Majeste
Gaffur Fun Clup
|
Kayıt: 21.01.2007
Üye no: 798
Başlık: 611
Şehir: İllegal
13735 Puan
|
|
 Router ve Arka Ag Güvenligi |
|
|
Peki nasıl bir güvenlik sağlar bu access list denilen olay?
Router’ın temel görevi routing yani yönlendirme işlemidir,router’lar sayesinde veri paketleri istediğimiz adresten istediğimiz adrese yönlendirilir ve her zaman doğru alıcıya ulaşması sağlanır,ancak router’ların bu güzel olayı sayesinde gelen paketleri yönlendirmeden filtreleyebilirsiniz,bu işlem hem ağınızda güvenliği artırır hemde paketler yönlendirilmeden filtrelendirildiği için ağ üzerindeki gereksiz trafik önlenmiş olur.
Access List’ler sayesinde router’ımızı tıpkı bir firewall gibi yapılandırıp,istediğimiz ip’lerin ve istediğimiz portların yönlendirilmesine izin verebilir yada yasak koyabiliriz.
Cisco Router’larımızda 2 Çeşit Access List tanımlayabiliriz;
-Standart Access List
-Extended Access List
Access List’ler tanımlandıktan sonra hemen kullanılmaz,daha önce access list’imizi bir interface’in(bacağın) girişine(inbound) yada çıkışına(outbound) uygulamalıyız.
Eğer bir access list’i bir interface’in inbound’a uygularsak dışarıdan yönlendirilmek için router’ın bu interface’ine gelen paketler bu access list’ten etkilenecektir.
Eğer bir access list’i bir interface’in outbound’a uygularsak dışarıdan router’a herhangi bir interface’ten gelen paketler access list uyguladığımız interface’ten çıkarken access list’ten etkilenecektir.
Access Listler tanımlanırken numarlandırılır.Verdiğiniz numaralara göre router access list’leri nasıl ve nereler için tanımladığınızı anlar.
Örnek olarak Standart Access List numaraları;
1-99 arası yada genişletilmiş olarak 1300-1999 arası kullanılır.
Extended Access List numaraları;
100-199 yada genişletilmiş olarak 2000-2699 arası kullanılır.
-Standart Access List
Standart Access list basit olarak bir host’tan yada bir host aralığından gelen paketleri geçirmeye yada yasaklamaya yarar.Herhangi bir port kısıtlaması yoktur.
Kullanımı şu şekildedir;
access-list |access-list numarası| |deny,permit| |host| |destination address|
bu sadece bir host için tanımlanan access-list tanımıdır;
-access-list numarası; bölümüne access-list’imizin tipini belirleyecek olan bir numara gireriz,ör:1-99 arası numaralar standart access list tanımlar.
-deny,permit;bölümüne verdiğimiz host’tan gelecek olan paketlere izin verilip verilmeyeceğini belirtir,deny;yasaklamak,permit;izin vermektir.
host;bölümünde kısıtlanacak olanın sadece bir host olduğu belirtilir.
Destination address;bölümüne kısıtlayacağımız,yada izin vereceğimiz host’un ip adresini yazarız.
Ör:
access-list 15 deny host 192.168.0.1
bu yazdığımız access-list sonucunda router’ımızından 192.168.0.1 paket kabul edilmeyecek.
Peki ya kısıtlamak istediğimiz birden fazla host ise o zaman ne yapacağız.
Birden fazla aralık vermek için Wildcard Mask kullanacağız.
Wildcard Mask’ların tanımı,anlatımı ve mantığı çok karışık olduğu için bu dökümanda kısaca örnek ile anlatacağım,ancak sonraki dökümanlarımda tümünü ele alacağım.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
bu wildcard kullanımında 192.168.1.0’dan 192.168.1.255 kadar olan tüm hostlardan paket yönlendirilmesi yasaklanmıştır.
Wildcard mask’lerin çok daha karmaşık kullanımları vardır.Bu uygulamalar sonucunda block aralıklarına göre istediğimiz kadar ip aralığını yasaklayabilir yada izin verebiliriz.Ancak dediğim gibi çok karışık olduğundan bunun için ayrı bir doküman yazmayı düşünüyorum.
Access-list’lerin bir kullanımı vardır ki oda any terimidir.
Bu terim tüm ip aralıklarını yani heryerden gelecek olan tüm paketleri temsil eder.
Any ile birlikte deny kullanırsak hiçbir yerden paket kabul edilmeyecektir.
Bu komut daha çok normal bir aralığa yada host’a deny verildikten sonra,diğer makinalardan gelen tüm paketlerin kabul edilmesi için permit ile kullanılır.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
access-list 10 permit any
bu access-list dizeleri sayesinde 192.168.1.* gelen hiçbir paket kabul edilmeyecek ve 2. satırdaki permit any sayesinde diğer tüm ip’lerden gelen tüm paketler kabul edilecektir.
Extended Access-List
Extended Access-List sayesinde router’ımızı tam olarak bir firewall olarak yapılandırabiliriz.Standart Access-List’ten farkı,standarttaki gibi bir host’tan gelen tüm paketleri yasaklamak yerine,bizim belirlediğimiz spesifik portlara yasak koyabilmesidir.
100-199 yada genişletilmiş olarak 2000-2699 arası numaralar extended access-list’i tanımlar.
Kullanımı Standart Access-List’e göre biraz daha karışıktır.
access-list |access-list numarası| |deny,permit| |protocol| |source address| |host| |destination address| |match-flag| |port|
access list numarası;bölümüne extended access listi tanımlayan numara girilir.
deny,permit:;paketin yasaklanacağı yada izin verileceği belirtilir.
protocol;bu seçenekler arasında hangi protocollerin yasaklanacağı seçilir,seçenekler arasında icmp,igmp,igrp,tcp,udp gibi seçenekler vardır
source address;bölümünde hangi adreslerden gelen paketlerin kısıtlanacağı belirtilir.
host;tek bir host’a uygulamak istediğimiz zaman girilir,sabittir.
destination addres;bölümünde yasaklanacak olan hedef adres belirtilir.
match-flag;bölümünde verilen portlara eşit olan,yüksek olan yada az olan port numaraların belirtilir,genelde belli bir port numarasına eşitlemek için eq parametresi kullanılır.
port;belirlediğimiz spesifik port yasaklanır.
Ör:
access-list 115 deny tcp any host 192.168.0.1 eq 80r
bu tanımlamada herhangi bir adresten tcp’yi kullanarak 192.168.0.1 makinasının 80. portuna erişmek isteyen paketleri yasakladık.
80. port http portu yani web serverlerında kullandığı standart port olduğundan web server’ımız olan 192.168.0.1 host’una http paketlerini yasakladık.
Any parametresi ile kaynağı herhangi bir adres olduğunu belirttik.
Eq parametresi ile yasaklanan port’un verdiğimiz port numarasına yani 80’e eşit olmasını sağladık.
Buraya kadar yaptıklarımız access-list’i yazmaktı,ancak bu işlemi yaptıktan sonra access-list çalışmaz,bunu uygulayacağımız interface’in inbound yada outbound’a atamamız lazım.
Bunun için önce uygulayacağımız interface’imize geçmeliyiz ve sonra;
ip access-group 115 inbound
115 access-list’i yazarken verdiğimiz numara olmalıdır,inbound bölümüde ihtiyacınıza göre outbound olabilir.
Evet bu yazımızda burada bitiyor,access-list’ler ile hem router’ımızı,hemde arkasında ağımızı güvenli tutabiliriz,ancak unutmayınki “en iyi güvenlik fişi çekmektir”.
|
| |
|
