1 access policy 는 network access 에 대한 회사의 문서화된 표준이다. device 접근...
TRANSCRIPT
1 Access Policy는 Network Access에 대한 회사의 문서화된 표준이다 .
Device 접근 Network 에의 접근
Definition of Access Policy
Core 나 다른 Switch Block 에 대한 루트나 서비스 업데이트를 금지
Core 나 다른 Switch Block 에 대한 루트나 서비스 업데이트를 금지
Core 경유해서 오는 Packet 에 대한 Filtering
Device에 대한 Physical Access는 그 Device에 대한 총체적인 Control을 의미한다 .
Controlling Physical Access
•적절한 물리적 환경의 제공 : 시건장치 (locking the room),적절한 통풍장치 , 온도 조절 , 백업 전원 확보
•Device 에 대한 직접접근의 통제 : Rack 의 시건장치 , Console 및 Auxiliary Port 에 대한 Password 설정 , 사용하지 않는 경우 Auxiliary Port 를 Disable 시킨다 .
•Network link(Cable, Wiring closet ) 에 대한 접근 통제
Control Policy의 설치와 설정
ASW41(config)#enable password level 1 Cisco1=User Level15=Privilege Exec Level
Cisco IOS Command-Based SwitchSet Command-Based SwitchDSW141 (enable) set passwordEnter old password: <cr>Enter new password: CiscoRetype new password:CiscoPassword changed.
모든 네트워크 디바이스에는 Password가 설정되어야 한다 .
dsw141 (enable) set enablepassEnter old password: <cr>Enter new password: san-franRetype new password:san-franPassword changed.
Cisco IOS Command-Based RouterRSM143(config)#line console 0RSM143(config-line)#loginRSM143(config-line)#password cisco
RSM143(config)#enable password san-fran
Password Configuration
login local 명령은 “ username student password cisco” 등의 설정에 따라 local user database 에 의해 Login 하도록 강제한다 .
Session Timeout은 Idle 상태의 Console이나 Session의 추가적인 Security를 제공한다 .
RSM143(config)#line console 0RSM143(config-line)#exec-timeout 5 30RSM143(config)#line vty 0 4RSM143(config-line)#exec-timeout 5 30
DSW141 (enable) set logout 5
ASW41(config)#line consoleASW41(config-line)#time-out 300
Cisco IOS Command-Based Switch
Set Command-Based Switch
IOS Command-Based Router
Controlling Session Timeouts
•configuration : Global configuration•controller :Controller configuration•Exec : EXEC•hub :Hub configuration•interface :Interface configuration•ipx-router :IPX router configuration•line: Line configuration•map-class :Map class configuration•map-list :Map list configuration•route-map :Route map configuration•router : Router configuration
Privilege Levels
privilege 명령을 사용하여 특정 Privilege Level 에서 사용할 수 있는 명령들을 정의한다 .
Router (config)#privilege mode level level command
enable secret level level password 명령을 사용하여 특정 privilege level에 대한 password를 설정한다 .
Mode의 종류
Trying x.x.x.x ... Open
Username: student
Password: cisco
Router>enable 3 (Restricted ENABLE privileges)
Password: san-jose
Router#show privilege (Displays current privilege level)
Current privilege level is 3
Privilege LevelsRouter(config)#privilege exec level 3 show ip route
Router(config)#privilege exec level 3 ping
Router(config)#privilege exec level 3 trace
Router(config)#enable secret level 3 san-jose
Router(config)#enable secret san-fran
Router(config)#username student password cisco
previlege exec level 3 show ip route 설정을 해제하기 위해서는 privilege exec reset show ip route 명령을 입력해야 한다 .
Unauthorized access will be prosecuted.
Banner Message 설정을 하여 보안침해가 중대한 사실이라는 것을 공지한다 .
DSW141(enable)set banner motd 'Unauthorized access will be prosecuted'
Banner Messages
Virtual Ports (vty 0 through 4)
RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#line vty 0 4RSM143(config-line)#access-class 1 in
RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#line vty 0 4RSM143(config-line)#access-class 1 in
Telnet 172.16.41.143
172.16.41.3
172.16.41.143
Controlling Virtual Terminal Access
RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#ip http serverRSM143(config)#ip http access-class 1RSM143(config)#ip http authentication localRSM143(config)#username student password cisco
RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#ip http serverRSM143(config)#ip http access-class 1RSM143(config)#ip http authentication localRSM143(config)#username student password cisco
172.16.41.3
172.16.41.143
HTTP Management Station
Controlling HTTP Access
Switch(config)#ip http authentication [aaa | enable | local | tacacs]
Controlling HTTP Access
http Server 로 설정된 라우터에 Web Browser 로 접근할 때 Defualt 로 Enable Password 가 사용된다 .ip http authentication local 로 규정하면 Local User Database 를 사용하여 인증하고 , AAA,TACACS 를 사용하는 경우는 AAA,TACACS Server 의 Database에 의해서 인증된다 .
