Bootstrap Example

5일차

UTM- 통합 위협 관리(방화벽)
수업 목표 - UTM마스터하기
라우터 연결부터


R1
config t
hostname R1
interface fastethernet0/0
ip address 100.100.100.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.1 255.255.255.252
no shutdown
exit
router rip
version 2
network 100.100.100.0
network 1.1.1.0


R2

config t
hostname R1
interface fastethernet0/0
ip address 10.0.2.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
router rip
version 2
network 10.0.2.0
network 1.1.1.0


아이피 설정후 통신상태 확인




서버 설치시 사용했던 IP(NAT)할당 되지 않는다(네트워크환경 변화)

우분투에 IP 설정하기
sudo nano /etc/netplan/00[tab]
dhcp4: no
address: [10.0.2.15/24]
gateway4: 10.0.2.2
nameservers:
address:[168.126.63.1]

sudo netplan apply



일반드라이버: GNS3에 사용됨

웹서버 설치: NAT로 변경후 외부 네트워크랑 연결
ip addr
ping 168.126.63.1 반응하면 외부 연결 됨
sudo apt -y install lamp-server^

미션
설치 완료후 칼리에서 서버로 접속가능하도록 네트워크 설정을 변경하시오

칼리에서 10.0.2.15를 핑을 보내는데 안가는 이유
우분투에서 네트워크 어뎁터를 NAT로 설정되어있기 때문(NAT상태는 GNS3에 안들어감)
일반드라이버로 바꿔줘야 서로 통신이 가능하다.


미션 2
해커로부터 들어오는 ping을 막아보기
방법 1 : 라우터에서 막아보기
access-list 1 deny 100.100.100.1 0.0.0.0
access-list 1 permit any
interface fastethernet0/0
ip access-group 1 out
exit
결과
┌──(kali㉿kali)-[~]
└─$ ping 10.0.2.15
PING 10.0.2.15 (10.0.2.15) 56(84) bytes of data.
From 100.100.100.254 icmp_seq=1 Packet filtered
From 100.100.100.254 icmp_seq=2 Packet filtered
From 100.100.100.254 icmp_seq=3 Packet filtered
From 100.100.100.254 icmp_seq=4 Packet filtered
From 100.100.100.254 icmp_seq=5 Packet filtered
From 100.100.100.254 icmp_seq=6 Packet filtered
From 100.100.100.254 icmp_seq=7 Packet filtered


R2(config)#do show access-list 1
Standard IP access list 1
    10 deny   100.100.100.1 (20 matches)
    20 permit any



방법 2 : 서버에서 막아라!
sudo tcpdump
sudo tcpdump -i enp0s3 icmp
sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
sysctl -a | grep icmp로 확인

외부로부터의  ICMP프로토콜을 사용한 악의적인 공격으로부터 
iptables를 사용하여 INPUT 패킷에 대한 모든 ICMP 패킷을 차단한다.

sudo iptables -A INPUT -p icmp -j DROP
sudo iptables -F
sudo iptables -L로 확인


#UTM
e0: 호스트 전용 어뎁터(192.168.56.100)

외부 네트워크는 NAT로 설정할것
NAT로 설정해야 인터넷이 가능
서버 구성하기
Xshell을 이용해서 서버 구성하기.

1번구간은 진자 ip
2번,3번은 가짜 ip


자동으로 ip를 받을려면 dhcp를 활성화 시켜야함



활성화후 할당

dhcp를 치게 되면 자동으로 ip와 G/W가 할당된다.
	



9 to 6.....
Basic Card
