Anasayfa » Cisco Routerlarımızı FIREWALL Olarak Yapılandırmak (Access List)

Makaleyi Paylaş

Cisco

Cisco Routerlarımızı FIREWALL Olarak Yapılandırmak (Access List)

Günümüzde internet erişimi gerek son kullanıcılar için gerek her büyüklükde ki şirketler için vazgeçilmez kaynaklardan birisidir. İnternete erişmenin çok farklı çeşitleri vardır. Bu erişim yolları ev kullanıcıları ve küçük işletmeler için çok da karmaşık sahip olduğumuz network yapısı büyüdükçe ve karışık bir hal almaya başladıkça internete erişim metodları da bu ölçüde büyümekde ve dizayn şeklimize göre farklılıklar göstermektedir. 

Yapımız büyüdükçe gerek güvenliğimiz için, gerekse yönetimini üstlenmiş olduğumuz network içerisinde ne olup bittiğinden haberdar olmak için ve hatta bazen üye olmuş olduğumuz kurum, kuruluş ve denetim yerlerinin istemiş oldukları kriterleri sağlamak içn bir takım firewall ürünlerine ihtiyaç duyabiliriz.

Bu makalemizde şube yapısı bulunan bir şirket için internet erişim yollarını açıklamaya özen gösterecek ve sahip olduğumuz ürünler çerçevesinde minimum maaliyet ile internet erişimini şirket yapımıza nasıl uygularız, nasıl güvenliğimizi sağlarızı konuşacağız. Makalemizin Ana konusu olan Access Listler (erişim listeleri) ile bir Cisco routeri firewall olarak yapılandırmadan önce konumuzla ilgili olan network ürünlerinden bahsetmemiz gerekirse. 

Firewall         : Yapımızın ihtiyacı doğrultusunda gerek donanımsal gerekse yazılımsal olarak kullanabileceğimiz; Local ağımızla İnternet ağı arasında güvenli bir şekilde iletişim kurmamıza yardımcı olan, istenmeyen istekleri önleyen ve kullanmış olduğumuz ürünün özelliğine göre daha bir çok özelleştirilmiş tanım yapabileceğimiz ürünlerdir.

Sponsor

Router           : Günümüzde bu cihazlar gerek LAN yapımız içerisinde bulunan ve iki farklı Network ID’ sine sahip bilgisayarın bir biri ile iletişimde bulunmaları için, gerekse LAN yapımızdan dışarıya çıkmamız gerektiği zaman kullanmamız gereken ve Türkçe karşılığı olarak YÖNLENDİRİCİ olarak bilinen cihazlardır.

Bir router için bilmemiz gereken iki temel kural vardır. Bunlar

Router üzerinde kesinlikle ama kesinlikle bir GW bulunmamalıdır. (Yazılımsal routerlar için verilmiş bir açıklamadır.)

Routerlar Broadcast geçirmeyen ürünlerdir.

Firewall’lar ve Routerlar için bilinmesi gereken en önemli tek ortak nokta client bilgisayarlar; gerek yönlendirme için, gerekse güvenlik için Gateway (Ağ Geçidi) olarak bu ürünleri görmek zorundadırlar.

Not : Ortada özel bir durum yok ise eğer misal olarak bir Isa Server Proxy server olarak yapılandırıldıysa eğer Gw olarak Isa serveri görmeye veya işletim sistemimizin komut satırında gerekli yönlendirme bilgileri client bilgisayarımıza öğretildiyse client bilgisayarın GW olarak bu ürünleri görmelerine gerek yoktur.

Yazımızın ilerleyen kısmında bu yapılandırmalardan bahsedeceğimizi belirtip GW leri neden kullanacağımızı örnek ile açıklayacak olursak 192.168.0.5/24 ip adresine sahip bir bilgisayar 192.168.0.6 /24 numaralı bir bilgisayar ile görüşmek istediği zaman Network ID leri aynı olduğu zaman ki /24 olduğu için her iki bilgisayarda aynı Network içerisinde olduğu anlamına gelmektedir bu iki bilgisayar bir birleri ile görüşmek istediği zaman üzerlerinde ki GW bakmaksızın gerekli hesaplamaları yaparak hedef bilgisayar ile iletişimde bulunmaktadırlar. Ama 192.168.0.5/24 ip adresine sahip bir bilgisayarımız 192.168.1.6/24 numaralı br bilgisayara gitmek istediği zaman sahip olduğu Network ID si kendisi ile aynı olmadığı için paketi kendi networkü içerisinde aramayacak ve isteği üzerinde tanımlı olan ağ geçidine yani Gateway gönderecek ve bu Gateway üzerinde tanımlı olan gerekli yönlendirme protokoleri var ise eğer ve bağlantımız da bir propblem yoksa hedef bilgisayar ile iletişimde buluna bilecektir. Gateway konusunda bilinmesi gereken en önemli nokta ise bir bilgisayarın sahip olmuş olduğu GW mutlaka ama mutlaka kendi networkünün içerisinde olmak zorundadır.

