Embed Size (px)
Citation preview
Merhaba arkadaşlar, bu makalede Networkler arası iletişimi gerçekleştiren Cisco Router’lar üzerinde Access Control List’leri kullanarak paket filtreleme (erişim yasaklama veya sınırlandırma) işlemlerinin ne anlam ifade ettiğini ve nasıl yapıldığına dair bilgiler edineceksiniz.
Gün geçtikçe gelişen network teknolojileri insan hayatına büyük ölçüde kolaylıklar sağlamakta ve gerçekten işe yarar çözümler üretmeye devam etmektedir. Meydana çıkan bu neticeler doğrultusunda gerek maliyet, gerek kullanım kolaylıkları gibi etkenlerin baskınlık gösterdiği ürünleri veya teknolojileri mevcut yapımıza implemente ederek altyapımızı genişletmekteyiz. Network dünyasında gerçekleşen bu hızlı adımların arkasında unutulmaması gereken şüphesiz güvenlik tehlikelerine karşı alınması gereken önlemlerdir. Büyüyen ve yenileşen network mimarisini tanımak ve yönetimini kontrol altına almak IT yöneticilerinin sorumlukları arasındadır. Networkler arası iletişimin kontrol altına alınması, ideal network ortamının yaratılması, gereksiz ve güvenlik açığı olan protokollerin filtrelenmesi konusunda Firewall çözümlerine ihtiyaç duyarız. Sektörde yazılımsal veya donanımsal olarak geniş bir yelpazeye sahip olan firewall ürünlerini kullanarak bu tür işlemleri yapabileceğimiz gibi mevcut topolojimiz içerisinde var olan ve farklı networkler arasında iletişimi sağlamayı esas alan Cisco Router’larımızın basic firewall özelliğini kullanarak’ta yapabilmekteyiz. Topoloji içerisinde yer alan mevcut Router’lar üzerinde erişim listeleri ile paket filtreleme işlemlerini yaparak güvenlik seviyesini arttırabilir ve standart filtrelemeler için ek maliyeti ortadan kaldırabilmekteyiz.
Resim-1 Örnek Network Topolojisi
Access Control List Nedir?
Farklı networkler arasında iletişim kurmamızı sağlayan Router (yönlendirici) üzerine gelen ya da giden iletişim trafiğini kaynak ip bazında ya da port bazında filtreleme yapabilmemizi sağlayan kontrol mekanizmasıdır. ACL’ler kaynak ip’ye göre filtreleme yapabilmekle beraber gelişmiş listeleri kullanarak hedef ip, port numarası protokol bazında filtreleme işlemleri yapabilmekteyiz. Access Control List’ler çeşitlerine göre L3 Network katmanındaki sadece source ip bazında ya da kaynak ip ve hedef ip ile birlikte iletişim protokolleri ve bu protokollerin port numaraları bazında kontrol yapılmasını sağlar. Yazımızın ilerleyen bölümlerinde Access List çeşitlerine ve uygulamalarına değineceğiz.
Not: Access Control List uygulaması için Cisco Router’ların kullandığı IOS (Interconnectting Operating System) sürüm 12.3 ve üzeri olmalıdır. IOS 12.3 öncesi versiyonlarda Access List’ler notepad vb. bir text editör üzerinde hazırlandıktan sonra konfigürasyon yapılabilir.
Cisco Router’lar üzerinde yapılandırabileceğimiz ACL’ler temel olarak 3’e ayrılır.
Access List Çeşitleri
Standart Access List Extended Access List Named Access List
Standart Access List Nedir?
Router üzerine gelen paketlerin kaynak ip adresine bakılarak engelleme işleminin yapılmasıdır. İzin verme ya da yasaklama aksiyonu tüm protokol kümesini kapsar. Örneğin 192.168.100.0 /24 networkünden gelen paketlerin source ipsine bakılarak aksiyon “Permit” ise tam erişim sağlanır “Deny” ise paket drop edilir. Standart Acess List Router üzerinde;
Router(config)# access-list {access list number} {deny – permit} {source ip adress} {wildcard mask}
Parametleri ile oluşturulabilir. Verdiğimiz örneği incelemek gerekirse;
Access list numarası : 1 – 99 veya 1300 – 1999 arasında bir numara seçilmelidir.
