쏭쎡

7월 5일 L2-L3 스위치 구축

NAT

1) IP의 낭비를 줄이기 위해서 

   사용.(여러개의 사설 IP를 하나의 공인 IP로 사용 가능)

2) 보안이 강화됨( 외부에서 내부의 IP를 알 수 가 없다.)

3) IP는라는 것은 유한 0.0.0.0 ~ 255.255.255.255

   ->공인 IP / 사설 IP 

   -> subnetting / NAT (IP가 유한해서)

4) NAT 

   - software NAT

   - hardware NAT

   - 변환이 되어서 나감.

     ->  NAT 성능 : 속도 차

              : NAT 변환이후 속도/Full bandwidth

   - NAT table : 

    (사설 IP/ MAC / 변환 IP / 변환 MAC + port #)

    1:N NAT인 경우에는 이 Port #로 구별을 한다. (TCP/UDP)

   - NAT는 내부에서 외부로 트랙픽이 나가지 않는 이상 세션이

     세션이 생성되지 않아서, 외부에서 내부로 통신이 되지 않는다.    

   - ASA

   - port-forwarding / DMZ

     차후에 실습

   - 설정할 수 있는 장비나 디자인이 다르기때문에, CLI보다는 이론을 

     이해하시는게 더 좋음.

   - NAT/Debug 활용 

   - VPN(ISP - 인터넷 서비스 프로바이더 

     KT, LG, CNS, SK Broadband, CJ ehllovision 지역사업자

     ISP망을 통해서 전용회선처럼 사용)   

Control Plane    - ACL

Data Plane       - 데이터를 보내주는 역할 

Managament Plane - CLI 

1) DHCP는 가능

2) PC2는 router로 DHCP router telnet이 되면 안됨 

3) PC1은 DHCP router로 ping이 되면 안됨.

NAT 설정

망을 구성해서 ACL과 NAT를 활용

WAN/Serial-cable 사용(CCNA 덤프)

<실습2>

1) 모든 Router에 Telnet을 뚫어놓고 , OSPF쪽 라우터에서 EIGRP를 쓰는 Router로

   telnet이 불가능 하도록 ACL을 이용하여 막으시오.

2) 172.16.1.0/24 대역과 192.168.1.0/24 대역은 통신이 되지 않도록 하시요.

ip address 20.1.1.14 255.255.255.252 수정해

router 

default-information originate 

-> default router 를 설정해줘야 한다.

static router 

router2

access-list 123 deny tcp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 30.1.1.0 0.0.0.3 eq 23  

access-list 123 deny tcp 30.1.1.0 0.0.0.3 20.1.1.0 0.0.0.255 eq 23 

access-list 123 permit ip any any 

ip access-group 123 in

access-list 102 deny icmp 192.168.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 2

access-list 102 permit ip any any 

ip access-group 102 in

sw tr en dot1q

sw mo tr

<debug 활용 실습>

해당 라우터에 ping을 디버깅 하고 싶다고 가정한다면 debug ip icmp를 입력한다. 그러면 라우터에 ping이 지나갈 때마다

ping에 대한 정보를 볼 수 있다. 장애 처리시 유용하다.

cutom-queue = QOS 관련 디버그 

frame-realy = 잘 안씀

ntp         = network time protocol (시간 동기화)

ppp         = 점 대 점 프로토콜 

<실습>아래와 같이 토폴로지를 구성하고 NAT를 설정해보자.

1. NAT를 올리는 순서

   1) Access-list를 생성(standard)

      : Access-list가 포함할 정보

    ->내부의 IP / 사설 IP

(밑에서 밖으로 나갈 사설 IP들의 

  IP list를 만들어 준다.)

   2) NAT pool을 생성 

       : 외부로 나갈 IP list를 만들어준다.

         (공인 IP 대역)

          명령어 입력시 start ip와 end ip를 지정.

          현 라우터 기준으로 외부와 연결된 IP는 10.1.1.2이므로 

           둘 다 10.1.1.2로 지정.