Konumuz ile ilgili bu genel bilgileri verdikten sonra yazımıza devam edebiliriz.

image001

Mevcut yapımızdan bahsetmemiz gerekirse.

Her iki şubemiz içerisinde Cisco 1700 serisi Routerlarımız bulunmakta ve bir birlerine point-to-point olarak bağlı durumdadırlar.

Fakaonline şirketinin içerisinde bulunan bütün client bilgisayarlar 10.10.10.X Havuzu içerisindeler ve GW olarak da Solmaz Holding şirketi ile sürekli bağlantı içerisnde olan Cisco 1700 serisi Routerin Fasteth0 olan 10.10.10.54 numaralı ip adresini görmektedirler. Fakaonline Şirketinin internet erişimini karşılamak için bir adet ADSL modem networke dahil ediliyor ve IP adresi olarak da 10.10.10.2 ip adresine sahipdir. Yalnız bura da ki problem Gw olarak Routeri gören bilgisayarlar internete nasıl çıkacaklardır?

Bunun için bir çok çözüm vardır ve bizler bu makalede sırasıyla çözümleri konuşacak ve en yararlı olanı network yapımıza uygulayacağız.

image002

İlk çözüm olarak bütün client bilgisayarlarımızın Netvork kartlarına alternatif bir ip tanımlar gibi alternatif bir Gw tanımlayarak çözüm bulabliriz. Bu alternaif Gw tanımlaması işlemimiz için en kolay olanıdır ve data kayıplarının olma ihtimali düşünülerse eğer pek fazla tavsiye edilmeyen bir çözümdür.

image003

İkinci çözüm olarak; Netorkümüz içerisinde bulunan bütün client bilgisayarlarımızın Default Gw’ lerini 1700 serisi olan Cisco Routerimizin FastEth0 Portunu değil, Adsl Modemimizin sabit ipsini göstereceğiz ve Adsl Modemimiz üzerinde bir statik routing protokolü girerek ki;

Destination Ip Address     : Gitmek istediği networkü yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Ip (10.10.20.0) bloğunu yazıyoruz.

Subnet Mask                        : Gitmek istediği networkün subnet Mask’ını  yazıyoruz. Yapımıza göre Solmaz Holding’ in sahip olduğu Subnet mask 24 BIT lık bir maskdır ve 255.255.255.0 olarak yazıyoruz.

Gateway                               : Hangi routeri kullanarak Solmaz Holding’in networküne gideceğini belirliyoruz. Solmaz Holding Networkü ile iletişimde olan Routerimizin sahip olduğu Cisco Routerin  FastEth0’ ın ip (10.10.10.54) adresini yazıyoruz.

Ve bu girmiş olduğumuz statik rout’ dan sonra bütün bilgisayarlarımız Gw olarak ADSL modemimizi görecek ve internete çıkacaklar, Solmaz holdinge gitmek istediği zaman ise modemimiz Cisco Routerimiza Rout (yönlendirme) yapacak.

Bu şekilde yapacak olduğumuz bir yapılandırmanın bizlere sağlayacağı dezavantaj ise ADSL modemler Rout (yönlendirme) yapmak için dizayn edilmiş Network ürünleri değillerdir. ADSL modemlerimizin yapılış amaçları NAT yapmak ve internet erişimini sağlamak olduğu için, ve Cisco gibi kendini kanıtlamış routerlara göre çok çabuk down olma ihtimali düşünülerse eğer kullanım amacı dizaynı nı yapan sistemciye göre değişmektedir.

image004

Bir diğer çözüme geçmemiz gerekirse Windows İşletim sistemimiz üzerinde girecek olduğumuz statik route kaydıdır. Komutumuzu açıklarsak eğer.

