TCP헤더, ARP헤더  (0) 2024.08.02
24일차 - NAT, L3 S/W VLAN Routing, DHCP  (0) 2024.08.01
23일차 - NAT PAT  (0) 2024.08.01