소개
이 문서에서는 Cisco IPS를 사용하여 PIX(Private Internet Exchange)/ASA/Cisco IOS® 라우터에서 차단을 구성하는 방법에 대해 설명합니다.
사전 요구 사항
요구 사항
차단 또는 속도 제한을 위해 ARC를 구성하기 전에 다음 작업을 완료해야 합니다.
-
네트워크 토폴로지를 분석하여 어떤 센서가 어떤 디바이스를 차단할 수 있는지, 어떤 주소는 차단할 수 없는지 파악합니다.
-
각 디바이스에 로그인하는 데 필요한 사용자 이름, 디바이스 비밀번호, enable 비밀번호, 연결 유형(텔넷 또는 SSH)을 수집합니다.
-
디바이스의 인터페이스 이름을 확인합니다.
-
필요한 경우 사전 블록 ACL 또는 VACL과 사후 블록 ACL 또는 VACL의 이름을 알 수 있습니다.
-
차단할 수 있고 차단할 수 없는 인터페이스와 어느 방향(수신 또는 발신)을 파악할 수 있습니다.
사용되는 구성 요소
이 문서의 정보는 Cisco IPS(Intrusion Prevention System) 5.1 이상을 기반으로 합니다.
참고: 기본적으로 ARC는 250개 블록 엔트리 제한에 대해 구성됩니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 기술 팁 및 기타 내용에 형식 규칙 사용을 참조하십시오.
배경 정보
센서의 차단 애플리케이션인 ARC는 라우터, Cisco 5000 RSM 및 Catalyst 6500 Series 스위치, PIX 방화벽, FWSM 및 ASA(Adaptive Security Appliance)에서 차단을 시작하고 중지합니다. ARC는 악성 IP 주소에 대해 관리되는 디바이스에 차단하거나 차단합니다. ARC는 센서가 관리하는 모든 장치에 동일한 블록을 전송합니다. 기본 차단 센서가 구성된 경우, 차단은 이 디바이스로 전달되며 이 디바이스에서 발급됩니다. ARC는 블록의 시간을 모니터링하고 시간이 만료된 후 블록을 제거합니다.
IPS 5.1을 사용하는 경우 차단 요청과 함께 VLAN 정보가 전송되지 않으므로 다중 컨텍스트 모드에서 방화벽으로 차단할 때는 특별히 주의해야 합니다.
참고: 다중 컨텍스트 FWSM의 관리 컨텍스트에서는 차단이 지원되지 않습니다.
다음 세 가지 유형의 블록이 있습니다.
-
Host block(호스트 블록) - 지정된 IP 주소에서 모든 트래픽을 차단합니다.
-
Connection block(연결 블록) - 지정된 소스 IP 주소에서 지정된 목적지 IP 주소 및 목적지 포트로의 트래픽을 차단합니다. 동일한 소스 IP 주소에서 다른 목적지 IP 주소 또는 목적지 포트로 연결되는 여러 연결 블록은 자동으로 블록을 연결 블록에서 호스트 블록으로 전환합니다.
참고: 연결 블록은 보안 어플라이언스에서 지원되지 않습니다. 보안 어플라이언스는 선택적인 포트 및 프로토콜 정보가 있는 호스트 블록만 지원합니다.
-
Network block(네트워크 차단) - 지정된 네트워크의 모든 트래픽을 차단합니다. 서명이 트리거될 때 호스트 및 연결 블록을 수동으로 또는 자동으로 시작할 수 있습니다. 네트워크 차단은 수동으로만 시작할 수 있습니다.
자동 블록의 경우 SensorApp이 서명이 트리거될 때 ARC에 차단 요청을 전송하도록 특정 서명에 대한 이벤트 작업으로 Request Block Host(차단 호스트 요청) 또는 Request Block Connection(차단 연결 요청)을 선택해야 합니다. ARC가 SensorApp으로부터 차단 요청을 수신하면 디바이스 컨피그레이션을 업데이트하여 호스트 또는 연결을 차단합니다.