Port security — 권한없는 사용자가 네트워크에 Access 하는 것을 방지하기 위해 Media Access Control (MAC) addresse 를 제한한다 .
VLAN management — 모든 포트는 Default 로 VLAN1 에 소속된다 . VLAN1 는 통상 management VLAN 이다 . Cisco 에서는 특별히 설정되지 낳으면 모두가 속하게 되는 VLAN1 에 management VLAN 을 두지 말고 다른 VLAN 을 Management VLAN 으로 사용하는 것을 권장한다 .
Access Layer Policy Access
DSW111 (enable) set port security enable 2/4 00.00.0c.12.34.56
DSW111 (enable) show port 2/4Port Security Secure Src-address Last Src-address Shutdown Trap IF-index-------------------------------------------------------------------------------------------------- 2/4 enabled 00.00.0c.12.34 .56 00.00.0c.12.34 .56 no 270
Enable Port Security
Enabling and Verifying Port Security on Cisco IOS command-based switches.
Switch(config-if)#port secure Switch(config-if)#port secure [ max-mac-count maximum-MAC-count]Switch#show mac-address-table security [type module/port]
port secure max-mac-count 명령은 특정 포트에 연결 가능한 최대 MAC Address 를 제한한다 . 범위는 1-132 이며 Default 는 132 이다 .
Interface 에 access list 를 사용 , Packet 을 Filtering 하여 사용자 트래픽이 VLAN 간에 , 또는 Core 를 통과할지를 결정한다 .
distribution list 를 사용 , Route Filtering 을 하여 어떤 Route 가 Core Block 을 통하여 다른 Switch Block(Server Block 및 WAN Block 을 포함하여 )에 전파 (Advertising) 될 지를 결정한다 .
각각의 switch block 에서 Dynamic Host Control Protocol (DHCP), Domain Name System (DNS) 등 어떤 서비스를 네트워크에 Advertise 할 지를 결정한다 .Server Block 의 서버 서비스들을 다른 네트워크에서 인지하는 방법 및 어떤 서비스들을 Advertise 할 지를 결정한다 .
Distribution-Layer Policy
172.16.43.0 172.16.41.3
DestinationAddress
Source Address
172.16.43.17
Packet Filtering with IP Standard Access Lists
Router(config)#access-list 1 permit 172.16.41.3
Router(config)#access-list 1 deny any
Router(config)#interface fastethernet 1/0
Router(config-if)#ip access-group 1 out
Fa 1/0
access-list 104 permit tcp any 172.16.2.0 0.255.255.255 access-list 104 permit tcp any host 172.16.1.2 eq smtpaccess-list 104 permit udp any eq domain anyaccess-list 104 permit icmp any any echoaccess-list 104 permit icmp any any echo-reply!interface gigabit0/0ip access-group 104 out
Packet Filtering with IP Extended Access Lists
G0/0
router eigrp 1network 172.16.0.0
distribute-list 7 out g0/0 !access-list 7 permit 172.16.42.0 0.0.0.255
B
172.16.42.0 172.16.41.0
G0/0
IP Route Filtering Configuration
Route Filtering 을 사용하여 Route 172.16.41.0 에 대한 G0/0 를 통한 Outbound Update 가 금지된다 .
특정 Route 를 permit 또는 deny 하기 위하여 standard access list 를 사용한다 . Access list 는 transmitted (outbound) 또는 or received (inbound) routing update 를 통제할 수 있다 .
Core Block 은 Data 를 가능한 한 빠르게 전송할 책임이 있다 . 따라서 Core Block 의 모든 Device 는 이러한 기능이 최적화 되도록 Design 되어야 한다 . Core Block 은 이러한 목적을 위해 최소한의 정책을 갖게 되는데 혼잡상황 회피와 통제를 위한 최소한의 Quality of Service (QoS) 명령만이 사용되어 Policy 적용으로 인한 Overhead 를 최대한 줄여야 한다 .
Core Layer Policy