Route add  Makinemize bir statik route eklemek için kullanırız. Komutumuzun devamında olan ilk 0.0.0.0 (gidilecek yer bilinmiyorsa) bilgisayarımızın gitmek istediği yeri, mask 0.0.0.0 (gidilecek networkün subnet maskı) gidilecek yerin subnet maskı bilinmiyorsa eğer, 10.10.10.2 ADSL modemimizin ip adresini yazıyoruz Metric olarak 1 seçiyoruz. Bu kayıt girildiği zaman oluşacak olan işlemden bahsetmemiz gerekirse bilinmeyen bütün kayıtlar modem üzerinden geçiyor ve sonuçta her ADSL modem Gw olarak Turk Telekomu gördüğü için cevabın karşılığı varsa eğer internet erişimi sağlanıyor. Gw olarak da biz Solmaz Holding networkünü (10.10.20.X) bildiğimiz için Routerimiz üzerinden karşı networkümüz ile iletişimimiz sağlanıyor. 

Bu girmiş olduğumuz kayıt, kaydın girilmiş olduğu bilgisayar her reset atıldığında unutulacaktır. Çözüm olarak bu kaydı bir scrip haline getirip, internet erişimi vermek istediğimiz bilgisayarın başlangıcına koymak ve her açıldığında komutumuzun yeni baştan otomatik olarak çalışmasını sağlayabiliriz..

image005

Veya komutumuza route add bölümünden hemen sonra –p (persistent (kesintisiz, sürekli) olarak yazarız ve bizler bu kaydı manuel olarak silene kadar çalışmasını sağlayabliriz.

 

image006

Bilgisayarımız üzerinde girilen kaytları route print komutu ile görebiliriz. Girmiş olduğumuz Persistent Route (sürekli yönlendirme) en aşağıda ki satırda görünmektedir.

image007

Bilgisayarımıza girmiş olduğumuz statik route kayıtlarını route delete komutu ile girilen yönlendirmenin devamını yazarak silebiliriz.

Yukarıda vermiş olduğumuz iki çözüm önerisine göre bu şekilde girilecek olan statik route kaydı en akıllıca olanı gibi gözükmektedir. İnternet erişimi vermek istediğimiz bilgisayarlara bu scribi uygularsak eğer, internet erişimini vermiş, fakat internet erişimleri için Networkümüzde herhangi bir  güvenlik önlemi uygulayamamış olacağız.

image008

Şirket networkümüz üzerinde internet erişimini güvenli bir şekilde sağlamak ve yukarıda sunmuş olduğumuz internet erişim çözümlerine bir yenisini daha eklemek için Isa serverimizi ekleyebilir ve İsa serverimizi Proxy Server olarak yapılandırarak hem client makinelerimizin Isa üzerinden gerekli kısıtlamalar yapılarak web kaynaklarına erişmesini, kayıtların tutulmasını ve hatta gerekli Network tanımlamaları yapılırsa Solmaz Holding Networkünün dahi Fakaonline networkü içerisinde bulunan internet erişimi ile Web kaynaklarına erişmesini sağlayabiliriz.

Yalnız yapılacak olan bu yatırım ortalama olarak Windows 2003 Yazılımı, Isa server Yazılım lisansı ve yapılanırılacak olan bilgisayarın fiyatı ile birlikte ortalama olarak 3000 USD gibi bir fiyatı bulmaktadır.

Isa Serverin bizlere sağlayacağı yararlar düşünülürse eğer bu fiyatın çok da fazla olmadığını bilmekteyiz ama her şirket yapısı için bu çözüm pekde yanaşılır bir fiyat değildir. Isa server yerine Linux’un sağladığı daha ucuz yollu Proxy server çeşitleri veya yazılımlarıda Networkümüze dahil edilebilinir.

 

image009

Ve biz son dizayn çeşidimize geçiyoruz. Mevcut yapımızı hiç bir değişiklik yapmadan Cisco Router üzerinden İnternet kaynaklarına erişimi sağlayacağız. Yazımızın başında olduğu gib Fakaonline networkü içerisinde bulunan bütün makineler Gw olarak Cisco 1700 Serisi Routerin FastEth0 bacağına yani 10.10.10.54 ip adresini görmektedirler. Routerimizin diğer bacağı Serial0 ile Solmaz Holding ile görüşmek üzere Telekom alt yapısına bakmaktadırlar.

 

image010

Routerimizin Enable Mode içerisindeyken sh ip route diyerek mevcut route tablosunu görebiliyoruz. Yukarıda ki resimden de anlaşılacağı gibi ADSL modemimiz ile ilgili herhangi bir iletişim kaydı olmadığı için internet erişimi sağlanamamaktadır.

