CCNP Part 2 - 6

EEM Theory

EEM (Embedded Event Manager)

IOS기본에 탑재된 기능, IOS장비에서 발생하는 다양한 정보를 실시간으로 모니터링해서, 맞는 액션을 취할수 있도록

IOS에 어떤 스크립트를 만들어서, 그 액션이 일어나면 감지하자마자 사전에 정의된 어떤 액션을 취함

Tcl 이라는 Programming langugae를 알고 있어야함, Applet

IOS에 기본 탑재 된기능이라, 어떤 외부 소스를 쓸 필요가 없음

관심을 가질만한 Event를 계속 모니터링 하는 것

Event 를 정의 하고 Event Detector를 정의하고 Event Policy 실행

EEM 에서 실시간으로 감시 -> 행위 detect 시 policy와 연동, 정의해놓은 액션 취함

 

실습

시나리오 : R1의 인터페이스가 실수로 관리자가 shutdown이 되면 자동으로 no shut으로 올리게

자동으로 나오는 메세지를 복사 해놓기

applet 사용, AUTO-NO-SHUT이란 이름의 정책

event syslog pattern 해서 감시하는 로그 메세지가 정의가 됨 "" 써야함 꼭

action을 순차적으로 정의 해야함

shut 이라고 치자마자, 아까 정한 로그 발견해서 바로 no shut으로 올리는걸 볼수있음

시나리오 2 sh run 막기

sync no = 명령어 치기전에 eem policy 나옴 sync yes = 명령어 실행후 eem plicy 나옴

sh run 쳤을때 저 메세지가 나오도록 

 

 

(Security) Privilege Level

Cisco 장비에 로그인을 하면, 어떤 privilege level을 갖는다. 사용자에 따라 시스코 장비에서 활용할수있는 명령어에 제한을 두는 것

기본적으로 3개의 privilege mode가 있다

Level 0 : Guest Level 실제로 사용 가능 코맨드는 5개

Usermode = User Level, 오로지 장비 상태 정보만 확인 가능

Privileged Level 

 

사용자가 권한을 작게 가져도록, list privilege 적용 시키는 것

 

enable = privilege level 15

Line Password

Line password 라는 건 시스코 장비에 진입을 할수있는 포인트를 라인이라고 한다. 콘솔이라는 프로세스로 진입을 해서 장비 config를 바꿀수 있음

CTY Line = Console

AUX Line = Auxiliary 옛날 모뎀 같은거 , Dial up , 일반 전화선으로 들어가는거

VTY = 동시에 텔넷으로 접속

 

 

이 라인에 대해 패스워드 설정이 가능함

 

local db에서 user 인증 한다는 뜻

transport input telnet or all 해줘야 접속 가능

기본적으로 Console 이랑 AUX랑은 똑같음

 

AAA인증

사용자 account check = Authentication

 

로그인을 하면 무조건 Authorization이 이뤄짐. 권한 문제, 사용자가 실제로 그러한 priviliege 권한을 가지고 있는지 인증 하는 것

 

사용자가 어떤 데이터를 얼마나 썻는지, 어떤 파일을 어떻게 썻는지 "기록"하는 것을 Accounting 이라고 함

 

Security 상에서는 이 3가지를 check하고 항상 신경써서 관리 해야 한다

 

사용자 정보, 사용자 기록을 남기기위해 우리가 크게 2가지 서버를 사용한다

RADIUS/TACACS+

 

RADIUS

IETF open standard

 

TACACS+

Cisco made

 

시나리오 : Router 에서 Console 로그인을 할때 AAA인증(인증서버) 연동해보자, 실패하면 local data base를 이용하도록

aaa 기능 키기

local db에 account하나 만들기

TACACS 이름의 tacacs peer 설정. key security를 만들어서 쌍방 통신 되게 (실제로 tacacs에도 이 라우터 장비가 등록 되어있고 키 값이 같아야 통신 가능)

Tacacs 서버 그룹 만들어서, 저 그룹에 들어있는 서버면 서로 백업 가능

3가지 인증 방식 의 script , 1. aaa 2. t-group 3. local 4. enable password

Standard ACL

Router를 통과하는 IP Packet을 제어 하기위한 기능

Access를 제어하는 List

Access Control List는 Access Control Entry 의 그룹이다

 

ACL은 종류가 굉장히 많음

1. Standard Access List

Router의 인터페이스 에서 검문하는데 Source ip address만 검사함. 

