☁️Dorong9's Blog

ACL (TCP)

4 min read

TCP & UDP image TCP (Transmission Control Protocol)

  • 전송 여부 확인 , 재전송 가능(오류수정)
  • 대부분의 데이터 전송 용도 사용

UDP (User Datagram Protocol)

  • 전송여부 미확인 , 재전송 불가
  • 음성 및 스트리밍 등 실시간 데이터

UDP Overview

Src Port 및 Dest Port 등 간단한 구성

  • Dest Port는 목적지에서 애플리케이션을 구분하기 위한 용도로 사용 OSI Model 및 TCP/IP Model의 Transport Layer(L4)에서 동작

TCP

신뢰할 수 있는 프로토콜로 데이터를 전송하기 전에 연결 Setup

★ 중요!! 3way handshake

image|400

  1. H1 에서 TCP SYN을 보내 H2에게 Connect Setup 요청
  2. H2는 SYN,ACK 메시지를 보내 H1의 TCP SYN에 응답
    • ACK=2 : H1이 전송한 SEQ=1에 대한 응답임을 나타냄
  3. H2가 H1에게 보낸 SYN에 대한 응답으로 ACK 전송
    • ACK=101 : H2가 전송한 SEQ=100에 대한 응답임을 나타냄

3way-handshake Summary

  1. H1은 TCP SYN 전송 / “당신과 이야기하고 싶습니다”
  2. H2는 TCP SYN,ACK 전송 / “당신이 나와 대화하기를 원한다는 것을 받아들이며, 나도 당신과 대화하기를 원합니다”
  3. H1은 TCP ACK 전송 / “저와 대화하기를 원한다는 것을 받아들입니다

ACL (Access Control List)

알아야 할 것

  • Top - Down 순서로 확인
  • 모든 ACL 마지막 Line은 Deny any 생략됨
  • inbound , outbound 적용 가능
  • 범위가 작은 규칙 부터 설정 권장
  • VTY 라인에 적용해 Remote 접속 Control 가능

Filtering

  • 네트워크의 특정 부분에 도달하는 트래픽을 access-list를 이용해 허용하거나 거부

Classification

  • 특정 네트워크 트래픽을 access-list를 이용해 선택 할 수 있음

Filtering

Access-list 생성 후 배치할 수 있는 지점

  • Inbound 적용
    • 라우터에 도달하는 모든 패킷을 ACL에 대해 확인
  • Outbound 적용
    • 라우터를 통과하여 인터페이스를 벗어나면 ACL에 대해 확인
  • VTY 라인에 적용해 Telnet 또는 SSH 트래픽 보호

ACL Work

Router#show access-lists
Standard IP access list 1     # 1은 ID
	10 permit 192.168.1.0, wildcard bits 0.0.0.255
	20 permit 192.168.2.0, wildcard bits 0.0.0.255
	30 permit 172.16.0.0, wildcard bits 0.0.255.25
# 10, 20, 30 은 규칙

ACL 1에 3개의 규칙이 적용 됨 (10,20,30) , 그리고 이 규칙은 Top-Down 방식으로 동작한다.

특정 규칙과 일치하면 즉각 조치를 취한다. (Permit / Deny)

(모든 ACL 가장 아래에는 deny any 규칙이 생략 되어 있음)

ACL Type

Standard Access-List

  • IP Packet의 Source IP 확인

Extended Access-List

  • IP Packet의 Source IP , Destination IP 및 Layer4 정보 확인

image

ACL Recognition

image

Standard ACL Example.1

Untitled

R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.12.2
 
---------------------------------------------------------------------------
 
R2(config)#ip route 1.1.1.0 255.255.255.0 192.168.12.1
 
R2(config)#**access-list 1 permit 192.168.12.0 0.0.0.255**
 
R2(config)#interface fastEthernet 0/0
R2(config-if)#ip access-group 1 in

결과

R2#show access-lists
Standard IP access list 1
	10 permit 192.168.12.0, wildcard bits 0.0.0.255 (27 matches)
 
R1#ping 192.168.12.2
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
 
R1#ping 192.168.12.2 source loopback 0
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
U.U.U
Success rate is 0 percent (0/5)

그래프 뷰