네트워크/Security 2016. 7. 27. 15:11
@ 네트워크 보안 실습
@ PC IP 주소 설정
|
PC |
IP |
Subnet Mask |
Gateway |
DNS |
|
A |
198.133.219.202 |
255.255.255.0 |
198.133.219.254 |
168.126.63.1 |
|
VMware(ACS&Syslog) |
198.133.219.201 |
255.255.255.0 |
198.133.219.254 |
168.126.63.1 |
|
B(공격자) |
58.121.150.1 |
255.255.255.224 |
58.121.150.30 |
168.126.63.1 |
|
C(외부 관리자) |
61.42.122.129 |
255.255.255.128 |
61.42.122.254 |
168.126.63.1 |
1. 기본 설정
|
@ R1
username test password test ! int fa0/0 ip address 198.133.219.254 255.255.255.0 no shutdown ! int fa0/1 ip address 121.160.30.17 255.255.255.252 no shutdown ! router ospf router-id 1.1.1.1 network 198.133.219.254 0.0.0.0 area 0 network 121.160.30.17 0.0.0.0 area 0 |
@ SW1
username test password test ! int vlan 1 ip address 198.133.219.100 255.255.255.0 ! ip default-gateway 198.133.219.254 |
|
@ R3(Web & Telnet 서버)
ip http server username test privilege 15 password test line vty 0 4 no login privilege level 15 ! int fa0/0 ip address 198.133.219.198 255.255.255.0 no shutdown ! ip route 0.0.0.0 0.0.0.0 198.133.219.254 | |
|
@ BB
username test password test ! ip routing ! int fa0/1 no switchport ip address 121.160.30.18 255.255.255.252 ! int fa0/2 no switchport ip address 121.160.30.37 255.255.255.252 ! int fa0/10 no switchport ip address 121.160.30.21 255.255.255.252 ! router ospf 1 router-id 8.8.8.8 network 121.160.30.0 0.0.0.255 area 0 |
@ ISP
username test password test ! int fa0/0 ip address 121.160.30.38 255.255.255.252 ip nat inside no shutdown ! int fa0/1 ip address dhcp ip nat outside no shutdown ! ip route 0.0.0.0 0.0.0.0 192.168.0.1 ! router ospf 1 router-id 7.7.7.7 network 121.160.30.38 0.0.0.0 area 0 default-information originate always ! access-list 10 permit 198.133.219.0 0.0.0.255 access-list 10 permit 121.160.30.0 0.0.0.255 access-list 10 permit 58.121.150.0 0.0.0.255 access-list 10 permit 61.42.122.0 0.0.0.255 ! ip nat inside source list 10 interface fa0/1 overload |
|
@ SW2
username test password test ! ip routing ! int fa0/10 no switchport ip address 121.160.30.22 255.255.255.252 ! int fa0/1 no switchport ip address 58.121.150.30 255.255.255.224 ! int fa0/2 no switchport ip address 61.42.122.254 255.255.255.128 ! router ospf 1 router-id 2.2.2.2 network 121.160.30.22 0.0.0.0 area 0 network 58.121.150.30 0.0.0.0 area 0 network 61.42.122.254 0.0.0.0 area 0 |
- 인터넷 연결 테스트
ISP#show ip int brief ISP#show ip route ISP#ping 168.126.63.1
R3,R1,BB,SW2#show ip route R3,R1,BB,SW2#ping 168.126.63.1 A,ACS,B,C>ping 168.126.63.1
- 공격자, 파견 근무자 내부 네트워크 접근 테스트
B,C>ping 198.133.219.198 B,C>ping 198.133.219.202 B,C>ping 198.133.219.201
B,C>telnet 198.133.219.198 B,C에서 ‘http://198.133.219.198’ 접속
|
2. R1, R3, SW1, BB2, SW2는 NTP 서버 ‘203.248.240.140’으로부터 시간을 받아올수 있도록하며, 대한민국 시간(+9 시간)으로 출력되도록 타임-존(KST)을 변경하여라. (show clock detail, show ntp status)
3. R1, BB, SW2, ISP에서 Syslog 설정을 실시하여, Syslog 서버에게 모든 로그(0~7)가 전송되도록 구성하여라.
|
Device |
logging facility |
|
R1 |
local1 |
|
BB |
local2 |
|
SW2 |
local3 |
|
ISP |
local4 |
4. 다음 조건에 맞게 ACS 서버에서 사용자 정보 및 그룹 지정, 명령어 권한 설정을 실시한다.