 

image011

Routerimizin yapılandırma modu olan config mod içerisine geçerek bir statik route (yönlendirme) kaydı giriyoruz. Bu kaydımız Windows işletim sisteminde girmiş olduğumuz route add komutuyla hemen hemen aynıdır. Girmiş olduğumuz komut ip route 0.0.0.0 (gidilecek olan network bilinmiyorsa) ikinci olan 0.0.0.0 ise gidilecek olan networkün subnet maskı bilinmiyorsa 10.10.10.2 numaralı ip (modemimize) adresine yönlendir.

Girmiş olduğumuz bu kayıtsan sonra routerimiz üzerinden internet erişimine çıkışımız sağlanmış olmaktadır. Routerimiz Solmaz Holding networkünü biliyor ve Modemimize yönlendirme yapmadan Serial 0 bacağından karşı networke route (yönlendirme) yapmakta ve herhangi bir internet sayfasının ip adresini bilmediği için de modemimize soruyor ve modemimiz ise Gw olarak TurkTelekomun kendisine bakan bacağını gördüğü için internet erişimini sağlamış oluyor.

Kayıt girildikten sonra tekrardan enable mode içerisinde sh ip route komutunu yazdığımız zaman en aşağıda olan Sub Zero kaydını ki Cisco mataryellerinde hedefi bilinmeyen paketleri yönlendirmek için girilen kayıt olarak geçer ve S* olarak ifade edilmektedir görebiliyoruz.

Artık networkümüzün yapısına hiçbir müdahale etmeden sadece Gw olarak Cisco Routerimizi gören bütün bilgisayarların bu kayıt sayesinde internete erişimlerini sağlamaktayız.

Routerların asıl amaçlarını yazımızın başında da belirttiğimiz gibi sadece bir noktadan bir noktaya yönlendirme yapmaktır. Bizler sub zero kaydı girerek bir noktadan bir çok nokta olan internete route etmeyi başardık. Ve bilindiği üzere Cisco routerlar üzerinde güvenlik için kullanılan Accest Listler (erişim listeleri) mevcutudur ve girilen kayıtlar neticesinde bir yerden bir yere gider iken gelen paketin, gidecek paketin, nereden hangi yol üzerinden hangi iletişim protokolünü kullanarak yönlendireceğini veya kısıtlayacağını belirlememize, networkümüzün güvenlini sağlamamıza yardımcı olan komutlar vardır. Bizler bu komutları kullanarak Bir Cisco Routerimizi; bir Cisco PİX, ASA veya bir başka donanımsal veya yazılımsal bir Firewall olarak yapılandıramasakda basit anlamda bir Cisco Routeri Firewall olarak yapılandırabileceğiz.

Accest Listleri basit anlamda anlatmamız gerekirse, yazılma çeşitlerine göre Standart ve Extended olarak ikiye ayırabiliriz.

Standart Acces listler uygulanan ip pakelerinin tüm prtokoller için geçerli olup, uygulanmak istenen adresin kaynağına (source) bakılarak engelleme yapılır.

Extended Acces listler ise uygulanan ip paketlerinin protokol (port) bazlı (sadece web erişim portuna 80 , telnet portuna 23, Rdp portuna 3389, FTP Portuna 21 vb. ) engelleme yapılmak için uygulanır ve hedefe (destination) en yakın yere uygulanmaktadır.

 

image012

Yukarıda ki resimde de görüldüğü gibi default olarak hiç bir router üzerinde herhangi bir access List uygulanmamıştır ve yapılandırmalar neticesinde bütün yönlendirmelere izin vermektedir.

Şimdi Adım adım bir routerimizin üzerinden geçen internet erişimlerini, IP bazlı engelleyelim.

Bu yapılandırmada bilmemiz gereken en önemli nokta bu accest listler ile ne bir Cisco Pix gibi geniş çaplı bir Firewall nede bir ISA server gibi içerik engelleyici (web filteri, içerik engelleme, Url yönlendirme vb.) işlemleri yapmamız mümkün değildir.

Yapacağımız Accest Listler ile bir donanımsal Firewall’ a sahip olduğumuzu düşünelim ve yazılımsal bir Firewall olan Isa server ile routerimiz üzerinde ki Firewall’ı kıyaslayalım.

Isa Server bir Yazılımsal Firewall dır ve network içersinde bulunan kullanıcıları, eğer Domain yapısına üye olarak yapılandırıldıysa isim bazlı engelleme dahi yapabilmektedir. Routerimiz ise Osi katmanları çerçevesinde Layer 1-2 ve 3 ncü katmanında çalıştığı için ve OSI katmanları içerisinde sadece IP ce mac adreslerini tanıdığı için sadece ama sadece IP ve Port bazlı engelleme yapabilmektedir.