Standard Access List는 가급적이면, 목적지에 가까운 곳에 설정해야 함. Source에 두면, 내가 원하는 경로가 막힐수 있기때문

Access List 직접 구성 및 설정

 

중요한 것은 Standard access list는 프로토콜을 구분 하지 못하고 오로지 ip address만 구분 가능함

Acces-list 를 공부할때는 먼저 반드시 통신 되는지 확인 해야함

 

굉장히 간단함

Access-list는 기본적으로 permit을 만들어야함. 정의 되지 않은 것들은 모든 트래픽들을 막아 버림

이렇게 10.1.1.5만 permit 해버리면, 다른 traffic들은 모두 막힘 뒤에 all deny 생략되어있음

이렇게 access-list를 만들고 검문할 interface에 적용 시켜야함

int gi0/0 에 들어오는 트래픽에 대해서 검사하려면 in 치면됨

PC2 에서 UUUUU(Unreachable)이 나오는걸 볼수 있다 , R1라우터가 버렸다는 ICMP Traffic을 보내주는 것임

2. Extended Access-list

출발지 ip, 목적지 ip , protocol , port 번호 를 사용해서 좀더 세밀하게 적용함 ->출발지에 가까이 두는게 좋음 , 목적지에 가까이 두면 가는 동안 bandwidth 낭비 함

 

PC1에서 Telnet만 막고 나머지는 전부다 허용 하는 시나리오

Server에 telnet 설정 먼저 해주고

R1에서 ACL 걸어주기

 

100-199가 extended ACL 번호임

막는걸 기준으로 하는게 더 쉬움

 

eq * 로 무슨 protocol 막을지 설정 가능

eq 23 = telnet port

이렇게 deny 해도 뒤에 deny all 걸려있어서 permit all all 해줘야 함

10.1.1.0/24 대역 모두 허용

R1 int gi0/0 에 들어오는 트래픽에 한해 Access Control 하겠다

핑 ok 텔넷 X 확인 완료

Access list 적용된 곳에서 몇번 worked 했는지 확인 가능

Named ACL

Extended Named ACL

기존의 Access-list와 같지만, 숫자 대신 이름을 사용한다는 점에서 다름 (숫자로 된 access-list는 수정이 불가능함, 기존의 access-list 중간에 한 획만 수정 불가능함) 즉 이런점을 보완한게 Named ACL.

이름에 Access-list의 목적을 명확히 나타낼수 있음

 

앞선 강의에서 했던 extended access-list와 같이 해보자

PC1 -> Server 텔넷만 막는게 아닌 HTTP도 막아보자

PC2에서는 모든 Server 동작 확인

이제 PC1에서 Server로 가는 HTTP traffic도 막고싶은 경우, 기존의 access-list를 수정해야 하는데

이 access-list를 수정 할수 없다.

no access-list로 지워야함 -> 방화벽, 이런 라인들을 굉장히 많이 가지고 있어서, 수정하기 굉장히 귀찮고 어려움

이제 named ACL만들어서 interface에 apply 해보자

Telnet 막는거 일단 만들었음

Interface에 적용 완료

HTTP를 막으려면 이제 10,20사이에 들어가야되는데 이걸 막기 위해서 Named ACL을 수정해보자, permit 밑에 들어가면, 순차적으로 실행되기때문에 막히지 않음

만들어놓은 ACL불러와서

sequence number를 15로 줘서 permit 위에 줌

이렇게 제대로 들어간 걸 확인 완료

동작 되는 것도 확인 완료 했음

 

 

ACL Considerations

ACL설정시 주의할점

ACL Entry들이 엄청 많음 그래서 잘 관리해야함

ACL맨 마지막에는 하나도 매칭이 안되면 deny 됨 = implicit deny 기능

 

Protocol 이나 destination 으로 컨트롤 안됨, 예 cisco vty, 목적지 쪽에 놓음 

 

Bandwidth 낭비를 막기위해, source 가까운 곳에 둠

 

 

inbound로 설정할꺼냐 아니면 outbound로 설정할거냐가 중요

ACL는 ACL를 정의를 하고 interface에 정의하는게 안전함. 왜 ? 기본적으로 모두 deny라서 얘기치 않은 상황이 발생 할수 있기 때문