Deny: Yasaklamak için kullanılması gereken aksiyonu belirtmektedir.
Permit: İzin vermek için kullanılması gereken aksiyonu belirtmektedir.
Source ip: Belirlenen aksiyonun uygukanacağı kaynak ip adresidir.
Wildcard Mask: Kaynak IP adresine ait subnet maskesinin tam tersi olarak yazılması gereken değerdir. Makalemin devamında bu konuyu örnekler ile inceleyeceğiz.
Resim-2 Standart Access List çalışma yapısı
Standart Access Listlerin çalışma yapısını inceleyecek olursak gelen ya da giden paketin IP Header’ına bakarak filtreleme yaptığını görmekteyiz. Bu çalışma yapısından dolayı access control listemizi source ip’yi kullanarak filtreleme yapabilmekteyiz. Bu çalışma yapısından dolayı Standart Access Control List’leri hedef’e en yakın olan yere (interface üzerine) uygulamalıyız.
Konuyu bir örnek ile açıklamak gerekirse;
192.168.1.10 ipsine sahip bilgisayarın dışarıya çıkışı yasaklansın. 192.168.1.20 ipsine sahip bilgisayarın dışarıya çıkışı yasaklansın. Bu kriterlerin dışında kalan trafik devam etsin.
Router(config)# access-list 1 deny 192.168.1.10 0.0.0.0
Router(config)# access-list 1 deny 192.168.1.20 0.0.0.0
Router(config)# access-list 1 permit any
Oluşturduğumuz ACL’i topolojimizin uygun yerine uyguladıktan sonra işlem tamamlanacaktır. Kullanılan komutlardan da anlaşılacağı üzere Standart ACL sadece source ip bazında filtreleme yapabilmemizi sağlamaktadır.
Extended Access List Nedir ?
Router üzerine gelen ip paketlerinin hem kaynak hemde hedef ip adresleri kontrol edilir. Örneğin ACL içerinde yazan kaynak ip adresinden hedefe giden Http 80, telnet 23, FTP 20 veya 21 gibi protokollerin yasaklanıp geriye kalan protokoller ile erişimin devam etmesi sağlanabilir. Yani tüm ip trafiğinin değil de belirlenen protokollerin yasaklanması sağlanır. Detaylı bir şekilde paket filtrelemesi sağlayan Extended ACL Router üzerinde;
Router(config)# access-list {Access List Number} {Deny – Permit} {Protocol} {Source IP Address} {Destination IP Adress} {Wildcard Mask} {eq – lt – gt – neq} Port Number
Parametleri ile oluşturulabilir. ACL’nin içerdiği elementlerin karşılıkları aşağıdaki gibidir;
Access list numarası : 1 – 99 veya 1300 – 1999 arasında bir numara seçilmelidir.
Deny: Yasaklamak için kullanılması gereken aksiyonu belirtmektedir.
Permit: İzin vermek için kullanılması gereken aksiyonu belirtmektedir.
Source IP: Kaynak ip adresi.
Destination IP: Hedef IP adresi
Wildcard Mask: Kaynak IP adresine ait subnet maskesinin tam tersi olarak yazılması gereken değerdir. Makalemin devamında bu konuyu örnekler ile inceleyeceğiz.
eq (equal): Eşittir.
lt (less than): Küçüktür.
gt (greater than): Büyüktür.
neq (not equal): Eşit degildir.
Port Number: Port Numarası.