Isa Serverimiz Yazılımsal olduğu için içerik engelleme konusunda web sayfaları üzerinde bulunan istenmeyen içerikleri tanımakta, bilmekte ve bu sayede istenmyen dosya uzantılarını bildiği için içeriğini engellemektedir, Routerimiz ise gene Osi katmanlarının 1,2 ve 3 ncü katmanında çalıştığı için bu içerik engellemeyi tanımadığı için yapamayacaktır.

Kısacası Isa serverin yapmış olduğu gibi Osi katmanlarında bulunan Layer 4-5-6 ve 7 nci katmana çıkmadan IP ve Port bazlı bütün engellemeleri yapabileceğiz. Zaten Cisco Pix, Asa dahi bu şekilde çalışmakda olup Osi nin diğer katmanları ile ilgili diğer engellmeler yapılmak istenildiği zaman Websense gibi yazılımsal bir program ile bütünleşik çalışarak Firewall hizmetini sunmaktadır.

Bu kısa bilgiyi verip Accest Listler ile çok fazla şeyler beklememeniz konusunda gerekli uyarıyı yaptıkdan sonra Cisco Routerimizi Firewall olarak yapılandırmamıza başlayabiliriz.

 

image013

İlk olarak routerimizin yaplandırma bölümü olan Config Mod içerisinde access-list diyoruz ve komutun devamını bilmediğimizi düşünerek soru işaretine basıyoruz.

Çıkan menüde kullanabileceğimiz komutlar karşımıza çıkmaktadır. Biz port bazlı engelleme yapacağımız için Extended accesst list kullanacağız ve access listlerin kullanmış olduğu numarayı bizlere göstermektedir. 100 ile 199 arasında herhangi bir access list numarasını kendimize belirliyoruz. Bu bölümü daha kolay açıklamak için Isa server üzerinde kural oluşturduğumuz zaman kuralımıza vermiş olduğumuz isme benzetebiliriz.

 

image014

Komutumuzun devamına 101 diyerek tekrardan komutun devamı için soru işareti ile ihtimalleri soruyoruz. Yapmak istediğimiz Access List engelleme olacağı için deny diyerek komutumuzu (kuralımızı) yazmaya devam ediyoruz.

 

image015

TCP bazlı bir engelleme yapacağımızı belirtiyoruz. Komutumuzun devamına gerekli olan TCP yazıp soru işareti ile tekrardan komutumuzun devamını yazmaya devam ediyoruz.

 

image016

Sıra geldi kimi engelleyeceğiz. Engellenecek olan kaynak bilgisayarı belirtiyoruz. Sadece tek bir Host’u (bilgisayarı) engelleyeceğim için host yazarak devam ediyorum.

Diğer kural yazımı ile bilgi vermem gerekirse eğer A.B.C.D olarak yazılı olanı kullanırsam eğer kaynak bilgisayarın ip adresini yazıp subnet maskı Wild Card Mask (mevcut subnetin tam tersi yazılımı ile kullanmam gerekecekti ki yani subnetin 0 rakamlarının 1 ler rakamı grubu ile yer değişmesi sonucu oluşacak olan subnet maskını yazmam gerekecekti.)

Örnek :

Subnet mask : 255.0.0.0                Wild Card Mask : 0.255.255.255

Subnet mask : 255.255.0.0            Wild Card Mask : 0.0.255.255

Subnet mask : 255.255.255.0        Wild Card Mask : 0.0.0.255

Subnet mask : 255.255.128.0        Wild Card Mask : 0.0.127.255

Veya any dersem eğer ileride uygulayacak olduğum bu Accest Listi, uygulayacak olan interfacemin bağlı olduğu bütün bilgisayarları kapsayacağını belirtecektim.

Komutumuza Host diyerek devam ediyorum. Tek bir bilgisayarı engelleyeceğim.

