ACL

ACL 이란

Access Control List는 접근 제어 목록 또는 액세스 제어 목록이라고 합니다.

라우터에서 트래픽을 필터링합니다. 허가되지 않은 이용자의 접근을 차단합니다.

패킷을 필터링하는 기준은 출발지 주소, 목적지 주소, 포트 번호, 프로토콜입니다.

ACl은 방화벽 구축의 가장 중요한 요소입니다.

AAA ?

ACL에서는 사용자 인증을 위해 AAA를 사용합니다.

 

Authentication(인증) : 사용자가 접근할 때 신뢰할 수 있는지 신원을 확인하고, 인증에 실패하면 접근이 거부됩니다.

Authorization(인가) : 인증이 성공하면 허용된 사용자가 특정 서비스나 기증 등에 접근할 수 있는 권한을 부여합니다. 허용된 사용자여도 허용되지 않은 서비스에 접근하는 것을 막을 수 있습니다.

Accounting(관리) : 사용량 정보를 수집, 검색 보관합니다. 메트릭 및 정보를 기반으로 사용자 경험과 시스템 리소스를 관리합니다.

 

역할 기반 접근제어

ACL에서 사용되는 접근제어 방식은 강제적 접근제어, 임의적 접근제어, 역할 기반 접근제어가 있습니다.

강제적 접근제어(MAC) : 엄격한 규칙을 적용하여 보안 등급이 높은 자원에 보안 등급이 낮은 사용자가 접근할 수 없도록 합니다.

임의적 접근제어(DAC) : 특정 자원에 대해 소유자가 직접 권한을 부여합니다.

역할 기반 접근제어(RBAC) : 사용자의 역할에 따라서 권한을 제공합니다. 

 

역할 기반 접근제어를 사용하면 필요한 최소한의 권한만 부여하기 때문에 보안 강화에 도움이 됩니다.

또한 사용자의 권한을 일일이 설정하거나 수정하지 않아 관리가 용이합니다.

중앙 집중적으로 권한 부여를 처리해 오류 발생 가능성이 줄어듭니다.

 

역할에 따라 권한을 부여하다 보니 각 상황에 따른 세부적인 권한 설정의 어려움이 있습니다.

 

ACL 3대 규칙

1. 정책은 위에서부터 아래로 적용됩니다.
2. 먼저 적용된 정책 외에는 모두 무시합니다.
3. 명시된 정책 외에는 모두 거부합니다.

 

인바운드 아웃바운드

네트워크 인터페이스의 관점에서 들어오는 것은 인바운드, 나가는 것은 아웃바운드라고 합니다.

데이터의 흐름 방향에 따라 인바운드와 아웃바운드가 바뀔 수도 있습니다.

 

인바운드(Inbound) :  ACl 정책 검사 후 라우팅을 실행하기 때문에 cpu 자원을 절약할 수 있습니다.

연결된 네트워크 또는 들어오는 트래픽이 유일한 패킷 소스일 때 필터링에 적합합니다.

아웃바운드(Outbound) : 라우팅 후에 ACL 정책을 적용합니다.

여러 인바운드 트래픽을 한 번에 처리할 때 적합합니다.

 

ACL 타입

Standard : 표준 acl이고, 출발지 ip 주소만을 필터링할 수 있습니다.

기능이 간단하고 구성이 쉽습니다.

라우터를 통한 nat에서 사용하기 적합합니다.

Extended : 확장 acl이고, 출발지와 목적지 주소, 사용하는 프로토콜과 포트번호에 따라 필터링할 수 있습니다.

더 많은 유형의 패킷을 제어하고 복잡한 트래픽 정책을 구성할 수 있습니다.

기술적으로 복잡하며 구성이 어렵습니다.

 

다음 글에서 acl을 실습해 보겠습니다.