Cisco 라우터 및 Catalyst 6500 Series 스위치에서 ARC는 ACL 또는 VACL을 적용하여 블록을 생성합니다. ACL 및 VACL은 트래픽을 허용하거나 거부하기 위해 방향 및 VLAN을 포함하는 인터페이스에 각각 필터를 적용합니다. PIX 방화벽, FWSM 및 ASA는 ACL 또는 VACL을 사용하지 않습니다. 기본 제공 shun 및 no shun 명령이 사용됩니다.
이 정보는 ARC를 구성하는 데 필요합니다.
-
디바이스가 AAA로 구성된 경우 사용자 ID에 로그인합니다.
-
로그인 암호
-
비밀번호 활성화 - 사용자에게 활성화 권한이 있는 경우 필요하지 않습니다.
-
관리할 인터페이스(예: ethernet0, vlan100).
-
생성된 ACL 또는 VACL의 시작(사전 블록 ACL 또는 VACL) 또는 끝(사후 블록 ACL 또는 VACL)에 적용할 기존 ACL 또는 VACL 정보. PIX 방화벽, FWSM 또는 ASA는 ACL 또는 VACL을 사용하여 차단하지 않기 때문에 이러한 설정이 적용되지 않습니다.
-
텔넷 또는 SSH를 사용하여 디바이스와 통신하는지 여부.
-
차단하지 않으려는 IP 주소(호스트 또는 호스트 범위)
-
블록을 얼마나 오래 지속시키길 원하세요.
차단 및 속도 제한을 활성화하는 데 필요한 기본 설정을 구성하려면 Blocking(차단) 페이지를 사용합니다.
ARC는 관리되는 디바이스에 대한 차단 및 속도 제한 작업을 제어합니다.
결코 차단할 수 없는 호스트 및 네트워크를 식별하려면 센서를 조정해야 합니다. 신뢰할 수 있는 디바이스의 트래픽에서 시그니처를 생성할 수 있습니다. 이 서명이 공격자를 차단하도록 구성된 경우 합법적인 네트워크 트래픽에 영향을 줄 수 있습니다. 이 시나리오를 방지하기 위해 디바이스의 IP 주소를 Never Block 목록에 나열할 수 있습니다.
Never Block 항목에 지정된 넷마스크는 Never Block 주소에 적용됩니다. 넷마스크를 지정하지 않으면 기본 /32 마스크가 적용됩니다.
참고: 기본적으로 센서는 자신의 IP 주소에 대한 차단을 실행할 수 없습니다. 이 경우 센서와 차단 장치 간의 통신이 방해되기 때문입니다. 그러나 이 옵션은 사용자가 구성할 수 있습니다.
차단 디바이스를 관리하도록 ARC가 구성되면 차단에 사용되는 차단 디바이스 차단 및 ACL/VACL을 수동으로 변경할 수 없습니다. 이로 인해 ARC 서비스가 중단될 수 있으며 이후 블록이 생성되지 않을 수 있습니다.
참고: 기본적으로 Cisco IOS® 디바이스에서는 차단만 지원됩니다. 속도 제한 또는 차단 + 속도 제한을 선택하는 경우 차단 기본값을 재정의할 수 있습니다.
블록을 발행하거나 변경하려면 IPS 사용자에게 관리자 또는 운영자 역할이 있어야 합니다.
Cisco 라우터를 관리하도록 센서 구성
이 섹션에서는 Cisco 라우터를 관리하도록 센서를 구성하는 방법에 대해 설명합니다. 여기에는 다음 항목이 포함됩니다.
사용자 프로필 구성
사용자 프로필을 설정하기 위해 user-profiles profile_name 명령으로 센서가 다른 디바이스를 관리합니다. 사용자 프로필에는 사용자 ID, 비밀번호 및 enable 비밀번호 정보가 포함됩니다. 예를 들어, 모두 동일한 비밀번호와 사용자 이름을 공유하는 라우터는 하나의 사용자 프로필에 포함될 수 있습니다.
