Extended ACL 이해 및 사용하는 방법

이번 시간에는 ACL 중에서도 확장 ACL이라고 부르는 Extended ACL에 대한 개념 및 사용하는 방법에 대해서 알아보도록 하겠습니다.

 

 

1. Extended ACL

 

Source Address와 Destination Address모드를 Check 해서 Packet의 forward permit/deny를 결정하는 방식 특정 protocol (FTP, TFTP, Telnet)에 따라 Packet의 제어가 가능한 방식입니다.

 

요즘은 각 사이트마다 스위치에서 Access list를 많이 사용하는데 , 그중에서도 Extended Access List를 많이 사용합니다. 왜? 요즘 국정원 보안지침으로 인해 내부에서 사용하는 스위치들에 대해 , 원격 접속 차단이라던지 특정 관리자 IP만 접속할 수 있도록 적용하라는 정책이 많이 내려옵니다. 그러려면 특정 IP에 대해서 telnet , ssh 접속 허용을 해줄 수 있는 세팅이 Extended Access List입니다.

 

Standard Access List에서 해줄수 없는 디테일한 트래픽 필터링 제어 기능을 지원하고 , Access List 문장의 끝에는 프로토콜 및 옵션 TCP/UDP 포트를 지정할 수가 있습니다.

 

 

Well-Known 포트 번호    IP 프로토콜

 

20                             File Transfer Protocol(FTP) Data

21                             FTP Program

23                             Telnet

14                             Simple Mail Transport Protocol (SMTP)

69                             Trivial File Transfer Protocol (TFTP)

53                             Domain Name System (DNS)

 

 

★ Standard Access List & Extended Access List의 차이점

 

Standard : 출발지 주소만 제어

Extended : 출발지 주소 + 목적지 주소 모두 제어

 

Standard : TCP/IP에 대한 제어

Extended : IP , TCP , UDP , ICMP등 특정 프로토콜을 지정해서 제어

 

Standard : 1~99사이의 번호를 사용

Extended : 100~199사이의 번호를 사용

 

 

2. Extended Access List 사용방법

 

1단계 : Access-list 명령어를 이용하여 조건 문장을 복잡한 필터로 표현

 

1. access-list access-list-number [ permit | deny ]

: Access-list넘버는 100~199사이의 번호를 이용하여 세팅 : 허용할지? 차단할지? 에 세팅

 

2. protocol source-address source-wildcard [ operator port ]

: Protocol은 IP , TCP , UDP , ICMP 설정 : 출발지 주소와 와일드카드 마스크 설정

 

3. protocol destination-address destination-wildcard [ operator port ]

: Protocol은 IP , TCP , UDP , ICMP 설정 : 목적지 주소와 와일드카드 마스크 설정

 

 

 

 

2단계 : ip access-group 명령어가 존재하는 access-list를 인터페이스에 적용

 

1. ip access-group access-group access-list-number [ in | out ]

: 인터페이스에 적용되는 access-list의 번호를 적고 , 그 인터페이스에 어떤 방향을 적용할 것인지 선택

 

EX) access-list 101 deny tcp 172.16.5.0 0.0.0.255 172.16.30.0 0.0.0.255 eq23 access-list 101 permit ip any any interface ethernet 0 ip access-group 101 out

: 출발지 172.16.5.0에서 목적지 172.16.30.0으로 가는 telnet 패킷에 대해 차단해라 그걸 제외한 나머지는 다 허용해라. 그리고 인터페이스 이더넷 0에서 out방향으로 정책을 적용해라

 

 

EX2) 스위치에 특정 IP만 telnet 접속 허용 ip access-list extended SSH permit ip host 105.10.15.191 any log permit ip host 105.10.15.192 any log permit ip host 105.10.15.133 any log permit ip host 105.10.15.37 any log permit ip host 105.10.15.38 any log deny ip any any log line vty 0 4 access-class SSH in

 

 

위에서 EX를 든 설정은 시스코 스위치를 기본으로 해서 잡은 설명입니다. 벤더마다 명령어나 설정 방법은 틀리니 , 어떤식으로 하는지 이해만 하시기 바랍니다.

 

저의 글을 읽어 주셔서 감사합니다. 오늘도 즐거운 하루 보내세요.