12. ACL

  ACL에 대해 알아보겠습니다.

ACL

특정 트래픽의 접근을 관리하는 리스트로서 주로 보안을 목적으로 사용합니다. 라우터에서 설정하며, 이를 설정하여 특정 그룹만 서비스를 이용할 수 있게 할 수 있고, 특정 IP를 막아 접근하지 못하게 할 수 있습니다.

ACL 의 동작방식

Inbound

ACL이 설정되어 있는 router 내부에서 filtering 되며, packet이 들어오면 packet 정보와 ACL 설정 내용을 비교하여 통과시킬지 거부할지 결정하게 됩니다.(permit은 통과, deny는 불통과)

Outbound

ACL이 설정되어 있는 router 외부에서 filtering 되며, router에서 packet이 나갈경우에 packet 정보와 ACL 설정 내용을 비교하여 통과시킬지 거부할지 결정하게 됩니다.(permit은 통과, deny는 불통과)

1. Standard ACL

출발지 주소를 비교하여 통과 여부를 결정하게 됩니다. 즉 packet 출발 주소와 ACL 출발 주소가 일치하면 permit 또는 deny를 수행하게 됩니다. 리스트 번호는 1-99 를 사용합니다.

router(config)#access-list <list-number> {permit|deny} <source> <mask>

list-number = 1-99 중에서 사용

permit|deny = 조건에 만족하는 범위를 permit 할지 deny 할지 입력

source = 출발지 주소를 삽입, 만약 any를 입력하면 모든 주소에 적용

mask = 마스크값(서브넷 마스크 반전시킨값)

router(config)#access-list 1 deny 192.168.0.0 0.0.0.255

router(config)#access-list 1 permit any

192.168.0.0/24 를 제외한 모든 IP를 통과 시킵니다.

router(config-if)#ip access-group <list-number> {in|out}

인터페이스에 진입하여, 설정한 list-number와 in또는 out중 하나를 입력하게 되는데, in은 inbound, out은 outbound 입니다.

router(config-if)#ip access-group 1 in

아까 설정한 1 access-list(192.168.0.0/24 를 제외한 모든 IP를 통과)를 라우터 내부에 들어올때 필터링합니다.

**출발지 주소를 비교하는 것이기 때문에 중간 라우터에 하면 충돌이 일어날 수 있으므로, 목적지 라우터에 설정을 해주어야 합니다.

2. Extended ACL

출발지와 목적지 모두를 조건으로 쓰게 됩니다. 이름에서도 알 수 있듯이, 확장이기 때문에 TCP/IP만 제어가능한 standard 와 달리 여러 프로토콜을 선택해 사용 가능합니다. 100-199 의 번호를 사용합니다.

router(config)#access-list <list-number> {permit|deny} <protocol> <source> <mask> <destination> <mask> <operator port>

list-number = 100-199 중에서 사용

permit|deny = 조건에 만족하는 범위를 permit 할지 deny 할지 입력

protocol = 필터링할 프로토콜

source = 출발지 주소를 삽입, 만약 any를 입력하면 모든 주소에 적용

mask = 마스크값(서브넷 마스크 반전시킨값)

destination = 도착지 주소를 삽입, 만약 any를 입력하면 모든 주소에 적용

mask = 마스크값(서브넷 마스크 반전시킨값)

operator port = 목적지 TCP/UDP 포트를 지정

*TCP:FTP(20,21), telnet(23), SMTP(25), HTTP(80), HTTPS(443)

*UDP:DNS(53), TFTP(69), DHCP(67,68)

router(config)#access-list 101 permit tcp 10.0.0.1 0.0.255.255 172.16.0.0 0.0.255.255 

101번호를 지정, 시작주소 10.0.0.1/16, 목적지 주소 172.16.0.0/16 인 조건에 해당하는 것만 허용합니다.

router(config)#access-list 101 deny tcp any any eq telnet

101번호를 지정, 모든 네트워크로 가는 telnet을 막습니다.

ACL 설정시 

*위에서 아래로 순차적으로 수행되기 때문에 좁은범위를 먼저 설정해야 합니다.

*ACL의 마지막에는 deny all 이 적용되기 때문에 이에 맞게 미리 설정을 해놓아야합니다.

*미리 다 작성하고 적용하고, 충분히 테스트를 거치고 적용해야 합니다.

*변경시 미리 기존에 적용된 인터페이스에서 삭제 후 변경합니다.

*standard ACL은 목적지에 가까운 인터페이스, extended ACL은 출발지에 가까운 인터페이스에 설정합니다.