에듀쉐어 - 강좌공유

반갑습니다. 에듀쉐어입니다.

이번 시간에는 CBAC 정책 설정에 대해 알아보겠습니다. 토폴로지는 RACL/DACL설정에서 사용한 토폴로지를 그대로 사용할 예정이며 이전 ACL설정은 삭제 후 진행하도록 하겠습니다.

CBAC(Context-Based Access Control)는 내부에서 출발한 트래픽이 되돌아올 때 임시 ACL을 만들어 검사한 후 허용하는 것으로 L3/L4 계층의 트래픽 뿐만 아니라 응용계층의 다양한 트래픽도 제어가 가능하며 사이트 차단, 자바 차단 등의 여러 가지 정책도 설정할 수 있습니다. 한 마디로 트래픽의 내용을 검사하여 접속 여부를 결정하는 것으로 여기서는 기본적인 정책 설정에 대해서만 알아보도록 하겠습니다.

CBAC 자체는 내부에서 출발한 패킷이 돌아올 때 허용하는 역할만 하기에 차단할 경우에는 ACL정책과 같이 사용하게 됩니다.

이전과 같이 내/외부의 경계 라우터인 R2에서 CBAC 설정을 하겠습니다.

- 외부에서 출반한 패킷 중 라우팅 프로토콜인 OSPF만 허용하고 나머지는 차단하는 ACL 설정

R2(config)#ip accesss-list extended ospf

R2(config-ext-nacl)#permit ospf host 10.10.20.3 any

R2(config-ext-nacl)#deny ip any any

R2(config)#interface fa0/1

R2(config-if)#ip access-group ospf in

설정 후 외부에서 내부로의 패킷들은 모두 차단되는 것을 알 수 있으며 내부에서 출발하여 외부로 향한 패킷들도 되돌아오는 패킷이 차단되어 통신이 되지 않는 것을 알 수 있는데 내부에서 출발한 트래픽들은 검사를 통하여 통신이 가능하도록 설정해보도록 하겠습니다.

- CBAC 설정

R2(config)#ip inspect name cbactest tcp

R2(config)#ip inspect name cbactest udp

R2(config)#ip inspect name cbactest icmp

R2(config)#interface fa0/1

R2(config-if)#ip access-group cbactest out

설정 후 내부(R1)에서 외부(R4)로 텔넷 및 핑 테스트를 진행하면 접속이 되는 것을 알 수 있으며 반대의 경우에는 접속이 되지 않는 것을 알 수 있습니다. 이러한 동작은 #show ip inspect sessions detail 명령으로 임시 ACL에서 검사한 내용을 확인할 수 있습니다.

여기까지 기본적인 CBAC 설정이었으며 로그 생성, 타이머 조정 등의 여러 옵션들이 있으며 앞서 언급한 자바 차단 및 유해 사이트 차단 등의 설정도 할 수 있습니다.

간단하게 CBAC 설정에 대해 알아보았으며 유튜브 채널 '에듀쉐어' 구독 좋아요는 필수입니다. ㅎ