 

image017

Engellemeyi uygulayacak olduğumuz hostun sahip olduğu ip adresini (10.10.10.112 numaralı ip adresine sahip bilgisayara kısıtlama uygulayacağım) yazdıktan sonra tekrardan soru işaretini yazarak devamında gelecek olan soruyu soruyorum ve nereye giderken engelleneceğini soruyor bizere. Cevabımız any (herhangi bir yere giderken, web erişimini kısıtlayacağım için herhangi bir yere diyerek her yeri kısıtlıyorum)

Bu bölümde eğer belirli web sayfalarının kısıtlanmasını istiyorsak, gerekli sayfaların ip adreslerini A.B.C.D cinsinden olarak Wild Card mask girerek uygulayabiliriz. Tabi burada da şöyle bir problem ortaya çıkmaktadır. Örnek olarak bizler google nin 66 bloklu ip adresinden sahip olduğu bölümü yazarsak, google web sayfası birden fazla ip adresine sahip olduğu için diğer ip bloğun dan hostumuzun isteğine cevap verecetir. Veya şöyle bir seçenek varmı diye soranlar olursa eğer; Isa server için bir çok web sayfasında bulunan URL listeler bu accesst listler içinde IP bazlı olarak varmıdır? Şayet ben görmedim J

image018

Yazmış olduğumuz kural bir extended access list olduğu için port bazlı yapılandırmış oluyoruz ve port numarasını girebilmek için eq yazarak port numarası yazmak üzere komutumuza devam ediyoruz.

image019

Eğer yasaklamak istediğimiz protokolün kullanmış olduğu port numarasını biliyorsak direk olarak yazabiliriz, şayet bilmiyorsak daha önceden yaptığımız gibi soru işareti sorarak kullana bileceğimiz port isimlerini bizlere göstermektedir. Bizler web erişimini yasaklayacağımız için 80 portunu yazıyoruz. 80 numaralı www (web erişim portu) listenin en altlarındadır. Güncel port numaralarını http://www.iana.org/assignments/port-numbers adresini ziyaret ederek öğrenebilirsiniz.

image020

Ve sonunda kuralımızı yazmayı tamamlamış bulunmaktayız. Yazmış olduğumuz kuralımızı açıklayacak olursak eğer.

Access-list 101 extended bir erişim kuralı olduunu yani port veya protokol bazlı engelleme veya izin verebileceğimizi, deny bu access listin bir yasak kuralı olduğunu, engellemenin TCP protokolü ile yapılacaını host 10.10.10.112 ise bu yasak kuralının bu ip adresine sahip bilgisayara uygulanacağını, any herhangi bir yani bütün hedeflere uygulanacağını eq 80 ise web erişimleri için olduğunu bizlere söylemektedir.

NOT : Access listleri yazmasını biliyorsak eğer yukarıda ki resimde ki gibi direk komutu yazabiliriz. Ben makale yazımını konuyu açıklayarak yaptığım için her bölüm için soru işareti girerek yazmayı uygun gördüm.

Bizler bu accest listi yazdık ama henüz uygulamadık. Access listler ile bilinmesi gereken iki ana kural vardır ve bunların birincisi

Hazırlanan bütün access listler muhakkak bir interfaceye ki kuralın standart veya extended olma özellğiine göre hedefin destination (hedef) bölümüne veya source (kaynak) ‘ ın en yakın yerine uygulanmalıdır.

İkincisi ise bir accesst list yazılmadan önce bir router üzerinde bulunan bütün yönlendirmeler çerçeveside girilen kayıtları gerçekleştirmekteydi. Bizler access listleri yazıp uyguladık dan sonra artık yönlendirmenin haricinde güvenlik için access listlere de bakılması konusunda istemeden de olsa bir kural girmiş olduk. Bunun da açılımı biz access listimize herhangi bir permit (izin kuralı) yazmak ise eğer ilgili hostun sadece web erişimini yasaklamış olmuyor router üzerinden geçen bütün yönlendirmelerin yasaklanmış olduğunu belirtiyoruz. Ve routerimiz üzerinde daha önceden uyguladığımız kuralların işlemine devam edebilmesi için bir izin kuralı yazmamız şarttır.

 

image021

Yazmış olduğumuz yeni access list bir önceki access listimiz deki gibi aynı grubdan (101) ve izin kuralıdır. Her hangibir yerden herhangibir yere giderken izin verilmiştir.

