Catalyst 3560 ACL(deny UDP)

Catalyst 3560 ACL(deny UDP)

1. ACL 은무엇인가?

* Access Control List : 접근제어항목
* 네트워크(서브넷, IP 주소)를 정의하거나, 정의한 내용을 근거로 트래픽을 제어할때사용함
* Permit / Deny 두가지 Command를 사용함
* 사용용도 : 필터링, 방화벽, 트래픽 정의
* 종류 : Standard, Extended, Named Reflective, Dynamic, Mac, VLAN 등
* Layer 4 계층 까지 Fltering이 가능함.

2. ACL vs IPtables

* ACL의 용어 개념상 IPtales는 ACL이다. 라우터(스위치)에서 ACL은 access-list 정책을 말하며,
 이는 IPtables 와 대부분 동일한 기능을 가지고 있다.

* 다른점
Access-list : 대역폭 조절이가능
Iptables : 동일 패킷에 대한 접속 제한등을 통해syn 공격방어 , 모듈을 통한 추가 방어기능 을 활성화 할수 있다.
### chains to DROP too many SYN-s ######
/sbin/iptables -N syn-flood
/sbin/iptables -A syn-flood -m limit --limit 100/second --limit-burst 150 -j RETURN
/sbin/iptables -A syn-flood -j LOG --log-prefix "SYN flood: "
/sbin/iptables -A syn-flood -j DROP

3. ACL의 기본정책

access-list는 윗줄부터 하나씩 차례로 수행된다.

access list의 맨 마지막 line에 "permit any"를 넣지 않을 경우는
default로 어느 access list와도 match 되지 않은 나머지 모든
address 는 deny 된다 => 전부차단된다!!

access list의 새로운 line 은 항상 맨 마지막으로 추가되므로
access-list line 의선택적 추가(selective add)나 제거(remove)가 불가능하다

interface에 대한 access list의 정의(define)가 되지 않은 경우
(즉, interface에 access-group 명령이 들어있지 않은 경우) 결과는 permit any 가 된다.

4. Standard Access List

route-map 등 다른 필터링을 사용하여 트래픽을 통제할 대상을 지정할때 사용
범위 : 1 ~ 99
특징 : Source Address를 보고 트래픽을 통제
형식
   * access-list [1 ~ 99] [Permit / Deny] [Source address] [Source address W/M]
   * 인터페이스 적용 : ip access-group [access-list-number] {in | out}

EX) 출발지 주소가 10.1.1.0 인 트래픽은 20.1.1.0 / 24 네트워크로 통신할수 없다.
10.1.1.0 / 24                                                  20.1.1.0 / 24
R1 [s0/1] ----------- [s 0/0] R2 [s0/1] --------- [s0/1] R3
                            [Fa 1/0] 30.1.1.0 / 24

R2
access-list 10 deny 10.1.1.0 0.0.0.255
access-list 10 permit any
!
interface serial 0/1
ip access-group 10 out
!

5. Extended Access List

스탠더드 액세스 리스트는 출발지 주소만을 제어하는 반면,
익스텐디드 액세스 리스트는 출발지 주소와 목적지 주소 모두를 제어

스탠더드 액세서 리스트는 전체 TCP/IP에 대한 제어만을 하는 반면,
익스텐디드 액세스 리스트는 ip, tcp, udp, icmp 등 특정 프로토콜을 지정해서 제어할 수 있다

스탠더드 액서스 리스트는 1~99의 숫자를 Access-list 번호로 사용하고,
익스텐디드 액세스 리스트는 100~199의 숫자를 Access-list 번호로 사용한다.

* 형식 : access-list [100 ~ 199] [Permit / Deny] [Protocol Type][Source address] [Source address W/M] [Destination address] [Destination address W/M] eq [Port number]

EX1) R1의 Fa0/0 에 FTP Server 192.168.0.11 이 존재하고 있다. R1은 192.168.1.0 / 24 네트워크 트래픽이 Telnet 접속하는것을 차단하려고 한다.이외의 나머지 모든 트래픽은 허용된다.

access-list 100 deny tcp 192.168.1.0 0.0.0.255 host 210.114.75.11 eq 23 access-list 100 permit ip any any !

6. Catalyst 3560 ACL 적용

Vlan300 에 있는 192.168.1.242 서버의 80번포트로 들어오는 UDP 차단하기