참고: 차단 디바이스를 구성하기 전에 사용자 프로필을 생성해야 합니다.
사용자 프로필을 설정하려면 다음 단계를 완료하십시오.
-
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
-
네트워크 액세스 모드를 시작합니다.
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
사용자 프로필 이름을 생성합니다.
sensor(config-net)#user-profiles PROFILE1
-
해당 사용자 프로필의 사용자 이름을 입력합니다.
sensor(config-net-use)#username username
-
사용자의 비밀번호를 지정합니다.
sensor(config-net-use)# password
Enter password[]: ********
Re-enter password ********
-
사용자에 대한 enable 비밀번호를 지정합니다.
sensor(config-net-use)# enable-password
Enter enable-password[]: ********
Re-enter enable-password ********
-
설정을 확인합니다.
sensor(config-net-use)#show settings
profile-name: PROFILE1
-----------------------------------------------
enable-password: <hidden>
password: <hidden>
username: jsmith default:
-----------------------------------------------
sensor(config-net-use)#
-
네트워크 액세스 하위 모드를 종료합니다.
sensor(config-net-use)#exit
sensor(config-net)#exit
Apply Changes:?[yes]:
-
변경 사항을 적용하려면 Enter를 누르고 취소하려면 no를 입력합니다.
라우터 및 ACL
ACL을 사용하는 차단 디바이스로 ARC를 구성하는 경우 ACL은 다음과 같이 구성됩니다.
-
센서 IP 주소 또는 센서의 NAT(Network Address Translation) 주소가 있는 허용 줄입니다(지정된 경우).
참고: 센서 차단을 허용할 경우 이 라인은 ACL에 나타나지 않습니다.
-
사전 차단 ACL(지정된 경우): 이 ACL은 디바이스에 이미 있어야 합니다.
참고: ARC는 미리 구성된 ACL의 행을 읽고 블록 ACL의 시작 부분에 복사합니다.
-
모든 활성 블록.
-
Post-Block ACL 또는 permit ip any:
참고: ARC가 만드는 ACL은 사용자나 다른 시스템에서 수정할 수 없습니다. 이러한 ACL은 임시 ACL이며 센서에 의해 지속적으로 새 ACL이 생성됩니다. 수정 가능한 유일한 사항은 사전 블록 ACL 및 사후 블록 ACL입니다.
Pre-Block 또는 Post-Block ACL을 수정해야 하는 경우 다음 단계를 완료합니다.
-
센서에서 차단을 비활성화합니다.
-
디바이스의 컨피그레이션을 변경합니다.
-
센서에서 차단을 다시 활성화합니다.
차단이 다시 활성화되면 센서가 새 디바이스 컨피그레이션을 읽습니다.
참고: 단일 센서가 여러 디바이스를 관리할 수 있지만 여러 센서가 단일 디바이스를 관리할 수는 없습니다. 여러 센서에서 발급된 블록이 단일 차단 장치를 의미하는 경우 1차 차단 센서를 설계에 통합해야 합니다. 1차 차단 센서는 여러 센서로부터 차단 요청을 수신하고 모든 차단 요청을 차단 장치에 발행합니다.
라우터 컨피그레이션에서 Pre-Block 및 Post-Block ACL을 생성하고 저장합니다. 이러한 ACL은 확장형 IP ACL이어야 하며, 이름이 지정되거나 번호가 매겨져야 합니다. ACL 생성 방법에 대한 자세한 내용은 라우터 설명서를 참조하십시오.
참고: 사전 차단 및 사후 차단 ACL은 속도 제한에 적용되지 않습니다.
ACL은 하향식으로 평가되며 첫 번째 일치 작업이 수행됩니다. 사전 차단 ACL에는 차단으로 인한 거부보다 우선하는 허용이 포함될 수 있습니다.
