Router ve Arka Ağ Güvenliği
Moderator olduktan sonraki ilk yazımdır.Bu yazımda sizlere cisco routerların ve arkasındaki ağı,router�dan nasıl koruyacağımızı anlatacağım.Cisco routerımızda yapacağımız birkaç ayardan sonra hem router�ımız hemde arkasındaki local ağımız çok daha güvenli olacak ve istediğimiz şekilde çalışacak.Bahsedeceğim olayın ismi Access Lists.Tüm Cisco router�larda standart olarak gelir ve router�ımızı adeta bir firewall gibi yapılandırmaya yarar.
Peki nasıl bir güvenlik sağlar bu access list denilen olay?
1.konuda mevcut gibi router!ın temel görevi routing yani yönlendirme işlemidir,router�lar sayesinde veri paketleri istediğimiz adresten istediğimiz adrese yönlendirilir ve her zaman doğru alıcıya ulaşması sağlanır,ancak router�ların bu güzel olayı sayesinde gelen paketleri yönlendirmeden filtreleyebilirsiniz,bu işlem hem ağınızda güvenliği artırır hemde paketler yönlendirilmeden filtrelendirildiği için ağ üzerindeki gereksiz trafik önlenmiş olur.
Access List�ler sayesinde router�ımızı tıpkı bir firewall gibi yapılandırıp,istediğimiz ip�lerin ve istediğimiz portların yönlendirilmesine izin verebilir yada yasak koyabiliriz.
Cisco Router�larımızda 2 Çeşit Access List tanımlayabiliriz;
-Standart Access List
-Extended Access List
Access List�ler tanımlandıktan sonra hemen kullanılmaz,daha önce access list�imizi bir interface�in(bacağın) girişine(inbound) yada çıkışına(outbound) uygulamalıyız.
Eğer bir access list�i bir interface�in inbound�a uygularsak dışarıdan yönlendirilmek için router�ın bu interface�ine gelen paketler bu access list�ten etkilenecektir.
http://www.wardom.org/showthread.php?t=5778
Eğer bir access list�i bir interface�in outbound�a uygularsak dışarıdan router�a herhangi bir interface�ten gelen paketler access list uyguladığımız interface�ten çıkarken access list�ten etkilenecektir.
Access Listler tanımlanırken numarlandırılır.Verdiğiniz numaralara göre router access list�leri nasıl ve nereler için tanımladığınızı anlar.
Örnek olarak Standart Access List numaraları;
1-99 arası yada genişletilmiş olarak 1300-1999 arası kullanılır.
Extended Access List numaraları;
100-199 yada genişletilmiş olarak 2000-2699 arası kullanılır.
-Standart Access List
Standart Access list basit olarak bir host�tan yada bir host aralığından gelen paketleri geçirmeye yada yasaklamaya yarar.Herhangi bir port kısıtlaması yoktur.
Kullanımı şu şekildedir;
access-list |access-list numarası| |deny,permit| |host| |destination address|
bu sadece bir host için tanımlanan access-list tanımıdır;
-access-list numarası; bölümüne access-list�imizin tipini belirleyecek olan bir numara gireriz,ör:1-99 arası numaralar standart access list tanımlar.
-deny,permit;bölümüne verdiğimiz host�tan gelecek olan paketlere izin verilip verilmeyeceğini belirtir,deny;yasaklamak,permit;izin vermektir.
host;bölümünde kısıtlanacak olanın sadece bir host olduğu belirtilir.
Destination address;bölümüne kısıtlayacağımız,yada izin vereceğimiz host�un ip adresini yazarız.
Ör:
access-list 15 deny host 192.168.0.1
bu yazdığımız access-list sonucunda router�ımızından 192.168.0.1 paket kabul edilmeyecek.
Peki ya kısıtlamak istediğimiz birden fazla host ise o zaman ne yapacağız.
Birden fazla aralık vermek için Wildcard Mask kullanacağız.
Wildcard Mask�ların tanımı,anlatımı ve mantığı çok karışık olduğu için bu dökümanda kısaca örnek ile anlatacağım,ancak sonraki dökümanlarımda tümünü ele alacağım.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
bu wildcard kullanımında 192.168.1.0�dan 192.168.1.255 kadar olan tüm hostlardan paket yönlendirilmesi yasaklanmıştır.
Wildcard mask�lerin çok daha karmaşık kullanımları vardır.Bu uygulamalar sonucunda block aralıklarına göre istediğimiz kadar ip aralığını yasaklayabilir yada izin verebiliriz.Ancak dediğim gibi çok karışık olduğundan bunun için ayrı bir doküman yazmayı düşünüyorum.http://www.wardom.org/showthread.php?t=5778
Access-list�lerin bir kullanımı vardır ki oda any terimidir.
Bu terim tüm ip aralıklarını yani heryerden gelecek olan tüm paketleri temsil eder.
Any ile birlikte deny kullanırsak hiçbir yerden paket kabul edilmeyecektir.
Bu komut daha çok normal bir aralığa yada host�a deny verildikten sonra,diğer makinalardan gelen tüm paketlerin kabul edilmesi için permit ile kullanılır.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
access-list 10 permit any
bu access-list dizeleri sayesinde 192.168.1.* gelen hiçbir paket kabul edilmeyecek ve 2. satırdaki permit any sayesinde diğer tüm ip�lerden gelen tüm paketler kabul edilecektir.