Resim-3 Extended Access List çalışma yapısı
Resim-3 üzerinde Extended Access List’lerin daha gelişmiş bir şekilde filtreleme yaptığı görülmektedir. Extended Access Listlerin çalışma yapısı ile filtreleme işleminin Layer3 Network Katmanında yer alan Hedef ip adresi ile Kaynak ip adresi beraberinde Layer4 Transport Katmanında yer alan protokol ve port numaralarına göre yapılabilmesini mümkün kılmıştır. Bu çalışma yapısından dolayı Extended Access List’ler kaynağa en yakın yere uygulanır. Kaynağa yakın olması sayesinde yasaklanacak paketin gereksiz yere kadar hedefe gitmemesini sağlar, böylelikle wide area linklerin üzerine gereksiz bir paketin gitmesi engellenmiş (badwith üzerine gereksiz yük binmemiş)olur, gereksiz paket dışarı çıkmadan drop edilir. Extended Access List’leri numaralandırma ve isimlendirme metotları ile iki farklı şekilde oluşturabiliriz.
Bir örnek ile detaylandırmak gerekirse,
172.168.1.222 ip’sine sahip bilgisayarın 192.168.1.53 ip adresini kullanmakta olan bilgisayara 23 (telnet) numaralı porttan erişimi yasaklansın.
172.16.1.11 ipsini kullanmakta olan bilgisayar ise 192.168.1.0 /24 networküne erişim gerçekleştiremesin.
172.16.1.34 ipsini kullanmakta olan bilgisayar 192.168.1.46 ipsini kullanan bilgisayara 25 numaralı portu kullanan SMTP protokolü üzerinden erişemesin.
Yukarıdaki kısıtlamaların dışında kalan trafik devam etsin.
Router(config)# access-list 110 deny tcp 172.16.1.222 0.0.0.0 host 192.168.1.53 eq 23
Router(config)# access-list 110 deny tcp host 172.16.1.11 192.168.1.0 0.0.0.255
Router(config)# access-list 110 deny tcp host 172.16.1.34 host 192.168.1.46 eq 25
Router(config)# access-list 110 permit ip any any
Oluşturduğumuz ACL’i topolojimizin uygun yerine uyguladıktan sonra işlem tamamlanacaktır. Ayrıca ACL içerisinde 192.168.1.53 bilgisayarını Wildcard Mask yerine host komutunu kullanarak ta tarif etmiş olduk. ACL içerisinde Wildcard Mask kullanılmak isternirse bir host adresi örneğin 192.168.1.53 0.0.0.0 şeklinde tanımlanabilmektedir.
Resim-4 Access Control List Numara Aralıkları
CNAP slaytlarından alınan bu tablo standart ve extended access list oluşturulurken kullanılabilecek numara aralığını açıklamaktadır.
Numaralı Standart Erişim Kontrol Listelerini 1 – 99’a ve 1300 – 1999 aralığında oluşturabiliriz.
Numaralı Extended Erişim Kontrol listelerini ise 100 – 199 ve 2000 – 2699 aralığında oluşturabiliriz.
Ayrıca Extended List’ler numaralardan bağımsız olarak isim standartında da oluşturabiliriz.
Named Access List Nedir?
Named ACL’ler Standart ve Extended olarak oluşturulabilir. Konfigürasyon esnasında bazı farklılıklar göstermektedir. Named ACL’ler (extended) ile de protocol, source ve destination bazlı filtreleme yapılabilir. Farklarından bahsetmek gerekirse, Named Access List kullanarak access-list numarası yerine daha kolay akılda kalacak şekilde isimler belirlenerek listeler yaratılabilir. Named ACL’yi diğerlerinden ayıran bir özelliği içerisinde yazılan ve kriterleri belirleyen satırların ayrı ayrı olarak silinebilmesi özelliği ile yaratılan ACL’yi tamamen silmeden içeriğini değiştirebilmemizi sağlamaktadır. Named ACL’nin faydalarına değinmek gerekirse;
Şirket politikaları gereğince değişmesi gereken bir kriter meydana geldiğinde, Hatalı bir satır girişi yapıldığında ve bu satırın düzeltilmesi istenildiğinde ACL’yi
silmeden satır değişimi yapabilmemizi sağlayacaktır. Oluşturulan ACL’nin akılda kalıcı bir şekilde isimlendirilerek sistemli çalışmaya izin
vermesi ve müdahale söz konusu olduğunda doğru ACL üzerinde işlem yapılabilmesini sağlyarak karışıklığı ortadan kaldıracaktır.