사후 블록 ACL은 사전 블록 ACL 또는 블록이 처리하지 않은 모든 조건을 고려하는 데 사용됩니다. 인터페이스에 기존 ACL이 있고 블록이 발급된 방향으로 있는 경우 해당 ACL을 포스트 블록 ACL로 사용할 수 있습니다. 포스트 블록 ACL이 없는 경우 센서는 새 ACL의 끝에 permit ip any any를 삽입합니다.
센서가 시작되면 두 ACL의 내용을 읽습니다. 다음 항목을 포함하는 세 번째 ACL을 생성합니다.
-
센서 IP 주소에 대한 허용 줄입니다.
-
Pre-Block ACL의 모든 컨피그레이션 행 복사본
-
센서에 의해 차단된 각 주소에 대한 거부 회선
-
사후 블록 ACL의 모든 컨피그레이션 행 복사본.
센서는 인터페이스 및 사용자가 지정하는 방향에 새 ACL을 적용합니다.
참고: 새 블록 ACL이 특정 방향에서 라우터의 인터페이스에 적용될 경우 해당 인터페이스의 기존 ACL을 해당 방향에서 대체합니다.
CLI를 사용하여 Cisco 라우터 구성
차단 및 속도 제한을 수행하도록 Cisco 라우터를 관리하는 센서를 구성하려면 다음 단계를 완료하십시오.
-
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
-
네트워크 액세스 하위 모드를 시작합니다.
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
ARC에서 제어하는 라우터의 IP 주소를 지정합니다.
sensor(config-net)#router-devices ip_address
-
사용자 프로필을 구성할 때 생성한 논리적 디바이스 이름을 입력합니다.
sensor(config-net-rou)#profile-name user_profile_name
참고: ARC는 사용자가 입력한 모든 내용을 수락합니다. 사용자 프로필이 존재하는지 여부는 확인하지 않습니다.
-
센서에 액세스하는 데 사용되는 방법을 지정합니다.
sensor(config-net-rou)# communication {telnet | ssh-des | ssh-3des}
지정하지 않으면 SSH 3DES가 사용됩니다.
참고: DES 또는 3DES를 사용하는 경우 디바이스에서 SSH 키를 수락하려면 ssh host-key ip_address 명령을 사용해야 합니다.
-
센서 NAT 주소를 지정합니다.
sensor(config-net-rou)#nat-address nat_address
참고: 이렇게 하면 ACL의 첫 번째 줄에 있는 IP 주소가 센서의 주소에서 NAT 주소로 변경됩니다. NAT 주소는 센서와 차단 장치 사이에 있는 중간 장치에서 변환된 센서 주소입니다.
-
라우터가 차단, 속도 제한 또는 둘 모두를 수행할지 여부를 지정합니다.
참고: 기본값은 blocking입니다. 라우터가 차단만 수행하도록 하려는 경우 응답 기능을 구성할 필요가 없습니다.
-
인터페이스 이름 및 방향을 지정합니다.
sensor(config-net-rou)#block-interfaces interface_name {in | out}
참고: 인터페이스의 이름은 interface 명령 이후에 라우터가 사용할 때 인식하는 약어여야 합니다.
-
(선택 사항) 사전 ACL 이름을 추가합니다(차단만 해당).
sensor(config-net-rou-blo)#pre-acl-name pre_acl_name
-
(선택 사항) post-ACL 이름을 추가합니다(차단만 해당).
sensor(config-net-rou-blo)#post-acl-name post_acl_name
-
설정을 확인합니다.
sensor(config-net-rou-blo)#exit
sensor(config-net-rou)#show settings
ip-address: 10.89.127.97
-----------------------------------------------
communication: ssh-3des default: ssh-3des
nat-address: 10.89.149.219 default: 0.0.0.0
profile-name: PROFILE1
block-interfaces (min: 0, max: 100, current: 1)
-----------------------------------------------
interface-name: GigabitEthernet0/1
direction: in
-----------------------------------------------
pre-acl-name: <defaulted>
post-acl-name: <defaulted>
-----------------------------------------------
-----------------------------------------------
response-capabilities: block|rate-limit default: block
-----------------------------------------------
sensor(config-net-rou)#
-
네트워크 액세스 하위 모드를 종료합니다.
sensor(config-net-rou)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:
-
변경 사항을 적용하려면 Enter를 누르고 취소하려면 no를 입력합니다.