   3) 해당되는 내부 IP의 Access-list와 해당되는 외부 IP의 NAT pool을 

       매칭 시겨준다. ()

 .

아래 명령어를 치면 nat table에 등록된 정보를 조회 가능. 

*3 01, 00:54:47.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:48.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

*3 01, 00:54:49.5454: ICMP: echo reply sent, src 10.1.1.1, dst 10.1.1.2

  4) 해당되는 Access-list를 걸 인터페이스에 

       ip nat inside라고 입력하고 

       외부로 나가는 공인 IP를 달 인터페이스에

       ip nat outside라고 입력한다

ACL을 활용하여 telnet 막기 

참고 - static default routing , static 재분배

default-information originate 

-> default router 를 설정해줘야 한다.

-Right : 빌트인 그룹에 구성원으로 추가한다.

- 관리도구 -> 로컬보안정책 -> 로컬정책 -> 사용자 권한 할당에서 확인할 수 있다.

<실습> 시스템 시간 변경과 시스템 종료 항목에서 user1을 추가하자.

       user1을 추가한 후 user1계정으로서 시간변경과 종료 작업을 해보자.

       시스템 종료 메뉴가 활성화 되는지 확인. 

시스템 종료 권한 설정. 로컬 보안정책- 사용자 권한 할당 - 시스템 종료 실행 - 사용자 또는 그룹 추가

시스템 종료 활성화

''

<실습1>

Srv1서버에 administartor로 로그온하여 폴더A를 생성한 후 공유설정하고 

그 안에 ,관리1과 2를 생성하자.

공유사용권한을 everyone에 대해 읽기로 설정을 하고 보안 user1에게 모든 권한을 할당하였다.

Srv2에서 northwind\user1 계정으로 로그온한 후 폴더A에 연결하여(실행 -> \\Srv1)

파일1과 2에 대해 열어보고, 내용을 추가하여 저장, 파일 삭제 등의 작업을 하자.

어떠한 사용권한을 사용할 수 있는지를 확인하세요. 그리고, 파일3을 생성하시오.

:user1은 어떤 작업을 할 수 있었나요?

everyone 읽기만 설정

user1에게는 모든 권한 

- 파일읽기                             (o)

- 파일생성                             (x)

- 파일을 복사한 후 새로운 파일 생성 (x)

- 파일 삭제                            (x)

- 파일내용 변경 후 저장    (x)

<결론>

공유 사용권한 : 1차 필터의 역할, 네트워크 연결을 했을 때 우선적으로 옹호됨

                만약 공유에서 읽기만 주었다면 보안 사용권한에서 모든 권한을 

주어도 소용이 없다.

보안 사용권한 : 2차 필터 역할. 공유 사용권한에서 모든 권한을 가지고 들어와도

                2차적으로 사용권한을 제어할 수 있다.

만약 공유연결이 아닌 로컬로 직접 로그온하는 경우에도 적용된다.

실무적인 방법

1) 공유 사용권한은 모든 권한으로 설정하자.(공유는 공유 설저의 유무가 중요하므로 

                                              모든 권한을 할당)

2) 보안 사용권한은 로컬로 로그온을 하나, 네트워크 연결을 한는 것과 관계없이 

   무조건 적용된다.

소유자를 administrator가 현재 소유궈이다.  administrator 이외의 다른 계정은 권한이 없다. 

실습2-2>예외적인 항목에 대한 방안

수백개의 파일 중 파일2에 대해 그룹B에게 쓰기 거부를 설정하였다면 user1은 파일2에 대해 

어떤 권한을 가지나?

거부가 허용보다 우선된다. 무조건 거부된다.

<Permission의 종류>

암묵적인 퍼미션         VS     명시적인 퍼미션

Implicitly Permission   VS  Expllicityly Permission

Allow + Revodk              Allow할당 + Deny 거부

▶ 명시적 할당 / 거부 = 사용자를 추가한 후 권한을 할당하든지 거부한다.

