https://insteadoview.tistory.com/217
위 링크의 토폴로지를 기반으로 현재 포스팅을 작성한다.
R2 -> R1으로 telnet 접속하기
R2
지금은 ping이든 telnet이든 현재 접속이 불가능하다. sercurity level이 낮은 쪽에서 높은 쪽으로는 접속이 불가능하기 때문이다. 다만 현재 라우팅 설정(ospf)은 제대로 잘 올라와있어야 한다.
ASAv
conf t | |
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq telnet | 출발지(R2) -> 목적지(R1) eq는 범위지정 (포트넘버나 키워드 가능) 여기선 키워드를 입력했음 |
단일 호스트를 나타낼 때 -> 10.10.30.20 0.0.0.0
ASAv -> 10.10.30.20 255.255.255.255
적용시키기
access-group outin in interface outside | in방향으로 적용해라 인터페이스 설정 시에 존을 설정하도록 되어있음(inside/outside) |
혹시나 설정을 삭제하게 되면 (출발지, 도착지 입력오류 등등) 적용시키는 명령어도 사라지기 때문에 다시 적용해줘야한다.
적용된 내용들을 보려면 show run을 해도 되지만 내용이 많기 때문에 show run access-list, show run access-group을 하면 간소화된 내용들이 보인다.
R2
telnet 재접속 시도
이제 이상없이 접속이 잘 된다.
Line Number 지정하기
R1
ip http server |
R2
현재 포트 80(http)를 주고 R2에서 접속을 시도해도 접속이 되지 않는다.
ASAv
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq http |
아까 telnet 설정을 하면서 access-group outin in interface outside 적용 명령어를 이미 입력해두었기 때문에 이런 경우에는 sh run access-group으로 먼저 확인을 해서 zone이 같은 곳에 설정이 되어있다면 명령어를 다시 넣지 않아도 된다.
R2
ASAv
access-list outin line 2 extended permit icmp host 10.10.30.10 host 10.10.20.10 echo | |
access-list outin line 2 extended permit icmp host 10.10.30.10 host 10.10.20.10 echo-reply |
위와 같은 방식으로 ACL -> Line number 중간 삽입 가능
만약 line number를 지정해주지 않으면 가장 마지막에 삽입된다.
ASAv
access-list alert-interval 400 | 지연시간 설정 (400은 예시) |
access-list deny-flow-max 2000 | 최대 플로우 값 (2000은 예시) |
sh access-list |
아까 echo 명령어에서 "?"를 입력해보면 아래와 같이 나옴 | |
뒤에 inactive를 주면 | 이 정책이 disable 됨 |
telnet 비활성화 시키기 연습
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq telnet inactive |
R2에서 telnet 접속이 안되는 것을 아래와 같이 확인할 수 있다.
로그 디버깅
ASAv
아까 입력했던 http 명령어로 연습
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq http log debbuging | |
show access-list |
R2에서 접속을 시도하면
아래와 같이 hitcnt 가 1 -> 2로 올라가게 된다.
total 로그 갯수도 올라간 것을 볼 수 있다.
Time Range 설정
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq http time-range 입력 후 ? 해보면 |
시간 범위를 설정하라고 뜬다.
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq http time-range testtime | 이렇게 입력하면 지금은 not found라고 나온다 |
time-range testime | testime 하나 만들어주기 |
? |
주기 설정을 해주면된다. | |
peridic weekdays ? | 이렇게 입력하면 |
주기 시작 시간 | |
periodic weekdays 09:00 to ? | 이렇게 입력하면 |
Ending Time 입력
periodic weekdays 09:00 to 18:00 | |
exit | |
access-list outin extended permit tcp host 10.10.30.10 host 10.10.20.10 eq http time-range testime | 이제 적용이 됨 |
show access-list |
외부 (해외)기업의 국내 기업에 대해 접속을 허가해야하는 경우 근무하는 시간 외에 접속을 제어하기 위해서 time-range기능을 활용해서 접속 주기를 설정할 수 있다.
'정보보안실무 > 네트워크' 카테고리의 다른 글
[GNS3] ASAv 구축과 Cisco ASDM 설치 (feat. tftp) (1) | 2023.05.12 |
---|---|
[GNS3] 랑데뷰 포인트 지정하기 (0) | 2023.05.12 |
[GNS3] Multicast (멀티캐스팅) feat. Unicasting, broadcasting (1) | 2023.05.12 |
ZFW(Zone-Based FirewWall) -> 존 기반 방화벽 (0) | 2023.05.12 |
Global ACL / CBAC ACL - 패킷 필터링 정책 [2] (0) | 2023.05.12 |