정보보안기사 실기 _ 라우터 보안

@ 라우터 자체 보안

- user exec 모드 : 한정된 명령어만 사용이 가능하며 주로 라우터의 간단한 상태등을 조회할 수 있다. 프롬프트는 Router> 와 같이 보인다

- Privileged Exec : 재부팅이나 라우팅등 라우터에서의 모든 명령어에 대해 수행이 가능하며 프롬프트는 Router#

- Global Configuration : 라우터 전반적인 설정을 변경하고자 할때 Router(config)#

- Other Configuration : 세부적인 설정을 하는 메뉴 Router(config-mode)#

- Privileged 모드로 변경할 때 사용하는 enable 패스워드를 설정하기 위해서는 enable password, enable secret을 사용

- enable password 명령어
 - type 0의 평문 저장
 - 평문으로 저장된 암호는 "service password-encryption" 명령을 실행하면 암호화를 수행하는 type 7(역함수가 존재하여 원래의 평문암호를 알 수 있는 방식) 방식으로 암호화한다.

- enable secret 명령어
 - type 5(일방향 함수로 암호화/MD5)의 암호문으로 저정되어 원래의 평문암호를 알 수 없다.
 - 만약 둘다 설정되어있으면 secret이 적용된다.

@라우터와 접근 제어 (ACL)

 - 라우터에서는 access-list라는 것을 이용하여 특정 패킷에 대한 접근제어를 설정할 수 있다.
 - 접근제어 방법에는 크게 standard access-list와 extended access-list로 나누어 볼 수 있다.

1) standard access-list
- 패킷의 소스 IP만으로 패킷을 허용하거나 차단
- access-list number로 1~99까지 사용
- access-list 5 permit host 192.168.159.131
 - source ip 가 192.168.159.131일 경우 접근을 허용한다.
 - 특정 ip를 지정할때는 host를 명시한다. wildcard 마스크를 명시, wildcard마스크는 서브넷 마스크비트를 반전시킨것과 동일하다.
 - 모든 주소를 의미할 때에는 any 키워드를 사용한다.

2) extended access-list
 - 패킷의 소스 ip 뿐만이 목적지 ip, 포트, 프로토콜 등을 이용하여 차단 할수 있다.
 - access-list number로 100~199까지 사용
 - access-list 150 deny ip host 192.168.159.131 100.100.100.0 0.0.0.255
 - access-list acl번호 [permit 또는 deny] 프로토콜  소스  소스-wildcard  목적지  목적지-wildcard

3) Filtering 유형

1. Ingress Filtering
 - standard 또는 extended access-list를 활용하여 라우터 내부로 즉 사내 네트워크로 유입되는 패킷을 source ip나 목적지 port등을 체크하여 허용하거나 거부하도록 필터링 하는 것을 의미한다.
 - 대부분의 공격이 실제 존재하지 않는 위조된 ip 주소를 소스로 하여 진행되므로 인터넷상에서 사용되지 않는 ip 대역만 차단해도 비정상 패킷을 사전에 차단하는 효과가 있다.

2. Egress Filtering
 - ingress filtering과 반대의 개념으로 라우터 내부에서 라우터 외부로 나가는 패킷의 source ip 나 목적지 port등을 체크하여 필터링한다.
 - 외부로 나가는 패킷의 source ip는 반드시 해당 네트워크 대역인 것이 정상이며 이외의 패킷은 모두 위조된 패킷이다.

3. Blackhole Filtering(Null routing)
 - 특정 ip 또는 ip 대역에 대하여 비정상적인 시도가 감지되었을 경우 가상의 스레기 인터페이스(Null interface)로 보내도록 함으로써 패킷 통신이 되지 않도록 하는 방법이다.

4. Unicast RPF(Reverse-Path Forwarding) Filtering
 - access-list 나 blackhole 필터링을 이용하여 일일이 ip나 ip대역을 지정하지 않고도 비정상 트레픽을 효율적으로 필터링 하는 기법
 - 인터페이스를 통해 들어오는 패킷의 소스 ip에 대해 라우팅 테이블을 확인하여 들어온 인터페이스로 다시 나가는지 확인하는 원리이다.