◎ 거부: 일반적으로 사용권한 설정은 폴더에서 한다. 그러면 폴더 안에 있는 모든 파일에게

         동일한 사용권한이 상속되므로, 파일에 일일히 설정을 해 줄 필요가 없다.

         예외적으로 특정한 파일에 대해서 특정 사용자(그룹)에게만 상속된 사용권한과 달리

         설정을 해야 할 필요가 있는 경우에만 거부를 사용한다.

▶ 암묵적 거부 = 권한을 줄 필요없는 계정이 포함되 그룹은 처음부터 추가할 필요 없다.

★ 상속차단 : 기본적으로 볼륨의 루트에 설정한 사용권하는 하위로 상속이 된다/

      만약 폴더를 생성한다면 디스크 볼륨 루트의 사용권한을 그대로 상속받게 된다.

   상속은 상위에서 주지만, 거부는 하위에서 차단하는 것이다.

              추가: 상속만 차단할 뿐이고, 기존에 사용자, 그룹은 그대로 존재한다.

        단, 사용권한은 변경할 수 있게 된다.

  제거: 모두 제거 후 새로 사용자를 한명씩 추가해야 한다. 

<실습1> srv2에서 C:\폴더A\폴더B\폴더C\파일1 을 생성하세요.

        폴더A에 대해 user2 사용자를 추가하여 읽고 쓰기 권한을 부여하세요.

        파일1에는 쓰기 권한을 제거하세요. 상속 차단 (추가/제거)

        하위 폴더들과 파일1에 대해 폴더A의 권한설정이 상속되는지도 확인하세요!!!!!

        테스트: Srv3에서 user2로 로그온하여 권한 테스트하시오.

▶ Permission을 적용하는 방법(Access Control)

  * 사용권한은 상위의 설정이 하위에 상속된다.

    상속된 권한은 상속차단하기 전까지는 변경할 수 없다.

  * 사용권한은 누적(결합)된다.

 (활용)폴더에 설정한 사용권한은 대부분의 파일에게 공통으로 적용될 수 있는 정도

        즉, 최소한의 권한을 부여하고, 각각의 파일에 대해 상세하게 권한을 

추가해주면 된다.

원래는 이렇게 상속받은 설정을 지울 수가 없다. 그러니 명시적 거부를 사용한다.!!!

<Test>

영업부 OU에 기본값으로 HR과 Sales 그룹을 생성하고,

HR   : user1, user2, user3

Sales: user1, user4, user5 를 각각의 그룹에 구성원을 추가하자.

장그래는 HR과 Sales그룹의 구성원이다. 폴더의 구조는 그림과 같다.

1) 폴더1에 대해 HR그룹은 쓰기 권한, Sales그룹은 읽기 권한이 있다면

   user1는 파일1과 파일2에 대해 어떠한 권한을 가지나? 읽고 쓰기 

   읽기와 쓰기가 결합되고 하위폴더, 파일까지 상속된다.

파일2에서 HR그룹의 쓰기 권한을 제거

2) 폴더1에 대해 HR 그룹은 읽기 권한, Sales그룹은 폴더2에 대해 쓰기 

    권한이 있다면 파일1과 파일2에 대해 User1은 어떤 권한을 가지나?

        읽기             읽고 쓰기

3) HR 그룹에게 폴더1에 대해 수정 권한이 있다. 폴더2에 있는 파일2에 대해 Sales 그룹만이 액세스 가능해야

   하며 권한은 읽기 권한만을 부여하려면 어떻게 해야 하나?

   이 요구사항을 처리하기 위해 가장 짧은 단계가 무엇일까?

   - 폴더1 : HR 수정

   - 폴더2 : HR 수정 상속 

   - 파일2 : 수정 상속 / 상속 차단/ HR 그룹 제거 /Sales 추가 후 읽기 권한 할당

아래 파란색 네모를 클릭하면 상속된 설정을 변경 가능하다.

BGP : 대규모 네트워크에 사용하기 위해 만든  프로토콜의

(국가와 국간에 사용 )

: 우리나라는 ISP업체들이

  BGP AS #를 하나씩 기지고있다.