Moderator olduktan sonraki ilk yazımdır.Bu yazımda sizlere cisco routerların ve arkasındaki ağı,router�dan nasıl koruyacağımızı anlatacağım.Cisco routerımızda yapacağımız birkaç ayardan sonra hem router�ımız hemde arkasındaki local ağımız çok daha güvenli olacak ve istediğimiz şekilde çalışacak.Bahsedeceğim olayın ismi Access Lists.Tüm Cisco router�larda standart olarak gelir ve router�ımızı adeta bir firewall gibi yapılandırmaya yarar.
Peki nasıl bir güvenlik sağlar bu access list denilen olay?
1.konuda mevcut gibi router!ın temel görevi routing yani yönlendirme işlemidir,router�lar sayesinde veri paketleri istediğimiz adresten istediğimiz adrese yönlendirilir ve her zaman doğru alıcıya ulaşması sağlanır,ancak router�ların bu güzel olayı sayesinde gelen paketleri yönlendirmeden filtreleyebilirsiniz,bu işlem hem ağınızda güvenliği artırır hemde paketler yönlendirilmeden filtrelendirildiği için ağ üzerindeki gereksiz trafik önlenmiş olur.
Access List�ler sayesinde router�ımızı tıpkı bir firewall gibi yapılandırıp,istediğimiz ip�lerin ve istediğimiz portların yönlendirilmesine izin verebilir yada yasak koyabiliriz.
Cisco Router�larımızda 2 Çeşit Access List tanımlayabiliriz;
-Standart Access List
-Extended Access List
Access List�ler tanımlandıktan sonra hemen kullanılmaz,daha önce access list�imizi bir interface�in(bacağın) girişine(inbound) yada çıkışına(outbound) uygulamalıyız.
Eğer bir access list�i bir interface�in inbound�a uygularsak dışarıdan yönlendirilmek için router�ın bu interface�ine gelen paketler bu access list�ten etkilenecektir.
http://www.wardom.org/showthread.php?t=5778
Eğer bir access list�i bir interface�in outbound�a uygularsak dışarıdan router�a herhangi bir interface�ten gelen paketler access list uyguladığımız interface�ten çıkarken access list�ten etkilenecektir.
Access Listler tanımlanırken numarlandırılır.Verdiğiniz numaralara göre router access list�leri nasıl ve nereler için tanımladığınızı anlar.
Örnek olarak Standart Access List numaraları;
1-99 arası yada genişletilmiş olarak 1300-1999 arası kullanılır.
Extended Access List numaraları;
100-199 yada genişletilmiş olarak 2000-2699 arası kullanılır.
-Standart Access List
Standart Access list basit olarak bir host�tan yada bir host aralığından gelen paketleri geçirmeye yada yasaklamaya yarar.Herhangi bir port kısıtlaması yoktur.
Kullanımı şu şekildedir;
access-list |access-list numarası| |deny,permit| |host| |destination address|
bu sadece bir host için tanımlanan access-list tanımıdır;
-access-list numarası; bölümüne access-list�imizin tipini belirleyecek olan bir numara gireriz,ör:1-99 arası numaralar standart access list tanımlar.
-deny,permit;bölümüne verdiğimiz host�tan gelecek olan paketlere izin verilip verilmeyeceğini belirtir,deny;yasaklamak,permit;izin vermektir.
host;bölümünde kısıtlanacak olanın sadece bir host olduğu belirtilir.
Destination address;bölümüne kısıtlayacağımız,yada izin vereceğimiz host�un ip adresini yazarız.
Ör:
access-list 15 deny host 192.168.0.1
bu yazdığımız access-list sonucunda router�ımızından 192.168.0.1 paket kabul edilmeyecek.
Peki ya kısıtlamak istediğimiz birden fazla host ise o zaman ne yapacağız.
Birden fazla aralık vermek için Wildcard Mask kullanacağız.
Wildcard Mask�ların tanımı,anlatımı ve mantığı çok karışık olduğu için bu dökümanda kısaca örnek ile anlatacağım,ancak sonraki dökümanlarımda tümünü ele alacağım.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
bu wildcard kullanımında 192.168.1.0�dan 192.168.1.255 kadar olan tüm hostlardan paket yönlendirilmesi yasaklanmıştır.
Wildcard mask�lerin çok daha karmaşık kullanımları vardır.Bu uygulamalar sonucunda block aralıklarına göre istediğimiz kadar ip aralığını yasaklayabilir yada izin verebiliriz.Ancak dediğim gibi çok karışık olduğundan bunun için ayrı bir doküman yazmayı düşünüyorum.http://www.wardom.org/showthread.php?t=5778
Access-list�lerin bir kullanımı vardır ki oda any terimidir.
Bu terim tüm ip aralıklarını yani heryerden gelecek olan tüm paketleri temsil eder.
Any ile birlikte deny kullanırsak hiçbir yerden paket kabul edilmeyecektir.
Bu komut daha çok normal bir aralığa yada host�a deny verildikten sonra,diğer makinalardan gelen tüm paketlerin kabul edilmesi için permit ile kullanılır.
Ör:
access-list 15 deny 192.168.1.0 0.0.0.255
access-list 10 permit any
bu access-list dizeleri sayesinde 192.168.1.* gelen hiçbir paket kabul edilmeyecek ve 2. satırdaki permit any sayesinde diğer tüm ip�lerden gelen tüm paketler kabul edilecektir.
Son düzenleme:
