Cesitli guvenlik onlemleri ile ic networkumuzu ve/veya herkese açýk olan sunucularýmýzýn bulunduðu DMZ`imizi koruyabiliyoruz, fakat unutmamaliki , bize gelen paketlerin ilk ugrak yeri router lar icinde onlemler almaliyiz.
Cisco Routerlar da erisim kontrolu, access-list diye tanimlanan, komut satirlari ile olmaktadir. Access-Listler ile networkumuzdeki trafigi kontrol edebilir ve cesitli kisitlamalar getirebiliriz.
Cisco Router lar icin access-listler, isleyislerine gore 11 farkli sekilde olusturabilinir.
En cok kullananlar sirasiyla:
Standard access-lists:
Bu tip access-list ler, TCP/IP paketinin kaynak IP sine gore islem yaparlar.
Ornegin bu tip access-listlerle routerin dis arayuzunden gelip ic arayuze gecicek paketleri , ayni sekilde tam tersini belirleyebiliriz.
Fazla secenek sunmasada , basit islemler icin ideal komut satirlaridir. Standard access-listlerin , isleyis algoritmasi asagidaki gibidir:
Ornek verir isek,
Soru: Router a sadece ic networkten telnet acmak istiyorum bunu nasil yaparim?
Cevap: Ýlk olarak access – list leri olusturmamiz gerekldir. Ornekteki ic networkumuz, 10.0.0.0/24 IP bloðunu kullansin, bu network icin access-lisleri asagidaki gibi olustururuz:
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 permit 10.0.0.0 0.0.0.255
RouterA(config)#^Z
RouterA#
Komuttaki 10 sayisini , rastgele olarak sectik, bu numarayi 1-99 arasinda herhangi bi sayidan da secebiliriz.
Access-list no {permit/deny(izinver/yasakla)} {source(kaynak)} [Hostmask]
Access-list 10 permit 10.0.0.0 0.0.0.255
Yukaridaki access list ile , tum ic networkumuze izin verdik. Eger belli basil sunucular icin bunu yapmak istersek ,Tek tek her sunucu icin bir access-list yazmaliyiz.
Access-list 10 permit 10.0.0.1
Access-list 10 permit 10.0.0.5
Bu yazilimin yukaridakinden tek farki hostmask kullanmamizdir.
Burada bir ara verip, hostmask i nasil hesaplayacagimizi gorelim:
Basit olarak hostmask , kullandigimiz netmaskta ki host sayisini verir. Hostmask`i, basitçe, aþagidaki gibi hesaplayabiliriz.
255.255.255.255
- 255.255.255.0 (Kullanilan Netmask)
---------------------------------------------
0 . 0. 0.255 (Kullanacagimiz Hostmask)
Yukarida access-listimizi olusturmustuk, simdi bunu bir arayuze uygulamak icin ne yapmali onu ogrenelim.
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#line vty 0 4 (uygulayacagimiz arabirim burada vty`i kullaniyoruz)
RouterA(config-line)#ip access-class 10 in
RouterA(config-line)#^Z
RouterA#
Boylece routerimiza vty arayuzunden ulasicak , sunuculari yada networku belirlemis olduk, burada dikkat edilecek husus bindigimiz dali kesmemek, eger bu komutlari yazdigimiz sunucu, access-list te yazdigimiz sinirlar icersinde degil ise, cntl+z bastigimiz anda routerla aramizdaki baglanti kesilecektir. Bu da istenmeyen durumlara neden olacaktir. J
Yukaridaki ornekten yararlanarak, cikis yonunde bir access-list yaratalim.
Amac: 10.0.0.2 nolu sunucun disariya cikisini engellemek.
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 deny 10.0.0.2
RouterA(config)#access-list 10 permit any
Yukaridaki satirla sadece 10.0.0.2 sunucusunu yasaklamis olduk. Peki nicin, ek olarak permit any satiri kullandik, Yukarida verdigim, access-list algoritmasina dikkatli bakicak olursak, access-list e tanimlanmayan kaynak IP lerin sonucu yasaklanmis olarak gozukmektedir. Bu yuzden , yasaklayacakarimizi yasaklayip, digerlerine izin vermeliyiz. Bu konu cok hassastir genelde unutulan ve /veya atlanilan nokta burasi oldugu icin , cogu network adminine sac bas yoldurtmustur. J
Kofigurasyonumuzun devamina gelicek olursak:
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#int e 0 (interface Ethernet 0)
RouterA(config-if)#ip access-group 10 out
RouterA(config-if)#^Z
RouterA#
Boylece standart access-listleri bitirmis olduk, sirada extended access-listler var, fakat olympos da diðer arkadaslarada yer birakmak icin extended access-listleri bir sonraki yazýmdaki bulabilirisiniz.