image022

Routerimizin enable modunda iken uygulanan access listleri sh run komutu ile görebiliyoruz. Yukarıda belirtmiş olduğumuz izin kuralını biraz daha açıklamak gerekirse. Routerimiz ilk satırda gerekli host için web erişimini yasakladı. 10.10.10.112 ip numaralı bilgisayar web erişimine gideceği için bu kurala takılacak ve web kaynaklarına erişemeyecek. Pekala network içerisinde bulunan diğer makineler 10.10.10.112 ip adresi haricinde ki diğer makinelere bu kural uygulanacak mı? Elbette ki hayır. Onun için yukarıdan aşağıya doğru uygulanan kurallar sırasıyla kontrol edilecek. Biz ikinci satırda yazmış olduğumuz izin kuralını yazmasaydık eğer routerimiz access listleri uygulamadan önce ki gibi geçişe izin vermeyecek, gerekli işlemin, yönlendirmenin amacı bilinmediği için access listlerin tabi özelliği olan implicit deny güvenlik için bilmediğim eyleme izin vermedim, yok ettim kuralını uygulayacaktı. Bunu daha iyi anlamak için Isa nın default rule’ sini göz önüne getirin ve en alt bölümde olması gereken bütün erişimlerin yasaklandığı kuralına benzetebiliriz.

Isa Serverden örnek vermişken eğer bizler birden fazla izin kuralı yazsaydık Isa serverin Up (kuralı bir üstteki kuralın üstüne almak) down (kuralı bir önceki kuralın altına almak ) gibi bir kolaylığı Routerimizin Access listlerin de yoktur. Bu şekilde kuralımıza örnek olarak bir başka hostuda engellemek istersek eğer ilk önce permit kuralını sileceğiz, daha sonra ilgili host için deny kuralını yazacağız ve tekrardan paketlerin implicit deny kuralına mağruz kalıp yok edilmemeleri için bir permit (izin) kuralı yazacağız veya routerimizin üzerinde bulunan sh run komutu ile access listleri bir yazı düzenleyicisinin (word vb.) içine alıp gerekli düzenlemeleri yapıp tekrardan routerimizin içine kopyalayacağız.

image023

Yazımızın daha önce ki bölümünde access listlerin çalışabilmesi için muhakkak bir interfacesine uygulanması gerektiğini belirtmiştik. Routerimizin uygulanması gereken interfacesi sub zero kaydının (yönlendirmenin) olduğu fast eth0 network kartıdır. FastEth0 Networkünün içerisine girp yazmış olduğumuz access listin uygulanması için ip access-group 101 (oluşturduğumuz extended access listin numarasını) yazıyoruz ve  network kartımızın girişine uyguluyoruz.

image024

Access Listin uygulanması ile birlikte routerimiz 10.10.10.112 hostu için 80 portunu kullanan web erişimini yasaklamaktadır ve bu ip adresine sahip hostumuz artık 80 portu üzerinden web kaynaklarına erişemiyor ama 21 numaralı protokolü kullanan FTP hizmetini yukarıda görüldüğü gibi hizmete sunmaktadır. Eğer biz FTP prokolünüde yasaklamak istersek eğer permit (izin) kuralımızın hemen üzerinde olmak şartıyla

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 80

Router(config)#access-list 101 deny tcp host 10.10.10.112 any eq 21

Router(config)#access-list 101 permit ip any any yazıp uygulamamız gerekecek.

Bu işlemden sonra host makinenemiz hem FTP hemde Web erişimini gerçekleştiremeyecek ama bu seferde pop3 (25 numaralı protokol), smtp (110), RDP (3389) gibi protokolleri kullanabilecekitir.

İhtiyacımıza göre bu protokolleri tek tek yasaklayabiliriz. Yasaklamadığımız bütün protokoller haricinde kalan protokoller ise en alt satırda bulunan permit kuralına tabi tutularak izin verilecektir.

image025

Networkümüz içerisinde bulunan diğer bilgisayarların internet erişimlerini kontrol ettiğimiz de ise 10.10.10.113 numaralı ip adresine sahip bilgisayarın herhangi bir yasaklama kuralına takılmadan web ve diğer kaynaklara erişimde bulunduğunu görebilmekteyiz.

image026

Standart Access Listlere geçmeden önce Extended Access Listlerin kullanım amaçlarını toparlayacak olursak Extended Access Listler Port ve Protokol bazlı kural uygulamamıza imkan tanıyan ve uygulanma yeri olarak kaynağa en yakın yere uygulanan access listlerdir. Bu kaideye göre yazmış olduğumuz access listi biz kaynağımıza (fakaonline networkü içerisinde bulunan ve web erişimini yasaklamış olduğumuz bilgisayardır) en yakın yere (routerimizin kaynak bilgisayarın iletişim kurmuş olduğu en yakın yeri olan FastEth0 portu) uyguladık.

