|
|
Router Access-Lists (erişim listeleri) Bölüm 1
|
|
|
Ana sayfa
Kütüphane
Dokümanlar
Cesitli guvenlik onlemleri ile ic networkumuzu ve/veya herkese açık olan sunucularımızın bulunduğu DMZ`imizi koruyabiliyoruz, fakat unutmamaliki , bize gelen paketlerin ilk ugrak yeri router lar icinde onlemler almaliyiz.
Cisco Routerlar da erisim kontrolu, access-list diye tanimlanan, komut satirlari ile olmaktadir. Access-Listler ile networkumuzdeki trafigi kontrol edebilir ve cesitli kisitlamalar getirebiliriz.
Cisco Router lar icin access-listler, isleyislerine gore 11 farkli sekilde olusturabilinir.
En cok kullananlar sirasiyla:
Standard access-lists:
Bu tip access-list ler, TCP/IP paketinin kaynak IP sine gore islem yaparlar.
Ornegin bu tip access-listlerle routerin dis arayuzunden gelip ic arayuze gecicek paketleri , ayni sekilde tam tersini belirleyebiliriz.
Fazla secenek sunmasada , basit islemler icin ideal komut satirlaridir. Standard access-listlerin , isleyis algoritmasi asagidaki gibidir:
|
|
Resim 1
|
Ornek verir isek,
Soru: Router a sadece ic networkten telnet acmak istiyorum bunu nasil yaparim?
Cevap: İlk olarak access – list leri olusturmamiz gerekldir. Ornekteki ic networkumuz, 10.0.0.0/24 IP bloğunu kullansin, bu network icin access-lisleri asagidaki gibi olustururuz:
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 permit 10.0.0.0 0.0.0.255
RouterA(config)#^Z
RouterA#
Komuttaki 10 sayisini , rastgele olarak sectik, bu numarayi 1-99 arasinda herhangi bi sayidan da secebiliriz.
Access-list no {permit/deny(izinver/yasakla)} {source(kaynak)} [Hostmask]
Access-list 10 permit 10.0.0.0 0.0.0.255
Yukaridaki access list ile , tum ic networkumuze izin verdik. Eger belli basil sunucular icin bunu yapmak istersek ,Tek tek her sunucu icin bir access-list yazmaliyiz.
Access-list 10 permit 10.0.0.1
Access-list 10 permit 10.0.0.5
Bu yazilimin yukaridakinden tek farki hostmask kullanmamizdir.
Burada bir ara verip, hostmask i nasil hesaplayacagimizi gorelim:
Basit olarak hostmask , kullandigimiz netmaskta ki host sayisini verir. Hostmask`i, basitçe, aşagidaki gibi hesaplayabiliriz.
255.255.255.255
- 255.255.255.0 (Kullanilan Netmask)
---------------------------------------------
0 . 0. 0.255 (Kullanacagimiz Hostmask)
Yukarida access-listimizi olusturmustuk, simdi bunu bir arayuze uygulamak icin ne yapmali onu ogrenelim.
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#line vty 0 4 (uygulayacagimiz arabirim burada vty`i kullaniyoruz)
RouterA(config-line)#ip access-class 10 in
RouterA(config-line)#^Z
RouterA#
Boylece routerimiza vty arayuzunden ulasicak , sunuculari yada networku belirlemis olduk, burada dikkat edilecek husus bindigimiz dali kesmemek, eger bu komutlari yazdigimiz sunucu, access-list te yazdigimiz sinirlar icersinde degil ise, cntl+z bastigimiz anda routerla aramizdaki baglanti kesilecektir. Bu da istenmeyen durumlara neden olacaktir. J
Yukaridaki ornekten yararlanarak, cikis yonunde bir access-list yaratalim.
Amac: 10.0.0.2 nolu sunucun disariya cikisini engellemek.
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#access-list 10 deny 10.0.0.2
RouterA(config)#access-list 10 permit any
Yukaridaki satirla sadece 10.0.0.2 sunucusunu yasaklamis olduk. Peki nicin, ek olarak permit any satiri kullandik, Yukarida verdigim, access-list algoritmasina dikkatli bakicak olursak, access-list e tanimlanmayan kaynak IP lerin sonucu yasaklanmis olarak gozukmektedir. Bu yuzden , yasaklayacakarimizi yasaklayip, digerlerine izin vermeliyiz. Bu konu cok hassastir genelde unutulan ve /veya atlanilan nokta burasi oldugu icin , cogu network adminine sac bas yoldurtmustur. J
Kofigurasyonumuzun devamina gelicek olursak:
RouterA#config t
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)#int e 0 (interface Ethernet 0)
RouterA(config-if)#ip access-group 10 out
RouterA(config-if)#^Z
RouterA#
Boylece standart access-listleri bitirmis olduk, sirada extended access-listler var, fakat olympos da diğer arkadaslarada yer birakmak icin extended access-listleri bir sonraki yazımdaki bulabilirisiniz. |
| Yazıcı-uyumlu sayfa
| Bu makaleyi arkadaşına gönder |
©2007 Olympos Security Güvenlik Portalı - Bilgi Güvenliği Rehberiniz
Yorum listesi
| Konu: |
Yazar: |
Zaman: |
|
|
cem dogan
|
26.01.2005 09:14
|
|
selamlar
baslikta hersey anlattim aslinda, ama birazdaha acayim p2p programlari kullaniyorum ve cisco rueterim var SHDSL baglanti kullaniyorum vep2p programlarda Düsük ID aliyorum bu sorunu cozmem icin cisco modemden portlari acmam lazimmis
bunu nasil yapabilirim
not: kullandigim program WIN xp pro
tesekkurler.....
|
|
|
|
