네트워크/Security 2016.07.27 15:11

 

 

@ 네트워크 보안 실습

 

@ PC IP 주소 설정

 

PC

IP

Subnet Mask

Gateway

DNS

A

198.133.219.202

255.255.255.0

198.133.219.254

168.126.63.1

VMware(ACS&Syslog)

198.133.219.201

255.255.255.0

198.133.219.254

168.126.63.1

B(공격자)

58.121.150.1

255.255.255.224

58.121.150.30

168.126.63.1

C(외부 관리자)

61.42.122.129

255.255.255.128

61.42.122.254

168.126.63.1

 

 

 

1. 기본 설정

@ R1

 

username test password test

!

int fa0/0

 ip address 198.133.219.254 255.255.255.0

 no shutdown

!

int fa0/1

 ip address 121.160.30.17 255.255.255.252

 no shutdown

!

router ospf

 router-id 1.1.1.1

 network 198.133.219.254 0.0.0.0 area 0

 network 121.160.30.17 0.0.0.0 area 0

@ SW1

 

username test password test

!

int vlan 1

 ip address 198.133.219.100 255.255.255.0

!

ip default-gateway 198.133.219.254

@ R3(Web & Telnet 서버)

 

ip http server

username test privilege 15 password test

line vty 0 4

 no login

 privilege level 15

!

int fa0/0

 ip address 198.133.219.198 255.255.255.0

 no shutdown

!

ip route 0.0.0.0 0.0.0.0 198.133.219.254

@ BB

 

username test password test

!

ip routing

!

int fa0/1

 no switchport

 ip address 121.160.30.18 255.255.255.252

!

int fa0/2

 no switchport

 ip address 121.160.30.37 255.255.255.252

!

int fa0/10

 no switchport

 ip address 121.160.30.21 255.255.255.252

!

router ospf 1

router-id 8.8.8.8

 network 121.160.30.0 0.0.0.255 area 0

@ ISP

 

username test password test

!

int fa0/0

 ip address 121.160.30.38 255.255.255.252

 ip nat inside

 no shutdown

!

int fa0/1

 ip address dhcp

 ip nat outside

 no shutdown

!

ip route 0.0.0.0 0.0.0.0 192.168.0.1

!

router ospf 1

 router-id 7.7.7.7

 network 121.160.30.38 0.0.0.0 area 0

 default-information originate always

!

access-list 10 permit 198.133.219.0 0.0.0.255

access-list 10 permit 121.160.30.0 0.0.0.255

access-list 10 permit 58.121.150.0 0.0.0.255

access-list 10 permit 61.42.122.0 0.0.0.255

!

ip nat inside source list 10 interface fa0/1 overload

@ SW2

 

username test password test

!

ip routing

!

int fa0/10

 no switchport

 ip address 121.160.30.22 255.255.255.252

!

int fa0/1

 no switchport

 ip address 58.121.150.30 255.255.255.224

!

int fa0/2

 no switchport

 ip address 61.42.122.254 255.255.255.128

!

router ospf 1

 router-id 2.2.2.2

 network 121.160.30.22 0.0.0.0 area 0

 network 58.121.150.30 0.0.0.0 area 0

 network 61.42.122.254 0.0.0.0 area 0

 - 인터넷 연결 테스트

 

ISP#show ip int brief

ISP#show ip route

ISP#ping 168.126.63.1

 

R3,R1,BB,SW2#show ip route

R3,R1,BB,SW2#ping 168.126.63.1

A,ACS,B,C>ping 168.126.63.1

 

 - 공격자, 파견 근무자 내부 네트워크 접근 테스트

 

B,C>ping 198.133.219.198

B,C>ping 198.133.219.202

B,C>ping 198.133.219.201

 

B,C>telnet 198.133.219.198

B,C에서 ‘http://198.133.219.198’ 접속

 


 

 

 

2. R1, R3, SW1, BB2, SW2 NTP 서버 ‘203.248.240.140’으로부터 시간을 받아올수 있도록하며, 대한민국 시간(+9 시간)으로 출력되도록 타임-(KST)을 변경하여라. (show clock detail, show ntp status)

 

 

 

3. R1, BB, SW2, ISP에서 Syslog 설정을 실시하여, Syslog 서버에게 모든 로그(0~7)가 전송되도록 구성하여라.

 

Device

logging facility

R1

local1

BB

local2

SW2

local3

ISP

local4

 

 

 

4. 다음 조건에 맞게 ACS 서버에서 사용자 정보 및 그룹 지정, 명령어 권한 설정을 실시한다.

