Router Access-Lists (erişim listeleri) Bölüm 1

[megabros]

Cesitli guvenlik onlemleri ile ic networkumuzu ve/veya herkese açık olan sunucularımızın bulunduğu DMZ`imizi koruyabiliyoruz, fakat unutmamaliki , bize gelen paketlerin ilk ugrak yeri router lar icinde onlemler almaliyiz.

Cisco Routerlar da erisim kontrolu, access-list diye tanimlanan, komut satirlari ile olmaktadir. Access-Listler ile networkumuzdeki trafigi kontrol edebilir ve cesitli kisitlamalar getirebiliriz.

Cisco Router lar icin access-listler, isleyislerine gore 11 farkli sekilde olusturabilinir.
En cok kullananlar sirasiyla:

Standard access-lists:
Bu tip access-list ler, TCP/IP paketinin kaynak IP sine gore islem yaparlar.

Ornegin bu tip access-listlerle routerin dis arayuzunden gelip ic arayuze gecicek paketleri , ayni sekilde tam tersini belirleyebiliriz.

Fazla secenek sunmasada , basit islemler icin ideal komut satirlaridir. Standard access-listlerin , isleyis algoritmasi asagidaki gibidir:

Ornek verir isek,

Soru: Router a sadece ic networkten telnet acmak istiyorum bunu nasil yaparim?
Cevap: İlk olarak access – list leri olusturmamiz gerekldir. Ornekteki ic networkumuz, 10.0.0.0/24 IP bloğunu kullansin, bu network icin access-lisleri asagidaki gibi olustururuz:

RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 permit 10.0.0.0 0.0.0.255
RouterA(config)#^Z
RouterA#

Komuttaki 10 sayisini , rastgele olarak sectik, bu numarayi 1-99 arasinda herhangi bi sayidan da secebiliriz.

Access-list no {permit/deny(izinver/yasakla)} {source(kaynak)} [Hostmask]
Access-list 10 permit 10.0.0.0 0.0.0.255

Yukaridaki access list ile , tum ic networkumuze izin verdik. Eger belli basil sunucular icin bunu yapmak istersek ,Tek tek her sunucu icin bir access-list yazmaliyiz.

Access-list 10 permit 10.0.0.1
Access-list 10 permit 10.0.0.5

Bu yazilimin yukaridakinden tek farki hostmask kullanmamizdir.
Burada bir ara verip, hostmask i nasil hesaplayacagimizi gorelim:

Basit olarak hostmask , kullandigimiz netmaskta ki host sayisini verir. Hostmask`i, basitçe, aşagidaki gibi hesaplayabiliriz.
255.255.255.255
- 255.255.255.0 (Kullanilan Netmask)
---------------------------------------------
0 . 0. 0.255 (Kullanacagimiz Hostmask)

Yukarida access-listimizi olusturmustuk, simdi bunu bir arayuze uygulamak icin ne yapmali onu ogrenelim.

RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#line vty 0 4 (uygulayacagimiz arabirim burada vty`i kullaniyoruz)
RouterA(config-line)#ip access-class 10 in
RouterA(config-line)#^Z
RouterA#

Boylece routerimiza vty arayuzunden ulasicak , sunuculari yada networku belirlemis olduk, burada dikkat edilecek husus bindigimiz dali kesmemek, eger bu komutlari yazdigimiz sunucu, access-list te yazdigimiz sinirlar icersinde degil ise, cntl+z bastigimiz anda routerla aramizdaki baglanti kesilecektir. Bu da istenmeyen durumlara neden olacaktir. J

Yukaridaki ornekten yararlanarak, cikis yonunde bir access-list yaratalim.

Amac: 10.0.0.2 nolu sunucun disariya cikisini engellemek.
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 deny 10.0.0.2
RouterA(config)#access-list 10 permit any

Yukaridaki satirla sadece 10.0.0.2 sunucusunu yasaklamis olduk. Peki nicin, ek olarak permit any satiri kullandik, Yukarida verdigim, access-list algoritmasina dikkatli bakicak olursak, access-list e tanimlanmayan kaynak IP lerin sonucu yasaklanmis olarak gozukmektedir. Bu yuzden , yasaklayacakarimizi yasaklayip, digerlerine izin vermeliyiz. Bu konu cok hassastir genelde unutulan ve /veya atlanilan nokta burasi oldugu icin , cogu network adminine sac bas yoldurtmustur. J

Kofigurasyonumuzun devamina gelicek olursak:
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#int e 0 (interface Ethernet 0)
RouterA(config-if)#ip access-group 10 out
RouterA(config-if)#^Z
RouterA#

Boylece standart access-listleri bitirmis olduk, sirada extended access-listler var, fakat olympos da diğer arkadaslarada yer birakmak icin extended access-listleri bir sonraki yazımdaki bulabilirisiniz.

Saygılar.