Cisco 방화벽을 관리하도록 센서 구성
Cisco 방화벽을 관리하도록 센서를 구성하려면 다음 단계를 완료하십시오.
-
관리자 권한이 있는 계정으로 CLI에 로그인합니다.
-
네트워크 액세스 하위 모드를 시작합니다.
sensor#configure terminal
sensor(config)#service network-access
sensor(config-net)#
-
ARC에서 제어하는 방화벽의 IP 주소를 지정합니다.
sensor(config-net)#firewall-devices ip_address
-
사용자 프로필을 구성할 때 생성한 사용자 프로필 이름을 입력합니다.
sensor(config-net-fir)#profile-name user_profile_name
참고: ARC는 사용자가 입력하는 모든 내용을 수락합니다. 논리적 디바이스가 있는지 확인하지 않습니다.
-
센서에 액세스하는 데 사용되는 방법을 지정합니다.
sensor(config-net-fir)#communication {telnet | ssh-des | ssh-3des}
지정하지 않으면 SSH 3DES가 사용됩니다.
참고: DES 또는 3DES를 사용하는 경우 키를 수락하거나 ARC가 디바이스에 연결할 수 없도록 하려면 ssh host-key ip_address 명령을 사용해야 합니다.
-
센서 NAT 주소를 지정합니다.
sensor(config-net-fir)#nat-address nat_address
참고: 이렇게 하면 ACL의 첫 번째 줄에 있는 IP 주소가 센서의 IP 주소에서 NAT 주소로 변경됩니다. NAT 주소는 센서와 차단 장치 사이에 있는 중간 장치에서 변환된 센서 주소입니다.
-
네트워크 액세스 하위 모드를 종료합니다.
sensor(config-net-fir)#exit
sensor(config-net)#exit
sensor(config)#exit
Apply Changes:?[yes]:
-
변경 사항을 적용하려면 Enter를 누르고 취소하려면 no를 입력합니다.
PIX/ASA에서 SHUN으로 차단
shun 명령을 실행하면 공격 호스트의 연결이 차단됩니다. 명령의 값과 일치하는 패킷은 차단 기능이 제거될 때까지 삭제 및 기록됩니다. shun은 지정된 호스트 주소와의 연결이 현재 활성 상태인지 여부에 관계없이 적용됩니다.
목적지 주소, 소스 및 목적지 포트, 프로토콜을 지정할 경우, 해당 매개변수와 일치하는 연결로 차단 범위를 좁힐 수 있습니다. 각 소스 IP 주소에 대해 shun 명령을 하나만 가질 수 있습니다.
shun 명령은 공격을 동적으로 차단하는 데 사용되므로 보안 어플라이언스 컨피그레이션에 표시되지 않습니다.
인터페이스가 제거될 때마다 해당 인터페이스에 연결된 모든 단락도 제거됩니다.
이 예에서는 위반 호스트(10.1.1.27)가 피해자(10.2.2.89)와 TCP에 연결하는 것을 보여 줍니다. 보안 어플라이언스 연결 테이블의 연결은 다음과 같습니다.
TCP outside:10.1.1.27/555 inside:10.2.2.89/666
공격 호스트로부터의 연결을 차단하려면 특권 EXEC 모드에서 shun 명령을 사용합니다. 다음과 같은 옵션으로 shun 명령을 적용합니다.
hostname#shun 10.1.1.27 10.2.2.89 555 666 tcp
이 명령은 보안 어플라이언스 연결 테이블에서 연결을 삭제하고 10.1.1.27:555~10.2.2.89:666(TCP)의 패킷이 보안 어플라이언스를 통과하지 못하도록 합니다.
관련 정보
피드백