Named ACL komutlarına yer vermek gerekirse Standard Named ACL oluşturmak için;
Router(config)# ip access-list standard CenkMete
Router(config-ext-nacl)# deny tcp host 192.168.1.10 66.249.91.99 0.0.0.0 eq 80
Extended olarak oluşturmak için;
Router(config)# ip access-list extended Mete
Router(config-ext-nacl)# deny tcp host 192.168.1.10
Şeklinde oluşturup uygun interface ile ilişkilendirildikten sonra konfigürasyonu tamamlanmış olacaktır.
Access List Yazarken;
ACL yazarken her satırın bir kriteri belirlediğine dolayısı ile satır sıralamalarına dikkat edilmelidir.
ACL’nin değişmesi gerektiğinde bir text editör kullanılarak düzenlendikten sonra yeninden uygulanması gerekir.
ACL uygulandıktan sonra “implicit all deny” kuralı bütün trafiği yok edecektir. Bu kural göz önünde bulundurulmazsa erişim sorunlarına yol açacaktır.
ACL oluşturuktan sonra ilgili interface uygulanmalıdır aksi takdirde çalışmayacaktır.
Her interface’in inbound veya outbound yönüne sadece bir tane ACL uygulanabilir. Uygulanacak yöne doğru bir şekilde seçilmelidir. Aksi takdirde ACL çalışmayacaktır.
Wildcard Mask Kavramı
Resim-5 Wildcard Mask
Wildcard Mask, IPv4 networkler’inde mevcut kullandığımız Subnet Mask’ın tam tersinde ifade edilimesidir. Wildcard Mask Cisco Routerlar’ımız üzerinde OSPF gibi gelişmiş bir routing protocol koştururken, makalemizin konusu olan Access list yazarken ve bir çok yerde karşımıza çıkmaktadır. Bu sebepten dolayı Wildcard Maske’ın nasıl hesaplandığını bilmemiz gerekecektir. WM kavramının sizlerde de yer edinmesi için subnet mask’lar ile kıyaslama işlemine geçebiliriz.
Wildcard Mask’a örnek olarak;
Resim-6 Wildcard Mask Örneği 1
Resim-6′ daki örneği incelemek gerekirse Subnet Maskta Host bitlerimizi “0” ile ifade ederken Wildcard Mask yazımında Host bitlerimizi “1” ile ifade ediyoruz. Network Bitlerini oluşturan 255 (11111111) toplamını veren Octet’ler wildcard yazılımında 0 (00000000) sayısı ile belirtilmiştir. Daha basit ve akılda kalıcı bir yöntemide bir örnek ile incelemek gerekirse ;
Resim-7 Wildcard Mask Örneği 2
Resim-8 Wildcard Mask Örneği 3
Resim 7’deki subnet maskımızda ki 255 olan octet’lerin binary sistemde 11111111 olduğunu, wildcard yazımında ise tam tersi olarak 00000000 olduğunu görmekteyiz. Son octet’te yer alan 128 sayısını binary olarak yazıp çevirmek yerine bir octet’in alabileceği en büyük değer olan 255 sayısından çıkarmak daha hızlı ve pratik yoldan sonuca ulaşmamıza yardımcı olacaktır. Access Control List’leri ve Wildcard Mask tanımlarına değindikten sonra, nihayet uygulamalara geçebiliriz.
Access List Uygulamaları
Standart Access List Uygulaması 1
Resim-9 Standart Access List Uygulaması 1
Resim-9 üzerindeki örnek topoloji üzerinde;
Fatih Local Area Network’te bulunan 192.168.1.0 /24 networkündeki Client1’in dışarya olan bütün erişimi kısıtlansın.
