라우터는 처음 접속을 하게 되면 사용자는 사용자 모드로 접속을 하게 되며 라우터 관련 정보의 조회가 가능하다. Enable 명령어를 사용하여 priviledge 모드로 레벨을 변경하면 조회뿐만 아니라 설정 변경 등의 작업을 할 수 있다. 참고로 라우터 사용모드는 다음과 같다.
User EXEC Mode : 한정된 명령어만 사용이 가능하며 주로 라우터의 간단한 상태등을 조회할 수 있다. 프롬프트는 Router > 와 같이 보이게 된다.
Privileged EXEC Mode : 재부팅이나 라우팅등 라우터에서의 모든 명령어에 대해 수행이 가능하며 프롬프트는 Router#와 같이 보이게 된다.
Global Gonfiguration Mode : 위 모드에서 라우터 전반적인 설정을 변경하고자 할 때의 모드로서 Router#와 같이 보이게 된다. 만약 특정 인터페이스나 특정 라우팅등을 변경하고자 할 때에는 아래의 Other Configuration 모드가 사용된다.
Other Configuration 모드 : 좀 더 복잡하고 세부적인 설정을 하는 메뉴로서 Router#과 같이 보이게 된다. 설정이 끝난 후에는 exit이나 Ctrl + z 를 입력하면 된다.
Privileged 모드로 변경할 때 사용하는 enable 패스워드를 설정하기 위해서는 enable password와 enable sercret 두 가지 명령어를 사용할 수 있다. 안전한 운영을 위하여 enable secret 명령어를 사용할 것을 권장한다.
enable password 패스워드 명령어
type 0(평문으로 저장되는 방식)의 평문으로 저장
평문으로 저장된 암호는 service password-encryption 명령을 실행하면 암호화를 수행하는데 type 7(역함수가 존재하여 원래의 평문암호를 알 수 있는 방식)으로 암호화한다.
enable secret 패스워드 명령어
type 5(일방향 함수로 암호화/MD5)의 암호문으로 저장되어 원래의 평문암호를 알 수 없다.
만약 enable password 와 enable secret가 함께 설정되어 있을 경우에는 enable secret이 적용된다.
[02 라우터와 접근제어(ACL)]
개요
라우터에서는 access-list라는 것을 이용하여 특정 패킷에 대한 접근제어를 설정할 수 있다.
접근제어 방법에는 크게 standart(표준) access-list와 extended(확장) access-list로 나누어 볼 수 있다.
standard access-list
패킷의 소스 IP만으로 패킷을 허용하거나 차단한다.
access-list(acl) number로 1~99까지 사용한다.
형식) access-list acl번호 [permit 또는 deny] [소스주소 wildcard 또는 any]
extended access-list
패킷의 소스 IP뿐만이 아니라 목적지 IP, 포트, 프로토콜 등을 이용하여 차단할 수 있어 좀 더 확장된 기능을 이용할 수 있다.
access-list(acl) number로 100~199까지 사용한다.
access-list acl번호 [permit 또는 deny] 프로토콜 소스 소스 -wildcard 목적지 목적지-wildcard
Filtering 유형
Ingress Filtering
standard 또는 extended access-list 를 활용하여 라우터 내부로 즉 사내 네트워크로 유입되는 패킷의 source IP나 목적지 port 등을 체크하여 허용하거나 거부하도록 필터링하는 것을 의미한다.
대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 하여 진행되므로 인터넷상에서 사용되지 않는 IP 대역만 차단해도 비정상 패킷을 사전에 차단하는 효과가 있다.
Egress Filtering
ingress filtering 과 반대의 개념으로 라우터 내부에서 라우터 외부로 나가는 패킷의 source ip나 목적지 port 등을 체크하여 필터링한다.
외부로 나가는 패킷의 source ip는 반드시 내부 네트워크 대역인 것이 정상이며 이외의 패킷은 모두 위조된 패킷이다.
Blackhole Filtering(Null routing)
특정 ip 또는 ip 대역에 대하여 비정상적인 시도가 감지되었을 경우 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷 통신이 되지 않도록 하는 방법이다.
Unicast RPF(Reverse-Path Rorwarding) Filtering
access-list 나 blackhole 필터링을 이용하여 일일이 ip나 ip 대역을 지정하지 않고도 비정상 트래픽을 효율적으로 필터링하는 기법
인터페이스를 통해 들어오는 패킷의 소스 ip에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인하는 원리이다. 즉, URPF가 enable된 인터페이스에 10.10.10.10이라는 source ip를 달고 들어오는 패킷이 있다면 라우팅 테이블을 확인하여 만약 10.10.10.10이라는 목적지로 라우팅 될 때 같은 인터페이스로 나가는지 확인하여 비정상 여부를 판단