안녕하세요.
다름이 아니라 회사 내부 라우터장비로 해외에서 접속 시도가 계속되고 있어서
막는 방법을 여쭤보려 질문올립니다.
지금 라우터는 CISCO 장비를 사용하고 있는데, 몇 주 전부터 해외 IP로 계속 접속 시도를 하고 있는게
Log에 기록되고 있습니다. [Tunnel Negotiation Fail]이 계속 뜨는것으로 보아 접속성공은 하지 못하고 있는데 IP를 계속 바꿔가면서 시도를 하고 있습니다.
정확한 Log 내용은 아래와 같습니다.
packet from 78.127.222.127:0: [Tunnel Negotiation Fail] sendto on eth1 to 78.127.222.127:0 failed in ISAKMP notify
지금 해본 조치사항으로는 IPSec, L2TP, OpenVPN 프로토콜 사용을 disable로 해놓은건데, 별 다른 효과는 없었습니다.
혹시
1. 이 Log 메세지의 정확한 내용과
2. CISCO 설정으로 외부 접속을 차단하는 방법이 있을까요??
3. 아니면 다른 방법으로라도 접속시도를 차단할 방법이 있을까요??
감사합니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
5개의 답변이 있습니다.
FW로 막으면 되지 않을까요?
라우터 제조사 마다 방법이 조금씩 다를거 같습니다.
라우터의 어드민 페이지에 IP를 통해 접속 및 로그인 한 후에
"엑세스 제어" 관련 메뉴를 찾은 후에 IP 또는 URL 입력해서 차단이 가능 합니다.
ISAKMP ( Internet Security Association and Key Management Protocol )는 인증을 위한 키 교환, 절차에 대한 프로토콜인걸로 나오네요.
78.127.222.127는 프랑스 라 쁠란느 생드니의 Campus SFR에 할당된 IP 주소 인걸로 보이고요.
해당 IP를 CISCO 장비 ACL에서 Access deny 처리해 버리면 되지 않을까 싶어 보이네요.
예를 들어...
router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#access-list 101 deny ip 78.127.222.127 any
router(config)#^Z
와 같이 명령을 줘서 처리해 두면 되지 않을까 싶어 보이네요.
앞단에 방화벽이나 ips는 없나요?
중요 서비스를 한다면 앞단에 보안 장비가 필요해 보이고
아니면 별도 zone 망으로 80,443포트만 열고 차단 하는게
좋겠네요
라우터는 우리 네트워크의 맨 앞에 있는 장비입니다.
통신사에서 차단하지 않으면
일단 라우터까지는 오고....
라우터에서 지금처럼 필터링되는 것이 맞는 것을 생각되네요.