F5 장비를 접근 하는 방법은 물리적으로는 2가지가 있다.
1. self ip
2. mgmt ip 혹은 console
--> F5 장비에 virtual server 혹은 listener ip 등은 F5 장비로 접근이 아니고 설정한 서비스 접근 하는 것이므로 관계 없음
F5 장비를 제어 하기 위한 프로토콜은 2가지가 있다.
1. SSH2
2. HTTPS(icontrol-restAPI 포함)
--> ssh2 는default port 22, https 는default port 443 을 사용하며,각 port number 는 바꿀 수 있다.
F5 장비에 대한 접근을 막는 방법은 3가지가 있다.
1. ssh2 와 https 데몬 설정에서 acl 을 거는 방법
2. packet filter 에서 acl 을 거는 방법
3. self ip 에서 port 에 대한 acl 을 거는 방법
--> 위 1번의 경우 tcp 3wayhandshake 을 실행 후 데몬에서 막는 것이므로, 완벽한 차단은 아니다
최근들어 보안 취약점 특히 icontrol-restAPI 에 관련 된 것들은 2번 혹은 3번 항목을 써야 완벽한 차단이 가능
이번 아티클 내용은
위 항목 중 1번 항목 설정에 대한 설명입니다.
1. SSH ACL (GUI 에서 설정)
SSH ACL (tmsh 에서 설정)
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# list sys sshd
sys sshd {
allow { 141.223.150.0/24 172.17.110.1 141.223.151.5 141.223.5.18 175.209.152.102 all }
}
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# modify sys sshd allow add { 1.1.1.0/24 }
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# list sys sshd
sys sshd {
allow { 141.223.150.0/24 172.17.110.1 141.223.151.5 141.223.5.18 175.209.152.102 all 1.1.1.0/24}
}
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# modify sys sshd allow delete { 1.1.1.0/24 }
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# list sys sshd
sys sshd {
allow { 141.223.150.0/24 172.17.110.1 141.223.151.5 141.223.5.18 175.209.152.102 all 1.1.1.2/24 }
port 2355
}
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# modify sys sshd allow replace-all-with { all }
root@(SeverfarmFW1)(cfg-sync Disconnected)(Active)(/Common)(tmos)# list sys sshd
sys sshd {
allow { all }
}
GUI 에서는 설정 즉시 자동 저장되나, TMSH 에서 설정을 변경 한 경우는 꼭 save 를 해줘야 합니다.