[Cisco] ICMP 허용 호스트 설정 하기

Icmp의 경우 컴퓨터를 아는 사람이라면 거희 알고 잇는 네트워크 관리용 프로토콜입니다.
외부의 icmp는 막는게 좋습니다. 공격의 유용한 도구가 되지요.
(서버의 경우 더더욱 막아야 합니다.)
라우터의ACL을 통해 icmp를 보호하는 ACL로 Router에 구성하면 아주 좋습니다.^^

허용할 네트워크를 xxx.xxx.xxx.xxx.에 입력하고 해당 서브넷을 yyy.yyy.yyy.yyy에 입력합니다.
여기서 서브넷은 호스트 수로 입력합니다.(255.255.255.0의 경우 0.0.0.255)

echo 기본 기능으로 응답 확인, 기본적으로 막아야함
redirect 가까운 라우팅 경로로 변경하여 보내도록 하는 역활, 위조될 수 있음
mask-request 부팅시 자신의 서브넷 마스크를 얻기 위해 사용, 악용 할 수 있음
log
옵션을 지정하면 기록을 남기기때문에 추적하기에도 매우 유용합니다.

(config)# access-list 100 permit icmp xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
(config)# access-list 100 deny icmp any any echo log 
(config)# access-list 100 deny icmp any any redirect log 
(config)# access-list 100 deny icmp any any mask-request log 
(config)# access-list 100 permit any any

(x = 네트워크 ip, y = 서브넷<반대로 기입>)
마지막에 Permit any any를 적어줘야하는 이유는 Cisco ACL의 경우 Permit이 없으면 암묵적으로 거부 됩니다.
필히 써줘서 필요 패킷들까지 버려지는 불상사를 막으세요^^

위처럼 ACL을 만들고 해당 인터페이스에 ACL을 적용해주면 됩니다.
(config)# interface interface eth0 
(config-if)# ip access-group 100 in

예)

(config)# access-list 100 permit icmp 192.168.0.0 0.0.0.255 any
(config)# access-list 100 deny icmp any any echo log 
(config)# access-list 100 deny icmp any any redirect log 
(config)# access-list 100 deny icmp any any mask-request log 
(config)# access-list 100 permit any any
(config)# interface interface eth0 
(config-if)# ip access-group 100 in

Facebook Comments

Leave A Reply

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.