목록Network/Firewall (KEDU) (17)
bxm's IT Story
## ASA 이중화2. (Active/Active) ## [Active / Active Failover] - Active/Active Failover는 Security-Context를 사용해야 한다. 결과적으로 Dynamic Routing Protocol / VPN / Multicast 사용이 불가능하다. ASA-1/ASA-2] conf t no failover mode multiple clear configure all ## 재부팅 후 [show mode]와 [show context] 명령어로 multiple 모드 동작여부와 admin context를 확인한다. (만약 admin context가 확인되지 않는 경우 관리자가 직접 생성해야 한다.) show mode show context int g0 n..
## ASA Firewall ## ASA-1, ASA-2] ## 시리얼 넘버 넣기 en conf t activation-key 0x4a3ec071 0x0d86fbf6 0x7cb1bc48 0x8b48b8b0 0xf317c0b5 reload conf t activation-key 0xb23bcf4a 0x1c713b4f 0x7d53bcbc 0xc4f8d09c 0x0e24c6b6 clear configure all show version ## Failover가 Active/Active가 지원되는지 확인!! 라이센스가 지원 안되는 것이 있어서 확인을 해야 한다!! ## 방화벽 이중화 방식은 다음과 같다. 1. Active / Standby 2. Active / Active - 방화벽 이중화를 위해 기본 설정 및 ..
## 10 네트워크에 방화벽 1개, 20 네트워크에 방화벽이 1개가 붙었는데 이것이 가상화가 된 것이다. ## ASA 가상화를 할 것인데 1개를 가져다가 2개로 쓸 것임. 1) Admin context라는 특수한 가상 Device가 필요함. (총 3개의 가상 Device가 필요함) 2) Sub interface 나눌 때와 같이 편하게 생각하면 된다. 3) 이렇게 하면 비용도 절감되고, 능률도 생긴다. ## Security-Context ## - 하나의 물리적 방화벽 장비를 다수의 논리적 방화벽으로 나눠서 사용하는 것을 의미한ㄷ. - 방화벽의 모델과 라이센스에 따라서 사용할 수 있는 가상 방화벽의 숫자가 다르다. (라이센스에 따라 다르다는 것임.) 0~255개의 가상 방화벽을 구축할 수 있다. - 각각의 ..
## ASA Transparent Mode (L2 Firewall) - ASA는 기본적으로 L3 Firewall, 즉 Router 모드로 동작한다. L3 Firewall의 경우, Router와 동일하게 각 Interface마다 서로 다른 Network 대역에 포함되어야 하고, Routing 설정이 요구된다. - 하지만 L2 Firewall을 사용할 경우, IP 정책과 Routing 정책을 새롭게 구성할 필요가 없다. 즉, 기존 망에 별도의 구성 변경 없이 방화벽 장비를 추가하는 것이 가능하다. - L2 Firewall은 기본 L3 Firewall과 동일한 기능을 수행한다(Access-list / MPF / NAT / Routing 등). 추가적으로 L2 필터링 (Ethertype ACL)도 지원한다. -..
## 오늘 날짜로 IP 대역 설정. ## 액세스 리스트 설명하기 전에 '재분배'까지 하라. 공통] ena conf t no ip domain lookup line c 0 logg sy exec-timeout 0 exit line vty 0 4 pass cisco exit hostname ## int s1/0 no shut enc fram no fram inver clock rate 64000 end wr R1] conf t int lo0 ip add 17.17.1.1 255.255.255.0 int s1/0 ip address 17.17.12.1 255.255.255.0 fram map ip 17.17.12.2 102 br end wr R2] conf t int lo0 ip add 17.17.2.2 25..
## 1. Telnet ## ## ASA에서의 Telnet 허용 ## ## ASA (Adaptive Security Applicane) 1. Telent * TCP 23번 포트 사용 / 평문(Clear Text) * ASA의 경우 Security-level이 가장 낮은 Interface에서는 Telnet 접근이 불가능하다. ASA] - 텔넷 허용 telnet 172.16.10.145 255.255.255.248 Inside telnet 172.16.50.0 255.255.255.0 DMZ telnet 1.1.100.2 255.255.255.255 Outside password cisco123 Win701] [CMD] - [telent 1.1.100.1] ## 접속이 된다. 와이어샤크에서도 확인!! CE]..
## 기본 셋팅 (기존에 사용하던 Win701의 IP 수정, VMnet은 그대로 1번 카드) Win701] ping 192.168.10.28 ## 게이트웨이로 Ping ## 네트워크 보안 ## 1. Telnet - TCP 포트 23번 사용 / 평문(Plain Text) 사용 -> 보안상 취약 - username : admin / password : cisco123 ## DSW1, DSW2, S_SW, ASW1, ASW2 다 상관없는데 S_SW, ASW1, ASW2는 SVI를 통해 IP를 넣어줘야 하기 때문에 DSW1, DSW2중 하나로 접근. DSW1, DSW2] 둘 중 하나로 접근. 나는 DSW1 en conf t username admin password cisco123 line vty 0 4 log..
Port Security 기능이 되는건 고가 스위치밖에 안된다. 그러기에 가상으로 구현할 것임. 3660은 Port Security 기능이 되는 가상 스위치를 구현할 것이다. - IOU를 사용하게 되면 실제 Switch와 명령어가 동일하고, EtherSwitch 모듈보다 더 많은 Switch 기능을 지원한다. - 수업에서는 실제 Unix가 아니라 Debian 리눅스를 사용하여 IOS를 구동하게 된다. ========================================================================== 1. Virtual Box 설치. 2. 파일 -> 가상 시스템 가져오기 -> [GNS3.IOU.VM.ova] 불러오기. ([GNS3.IOU.VM.ova]는 설치된 Debian..
## ASA_NAT ## ASA] conf t clear configure all hostname ASA int g 0 desc ##Inside_Net## ip add 10.1.1.254 255.255.255.0 nameif Inside security-level 100 no shut int g 1 desc ##Outside_Net## ip add 1.1.100.1 255.255.255.252 nameif Outside security-level 0 no shut int g 2 desc ##DMZ_Net## ip add 10.1.2.254 255.255.255.0 nameif DMZ security-level 50 no shut int g 3 desc ##Management_Net## ip add 192..
## Application Layer Control (DPI) 1 - HTTP ## IPS] conf t line vty 0 4 pass cisco123 enable cisco123 ## ISP에서 Telnet 가능하게 하고, Win7에서 테스트 CE] conf t ip nat inside source static tcp 1.1.100.6 23 1.1.100.2 80 int f0/0 ip nat outside exit int f0/1 ip nat inside exit line vty 0 4 pass cisco123 enable password cisco123 ## Win701에서의 Telnet 사용때의 비밀번호임! Win702] ping 192.168.1.254 ## 방화벽 단자까지 통신되는지 한번 확인..