Router Access-Lists (erişim listeleri) Bölüm 1

Cesitli guvenlik onlemleri ile ic networkumuzu ve/veya herkese açık olan sunucularımızın bulunduğu DMZ`imizi koruyabiliyoruz, fakat unutmamaliki , bize gelen paketlerin ilk ugrak yeri router lar icinde onlemler almaliyiz. 
Cisco Routerlar da erisim kontrolu, access-list diye tanimlanan, komut satirlari ile olmaktadir. Access-Listler ile networkumuzdeki trafigi kontrol edebilir ve cesitli kisitlamalar getirebiliriz. 
Cisco Router lar icin access-listler, isleyislerine gore 11 farkli sekilde olusturabilinir. 
En cok kullananlar sirasiyla: 
Standard access-lists: 
Bu tip access-list ler, TCP/IP paketinin kaynak IP sine gore islem yaparlar. 
Ornegin bu tip access-listlerle routerin dis arayuzunden gelip ic arayuze gecicek paketleri , ayni sekilde tam tersini belirleyebiliriz. 
Fazla secenek sunmasada , basit islemler icin ideal komut satirlaridir. Standard access-listlerin , isleyis algoritmasi asagidaki gibidir: 

Ornek verir isek, 
Soru: Router a sadece ic networkten telnet acmak istiyorum bunu nasil yaparim? 
Cevap: İlk olarak access – list leri olusturmamiz gerekldir. Ornekteki ic networkumuz, 10.0.0.0/24 IP bloğunu kullansin, bu network icin access-lisleri asagidaki gibi olustururuz: 
RouterA#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
RouterA(config)#access-list 10 permit 10.0.0.0 0.0.0.255 
RouterA(config)#^Z 
RouterA# 
Komuttaki 10 sayisini , rastgele olarak sectik, bu numarayi 1-99 arasinda herhangi bi sayidan da secebiliriz. 
Access-list no {permit/deny(izinver/yasakla)} {source(kaynak)} [Hostmask] 
Access-list 10 permit 10.0.0.0 0.0.0.255 
Yukaridaki access list ile , tum ic networkumuze izin verdik. Eger belli basil sunucular icin bunu yapmak istersek ,Tek tek her sunucu icin bir access-list yazmaliyiz. 
Access-list 10 permit 10.0.0.1 
Access-list 10 permit 10.0.0.5 
Bu yazilimin yukaridakinden tek farki hostmask kullanmamizdir. 
Burada bir ara verip, hostmask i nasil hesaplayacagimizi gorelim: 
Basit olarak hostmask , kullandigimiz netmaskta ki host sayisini verir. Hostmask`i, basitçe, aşagidaki gibi hesaplayabiliriz. 
255.255.255.255 
- 255.255.255.0 (Kullanilan Netmask) 
--------------------------------------------- 
0 . 0. 0.255 (Kullanacagimiz Hostmask) 
Yukarida access-listimizi olusturmustuk, simdi bunu bir arayuze uygulamak icin ne yapmali onu ogrenelim. 
RouterA#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
RouterA(config)#line vty 0 4 (uygulayacagimiz arabirim burada vty`i kullaniyoruz) 
RouterA(config-line)#ip access-class 10 in 
RouterA(config-line)#^Z 
RouterA# 
Boylece routerimiza vty arayuzunden ulasicak , sunuculari yada networku belirlemis olduk, burada dikkat edilecek husus bindigimiz dali kesmemek, eger bu komutlari yazdigimiz sunucu, access-list te yazdigimiz sinirlar icersinde degil ise, cntl+z bastigimiz anda routerla aramizdaki baglanti kesilecektir. Bu da istenmeyen durumlara neden olacaktir. J 
Yukaridaki ornekten yararlanarak, cikis yonunde bir access-list yaratalim. 
Amac: 10.0.0.2 nolu sunucun disariya cikisini engellemek. 
RouterA#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
RouterA(config)#access-list 10 deny 10.0.0.2 
RouterA(config)#access-list 10 permit any 
Yukaridaki satirla sadece 10.0.0.2 sunucusunu yasaklamis olduk. Peki nicin, ek olarak permit any satiri kullandik, Yukarida verdigim, access-list algoritmasina dikkatli bakicak olursak, access-list e tanimlanmayan kaynak IP lerin sonucu yasaklanmis olarak gozukmektedir. Bu yuzden , yasaklayacakarimizi yasaklayip, digerlerine izin vermeliyiz. Bu konu cok hassastir genelde unutulan ve /veya atlanilan nokta burasi oldugu icin , cogu network adminine sac bas yoldurtmustur. J 
Kofigurasyonumuzun devamina gelicek olursak: 
RouterA#config t 
Enter configuration commands, one per line. End with CNTL/Z. 
RouterA(config)#int e 0 (interface Ethernet 0) 
RouterA(config-if)#ip access-group 10 out 
RouterA(config-if)#^Z 
RouterA# 
Boylece standart access-listleri bitirmis olduk, sirada extended access-listler var, fakat olympos da diğer arkadaslarada yer birakmak icin extended access-listleri bir sonraki yazımdaki bulabilirisiniz.
Saygılar. 