  SK 1000 번대, KT 9000 번대, LG 7000번대

  BGP AS #가 같은애들은  

  -> internal BGP

  BGP AS #가 다른애들은 

  -> external BGP(국가와 국가간은 AS number가 다르므로 )   

  # BGP 보통 넘어오는 routing table갯수 

    3만개 ~ 5만개

    -> 쌍용정보통신(cisco골파, KT 구로, 혜화)

    * show ip route -> 함부로 치면 안됟다.(50000개가 넘는 프로토콜이다 !!!!!!!)

-> neighbor를 맺는다.

   TCP packet을 쓴다.

   TCP port# 179

-> negithbor를 맺을 때 상대방 IP를 지정을 한다.

-> unicast routing이 올라가 있어야 한다.

    -> Next-hop을 알지 못하면 

       BGP 를 맺지 않는다.

BGP가 ㅏ정상적으로 맺어진것을 확인

show ip bgp neighbor

neighbor상태가 establish

    -> negithbor x.x.x.x remote-as #

       네이버를 맺는다.

    -> network x.x.x.x mask x.x.x.x

       자신이 가지고 있는 네트워크를 

       입력한다. (loopback)

아래 그림은 설정된 루프백으로 neighbor를 맺는 것.

<ACL 실습하기>

ACL(Access-Control List)

: 특정 패킷을 차단/허용 기술

: 굉장히 많이 쓰는 기술

  (네트워크 관리 및 보안)

: standard(#1-99) 

  extended(#100-199)

: 기준을 보는것

  1) standard

     -> 패킷의 구별 기준이 source IP 만 보고 판단

     -> 특정 host만 차단을 할 때

            특정 IP만 차단을 할 때  

  2)extended

    -> 패킷의 구별 기준 

   source IP, dest IP

   protocol

   TCP/UDP port# 도 구별 가능 

   -> 특정 서비스만 차단을 할 때

기술팀        192.168.1.0

총무팀        192.168.2.0

총무팀 서벅가 192.168.2.100

    기술팀 서벅가 192.168.1.100

source 192.168.1.0 dest 192.168.1.100 허용 

source 192.168.2.0 dest 192.168.2.100 차단 

ACL을 설정시 유의할 점

1) 순서대로 해야된다. 가장 중요!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

   source 192.168.1.0 허용 

   source 192.168.1.0 차단

   위의 설정을 하더라도 스탠다드는 무조건 허용한다. 

   그 이유는 source IP가 허용을 먼저 설정하였기 때문에

   차단은 먹히지 않는다.

2) 방화벽

3) access-list 10 permit any

4) access-list의 기본동작은 (default) deny 

5) access-list 1 permit 192.168.1.0 0.0.0.255

   => 192.168.1.0의 대역을 통과를 허락하고 나머지 대역은 전부 차단 

   permit any (마지막에 넣는다.)

   차단할 대역대를 다 입력하고

   마지막에 permit any를 넣는다.

설정한 ACL을 포트에 적용해야 한다. ip access-group 1 out은 해당 라우터에서 전송하는 ip를 차단하겠다는 것이다.

in과 out은 설정하는 라우터가 기준이다.  위그림에서 192.168.1.0/24를 deny 라고 Access control list를 지정하였기 때문에

router기준 192.168.1.0대에 ip를 전송하지 않음. 

아래 그림은 access list 를 보여준다. 

위 그림과는 달리 access-list 1 permit any 를 추가였다.

ACL은 받드시 순서가 중요하다!!!

나름 설명하자면, 192.168.1.0 대에 ip를 거부하고 나머지느 허용한다는 의미이다.

access-list 1 permit any 추가 시키지 않으면 모두 deny 함으로 반드시 추가해야 한다.

아래는 extended ACL을 설정하는 것. standard 와는 달리 source ip/subnet, dest IP/subent까지 입력해야 한다. 

아래는 standard 와 extended의 번호를 나타냄. 

<실습 - 웹서버 막기>