라우터 보안

라우터 보안

접근제어(Access Control)

 

- Router 에서는 access-list 를 이용하여 특정 패킷에 대한 접근제어를 설정할 수 있다.
- 접근제어 방법에는 크게 standard access-list와 extended access-list로 나누어 볼 수 있다.

access-list 설정방법

 

1) standard access-list
- 패킷의 Source IP만으로 패킷을 허용하거나 차단
- access-list number로 1~99까지 사용
- access-list 1 permit host 192.168.126.130
- source ip 가 192.168.126.130 일 경우 접근을 허용한다.

2) extended access-list
- 패킷의 Source ip 뿐만이 목적지 ip, 포트, 프로토콜 등을 이용하여 차단 할수 있다.
- access-list number로 100~199까지 사용
- access-list 150 deny ip host 192.168.159.131 100.100.100.0 0.0.0.255
- access-list acl번호 [permit 또는 deny] 프로토콜 소스 소스-wildcard 목적지 목적지-wildcard

3) Filtering 유형

1. Ingress Filtering
- standard 또는 extended access-list를 활용하여 라우터 내부로 유입되는 패킷을 source ip나 목적지 port등을 체크하여 허용하거나 거부하도록 필터링 하는 것을 의미한다.
- 대부분의 공격이 실제 존재하지 않는 위조된 ip 주소를 소스로 하여 진행되므로 인터넷상에서 사용되지 않는 ip 대역만 차단해도 비정상 패킷을 사전에 차단하는 효과가 있다.

(대부분의 공격이 실제 존재하지 않는 위조된 IP 주소를 소스로 함)

 

2. Egress Filtering
- ingress filtering과 반대의 개념으로 라우터 내부에서 라우터 외부로 나가는 패킷의 source ip 나 목적지 port등을 체크하여 필터링한다.
- 외부로 나가는 패킷의 source ip는 반드시 해당 네트워크 대역인 것이 정상이며 이외의 패킷은 모두 위조된 패킷이다.
(라우터를 통해 나가는 패킷의 소스 ip 중 사용중인 ip 대역을 소스로 한 패킷은 허용하고 나머지는 거부 하도록 설정)

 

3. Blackhole Filtering(Null routing)
- 특정 ip 또는 ip 대역에 대하여 비정상적인 시도가 감지되었을 경우 가상의 스레기 인터페이스(Null interface)로 보내도록 함으로써 패킷 통신이 되지 않도록 하는 방법이다.
- 특정한 ip 대역에 대해서 Null 이라는 가상의 쓰레기 인터페이스로 보내도록 함으로써 패킷의 통신이 되지 않도록 함

 

4. Unicast RPF(Reverse-Path Forwarding) Filtering
- access-list 나 blackhole 필터링을 이용하여 일일이 ip나 ip대역을 지정하지 않고도 비정상 트레픽을 효율적으로 필터링 하는 기법
- 인터페이스를 통해 들어오는 패킷의 소스 ip에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인하는 원리이다.