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
megabros Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional KayÄ±t Tarihi: 08-06-2009 Konum: Turkey Status: Aktif DeÄŸil Points: 752	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± megabros Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: Router Access-Lists (erişim listeleri) Bölüm 1 GÃ¶nderim ZamanÄ±: 29-03-2011 Saat 11:59
	Cesitli guvenlik onlemleri ile ic networkumuzu ve/veya herkese açık olan sunucularımızın bulunduğu DMZ`imizi koruyabiliyoruz, fakat unutmamaliki , bize gelen paketlerin ilk ugrak yeri router lar icinde onlemler almaliyiz. Cisco Routerlar da erisim kontrolu, access-list diye tanimlanan, komut satirlari ile olmaktadir. Access-Listler ile networkumuzdeki trafigi kontrol edebilir ve cesitli kisitlamalar getirebiliriz. Cisco Router lar icin access-listler, isleyislerine gore 11 farkli sekilde olusturabilinir. En cok kullananlar sirasiyla: Standard access-lists: Bu tip access-list ler, TCP/IP paketinin kaynak IP sine gore islem yaparlar. Ornegin bu tip access-listlerle routerin dis arayuzunden gelip ic arayuze gecicek paketleri , ayni sekilde tam tersini belirleyebiliriz. Fazla secenek sunmasada , basit islemler icin ideal komut satirlaridir. Standard access-listlerin , isleyis algoritmasi asagidaki gibidir: Ornek verir isek, Soru: Router a sadece ic networkten telnet acmak istiyorum bunu nasil yaparim? Cevap: İlk olarak access – list leri olusturmamiz gerekldir. Ornekteki ic networkumuz, 10.0.0.0/24 IP bloğunu kullansin, bu network icin access-lisleri asagidaki gibi olustururuz: RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#access-list 10 permit 10.0.0.0 0.0.0.255 RouterA(config)#^Z RouterA# Komuttaki 10 sayisini , rastgele olarak sectik, bu numarayi 1-99 arasinda herhangi bi sayidan da secebiliriz. Access-list no {permit/deny(izinver/yasakla)} {source(kaynak)} [Hostmask] Access-list 10 permit 10.0.0.0 0.0.0.255 Yukaridaki access list ile , tum ic networkumuze izin verdik. Eger belli basil sunucular icin bunu yapmak istersek ,Tek tek her sunucu icin bir access-list yazmaliyiz. Access-list 10 permit 10.0.0.1 Access-list 10 permit 10.0.0.5 Bu yazilimin yukaridakinden tek farki hostmask kullanmamizdir. Burada bir ara verip, hostmask i nasil hesaplayacagimizi gorelim: Basit olarak hostmask , kullandigimiz netmaskta ki host sayisini verir. Hostmask`i, basitçe, aşagidaki gibi hesaplayabiliriz. 255.255.255.255 - 255.255.255.0 (Kullanilan Netmask) --------------------------------------------- 0 . 0. 0.255 (Kullanacagimiz Hostmask) Yukarida access-listimizi olusturmustuk, simdi bunu bir arayuze uygulamak icin ne yapmali onu ogrenelim. RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#line vty 0 4 (uygulayacagimiz arabirim burada vty`i kullaniyoruz) RouterA(config-line)#ip access-class 10 in RouterA(config-line)#^Z RouterA# Boylece routerimiza vty arayuzunden ulasicak , sunuculari yada networku belirlemis olduk, burada dikkat edilecek husus bindigimiz dali kesmemek, eger bu komutlari yazdigimiz sunucu, access-list te yazdigimiz sinirlar icersinde degil ise, cntl+z bastigimiz anda routerla aramizdaki baglanti kesilecektir. Bu da istenmeyen durumlara neden olacaktir. J Yukaridaki ornekten yararlanarak, cikis yonunde bir access-list yaratalim. Amac: 10.0.0.2 nolu sunucun disariya cikisini engellemek. RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#access-list 10 deny 10.0.0.2 RouterA(config)#access-list 10 permit any Yukaridaki satirla sadece 10.0.0.2 sunucusunu yasaklamis olduk. Peki nicin, ek olarak permit any satiri kullandik, Yukarida verdigim, access-list algoritmasina dikkatli bakicak olursak, access-list e tanimlanmayan kaynak IP lerin sonucu yasaklanmis olarak gozukmektedir. Bu yuzden , yasaklayacakarimizi yasaklayip, digerlerine izin vermeliyiz. Bu konu cok hassastir genelde unutulan ve /veya atlanilan nokta burasi oldugu icin , cogu network adminine sac bas yoldurtmustur. J Kofigurasyonumuzun devamina gelicek olursak: RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#int e 0 (interface Ethernet 0) RouterA(config-if)#ip access-group 10 out RouterA(config-if)#^Z RouterA# Boylece standart access-listleri bitirmis olduk, sirada extended access-listler var, fakat olympos da diğer arkadaslarada yer birakmak icin extended access-listleri bir sonraki yazımdaki bulabilirisiniz. Saygılar.
	WHİTE HAT BEYAZ ŞAPKA (BİLGİ NEFERİ)