특정 IP허용 및 차단 ACL

ACL

Access Control List

1.     Permit – Deny : 접근 허용, 거부 – 방화벽과 비슷한 역할

A.     리스트에 포함되어 있는 집합

2.     Standard IP : 고유번호 1 ~ 99

3.     Extended IP : 고유번호 100 ~ 199

4.     패킷이 들어올 때와 나갈 때 각각 차단이 가능하다.

5.     I/F마다 설정 가능 하다.

6.     프로토콜 종류 마다 설정 가능 하다.

7.     ACL을 적용 한 것은 차단을 목적으로 한다.

 

ACL의 작동 방식

1.     라우터에 들어오거나 나가는 패킷을 첫 번째 Access List의 조건을 검사

2.     일치하면 Permit, 불일치하면 Deny

3.     Deny가 된 패킷을 다시 다음 Access List와 검사

4.     Deny가 되면 2 – 3 을 반복한다.

5.     마지막 조건에서 Deny가 되면 차단한다.

 

ACL 설정

1.     첫 조건은 범위가 작은 것부터 순서대로 입력

2.     순서가 중요함

 

Standard IP ACL 작성 방법 – 심플한 것만 차단

1.     access-list [access-list-number] [permit/deny] [source-address] [source-wildcard-mask]

2.     source address를 보고 차단 결정

3.     access-list-number : 1 ~ 99

4.     source-wildcard-mask : 해당 네트워크에 대한 부분의 허용, 거부 결정

A.     source-address가 포함된 N/W집합을 알아내기 위함

 

Wildcard Mask

1.     32비트

A.     서브넷 마스크 : 1 – 1, 0 – 0 이 연속적임

B.     Wildcard Mask : 0 – 0, 1 – 1 이 연속적인 경우가 많지만 다 그러지는 않는다.

2.     서브넷 마스크 – AND 연산, Wildcard Mask – N/W주소를 가린다.

3.     특정 IP의 Wildcard Mask 주소 : 0. 0. 0. 0

4.     Ex)

A.     165.90.0.0 ~ 165.90.255.255의 ACL

                       i.         165. 90. 0. 0   :   10100101. 01011010. 00000000. 00000000

~

                      ii.         165. 90. 255. 255 : 10100101. 01011010. 11111111. 11111111

                     iii.         Wildcard Mask   : 00000000. 00000000. 11111111. 11111111

                     iv.         우리가 필요한 부분은 N/W를 뺀 나머지 주소 뿐임

 

Wildcard Mask 예제

1.     167. 80. 32. 0 ~ 167. 80. 63. 255

A.     풀이

                       i.         10100111. 0101000. 00100000. 00000000 ~

                      ii.         10100111. 0101000. 00111111. 11111111

                     iii.         동일한 부분 즉, N/W부분은 변동이 없으므로 0으로 채운다.

                     iv.         00000000. 00000000. 000 11111. 11111111

 

2.     210. 76. 90. 128 ~ 210. 76. 90. 233

A.     풀이

                       i.         11010010. 01001100. 01011010. 10000000 ~

                      ii.         11010010. 01001100. 01011010. 11011111

                     iii.         동일한 부분을 0으로 채우지만, 10000000~ 11011111부분이 동일해야 하는 부분이 있다.

                     iv.         00000000. 00000000. 0000000. 01011111

 

3.     203. 176. 96. 0 ~ 203. 176. 96. 255 중 짝수 IP주소만

A.     풀이

                       i.         짝수를 찾는다.

1.      0, 2, 4, 6, 8, 10, … 254 까지 도출

                      ii.         2진수로 변환 하면

1.      0 : 00000000

2.      2 : 00000010

3.      4 : 00000100

4.      …

5.      254 : 11111110

                     iii.         마지막 자리가 0으로 동일해야 함

                     iv.         203. 176. 96. 0 : 00000000. 00000000. 00000000. 11111110

                      v.         위와 같이 기준과 함께 작성한다.

                     vi.         홀수 IP만 추출

1.      203. 176. 96. 1 : 00000000. 00000000. 00000000. 11111110

 

Standard IP ACL

-      Source IP 주소로 차단 여부 결정

-      가능한 목적지 근처

 

Access Control List 조건

1.     ACL가 작성된 순간 무조건 차단

2.     첫 번째 조건에 특정 IP를 차단하더라도 그 외의 나머지를 허용한다는 문구가 없다면 전부 차단