네트워크 장비 진단 - ACL 부재/과다허용 점검
점검 결과
| 인터페이스 | 방향 | ACL | 상태 |
|---|
| Gi0/0 (ISP) | Inbound | 없음 | 위험! |
| Gi0/0 (ISP) | Outbound | permit any any | 위험! |
| Gi0/1 (내부) | Inbound | 없음 | 위험! |
| Gi0/2 (DMZ) | Inbound | 명시 | 안전 |
현재 ACL 설정 분석
ip access-list extended ISP_INBOUND
10 permit ip any any
# 또는 아예 정의되지 않음
interface Gi0/0
! no ip access-group ISP_INBOUND in
[위험한 상황]
- ISP 인터페이스에 inbound ACL 없음
- 모든 프로토콜 허용
- DoS 공격 무방비
- 악의적 트래픽 직진입
[권장 ACL 예시]
ip access-list extended ISP_INBOUND
10 permit icmp any any echo-reply
20 permit tcp any any established
30 permit tcp any any eq 80
40 permit tcp any any eq 443
50 deny ip any any
조치 가이드
- 경계 ACL 구현: 명시적 deny 규칙
- 최소 권한 원칙: 필요한 포트/프로토콜만 허용
- egress 필터링: 내부 IP 대역 보호
- 정기 검토: 월 1회 ACL 규칙 감사