- 주-관리자 : admin/cisco (모든 명령어 권한이 가능한 관리자용으로 사용할 예정) <- Group 21
- 부-관리자 : user1/cisco1 (reload, copy, erase, delete 제외한 모든 명령어 사용 가능) <- Group 22
- 신입 직원 : user2/cisco2 (show ip route, show ip int brief, show version 명령어만 사용 가능) <- Group 23
- Lock&Key 사용자 : user3/cisco3(Dynamic ACL로 구현한 Lock&Key 접속에 사용할 예정) <- Group 24
(user3 계정 그룹 설정 중에 ‘auto command’ 설정에서 ‘access-enable host timeout 10’를 설정해야 한다.)
5. R1, BB, SW2, ISP에서 AAA 설정을 실시하여라. 이때, 1차 인증은 TACACS+ 서버를 이용해야 하며, 만약 TACACS+ 서버 네트워크 연결이 안되면, 라우터에서 ‘test/test’로 인증되어야 한다. R1, BB, SW2, ISP에 ‘test/test’ 계정을 추가하여라.
6. R1에서 CBAC를 이용하여 Cisco IOS 방화벽을 구성하여라.
- 내부에서는 외부로부터 TCP, UDP, ICMP 서비스가 가능해야 한다. 즉, 내부에서 생성된 TCP, UDP, ICMP 패켓들은 외부로 나갔다가, 들어올 수 있게 해야 한다. 그외 외부(B/C/BB/ISP/SW2)에서 생성된 패켓들은 내부 접근을 차단해야 한다.
- 차단되는 트래픽들은 Log 메세지를 발생하여, Syslog 서버로 전송되어야 한다.
- R1과 R2 OSPF 네이버가 해지되면 안된다.
- R1은 외부에서 들어오는 TACACS+(목적지 포트 : TCP 49) 메세지가 차단되면 안된다.
- R1은 외부에서 들어오는 NTP(출발지/목적지 포트 : UDP 123) 동기화 관련 메세지가 차단되면 안된다.
- R1은 외부에서 들어오는 Syslog 서버로 전송되는 Log 메세지 Syslog 목적지 포트 : UDP 514번)는 차단되면 안된다.
R1#show ip access-lists, R1#show ip inspect interfaces, R1#show ip inspect session)
7. R1에서 Dynamic ACL를 이용하여 Lock&Key 서비스를 구성하여라.
- 외부에서 내부 네트워크로 접근하기 위해서는 R1 F0/1(121.160.30.17)로 Telnet 인증을 받아야 한다.
- 이때, Telnet 인증때 사용하는 사용자 정보는 ‘user3/cisco3’이며, TACACS+ 인증 서버로부터 인증되어야 한다.
- 구성이 완료되었다면, C에서 R1 F0/1(121.160.30.17)으로 Telnet 접속 및 인증을 실시하고, C에서 198.133.219.198로 Ping 및 텔넷 접속, 'http://198.133.219.198'로 접속 되는지 확인한다. 단, B(공격자)는 ‘198.133.219.0/24’ 네트워크로 접근되면 안된다. (R1#show ip access-lists)
'네트워크 > Security' 카테고리의 다른 글
| Site-to-Site IPSec VPN 실습 (0) | 2016.07.29 |
|---|---|
| GRE Tunnel 실습 (0) | 2016.07.28 |
| AAA & ACS (0) | 2015.06.26 |
| MPLS (0) | 2015.05.08 |
| NAT & DHCP (0) | 2015.04.07 |