Fatih Local Area Network’te bulunan 192.168.1.0 /24 networkündeki Client1’in dışarya olan bütün erişimi kısıtlansın.
Bu kriterler dışında kalan trafik devam etsin.
Resim-10 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Standart Access List Uygulaması 2
Resim-11 Standart Access List Uygulaması 2
Resim-11 üzerindeki örnek topoloji üzerinde;
Town Center Segmentindeki computer’ların Fatih Local Area Network’üne olan erişimini izole etmek için gereken işlemleri yapalım.
Diğer networklerden gelen trafik devam etsin.
Resim-12 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Standart Access List Uygulaması 3
Resim-13 Standart Access List Uygulaması 3
Resim-13 üzerindeki örnek topoloji üzerinde;
Lan segment 1′ de bulunan HostA makinesinin internet ve diğer lan segmentler ile haberleşmesi yasaklansın. Bu kriter dışında kalan trafik olduğu gibi devam etsin.
Ayrıca diğer lan segmentinde bulunan Com2 makinesinin de internete çıkışını yasaklayalım.
Resim-14 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Extended Access List Uygulaması 1
Resim-15 Extended Access List Uygulaması 1
Resim-15 üzerindeki örnek topoloji üzerinde;
Fatih Local Area Networkte bulunan Client1’in karşı Local Area Networke FTP protokolü üzerinden erişimi yasaklansın.
Client2 makinesinin karşı network ile SMTP protokolü üzerinden haberleşmesi yasaklansın.
Bu kriterlerin dışında kalan trafik devam etsin.
Resim-16 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Extended Access List Uygulaması 2
Resim-17 Extended Access List Uygulaması 2
Resim-17 üzerindeki örnek topoloji üzerinde;
Client1 karşı networke FTP protokolü üzerinden gidemesin. Client 1 fileserver’a erişemesin. Client 2 sadece ping protolü ile erişebilsin diğer istekleri kısıtlı kalsın. Bu kriterlerin dışında kalan trafik devam etsin
Resim-18 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Named Access List Uygulaması 1
Resim-19 Named Access List Uygulaması 1
Resim-19 üzerindeki örnek topoloji üzerinde;
Fatih Local Area Networkten Town Center Local Area Network’üne giden ICMP paketleri yasaklansın.
Fatih Local Area Networkten Town Center Local Area Network’üne giden FTP paketleri yasaklansın.
Client1 bilgisayarı karşı Town Center Networküne HTTP protokolü üzerinden gidemesin.
Belirtilen kriterlerin dışında kalan trafik olduğu gibi devam etsin.
Resim-20 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Named Access List Uygulaması 2
Resim-21 Named Access List Uygulaması 2
Resim-21 üzerindeki örnek topoloji üzerinde;
Client 1 ve Client2 hostları 192.168.2.0 networküne ping atabilsin 192.168.1.0 networkü karşı networkteki dns server hizmetinden yararlanabilsin 192.168.1.0 networkü karşı networkteki file server hizmetinden yararlanabilsin. 192.168.1.0 networkü karşı networke remote desktop protocol ile bağlanabilsin.
Resim-22 Router üzerinde ACL’nin yazıldığı ekran görüntüsü
Değerli arkadaşlar Access List makale dizisinin sonunda AccessList’lerin ne olduğuna, nasıl çalıştıklarına, örnek topolojiler üzerinde nasıl uygulandıklarına ve Wildcard Mask’lar ile
Subnet Mask’lar ile kıyaslanarak kullanımına dair bilgiler edindiniz.
Başka bir makale dizisinde görüşmek üzere.
Teşekkürler.
Kaynak:
CCNA Self Study Exam Certification Guide
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml
Cenk Ali METE
IBM Turk | BilgeAdam IT Academy | System&Network Trainer