 

 - -관리자 : admin/cisco (모든 명령어 권한이 가능한 관리자용으로 사용할 예정) <- Group 21

- -관리자 : user1/cisco1 (reload, copy, erase, delete 제외한 모든 명령어 사용 가능) <- Group 22

- 신입 직원 : user2/cisco2 (show ip route, show ip int brief, show version 명령어만 사용 가능) <- Group 23

 - Lock&Key 사용자 : user3/cisco3(Dynamic ACL로 구현한 Lock&Key 접속에 사용할 예정) <- Group 24

   (user3 계정 그룹 설정 중에 ‘auto command’ 설정에서 ‘access-enable host timeout 10’를 설정해야 한다.)

 

 

 

5. R1, BB, SW2, ISP에서 AAA 설정을 실시하여라. 이때, 1차 인증은 TACACS+ 서버를 이용해야 하며, 만약 TACACS+ 서버 네트워크 연결이 안되면, 라우터에서 ‘test/test’로 인증되어야 한다. R1, BB, SW2, ISP‘test/test’ 계정을 추가하여라.

 

 

 

6. R1에서 CBAC를 이용하여 Cisco IOS 방화벽을 구성하여라.

 

 - 내부에서는 외부로부터 TCP, UDP, ICMP 서비스가 가능해야 한다. , 내부에서 생성된 TCP, UDP, ICMP 패켓들은 외부로 나갔다가, 들어올 수 있게 해야 한다. 그외 외부(B/C/BB/ISP/SW2)에서 생성된 패켓들은 내부 접근을 차단해야 한다.

- 차단되는 트래픽들은 Log 메세지를 발생하여, Syslog 서버로 전송되어야 한다.

- R1 R2 OSPF 네이버가 해지되면 안된다.

- R1은 외부에서 들어오는 TACACS+(목적지 포트 : TCP 49) 메세지가 차단되면 안된다.

- R1은 외부에서 들어오는 NTP(출발지/목적지 포트 : UDP 123) 동기화 관련 메세지가 차단되면 안된다.

 - R1은 외부에서 들어오는 Syslog 서버로 전송되는 Log 메세지 Syslog 목적지 포트 : UDP 514)는 차단되면 안된다.

 

R1#show ip access-lists, R1#show ip inspect interfaces, R1#show ip inspect session)

 

 

 

7. R1에서 Dynamic ACL를 이용하여 Lock&Key 서비스를 구성하여라.

 

 - 외부에서 내부 네트워크로 접근하기 위해서는 R1 F0/1(121.160.30.17) Telnet 인증을 받아야 한다.

 - 이때, Telnet 인증때 사용하는 사용자 정보는 ‘user3/cisco3’이며, TACACS+ 인증 서버로부터 인증되어야 한다.

 - 구성이 완료되었다면, C에서 R1 F0/1(121.160.30.17)으로 Telnet 접속 및 인증을 실시하고, C에서 198.133.219.198 Ping 및 텔넷 접속, 'http://198.133.219.198'로 접속 되는지 확인한다. , B(공격자)‘198.133.219.0/24’ 네트워크로 접근되면 안된다. (R1#show ip access-lists)

 

'네트워크 > Security' 카테고리의 다른 글

Site-to-Site IPSec VPN 실습  (0) 2016.07.29
GRE Tunnel 실습  (0) 2016.07.28
네트워크 보안 실습  (0) 2016.07.27
AAA & ACS  (0) 2015.06.26
MPLS  (0) 2015.05.08
NAT & DHCP  (0) 2015.04.07
Posted by 김정우 강사(카카오톡 : kim10322)


Q