Standart Access Listler ise engellenmek istenen bilgisayarın,networkün iletişimde kulunmak istediği bütün protokol ve portlar için geçerli olup hedefe en yakın yere uygulanan access listlerdir. Yukarıda ki resime göre yazacak olduğumuz standart Access List örneği Solmaz Holding Network’ü içerisinde bulunan 10.10.20.100 ip adresine sahip bilgisayarın, Fakaonline networkü ile iletişimde bulunmasını istemiyoruz ve bu bilgisayar için yazmış olduğumuz standart access listi hedefe yani Solmaz Holding networkü içerisinde bulunan 10.10.20.100 ip adresli bilgisayarın bizim networkümüz ile iletişimde bulunan en yakın yer olan Fakaonline Networkü içerisinde bulunan Cisco Routerimizin Serial0 İnterfacesine uygulayacağız.

 

image027

Standart Access listler 1ile 99 numarasına sahip oldukları için bu numaralar arasında bir numara veriyoruz. Daha önceden belirttiğimiz gibi Isa server daki kural yazımı çin vermiş olduğumuz kural ismine benzetebiliriz. 5 numarasını uygun gördüm ve kuralımızın devamında engelleme kuralı (deny) olduğunu belirttim ve engellenecek olan bilgisayarı bu sefer wild card maskıni girerek uyguladım. Eğer wild vard mask uygulamasaydım kuralımızı access-list 5 deny host 10.10.20.100 olarak yazabilirdim.

Bu access listi kaynağa yani engellenmek istenen makinenin, korumak istediğiimiz makine-network ile iletişimde bulunduğu en yakın yer olan Routerimiz üzerinde ki Serial İnterfacemize uyguluyoruz.

Bu kuraldan sonra artık Solmaz Holding Networkü içerisinde bulunan 10.10.20.100 ip numaralı bilgisayar fakaonline networkü ile görüşemeyecektir. Eğer biz Solmaz holding networkünün tamamının fakaonline networkü ile görüşmesini istemeseydik veya Solmaz holding içerisinde gerekli VLAN tanımlamaları yapılmış olsaydaı gerekli networkü engellemek için 10.10.20.0 0.0.0.255 olarak yazıp solmaz holding içerisinde bulunan bütün networkü yasaklamış olacaktık.

Yukarıda ki access listleri itiyacınız doğrultusunda doğru bir şekilde yapılandırırsak eğer şirket bütçemize ek bir maaliyet çıkartmadan bir Firewall’a sahip olmamız kaçınılmaz gibi gözükmektedir.

 

image028

Fakat bu yapılandırma sırasında bizlere en çok sıkıntı yaşatacak olan kısım IP numaralarını tanımlama ve bu tanımlama sırasında oluşacak olan karışıklıkdır. Yazımızın başlarında Routerlar OSI katmanları çerçevesinde Layer 1,2 ve 3 ncü katmanında çalıştıkları için isim çözümlemesi yapamayacaklarını söylemiştik. Eğer daha önceden Routerimizi sistemimiz içerisinde var olan bir DNS serveri tanıtırsak bu problemi de ortadan kaldırmış olacağız ve artık isim bazlı kısıtlamada yapabilecek duruma gelmiş olacağız.

Eğer ortamımız içerisinde bir DNS server yok ise eğer yukarıda ki resimde görüldüğü gibi routerimiz isim çözümlemesini gerçekleştiremeyecektir.

 

image029

Routerimiz IP adresi olarak 10.10.10.2 numaralı bilgisayarı tanımakta ve bu bilgisayar ile ileşimde bulunmaktadır. Yukarıda ki resimde görüldüğü gibi routerimiz host bilgisayarımız ile PING yolu ile ileişimde bulunabilmektedir.

image030

Biz bu bilgisayarın kullanıcısının ismini biliyorsak ve manuel olarak bu bilgisayarı kullanan kişinin ismini Routerimiza yukarıda ki resimde bulunan komutdaki gibi tanımlama (ip host bilgisayar kullanıcısının isimi kullanmış olduğu blgisayarın ip numarası) yaparsak routerimiz artık bu bilgisayarı isim bazlı olarak çözümleme yapacaktır. Bu komutumuzuda Client bilgisayarlarımızın lmhost bölümüne girmiş olduğumuz manuel kayıtlara benzetebiliriz.

image031

Girmiş olduğumuz kayıtdan sonra görüldüğü gibi artık routerimiz isim yolu ile bilgisayara ulaşmaktadır.

image032

Girmiş olduğumuz bu kaydı access list yazaraken de kullanmakta ve komut yazımında bizlere kolaylık sağlamaktadır.

Fatih KARAALİOGLU

Makaleyi Paylaş

Cevap bırakın